Instrukcje

Jak dbać o dane przetrzymywane w chmurze? Wykorzystywanie programów do fakturowania zgodnie z regulacjami RODO

Wraz z postępującym rozwojem technologicznym, przed Twoją firmą otwierają się coraz to nowe możliwości usprawniania pracy zespołowej, poprawy bezpieczeństwa archiwizowanych danych oraz zautomatyzowania niektórych powtarzających się procesów, np. fakturowania usług. Już od kilku lat rosnącą popularność na rynku wśród przedsiębiorców zyskują tzw. chmury obliczeniowe (ang. cloud computing), potocznie określane „chmurami”. Pozwalają one na przetrzymywanie danych, aplikacji i oprogramowania w przestrzeni sieciowej, nieobciążającej ograniczonych zasobów komputerów czy dysków zewnętrznych.s

Umieszczanie danych w chmurze, pomimo posiadania ogromu zalet usprawniających działanie firmy, może wiązać się również z typowymi sieciowymi zagrożeniami uderzającymi w bezpieczeństwo przetrzymywanych zasobów oraz zawartych w nich danych osobowych. Dlatego właśnie kluczowe jest zidentyfikowanie potencjalnych zagrożeń, następnie podjęcie racjonalnej decyzji o wprowadzeniu cloud computing’u do struktury przedsiębiorstwa, a także wybór usługodawcy stwarzającego dostosowane do naszych potrzeb warunki ochronne i środki zapobiegające nieautoryzowanemu dostępowi do danych.

Chcesz dowiedzieć się więcej na ten temat?

Pokaż materiały

1.  Zalety przetrzymywania danych w chmurze

Usługi archiwizowania danych w chmurze polegają na przechowywaniu baz danych na niezależnym zewnętrznym serwerze, umożliwiając przedsiębiorcy dostęp do nich w każdym miejscu, czasie i przy użyciu dowolnego środka, w tym również za pośrednictwem urządzeń mobilnych. Tym samym, ułatwia korzystanie z zamieszczonych w chmurze danych, a także umożliwia synchronizowanie postępu prac pomiędzy wszystkimi użytkownikami korzystającymi z danych zasobów (również jednocześnie, w tym samym czasie). Jest to niezwykle pomocne przy systemie pracy zdalnej i wykonywaniu projektów grupowych – eliminuje w zasadzie ryzyko pomyłek i automatyzuje proces aktualizowania dokumentu w ramach postępu prac.

Dane przechowywać można w zasadzie bez żadnych limitów pojemności, co stanowi znaczną przewagę chmur sieciowych nad standardowymi (fizycznymi) dyskami zewnętrznymi, czy pamięcią komputera. W kwestii płatności, chmury wykorzystują najczęściej system pay per use, co oznacza, że przedsiębiorca nie jest związany odgórnie narzuconą subskrypcją określonej przestrzeni dyskowej w chmurze, a płaci za nią proporcjonalnie do aktualnego zużycia i wedle potrzeb.

Usługodawcy oferują również szeroki zakres szyfrowania danych, co w dużej mierze pozwala zabezpieczyć informacje chronione przedsiębiorstwa przed nieautoryzowanym do nich dostępem. Jeżeli zamierzasz przechowywać na chmurze dane osobowe pracowników czy klientów, również możesz liczyć na zaawansowane technologicznie bariery sieciowe i szyfry, które co do zasady gwarantują bezpieczeństwo przechowywanych dokumentów. Rozporządzenie dot. ochrony danych osobowych (RODO) wprowadziło nowe regulacje w kwestii zarządzania danymi osobowymi. Na skutek tego, wielu dostawców usług typu cloud computing (np. Microsoft, Google) nie tylko dostosowało swoje usługi do wymagań RODO, lecz dla zapewnienia lepszego bezpieczeństwa stosują także standardy wynikające z norm ISO/IEC - norm międzynarodowych standaryzujących systemy zarządzania bezpieczeństwem informacji.

2. Potencjalne zagrożenia dla danych chronionych

Zanim zdecydujesz się na skorzystanie z usług archiwizowania danych w chmurze, warto przeanalizować zagrożenia związane z tą formą przechowywania baz danych i w oparciu o tę wiedzę podjąć decyzję co do możliwości i zasadności zastosowania chmury w swojej firmie.

Mimo nowoczesnych metod szyfrowania danych, nie jest w zasadzie możliwe stuprocentowe zagwarantowanie ich bezpieczeństwa – zagrożenia płyną głównie ze strony zaawansowanych technicznie metod hackerskich wykorzystujących słabości w logarytmach zabezpieczających dostęp do danych.

Warto mieć ponadto na uwadze, iż cloud computing jest jedynie systemem informatycznym umieszczonym na serwerze i jak każde „urządzenie” - jest potencjalnie awaryjne. Możliwe są zatem wszelkiego rodzaju usterki techniczne, włączając w to awarię infrastruktury firmy świadczącej usługi, niestabilne działanie chmury i związany z tym problem z dostępem do danych, dalej poprzez długotrwałą niską wydajność systemu (obciążenie sieci), aż po trwałe zamknięcie przedsiębiorstwa świadczącego tego rodzaju usługi i związaną z tym konieczność podjęcia stosownych działań zmierzających do odzyskania danych i utrzymania ich nieprzerwanej ochrony.

Pomimo niedoskonałości systemów zabezpieczających dane oraz standardowej przy urządzeniach elektronicznych awaryjności infrastruktury odpowiedzialnej za utrzymywanie danych, przechowywanie dokumentów w chmurze ma znaczący potencjał w odniesieniu do rozwoju przedsiębiorstwa i usprawnienia jego działania. Istotnym dowodem na to niech będzie fakt stopniowego rozpowszechniania cloud computing wśród organów administracji publicznej i urzędów. Przechowują one bowiem za pośrednictwem chmur sieciowych znaczne ilości dokumentów zawierających w większości dane osobowe, czy informacje chronione oraz niejawne, będące elementem np. tajemnicy przedsiębiorstwa, bankowej, czy zawodowej.

3. Wybór odpowiednio certyfikowanego dostawcy usługi

Przed wyborem odpowiedniego usługodawcy warto na początku ustalić, w jakiego rodzaju chmurze będziesz przechowywać swoje dane. Istnieją trzy podstawowe rodzaje chmur:

  • publiczna (zarządza nią zewnętrzny ogólnodostępny usługodawca, np. Microsoft, Google, a chmura umieszczona jest na szeroko dostępnym serwerze);
  • prywatna (oferowana przez autonomicznego dostawcę, z możliwością umieszczenia na serwerach przedsiębiorstwa zlecającego archiwizację danych);
  • hybrydowa (będąca różnymi wariantami połączeń powyższych rozwiązań).

Oferty usługodawców publicznych i prywatnych różnić mogą się w wielu aspektach – od decyzji przedsiębiorcy zależy, w których kwestiach potrzebuje szczególnego zakresu swobody w pracy z przechowywanymi w chmurze danymi, a w których jest skłonny do ustępstw.

Usługodawcy korzystają przede wszystkim z różnych rodzajów szyfrowania, które utrudniać mają dostęp do danych osobom niepowołanym. Pewnym minimum w tym zakresie jest szyfrowanie przy logowaniu (SSL), certyfikat ID bądź VPN. Oprócz tego, niektóre platformy dla uzyskania dostępu do sieciowego dysku wymagają tzw. dwuskładnikowego uwierzytelniania (weryfikacja użytkownika poprzez numer telefonu, adres e-mail), czy przebrnięcia przez inne bariery (np. przepisywanie kodu z obrazka, co wyeliminować ma ryzyko dostępu do danych przez boty, a więc algorytmy mające naśladować ludzkie zachowania na masową skalę).

Powinieneś zwrócić uwagę również na sposób dostępu do danych oraz faktyczne miejsce ich przechowywania. Przedsiębiorstwa oferujące usługi cloud computing zwykle mają swoje siedziby w zupełnie innym miejscu niż koncentrują główną infrastrukturę odpowiedzialną za przechowywanie danych na serwerach. Warto, aby dostęp do danych był nielimitowany czasowo oraz ilościowo (to znaczy, aby była możliwość jednoczesnej nielimitowanej czasowo pracy przez nieokreśloną liczbę osób) oraz aby precyzyjnie ustalić sposób i miejsce archiwizowania danych (np. po upływie określonego czasu ogólnej dostępności w chmurze).

Przedsiębiorstwo oferujące usługi cloud computing zyskuje również na rzetelności, jeśli podaje do wiadomości informacje dotyczące regularnego monitoringu działania systemów oraz szczegółowe alerty w przypadkach awarii infrastruktury, sieci oraz zakłóceniach w działalności przedsiębiorstwa. W takich przypadkach nieoceniona będzie usługa przechowywania dodatkowej kopii danych (tzw. backup’u), najlepiej na nośniku odrębnym od chmury głównej (może być to inna chmura umieszczona na innym serwerze), co zwiększy prawdopodobieństwo zachowania danych w nienaruszonym stanie bez względu na warunki.

Oprócz tego, warto zwrócić uwagę na kwestię najbardziej prozaiczną – renomę usługodawcy w sieci, bogate portfolio wspieranych firm/instytucji oraz sposób prowadzenia kampanii marketingowej – wolnej od czynów nieuczciwej konkurencji.

4. Zakreślenie przedmiotu umowy oraz podmiotów uprawnionych

Przedmiotem umowy z usługodawcą będzie świadczenie przez niego konkretnej usługi polegającej albo na udostępnieniu aplikacji (SaaS), platformy (PaaS) lub infrastruktury (IaaS) służącej do archiwizowania bazy danych, przy jednoczesnym administrowaniu zasobami umieszczonymi w tej bazie. Usługobiorca zaś za zapłatą stosownego wynagrodzenia (pay per use bądź w ramach abonamentu/subskrypcji) korzysta z określonych w umowie usług archiwizowania danych, włączając w to zarządzanie nimi przez usługodawcę w ustalonym zakresie.

Właścicielem i administratorem przechowywanych w chmurze danych na czas obowiązywania umowy zawsze powinna być Twoja firma, nie przedsiębiorstwo usługodawcy. Dla prawidłowego i pełnego wykonywania przedmiotu umowy wystarczającym jest, aby usługodawca miał dostęp jedynie do samego „gabarytu” danych mieszczącego twoje dokumenty, nie zaś do ich zawartości. Jeżeli usługodawca korzysta przy tym z usług podwykonawcy - ma obowiązek informowania o tym każdorazowo podmioty przechowujące dane, aby mogły ocenić wiążące się z tym ryzyko.

Dostęp do przechowywanych danych powinien być reglamentowany w jak najszerszym zakresie przez korzystającego z usługi przechowywania danych w chmurze. Może być on udzielany za pomocą linku aktywacyjnego, odpowiedniego adresu serwera, czy też (najczęściej w przypadku chmur dostawców publicznych) poprzez zalogowanie się do systemu przy użyciu indywidualnych kont użytkownika.

Przeczytaj dokładnie wzór umowy przedstawionej przez usługodawcę – bardzo często zdarza się, że zastrzega ona dostęp do treści również algorytmom badawczym, które następnie dostosowują treści reklamowe do zawartości przechowywanych danych (działają na podobnej zasadzie, co standardowe cookies). Niepożądane są również wszelkie uprawnienia usługodawcy do rozporządzania zawartością (chociażby przeskanowaną komputerowo w poszukiwaniu słów kluczowych) w celu odsprzedaży Twoich namiarów zainteresowanym osobom trzecim bez udzielenia zgody.

Ważne:

Jeżeli zauważysz w umowie przed jej podpisaniem tego typu postanowienie, nie wahaj się omówić go z przedstawicielem usługodawcy i dążyć do jego zmiany.

Oczywiście zdarzyć się mogą sytuacje, w których usługodawcy powinien przysługiwać tymczasowy dostęp do zawartości danych – głównie w przypadku sytuacji awaryjnych czy sieciowych prac konserwatorskich. Na usługodawcy powinien każdorazowo ciążyć wtedy obowiązek ubiegania się o zgodę na wykorzystanie określonych danych dla dokładnie określonego celu, przy oznaczeniu czasu potrzebnego na wykonanie niezbędnych prac.

W przypadku zdarzenia bezpośrednio zagrażającego bezpieczeństwu przechowywanych danych, usługodawca musi sporządzić odpowiedni raport oraz poinformować właściciela danych (szczególnie gdy w niebezpieczeństwie znalazły się dane osobowe, czy informacje chronione). Jeżeli usługodawca naraziłby zaś swoim postępowaniem same dane, czy ich właściciela na ewentualne konsekwencje, powinien udzielić wsparcia merytoryczno-technicznego w usuwaniu powstałych szkód.

Administrator chmury ma ponadto obowiązek informowania usługobiorcy o wszelkich zobowiązaniach, nakazach oraz postanowieniach organów władzy publicznej, na mocy których może być zobligowany do udostępnienia danych przetrzymywanych w chmurze na rzecz toczącego się postępowania. Muszą to też uczynić także wszyscy ewentualni podwykonawcy.

5. Przechowywanie danych – poufność i ochrona

Przy wyborze usługodawcy warto kierować się w pierwszej kolejności wykorzystywanymi sposobami zabezpieczania danych. Wśród niewątpliwych zalet podobnych ofert cloud computing’u można wymienić:

  • używanie szyfrowanego połączenia z chmurą poprzez przeglądarkę WWW (połączenie szyfrowane bardzo łatwo odróżnić od nieszyfrowanego – połączenia bezpieczne zawierają przed adresem strony internetowej protokół HTTPS, pasek zawierający adres strony internetowej przybiera zwykle kolor zielony, ewentualnie na jego krańcu pojawia się ikona kłódki, oznaczająca zaszyfrowanie połączenia);
  • wykorzystanie dwuetapowej weryfikacji podczas logowania (np. przy użyciu kodów SMS na podany przy „rejestracji” konta użytkownika numer telefonu, czy potwierdzenie adresu e-mail);
  • funkcja szyfrowania danych przed przesłaniem ich na serwer (zapobiega to odczytaniu danych w przypadku niepowołanego dostępu).

Równie istotne są tzw. zabezpieczenia logiczne, które chronią chmurę przed atakami hackerów. W praktyce są nimi np. antywirusy, firewall, zabezpieczenia przed atakami DDoS (ataki hackerskie z wielu miejsc jednocześnie), czy pishingiem (wyłudzaniem danych logowania poprzez podszywanie się). Warto dowiedzieć się także, czy usługodawca przeprowadzał w przeszłości tzw. kontrolowane ataki na dane umieszczone w administrowanej przez niego chmurze, które weryfikowałyby poziom zabezpieczeń oraz ich słabe punkty, a w dalszej kolejności pozwalały na wprowadzenie modyfikacji zwiększających bezpieczeństwo.

Gwarancją bezpiecznego przechowywania danych jest posiadanie przez usługodawcę określonych certyfikatów potwierdzających spełnianie określonych norm odnoszących się do ochrony danych.

Podstawowym certyfikatem jest ISO/IEC 27018 (zastępującym dotychczasowo używane ISO 27001/27002) – stanowi on międzynarodowy standard, określający wymagania w zakresie bezpieczeństwa informacji. Przy jego zastosowaniu można mieć pewność, że przechowywane dane nie zostaną w żaden sposób udostępnione osobom trzecim, co zapewnia wysoki poziom ochrony i poufności. Certyfikat potwierdza skuteczność stosowanych procedur bezpieczeństwa przetwarzania danych osobowych oraz efektywne utrzymywanie zarządzania bezpieczeństwem informacji dla danych agregowanych w chmurze obliczeniowej. Określa on m.in. procedury ogólne uzyskiwania dostępu i usuwania danych, zasadę przetwarzania danych tylko w celu, dla którego są przechowywane, nieużywania ich w celach marketingowych bądź w sposób nieuprawniony na rzecz osób trzecich, procedury monitoringu naruszeń ochrony danych oraz awarii systemowych oraz zasady zwrotu, przekazywania i usuwania danych osobowych.

Dla zwiększenia bezpieczeństwa, możesz jako przedsiębiorca postarać się o własną serwerownię (która posłużyć może nie tylko dla celów sieciowej koncentracji danych, ale również dla innych potrzeb przedsiębiorstwa) albo dzierżawić już istniejące zespoły infrastruktury i wykorzystywać je w dowolnym zakresie dla własnych celów (celów działalności). Pozwala to na wysoki poziom kontroli nad postępowaniem z danymi umieszczonymi w chmurze, wiąże się jednak z dodatkowymi kosztami zakupu czy dzierżawy sprzętu – stąd jest to forma polecana raczej większym przedsiębiorstwom, w których stopień poufności przetwarzanych danych i chęć zachowania ich przy pełni bezpieczeństwa kompensuje wydatki poniesione na utrzymanie serwerowni.

Ważne:

Przedsiębiorca korzystający z zewnętrznego cloud computing’u w każdym momencie ma prawo do wystąpienia do usługodawcy o udzielenie informacji co do fizycznej lokalizacji serwerów, na których agregowane są jego dane. Każda zmiana lokalizacji serwerowni mogąca wpłynąć potencjalnie na bezpieczeństwo danych powinna być odpowiednio wcześniej przedstawiona usługobiorcy dla dokonania przez niego swobodnej oceny zagrożeń, a nawet odstąpienia od umowy, jeżeli jej postanowienia przewidują podobną procedurę w przypadku zmiany zasadniczych elementów konstytuujących umowę.

Niezależnie od tego, czy prowadzisz własną serwerownię lub korzystasz z usług przedsiębiorstwa zajmującego się użyczaniem miejsca w chmurze oraz administrowaniem danych, istotnym jest tworzenie tzw. backup’ów na innych nośnikach (dla bezpieczeństwa również przechowywanych fizycznie w innym miejscu, niż serwery główne). Są one w zasadzie jedynym środkiem zabezpieczającym przed bezpowrotną stratą danych.

6. Odpowiedzialność za ochronę danych osobowych

Z uwagi na stopień poufności niektórych rodzajów danych, należy potraktować je w sposób szczególny. Do danych zasługujących na najwyższe standardy ochrony, a jednocześnie najbardziej narażonych na ataki, należą dane osobowe oraz tajemnice przedsiębiorstwa czy zawodowe.

Ważne:

Jeżeli jako przedsiębiorca jesteś administratorem danych osobowych (w ramach wykonywania działalności powierzane są Ci dane osobowe osób trzecich), to zgodnie z art. 28 RODO ponosisz odpowiedzialność za wybór dostawcy usług cloud computing, który zobowiązany będzie do wdrożenia odpowiednich technicznie i organizacyjne środków bezpieczeństwa w celu ochrony danych osobowych.

Innymi słowy, jako administrator danych osobowych klientów/współpracowników/wykonawców jesteś odpowiedzialny za wybór usługodawcy stosującego konkretne dedykowane dla nich zabezpieczenia, których rodzaj oraz zakres uzgadniasz i akceptujesz z chwilą podpisania umowy.

RODO nie wprowadza bezpośrednio żadnych regulacji dotyczących konkretnie przechowywania i administrowania danymi w chmurze. Należy jednak pamiętać, że jego wprowadzenie w znacznym stopniu zmieniło świadomość społeczną dotyczącą ochrony danych. Może mieć to również pozytywny wpływ na jakość i konkurencyjność usług oferowanych w sektorze cloud computing’u.

7. Archiwizacja danych oraz kopie zapasowe

Na etapie negocjowania treści umowy należy zwrócić uwagę również na to, jak będzie przebiegała procedura archiwizacji danych, tj. przenoszenia danych w inne, trudniej dostępne z perspektywy przedsiębiorcy miejsce bądź całkowitego ich usunięcia z przestrzeni chmury. W tym zakresie warto negocjować takie parametry, jak:

  • Standardowy okres przechowywania danych (po jego upływie dane zostaną usunięte/przeniesione) lub brak określenia takiego czasu;
  • okres, po jakim dane będą ulegały archiwizacji;
  • miejsce przeniesienia danych po archiwizacji i sposób ich odczytywania/modyfikacji (czy będzie możliwy podgląd zarchiwizowanych danych, jak kształtują się uprawnienia poszczególnych korzystających na przestrzeni czasu, czy możliwa jest edycja danych już zarchiwizowanych).

Archiwizacja (dezaktywacja) danych w trudnodostępnym miejscu bądź całkowite ich usunięcie z chmury po upływie określonego czasu nie musi oznaczać ich definitywnej utraty – do obowiązków przedsiębiorcy jako pracodawcy czy płatnika składek jest przetrzymywanie dokumentacji w formie papierowej przez określony okres. 

Chcesz dowiedzieć się więcej na ten temat?

Pokaż materiały

Dodatkowo, jak już zostało nadmienione, w trosce o bezpieczeństwo dokumentów, powinieneś przechowywać je w formie elektronicznej w więcej niż jednym miejscu sieciowym lub dysku zewnętrznym. W tym celu warto wykonywać co pewien czas pełen backup istotniejszej bądź pełnej zawartości dysku głównego. Dane zabezpieczone w ten sposób posłużą do odtworzenia pierwotnych zasobów w przypadku awarii systemu przetrzymującego dane, nieautoryzowanego do nich dostępu i próby kradzieży, a także w razie niezamierzonego ich usunięcia.

8. Możliwe dodatkowe zabezpieczenia

Oprócz środków ochrony danych, które oferowane są przez usługodawców zajmujących się cloud computing’iem, możesz sam jako użytkownik sieciowej bazy danych przyczynić się do zwiększenia bezpieczeństwa ich przechowywania:

  • Wykonuj kopie zapasowe we własnym zakresie – nawet jeżeli usługodawca na podstawie umowy zobowiązany jest do okresowego aktualizowania kopii zapasowej Twoich danych i przetrzymywania jej fizycznie w miejscu innym, niż znajduje się serwerownia, dla bezpieczeństwa możesz ją tworzyć również sam. Co pewien czas sprawdzaj aktualność przetrzymywanych danych oraz sprawność dysku zewnętrznego;
  • Twórz „mocne” hasła – jeżeli chmura posłużyć ma za główne miejsce przechowywanych danych firmowych, staje się ona potencjalnie prawdopodobnym obiektem ataku hackerskiego. Aby utrudnić niepowołany dostęp do danych, twórz skomplikowane (a jednak zdatne do zapamiętania) hasła bądź skorzystaj z generatorów haseł – szczególnie w przypadku, gdy korzystasz z chmury publicznej. Silne hasło może uniemożliwić skuteczność ataku hackerskiego, bądź opóźnić go na tyle, abyś zdołał w odpowiednim momencie na to zareagować;
  • Skorzystaj z opcji dwuetapowego logowania – wiąże się to zwykle z koniecznością dostępu do telefonu komórkowego lub adresu e-mail, w celu podania przesłanego nań przez system kodu uwierzytelniającego próbę dostępu do danych;
  • Uważaj na próby kradzieży danych logowania – szczególną uwagę zwróć na podejrzane wiadomości e-mail zawierające linki do nieznanych nam stron w sieci, nie udostępniaj kodów dostępu osobom niepowołanym, nie przetrzymuj ich w formie papierowej w miejscu ogólnodostępnym itp.

9. Postępowanie po zakończeniu współpracy

W ramach negocjacji warunków umowy zapytaj również, jak wyglądają procedury postępowania z przetrzymywanymi przez usługodawcę danymi w przypadku, gdy ten postanowi zakończyć swoją działalność lub któraś ze stron postanowi rozwiązać umowę.

Usługodawcy zwykle zakreślają termin na bezpieczne odebranie danych, po upływie którego ulegałyby one definitywnemu usunięciu z serwerów – najczęściej między 30, a 90 dni. Zdarza się, że jest to usługa dodatkowo płatna, jeżeli odzyskanie i przekazanie danych należy do obowiązków usługodawcy.

10. Programy do fakturowania a ochrona danych osobowych

Usługą ściśle związaną z prowadzeniem przedsiębiorstwa, a zbliżoną do przetrzymywania danych w chmurze, jest oferowanie programów/platform służących do automatyzacji procesu wystawiania faktur VAT. Programy tego typu mogą przechowywać również bazę danych osobowych kontrahentów, co znacznie usprawnia procedurę fakturowania towarów i usług, jednak niesie za sobą odpowiedzialność za ich ochronę.

Według art. 106e ustawy o podatku od towarów i usług, dane identyfikujące kontrahenta, które mogą podlegać szczególnej ochronie, a są konieczne dla zamieszczenia na fakturze, to m.in.:

  • imiona i nazwiska lub nazwy podatnika i nabywcy towarów lub usług oraz ich adresy;
  • numer, za pomocą którego podatnik jest zidentyfikowany na potrzeby podatku;
  • numer, za pomocą którego nabywca towarów lub usług jest zidentyfikowany na potrzeby podatku lub podatku od wartości dodanej, pod którym otrzymał on towary lub usługi;
  • w określonych ustawą przypadkach - nazwę i adres organu egzekucyjnego lub imię i nazwisko komornika sądowego oraz jego adres, a w miejscu określonym dla podatnika - imię i nazwisko lub nazwę dłużnika oraz jego adres;
  • w przypadku faktur wystawianych w imieniu i na rzecz podatnika przez jego przedstawiciela podatkowego - nazwę lub imię i nazwisko przedstawiciela podatkowego, jego adres oraz numer, za pomocą którego jest on zidentyfikowany na potrzeby podatku.

W ramach wykonywania usług na rzecz kontrahenta, nie jest potrzebna jego dodatkowa zgoda na przetwarzanie danych osobowych związanych z czynnościami administracyjnymi i księgowymi. Podstawą przetwarzania powierzonych danych osobowych jest zawarta między wami umowa (nie musi mieć ona formy pisemnej dla wywoływania skutków prawnych). Przy pozyskiwaniu danych kontrahenta należy jednak obowiązkowo poinformować go o tym kto, w jakim celu i jak długo będzie jego dane przetwarzał.

Warto mieć na uwadze, że programy do wystawiania faktur muszą spełniać pewne wymogi prawne w zakresie ochrony danych osobowych, takie jak:

  • integralność treści i autentyczność pochodzenia;
  • odpowiednie zabezpieczenie przed nieautoryzowanym dostępem, zarówno na poziomie klienta (aplikacja, zaszyfrowany hasłem plik przesłany elektronicznie), jak też serwera (bazy danych, chmury obliczeniowej).

Bazy danych osobowych przetwarzanej dla potrzeb programów do fakturowania dotyczą również wszelkie uprawnienia wynikające z RODO i innych regulacji odnoszących się do ochrony danych, m.in. prawo do sprostowania/modyfikacji danych, do częściowego ich usunięcia oraz prawo do bycia „zapomnianym”.

Podstawa prawna:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO), (t.j. Dz.Urz.UE.L 2016 Nr 119, str. 1);
  2. Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), (t.j. Dz.Urz.UE.L 2002 Nr 201, str. 37);
  3. Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny (t.j. Dz.U. z 2019 r. poz. 1145);
  4. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781 t.j.);
  5. Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. z 2019 r. poz. 742);
  6. Ustawa o podatku od towarów i usług ( tj. o VAT) Dz.U.2022.931

 

Pamiętaj:
Wpisz nasz KRS 0000318482 w Deklaracji Podatkowej Twój e-PIT
Dziękujemy!

Czy wiesz, że aż 96% mikro firm zapewnia 75% wszystkich wpływów z podatków i wytwarza 51% zysku gospodarki kraju?

A tylko niewielkiej liczbie udaje się utrzymać na rynku dłużej niż rok bez dostatecznej wiedzy i znajomości przepisów.

A czy wiesz, że...

Ty też możesz coś zrobić, abyśmy mogli dalej działać i skutecznie Cię wspierać?

KRS 0000318482

Przejdź do Twój e-PIT