Considerente GDPR cu privire la includerea CNP-ului în facturi
Potrivit Ordonanței de Urgență nr. 69 din 21 iunie 2024, de la data de 1 iulie 2024 și până la 31 decembrie 2024, companiile pot transmite opțional facturile persoanelor fizice (B2C) în e-Factura. Începând cu 01 ianuarie 2025 acest considerent devine unul obligatoriu. Află care sunt noile aspecte relevante privind prelucrarea datelor personale în contextul emiterii facturilor către persoane fizice!
Este obligatoriu să se completeze CNP pe facturi d.p.d.v GDPR?
Codul numeric personal (CNP) este o informație extrem de sensibilă, ce trebuie protejată prin orice mijloace pentru a preveni fraudele de identitate, accesul neautorizat la servicii și conturi online, compromiterea securității financiare și alte riscuri similare.
Conform art. 6 din Regulamentul (UE) nr. 679/2016 (Regulamentul „GDPR”), orice prelucrare a datelor cu caracter personal este legală doar dacă se încadrează pe cel puțin unul dintre temeiurile următoare:
- consimțământ (atunci când persoana își dă acordul pentru prelucrarea CNP-ului pe factură)
- contractul (atunci când CNP-ul este necesar pentru încheierea unui contract);
- obligația legală (dacă există o obligație legală expresă pentru trecerea CNP-ului pe factură);
- interesul vital (de exemplu, prelucrarea CNP-ului este necesară pentru acordarea de asistență medicală de urgență);
- interesul public (aplicabil doar în cazul instituțiilor publice)
- interesul legitim.
La acest moment, includerea Codului Numeric Personal (CNP) pe facturi NU este o cerință obligatorie și ar trebui evitată, deoarece, în majoritatea cazurilor, identificarea persoanelor se poate realiza prin indicarea numelui, a prenumelui și a adresei. Această abordare, în care CNP-ul nu este transmis, respectă principiul minimizării datelor impus de Regulamentul general privind protecția datelor (GDPR), evitând prelucrarea excesivă a datelor.
În cazul în care vi se va solicita în perioada următoare includerea CNP-ului pe factură, este important să știți că la acest moment nu este o cerință obligatorie, dimpotrivă, este ilegală și contravine normelor GDPR.
Citește și: Reclamație GDPR: Cum depui o plângere dacă ți-au fost încălcate drepturile privind protecția datelor?