Obowiązek informacyjny w świetle RODO

Przepisy o ochronie danych osobowych w art. 13 rozporządzenia obligują przedsiębiorcę do przekazywania informacji określonych w rozporządzeniu informacji osobie, której one dotyczą, a mianowicie:

- danych firmy przedsiębiorcy i danych kontaktowych;

- danych kontaktowych do inspektora danych osobowych, jeżeli jest powołany w firmie (w przypadku mikro i małych firm zwykle nie jest to obowiązkowe);

- celu przetwarzania – czyli w przypadku rozliczeń podatkowych, będzie to wykonanie rozliczeń podatkowych, a podstawą prawną będzie ustawa o VAT;

- okresu, przez który dane osobowe będą przechowywane – czyli w przypadku, gdy dane przetwarzane są wyłącznie dla celów rozliczenia podatku, będzie to przedawnienie podatkowe (okres 5 lat liczony od końca roku podatkowego, w którym wystąpił obowiązek podatkowy) lub ochrona przed dochodzeniem roszczeń (tu okres w zależności od przepisów, na które się powołujemy);

- informacji o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, bądź też o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych (należy pamiętać, że w przypadku w którym podstawą prawną przetwarzania jest przepis prawa, otrzymanie żądania usunięcia danych osobowych nie daje podstawy do podjęcia takiego działania – w takiej sytuacji to przepisy prawa zobowiązują nas do dalszego przetwarzania określonych danych);

- informacji o prawie wniesienia skargi do organu nadzorczego;

- informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, czy warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

W przypadku pozyskiwania danych jedynie do wystawienia faktury i rozliczeń podatkowych, przedsiębiorca najczęściej uzyskuje dane od osoby, której one dotyczą, dlatego też nie musi wskazywać źródła ich pozyskania.

Czytaj też:

Wystawianie faktur VAT - co musisz o nich wiedzieć

RODO: absurdy po wejściu przepisów w życie

Obowiązek informacyjny RODO na fakturze – prawda czy fałsz

Na pytanie, czy przedsiębiorca na fakturach sprzedaży musi zamieszczać obowiązek informacyjny brzmi – nie, nie ma takiego wymogu. Żaden przepis tego nie nakazuje, co więcej umieszczenie klauzuli informacyjnej na wydruku faktury często sprawia, że dokument przestaje być czytelny i traci swoją rolę. Owszem, przedsiębiorca musi zadbać o przekazanie obowiązku informacyjnego jednak nie powinien tego robić na fakturze. Jeżeli zatem nie na fakturze to gdzie?

Przepisy RODO nie precyzują w jakiej formie administrator danych wykonuje obowiązek informacyjny. Może to być forma pisemna, elektroniczna lub nawet ustna, z tym że przedsiębiorca powinien pamiętać, że musi udowodnić spełnienie tego obowiązku. Poza fakturą obowiązek informacyjny najczęściej wypełniany jest poprzez:

- zamieszczenie dedykowanej strony internetowej oraz podlinkowywanie jej w procesie dokonywania zakupu,

- stopkę lub załącznik do maila,

- zamieszczenie odpowiednich klauzul na odwrocie zamówienia,

- wywieszenie jej w miejscu składania zamówień/dokonywania zakupów, jeżeli mowa o sklepie stacjonarnym.

Warto pamiętać, że obowiązek informacyjny, należy wypełnić w stosunku do danej osoby tylko raz (oczywiście pod warunkiem, że nie zmieniły się okoliczności, o których informujemy w klauzuli) i to w momencie pozyskiwania danych. Istotne dla przedsiębiorcy powinno być też to, by nie zapomnieć o dokumentowaniu spełnienia tego obowiązku, dlatego, np. jego ustne przekazywanie nie jest najlepszym z możliwych rozwiązań, gdyż przy kontroli trudno będzie udowodnić, że faktycznie obowiązek ten został wypełniony.

Autorka jest ekspertem wFirma.pl