Faktura i faktura elektroniczna podlegają przepisom ustawy o ochronie danych osobowych, ponieważ zawierają dane, które muszą być chronione – podkreślają eksperci z ODO24, firmy zajmującej się ochroną danych osobowych. ODO24 przygotowała listę mitów związanych z kwestią danych osobowych znajdujących się na fakturze.

Imię i nazwisko przedsiębiorcy to nie dane osobowe. FAŁSZ

Co do zasady ochronie prawnej na podstawie ustawy o ochronie danych osobowych podlegają jedynie dane osobowe oraz prawa osób fizycznych, a wskazana ustawa nie ma zastosowania do ochrony danych dotyczących osoby prawnej. Jednak z końcem 2011 roku stracił moc art. 7a ust. 2 ustawy z 19 listopada 1999 r. dotyczący prawa działalności gospodarczej, mówiący o tym, że ewidencja działalności gospodarczej jest jawna. Oznacza to, że od 1 stycznia 2012 r. przepisy ustawy o ochronie danych osobowych dotyczą również informacji identyfikujących przedsiębiorców w obrocie gospodarczym, o ile – dla konkretnego stanu faktycznego – będą one stanowiły dane osobowe. Tym samym administratorzy danych osobowych dotyczących przedsiębiorców mają obowiązek wypełnienia wszelkich obowiązków wynikających z ustawy o ochronie danych osobowych, w tym również rejestracji zbiorów danych.

Po nowelizacji ustawy o podatku od towarów i usług na fakturze nie ma żadnych danych osobowych. FAŁSZ

Od 2014 roku, zgodnie z art. 106 b ustawy o podatku i usług, wszyscy podatnicy VAT wystawiają faktury a nie rachunki. Jednocześnie podatnicy, których obroty nie przekraczają 150 tys. są zwolnieni, z wystawiania faktur. Zwolnienie to traci jednak moc w sytuacji, gdy nabywca zażąda faktury.

Szczegółowy zakres danych, jakie muszą znaleźć się na fakturze, reguluje obowiązujące od początku 2014 roku rozporządzenie ministra finansów. Zakres danych zależy od podstawy zwolnienia przedsiębiorcy z VAT, wynikającej z ustawy o VAT – najczęściej są to imię i nazwisko podatnika, jego adres i dane kontaktowe.

Przetwarzam dane wyłącznie w celu wystawienia faktury, nie muszę więc rejestrować ich w GIODO. PRAWDA, ale…

Z obowiązku rejestracji wyłączone są zbiory danych przetwarzanych w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Jeżeli jednak umowa kupna-sprzedaży towaru czy usługi wiąże się z wykonywaniem również innych czynności, np. składania i przyjmowania zamówień, wystawiania protokołów odbioru towaru, itp., wówczas zbiór danych, pozyskanych na te potrzeby, należy zgłosić do GIODO. Nie można uznać, że administrator danych jest zwolniony z tego obowiązku, gdyż wystawienie faktury to końcowy etap realizacji umowy kupna-sprzedaży i jedynie jeden z wielu celów przetwarzania danych.

Program czy platforma służące do wystawiania faktur nie muszą spełniać wymogów ustawy o ochronie danych osobowych. FAŁSZ

Z racji tego, iż faktury zawierają dane osobowe, poza integralnością treści i autentycznością pochodzenia, muszą spełniać również wymagania określone w aktach wykonawczych do ustawy o ochronie danych osobowych. Przede wszystkim wszelkie moduły takiego systemu muszą być zabezpieczone przed nieautoryzowanym dostępem, zarówno na poziomie klienta (aplikacja), jak też serwera (bazy danych) – obowiązek ten wynika z ustawy o ochronie danych osobowych.

Skoro korzystam z bezpiecznego narzędzia do fakturowania, nie muszę szkolić pracowników z zakresu ochrony danych osobowych. FAŁSZ

Szkolenia pracowników to inwestycja w najsłabsze ogniwo systemu ochrony danych osobowych. Jak wskazują badania, blisko 95 proc. przypadków wycieków danych osobowych spowodowane jest błędem ludzkim. Ponadto można przyjąć, że wymóg przeszkolenia pracowników wynika wprost z art. 36 ustawy o ochronie danych osobowych, który stanowi, iż administrator danych osobowych jest zobowiązany zastosować wszelkie dostępne środki techniczne i organizacyjne zapewniające właściwą ochronę przetwarzanych danych. Trudno to zrobić bez właściwego przeszkolenia personelu.

Oprac. AB na podstawie materiałów prasowych