GDPR Case 005. Italian Garante - E-INVOICES: NO DATABASE TO BE SET UP BY ITALY’S REVENUE AGENCY. NO E-INVOICES FOR HEALTH CARE SERVICES

日期：20 March 2019

國家：義大利

關鍵字：電子發票；資料最小化；資料保護設計與預設；資料保護影響評估（DPIA）

GDPR：§5(1)(b) (purpose limitation)、§5(1)(c) (data minimization)、§25 (data protection by design and by default)、§35 (DPIA)

裁決：警告

摘要：

(1) 基於新的電子發票（e-invoice）法規，義大利稅務局（Italian Revenue Agency）計畫導入新的處理措施；而電子發票的適用範圍，包括商品、服務的供應商之間，以及供應商與消費者之間。

(2) 初期，稅務局曾經計劃在其入口網站上完整存儲和提供所有電子發票檔案（在2017年，金額約為21億），但是這些檔案包括有關購買商品、服務的詳細資訊，而這些資訊與稅收之目的無關。

(3) 另一方面，這些資訊在極大範圍內，可以揭露資料主體多樣化的消費模式，從公用事業和電信到交通（例如高速公路通行費、機票、酒店的訂購紀錄），到法律和醫療照護服務（例如刑事或其他訴訟程序，或對特定患者進行的醫療診斷）。

(4) 因此，義大利監管機關（Garante）認為，這樣的資料處理範圍及方式，與新法旨在實現的公共利益目的相較，不成比例，而要求予以修正。

(5) 修正後的電子發票系統想定，稅務局只會儲存基於稅務目的而進行自動檢查所需的相關資料（only the data required for the automated checks the Agency is called upon to perform for taxation purposes），例如，關於電子發票與特定納稅人間具有一致性所需的資料，至於所購買的商品、服務等資訊，則不在儲存範圍內。此外，醫療照護服務或相關商品，則毋庸開立電子發票。

(6) 稅務局只有在納稅人的特別要求，並且與監管機關達成協議後，才可以儲存和接近電子發票的完整內容。

(7) 監管機關還發現兩個關鍵問題，警示（warning）稅務局必須在系統最後推出前，予以修正。

(8) 首先，納稅人使用的中介機構在傳輸、接收和儲存電子發票的過程中，可能因為同時對多家企業提供服務，而可以透過交叉參照（cross-referencing）以及大量的資料組合（combination of huge amounts of information.）等技術，識別個人資料，進而造成資料外洩或被誤用的風險增加。

(9) 其次，該修正後的電子發票系統也存在若干資訊安全風險，例如欠缺資料加密機制。

(10) 最後，監管機關要求稅務局改善這些問題，並且依 GDPR §35 規定辦理資料保護影響評估（DPIA）。