Jednolity Plik Kontrolny – potrzebny podpis elektroniczny

Jednolity Plik Kontrolny (JPK) od 1 lipca 2016 r.

Zgodnie z nowym art. 193a Ordynacji podatkowej, który obowiązuje od 1 lipca 2016 r., w przypadku prowadzenia ksiąg podatkowych przy użyciu programów komputerowych, organ podatkowy może żądać przekazania całości lub części tych ksiąg oraz dowodów księgowych za pomocą środków komunikacji elektronicznej lub na informatycznych nośnikach danych, w postaci elektronicznej odpowiadającej określonej strukturze logicznej, wskazując rodzaj ksiąg podatkowych oraz okres, którego dotyczą.

Polecamy: Jednolity Plik Kontrolny – praktyczny poradnik (książka)

Obowiązkiem raportowania danych w formacie JPK będą objęci wszyscy podatnicy prowadzący swoją księgi podatkowe  przy użyciu programów komputerowych. Ustawodawca zdecydował  jednak, że obowiązek będzie dotyczył określonych w przepisach grup podatników we wskazanych w ustawie  terminach. Grupy te to:

 - duzi przedsiębiorcy,

 - mali i średni przedsiębiorcy,

 - mikroprzedsiębiorcy.

Jako pierwsi JPK muszą stosować duzi przedsiębiorcy - już od 1 lipca 2016 r.  Pozostali podatnicy będą mieli więcej czasu na przystosowanie się do nowych wymogów. Dla nich przepisy przewidują okresy przejściowe. Mogą one jednak już teraz w swoich systemach finansowo-księgowych wdrożyć odpowiednie rozwiązania i przesyłać dane w nowym formacie. Okres przejściowy dla ostatniej grupy podatników, czyli mikroprzedsiębiorców kończy się 30 czerwca 2018 r., czyli od 1 lipca 2018 r. podatnicy ci muszą stosować JPK.

Ważne!

Podatnicy, którzy nie są przedsiębiorcami, ustalają termin wprowadzenia JPK również według zasad przewidzianych dla przedsiębiorców, zgodnie z interpretacją ogólną Ministra Finansów z 20 czerwca 2016 r., nr PK4.8012.55.2016.

Jednolity Plik Kontrolny - interpretacja ogólna Ministra Finansów

Obowiązek przesyłania rejestrów VAT w formie Jednolitego Pliku Kontrolnego

Pliki JPK opatrzone podpisem elektronicznym

Jak wynika z Ministra Finansów z 24 czerwca 2016 r. w sprawie sposobu przesyłania za pomocą środków komunikacji elektronicznej ksiąg podatkowych oraz wymagań technicznych dla informatycznych nośników danych, na których te księgi mogą być zapisane i przekazywane (Dz. U. z 29 czerwca 2016 r. poz. 932) księgi podatkowe, części tych ksiąg oraz dowody księgowe w formacie JPK mogą być:

-  przesyłane za pomocą oprogramowania interfejsowego dostępnego na stronie, której adres jest podany w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra właściwego do spraw finansów publicznych albo

- przekazywane na informatycznych nośnikach danych, tj. płycie CD, DVD, pendrivie.

Nowa wersja specyfikacji interfejsów usług Jednolitego Pliku Kontrolnego (JPK)

Zapis zawarty w rozporządzeniu przewiduje, że dane w postaci JPK przesyłane przez internet za pomocą oprogramowania interfejsowego dostępnego na stronie, której adres jest podany w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra właściwego do spraw finansów publicznych powinny być opatrzone kwalifikowanym podpisem elektronicznym w rozumieniu art. 3 pkt 12 rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 23 lipca 2014 r. nr 910/2014.

Szczegółowy sposób opatrywania ksiąg podatkowych i dowodów księgowych kwalifikowanym podpisem elektronicznym na potrzeby JPK określa załącznik do rozporządzenia, zgodnie z którym:

1) księgi opatruje się podpisem elektronicznym z wykorzystaniem formatu określonego przez specyfikację techniczną ETSI TS 103 171 XML Advanced Electronic Signatures (XAdES Basic Electronic Signature, w skrócie XAdES-BES) wydaną przez European Telecommunications Standards Institute, w którym do przygotowania formy kanonicznej księgi wykorzystano standardową metodę wyspecyfikowaną w standardzie XMLDSIG oraz treść podpisywanej księgi została umieszczona w elemencie ds:Object;

2) algorytmem kwalifikowanego podpisu elektronicznego jest Sha-1WithRSAEncryption, którego specyfikacja techniczna jest jednoznacznie określona przez następujący identyfikator obiektu: identyfikator iso(1) member-body(2) US(840) rsadsi(113549) pkcs(1) pkcs-1(1) sha1-with-rsa-signature(5);

3) algorytmem kwalifikowanego podpisu elektronicznego jest Sha256WithRSAEncryption, którego specyfikacja techniczna jest jednoznacznie określona przez następujący identyfikator obiektu: identyfikator iso(1) member-body(2) US(840) rsadsi(113549) pkcs(1) pkcs-1(1) sha256WithRSAEncryption(11);

4) algorytmem szyfrowania jest RSA, którego specyfikacja techniczna jest jednoznacznie określona przez następujący identyfikator obiektu: identyfikator joint-iso-ccitt(2) ds(5) module(1) algorithm(8) encryptionAlgorithm(1) 1;

5) funkcją skrótu jest SHA-1, którego specyfikacja techniczna jest jednoznacznie określona przez następujący identyfikator obiektu: identyfikator iso(1) identifiedOrganization(3) oIW(14) oIWSecSig(3) oIWSecAlgorithm(2) hashAlgorithmIdentifier(26);

6) funkcją skrótu jest SHA-256, którego specyfikacja techniczna jest jednoznacznie określona przez następujący identyfikator obiektu: identyfikator joint-iso-itu-t(2) country(16) us(840) organization(1) gov(101) csor(3) nistAlgorithm(4) hashAlgs(2) sha256(1);

7) kwalifikowany certyfikat zawiera w polu identyfikatora podmiotu „subject” przynajmniej następujące atrybuty: nazwa kraju, nazwisko, imię (imiona) lub pseudonim, numer seryjny;

8) wykorzystany zostanie certyfikat kwalifikowany;

9) format, o którym mowa w pkt 1, zawiera w szczególności parametry identyfikujące jednoznacznie certyfikat kwalifikowany podmiotu podpisującego (nazwa wystawcy certyfikatu i jego numer seryjny oraz wartość skrótu SHA-1 lub SHA-256 z certyfikatu), którego używa się podczas weryfikacji podpisu, jest umieszczony w atrybucie podpisanym, którego specyfikacja techniczna jest określona przez następujący znacznik: SigningCertificate oraz treść kwalifikowanego certyfikatu X.509 jest umieszczona w elemencie ds:X509Data, zawartym w elemencie Keylnfo.

Podpis elektroniczny zgodny z rozporządzeniem eIDAS

W Dzienniku Urzędowym Unii Europejskiej z dniem 28 sierpnia 2014 r. zostało opublikowane Rozporządzenie Parlamentu Europejskiego i Rady (UE)  z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, nr 910/2014 (rozporządzenie eIDAS). Wraz z systemem aktów delegowanych i implementujących rozporządzenie to zastępuje od 1 lipca 2016 dyrektywę 1999/93/WE w sprawie wspólnotowych ram prawnych dla podpisów elektronicznych i krajowe przepisy wszystkich państw członkowskich, które wykonują tę dyrektywę. Oznacza to, że od 1 lipca 2016 r. rozporządzenie zastępuje ustawę z dnia 18 września 2001 r. o podpisie elektronicznym.

Rozporządzenie eIDAS:

- określa warunki uznawania przez państwa członkowskie środków identyfikacji elektronicznej osób fizycznych i prawnych, objętych notyfikowanym systemem identyfikacji elektronicznej innego państwa członkowskiego;

- określa przepisy dotyczące usług zaufania, w szczególności transakcji elektronicznych; oraz

- ustanawia ramy prawne dla podpisów elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, dokumentów elektronicznych, usług rejestrowanego doręczenia elektronicznego i usług certyfikacyjnych uwierzytelniania witryn internetowych.

Zobacz: ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) NR 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE

W przypadku podpisu elektronicznego rozporządzenie zawiera trzy definicje, zgodnie z którymi:

1) podpis elektroniczny oznacza dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które użyte są przez podpisującego jako podpis;

2) zaawansowany podpis elektroniczny to podpis elektroniczny, który spełnia następujące wymogi:

a) jest unikalnie przyporządkowany podpisującemu,

b) umożliwia ustalenie tożsamości podpisującego,

c) jest składany przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą, oraz

d) jest powiązany z danymi podpisanymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna;

3) kwalifikowany podpis elektroniczny oznacza zaawansowany podpis elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego.

Jak przekazywać pliki JPK organom podatkowym - mail, pendrive czy ministerialny interfejs?

Przez kwalifikowany certyfikat podpisu elektronicznego należy rozumieć certyfikat podpisu elektronicznego, który jest wydawany przez kwalifikowanego dostawcę usług zaufania i spełnia określone wymogi, tj. zawiera następujące informacje:

a) wskazanie – co najmniej w postaci pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wydany jako kwalifikowany certyfikat podpisu elektronicznego;

b) zestaw danych jednoznacznie reprezentujących kwalifikowanego dostawcę usług zaufania wydającego kwalifikowane certyfikaty, obejmujący co najmniej państwo członkowskie, w którym dostawca ma siedzibę, oraz

- w odniesieniu do osoby prawnej: nazwę i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem,

- w odniesieniu do osoby fizycznej: imię i nazwisko tej osoby;

c) co najmniej imię i nazwisko podpisującego lub jego pseudonim; jeżeli używany jest pseudonim, fakt ten jest jasno wskazany;

d) dane służące do walidacji podpisu elektronicznego, które odpowiadają danym służącym do składania podpisu elektronicznego;

e) dane dotyczące początku i końca okresu ważności certyfikatu;

f) kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla kwalifikowanego dostawcy usług zaufania;

g) zaawansowany podpis elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego kwalifikowanego dostawcy usług zaufania;

h) miejsce, w którym nieodpłatnie dostępny jest certyfikat towarzyszący zaawansowanemu podpisowi elektronicznemu lub zaawansowanej pieczęci elektronicznej, o których mowa w lit. g);

i) miejsce usług, z którego można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu;

j) w przypadku gdy dane służące do składania podpisu elektronicznego powiązane z danymi służącymi do walidacji podpisu elektronicznego znajdują się w kwalifikowanym urządzeniu do składania podpisu elektronicznego, odpowiednie wskazanie tego faktu co najmniej w postaci pozwalającej na automatyczne przetwarzanie.

Natomiast kwalifikowanym dostawcą usług zaufania jest dostawca usług zaufania, który świadczy przynajmniej jedną kwalifikowaną usługę zaufania i któremu status kwalifikowany nadał organ nadzoru.

Skutki prawne podpisów elektronicznych według eIDAS

W świetle regulacji zawartych w rozporządzeniu eIDAS podpisowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że podpis ten ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych podpisów elektronicznych.

Kwalifikowany podpis elektroniczny ma skutek prawny równoważny podpisowi własnoręcznemu.

Kwalifikowany podpis elektroniczny oparty na kwalifikowanym certyfikacie wydanym w jednym państwie członkowskim jest uznawany za kwalifikowany podpis elektroniczny we wszystkich pozostałych państwach członkowskich.

Zastosowanie podpisu elektronicznego

Kwalifikowany podpis elektroniczny ma obecnie zastosowanie m.in. do:

- elektronicznego podpisywania umów i dokumentów w obrocie handlowym i cywilno-prawnym,

- podpisywania pism i decyzji administracyjnych przez urzędy,

- podpisywania faktur elektronicznych, zarejestrowania działalności gospodarczej (CEIDG),

- składania deklaracji celnych i podatkowych,

- zgłoszeń ubezpieczenia społecznego (również system PUE ZUS),

- podpisywania wniosków do Krajowego Rejestru Sądowego,

- podpisywania raportów dla Generalnego Inspektora Informacji Finansowej,

- korespondencji z Generalnym Inspektorem Ochrony Danych Osobowych,

- podpisywania dokumentacji medycznej,

oraz w korespondencji z urzędami.

Od 1 lipca 2016 r. do w/w zastosowań należy dodać konieczność opatrywania danych przesyłanych w formacie JPK.

Rozporządzenie eIDAS dotyczące podpisów elektronicznych

Składanie dokumentów z kwalifikowanym podpisem elektronicznym wymaga poniesienia  kosztów zakupu zestawu z odpowiednim urządzenie. W późniejszych latach – niezbędne będzie poniesienie kosztów związanych z koniecznością odnawiania ważności certyfikatu na kolejne okresy.

Zakup podpisu elektronicznego

Zestawy do składania kwalifikowanego podpisu elektronicznego można zakupić w pięciu następujących firmach, tj. podmiotach świadczących usługi certyfikacyjne w zakresie podpisu elektronicznego:

- Krajowa Izba Rozliczeniowa,

- Polska Wytwórnia Papierów Wartościowych,

- Asseco Data Systems Poland (d. Unizeto Technologies S.A.),

- Enigma S.O.I.,

- EuroCent

oraz partnerskich punktach rejestracyjnych na terenie całego kraju.    

Istotną informacją dla przedsiębiorców dokonujących zakupu zestawu do podpisu elektronicznego jest to, że zakup takiego zestawu na potrzeby działalności gospodarczej może być zakwalifikowany jako koszt uzyskania przychodu w ramach prowadzonej działalności gospodarczej.

Usługi certyfikacyjne mają charakter komercyjny. W związku z tym wysokość opłat  za zestawy do podpisu elektronicznego i odnowienia podpisu elektronicznego na kolejne okresy ważności określają podmioty świadczące te usługi. Ceny zestawów do składania podpisu elektronicznego różnią się w zależności od długości okresu ważności certyfikatu i rodzaju urządzenia do składania podpisu (czytnik kart usb, token usb lub pcmcia).

Podstawa prawna:

- Rozporządzenie Ministra Finansów z 24 czerwca 2016 r. w sprawie sposobu przesyłania za pomocą środków komunikacji elektronicznej ksiąg podatkowych oraz wymagań technicznych dla informatycznych nośników danych, na których te księgi mogą być zapisane i przekazywane (Dz. U. z 29 czerwca 2016 r. poz. 932);

- Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dziennik Urzędowy Unii Europejskiej nr L 257/73 z 28 sierpnia 2014 r.