Ministerul de Finanțe: e-Factura B2C respectă GDPR / Se lucrează la o modalitate care să nu permită corelarea cu persoana fizică
În acest moment, cu toate că în forma actuală legislația e-Factura respectă Regulamentul UE 2016/679 (GDPR), Ministerul de Finanțe (MF) explorează modalități prin care datele cu caracter personal regăsite pe factura electronică să fie convertite într-o formă de identificare fiscală care să nu permită corelarea directă cu identitatea persoanei pentru care s-a emis factura, spune instituția într-un comunicat de presă.
Potrivit Ministerului, legislația în vigoare nu contravine Regulamentului UE 2016/679 (GDPR).
“În contextul discuțiilor din spațiul public pe tema respectării GDPR, precizăm că instituirea utilizării Sistemului RO e-Factura în relația B2C s-a realizat prin completarea Ordonanței de urgență a Guvernului nr. 120/2021, actul normativ de bază care statutează regimul facturării electronice în România. Astfel, în conformitate cu prevederile art.14 și 15 din Ordonanța de urgență nr.120/2021, prevederile actului normativ nu aduc atingere legislației privind protecția datelor cu caracter personal”, mai arată MF.
Instituția subliniază că datele cu caracter personal obținute în scopul prelucrării facturilor electronice pot fi folosite exclusiv în acest scop sau în scopuri compatibile cu acesta, cu respectarea legislației privind protecția datelor cu caracter personal.
“Totodată, modalităţile de publicare, în scopul asigurării transparenţei şi a tragerii la răspundere, a datelor cu caracter personal care au fost colectate în cadrul sistemului naţional privind factura electronică RO e-Factura trebuie să fie în concordanţă cu scopul publicării şi protecţiei sferei private”, conform sursei citate.
Comunicatul mai spune că Ministerul Finanţelor şi Agenţia Naţională de Administrare Fiscală asigură managementul datelor şi informaţiilor existente în sistemul naţional privind factura electronică RO e-Factura, cu păstrarea secretului fiscal, datele şi informaţiile din factura electronică fiind folosite exclusiv de către Ministerul Finanţelor şi structurile subordonate, conform competenţelor, pentru îndeplinirea atribuţiilor specifice, cu respectarea secretului fiscal.
„Prin urmare, cadrul legal în domeniul facturării electronice prevede, în clar, asigurarea condițiilor de ordin legislativ pentru respectarea prelucrării datelor cu caracter personal. Totodată, precizăm că în relația cu ANAF, persoanele fizice române se identifică prin codul numeric personal (CNP), iar persoanele fizice străine se identifică prin numărul de identificare fiscală (NIF) atribuit de administrația fiscală”, mai arată instituția.
Ce mai spune Ministerul Finanțelor
“Codul numeric personal este identificator fiscal al persoanei fizice, conform art.82 din Legea nr.207/2015 privind Codul de procedură fiscală, atât în relația cu organul fiscal cât și cu celelalte sisteme de asigurare socială (CNPP, CNAS, etc).
Pe de altă parte, codul numeric personal al persoanei fizice este înscris în alte declarații fiscale depuse de către persoanele juridice (de ex. Declarația 112 depusă de angajator conține informații cu privire la sumele plătite angajaților, inclusiv codul numeric personal al acestora).
În conformitate cu art.11 din Legea nr.207/2015 privind Codul de procedură fiscală, toate informațiile furnizate organului fiscal indiferent că acestea provin din declarații fiscale, facturi, bonuri fiscale, etc. intră sub incidența secretului fiscal, iar personalul din cadrul ANAF este obligat să păstreze secretul asupra informațiilor de care a luat cunoștință ca urmare a exercitării atribuţiilor de serviciu.
Și în prezent, potrivit dispozițiilor Legii nr.227/2015 privind Codul fiscal, cu modificările și completările ulterioare, plătitorii de venituri cu regim de reţinere la sursă a impozitelor au obligaţia să depună o declaraţie privind calcularea şi reţinerea impozitului pe venit și a contribuțiilor sociale pentru fiecare beneficiar de venit la administrația fiscală competentă conform regulilor fiscale prevăzute pentru categoria de venit.
Astfel, în cazul veniturilor din salarii și asimilate salariilor, plătitorii au obligaţia să completeze şi să depună Declaraţia privind obligaţiile de plată a contribuţiilor sociale, impozitului pe venit şi evidenţa nominală a persoanelor asigurate pentru fiecare beneficiar de venit (D112), până la termenul de plată a impozitului pe venit și a contribuțiilor sociale, inclusiv.
De asemenea, Codul fiscal prevede că plătitorii de venituri cu regim de reţinere la sursă a impozitului pe veniturile persoanei fizice au obligaţia să depună o declaraţie (D205) privind calcularea şi reţinerea impozitului pentru fiecare beneficiar de venit la organul fiscal competent, până în ultima zi a lunii februarie inclusiv a anului curent pentru anul expirat, cu excepţia plătitorilor de venituri care au obligaţia depunerii Declaraţiei – D112.
Sunt de menționat cu titlu de exemplu, prevederile art. 147 alin. (17)-(22) din Codul fiscal, conform cărora evidenţa obligaţiilor de plată a contribuţiei de asigurări sociale datorate de angajatori şi asimilaţii acestora se ţine pe baza codului de identificare fiscală, iar cea privind contribuţia de asigurări sociale datorată de persoanele fizice care au calitatea de angajaţi sau pentru care există obligaţia plăţii contribuţiei de asigurări sociale, potrivit legii, pe baza codului numeric personal sau pe baza numărului de identificare fiscală, după caz. Declaraţia (D112) cuprinde cel puţin următoarele informații:
a) date de identificare a persoanei fizice sau juridice care depune declaraţia;
b) codul numeric personal sau numărul de identificare fiscală atribuit de organul fiscal, după caz;
c) numele, prenumele şi datele privind calitatea de asigurat;
d) date referitoare la raporturile de muncă şi activitatea desfăşurată;
e) date privind condiţiile de muncă;
f) date privind venituri/indemnizaţii/prestaţii.
Totodată, formularele de declarații fiscale conțin informația ”Document care conține date cu caracter personal protejate de prevederile Regulamentului (UE) 2016/679”.
Avocat: Informația va fi accesată de multe persoane, printre care angajați, contabili, transporatori, lucrători în logistică
„Codul numeric personal (CNP) este o informație personală extrem de sensibilă care trebuie protejată prin orice mijloace pentru a preveni situații nefaste precum fraude de identitate (contractarea de credite online, fraudarea unor persoane cu utilizarea datelor reale ale altei persoane, etc), accesul neautorizat la servicii și conturi online, compromiterea securității financiare, etc.”, susține Ruxandra Sava, avocat în Baroul București și specialist în protecția datelor acreditat de IAPP (International Association of Privacy Professionals), într-un material publicat pe LegalUp.ro
Potrivit acesteia, încă din anul 2018, legiuitorul român a acordat o protecție suplimentară CNP-ului prin Legea nr. 190/2018, stabilind în art. 4 din această lege că prelucrarea CNP-ului se poate realiza în condiții mai stricte decât prelucrarea altor date cu caracter personal (de exemplu, numele, numărul de telefon, adresa de e-mail, domiciliul).
Problema actuală a CNP-ului pe factură, spune ea, este aceea că nu există un temei juridic pentru trecerea acestei date cu caracter personal extrem de senibile pe factură.
„Factura este un document de largă circulație, accesat de multe persoane, printre care angajați, contabili, transporatori, lucrători în logistică. De multe ori, facturile sunt lipite pur și simplu pe colete, cu toate datele la vedere. Te-ai simți în siguranță știind ca datele tale ar putea fi utilizate de un infractor? Riscurile sunt reale”, spune Ruxandra Sava.
A venit și cu un exemplu: În trecut, o persoană a folosit datele altei persoane pentru a încheia online un abonament la Orange pentru a intra în posesia unui iPhone X. Persoana căreia i s-au folosit datele a aflat despre acest contract atunci când a primit prima factură de la Orange. A fost foarte dificil pentru persoana respectivă să demonstreze că i s-a furat identitatea și că altcineva a încheiat un contract în numele său pentru a intra în posesia unui iPhone.
„Conform art. 6 din Regulamentul (UE) nr. 679/2016 (așa-numitul „GDPR”), orice prelucrare a datelor cu caracter personal este legală doar dacă se încadrează pe cel puțin unul dintre temeiurile următoare: (1) consimțământul (persoana și-a dat consimțământul pentru prelucrarea CNP-ului pe factură[1]); (2) contractul (atunci când CNP-ul este necesar pentru încheierea unui contract[2]); (3) obligația legală (atunci când există o obligație legală expresă pentru trecerea CNP-ului pe factură); (4) interesul vital (de exemplu, prelucrarea CNP-ului este necesară pentru acordarea de asistență medicală de urgență); (5) interesul public (se aplică doar instituțiilor publice) și (6) interesul legitim. Așadar, pentru ca prelucrarea CNP-ului să fie legală conform GDPR trebuie să se bazeze pe cel puțin un temei dintre cele enumerate anterior: consimțământul, contractul, obligația legală, interesul vital, interesul public și interesul legitim”, explică avocatul.
Pentru trecerea CNP-ului pe factură, singurele temeiuri juridice utilizabile sunt consimțământul, obligația legală și interesul legitim.
Consimțământul explicit al clientului va fi dificil de obținut, explică Sava.
„Există oameni care pur și simplu nu vor fi de acord cu dezvăluirea acestei informații extrem de sensibile pe internet, către orice comerciant. Oamenii se tem, pe bună dreptate, de fraude de identitate și alte infracțiuni sau de colectarea masivă a datelor. Interesul legitim nu poate fi utilizat deoarece impune cerința necesității, adică prelucrarea CNP-ului trebuie să fie necesară pentru scopul identificării unice a persoanei. Or, atât timp cât identificarea clientului se poate realiza în continuare prin nume, prenume și domiciliu, trecerea CNP-ului pe factură nu este necesară, iar temeiul interesului legitim nu poate fi utilizat”, a explicat Ruxandra Sava.
Nici temeiul obligației legale nu poate fi utilizat, spune ea.
Ruxandra Sava continuă:
„În primul rând, în prezent nu există obligația utilizării e-facturării pentru persoane fizice. Exită doar opțiunea utilizării e-facturării, iar prelucrarea datelor este permisă atunci când există o obligație, nu și atunci când există doar o posibilitate. Sigur, de-a lungul vieții, am descoperit că există și oameni care nu percep diferența între obligație și posibilitate.
În al doilea rând, chiar dacă utilizarea e-facturii ar fi obligatorie pentru persoane fizice, textul actual al OUG nr. 120/2021 nu prevede în mod explicit că CNP-ul trebuie trecut pe factură, ci prevede într-un mod vag la art. art. 10 ind 1 pct. 3 că „Livrările de bunuri/Prestările de servicii efectuate către o persoană fizică care se identifică în relaţia cu furnizorul/prestatorul prin codul numeric personal se consideră efectuate în relaţia B2C”.
A interpreta acest text de lege în sensul în care CNP-ul trebuie trecut pe factură înseamnă a adăuga la lege, lucru nepermis în interpretarea textelor juridice.
În al treilea rând, chiar dacă ne-am putea imagina o lege viitoare care ar impune obligativitatea trecerii CNP-ului pe factură, cel mai probabil această lege ar fi declarată neconstituțională pentru încălcarea dreptului fundamental la viață privată. Totodată, o astfel de lege extrem de abuzivă vis-à-vis de respectarea drepturilor fundamentale ale omului ar determina unele persoane care nu doresc să își dea CNP-ul online să o fraudeze (de exemplu, prin furnizarea unui CNP greșit). Alte persoane care nu doresc să furnizeze CNP-ul s-ar putea îndrepta spre a cumpăra bunuri și produse din alte țări europene unde nu ți se solicită CNP-ul, lucru care ar afecta, în cele din urmă, economia internă”.
Prin urmare, spune ea, în prezent, „trecerea CNP-ului pe factură este lipsită de temei legal, iar firmele care trec CNP-ul pe factură încalcă legislația privind protecția datelor și principiul minimizării datelor (art. 5 alin. 1) lit. c) GDPR)”
Potrivit acestui principiu, firmele trebuie să prelucreze doar datele care sunt necesare pentru atingerea unui scopul.
„Or, atât timp cât firmele pot identifica o persoană prin nume, prenume și adresă, prelucrarea CNP-ului pe factură va încălca principiul minimizării datelor, iar amenda pentru această contravenție poate ajunge până la 4% din cifra de afaceri. Ce e drept, în România, amenzile în temeiul GDPR nu depășesc decât în cazuri extreme 10.000 EURO, dar chiar și o amendă de câteva mii de euro poate fi considerabilă pentru un operator”, a mai declarat experta.
Ce recomandă Ruxandra Sava: ”Ignorați ce spun anumite voci care îndeamnă la colectarea masivă a CNP-ului. Facturile pot fi emise în continuare pe bază de nume, prenume și adresă de domiciliu”.
INTERVIURILE HotNews.ro