Completarea CNP pe facturi, sub oglinda GDPR-ului
Intocmirea documentelor pentru încasări și plăți. Facturarea, CNP pe factură, trecem sau nu?
Majoritatea companiilor folosesc softuri pentru facturare care funcționează ca o aplicație cu câmpuri predefinite, în care se completează datele necesare emiterii documentului. În funcție de aplicația folosită, unele permit și includerea unor date cu caracter personal, speciale, cum ar fi CNP-ul. Acesta având si un scop secundar, acela de identificator unic al persoanei vizate, a clientului, în aplicația respectivă. Ne-am gândit să clarificăm dacă folosirea CNP-ului pe facturile fiscale este o practică corectă din punct de vedere a cerințele legislației privind prelucrarea datelor sau doar un obicei moștenit si folosit doar pentru că aplicația de facturare are acest cămp.
Din punct de vedere al Regulamentului nr. 679/2016, CNP-ul este considerat data cu caracter personal, care poate fi folosit in conditii respectarii Art 6(1) GDPR și a Art 4, alin 2 din Legea 190/2018. Folosirea CNP-ului in scopul identificării unice a unei personae într-un sistem de facturare are la bază un interes legitim. Prin umrare, operatorul va trebui să ia măsuri suplimentare de garantare a drepturilor și libertăților persoanelor fizice, inclusive angajarea unui DPO.
Prin urmare, CNP-ul nu mai poate fi folosit pentru facturare încă din anul 2012.
Haideți să analizăm:
Conform art. 319 alin. (20) lit. f) din Codul Fiscal, factura fiscală trebuie să cuprindă în mod obligatoriu, în vederea identificării beneficiarului, următoarele informaţii: „ denumirea/numele şi adresa beneficiarului bunurilor sau serviciilor, precum şi codul de înregistrare în scopuri de TVA sau codul de identificare fiscală al beneficiarului, dacă acesta este o persoană impozabilă ori o persoană juridică neimpozabilă”.
Rezultă că elementul de identificare al beneficiarului constând în codul de identificare fiscală este necesar doar în cazul persoanelor impozabile ori a persoanelor juridice neimpozabile. Noţiunea de persoană impozabilă nu vizează persoana fizică stricto sensu, ci se referă la persoana ce desfăşoară activităţi economice şi este înregistrată la organul fiscal. Astfel că, deşi codul de identificare fiscală este, în cazul persoanelor fizice, codul numeric personal, acesta nu este cerut de lege în vederea facturării acestora atunci când deţin calitatea de beneficiar în cadrul unui raport juridic.
Cu toate acestea, foarte mulţi contabili sfătuiesc în continuare să se treacă CNP- având în vedere declaraţia 394 – Ordinul nr. 2264/2016 pentru modificarea Ordinului președintelui Agenției Naționale de Administrare Fiscală nr. 3.769/2015, care specifica înainte obligativitatea depunerii codului numeric personal. Insă, în anul 2016 a fost modificată şi această declaraţie, iar acum este suficient pentru emiterea unei facturi numele, prenumele şi domiciliul complet.
Dacă inserarea CNP pe factura fiscală este fortuită, în sensul ca programul de facturare nu a fost reconfigurat sau adaptat, se poate presupune că există interesul legitim ca temei legal al prelucrarii. Insă, în lumina noului GDPR, acest temei trebuie privit cu mai multa precauție. Având în vedere că legalitatea prelucrarii va fi judecată plecând de la echilibrul între interesul comercial, legitim al operatorului si interesele sau drepturile si libertatile fundamentale ale persoanei vizate. Și luand in considerare asteptarile rezonabile ale acesteia bazate pe relatia sa cu operatorul.
Prin urmare,
Potrivit principiului „reducerii la minimum a datelor” prevăzut de GDPR, conform căruia datele cu caracter personal trebuie să fie limitate la ceea ce este necesar, completarea CNP pe factura fiscală nu ar trebui ă se mai întâmple.
RISCURILE ce pot apărea prin prelucrarea datelor cu caracter personal cu încălcarea dispoziţiilor legale mai sus-menționate pot atrage amenzi administrative. Am întocmit aici un tabel cu amenzile. În conformitate cu art 83 alin 5 ( incalarea prevedrilor Art 6 si Art 9 GDPR poate atrage amenzi administratice incadrate in cuantumul cel mai mare). În plus, dacă au suferit un prejudiciu, persoanele vizate pot obţine despăgubiri. Care să acopere valoarea acestor prejudicii.
Exemple de încălcare
Încă din anul 2018 ANSPDCP anunță amenzi către mai mulți operatori ca urmare a unor plăngeri depuse de persoane fizice. Reclamanții acuză că primesc la adresa de domiciliu facturi adresate unor alte persoane. Pe aceste facturi sunt trecute și CNP-ul persoanelor.
Pe lănga încălcarea în sine, de a fi transmis din eroare facturi unor alti clienți, observăm și divulgarea unor date sensibile, cum ar fi CNP-ul altei persoane.