Conform OUG 69/2024, de la 1 iulie 2024, firmele pot trimite opțional facturile persoanelor fizice (B2C) în sistemul de facturare electronic e-factura.
Pentru a crea o factură electronică, se solicită, printre alte date cu caracter personal, și codul numeric personal (CNP).
Trecerea CNP-ului pe factură încalcă GDPR
”Codul numeric personal (CNP) este o informație personală extrem de sensibilă care trebuie protejată prin orice mijloace pentru a preveni situații nefaste precum fraude de identitate (contractarea de credite online, fraudarea unor persoane cu utilizarea datelor reale ale altei persoane, etc), accesul neautorizat la servicii și conturi online, compromiterea securității financiare, etc, arată Ruxandra Sava – avocat specializat în protecția datelor – într-un material publicat pe site-ul ”legalup.ro”.
În continuare, aceasta menționeză: ”Problema actuală CNP-ului pe factură este aceea că nu există un temei juridic pentru trecerea acestei date cu caracter personal extrem de sensibile pe factură. Factura este un document de largă circulație, accesat de multe persoane, printre care angajați, contabili, transporatori, lucrători în logistică. De multe ori, facturile sunt lipite pur și simplu pe colete, cu toate datele la vedere”.
Care sunt temeiurile legale pentru prelucrarea datelor cu caracter personal
În conformitate cu art. 6 din GDPR, orice prelucrare a datelor cu caracter personal este legală atunci când se bazează pe:
– consimțământ (persoana și-a dat consimțământul pentru prelucrarea CNP-ului pe factură);
– executarea contractului (atunci când CNP-ul este necesar pentru încheierea unui contract);
– îndeplinirea unei obligații legale (atunci când există o obligație legală expres menționată pentru trecerea CNP-ului pe factură);
– protejarea interesul vital al unei persoane fizice (de exemplu, acordarea de asistență medicală de urgență);
– interesul public (se aplică doar instituțiilor publice);
– interesul legitim urmărit de operator sau o parte terță.
În acest context, pentru ca prelucrarea CNP-ului să fie legală, conform GDPR, aceasta trebuie să se bazeze pe cel puțin un temei dintre cele enumerate anterior.
Pentru trecerea CNP-ului pe factură, singurele temeiuri juridice utilizabile sunt consimțământul, obligația legală și interesul legitim.
Ruxandra Sava învedrează: ”Consimțământul clientului va fi dificil de obținut. Există oameni care pur și simplu nu vor fi de acord cu dezvăluirea acestei informații extrem de sensibile pe internet, către orice comerciant. Atât timp cât identificarea clientului se poate realiza în continuare prin nume, prenume și domiciliu, trecerea CNP-ului pe factură nu este necesară, iar temeiul interesului legitim nu poate fi utilizat.
Nici temeiul obligației legale nu poate fi utilizat. În prezent nu există obligația utilizării e-facturării pentru persoane fizice. Chiar dacă utilizarea e-facturii ar fi obligatorie pentru persoane fizice, textul actual al OUG nr. 120/2021 nu prevede în mod explicit că CNP-ul trebuie trecut pe factură, ci prevede într-un mod vag la art. art. 10 ind 1 pct. 3 că „Livrările de bunuri/Prestările de servicii efectuate către o persoană fizică care se identifică în relaţia cu furnizorul/prestatorul prin codul numeric personal se consideră efectuate în relaţia B2C”. A interpreta acest text de lege în sensul în care CNP-ul trebuie trecut pe factură înseamnă a adăuga la lege, lucru nepermis în interpretarea textelor juridice”.
Prin urmare, în prezent, trecerea CNP-ului pe factură este lipsită de temei legal, iar firmele care trec CNP-ul pe factură încalcă legislația privind protecția datelor și principiul minimizării datelor (art. 5 alin. 1) lit. c) GDPR). Potrivit acestui principiu, firmele trebuie să prelucreze doar datele care sunt necesare pentru atingerea unui scop, astfel încât prelucrarea să nu devină ”excesivă și intruzivă”.
Citește art. integral pe ”legalup.ro”.
Accesează și:
– e-Factura lui Boloș se lovește de GDPR / Avocat: Firmele care trec CNP-ul pe factură încalcă legislația. Ce amenzi riscă – ”hotnews.ro”
– Avocat GDPR: Firmele care trec CNP-ul clientului pe factură încalcă legislația privind protecția datelor și riscă amenzi – ”startupcafe.ro”
Foto: ”freepik.com”