GoBD (zasady prawidłowego prowadzenia i przechowywania ksiąg, rejestrów i dokumentów w formie elektronicznej) zawiera obowiązki w zakresie przechowywania, podobnie jak DSGVO. Które z nich firmy muszą przestrzegać, aby uniknąć kar pieniężnych lub podobnych? Czy obowiązek retencji z GoBD jest ewentualnie nawet sprzeczny z GDPR?

Co to jest GoBD?

GoBD to skrót od "Zasad prawidłowego prowadzenia i przechowywania ksiąg, ewidencji i dokumentów w formie elektronicznej". Jest to instrukcja administracyjna Ministerstwa Finansów, która weszła w życie w 2014 roku i została znowelizowana na początku 2020 roku. Zawiera ona podstawowe zasady, których przedsiębiorcy muszą przestrzegać w odniesieniu do swoich ksiąg i innych ewidencji. Celem jest uznanie tych dokumentów dla celów dowodów podatkowych przez organy podatkowe. Przepisy te dotyczą wszystkich przedsiębiorców, niezależnie od ich wielkości.

GoBD reguluje jedynie podstawowe zasady zatrzymywania i przechowywania dokumentów. Nie reguluje natomiast, jakie dokumenty mają być w ogóle przechowywane i jak długo. Wynika to jednak z innych ustaw.

Jaki obowiązek przechowywania reguluje GoBD?

Według GoBD wszystko, co ma znaczenie dla opodatkowania przedsiębiorstwa, musi być udokumentowane i przechowywane. W tym celu zawiera zasadę identyfikowalności i weryfikowalności. Ponadto znajdują się tu również zasady prawdy, jasności i ciągłego zapisu (zawierają one zasady kompletności, dokładności, terminowego tworzenia kopii zapasowych dokumentów, porządku i niezmienności).

W związku z tym do wszystkich rezerwacji musi być dołączony voucher. Musi on być sporządzony w odpowiednim czasie i musi być poprawny. Muszą one podlegać zabezpieczeniu audytowemu, tzn. rezerwacje muszą być rejestrowane systematycznie, a vouchery i zapisy muszą być niezmienne. Dla tej procedury musi być prowadzony katalog procedur. Wszystko to musi być również archiwizowane.

Sprzeczność z GDPR?

W praktyce często pojawia się pytanie, czy przepisy dotyczące przechowywania i archiwizacji według GoBD są sprzeczne z GDPR. Gdyby tak było, wszyscy przedsiębiorcy stosujący się do wymogów GoBD działaliby z naruszeniem ochrony danych osobowych.

Istota problemu polega na tym, że dokumenty, które mają być przechowywane zgodnie z GoBD, często zawierają dane osobowe, a więc wchodzą w zakres GDPR. Samo GDPR reguluje ograniczenia przechowywania do końca celu (art. 5 GDPR). Czy GoBD stoi w sprzeczności z tą regulacją?

Odpowiedź jest jednoznaczna: nie! W przypadku przechowywania dokumentów zgodnie z dyrektywą GoBD należy przestrzegać terminów prawnych. Obowiązuje to niezależnie od tego, czy przechowywany dokument zawiera dane osobowe, czy nie. Podczas tego przechowywania istnieje cel, a mianowicie cel prawa podatkowego GoBD. Jeśli okres zgodnie z GoBD upłynie, cel przetwarzania danych w rozumieniu GDPR również przestaje obowiązywać, a dane muszą zostać usunięte. Ważna jest tutaj odpowiednia koncepcja usunięcia danych.

Naruszenie prawa ochrony danych ma miejsce tylko wtedy, gdy dane osobowe są przechowywane poza ustawowym obowiązkiem przechowywania lub gdy koncepcja GoBD jest wykorzystywana jako przykrywka dla nieuprawnionego przechowywania danych.

Wniosek

Obowiązek retencji według GoBD nie stoi w sprzeczności z GDPR. Przedsiębiorcy, którzy przestrzegają tej retencji i odpowiednich terminów prawnych, nie działają wbrew ochronie danych. Jeżeli jednak dane, które mają być zatrzymane, zawierają dane osobowe, w ramach GoBD należy również przestrzegać podstawowych zasad GDPR. Po wygaśnięciu obowiązków związanych z zatrzymywaniem danych, dane muszą zostać usunięte zgodnie z wymogami ochrony danych.

Nasz zespół ekspertów chętnie doradzi Państwu we wszystkich tematach związanych z ochroną i bezpieczeństwem danych!

DSB buchen
pl_PLPolski