RODO w KSeF - jak administrator podatnik powinien przygotować się na nowe ryzyka i wymagania?
Wprowadzenie do organizacji Krajowego Systemu e-Faktur (KSeF) stanowi niemałe wyzwanie w zakresie RODO [https://sip.lex.pl/akty-prawne/dzienniki-UE/rozporzadzenie-2016-679-w-sprawie-ochrony-osob-fizycznych-w-zwiazku-z-68636690], ponieważ system ten staje się kanałem masowego przetwarzania danych osobowych. Choć Ministerstwo Finansów zapewnia infrastrukturę techniczną, a administratorem danych osobowych przetwarzanych przez KSeF jest Szef Krajowej Administracji Skarbowej, to podatnik pozostaje administratorem danych osobowych (ADO) wprowadzanych do systemu oraz z niego odbieranych. Oznacza to pełną odpowiedzialność za zgodność z przepisami o ochronie danych, w tym za wdrożenie odpowiednich środków technicznych i organizacyjnych służących bezpieczeństwu danych i zapewnieniu zgodności z RODO. Na fakturach przetwarzane będą nie tylko dane firm, ale także dane osób fizycznych prowadzących JDG, pracowników, przedstawicieli stron oraz klientów indywidualnych.
Obowiązki administratora w KSeF
Administrator danych musi oprzeć przetwarzanie na właściwej podstawie prawnej – w przypadku KSeF jest to obowiązek prawny ciążący na administratorze wskazany w art. 6 ust. 1 lit. c RODO. Administrator‑podatnik musi także przeprowadzić rzetelną analizę ryzyka (zgodnie z art. 32 RODO), która powinna objąć proces zarządzania uprawnieniami i integrację systemów ERP z KSeF. Przy dużej skali operacji konieczne może być również przeprowadzenie oceny skutków dla ochrony danych (DPIA). Kolejnym krokiem jest aktualizacja Rejestru Czynności Przetwarzania (RCP), w którym należy wyodrębnić nowe procesy, takie jak zarządzanie dostępami do KSeF, archiwizacja e‑faktur oraz monitorowanie bezpieczeństwa systemu.
Nowym elementem systemu, na który należy zwrócić szczególną uwagę w kontekście RODO, jest aplikacja mobilna KSeF. Administrator może za jej pośrednictwem przetwarzać dane, co umożliwia sprawne zarządzanie fakturami, nabywcami oraz rachunkami bankowymi. Należy jednak pamiętać, że każdy użytkownik aplikacji musi posiadać stosowne uprawnienia do korzystania z aplikacji.
Rola inspektora ochrony danych w KSeF
Inspektor ochrony danych (IOD) w kontekście KSeF skupia się na wsparciu administratora‑podatnika przy potwierdzeniu podstaw prawnych przetwarzania oraz aktualizacji kluczowej dokumentacji, w tym rejestru czynności przetwarzania, klauzul informacyjnych i polityki retencji danych. IOD powinien aktywnie uczestniczyć w analizie ryzyka, opiniować procedury nadawania uprawnień oraz oceniać bezpieczeństwo korzystania z aplikacji mobilnej. Do jego istotnych zadań należy również przegląd umów powierzenia z biurami rachunkowymi czy dostawcami IT oraz uwzględnienie specyfiki KSeF w rocznych planach kontroli i szkoleń, ze szczególnym uwzględnieniem zasady minimalizacji danych, bezpieczeństwa loginów i procedur zgłaszania naruszeń.
Obowiązek informacyjny związany z KSeF
Klauzule informacyjne wymagają również aktualizacji, tak aby uwzględniały KSeF jako nowe narzędzie przetwarzania danych oraz wskazywały dodatkowych odbiorców, w tym organy państwowe, takie jak sądy, prokuratura czy organy egzekucyjne. W obszarze operacyjnym ADO musi zadbać o formalne nadanie upoważnień do przetwarzania danych osobom obsługującym system oraz prowadzenie ich ewidencji. Jeśli organizacja korzysta z biura rachunkowego, konieczna jest ponowna weryfikacja tego podmiotu pod kątem bezpieczeństwa oraz ewentualne aneksowanie umowy powierzenia przetwarzania danych.
W kontekście przechowywania danych należy pamiętać, że choć system KSeF archiwizuje faktury przez 10 lat, administrator‑podatnik musi monitorować terminy przedawnienia zobowiązań podatkowych. Jeśli okres ten jest dłuższy niż retencja w systemie, na podatniku spoczywa obowiązek przechowywania faktur poza KSeF.
Więcej o przetwarzaniu danych osobowych i praktycznych wskazówkach w kontekście wprowadzenia KSeF pisze Joanna Łukaszyk w nowym komentarzu praktycznym "KSeF a RODO – nowe wyzwania w ochronie danych osobowych - przegląd obowiązków ciążących na ADO i IOD" dostępnym w LEX.
