iSecure logo
  • pl
  • en
    • Blog

    KSeF a RODO – nowe wyzwania w ochronie danych osobowych

    Maria Lothamer
    Kategorie

    Wraz z obowiązkowym wdrożeniem Krajowego Systemu e-Faktur (KSeF) od 2026 roku przedsiębiorcy staną przed nie tylko podatkową, ale przede wszystkim organizacyjną i prawną zmianą w obszarze ochrony danych osobowych.

    KSeF, jako centralny system zarządzany przez Ministerstwo Finansów, stanie się nowym i istotnym procesem przetwarzania danych – obejmującym dane setek tysięcy osób fizycznych prowadzących działalność gospodarczą.

    Dane osobowe w KSeF – co naprawdę trafia do systemu

    Choć faktura jest dokumentem księgowym, w wielu przypadkach zawiera dane pozwalające na identyfikację osoby fizycznej. Dotyczy to w szczególności jednoosobowych działalności gospodarczych, gdzie dane przedsiębiorcy są jednocześnie danymi osobowymi w rozumieniu art. 4 pkt 1 RODO.

    W KSeF przekazywane będą m.in.:

    • imię i nazwisko przedsiębiorcy,
    • adres prowadzenia działalności,
    • numer NIP,
    • dane kontaktowe (jeśli widnieją na fakturze).

    Te dane – po przesłaniu faktury – trafiają do centralnej bazy Ministerstwa Finansów, gdzie będą przechowywane przez okres 10 lat.

    KSeF w rejestrze czynności przetwarzania (RCP)

    Z punktu widzenia ochrony danych osobowych, wprowadzenie KSeF wymaga aktualizacji wewnętrznej dokumentacji RODO.

    Każdy przedsiębiorca powinien w swoim Rejestrze Czynności Przetwarzania (RCP) ująć nową pozycję: „Przetwarzanie danych osobowych w związku z wystawianiem i przesyłaniem faktur ustrukturyzowanych w systemie KSeF”.

    W tym dokumencie należy określić m.in.:

    • cel przetwarzania (wypełnienie obowiązków podatkowych),
    • kategorie osób, których dane dotyczą (kontrahenci, osoby reprezentujące kontrahentów),
    • zakres danych,
    • podstawę prawną (art. 6 ust. 1 lit. c RODO – obowiązek prawny),
    • okres przechowywania (zgodnie z przepisami podatkowymi – 10 lat),
    • odbiorców danych (Ministerstwo Finansów, ewentualnie biuro rachunkowe).

    Dualizm administratorów danych – kto za co odpowiada?

    W systemie KSeF występuje dwupoziomowa odpowiedzialność za dane:

    • Przedsiębiorca (wystawca faktury) – pełni rolę administratora danych swoich kontrahentów, odpowiadając za zgodność procesu fakturowania z RODO w obrębie własnej organizacji (np. kto ma dostęp do faktur, jak są one przesyłane, czy dane są poprawne).
    • Ministerstwo Finansów – pełni rolę odrębnego administratora danych, przetwarzając dane w systemie centralnym w oparciu o ustawowy obowiązek.

    Ten model oznacza, że nie ma tu klasycznego powierzenia danych, lecz dwóch niezależnych administratorów, z których każdy odpowiada za własną sferę przetwarzania.

    Ryzyka z perspektywy RODO

    Centralizacja danych w KSeF generuje szereg potencjalnych zagrożeń dla prywatności i bezpieczeństwa informacji. Do najczęściej wskazywanych należą:

    • ryzyko nadmiernego dostępu – zbyt szeroki krąg pracowników uprawnionych do podglądu lub pobierania faktur,
    • brak kontroli nad uprawnieniami po stronie przedsiębiorcy (np. byłych pracowników, biur rachunkowych),
    • niewystarczające procedury reagowania na incydenty,
    • błędy ludzkie podczas wprowadzania lub pobierania danych,
    • możliwość nieuprawnionego ujawnienia danych osobom trzecim.

    Z punktu widzenia RODO kluczowe jest, aby przedsiębiorca mógł wykazać, że podjął odpowiednie środki techniczne i organizacyjne, zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO).

    Jak przygotować firmę do KSeF w świetle RODO?

    Przygotowanie do obowiązkowego korzystania z KSeF powinno obejmować nie tylko wdrożenie rozwiązań informatycznych, ale również aktualizację procedur ochrony danych.

    Rekomendowane działania to:

    • aktualizacja dokumentacji – wprowadzenie nowego procesu do RCP i polityki ochrony danych,
    • nadanie uprawnień dostępu według zasady minimalizacji – dostęp do faktur tylko dla osób, którym jest on niezbędny,
    • wprowadzenie rejestru uprawnień do KSeF – ewidencjonowanie, kto ma dostęp do systemu i w jakim zakresie,
    • przeszkolenie personelu – zwłaszcza działów księgowych, administracyjnych i współpracujących biur rachunkowych,
    • wdrożenie procedury reagowania na incydenty – obejmującej sposób postępowania w przypadku naruszenia ochrony danych,
    • zawarcie umów powierzenia przetwarzania danych z podmiotami, które pomagają w obsłudze faktur (np. biura rachunkowe, operatorzy IT),
    • okresowy przegląd bezpieczeństwa – weryfikacja konfiguracji kont, certyfikatów i systemów komunikacji z KSeF.

    Podstawa prawna przetwarzania danych w KSeF

    Wystawianie i przekazywanie faktur ustrukturyzowanych odbywa się na podstawie przepisów prawa podatkowego. Dlatego podstawą prawną przetwarzania danych osobowych w tym procesie jest art. 6 ust. 1 lit. c RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Nie ma więc potrzeby uzyskiwania zgody od osób, których dane widnieją na fakturze. Przedsiębiorca jednak ma obowiązek poinformować kontrahentów o przetwarzaniu danych – może go realizować np. poprzez klauzulę RODO w umowie lub na fakturze.

    Wnioski

    Wdrożenie KSeF to nie tylko zmiana technologiczna w fakturowaniu, ale nowy, długoterminowy proces przetwarzania danych osobowych, który musi być ujęty w systemie ochrony danych każdej firmy. Warto potraktować KSeF jako okazję do uporządkowania polityk ochrony danych, weryfikacji dostępów i przeszkolenia personelu, zanim system stanie się obowiązkowy. Dobrze przygotowana organizacja nie tylko uniknie ryzyka naruszeń RODO i potencjalnych kar, ale też zyska lepszą kontrolę nad przepływem danych – co w dobie cyfryzacji staje się jednym z filarów odpowiedzialnego zarządzania przedsiębiorstwem.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Olga Skotnicka

    Czy pracownicy ochrony mogą żądać okazania dokumentu tożsamości w celu weryfikacji gościa?

    Niewątpliwie, każdy z nas miał sytuację, w której to został poproszony o wylegitymowanie się dokumentem tożsamości – w celu weryfikacji zgodności danych osobowych. Mimo, że RODO obowiązuje od 2018 roku – znaczenie i stopień zagrożenia związany z przekazywaniem / udostępnianiem danych osobowych jest nadal na przeciętnym poziomie.  Z łatwością mogłabym wskazać osoby, które w takiej […]

    Czytaj więcej
    Agnieszka Dominiak

    Retencja w rekrutacji, czyli o usuwaniu danych kandydatów do pracy

    W grudniowym wpisie Katarzyna Ułasiuk-Delamare opracowała obszerne podsumowanie zagadnień związanych z ochroną danych osobowych w procesach rekrutacyjnych. Dzisiaj rozszerzę wątek, któremu poświęcony został ostatni akapit tego opracowania, mianowicie: usuwanie danych osobowych w procesach rekrutacyjnych. Obowiązek ograniczonego przetwarzania danych osobowych wynika wprost z przepisów RODO, tj. artykułu 5 oraz motywu 39, których fragmenty brzmią jak poniżej: […]

    Czytaj więcej
    Bartosz Migas

    Badanie pracowników na obecność koronawirusa zgodne z RODO – COVID-19

    Pandemia COVID-19 nie odpuszcza, dlatego też wielu pracodawców, chcąc chronić życie i zdrowie swoich pracowników, decyduje się na zorganizowanie badań pod kątem zakażenia koronawirusem.  Czy pracodawca może zobowiązać pracownika do udziału w takich badaniach? Czy może pozyskać wyniki po badaniu? Poniższa infografika odpowiada na te i inne pytania, które pomogą pracodawcom w bieżącej działalności. Zwłaszcza […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki