W dzisiejszych czasach prowadzenie firmy jest niełatwym wyzwaniem. Zmieniające się przepisy stanowią ciągłe wyzwanie dla osób pracujących w firmie, szczególnie dla osób na stanowisku kadrowym bądź księgowym. Proces wdrażania nowych technologii w firmie jest jej nieodłączną częścią. Co raz to nowe programy stanowią spore ułatwienie i usprawnienie w firmie, ale również wiążą się z koniecznością dokształcania przez pracowników.
Nieodzownym elementem w działalności firmy stanowią faktury w szczególności firmach zajmujących się sprzedażą towarów lub świadczeniem usług. Tego typu dokument w każdej firmie istnieje od dawna, natomiast z czasem faktury nabrały również formy elektronicznej. Należy również zaznaczyć fakt, że w związku z wejściem w życie RODO znaczenie bezpieczeństwa danych zawartych na fakturze oraz forma ich przetwarzania nabrała nowego znaczenia.
Każda firma w swojej działalności dokonuje transakcji opodatkowanej podatkiem od towarów i usług. Dokumentem podstawowym potwierdzającym taką transakcję jest faktura.
Każda faktura według ustawy z dnia 11 marca 2004 roku o podatku od towarów i usług powinna zawierać następujące informacje:
- imiona i nazwiska podatnika i nabywcy oraz ich adresy
- numer NIP lub KRS podatnika oraz nabywcy
- jeżeli jest taka konieczność imię, nazwisko, adres oraz NIP luk KRS przedstawiciela podatkowego
Przez dane osobowe należy rozumieć wszelkiego rodzaju informację dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Dane osobowe znajdujące się na fakturach należą do przedsiębiorców. Stronami umowy mogą być osoby fizyczne, spółki cywilne, osoby prawne lub tzw. ułomne osoby prawne czyli: spółki partnerski, spółki jawne, spółki komandytowe oraz komandytowo-akcyjne. Mogą to być również stowarzyszenia czy wspólnoty mieszkańców. W związku z tym, że jawne i powszechnie dostępne są rejestry CEIDG oraz KRS można by wysnuć wniosek, że dane te nie podlegają RODO. Faktycznie dane osób prawnych takie jak dane o firmie, forma osoby prawnej czy dane kontaktowe nie podlegają Rozporządzeniu o Ochronie Danych Osobowych, natomiast wyjątkiem są dane osób fizycznych prowadzący jednoosobową działalność gospodarczą. Mówi o tym motyw 14 RODO, który zakłada, że tego typu dane należy chronić. Dodatkowo ochronie podlegają dane osoby fizycznej jako strony umowy znajdującej się na fakturze oraz dane spółki cywilnej osób fizycznych.
Obecnie firmy wykorzystują zaawansowane narzędzia – programy do fakturowania. Mogą one działać np. w systemie chmurowym lub jako aplikacja. Często zdarza się tak, że łączą się one z bazą danych firmy gdzie pozyskują dane kontrahentów jak również i klientów danej firmy. Dochodzi wówczas do zaawansowanego procesu przetwarzania danych osobowych. W związku z tym należy zwrócić szczególną uwagę na fakt, że tak duże ilości danych powinny być zabezpieczone w odpowiedni sposób. Firma korzystająca z danej platformy powinna sprawdzić czy dany program spełniają normy zgodne z RODO oraz czy dany operator zapewnia odpowiednie zabezpieczenia organizacyjne oraz techniczne.
Do tego typu środków możemy zaliczyć:
- uwierzytelnianie
- nadawanie odpowiednich uprawnień
- możliwość kasowania danych w przypadku awarii dysku
- zabezpieczenia w formie programu antywirusowego
- ustawienie firewalla
- regularną konserwację systemu
- przeprowadzanie regularnych testów bezpieczeństwa
- regularne szkolenie pracowników
Tego typu programy mogą działać jako osobni administratorzy lub jako podmioty przetwarzające dane osobowe. Niezwykle ważne jest wypełnienie obowiązków wynikających z RODO w relacji administrator do administratora lub zawarcie odpowiedniej umowy powierzenia między administratorem a podmiotem przetwarzającym.
Może również dojść do sytuacji, że dane konkretnej firmy zostaną wytransferowanie poza UE/EOG. Dlatego istotne jest uwzględnić regulacje i zasady międzynarodowego transferu danych przy pomocy mechanizmów jakie przewiduje RODO czyli np. odpowiednie certyfikacje czy klauzule umowne. Ważne jest aby każdy użytkownik programu do obsługi faktur znał swoje prawa oraz zasady przetwarzania danych zawartych w oprogramowaniu z którego korzysta.
Jeżeli dana firma wystawia fakturę dla jednoosobowej działalności gospodarczej musi automatycznie pozyskać odpowiednie dane. Dochodzi wówczas to początkowego etapu przetwarzania danych czyli ich gromadzenia. W związku z tym działając w oparciu o artykuł 13 RODO firma powinna spełnić obowiązek informacyjny.
Składać się on powinien z następujących składowych:
- dane Administratora Danych Osobowych
- dane Inspektora Danych Osobowych
- podstawa prawna przetwarzania danych osobowych oraz cele przetwarzania
- informacje o odbiorcach danych osobowych
- jeżeli zachodzi konieczność przekazania danych to państw trzecich ADO powinien o tym poinformować
- okres przechowywani danych
- informacje dotyczące praw osób do których dane należą
Fakturowanie jest nieodłącznym elementem prowadzenia działalności gospodarczej w Polsce. Należy pamiętać, że są podmioty, których dane na fakturach podlegają ochronie RODO. Należy o to zadbać i nie dopuścić by dane potencjalnego klienta zostały udostępnione stroną do tego nieupoważnionym. Jeżeli by tak się jednak stało nieocenioną pomocą może być usługa Inspektora Ochrony Danych Osobowych. Firma PHU ELKA świadczy usługę zewnętrznego IOD-a. Wiedza oraz szerokie kompetencje specjalistów z działu ODO grupy ELKA mogą wspomóc firmę w zakresie ochrony danych osobowych.