W artykule omawiamy zasady przetwarzania i ochrony danych osobowych w kontekście funkcjonowania Krajowego Systemu e-Faktur (KSeF) oraz wynikające z tego obowiązki podatnika – w oparciu o przepisy ustawy o podatku od towarów i usług.
Celem Krajowego Systemu e-Faktur (KSeF) jest uproszczenie rozliczeń między przedsiębiorcami, usprawnienie procesu pozyskiwania faktur, łatwiejsze zarządzanie dokumentacją podatkową, a także ułatwienie realizacji obowiązków sprawozdawczych. System ten zapewnia funkcjonalności takie jak nadawanie, zmiana i odbieranie uprawnień do korzystania, a także uwierzytelnianie, weryfikację uprawnień oraz dostęp do wystawiania i otrzymywania faktur.
Jednocześnie wdrożenie KSeF stawia przed podmiotami zobowiązanymi pewne wyzwania związane z ochroną danych osobowych. Konieczna jest ocena, jakie obowiązki z zakresu ochrony danych osobowych wynikają z wdrażanych regulacji dla administratorów, podmiotów przetwarzających oraz inspektorów ochrony danych.
Artykuł umożliwia w szczególności ustalenie statusu podatnika (administratora, podmiotu przetwarzającego, IOD) w procesie przetwarzania, określenie podstawy prawnej przetwarzania danych osobowych, zasad ich retencji, a także zakresu obowiązków związanych z przesyłaniem i udostępnianiem faktur ustrukturyzowanych.
administrator i podmiot przetwarzający
Każdy podatnik (z uwzględnieniem wyłączeń określonych w art. 106ga u.p.t.u.) pełni funkcję odrębnego administratora danych osobowych, które wprowadza do systemu i z niego odbiera. Dotyczy to również procesu tzw. samofakturowania, który wymaga zawarcia umowy precyzującej procedurę zatwierdzania poszczególnych faktur przez podatnika. W tym łańcuchu przetwarzania może także uczestniczyć podmiot przetwarzający (procesor) działający na rzecz administratora-podatnika. Przykładowymi procesorami są dostawcy systemów informatycznych do obsługi finansowej zintegrowanych z modułem KSeF, albo też biura rachunkowe realizujące zadania związane z fakturowaniem na zlecenie podatnika.
Kwestia objęcia podmiotów przetwarzających (procesorów) zadaniami wynikającymi z Krajowego Systemu e-Faktur (KSeF) budzi wątpliwości dotyczące konieczności ponownej weryfikacji tych podmiotów przez administratora danych (ADO).
Zgodnie z art. 32 RODO, administrator ma obowiązek zapewnić, że podmiot, któremu powierza przetwarzanie danych osobowych, wdraża odpowiednie środki techniczne i organizacyjne gwarantujące stopień bezpieczeństwa adekwatny do ryzyka.
Nawet jeśli weryfikacja procesora została przeprowadzona wcześniej (np. w momencie podpisywania umowy powierzenia), fakt ten nie zwalnia administratora z obowiązku bieżącej oceny i, w razie potrzeby, ponownej weryfikacji. Wprowadzenie nowych obowiązków, takich jak te wynikające z KSeF, stanowi istotną zmianę, która wymaga od administratora upewnienia się, że standardy bezpieczeństwa są nadal zachowane.
Weryfikacja ta powinna mieć charakter ciągły. Oznacza to, że administrator, nawet bez aneksowania istniejącej umowy powierzenia, powinien proaktywnie ponowić ocenę swojego partnera w związku ze zmianą zakresu przetwarzania danych.
Przede wszystkim konieczna jest weryfikacja treści obowiązującej umowy powierzenia w celu oceny zasadności jej aneksowania lub zmiany. Analiza powinna objąć kluczowe aspekty związane z wprowadzeniem KSeF, w szczególności:
- Operacje przetwarzania: zakres dostępu do systemu, zasady udostępniania/przesyłania faktur nabywcom, procesy autoryzacji;
- Zarządzanie upoważnieniami: kwestie nadawania i cofania upoważnień do przetwarzania danych osobowych;
- Retencja danych: ustalenie czasu przechowywania danych;
- Dokumentacja: obowiązek prowadzenia rejestru kategorii czynności przetwarzania (o ile dotyczy).
Jeżeli administrator zdecyduje się na wprowadzenie wewnętrznej procedury zarządzania dostępami w związku z KSeF, aneks do umowy powierzenia powinien zawierać stosowne, odwołujące się do niej postanowienia.
Podstawa prawna przetwarzania danych osobowych przy wystawianiu faktur w KSeF
Wystawianie faktur ustrukturyzowanych (obowiązek administratora-podatnika, z wyjątkiem określonych wyłączeń ustawowych) wiąże się z przetwarzaniem danych osobowych. Proces ten opiera się na dwóch głównych przesłankach prawnych wynikających z RODO:
- Przetwarzanie w celu wypełnienia obowiązku prawnego:
Podstawą jest art. 6 ust. 1 lit. c) RODO (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze) w związku z przepisami ustawy o podatku od towarów i usług (u.p.t.u.). - Przetwarzanie w oparciu o prawnie uzasadniony interes (w przypadku powierzenia danych):
W sytuacji, gdy administrator powierza przetwarzanie danych innemu podmiotowi (procesorowi), a procesor wskaże swoich pracowników lub współpracowników, dane tych osób przetwarzane są na podstawie art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes administratora).
Zadania administratora przy KSeF
Administrator musi zrealizować obowiązek informacyjny, zaktualizować rejestr czynności przetwarzania, podpisać umowy powierzenia przetwarzania danych oraz nadać pracownikom odpowiednie upoważnienia i uprawnienia systemowe.
Główne obszary realizacji obowiązku informacyjnego:
- Wobec personelu i osób upoważnionych:
Przede wszystkim należy poinformować własnych pracowników oraz osoby fizyczne reprezentujące podmioty przetwarzające (np. pracowników biura rachunkowego), które otrzymają uprawnienia dostępu lub będą dokonywać czynności w systemie KSeF. - Modyfikacja istniejących klauzul:
Zaleca się aktualizację (modyfikację) obecnie stosowanych klauzul informacyjnych:
wewnętrznej klauzuli informacyjnej dla pracownika/współpracownika podatnika,
klauzuli dołączanej do umowy powierzenia przetwarzania danych osobowych,
klauzuli informacyjnej przekazywanej kontrahentom (np. wzór klauzuli informacyjnej dla kontrahenta w związku z przetwarzaniem danych w KSeF). - Wskazywanie odbiorców danych:
Informując kontrahentów o potencjalnych odbiorcach ich danych (zawartych na fakturach), warto wyraźnie wskazać, że dostęp do wystawionych faktur mogą uzyskać organy egzekucyjne i komornicy sądowi w ramach prowadzonych postępowań.
Kategorie danych osobowych
Zakres danych osobowych przetwarzanych w KSeF jest określony przepisami r.k.z.k.s.e.f. W celu zarządzania uprawnieniami (nadania, zmiany, odebrania) administrator-podatnik przetwarza dane podmiotu lub osoby fizycznej, której te uprawnienia mają zostać przyznane.
Dane te obejmują:
- NIP lub PESEL (jeśli dotyczy),
- Imię i nazwisko / nazwę podmiotu,
- Datę urodzenia (jeśli brak NIP/PESEL),
- Serię i numer dowodu osobistego/innego dokumentu tożsamości wraz z krajem wydania (jeśli brak NIP/PESEL),
- Unikalne dane kwalifikowanego podpisu elektronicznego (jeśli brak NIP/PESEL w podpisie),
- Status przedstawiciela podatkowego,
- Adres zamieszkania i adres e-mail.
Powyższy zakres danych obowiązuje również, gdy uprawnienia nadają organy egzekucyjne i komornicy sądowi.
Podatnik (lub organ egzekucyjny) przekazuje te dane osoby uprawnionej w formularzu ZAW-FA (Zawiadomienie o nadaniu lub odebraniu uprawnień do korzystania z KSeF). Dalsze uprawnienia nadawane są już wewnątrz systemu.
W przypadku powierzenia przetwarzania danych osobowych w ramach KSeF, jako osobę uprawnioną należy wskazać osobę reprezentującą podmiot przetwarzający.
Kategorie osób
Administrator przetwarza dane personelu niezależnie od podstawy prawnej ich zaangażowania – czy wynika ono z zawartej umowy o pracę, czy umowy cywilnoprawnej.
Podatnik, działając jako administrator danych osobowych, będzie przetwarzał dane następujących kategorii osób w związku z korzystaniem z Krajowego Systemu e-Faktur (KSeF):
- Osoby zarządzające uprawnieniami w systemie:
Personel własny lub wskazanego podmiotu upoważniony do nadawania, zmiany lub odbierania uprawnień dostępu do KSeF. - Osoby mające dostęp do faktur:
Personel własny lub wskazanego podmiotu upoważniony do wystawiania faktur ustrukturyzowanych lub do dostępu do nich. - Przedstawiciele stron trzecich:
Pracownicy (personel) podmiotów przetwarzających (w zakresie opisanym w pkt 1).
Pracownicy wystawców faktur ustrukturyzowanych.
Nabywcy faktur oraz osoby ich reprezentujące i kontaktowe (dotyczy to również osób fizycznych w przypadku dobrowolnego korzystania z KSeF).
Upoważnienia i uprawnienia
Nadawanie upoważnień do przetwarzania danych osobowych stanowi kluczowy obowiązek (i jednocześnie środek organizacyjny ochrony danych) administratora oraz podmiotu przetwarzającego, co zapewnia im kontrolę nad tym procesem oraz wiedzę na temat tego, kto, jak długo i w jakim celu będzie przetwarzać dane.
Upoważnienia do przetwarzania danych osobowych standardowo wydaje administrator. W przypadku realizacji zadań w ramach KSeF, personel podmiotu przetwarzającego powinien otrzymać upoważnienie od swojego pracodawcy, czyli tego podmiotu przetwarzającego. Niemniej jednak, podatnik-administrator ma prawo bezpośrednio wskazać osobę upoważnioną do wystawiania faktur (zgodnie z art. 106d ust. 2 u.p.t.u., jest to osoba trzecia uprawniona do wystawiania faktur w imieniu i na rzecz podatnika, np. jego przedstawiciel podatkowy). Może to być zarówno pracownik samego administratora, jak i pracownik podmiotu przetwarzającego.
Zarządzanie uprawnieniami w systemie jest precyzyjnie określone: uprawnienia do nadawania, zmiany lub odbierania dostępu posiada podatnik, wskazana przez niego osoba fizyczna, a także organy egzekucyjne i komornicy sądowi wykonujący czynności egzekucyjne oraz osoby fizyczne przez nich wskazane. Natomiast uprawnienie do wystawiania lub dostępu do faktur ustrukturyzowanych przysługuje podatnikowi, wskazanej przez niego osobie fizycznej, wskazanemu przez podatnika podmiotowi, osobom fizycznym wskazanym przez ten podmiot, a także organom egzekucyjnym i komornikom sądowym wykonującym czynności egzekucyjne oraz osobom fizycznym wskazanym przez te organy.
Rejestr czynności przetwarzania
Realizując obowiązek wynikający z art. 30 RODO, administrator powinien uzupełnić swój rejestr o procesy związane z KSeF. Należy dodać następujące czynności przetwarzania:
- realizacja zadań w KSeF przez osoby uprawnione (odbieranie i weryfikacja faktur ustrukturyzowanych);
- zarządzanie dostępami do systemu KSeF;
- archiwizacja i przechowywanie faktur;
- monitorowanie działań w KSeF (w aspekcie bezpieczeństwa).
Administrator powinien również zmodyfikować istniejący proces dotyczący wystawiania i archiwizacji faktur w KSeF. Modyfikacja ta powinna uwzględniać zakres przetwarzanych danych (dane identyfikacyjne podatnika, kontrahenta, osób wystawiających faktury), okres przechowywania danych w KSeF, a także odbiorców danych (Szef Krajowej Administracji Skarbowej – KAS) oraz ewentualne podmioty przetwarzające (np. biuro rachunkowe, dostawca systemu finansowo-księgowego). W rejestrze należy także odnotować korzystanie z aplikacji mobilnej KSeF (jeśli ma to zastosowanie).
Analiza ryzyka
Wdrożenie KSeF wymaga przeprowadzenia analizy ryzyka (zgodnie z art. 32 RODO). Powinna ona objąć m.in. zarządzanie uprawnieniami i dostępami użytkowników, integrację systemów finansowo-księgowych, minimalizację danych na fakturach oraz korzystanie z aplikacji mobilnej KSeF.
Przeniesienie obowiązku przechowywania faktur na administratora systemu oznacza, że podatnik nie ponosi ryzyka ich utraty czy zniszczenia, o ile nie archiwizuje ich lokalnie. Należy jednak rozważnie podchodzić do przechowywania danych jedynie w KSeF.
Administrator powinien również ocenić, czy potrzebna jest ocena skutków dla ochrony danych (DPIA). W większości standardowych przypadków nie będzie ona konieczna, chyba że skala przetwarzania jest bardzo duża lub obejmuje skomplikowane integracje.
Ważne: Należy upewnić się, że faktury wprowadzane do KSeF nie zawierają nadmiarowych danych osobowych, w szczególności danych wrażliwych (np. w przypadku podmiotów medycznych czy domów opieki).
Rola IOD
W ramach swoich zadań IOD w szczególności powinien potwierdzić podstawę prawną przetwarzania danych osobowych w KSeF (wynikającą z obowiązku prawnego administratora), a następnie zarekomendować stosowne zmiany w rejestrze czynności przetwarzania danych osobowych (poprzez nowe wpisy lub aktualizację istniejących). Równie ważne jest zmodyfikowanie klauzul informacyjnych dla kontrahentów, pracowników i osób upoważnionych do działań w KSeF, a także zaproponowanie modyfikacji obowiązującej polityki lub wykazu retencji danych w zakresie faktur archiwizowanych w systemie oraz zaopiniowanie procedury nadawania uprawnień.
IOD powinien również aktywnie wspierać administratora w przeprowadzeniu analizy ryzyka związanego z wdrożeniem KSeF oraz uwzględnić w rocznych planach kontroli sprawdzenie procedur zarządzania uprawnieniami w systemie, ze szczególnym naciskiem na zasadę minimalizacji i ograniczonego dostępu do danych. Do jego obowiązków należy także zaopiniowanie bezpieczeństwa i zasad korzystania przez użytkowników (personel administratora) z aplikacji mobilnej KSeF (jeśli jest wykorzystywana).
Istotnym elementem jest dokonanie przeglądu i weryfikacja umów powierzenia przetwarzania danych osobowych (w ramach współpracy z biurami rachunkowymi, dostawcami systemów informatycznych, czy centrami usług wspólnych). Ponadto, IOD powinien uwzględnić ryzyka związane z KSeF w rocznym planie szkoleń i przeprowadzić dedykowane szkolenie dla komórek organizacyjnych wykonujących działania w systemie. Program takiego szkolenia musi obejmować: stosowanie zasady minimalizacji danych, bezpieczeństwo uprawnień i loginów, sposoby ochrony danych osobowych w KSeF, procedury zgłaszania naruszeń ochrony danych oraz zasady bezpiecznego korzystania z aplikacji mobilnej KSeF (jeśli dotyczy). Ostatnim krokiem jest ocena zabezpieczeń stosowanych w wykonywaniu zadań w KSeF, w tym sposobu przechowywania loginów i procedur zgłaszania naruszeń.
Retencja
Przechowywanie danych osobowych zawartych na fakturach odbywa się bezpośrednio w systemie KSeF. Ustawodawca wprowadził obowiązkowy, 10-letni okres retencji tych danych. Należy pamiętać, że jest to okres przechowywania wiążący dla administratora systemu KSeF (Szefa KAS), a dane w ramach faktur będą archiwizowane przez 10 lat, licząc od końca roku, w którym zostały wystawione (zgodnie z oczekującym na wejście w życie art. 112aa ust. 1 u.p.t.u.).
Podatnik nie ma prawnego obowiązku przechowywania faktur poza systemem KSeF na potrzeby rozliczeń w zakresie podatku od towarów i usług. Mimo to może je archiwizować w ramach własnych systemów informatycznych zintegrowanych z KSeF lub dla celów innych rozliczeń podatkowych, o ile uzna to za konieczne. Należy pamiętać, że faktury wystawiane przez podmioty, które są ustawowo wyłączone z obowiązku stosowania KSeF, mogą w dalszym ciągu mieć formę papierową lub inną formę elektroniczną poza systemem. W takim przypadku podlegają one tradycyjnemu przechowywaniu bezpośrednio u podatnika. Ustawodawca wyraźnie wskazuje na wymóg przechowywania udostępnionej faktury przez jej nabywcę.
