GDPR in facturare — Protectia datelor personale
De ce este relevant GDPR in facturare
GDPR (Regulamentul General privind Protectia Datelor, nr. 2016/679) se aplica oricarei operatiuni de prelucrare a datelor cu caracter personal efectuate de firme cu sediul in UE sau care prelucreaza date ale persoanelor din UE. Facturarea implica in mod necesar prelucrarea de date personale: numele, adresa, codul numeric personal (CNP) sau codul fiscal al persoanelor fizice, uneori adresele de e-mail si numerele de telefon ale persoanelor de contact de la clienti.
Chiar si o firma mica, cu cativa clienti persoane fizice, trebuie sa se asigure ca datele inscrise pe facturi sunt colectate legal, stocate in siguranta, accesibile doar persoanelor autorizate si sterse sau anonimizate dupa expirarea perioadei de retentie. Nerespectarea GDPR poate atrage sanctiuni din partea ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal), mergand de la avertismente la amenzi de pana la 4% din cifra de afaceri globala anuala.
Ce date personale apar pe facturi
Pe facturile emise catre persoane fizice apar in mod obisnuit: numele complet al clientului, adresa de domiciliu sau de livrare, CNP-ul (in cazul facturilor care necesita identificarea fiscala a persoanei) si, pentru comunicare, adresa de e-mail sau numarul de telefon. Aceste informatii sunt date cu caracter personal si cad sub incidenta GDPR.
In cazul facturilor emise catre persoane juridice (firme), datele inscrise — denumirea firmei, CUI, adresa sediului social — nu sunt in general date personale, cu exceptia cazului in care clientul este un PFA (Persoana Fizica Autorizata) sau un freelancer persoana fizica, unde datele identificatoare se suprapun cu datele personale ale individului. De asemenea, adresele de e-mail ale persoanelor de contact si numele reprezentantilor mentionati pe factura sunt date personale si trebuie tratate corespunzator.
Baza legala pentru prelucrarea datelor de facturare
GDPR impune ca orice prelucrare de date personale sa se bazeze pe o temeie legala. In cazul datelor prelucrate pentru facturare, temeiul legal este, de regula, executarea unui contract (art. 6 alin. 1 lit. b) — datele sunt necesare pentru a emite factura si a inregistra tranzactia — sau obligatia legala (art. 6 alin. 1 lit. c) — legile fiscale si contabile impun pastrarea documentelor justificative, inclusiv a facturilor cu datele de identificare ale partilor.
Aceasta inseamna ca nu este necesara obtinerea unui consimtamant explicit de la clienti pentru a inscrie datele lor pe facturi sau pentru a le pastra in evidenta contabila. Cu toate acestea, firma trebuie sa informeze clientii despre prelucrarea datelor lor — de obicei prin nota de informare privind prelucrarea datelor cu caracter personal, accesibila pe site-ul firmei sau comunicata la momentul incheierii relatiei comerciale.
Securitatea datelor in aplicatiile de facturare
Datele personale ale clientilor stocate intr-o aplicatie de facturare trebuie protejate impotriva accesului neautorizat, pierderii sau divulgarii. Din perspectiva GDPR, firma care foloseste o aplicatie de facturare externa (SaaS) este operator de date, iar furnizorul aplicatiei este imputernicit al operatorului. Intre cele doua parti trebuie sa existe un acord de prelucrare a datelor (DPA — Data Processing Agreement), care stabileste obligatiile furnizorului in materie de securitate, confidentialitate si notificare in caz de incident.
Storno.ro respecta aceste cerinte: datele sunt stocate pe servere securizate in cadrul UE, transmisiile sunt criptate, accesul este controlat prin autentificare, iar furnizorul pune la dispozitie un acord DPA pentru utilizatorii care il solicita. La alegerea oricarei solutii de facturare cloud, este recomandat sa verificati locatia serverelor, masurile de securitate implementate si disponibilitatea unui DPA semnat.
Drepturile persoanelor vizate si retentia datelor
Persoanele fizice ale caror date apar pe facturi beneficiaza de drepturile prevazute de GDPR: dreptul de acces la date, dreptul la rectificare, dreptul la stergere (cu limitarile impuse de obligatiile legale de arhivare) si dreptul la portabilitate. Atunci cand un client solicita stergerea datelor sale, firma trebuie sa evalueze daca obligatiile fiscale permit aceasta stergere — in general, datele necesare pastrarii documentelor contabile nu pot fi sterse inainte de expirarea termenului legal de arhivare (5-10 ani, dupa caz).
Dupa expirarea perioadei de retentie obligatorie, datele personale care nu mai sunt necesare trebuie sterse sau anonimizate. Aplicatiile de facturare bine concepute ofera functii de export si stergere a datelor, facilitand conformarea cu aceste cerinte. Este recomandat ca firmele sa aiba o politica interna de retentie a datelor, documentata si comunicata angajatilor care gestioneaza facturarea si arhivele contabile.