1 lutego 2026 r. zacznie funkcjonować Krajowy System e-Faktur (KSeF). System będzie umożliwiał wystawianie, przesyłanie, odbieranie i przechowywanie faktur w postaci ustrukturyzowanej. Docelowo za pośrednictwem tego systemu będą wystawiane prawie wszystkie faktury.

Faktura ustrukturyzowana wystawiona za pośrednictwem KSeF będzie zawierała szereg informacji o sprzedawcy i nabywcy. Mogą się w niej znaleźć także informacje na temat innych podmiotów, np. o odbiorcy towaru lub usługi. Jeżeli którykolwiek z tych podmiotów jest osobą fizyczną, to w zasadzie wszystkie informacje zawarte w fakturze, w tym także dotyczące towaru, usługi, ceny itp. należy uznać za dane osobowe w rozumieniu art. 4 pkt 1 RODO. Co istotne, nie ma tu znaczenia fakt, że osoba fizyczna wykonuje działalność gospodarczą, bowiem także dane osobowe przedsiębiorców podlegają ochronie i muszą być przetwarzane z zachowaniem wymogów wynikających z przepisów RODO. Dotyczy to także tych danych osobowych przedsiębiorcy, które są powszechnie dostępne w Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

Sytuacja wygląda nieco inaczej, gdy stronami umowy, w związku z którą została wystawiona faktura nie są osoby fizyczne. Informacje o podmiotach innych niż osoby fizyczne nie są danymi osobowymi i nie podlegają ochronie przewidzianej w przepisach RODO. W tym przypadku może pojawić się jednak kwestia przetwarzania danych osób fizycznych, które zostały wskazane w treści faktury, np. w związku z reprezentowaniem sprzedawcy lub nabywcy, który nie jest osobą fizyczną. Także w tej sytuacji pojawi się potrzeba uwzględnienia przepisów RODO, chociaż należy przyjąć, że danymi osobowymi nie będą wszystkie informacje zawarte w fakturze, a jedynie informacje odnoszące się bezpośrednio do danej osoby fizycznej, w tym w szczególności jej imię, nazwisko, funkcja lub stanowisko i ew. dane kontaktowe.

Administratorem danych osobowych zawartych w fakturze jest zarówno sprzedawca, który fakturę wystawił, jak i nabywca, który ją odbiera. Podmioty te administrują danymi osobowymi zawartymi w treści faktury niezależnie i każdy z nich samodzielnie odpowiada za prawidłowość procesów związanych przetwarzaniem tych danych. Ponadto danymi osobowymi zawartymi w fakturze administrują także organy podatkowe.

Podstawą prawną przetwarzania danych osobowych zawartych w treści faktury jest wskazana w art. 6 ust. 1 lit. c RODO, niezbędność do wypełnienia obowiązków prawnych ciążących na administratorze. Chodzi tu o obowiązki wynikające z przepisów podatkowych, które zobowiązują do wystawienia faktur i określają zasady ich księgowania. Można też rozważać, czy podstawy takiej nie stanowi, wymieniona w art. 6 ust. 1 lit. b RODO, niezbędność do wykonania umowy, bowiem wystawienie faktury może być postrzegane także w kategoriach obowiązku spoczywającego na sprzedawcy względem nabywcy.

Niezależnie od podstawy prawnej przetwarzania danych osobowych, obowiązkiem administratora jest zapewnienie poufności, integralności i dostępności przetwarzanych danych. W tym celu administrator ma obowiązek wdrożyć środki techniczne i organizacyjne. W przypadku faktur wystawianych, przesyłanych i odbieranych za pośrednictwem KSeF, wiele rozwiązań technicznych jest narzucana przez konstrukcję samego systemu. Rozwiązania organizacyjne są natomiast w dużej mierze determinowane procedurami i sposobem postępowania określonymi w przepisach prawa powszechnie obowiązującego. Nie oznacza to jednak, że administrator danych osobowych przetwarzanych w związku z korzystaniem z KSeF jest zwolniony z odpowiedzialności i nie musi podejmować żadnych działań.

Aby zapewnić korzystanie z KSeF zgodnie z wymogami RODO, należy uwzględnić wykorzystanie tego systemu w dokumentacji przetwarzania danych osobowych, w tym w szczególności w rejestrze czynności przetwarzania danych osobowych. Wystawianie, przesyłanie, odbieranie i przechowywanie faktur za pośrednictwem KSeF nie powinno być postrzegane jako nowy proces przetwarzania danych osobowych. Właściwszym wydaje się przyjęcie, że zmianie ulega jedynie narzędzie, przy pomocy którego od tej pory będą realizowane procesy przetwarzania danych związane z tzw. „fakturowaniem” i w tym zakresie należy dokonać zmian w rejestrze czynności przetwarzania danych.

Zasadnym wydaje się także, aby przed rozpoczęciem korzystania z KSeF dokonać analizy ryzyka związanego z przetwarzaniem danych osobowych przy wykorzystaniu tego systemu. Wdrożenie nowego narzędzia w oczywisty sposób może wiązać się z pojawieniem się zagrożeń i ryzyk, które należy uwzględnić, aby zastosować odpowiednie środki techniczne i organizacyjne przekładające się na bezpieczeństwo korzystania z tych narzędzi.

Szczególną ostrożność należy zachować w przypadku korzystania z KSeF za pośrednictwem narzędzi dostarczanych przez podmioty trzecie. W szczególności należy upewnić się czy dostawca usług, z których korzystaliśmy do tej pory, albo z którym zamierzamy podjąć współpracę zapewnia pełną zgodność z KSeF. Warto też przeanalizować pod kątem zgodności z nowymi rozwiązaniami postanowienia umów powierzenia przetwarzania danych zawartych z dostawcami takich usług.     

W ramach struktury organizacji należy zweryfikować zakres udzielonych pracownikom upoważnień do przetwarzania danych osobowych. W każdym przypadku powinny być one zgodne z zakresem uprawnień nadawanych poszczególnym pracownikom w KSeF. Należy zakładać, że w wielu przypadkach w związku z nadaniem takich uprawnień może być konieczne udzielenie nowych upoważnień do przetwarzania danych osobowych. 

Przygotowując się do wdrożenia KSeF warto też dokonać przeglądu przyjętych w organizacji procedur związanych z przetwarzaniem danych osobowych i bezpieczeństwem systemów informatycznych. W razie potrzeby należy je dostosować w taki sposób, aby zapewnić zgodność w wymaganiami KSeF.

Trzeba też zwrócić uwagę na odpowiednie przeszkolenie pracowników. Przygotowując pracowników do realizacji zadań związanych z wystawianiem, przesyłaniem, odbieraniem i przechowywaniem faktur za pośrednictwem KSeF, należy zwrócić ich uwagę także na kwestie związane z możliwością przetwarzania przy okazji tych czynności danych osobowych, w tym w szczególności na zagadnienia bezpieczeństwa korzystania z systemów informatycznych i tzw. cyberhigieny.

Justyna Jabłonka
Kancelaria Wyrzykowscy

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.

 

Zobacz także

• Wodny plac zabaw w gminie – odpłatny wstęp podlega VAT, a gmina odliczy podatek od inwestycji
• Prywatne rozmowy z telefonu służbowego a VAT – co na to sądy?
• Weryfikacja podmiotu przetwarzającego na gruncie art. 28 RODO – obowiązek ciągły, nie jednorazowa formalność
• Czy można dokonać odliczenia podatku VAT przed otrzymaniem faktury zakupu? - TSUE się wypowiedział!
• Nowe zasady ujmowania faktur korygujących in minus w związku z KSeF
• Umowa przetwarzania jako fundament bezpiecznego przetwarzania w każdym sektorze – lekcja z sektora kurierskiego w świetle wytycznych PUODO
• DKIS wskazał, jak powinno się korygować faktury wystawione na JST pod kątem oznaczenia odbiorcy w KSeF! Interpretacja indywidualna.
• Nowa struktura pliku JPK_V7 już obowiązuje. O czym należy pamiętać?
• Kiedy powstaje obowiązek podatkowy przy płatności kartą z „góry”?
• Czego m.in. możemy się dowiedzieć z Broszury informacyjnej dot. struktury JPK_VAT z deklaracją (JPK_V7)? Styczeń 2026 r.