اللائحة العامة لحماية البيانات والفواتير: ما يجب على كل مستقل معرفته
GDPR تنطبق على فواتيرك لعملاء الاتحاد الأوروبي. البيانات الشخصية في الفاتورة، فترات الاحتفاظ، الأساس القانوني، والفوترة المتوافقة.
لا تقتصر اللائحة العامة لحماية البيانات (GDPR) على شركات التكنولوجيا الكبرى. فكل مستقل أو شركة صغيرة تُصدر فواتير لعملاء في الاتحاد الأوروبي — أو لعملاء مقيمين في الاتحاد الأوروبي من أي مكان في العالم — يُعالج بيانات شخصية، مما يعني أن اللائحة تنطبق عليك.
ما الذي يُعدّ بيانات شخصية على الفاتورة، وما أساسك القانوني لمعالجتها، وإلى متى تحتفظ بسجلاتك، وما حقوق عملائك — أسئلة لكل مستقل يفوتر عملاء في الاتحاد الأوروبي.
هل تحتوي الفواتير على بيانات شخصية؟
نعم. تتضمن الفاتورة عادةً:
- الاسم الكامل للعميل أو اسم جهة الاتصال في الشركة
- عنوان العميل (التجاري أو الشخصي)
- عنوان البريد الإلكتروني
- رقم الهاتف
- الرقم الضريبي أو رقم تسجيل ضريبة القيمة المضافة
أي معلومة يمكنها تحديد هوية شخص طبيعي — بشكل مباشر أو غير مباشر — تُعدّ بيانات شخصية وفق اللائحة. اسم المستقل وعنوانه بيانات شخصية. أما اسم الشركة وحده فلا يُعدّ كذلك — لكن اسم جهة اتصال مذكورة في تلك الشركة يُعدّ بيانات شخصية.
أساسك القانوني لمعالجة بيانات الفوترة
يشترط المادة السادسة من اللائحة وجود أساس قانوني لمعالجة البيانات الشخصية. للفوترة، ينطبق أساسان:
١. تنفيذ العقد (المادة ٦(١)(ب))
المعالجة ضرورية لتنفيذ عقد مع صاحب البيانات. إصدار الفاتورة يستوفي هذا الشرط مباشرةً — تحتاج إلى عنوان العميل واسمه لإصدار فاتورة صحيحة.
٢. الالتزام القانوني (المادة ٦(١)(ج))
المعالجة ضرورية للوفاء بالتزام قانوني. تُلزم قوانين الضرائب في معظم دول الاتحاد الأوروبي بالاحتفاظ بسجلات الفواتير لعدد محدد من السنوات. الاحتفاظ بالفواتير للوفاء بمتطلبات مصلحة الضرائب يندرج تحت هذا الأساس بوضوح.
لا تحتاج إلى موافقة لإصدار الفواتير أو الاحتفاظ بها لأغراض ضريبية. طلب الموافقة هنا خطأ — يجب أن تكون الموافقة قابلة للسحب في أي وقت، ولا يمكنك حذف سجل ضريبي مطلوب لأن العميل سحب موافقته.
إلى متى يمكنك الاحتفاظ بسجلات الفواتير؟
تقتضي مبادئ تقليل البيانات وتحديد فترة الاحتفاظ في اللائحة الاحتفاظ بالبيانات الشخصية فحسب للمدة اللازمة. للفواتير، يُحدد قانون الضرائب الوطني — لا اللائحة — ما هو "ضروري". فترات الاحتفاظ الشائعة:
| الدولة | الحد الأدنى لفترة الاحتفاظ |
|---|---|
| ألمانيا | ١٠ سنوات |
| فرنسا | ١٠ سنوات |
| هولندا | ٧ سنوات |
| إسبانيا | ٥ سنوات (عام)، ٤ سنوات (ضريبي) |
| إيطاليا | ١٠ سنوات |
| المملكة المتحدة | ٦ سنوات |
بعد انتهاء فترة الاحتفاظ، يجب حذف السجلات أو إخفاء هوياتها. الاحتفاظ بالفواتير إلى أجل غير مسمى "لمجرد الحيطة" لا يتوافق مع اللائحة.
حقوق العملاء والفواتير
حق الوصول (المادة ١٥)
يحق للعميل طلب نسخة من بياناته الشخصية التي تحتفظ بها. يجب الرد خلال شهر واحد. بالنسبة للفواتير، يعني ذلك تقديم نسخ من الفواتير التي تحتوي على بياناته.
حق الحذف (المادة ١٧)
حق "النسيان" لا يتغلب على الالتزامات القانونية. إذا كان قانون الضرائب يُلزمك بالاحتفاظ بفاتورة لمدة ١٠ سنوات، يمكنك رفض طلب الحذف. أخبر العميل أنك تحتفظ بالسجل للوفاء بالتزامات قانونية وستحذفه بعد انتهاء تلك الالتزامات.
حق التصحيح (المادة ١٦)
إذا كانت بيانات العميل على الفاتورة غير صحيحة، يحق له طلب التصحيح. للفواتير الصادرة، يُصدر عادةً فاتورة معدّلة أو إشعار دائن بدلاً من تعديل السجل الأصلي.
برامج الفوترة: ما يجب مراعاته
إذا كنت تستخدم منصة فوترة سحابية، تصبح تلك المنصة معالجاً للبيانات بموجب اللائحة. أنت المتحكم في البيانات؛ هم يعالجونها نيابةً عنك. هذا يعني:
- تحتاج إلى اتفاقية معالجة البيانات (DPA) مع المنصة — المنصات الجادة تُدرجها في شروطها
- قد تُخزَّن بيانات العملاء على خوادم خارج الاتحاد الأوروبي — تحقق من موقع استضافة البيانات
- تبقى مسؤولاً عن الامتثال للائحة حتى لو أساءت المنصة التعامل مع البيانات
الأدوات القائمة على المتصفح مثل invoicePrivate، التي تخزن جميع البيانات محلياً، تتجنب هذه المشكلة تماماً. لا تُرسل أي بيانات إلى خادم، لذا لا يوجد معالج خارجي ولا DPA مطلوب.
خطوات عملية للفوترة المتوافقة مع اللائحة
- جمع ما هو ضروري فحسب. الاسم والعنوان والرقم الضريبي — لا أكثر.
- معرفة فترة الاحتفاظ. ضع تذكيراً لحذف سجلات الفواتير بعد انتهاء المدة القانونية في بلدك.
- تحديث سياسة الخصوصية. إذا كنت ترسل نشرات إخبارية أو تُعيد استخدام بيانات الاتصال للتسويق، يجب الإفصاح عن ذلك في سياسة الخصوصية.
- إبرام DPA مع أي أداة سحابية. إلزامي بموجب المادة ٢٨ من اللائحة.
- وضع إجراء لطلبات الوصول. يجب أن تكون قادراً على الرد خلال ٣٠ يوماً.
الغرامات على عدم الامتثال
غرامات اللائحة العامة لحماية البيانات متدرجة:
- المستوى الأدنى: حتى ١٠ ملايين يورو أو ٢٪ من حجم الأعمال السنوي العالمي
- المستوى الأعلى: حتى ٢٠ مليون يورو أو ٤٪ من حجم الأعمال السنوي العالمي
FAQ
هل تنطبق اللائحة عليّ إذا كنت خارج الاتحاد الأوروبي وأفوتر عملاء أوروبيين؟▼
نعم. تنطبق اللائحة على أي عمل تجاري يقدم بضائع أو خدمات لأشخاص في الاتحاد الأوروبي، بغض النظر عن موقع الشركة. إذا كنت تُفوتر أفراداً مقيمين في الاتحاد الأوروبي، فأنت خاضع للائحة.
هل يمكن للعميل إجباري على حذف فاتورة بموجب اللائحة؟▼
لا، طالما أنت ملزم قانوناً بالاحتفاظ بها. لا يتغلب حق الحذف على الالتزامات القانونية. يمكنك رفض الطلب وإبلاغ العميل بالأساس القانوني، والتعهد بالحذف بعد انتهاء فترة الاحتفاظ.
هل أحتاج إلى إضافة إشعار خصوصية على فواتيري؟▼
ليس بالضرورة على الفاتورة نفسها. تشترط اللائحة إبلاغ العملاء بكيفية معالجة بياناتهم — عادةً من خلال سياسة خصوصية. لا تحتاج إلى إعادة ذلك على كل فاتورة، لكن يجب أن تشمل سياسة الخصوصية معالجة بيانات الفوترة.
ما الفرق بين المتحكم في البيانات والمعالج بموجب اللائحة؟▼
المتحكم في البيانات (أنت) يحدد لماذا وكيف تُعالَج البيانات الشخصية. المعالج (برنامج الفوترة السحابي) يعالج البيانات نيابةً عنك. أنت المسؤول القانوني الأول؛ لهذا تحتاج إلى اتفاقية معالجة البيانات مع أي أداة سحابية تستخدمها.
أول فاتورة في أقل من ثلاث دقائق
مجاني للأبد. بدون بطاقة ائتمان، بدون تسجيل، بدون علامة مائية. افتح الأداة وابدأ.
إنشاء فاتورة →