Jednolity plik kontrolny to pierwszy ustrukturyzowany raport, w którym podatnicy przekazują organom podatkowym kompleksowe informacje o finansach przedsiębiorstwa. Mając do dyspozycji tylko plik JPK_KR dla ksiąg rachunkowych, fiskus będzie w stanie dokonać rekonstrukcji sytuacji gospodarczej i finansowej firmy. Wysyłając taką ilość wrażliwych informacji w wirtualną przestrzeń, podatnicy mogą odczuwać obawy o ich bezpieczeństwo. Czy są one uzasadnione?
Paweł Hulewicz, Senior Technology Officer Tax Management Consulting, Deloitte Doradztwo Podatkowe / Media / Wojtek Lesiak wojteklesiak.net

Tajemnica skarbowa a specyfika JPK

Z punktu widzenia przepisów, indywidualne dane składane przez podatników wraz z deklaracją oraz innymi dokumentami, objęte są tajemnicą skarbową. Do jej przestrzegania zobowiązani są wszyscy urzędnicy podlegli resortowi finansów. Państwo ma obowiązek zapewnić, że do danych przetwarzanych i przechowywanych przez organy podatkowe i skarbowe nie będą miały dostępu osoby nieuprawnione.

W praktyce jednak JPK nie przekazuje się na papierze, w zaklejonej i opieczętowanej kopercie. Dane nie są chowane w szufladzie zamykanego na klucz archiwum. Aby uzyskać do nich dostęp, nie trzeba okazać identyfikatora ani dowodu osobistego. Czy to oznacza, że dane nie są chronione?

Dwa sposoby przekazywania JPK

Ze swojej istoty plik JPK jest przystosowany do funkcjonowania w obrocie elektronicznym. Można go przekazywać organom podatkowym na dwa sposoby.

Pierwszy, bardziej tradycyjny, polega na zapisaniu pliku JPK na elektronicznych nośnikach informacji (np. na płycie CD) i fizycznym dostarczeniu nośników do organów podatkowych. Rozporządzenie wykonawcze dotyczące sposobu przekazywania danych w formacie JPK (Dz.U. z 2016 r., nr 932) nie wskazuje szczegółowo, jakie warunki należy spełnić w tym przypadku, aby zapewnić bezpieczeństwo danych. Przepisy koncentrują się jedynie na zapewnieniu autentyczności i integralności danych oraz możliwości ich odczytu przez organy podatkowe. W tej formie nie można jednak składać plików JPK_VAT, które przekazuje się do resortu finansów każdego miesiąca.

Drugi, a w istocie główny sposób przekazywania plików JPK, to przesyłanie ich za pomocą oprogramowania interfejsowego dostępnego na stronie internetowej Ministerstwa. Podobny mechanizm znany jest już użytkownikom e-deklaracji, przy czym bramka, przez którą przechodzą pliki JPK, zanim trafią na serwery Ministerstwa Finansów, funkcjonuje jednak odrębnie. Rozporządzenie wykonawcze również w tym przypadku nie określa warunków zabezpieczenia systemu przekazywania danych. Wskazuje jedynie, że pliki JPK muszą być opatrzone kwalifikowanym podpisem elektronicznym.

Chmura danych finansowych

W związku z koniecznością przesyłania danych za pomocą tzw. systemu komunikacji elektronicznej, pojawiają się wątpliwości dotyczące bezpieczeństwa danych przekazywanych organom podatkowym. Warto jednak pamiętać, że wykorzystanie Internetu do transferu i zapisu informacji finansowych firmy nie jest nowym rozwiązaniem.
Część systemów do zarządzania procesami biznesowymi w firmach (ERP) oraz programów księgowych już od dawna funkcjonuje w tzw. chmurze. Oznacza to, że dane przesyłane są do aplikacji ERP właśnie przez Internet. Serwer, na którym są one zapisywane, zazwyczaj znajduje się w innym miejscu, niż komputer, z którego obsługuje się program. Dostęp do odległego „magazynu” danych zapewnia odpowiednia warstwa komunikacyjna zaimplementowana przez dostawcę usług chmurowych..
To najczęściej na dostawcy chmury spoczywa w takim wypadku obowiązek dbania o bezpieczeństwo i zapobiegania nieuprawnionemu dostępowi do przechowywanych danych.

Czynnik ludzki

Niezależnie od tego, czy dane przesyłane w formie plików JPK będą przechowywane w chmurze u prywatnego dostawcy danej usługi czy na serwerach Ministerstwa Finansów połączonych z Internetem, można zaryzykować stwierdzenie, że jak zwykle najsłabszym ogniwem w łańcuchu bezpieczeństwa będzie człowiek. Dlatego, każdy użytkownik powinien dbać o ochronę wrażliwych informacji. Dotyczy to tak urzędników, jak i podatników. Ci drudzy powinni na przykład zwrócić szczególną uwagę na to, jakie zabezpieczenia wbudowano do programów komputerowych, za pomocą których przygotowują i wysyłają pliki JPK.

Regulacja dotycząca plików JPK nie wprowadza rewolucji w zakresie technologii przesyłania i gromadzenia danych finansowych firm. Niewątpliwie jest to duży krok, w kierunku wprowadzenia technologicznie konserwatywnego obszaru rozliczeń podatkowych w nurt cyfrowej rewolucji. Dotychczas rozliczenia z fiskusem nie należały do najbardziej innowacyjnego obszaru działalności państwa. Obecnie to się zmienia, ale o bezpieczeństwo danych wciąż muszą dbać ludzie – zarówno podatnicy, jak i urzędnicy zobowiązani do zachowania tajemnicy skarbowej.
Paweł Hulewicz, Senior Technology Officer Tax Management Consulting, Deloitte Doradztwo Podatkowe