Osebni podatki na izdanem računu

Datum

12.11.2025

Številka

07121-1/2025/1335

Kategorije

EMŠO in davčna, Pravne podlage, Privolitev

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uporabe podatka o davčni številki na izdanem računu. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

Obvezne sestavine računov, ki jih mora davčni zavezanec navesti na računih, ki jih izda, so določene v 82. in 83. členu Zakona o davku na dodano vrednost (ZDDV-1). Dodatne sestavine

računa, izdanega z uporabo elektronske naprave za izdajo računov, določa 5. člen Zakona o davčnem potrjevanju računov (ZDavPR).

Osebni podatki, ki se obdelujejo, morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP nadalje pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

IP pojasnjuje, da so obvezne sestavine računov, ki jih mora davčni zavezanec navesti na računih, ki jih izda, določene v 82. in 83. členu Zakona o davku na dodano vrednost (ZDDV-1; Uradni list RS, št. 13/11 –UPB, 18/11 , 78/11 , 38/12 , 83/12 , 86/14 , 90/15 , 77/18 , 59/19 , 72/19, 196/21 – ZDOsk, 3/22, 29/22 – ZUOPDCE, 40/23 – ZDavPR-B, 122/23, 104/24; - v nadaljevanju: ZDDV-1), pri čemer v navedenih členih ni navedeno, da je davčna številka sestavni del računa. Dodatne sestavine računa, izdanega z uporabo elektronske naprave za izdajo računov, določa 5. člen Zakona o davčnem potrjevanju računov (Uradni list RS, št. 57/15, 69/17, 3/22 – ZDDV-1M, 40/23, 100/24; v nadaljevanju: ZDavPR), v skladu s katerim mora račun vsebovati še naslednje podatke: čas izdaje računa (uro in minute), oznako fizične osebe, ki izda račun z uporabo elektronske naprave za izdajo računov, enkratno identifikacijsko oznako računa in zaščitno oznako izdajatelja računa. Drugi odstavek 5. člena ZDavPR nadalje določa, da mora zavezanec povezati oznako fizične osebe, ki izda račun z uporabo elektronske naprave iz 2. točke prvega odstavka tega člena, z davčno številko te osebe, davčna številka osebe, ki je izdala račun, pa se pošlje davčnemu organu kot podatek o računu iz 6. točke drugega odstavka 6. člena tega zakona v postopku potrditve računa. Davčna številka fizične osebe, ki izda račun z uporabo elektronske naprave, je torej eden od podatkov, ki jih mora zavezanec sporočiti davčnemu organu, ti podatki pa se lahko obdelujejo samo za namene preverjanja zakonitosti zaposlitve in dela ter nadzora pravilnosti obračuna davkov in prispevkov (tretji odstavek 6. člena ZDavPR). Iz navedenih zakonskih določb tako izhaja, da davčna številka kupca (fizične osebe), ni obvezna sestavina računa, v nasprotnem primeru bi bilo to namreč izrecno zakonsko določeno. IP tudi ni poznana nobena druga zakonska podlaga, ki bi ta podatek določala kot obvezni sestavni del računa. Ob tem pa IP dodaja, da je v skladu s 4. točko prvega odstavka 82. člena ZDDV-1 kot obvezna sestavina računa določena identifikacijska številka za DDV kupca oziroma naročnika, pod katero je kupec ali naročnik prejel dobavo blaga ali storitev, za katero je dolžan plačati DDV, ali je prejel dobavo blaga v skladu s 46. členom tega zakona. V skladu z drugim odstavkom 79. člena ZDDV-1 je identifikacijska številka za DDV davčna številka s predpono SI.

IP ob tem poudarja, da je eno temeljnih načel varstva osebnih podatkov načelo najmanjšega obsega podatkov, ki določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je treba obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. V konkretnem primeru bi moral torej upravljavec (vaša lekarna), seveda ob zagotovljeni pravni podlagi, izkazati, zakaj je za dosego želenega namena (izdaja računa) treba obdelovati tudi podatek, ki ga navajate v vašem zaprosilu za mnenje (davčna številka fizične osebe).

IP vsekakor priporoča, da se na račune po nepotrebnem ne zapisuje tistih osebnih podatkov, ki niso obvezni v skladu s področnimi predpisi ali sicer nujno potrebni. Ne more pa IP v okviru mnenja presojati, ali gre v konkretnem primeru za kakršnokoli kršitev, saj presojo o ustreznosti obdelave osebnih podatkov v konkretnem primeru lahko izvede le v okviru konkretnega nadzornega ali upravnega postopka.

Glede privolitve kot pravne podlage za obdelavo osebnih podatkov posameznika (kupca) v konkretnem primeru IP splošno pojasnjuje, da mora biti privolitev posameznika v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, podana v skladu z določili 7. člena Splošne uredbe. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Privolitev mora biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazi privolitev v obdelavo osebnih podatkov v zvezi z njim. Privolitev mora biti jasna oziroma razumljiva in ločena od drugih izjav. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče. IP ob tem poudarja tudi, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oziroma razčlenjenost privolitev). Posameznik mora imeti možnost privoliti v obdelavo svojih osebnih podatkov za vsak namen obdelave posebej. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Prostovoljno je privolitev dana, kadar ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki. Posameznik ne sme čutiti prisile ali negativnih posledic, če privolitve ne poda. Prav tako ne sme biti postavljen v situacijo, ko privolitve ne more zavrniti ali preklicati brez morebitnih sankcij oziroma škodnih posledic. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

Predhodna informiranost posameznika o obdelavi njegovih podatkov je prav tako ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne. Posebno pozornost je tako treba nameniti ustreznemu informiranju posameznikov o vseh pomembnih vidikih obdelave osebnih podatkov v skladu s prvim odstavkom 12. člena in v skladu s 13. oziroma 14. členom Splošne uredbe o varstvu podatkov ter ustrezni formulaciji in obliki privolitvene izjave, ki mora ustrezati zlasti standardom iz (11) točke 4. člena, 7. člena, (a) točke drugega odstavka 9. člena ter uvodnim recitalom (32), (42) in (43) Splošne uredbe. Vsaka privolitev mora biti specifična, prilagojena konkretni obdelavi osebnih podatkov s strani posameznega upravljavca in je tako ni možno posploševati.

IP nadalje pojasnjuje, da Smernice o privolitvi na podlagi Splošne uredbe, ki jih je sprejel Evropski odbor za varstvo podatkov, med drugim določajo, da bi morali upravljavci, kadar zaprosijo za privolitev, zagotoviti, da vselej uporabljajo jasen in preprost jezik. To pomeni, da bi moralo biti sporočilo lahko razumljivo vsakemu povprečnemu posamezniku. Upravljavci ne smejo uporabljati dolgih izjav o varstvu zasebnosti, ki jih je težko razumeti, ali izjav, polnih pravnega žargona. Privolitev mora biti jasna in jo mora biti mogoče razlikovati od drugih zadev ter mora biti dana v razumljivi in preprosto dostopni obliki. Ta zahteva pravzaprav pomeni, da informacije, pomembne za sprejetje informiranih odločitev o tem, ali privoliti ali ne, ne smejo biti skrite v splošnih pogojih. Upravljavec mora zagotoviti, da je privolitev dana na podlagi informacij, ki posameznikom, na katere se nanašajo osebni podatki, omogočajo, da zlahka ugotovijo, kdo je upravljavec, in da razumejo, s čim soglašajo. Upravljavec mora jasno opisati namen obdelave podatkov, za katero se zahteva privolitev.

IP ponovno poudarja, da je eden bistvenih elementov nedvoumne privolitve tudi jasno pritrdilno ravnanje posameznika. Njegova privolitev mora biti tako podana z jasnim pritrdilnim ravnanjem, ki mora vedno biti bodisi dano z izjavo (pisno ali ustno, vključno z e-sredstvi) bodisi izkazano z aktivnostjo (npr. označitvijo s kljukico/križcem oziroma drugo oznako pri posameznem namenu obdelave).

Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/?id=102

IP sklepno povzema, da je za vsako obdelavo osebnih podatkov treba torej najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka