Wdrożenie Krajowego Systemu e-Faktur (KSeF) nie znosi obowiązków z RODO — przeciwnie, poszerza zakres odpowiedzialności administratorów danych. Wraz z nowym sposobem rozliczeń pojawiają się wyzwania w obszarze ochrony danych osobowych, a zlekceważenie wymogów może skutkować poważnymi konsekwencjami prawnymi.
W tym opracowaniu wyjaśniamy, jakie dane osobowe trafiają do KSeF, kto i za co odpowiada, na jakiej podstawie prawnej odbywa się przetwarzanie oraz jakie działania należy podjąć, by zachować pełną zgodność z RODO.
RODO nie znika z wdrożeniem KSeF
Pierwsza i najważniejsza zasada: obowiązkowość KSeF w żaden sposób nie zwalnia firm z wymogów RODO. Podatnik, mimo ustawowego obowiązku korzystania z systemu, pozostaje administratorem danych osobowych i odpowiada za ich ochronę.
W praktyce KSeF tworzy nowy kanał przetwarzania danych osobowych, który musi być ujęty w dokumentacji ochrony danych (politykach, rejestrach i procedurach). To nie tylko formalność — to fundament bezpiecznego działania w cyfrowej księgowości.
Kto odpowiada za dane w KSeF?
Szef Krajowej Administracji Skarbowej jest administratorem danych przetwarzanych w samym KSeF. Odpowiada za funkcjonowanie systemu, jego bezpieczeństwo, infrastrukturę, uwierzytelnianie użytkowników oraz zasady przechowywania faktur.
Podatnik (Twoja firma) pozostaje administratorem danych w odniesieniu do informacji wprowadzanych do systemu oraz odbieranych z KSeF, a więc odpowiada za zgodność przetwarzania z RODO w całym własnym cyklu pracy z danymi.
Dla pełnej przejrzystości ról i obowiązków przedstawiamy je w skrócie poniżej:
| Podmiot | Rola w rozumieniu RODO | Zakres odpowiedzialności | Przykładowe działania |
|---|---|---|---|
| Szef KAS | Administrator danych w KSeF | bezpieczeństwo i dostępność systemu, przechowywanie faktur, uwierzytelnianie | utrzymanie infrastruktury, podpisy kryptograficzne, kontrola uprawnień w KSeF |
| Podatnik (firma) | Administrator danych poza KSeF | zgodność przetwarzania z RODO w procesie wystawiania/odbioru faktur, nadawanie dostępów | aktualizacja dokumentacji RODO, polityki bezpieczeństwa, rejestry uprawnień i dostępów |
Jak wskazuje się w interpretacjach prawnych:
KSeF pozostaje narzędziem realizacji obowiązku ustawowego, natomiast odpowiedzialność za zgodność przetwarzania z RODO nie przechodzi na system
Jakie dane osobowe przetwarza KSeF?
System e-Faktur obejmuje wiele kategorii danych, których charakter warto zrozumieć, by właściwie ocenić ryzyko i dobrać środki ochrony. Najczęściej są to:
- dane z faktur dla osób fizycznych – w przypadku klientów nieprowadzących działalności gospodarczej do systemu trafiają m.in. imię, nazwisko i adres odbiorcy;
- dane wrażliwe – pośrednio – opis towaru lub usługi może ujawniać informacje szczególnych kategorii (np. leki, konsultacje psychologiczne, darowizny dla organizacji o określonym profilu ideowym), mimo że same imię, nazwisko czy adres nie są danymi szczególnymi;
- dane pracowników i podmiotów zewnętrznych – np. w procesach samofakturowania mogą pojawiać się dane osób wystawiających dokumenty w imieniu podatnika.
Podstawa prawna przetwarzania danych
Wystawienie faktury i wysłanie jej do KSeF odbywa się na podstawie obowiązku prawnego, bez konieczności pozyskiwania zgody klienta. Podstawami są: Artykuł 6 ust. 1 lit. c RODO – obowiązek prawny po stronie podatnika; Artykuł 6 ust. 1 lit. e RODO – wykonywanie zadania w interesie publicznym po stronie Szefa KAS.
Ustawowa podstawa nie znosi pozostałych obowiązków administratora danych — nadal musisz wykazać zgodność z zasadami RODO, w tym minimalizacji, rozliczalności i bezpieczeństwa przetwarzania.
Obowiązki podatnika po wdrożeniu KSeF
1. Aktualizacja dokumentacji
Rejestr czynności przetwarzania (RCP) musi obejmować procesy wystawiania i przesyłania faktur do KSeF. W RCP opisz w szczególności:
- cel przetwarzania (wystawienie faktury VAT i wysłanie do KSeF),
- dane osobowe objęte przetwarzaniem,
- kategorie osób, których dane dotyczą,
- okres przechowywania,
- bezpieczeństwo danych.
Jak wskazują źródła:
Wdrożenie KSeF to nowa czynność przetwarzania danych — i musi zostać wpisana do Twojej dokumentacji
2. Wdrożenie środków technicznych i organizacyjnych
Administrator powinien zapewnić poufność, integralność i dostępność danych. W praktyce oznacza to m.in.:
- ograniczenia dostępu do danych – dostęp mają wyłącznie osoby, którym jest to niezbędne;
- odpowiednie uprawnienia pracownicze – jasno zdefiniowane role i zakresy dostępu;
- silne hasła – polityka złożoności i regularnej rotacji haseł;
- bezpieczeństwo infrastruktury – aktualizacje, zapora sieciowa oraz monitoring incydentów;
- procedury nadawania i odbierania dostępów – formalne, udokumentowane procesy w cyklu życia uprawnień.
Wiele mechanizmów bezpieczeństwa narzuca sam KSeF: komunikacja realizowana jest przez protokoły TLS zgodne ze standardami administracji publicznej, a dane wysyłane przez API wymagają podpisu kryptograficznego.
3. Przejrzysta informacja dla osób, których dane są przetwarzane
Zapewnij jasne klauzule informacyjne dla klientów i kontrahentów, obejmujące m.in. cele, podstawy prawne, okresy przechowywania oraz informację, że dane będą przesyłane do KSeF.
4. Prowadzenie odpowiedniej dokumentacji i ewidencji
Poza RCP prowadź ewidencję czynności związanych z dostępem do danych oraz ich przetwarzaniem, aby wykazać rozliczalność i kontrolę nad danymi.
5. Aktualizacja wewnętrznych polityk i procedur
Aby odzwierciedlić nowy sposób przetwarzania, zaktualizuj co najmniej następujące dokumenty:
- polityki bezpieczeństwa danych,
- instrukcje postępowania z danymi osobowymi,
- zasady nadawania uprawnień,
- opisy obiegu dokumentów.
Powierzenie przetwarzania – umowy z podmiotami zewnętrznymi
Wiele organizacji korzysta ze wsparcia zewnętrznego przy obsłudze KSeF. Najczęściej są to:
- biura rachunkowe,
- dostawcy systemów finansowo-księgowych z modułem KSeF,
- Centra Usług Wspólnych (CUW) w sektorze publicznym.
W takich przypadkach powstaje relacja powierzenia (art. 28 RODO). Administrator musi zawrzeć umowę powierzenia przetwarzania, która precyzuje m.in.:
- przedmiot i czas powierzenia,
- rodzaj przetwarzanych danych,
- kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora,
- gwarancje bezpieczeństwa.
Powierzenie dotyczy także samofakturowania, gdy inny podmiot wystawia faktury w imieniu podatnika.
Audyt i przygotowanie – praktyczne kroki
Przygotowanie do KSeF w zgodzie z RODO wymaga planu i konsekwencji. Oto sekwencja działań, która porządkuje proces:
- Przeprowadzenie audytu – weryfikacja dokumentacji RODO i identyfikacja luk;
- Analiza ryzyka – ocena zagrożeń dla danych przetwarzanych z użyciem KSeF;
- Wdrożenie procedur – spisane procesy zarządzania dostępami i bezpieczeństwem;
- Uregulowanie kwestii uprawnień – jasne określenie, kto i do czego ma dostęp;
- Stałe monitorowanie zgodności – regularne przeglądy i aktualizacje procedur.
Punktem wyjścia powinna być analiza ryzyka, porządkowanie dostępów oraz aktualizacja dokumentacji RODO.
Kluczowe ryzyka i jak im zapobiegać
Poniżej zebraliśmy najczęstsze ryzyka wraz z praktycznymi sposobami ich ograniczania:
- niezaktualizowana dokumentacja – jeśli RCP i polityki nie odzwierciedlają realiów pracy z KSeF, dochodzi do naruszenia zasady rozliczalności; regularnie przeglądaj i uaktualniaj dokumentację, aby była zgodna ze stanem faktycznym;
- zbyt szerokie uprawnienia – dostęp „na wszelki wypadek” zwiększa ryzyko incydentów; stosuj zasadę minimalnych uprawnień i okresowe przeglądy dostępów;
- słaba kontrola cyklu życia uprawnień – brak procedur nadawania i odbierania dostępów, zwłaszcza przy odejściu pracownika, generuje nieautoryzowane ryzyko; formalizuj procesy i prowadź ewidencję zmian;
- brak umów powierzenia z dostawcami – współpraca bez art. 28 RODO jest niezgodna z prawem; zawieraj umowy powierzenia z każdym podmiotem, który ma dostęp do danych w ramach obsługi KSeF.
