Od lutego 2026 r. obowiązek korzystania z Krajowego Systemu e-Faktur objął pierwszą grupę podatników. Dla wielu organizacji etap analiz, testów integracyjnych i przeglądu procedur jest już zamknięty. Faktury są już wystawiane i odbierane w środowisku KSeF.
Wraz z przejściem od fazy przygotowawczej do pełnego stosowania systemu zmienił się jednak punkt ciężkości odpowiedzialności. W okresie poprzedzającym obowiązek kluczowe było pytanie: czy jesteśmy gotowi? Dziś pytanie brzmi inaczej: czy sposób, w jaki korzystamy z KSeF, jest zgodny z RODO?
Faktury ustrukturyzowane zawierają dane osobowe. W systemie przetwarzane są dane pracowników, osób reprezentujących kontrahentów, pełnomocników, a także personelu podmiotów zewnętrznych. Centralizacja procesu fakturowania nie oznacza centralizacji odpowiedzialności za ochronę danych. Ta nadal spoczywa na podatniku.
fot. z zasobów Canvy Pro
Status w przetwarzaniu – kto jest administratorem?
Ustawa o podatku od towarów i usług wskazuje, że administratorem danych osobowych przetwarzanych w ramach funkcjonowania KSeF jest Szef Krajowej Administracji Skarbowej. Odpowiada on za infrastrukturę systemu, uwierzytelnianie użytkowników, nadawanie i odbieranie uprawnień oraz przechowywanie faktur w systemie.
Z perspektywy RODO nie zmienia to jednak pozycji podatnika. W odniesieniu do danych wprowadzanych do systemu oraz odbieranych z KSeF to właśnie podatnik pozostaje administratorem i odpowiada za zgodność przetwarzania z przepisami. Dotyczy to również obowiązku tzw. samofakturowania wymagającego zawarcia umowy określającej procedurę zatwierdzania poszczególnych faktur przez podatnika dokonującego tych czynności.
Dotyczy to wszystkich objętych obowiązkiem korzystania z KSeF, niezależnie od formy organizacyjnej. Firmy prywatne, spółki komunalne, jednostki budżetowe, szkoły czy centra usług wspólnych funkcjonują w tej samej konstrukcji odpowiedzialności. KSeF pozostaje narzędziem realizacji obowiązku ustawowego, natomiast odpowiedzialność za zgodność przetwarzania z RODO nie przechodzi na system.
Podmioty przetwarzające i konieczność ponownej weryfikacji
W praktyce wiele organizacji realizuje obowiązki w KSeF przy wsparciu podmiotów zewnętrznych. Najczęściej są to biura rachunkowe, dostawcy systemów finansowo-księgowych z modułem KSeF lub w sektorze publicznym- centra usług wspólnych (CUW). To właśnie w tym zakresie będziemy mieli do czynienia z powstaniem relacji powierzenia przetwarzania danych osobowych pomiędzy administratorem danych a podmiotem przetwarzającym, którą reguluje art. 28 RODO.
Rozszerzenie zakresu przetwarzania danych o czynności w KSeF oznacza, że administrator powinien zweryfikować obowiązujące umowy powierzenia przetwarzania danych osobowych z usługodawcami realizującymi w jego imieniu czynności księgowe. Weryfikacja powinna objąć przede wszystkim:
- zakres operacji przetwarzania związanych z dostępem do KSeF,
- zasady nadawania uprawnień użytkownikom,
- sposób przechowywania danych i ich archiwizacji,
- dokumentowanie czynności wykonywanych w systemie.
Weryfikacja podmiotu przetwarzającego nie jest czynnością jednorazową. Powinna mieć charakter ciągły. Włączenie KSeF do zakresu jego zadań oznacza konieczność ponownej oceny, czy stosowane środki techniczne i organizacyjne są nadal adekwatne do ryzyka.
Jakie dane osobowe są przetwarzane?
Zakres przetwarzania w KSeF nie ogranicza się do danych kontrahenta wskazanych na fakturze. Obejmuje on szerszy katalog osób.
Podatnik przetwarza dane:
- osób upoważnionych do nadawania, zmiany i odbierania uprawnień w systemie,
- osób wystawiających lub odbierających faktury ustrukturyzowane,
- pracowników podmiotów przetwarzających realizujących czynności w jego imieniu,
- kontrahentów będących osobami fizycznymi oraz osób reprezentujących i kontaktowych po stronie kontrahentów.
Zakres danych obejmuje między innymi NIP, PESEL, imię i nazwisko, dane identyfikacyjne dokumentów tożsamości, adresy poczty elektronicznej oraz dane identyfikujące podpis kwalifikowany.
W jednostkach sektora publicznego szczególnego znaczenia nabiera zasada minimalizacji danych. Faktura nie powinna zawierać informacji wykraczających poza to, co jest niezbędne do realizacji obowiązku podatkowego. W praktyce oznacza to konieczność przeglądu szablonów faktur oraz sposobu ich generowania z systemów źródłowych.
Podstawa prawna przetwarzania
Przetwarzanie danych osobowych w związku z wystawianiem faktur ustrukturyzowanych opiera się na art. 6 ust. 1 lit. c RODO, ponieważ wynika wprost z obowiązku prawnego nałożonego na administratora przepisami ustawy o VAT.
W odniesieniu do danych osób wskazanych przez podmiot przetwarzający podstawą może być również art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes polegający na prawidłowej organizacji procesu fakturowania.
W tym obszarze nie znajduje zastosowania zgoda osoby, której dane dotyczą, ponieważ przetwarzanie stanowi realizację obowiązku ustawowego.
Obowiązki administratora po rozpoczęciu stosowania KSeF
Organizacje, które już są objęte obowiązkiem korzystania z KSeF, powinny zweryfikować, czy przyjęte w fazie przygotowawczej rozwiązania stały się codzienną praktyką. Podmioty objęte obowiązkiem od kwietnia 2026 r. mają jeszcze moment na uporządkowanie dokumentacji.
Kluczowe obszary wymagające analizy to:
- aktualność klauzul informacyjnych dla pracowników i kontrahentów,
- wpisy w rejestrze czynności przetwarzania obejmujące procesy związane z KSeF,
- procedura nadawania, zmiany i odbierania uprawnień,
- analiza ryzyka związana z integracją systemów i korzystaniem z aplikacji mobilnej.
Dostęp do KSeF jest zawsze przypisany do osoby fizycznej. Wymaga to bieżącej kontroli listy użytkowników i szybkiego reagowania na zmiany kadrowe. W jednostkach, w których model nadawania uprawnień ma charakter dwuetapowy, administrator powinien zachować pełną wiedzę o tym, kto faktycznie posiada dostęp do systemu.
Retencja danych i odpowiedzialność podatnika
Faktury w KSeF są przechowywane przez 10 lat od dnia ich wystawienia. Jest to okres retencji po stronie administratora KSEF (szefa KAS).
Może się jednak zdarzyć, że termin przedawnienia zobowiązania podatkowego będzie dłuższy. W takiej sytuacji to organizacja musi zadbać o dalsze przechowywanie dokumentów poza systemem, do upływu tego terminu. Brak obowiązku archiwizacji w formie papierowej nie wyklucza przechowywania faktur w innych, wewnętrznych systemach.
Kluczowe jest rozróżnienie pomiędzy retencją systemową a odpowiedzialnością podatnika za przechowywanie dokumentów dla celów podatkowych.
Rola IOD w fazie operacyjnej
W organizacjach, które już korzystają z KSeF, rola inspektora ochrony danych przechodzi z etapu wdrożeniowego do etapu nadzorczego.
W tym etapie IOD powinien w szczególności:
- potwierdzić podstawy prawne przetwarzania,
- zweryfikować aktualność rejestru czynności przetwarzania,
- zaopiniować procedury nadawania uprawnień,
- uwzględnić KSeF w planie kontroli i planie szkoleń.
W jednostkach, w których obowiązek zacznie obowiązywać od kwietnia 2026 r., działania te powinny zostać zakończone przed rozpoczęciem wystawiania faktur w systemie.
KSeF jako stały element systemu zarządzania
KSeF nie jest już projektem wdrożeniowym. W części organizacji stał się już codzienną praktyką. W kolejnych stanie się nią w najbliższych tygodniach. W obu przypadkach oznacza to konieczność włączenia procesów związanych z systemem w stały model zarządzania ochroną danych.
Największe ryzyko nie wynika z samego systemu, lecz z braku kontroli nad dostępami i niedostosowania procedur do realnego sposobu pracy. Obowiązek podatkowy i obowiązek zapewnienia zgodności z RODO funkcjonują równolegle i nie zastępują się nawzajem.
Dla kadry zarządzającej oznacza to konieczność traktowania KSeF nie wyłącznie jako rozwiązania podatkowego, lecz jako procesu, który w sposób systemowy obejmuje dane osobowe i wymaga stałego nadzoru organizacyjnego.
Napisz do nas: bok@asystahr.pl
