Dane osobowe w fakturze. Co wolno a czego nie.

Dane osobowe w fakturze. Co wolno a czego nie.

Faktura to dokument prawny, księgowy i – przy odrobinie nieuwagi – źródło wycieku danych osobowych albo przynajmniej problemu. Szczególnie gdy opis usługi mówi więcej niż powinien.


Faktura wydaje się najprostszym dokumentem w firmie.

Wystawiasz. Wysyłasz. Archiwizujesz. Przez pięć lat. Temat zamknięty.

Problem polega na tym że faktura zawiera dane osobowe – i to często więcej niż powinna. A w dobie KSeF który cyfryzuje i centralizuje cały obieg faktur w Polsce – każda nadmiarowa informacja w opisie usługi przestaje być lokalną wpadką i staje się trwałym rekordem w systemie państwowym.

Zanim dojdziemy do KSeF – zacznijmy od fundamentu który wiele firm ignoruje.


JDG i spółka cywilna. Faktura wystawiona osobie fizycznej – nawet jeśli wygląda inaczej.

Gdy wystawiasz fakturę spółce z o.o. – wystawiasz ją podmiotowi który ma osobowość prawną. Spółka istnieje jako byt prawny oddzielny od swoich wspólników i pracowników. Dane na fakturze to dane firmy – NIP, nazwa, adres siedziby.

Gdy wystawiasz fakturę jednoosobowej działalności gospodarczej – sytuacja jest fundamentalnie inna.

JDG nie ma osobowości prawnej. Jan Kowalski prowadzący "Usługi Informatyczne Jan Kowalski" i Jan Kowalski człowiek to ta sama osoba. NIP który widnieje na fakturze to NIP Jana Kowalskiego osoby fizycznej. Adres który podaje to często adres jego zamieszkania. Imię i nazwisko na fakturze to imię i nazwisko człowieka – nie abstrakcyjnego podmiotu gospodarczego.

To samo dotyczy spółki cywilnej. Spółka cywilna nie ma osobowości prawnej. Jej wspólnicy – jako osoby fizyczne – są stroną każdej umowy i każdej faktury wystawionej na tę spółkę. Ich dane osobowe widnieją w dokumencie. RODO ich chroni.

Oznacza to że faktura wystawiona na JDG lub spółkę cywilną to dokument zawierający dane osobowe w rozumieniu RODO. I wszystkie obowiązki które z tego wynikają – podstawa prawna przetwarzania, obowiązek informacyjny, zasada minimalizacji, okres przechowywania – dotyczą Ciebie jako wystawcy tej faktury.

To nie jest pierwszy raz gdy JDG wpada w tę pułapkę. Widzieliśmy ją przy umowach B2B, przy marketingu, przy rekrutacji. Faktura jest kolejnym miejscem gdzie brak osobowości prawnej sprawia że przepisy o ochronie danych wchodzą tam gdzie intuicja biznesowa ich nie spodziewa.


Problem drugi i bardziej zaskakujący: zbyt szczegółowy opis usługi

Tu zaczyna się część której nikt nie omawia.

Większość dyskusji o danych osobowych na fakturach dotyczy tego czy dane nabywcy są właściwe. Nikt nie rozmawia o tym co jest w opisie usługi.

A powinien.

Faktura wystawiona firmie lub osobie prywatnej może zawierać w polu "opis usługi" informacje które absolutnie nie powinny być w dokumencie finansowym krążącym przez systemy księgowe, biura rachunkowe, archiwa i teraz – przez KSeF.

Przykłady z życia:

"Konsultacja psychologiczna – sesja nr 3" zamiast "usługa konsultacyjna."

"Badanie okulistyczne Marka Kowalskiego" zamiast "usługa medyczna" lub numeru zlecenia.

"Porada prawna w sprawie rozwodowej" zamiast "usługa prawna."

"Dieta ketogeniczna – plan żywieniowy dla Jana" zamiast "usługa dietetyczna."

Każdy z tych opisów zawiera informację o stanie zdrowia, sytuacji prawnej lub prywatnych okolicznościach konkretnej osoby. Informację która trafia do dokumentu finansowego – a przez to do biura rachunkowego, do systemu finansowo-księgowego, do archiwum dostawcy i odbiorcy, i od niedawna do KSeF.

To są dane szczególnej kategorii w rozumieniu art. 9 RODO – dane dotyczące zdrowia, danych genetycznych czy życia seksualnego podlegają wzmocnionej ochronie. Ich przetwarzanie wymaga szczególnej podstawy prawnej której wystawienie faktury z nadmiarowym opisem z całą pewnością nie zapewnia.

Ale nawet dane które nie wpadają w art. 9 są problematyczne gdy są nadmiarowe. "Naprawa roweru Piotra Wiśniewskiego zakupionego 15 marca 2019 w sklepie X" to opis który mówi znacznie więcej niż cel wystawienia faktury wymaga.

Zasada minimalizacji danych z art. 5 RODO jest prosta: zbieraj tylko to co niezbędne do celu. Cel faktury to udokumentowanie transakcji finansowej. Do tego celu wystarczy rodzaj usługi i numer zlecenia. Imię pacjenta i diagnoza – nie są do tego celu niezbędne.


KSeF zmienia stawkę

Przed KSeF nadmiarowy opis usługi na fakturze był problemem – ale stosunkowo ograniczonym. Faktura krążyła między stronami transakcji i ich biurami rachunkowymi.

KSeF – Krajowy System e-Faktur – centralizuje ten obieg. Każda faktura ustrukturyzowana trafia do systemu prowadzonego przez Krajową Administrację Skarbową. Dane są tam przechowywane przez 10 lat.

Oznacza to że każda informacja wpisana w pole opisu usługi – w tym te nadmiarowe, te dotyczące stanu zdrowia, te identyfikujące konkretne osoby fizyczne po imieniu i nazwisku – trafia do centralnego systemu państwowego i zostaje tam przez dekadę.

Skala problemu rośnie nieproporcjonalnie. To co było lokalną wpadką w archiwum jednej firmy staje się trwałym rekordem w systemie który obsługuje miliony faktur rocznie.

Dobra praktyka jest tu prosta: opis usługi powinien identyfikować rodzaj i zakres transakcji – nie osobę której dotyczyła usługa ani szczegółów jej sytuacji zdrowotnej, prawnej czy prywatnej. Numer zlecenia, numer umowy, kod usługi – to są właściwe identyfikatory. Imię i diagnoza – nie.


Jak długo przechowujesz fakturę i czy musisz ją usunąć na żądanie

Tu pojawia się pytanie które regularnie generuje zamieszanie.

Jan Kowalski z JDG po zakończeniu współpracy składa wniosek o usunięcie jego danych osobowych na podstawie art. 17 RODO – prawo do bycia zapomnianym. Chce żebyś usunął faktury które zawierają jego dane.

Czy musisz to zrobić?

Nie.

I to jest jeden z rzadkich przypadków gdzie odpowiedź jest jednoznaczna.

Art. 17 ust. 3 lit. b RODO wprost wyłącza prawo do usunięcia danych gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku. Przechowywanie faktur przez określony czas to obowiązek wynikający z przepisów podatkowych i rachunkowych. Ordynacja podatkowa i ustawa o rachunkowości określają okresy przez które dokumentację finansową musisz zachować – i te okresy wynoszą co do zasady 5 lat licząc od końca roku kalendarzowego w którym upłynął termin płatności podatku.

Jan może złożyć wniosek. Ma do tego prawo. Ty masz obowiązek na niego odpowiedzieć – w ciągu miesiąca, na piśmie. Ale odpowiedź brzmi: nie mogę usunąć tych danych bo ciąży na mnie obowiązek prawny ich przechowywania przez określony czas. Po upływie tego okresu dane zostaną usunięte zgodnie z przyjętą polityką retencji.

To jest jeden z przypadków gdzie prawo do bycia zapomnianym zderza się z obowiązkiem prawnym i obowiązek wygrywa. Warto to rozumieć – bo zarówno osoby fizyczne które składają wnioski jak i firmy które je otrzymują często nie wiedzą że taka odpowiedź jest nie tylko dopuszczalna ale wręcz wymagana.

Faktura to nie jest dokument który możesz usunąć na życzenie. Jest dokumentem który musisz przechowywać tak długo jak nakazuje prawo – i który powinieneś usunąć gdy ten obowiązek wygasa.


Praktyczna checklista dla wystawiającego faktury

Gdy wystawiasz fakturę osobie fizycznej prowadzącej JDG lub wspólnikom spółki cywilnej – pamiętaj że przetwarzasz dane osobowe. Masz obowiązek informacyjny z art. 13 RODO który powinieneś zrealizować przy pierwszej transakcji. Najwygodniej w regulaminie usług lub w osobnej klauzuli informacyjnej przekazanej przed wystawieniem pierwszej faktury.

Sprawdź opis usługi zanim wyślesz fakturę. Czy zawiera imię i nazwisko osoby fizycznej której usługa dotyczyła? Czy zawiera informacje o jej stanie zdrowia, sytuacji prawnej lub innych prywatnych okolicznościach? Jeśli tak – zastąp to numerem zlecenia lub ogólnym opisem rodzaju usługi.

Zdefiniuj okres retencji faktur w swojej polityce przetwarzania danych. Nie "przechowujemy przez wymagany okres" – tylko konkretnie ile lat i od kiedy liczysz ten okres.

Gdy dostaniesz wniosek o usunięcie danych od kontrahenta będącego JDG – odpowiedz w ciągu miesiąca. Wyjaśnij że faktury są przechowywane z uwagi na obowiązek prawny i wskaż kiedy ten obowiązek wygasa.

Jeśli korzystasz z KSeF lub przygotowujesz się do jego wdrożenia – przejrzyj szablony faktur i standardowe opisy usług których używasz. To co wchodzi do KSeF zostaje tam przez 10 lat.


Faktura to nie jest neutralny dokument

Myślenie o fakturze jako o "tylko dokumencie finansowym" jest wygodne i zrozumiałe. Problem polega na tym że RODO nie dzieli dokumentów na finansowe i osobowe. Dzieli dane na osobowe i nieosobowe.

Imię i nazwisko Jana Kowalskiego na fakturze jest daną osobową niezależnie od tego że faktura jest dokumentem finansowym. Informacja że Jan Kowalski miał badanie okulistyczne jest daną dotyczącą zdrowia niezależnie od tego że pojawia się w polu opisu usługi.

I w dobie KSeF ta informacja zostaje w centralnym systemie przez dekadę.

Numer zlecenia robi tę samą robotę co imię i diagnoza – identyfikuje transakcję dla celów księgowych. Tylko że nie mówi nic o człowieku.

Warto wybrać numer zlecenia.


Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.