Od 2026 roku przedsiębiorcy będą musieli wdrożyć Krajowy System e-Faktur (KSeF), co wiąże się z istotnymi zmianami organizacyjnymi i prawnymi w zakresie ochrony danych osobowych.KSeF, zarządzany centralnie przez Ministerstwo Finansów, stanie się kluczowym procesem przetwarzania danych, obejmującym informacje setek tysięcy osób fizycznych prowadzących działalność gospodarczą.
Faktura, choć jest dokumentem księgowym, w wielu przypadkach zawiera dane umożliwiające identyfikację osób fizycznych. Dotyczy to głównie jednoosobowych działalności gospodarczych, gdzie dane przedsiębiorcy są również danymi osobowymi zgodnie z definicją w art. 4 pkt 1 RODO.W KSeF będą przekazywane m.in.:
Te informacje zostaną przesłane do centralnej bazy Ministerstwa Finansów, gdzie będą przechowywane przez 10 lat.
KSeF w rejestrze czynności przetwarzania (RCP)
W kontekście ochrony danych osobowych, wprowadzenie KSeF wymaga aktualizacji dokumentacji RODO.Każdy przedsiębiorca powinien dodać do swojego Rejestru Czynności Przetwarzania nową pozycję: „Przetwarzanie danych osobowych związane z wystawianiem i przesyłaniem faktur ustrukturyzowanych w systemie KSeF”.W dokumencie należy określić:
Odpowiedzialność administratorów danych
W systemie KSeF występuje podział odpowiedzialności za dane:
Przedsiębiorca (wystawca faktury) – pełni rolę administratora danych swoich kontrahentów i odpowiada za zgodność procesu fakturowania z RODO w swojej organizacji.
Ministerstwo Finansów – działa jako odrębny administrator danych, przetwarzając dane w systemie centralnym na podstawie ustawowego obowiązku.
Ryzyka związane z RODO
Centralizacja danych w KSeF stawia przed przedsiębiorcami szereg wyzwań dotyczących prywatności i bezpieczeństwa informacji. Najważniejsze ryzyka to:
Kluczowe jest, aby przedsiębiorca wykazał, że podjął odpowiednie środki techniczne i organizacyjne zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO).Przygotowanie firmy do KSeF w kontekście RODO
Aby przygotować się do obowiązkowego korzystania z KSeF, przedsiębiorcy powinni nie tylko wdrożyć odpowiednie rozwiązania informatyczne, ale także zaktualizować procedury ochrony danych.
Rekomendowane działania to:
Podstawa prawna przetwarzania danych w KSeF
Wystawianie i przesyłanie faktur ustrukturyzowanych odbywa się na podstawie przepisów prawa podatkowego. Podstawą prawną przetwarzania danych osobowych w tym procesie jest art. 6 ust. 1 lit. c RODO – przetwarzanie niezbędne do wypełnienia obowiązku prawnego.
Nie ma potrzeby uzyskiwania zgody od osób, których dane są na fakturze, ale przedsiębiorca musi poinformować kontrahentów o przetwarzaniu danych, np. poprzez klauzulę RODO w umowie lub na fakturze.
Wdrożenie KSeF to nie tylko zmiana technologiczna w fakturowaniu, ale również nowy, długoterminowy proces przetwarzania danych osobowych, który powinien być uwzględniony w systemie ochrony danych każdej firmy. KSeF może być okazją do uporządkowania polityk ochrony danych, weryfikacji dostępów oraz przeszkolenia personelu, zanim system stanie się obowiązkowy.
Odpowiednie przygotowanie organizacji pomoże uniknąć ryzyka naruszeń RODO i potencjalnych kar, a także umożliwi lepszą kontrolę nad przepływem danych, co w dobie cyfryzacji staje się kluczowe dla odpowiedzialnego zarządzania przedsiębiorstwem.
Jakie elementy procedury przy wdrożeniu KSeF musi mieć firma?
Niezmiennie od 25 maja 2018 roku, kązda firma musi mieć strukture procedur – rekomendujemy dokumentację RBDO, którą moższe nabyć w cenie 199 zł na stronie:
https://rbdo.com.pl/sklep/produkt/dokumentacja-przetwarzania-danych-osobowych
Otrzymasz materiały do kompleksowej adaptacji:
1. POLITYKA BEZPIECZEŃSTWA DANYCH ZGODNA Z UE RODO
I. INWENTARYZACJA ZASOBÓW INFORMACYJNYCH
II. INWENTARYZACJA ZASOBÓW INFORMATYCZNYCH
III. ANALIZĘ RYZYKA I WYBÓR ZABEZPIECZEŃ
IV. REALIZOWANIE OBOWIĄZKÓW INFORMACYJNYCH
V. GOTOWOŚĆ DO REALIZACJI UPRAWNIEŃ OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE
VI. NADAWANIE UPOWAŻNIEŃ DO PRZETWARZANIA DANYCH
VII. POWIERZANIE PRZETWARZANIA DANYCH OSOBOWYCH
VIII. NARUSZENIA OCHRONY DANYCH
IX. MONITOROWANIE I SPRAWDZANIE według najnowszych przepisów
Załączniki do Plityki Bezpieczeństwa, stanowiące strukturę właściwej procedury:
Załącznik nr 1 – Wzór inwentaryzacji zasobów informacyjnych (z przykładowym uzupełnieniem) Część II, § 1-4
Załącznik nr 1a – Pomocniczy wzór tabeli do inwentaryzacji zasobów informacyjnych Część II, § 1-4
Załącznik nr 2 – Wzór ewidencji zawartych umów powierzenia przetwarzania Część II, § 4
Załącznik nr 3 – Wzór rejestru czynności przetwarzania Część II, § 5 + PRZYKŁADY UZUPEŁNIENIA
Załącznik nr 3a – Wzór* rejestru wszystkich kategorii czynności przetwarzania Część II, § 5
Załącznik nr 4 – Wzór wykazu obszaru przetwarzania Część II, § 6
Załącznik nr 5 – Wzór wykazu przetwarzanych zbiorów danych osobowych Część II, § 6
Załącznik nr 6 – Wzór inwentaryzacji zasobów informatycznych Część III, § 3
Załącznik nr 7 – Metodologia szacowania ryzyka (Ogólne szacowanie ryzyka) Część IV, § 3
Załącznik nr 7a – Tabela I scenariusze dla dokumentów tradycyjnych Część IV, § 3
Załącznik nr 7b – Tabela II scenariusze dla dokumentów tradycyjnych Część IV, § 3
Załącznik nr 7c – Tabela III scenariusze dla dokumentów elektronicznych Część IV, § 3
Załącznik nr 7d – Tabela IV scenariusze dla dokumentów elektronicznych Część IV, § 3
Załącznik nr 7e – Wzór protokołu szacowania ryzyka dla dokumentów tradycyjnych Część IV, § 3
Załącznik nr 7f – Wzór protokołu szacowania ryzyka dla dokumentów elektronicznych Część IV, § 3
Załącznik nr 7g –Przykład Tabela I scenariusze dla dokumentów tradycyjnych Część IV, § 3
Załącznik nr 7h – Przykład Tabela II scenariusze dla dokumentów tradycyjnych
Załącznik nr 7i – Przykład Tabela III scenariusze dla dokumentów elektronicznych Część IV, § 3
Załącznik nr 7j – Przykład Tabela IV scenariusze dla dokumentów elektronicznych Część IV, § 3
Załącznik nr 7k – Przykładowy protokół szacowania ryzyka dla dokumentacji tradycyjnej Część IV, § 3
Załącznik nr 8 – Przykład Wzór klauzuli informacyjnej Część V, § 2
Załącznik nr 9 – Wzór dokumentu zawierającego wyciąg z podstawowych zasad zabezpieczenia danych i zgłaszania naruszeń Część VIII, § 1; Część I, § 7
Załącznik nr 10 – Wzór oświadczenia dla osób upoważnionych Część I, § 7
Załącznik nr 11 – Wzór upoważnienia do przetwarzania Część I, § 7
Załącznik nr 11a – Wzór ewidencji osób upoważnionych do przetwarzania Część I, § 8
Załącznik nr 12 – Wzór upoważnienia dla pełnomocnika ds. danych osobowych Część I, § 2-3
Załącznik nr 12a – Wzór upoważnienia
Załącznik 13 – Procedura Naruszeniowwa
Załącznik 14 – Wzory protokołó naruszeniowych
Ochrona za błędy i kary skarbowe
Zabezpieczenie Podmiotu oraz Kadry Kierowniczej przed odpowiedzialnością z tytułu uchybień i kar administracyjnych, związanych z realizacją obowiązków wdrożeniowych KSeF i wielu innych ryzyk.
Możliwość pokrycia pełnej odpowiedzialności za uchybienia karno-skarbowe dla członków Zarządu, osób z działów ksiegowośi i finansów.
Pokrycie kar nałożonych przez Szefa Krajowej Administracji Karno Skarbowej
Szeroka ochrona przez karami wobec podmiotów trzecich i roszczeń ze strony pracowników, PIP i innych instytucji
Więcej o ochronie dowiesz sie pod mail: biuro@rbdo.pl