fbpx

Treść artykułu

Wiele osób wyraża przekonanie, iż dane, które widnieją na fakturach, nie są danymi osobowymi. Nic bardziej mylnego! Jeśli jesteś Administratorem Danych Osobowych, koniecznie dowiedz się, dlaczego dane na fakturze są danymi osobowymi w świetle RODO.

Dane osobowe – czym są?

To, czy dane informacje są danymi osobowymi, należy każdorazowo poddać ocenie. Zdarza się bowiem, iż niekiedy wystarczy zaledwie jedna informacja, aby móc precyzyjnie określić tożsamość osoby. Innym razem by móc określić podmiot, potrzebne będzie posiadanie większej liczby danych.

W kwestii tego, czym są dane osobowe – RODO wskazuje, iż są to informacje dotyczące osoby fizycznej, na gruncie których możliwe jest określenie, kim jest ta osoba. Takie informacje to między innymi: numer PESEL, numer IP, czy numer identyfikacji podatkowej. Jednak to nie wszystko. Należy bowiem wspomnieć, iż daną osobową może być czynnik, który określa psychiczną, fizyczną, fizjologiczną, genetyczną, ekonomiczną, społeczną, czy kulturową tożsamość osoby fizycznej.

Katalog dotyczący ujęcia definicyjnego danych osobowych ma charakter otwarty i każdorazowo warto przeanalizować, czy poszczególne informacje można uznać za dane osobowe czy nie.

Sprawdź Audyt i wdrożenie RODO Grant Thornton

Zakres danych na fakturze

Na fakturze powinny znajdować się następujące informacje*:

  • imię i nazwisko przedsiębiorcy,
  • adres przedsiębiorcy,
  • dane kontaktowe przedsiębiorcy.

*wymagane przez Rozporządzenie Ministra Finansów z dnia 3 grudnia 2013 r. w sprawie wystawiania faktur.

Warto w tym miejscu również uszczegółowić, kim jest przedsiębiorca. W myśl art. 4 pkt. 18 RODO, przedsiębiorca to osoba fizyczna lub prawna prowadząca działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą.

Jednoosobowa działalność gospodarcza a RODO

W świetle RODO, ochronie danych osobowych podlegają dane osobowe, które dotyczą ściśle osób fizycznych. Oznacza to, iż ochrona danych w tym ujęciu nie obejmuje osób prawnych, a w tym – danych o firmie, formie osoby prawnej, czy danych kontaktowych.

Warto w tym miejscu wskazać, iż dane przedsiębiorców, które są zawarte w KRS, nie podlegają zasadom dotyczącym przetwarzania danych osobowych, jakie są dyktowane przez RODO. Istnieją jednak wyjątki! Są to dane przedsiębiorców – jednoosobowych działalności gospodarczych (podlegających wpisowi do CEIDG). W przypadku jednoosobowych działalności gospodarczych zasady narzucane przez RODO w obszarze danych osobowych muszą znaleźć zastosowanie.

Newsletter "Alerty RODO" - nie daj się zaskoczyć!

Obowiązek informacyjny w czasie wystawienia faktury

Kiedy dochodzi do wystawienia faktury na rzecz jednoosobowej działalności gospodarczej, istotne jest przede wszystkim pozyskanie wymaganych danych. Tym samym dochodzi do gromadzenia danych, co również zostało uregulowane w świetle RODO. Na podstawie art. 13 RODO należy spełnić w tej kwestii obowiązek informacyjny, który składa się z następujących elementów:

  • tożsamość i dane kontaktowe ADO oraz – kiedy znajduje to zastosowanie – również tożsamość i dane kontaktowe swojego przedstawiciela,
  • dane kontaktowe IDO (w przypadku, gdy znajduje to zastosowanie),
  • cele przetwarzania danych osobowych , jak podstawa prawna ich przetwarzania,
  • informacje dotyczące odbiorców danych osobowych lub kategorii odbiorców, kiedy takie występują,
  • gdy znajduje to zastosowanie – również informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jak i informacje w kwestii stwierdzenia lub braku stwierdzenia przez Komisję m.in. odpowiedniego stopnia ochrony.

Poza wyżej wymienionymi elementami konieczne jest, by podczas pozyskiwania danych osobowych ADO podał osobie, której dane dotyczą, inne informacje, które uznaje się, iż są niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania. Są to:

  • okres, przez jaki dane osobowe będą przechowywane, zaś gdy nie ma możliwości sprecyzowania – kryteria wyznaczania tego okresu,
  • informacje dotyczące prawa do żądania od ADO dostępu do danych osobowych, które danej osoby dotyczą, jak również ich sprostowania, usunięcia lub ograniczenia ich przetwarzania bądź informacje o prawie do wniesienia sprzeciwu wobec przetwarzania, a także informacje o prawie do przenoszenia danych,
  • informacje dotyczące prawa do wniesienia skargi do organu nadzorczego,
  • informacje w kwestii tego, czy podanie danych osobowych jest wymogiem ustawowym, umownym, czy warunkiem zawarcia umowy oraz czy osoba, której dane osobowe dotyczą, jest zobowiązana do ich podania, a także wskazanie, jakie są ewentualne konsekwencje niepodania takich danych,
  • informacje o tak zwanym zautomatyzowanym podejmowaniu decyzji (w tym o profilowaniu) oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach przetwarzania dla osoby, której takie dane dotyczą.

Sposoby spełnienia obowiązku informacyjnego

Warto wskazać, iż RODO nie określa, w jaki sposób ADO powinien przekazywać osobie (której dane dotyczą) informacje dotyczące przetwarzania danych. Pewne jest jednak to, iż dane osobowe muszą być przetwarzane w sposób rzetelny i przejrzysty dla osoby, której dotyczą.

Można zatem zaproponować spełnienie obowiązku informacyjnego poprzez:

  • informację, która zostanie dołączona do stopki faktury elektronicznej lub papierowej,
  • dodatkowy druk, który zostanie dopięty do faktury papierowej,
  • dodatkowy dokument, który zostanie przesłany elektronicznie (pdf),
  • umieszczenie obowiązku informacyjnego w miejscu, w którym faktury odbiera osoba fizyczna.

Ważny fragment

Musimy pamiętać o zasadzie rozliczalności – jako Administrator musisz być w stanie wykazać, że dopełniłeś obowiązku informacyjnego. Możesz przekazać informacje wymagane na mocy art. 13 i 14 RODO w formie pisemnej, elektronicznej, ustnej (kiedy zażyczyła sobie tego właśnie osoba, której dane dotyczą) lub w inny sposób

Najistotniejsze jest bowiem to, byś potrafił wykazać, że spełniłeś ciążący na Tobie obowiązek.

Pamiętaj, dane na fakturze są danymi osobowymi, kiedy przedsiębiorca prowadzi jednoosobową działalność gospodarczą! Kiedy na fakturze znajdują się dane osobowe osób fizycznych, konieczne jest zagwarantowanie, że narzędzia, z których skorzystano do ich wystawienia, są nie tylko odpowiednio zabezpieczone, ale i spełniają wymagania, które są dyktowane przepisami o ochronie danych osobowych. Istotne jest odpowiednie zabezpieczenie narzędzia służącego do wystawiania faktur przed m.in. nieuprawnionym dostępem, utratą integralności, poufności, czy odpowiednią rozliczalnością. W przypadku wszelkich pytań i wątpliwości – skontaktuj się z nami!

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

Inne artykuły z kategorii: Ochrona danych osobowych (RODO) Zobacz wszystkie

Usługi Grant Thornton z obszaru: Ochrona danych osobowych (RODO)

Skorzystaj z wiedzy naszych ekspertów

Najczęściej czytane