Krajowy System e-Faktur (KSeF) zmienia model fakturowania w obrocie gospodarczym: faktura ustrukturyzowana jest wystawiana i odbierana w systemie teleinformatycznym, a po stronie firm wymaga nie tylko dostosowania narzędzi księgowych, lecz także uporządkowania dostępu, uprawnień i bezpieczeństwa danych osobowych. Rozwiązanie wdrażane jest etapowo: od 1 lutego 2026 r. obowiązek obejmuje duże podmioty (sprzedaż w 2024 r. powyżej 200 mln zł brutto), a od 1 kwietnia 2026 r. – pozostałe, mniejsze podmioty, z dodatkowymi okresami przejściowymi.

Podstawą dla wprowadzenia obligatoryjnego KSeF jest m.in. decyzja derogacyjna Rady UE, która pozwoliła Polsce odejść od zasady dobrowolności faktur elektronicznych (odstępstwo od art. 218 i 232 dyrektywy VAT).

1. Harmonogram i zakres obowiązku 

Na gruncie praktyki compliance i ochrony danych warto od razu rozdzielić dwie kwestie: wystawianie oraz otrzymywanie faktur. O ile obowiązek wystawiania jest etapowany, to otrzymywanie faktur w KSeF jest obowiązkowe już od 1 lutego 2026 roku, a więc także podmioty, które same jeszcze korzystają z okresów przejściowych, muszą organizacyjnie przygotować się na odbiór dokumentów w systemie.

Dla najmniejszych przedsiębiorców przewidziano rozwiązania przejściowe: do końca 2026 roku część podatników może wystawiać faktury poza KSeF, jeżeli w danym miesiącu mieści się w limicie wartości sprzedaży dokumentowanej fakturami, a „wykluczeni cyfrowo” (w uproszczeniu: bardzo drobne transakcje – do 450 zł dla pojedynczej faktury oraz do 10 tys. zł miesięcznie) mają wejść w obowiązek dopiero od 1 stycznia 2027 r.

Jednocześnie Ministerstwo Finansów już na etapie wdrożenia komunikowało pakiet rozwiązań „łagodzących” na przejściu, np. okresowe podejście edukacyjne czy przesunięcia niektórych elementów. To ważny kontekst, ale nie zmienia sedna: firmy muszą zbudować procesy dostępu, uprawnień i rozliczalności działań użytkowników w KSeF.

2. Kto jest administratorem danych w KSeF, a kto „tylko” korzysta z systemu?

W KSeF występuje kilku uczestników procesu i to rozróżnienie ma bezpośredni wpływ na kwestie ochrony danych osobowych.

Administrator systemowy: Szef Krajowej Administracji Skarbowej prowadzi KSeF i jest administratorem danych w systemie w zakresie funkcjonowania KSeF, w tym m.in. dostępu, przechowywania, uprawnień.

Kto jest administratorem po stronie biznesowej? Podatnik, który wprowadza dane do KSeF i odbiera faktury, co do zasady pozostaje administratorem danych osobowych przetwarzanych w ramach własnej działalności, takich jak danych kontrahentów, osób kontaktowych, danych personelu obsługującego proces. W praktyce to podatnik musi zapewnić, że dostęp do danych jest ograniczony, a osoby działające w imieniu firmy są właściwie umocowane i upoważnione.

Co z podmiotami przetwarzającymi? Jeśli podatnik korzysta z biura rachunkowego, zewnętrznego dostawcy systemu finansowo-księgowego, integratora lub innego partnera operacyjnego, taki podmiot często będzie działał jako procesor (podmiot przetwarzający), wykonując czynności w imieniu podatnika. Chodzi przede wszystkim o wystawianie faktur, obsługa odbioru faktur, wsparcie w administracji uprawnieniami. To uruchamia obowiązki z art. 28 i 32 RODO, a zatem wymaga umowy powierzenia oraz adekwatnych środków bezpieczeństwa.

3. KSeF to nie tylko faktura – to także dane o użytkownikach i dostępie

Wdrażając KSeF, łatwo skupić się wyłącznie na danych znajdujących się bezpośrednio na fakturach. Tymczasem newralgiczny obszar RODO dotyczy również zarządzania dostępami: kto może nadawać uprawnienia, kto może wystawiać faktury, kto ma wgląd do dokumentów i jak potwierdzana jest tożsamość użytkownika.

Rozporządzenie z 12 grudnia 2025 r. w sprawie korzystania z KSeF precyzuje m.in. rodzaje uprawnień, tryby ich nadawania oraz odbierania i dane wymagane w zawiadomieniach. W procedurach nadawania uprawnień pojawiają się dane identyfikacyjne osób fizycznych (np. NIP albo PESEL, a gdy ich brak – data urodzenia, a także dane dokumentu tożsamości), jak również adres e-mail (obowiązkowo) i numer telefonu (opcjonalnie) w kontekście danych kontaktowych.

To oznacza, że KSeF generuje, obok klasycznego obiegu faktur, dodatkowy strumień danych o personelu i osobach współpracujących, które są wskazywane do obsługi systemu. Z perspektywy RODO krytyczne staje się więc nie tyle „czy przetwarzamy”, bo przetwarzamy w związku z obowiązkiem ustawowym, lecz czy robimy to w sposób kontrolowany, minimalny i rozliczalny.

4. Czy trzeba aneksować umowę powierzenia z biurem rachunkowym?

W praktyce najczęściej konieczny jest przegląd umowy, a często także aneks – zwłaszcza gdy zakres usług biura rachunkowego obejmie czynności w KSeF (wystawianie faktur, odbiór, obsługę uprawnień, wsparcie integracji).

Weryfikując umowę powierzenia warto sprawdzić, czy obejmuje ona wprost:

• dostęp do KSeF i sposób działania osób upoważnionych na kontach w zakresie powierzonej im funkcji,

• proces nadawania i odbierania uprawnień oraz odpowiedzialność za zarządzanie dostępami (w tym obowiązek prowadzenia ewidencji osób mających dostęp),

• zasady korzystania z kanałów autoryzacji i danych kontaktowych,

• okresy retencji oraz to, czy firma przechowuje faktury wyłącznie w KSeF czy także lokalnie,

• podpowierzenia (np. gdy biuro korzysta z podwykonawców IT).

Jeśli zatem Twoja firma posiada własne zasady przydzielania uprawnień, warto zadbać, by umowa z zewnętrznym dostawcą nakładała na niego identyczne wymogi. Dzięki temu Twoje wewnętrzne procedury będą realnie przestrzegane przez partnera, co pozwoli Ci łatwo udowodnić (zgodnie z zasadą rozliczalności), że w pełni kontrolujesz bezpieczeństwo danych

5. Czy trzeba ponownie zweryfikować podmiot przetwarzający?

Tak, niezależnie od tego, czy umowa powierzenia będzie aneksowana. RODO wymaga, aby administrator dobierał procesorów zapewniających adekwatne środki bezpieczeństwa, a ta ocena ma charakter ciągły, szczególnie gdy zmienia się zakres przetwarzania lub ryzyka. KSeF je zmienia - dochodzą nowe uprawnienia, nowe kanały uwierzytelniania, nowy model obiegu dokumentów. W praktyce oznacza to aktualizację w zakresie środków technicznych, polityki dostępu, szkoleń, reakcji na incydenty, czy kontroli nad kontami użytkowników.

6. Obowiązki podatnika jako administratora danych osobowych

Wdrożenie KSeF po stronie ochrony danych najczęściej wymaga uporządkowania pięciu obszarów:

1. obowiązek informacyjny: wobec pracowników i współpracowników obsługujących KSeF oraz – zależnie od modelu – uzupełnienie klauzul wobec kontrahentów o kontekst KSeF i odbiorców danych (w tym w zakresie dostępu organów w ramach uprawnień);

2. upoważnienia i uprawnienia: uporządkowanie kwestii upoważnienia do przetwarzania danych oraz uprawnienia w KSeF. Rozporządzenie jasno pokazuje, że KSeF jest systemem, w którym role i uprawnienia są ściśle zdefiniowane, a błędy w dostępie oznaczają ryzyka nie tylko podatkowe, ale i naruszenia poufności;

3. rejestr czynności przetwarzania (art. 30 RODO): konieczność aktualizacji w zakresie nowych czynności, takich jak zarządzanie dostępami do KSeF, obsługa wystawiania/odbioru faktur w systemie, archiwizacja, czy monitoring działań w systemie;

4. analiza ryzyka (art. 32 RODO) i ewentualnie DPIA (art. 35 RODO): szczególnie pod kątem zarządzania uprawnieniami, integracji systemów finansowo-księgowych z KSeF, minimalizacji danych w treści faktur oraz bezpiecznego korzystania z narzędzi;

5. retencja i archiwizacja: faktury przesłane do KSeF mają być przechowywane w systemie przez 10 lat (licząc od końca roku, w którym zostały wystawione), co wymaga decyzji, czy i w jakim zakresie firma przechowuje je dodatkowo lokalnie.

7. Rola IOD – wsparcie, które realnie ogranicza ryzyka

W projektach KSeF Inspektor Ochrony Danych powinien być włączony w prace od samego początku organizacji obowiązków związanych z przetwarzaniem danych osobowych: podziału ról, klauzul informacyjnych, procedur dostępowych, analizy ryzyka i aktualizacji rejestru czynności. Dodatkowo, w organizacjach korzystających z biur rachunkowych, integratorów czy jednostek obsługujących, IOD może urealnić rozliczalność, pilnując, by było jasne, kto nadaje uprawnienia, kto je odbiera i kto odpowiada za kontrolę dostępu.

Choć KSeF to projekt technologiczno-podatkowy, to jego wdrożenie ma bardzo konkretny wymiar dotykający RODO: dane osobowe pojawiają się nie tylko na fakturach, lecz także w całej warstwie uprawnień, uwierzytelniania i obsługi systemu. Punktem wyjścia powinna być analiza ryzyka i uporządkowanie dostępu, a następnie aktualizacja dokumentacji RODO). W praktyce to właśnie te elementy mogą w niedalekiej przyszłości przesądzić czy KSeF stanie się usprawnieniem, czy źródłem incydentów i chaosu.

Artykuł przygotowała Alicja Christensen, prawnik ecommerce.legal