Zgodnie z art. 106e ust. 1 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług na fakturze znajdują się dane pozwalające (z łatwością) na identyfikację podatnika, czyli:
- imiona i nazwiska lub nazwy podatnika i nabywcy towarów lub usług oraz ich adresy;
- numer, za pomocą którego podatnik jest zidentyfikowany na potrzeby podatku (co do zasady NIP albo numer KRS);
- numer, za pomocą którego nabywca towarów lub usług jest zidentyfikowany na potrzeby podatku (co do zasady NIP albo numer KRS);
- w przypadku faktur wystawianych w imieniu i na rzecz podatnika przez jego przedstawiciela podatkowego – nazwa lub imię i nazwisko przedstawiciela podatkowego, jego adres oraz numer, za pomocą którego jest on zidentyfikowany na potrzeby podatku.
Dane osobowe widniejące na fakturach odnoszą się przede wszystkim do przedsiębiorców (osób fizycznych prowadzących jednoosobową działalność gospodarczą oraz spółek). Bardzo częste jest przekonanie wśród społeczeństwa, że informacje te nie podlegają klasyfikacji jako dane osobowe w kontekście regulacji RODO. Najczęściej jako argument za takim przekonaniem wskazuje się fakt, że są to przecież tylko dane służbowe i przede wszystkim, że zarówno ewidencja przedsiębiorców (CEIDG), jak i rejestr spółek (KRS) są łatwo dostępne oraz jawne i wszystkie te dane można w nich znaleźć. Jednak nie sposób zgodzić się z taką opinią.
Motyw 14 RODO wskazuje, że ochrona zapewniana tym rozporządzeniem powinna mieć zastosowanie do osób fizycznych w związku z przetwarzaniem ich danych osobowych. Rozporządzenie nie dotyczy zaś przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Więc poza przedsiębiorcami prowadzącymi jednoosobową działalność gospodarczą, będącymi osoba fizycznymi; RODO ma również zastosowanie do osób fizycznych zatrudnionych i reprezentujących osoby prawne.
Wobec powyższego ochronie będą podlegały następujące dane osobowe (szeroko pojętych) przedsiębiorców znajdujące się na fakturach:
- dane identyfikacyjne: imię, nazwisko, nazwa firmy (jeśli zawiera imię i nazwisko), numer identyfikacji podatkowej (NIP), numer identyfikacyjny REGON;
- dane kontaktowe: adres e-mail, numer telefonu, adres siedziby (oddziału);
- dane finansowe: numery rachunków bankowych, informacje o transakcjach finansowych;
- dane dotyczące transakcji: informacje o dostawach, zamówieniach.
Powyższe powoduje, że po stronie administratora danych osobowych powinny zostać zrealizowane wszystkie obowiązki wynikające z RODO, takie jak konieczność realizacji obowiązku informacyjnego; używanie programów i platform służących do wystawiania faktur, które muszą spełniać wymogi RODO; zweryfikowanie konieczności zawierania umów powierzenia przetwarzania danych osobowych z dostawcami takich programów i platform lub podmiotami zewnętrznymi, które świadczą takie usługi na rzecz administratora; czy zweryfikowanie przesyłania danych do krajów trzecich (np. do chmury lub na serwery w takich krajach) i w razie pozytywnej weryfikacji, zadbanie o zawarcie standardowych klauzul umownych.
W razie pytań pozostajemy do dyspozycji.
Zespół Kancelarii Kulczycki, Puławska s. c.