Študija primera: Hranjenje računov in preprečevanje pranja denarja – rok hrambe podatkov po GDPR

Izhodišče: podjetje, ki posluje s fizičnimi osebami in je hkrati zavezanec po Zakonu o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-1).

Vprašanje: ali sme to podjetje o kupcih hraniti osebne podatke več kot 10 let (od posameznega nakupa oziroma od prenehanja poslovnega razmerja), in če ja, na kakšni podlagi. Vprašanje se nanaša na izdane račune (fakture) ter na druge podatke.

Mnenje:

1.       Kateri osebni podatki sploh na račun? Obvezne podatke na računu določa 1. odstavek 82. člena Zakona o davku na dodano vrednost (ZDDV-1). V 5. točki navaja med drugim ime in naslov kupca. Vendar pa 83. člen ZDDV-1 dovoljuje izdajo poenostavljenega računa, pri katerem imena in naslova kupca ni potrebno navesti.

Skladno z načelom minimizacije (najmanjšega obsega podatkov, točka (c) 1. odstavka 5. člena GDPR) menimo, da ZDDV-1 ne daje pravne podlage za to, da se na izdanem računu fizični osebi navajata njeno ime in naslov. Morda bi bila primerna podlaga lahko zakoniti interes (ponudnik želi personalizirati svojo storitev tudi pro izdaji računov), vendar pa je potrebno predhodno obvezno izvesti test zakonitega interesa (LIA). Možna pravna podlaga bi bila tudi kupčeva privolitev, ki pa mora skladno z GDPR zadostiti mnogim pogojem, da jo lahko štejemo za veljavno. Ne glede na pravno podlago mora podjetje vedeti, kakšen namen zasleduje s tem, ko na izdane račune zapisuje imena in naslove kupcev.

2.       Koliko časa se lahko hranijo kopije izdanih računov? (Opomba: tudi brez imena in naslova so (ostali) podatki na izdanem računu verjetno osebni podatki; ponudnik bo namreč načelno vedno lahko ugotovil, na katerega kupca (ki ga je moral identificirati zaradi zahtev ZPPDFT-1) se izdani račun nanaša.) Po 5. odstavku 85. člena ZDDV-1 je rok hrambe izdanih računov 10 let po poteku leta, na katero se račun nanaša. Daljša hramba je po našem mnenju mogoča zgolj na podlagi osebne privolitve, a tudi v tem primeru je potrebno opredeliti, kakšen namen se s tem zasleduje (npr. omogočanje arhiva za kupce).

3.       Kaj pa ZPPDFT-1? Ta v 137. členu določa, da se v evidencah o strankah, poslovnih razmerjih in transakcijah obdelujejo osebno ime, naslov stalnega in začasnega prebivališča, datum in kraj rojstva, davčna številka ali EMŠO, državljanstvo ter številka, vrsta in naziv izdajatelja uradnega osebnega dokumenta fizične osebe. Rok hrambe je v skladu s 129. členom zakona 10 let po prenehanju poslovnega razmerja ali (zadnji) opravljeni transakciji.

4.       Sklepno: ZDDV-1 in ZPPDFT-1 ne dajeta pravne podlage za to, da bi lahko podjetje osebne podatke o kupcih, ki so fizične osebe, hranilo več kot 10 let. Taka podaljšana hramba je mogoča na kakšni drugi pravni podlagi, vendar pa mora taka hramba zasledovati enega ali več določenih, izrecnih in zakonitih namenov. Namen »za vsak slučaj« ni skladen z GDPR.