Krajowy System e-Faktur (KSeF) to centralna, elektroniczna platforma, która stopniowo wchodzi w praktyczne użytkowanie przez podatników i ich pełnomocników. System ma przede wszystkim usprawniać wystawianie, przesyłanie i archiwizowanie faktur VAT, jednak jednocześnie powoduje konieczność zachowania szczególnej uwagi w obszarze ochrony danych. Oznacza to, że każda organizacja korzystająca z KSeF musi nie tylko przestrzegać przepisów podatkowych, ale również zasad ochrony danych osobowych. W tym artykule znajdziesz informacje o tym, w jaki sposób IOD powinien nadzorować role użytkowników, bezpieczeństwo i reagowanie na incydenty.
W KSeF podatnik oraz upoważnione przez niego podmioty (np. biura rachunkowe, doradcy podatkowi) uzyskują dostęp do danych na podstawie uprawnień nadanych bezpośrednio przez podatnika (lub osobę przez niego upoważnioną) za pośrednictwem systemu teleinformatycznego. Zarządzanie dostępem odbywa się na poziomie organizacji, zgodnie z wewnętrzną polityką uprawnień.
Dane przetwarzane w KSeF obejmują m.in.:
W przypadku, gdy stroną transakcji jest osoba fizyczna, w tym prowadząca działalność gospodarczą, informacje zawarte na fakturze stanowią jej dane osobowe. Dotyczy to nie tylko danych identyfikacyjnych takich jak imię, nazwisko, NIP, adres zamieszkania, czy kontaktowych (e-mail, telefon), ale również numerów rachunków bankowych oraz – co kluczowe – szczegółowego wykazu zakupionych towarów i usług.
Dane o przedmiocie transakcji mogą mieć różny charakter i, w zależności od rodzaju działalności prowadzonej przez wystawcę faktury, ujawniać informacje o stanie zdrowia, preferencjach, a nawet poglądach czy stylu życia.
Z perspektywy IOD oznacza to, że faktura ustrukturyzowana przestaje być tylko dokumentem księgowym, a staje się zbiorem informacji o osobie, który w określonych przypadkach może obejmować szczególne kategorie danych osobowych (art. 9 RODO), wymagające najwyższego stopnia ochrony.
Zgodnie z RODO należy więc określić podstawę prawną przetwarzania danych osobowych w KSeF, przy czym będzie to obowiązek prawny ciążący na administratorze, wynikający z ustaw podatkowych. Niezbędne jest także ograniczanie dostępu do danych, tak aby użytkownicy mieli przyznane wyłącznie uprawnienia niezbędne do wykonywania swoich zadań. Kluczowe jest dokumentowanie nadanych ról i uprawnień, zapewnienie przejrzystości oraz rozliczalności przetwarzania danych, a także systematyczna analiza ryzyka związanego z przetwarzaniem danych w systemie.
Korzystanie z KSeF wymaga precyzyjnego przypisania użytkownikom ról funkcjonalnych. W systemie wyróżniamy uprawnienia o charakterze właścicielskim (pozwalające na zarządzanie dostępami) oraz uprawnienia operacyjne, ograniczone do konkretnych czynności, takich jak wystawianie, odbieranie oraz przeglądanie faktur ustrukturyzowanych.
Aby zapewnić zgodność z zasadą integralności i poufności (art. 5 ust. 1 lit. f RODO), IOD powinien nadzorować wdrażanie matrycy uprawnień KSeF. Dokument ten musi jasno definiować zakres dostępu dla poszczególnych stanowisk, stosując zasadę wiedzy niezbędnej (Need-to-Know). Obowiązkiem administratora jest regularna weryfikacja aktywnych dostępów oraz ewidencjonowanie osób upoważnionych. W przypadku podmiotów zewnętrznych (np. biur rachunkowych), dostęp do systemu musi być poprzedzony zawarciem umowy powierzenia przetwarzania danych, precyzującej zakres i cel operacji w systemie ministerialnym.
Jednocześnie IOD powinien nadzorować, czy w organizacji stosuje się zasadę minimalizacji danych, tak aby użytkownik miał dostęp wyłącznie do informacji niezbędnych do wykonywania swoich zadań. Z praktycznego punktu widzenia IOD wspiera administratora danych w określaniu, które dane powinny być dostępne dla poszczególnych użytkowników wewnętrznych jak i zewnętrznych, takich jak księgowi czy biura rachunkowe, oraz jakie dodatkowe zabezpieczenia należy stosować wobec użytkowników zewnętrznych. Ponadto monitoruje, czy w przypadku zakończenia współpracy mechanizmy odbierania uprawnień są prawidłowo wdrażane i zgodne z zasadami minimalizacji dostępu.
Bezpieczeństwo danych w KSeF powinno być zapewnione wielopoziomowo, obejmując aspekty techniczne, organizacyjne oraz podnoszenie świadomości użytkowników.
Na poziomie technicznym fundamentem bezpieczeństwa jest zapewnienie szyfrowania transmisji danych, stosowanie silnego uwierzytelniania oraz ochrona kont użytkowników przed atakami typu brute-force. Warto zauważyć, że o ile za bezpieczeństwo samej platformy KSeF odpowiada Szef Krajowej Administracji Skarbowej, o tyle Inspektor Ochrony Danych w organizacji musi skupić się na bezpieczeństwie styku systemów.
Rola IOD obejmuje weryfikację zabezpieczeń w lokalnych systemach ERP oraz integracjach (API), przez które dane trafiają do KSeF. Kluczowe jest monitorowanie sposobu przechowywania tokenów autoryzacyjnych, które pełnią rolę klucza do danych organizacji, a także upewnienie się, że narzędzia dostępne dla użytkowników końcowych wymuszają bezpieczne logowanie. IOD powinien również zweryfikować, czy dane tymczasowo składowane w lokalnych bazach przed wysyłką do KSeF są chronione zgodnie ze standardami przyjętymi w organizacji.
W sferze organizacyjnej kluczowe jest wdrożenie rygorystycznych procedur zarządzania cyklem życia konta użytkownika – od momentu nadawania uprawnień (onboarding), przez ich bieżącą aktualizację, aż po niezwłoczne wycofywanie dostępów w przypadku ustania stosunku prawnego z pracownikiem lub współpracownikiem (offboarding). Inspektor Ochrony Danych powinien nadzorować, aby polityka haseł oraz zasady generowania i przechowywania tokenów autoryzacyjnych KSeF były realnie stosowane, a nie tylko spisane.
Niezbędne jest również prowadzenie precyzyjnej ewidencji incydentów bezpieczeństwa oraz regularne przeprowadzanie testów odporności i audytów systemów informatycznych. IOD odgrywa tu rolę audytora wewnętrznego, który dba o to, by mechanizmy kontrolne były aktualizowane w odpowiedzi na nowe ryzyka oraz zmiany w architekturze KSeF, zgodnie z zasadą rozliczalności
Nie mniej istotny jest poziom świadomości użytkowników. To oni w codziennej pracy operują danymi w KSeF, dlatego IOD powinien dopilnować, czy użytkownicy są odpowiednio wyszkoleni w zakresie bezpiecznego korzystania z systemu, informować o zagrożeniach związanych z phishingiem i próbami przejęcia kont oraz wdrożyć procedury reagowania na podejrzane działania.
Tylko połączenie tych wszystkich poziomów gwarantuje kompleksowe bezpieczeństwo danych w systemie.
Każdy administrator danych ma obowiązek reagowania na incydenty bezpieczeństwa, a KSeF – ze względu na masowość i charakter przetwarzanych danych – stanowi obszar szczególnego ryzyka.
Rolą IOD jest wsparcie organizacji w zdefiniowaniu, co w kontekście e-faktur stanowi naruszenie ochrony danych. Przykładowo: może to być wyciek tokena autoryzacyjnego, uzyskanie dostępu do faktur zakupowych przez nieuprawnionego pracownika, czy wysyłka faktury do KSeF zawierającej dane nadmiarowe (np. o stanie zdrowia).
Na tej podstawie należy wdrożyć procedury zgłaszania i eskalacji incydentów. Jeśli naruszenie generuje ryzyko dla praw i wolności osób fizycznych, administrator ma obowiązek zgłosić je do Prezesa UODO w ciągu 72 godzin. IOD monitoruje ten proces, doradza przy ocenie wagi naruszenia i pełni rolę punktu kontaktowego dla organu nadzorczego.
Kluczowym elementem rozliczalności jest monitorowanie logów systemowych oraz audytowanie działań użytkowników – m.in. kto, kiedy i jakie faktury pobierał lub przeglądał. Każde zdarzenie musi zostać rzetelnie udokumentowane w wewnętrznym rejestrze naruszeń, obejmując analizę przyczyn, opis skutków oraz podjęte działania naprawcze.
Biorąc pod uwagę zasadę rozliczalności, IOD powinien nie tylko wspierać administratora w wykonywaniu jego obowiązków, ale też być w stanie wykazać, że faktycznie realizował swoje zadania.
W kontekście KSeF obowiązki nadzorcze IOD mogą obejmować przykładowo:
Dobrze prowadzony nadzór IOD pozwala organizacji korzystającej z KSeF łączyć obowiązki rachunkowe i podatkowe z najwyższymi standardami ochrony danych osobowych, zapewniając rozliczalność i pełną zgodność z RODO.
KSeF jako centralna platforma dla e-faktur, znacznie ułatwia obsługę podatkową, ale równocześnie stawia przed organizacjami specyficzne wyzwania w zakresie ochrony danych osobowych. IOD zachowuje swoje standardowe obowiązki przewidziane w RODO, takie jak nadzór nad dostępem do danych, doradztwo w zapewnieniu bezpieczeństwa przetwarzania, reagowania na incydenty czy prowadzenia dokumentacji i oceny ryzyka, jednak muszą być one dostosowane do specyfiki systemu, rodzaju przetwarzanych danych oraz sposobu ich udostępniania.
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
