Panuje powszechne przekonanie, że faktura, a w szczególności faktura elektroniczna, nie zawiera danych osobowych, w związku z tym nie podlega zapisom ustawy o ochronie danych osobowych. Jak twierdzą specjaliści, jest to błędna interpretacja

Z gruntu fałszywe jest założenie, że imię i nazwisko przedsiębiorcy to nie dane osobowe.

Co do zasady, ochronie prawnej na podstawie ustawy o ochronie danych osobowych, podlegają jedynie dane osobowe oraz prawa osób fizycznych, a wskazana ustawa nie ma zastosowania do ochrony danych dotyczących osoby prawnej (art. 2 ust. 1 ustawy). Jednak z końcem 2011 roku stracił moc art. 7a ust. 2 ustawy z 19 listopada 1999 r. dot. prawa działalności gospodarczej, mówiący o tym, że ewidencja działalności gospodarczej jest jawna. Oznacza to, że od 1 stycznia 2012 r. przepisy ustawy o ochronie danych osobowych dotyczą informacji identyfikujących przedsiębiorców w obrocie gospodarczym, o ile – dla konkretnego stanu faktycznego – będą stanowiły dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych. Tym samym administratorzy danych osobowych dotyczących przedsiębiorców, mają obowiązek wypełnienia wszelkich obowiązków wynikających z ustawy o ochronie danych osobowych, w tym również rejestracji zbiorów danych.

Podobnie jest z fakturą VAT. Od nowego roku, zgodnie z art. 106b ustawy o podatku i usług, wszyscy podatnicy VAT wystawiają faktury a nie rachunki. Jednocześnie podatnicy, których obroty nie przekraczają 150 tys., są zwolnieni ze względu na art. 113 ust. 1 i 9 (obroty do 150 tys. zł dla działających firm lub proporcjonalne dla nowych), z wystawiania faktur. Zwolnienie to traci jednak moc w sytuacji, gdy nabywca zażąda faktury! Faktura od podatnika zwolnionego może mieć znacznie węższy zakres danych w porównaniu z fakturą standardową. Szczegółowy zakres tych danych reguluje, obowiązujące od początku bieżącego roku, rozporządzenie ministra finansów z 3 grudnia 2013 r. Zakres danych zależy od podstawy (wynikającej z ustawy o VAT) zwolnienia przedsiębiorcy z VAT – najczęściej są to imię i nazwisko podatnika, jego adres i dane kontaktowe.

W przypadku przetwarzania danych wyłącznie w celu wystawienia faktury nie ma obowiązku rejestrowania ich w GIODO, ale…

To prawda, że z obowiązku rejestracji wyłączone są zbiory danych przetwarzanych w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Jeżeli jednak umowa kupna-sprzedaży towaru czy usługi wiąże się z wykonywaniem również innych czynności, np. składania i przyjmowania zamówień, wystawiania protokołów odbioru towaru, itp., wówczas zbiór danych, pozyskanych na te potrzeby, należy zgłosić do GIODO. Nie można uznać, że administrator danych jest zwolniony z tego obowiązku na podstawie art. 43 ust. 1 pkt 8 ustawy, gdyż wystawienie faktury to końcowy etap realizacji umowy kupna-sprzedaży i jedynie jeden z wielu celów przetwarzania danych.

Z gruntu fałszywe jest też przekonanie, że program czy platforma służące do wystawiania faktur nie muszą spełniać wymogów ustawy o ochronie danych osobowych.

Z racji tego, iż faktury zawierają dane osobowe, poza integralnością treści i autentycznością pochodzenia, muszą spełniać również wymagania określone w aktach wykonawczych do ustawy o ochronie danych osobowych. Przede wszystkim wszelkie moduły takiego systemu muszą być zabezpieczone przed nieautoryzowanym dostępem, zarówno na poziomie klienta (aplikacja), jak też serwera (bazy danych) – wynika to właśnie z ustawy o ochronie danych osobowych.

Warto też pamiętać, że korzystanie z bezpiecznego narzędzia do fakturowania nie zwalnia pracodawcy ze szkolenia pracowników z zakresu ochrony danych osobowych.

Szkolenia pracowników to inwestycja w najsłabsze ogniwo systemu ochrony danych osobowych. Jak wskazują badania, blisko 95% przypadków wycieków danych osobowych spowodowane jest błędem ludzkim. Ponadto, można przyjąć, że wymóg przeszkolenia pracowników wynika wprost z art. 36 ustawy o ochronie danych osobowych, który stanowi, iż administrator danych osobowych jest zobowiązany zastosować wszelkie dostępne środki techniczne i organizacyjne zapewniające właściwą ochronę przetwarzanych danych. Trudno to zrobić bez właściwego przeszkolenia personelu.