Przedsiębiorca korzystający z Krajowego Systemu e-Faktur pozostaje administratorem danych osobowych swoich kontrahentów i jest zobowiązany do spełnienia wobec nich obowiązku informacyjnego wynikającego z RODO. Ze względu na brak technicznej możliwości zamieszczenia klauzuli informacyjnej w ustrukturyzowanym wzorze e-faktury, obowiązek ten należy zrealizować poza systemem KSeF, na przykład poprzez zawarcie odpowiednich postanowień w umowie, przesłanie klauzuli e-mailem przy nawiązywaniu współpracy lub w ogólnych warunkach świadczenia usług.
Wprowadzenie obowiązku korzystania z Krajowego Systemu e-Faktur (KSeF) rodzi nowe pytania w zakresie obowiązków wynikających z RODO.
Należy przede wszystkim rozróżnić status dwóch administratorów danych w kontekście KSeF. Zgodnie z art. 106nd ustawy o VAT, administratorem danych zawartych w Krajowym Systemie e-Faktur jest Szef Krajowej Administracji Skarbowej. Powyższy przepis nie zwalnia jednak przedsiębiorcy (wystawcy faktury) z jego własnych obowiązków jako administratora danych osobowych swoich kontrahentów. Przedsiębiorca, decydując o celach i sposobach przetwarzania danych osobowych (takich jak imię, nazwisko, adres, NIP osoby fizycznej prowadzącej działalność gospodarczą), które umieszcza na fakturze, jest administratorem tych danych w rozumieniu art. 4 pkt 7 RODO. Przesłanie faktury do KSeF jest jedną z operacji przetwarzania tych danych, realizującą obowiązek prawny wynikający z przepisów podatkowych.
W związku z tym na przedsiębiorcy ciąży obowiązek informacyjny określony w art. 13 lub art. 14 RODO. Zgodnie z tymi przepisami, administrator musi poinformować osobę, której dane dotyczą, między innymi o swojej tożsamości, celach przetwarzania danych, podstawie prawnej, odbiorcach danych oraz o prawach przysługujących tej osobie (prawo dostępu, sprostowania, usunięcia danych itp.).
Kluczowym problemem jest techniczny aspekt realizacji tego obowiązku. Struktura faktury ustrukturyzowanej, zdefiniowana w schemacie logicznym FA VAT udostępnionym przez Ministerstwo Finansów, nie przewiduje dedykowanego pola, w którym można byłoby zamieścić rozbudowaną klauzulę informacyjną RODO. Wszelkie pola w fakturze mają swoje z góry określone przeznaczenie i format, a dodawanie w nich treści informacyjnych mogłoby prowadzić do niezgodności pliku ze wzorcem i odrzucenia faktury przez system. Wobec braku możliwości technicznych umieszczenia obowiązku informacyjnego bezpośrednio w systemie KSeF, administrator (przedsiębiorca) powinien go zrealizować w inny, skuteczny sposób, poza systemem. RODO wymaga, aby informacja została przekazana osobie, której dane dotyczą, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Najwłaściwszym momentem na spełnienie tego obowiązku jest chwila nawiązywania relacji handlowej, jeszcze przed wystawieniem pierwszej faktury lub najpóźniej w chwili jej wystawienia. Rekomendowane metody realizacji obowiązku informacyjnego to:
- Zamieszczenie klauzuli informacyjnej w treści umowy zawieranej z kontrahentem.
- Przekazanie klauzuli w formie załącznika do umowy lub w osobnej wiadomości e-mail podczas ustalania warunków współpracy.
- Włączenie klauzuli do ogólnych warunków umów (OWU) lub regulaminu świadczenia usług, które są akceptowane przez kontrahenta.
- Opublikowanie polityki prywatności na stronie internetowej przedsiębiorcy i zawarcie w komunikacji z kontrahentem (np. w stopce e-mail) odnośnika do tego dokumentu.
Należy podkreślić, że obowiązek informacyjny ma charakter jednorazowy. Jeżeli cele i zakres przetwarzania danych osobowych kontrahenta nie ulegają zmianie, nie ma potrzeby ponawiania klauzuli informacyjnej przy każdej kolejnej wystawianej fakturze. Wystawianie faktur w KSeF jest bowiem kontynuacją pierwotnego celu przetwarzania, którym jest realizacja umowy oraz wypełnienie obowiązków prawnych ciążących na administratorze.
