Ochrona danych zawartych w plikach JPK

Obowiązek przesyłania JPK

Przypomnijmy, że ustawa z 10 września 2015 r. o zmianie ustawy - Ordynacja podatkowa (Dz.U. z 2015 r. poz. 1649) wprowadziła nowy obowiązek dla przedsiębiorców, czyli konieczność przesyłania firmowych danych w postaci Jednolitych Plików Kontrolnych (JPK).

Pliki JPK, do których przesyłania zobowiązane są obecnie duże, średnie i małe przedsiębiorstwa, są zbiorami danych, tworzonych z systemów informatycznych podmiotu gospodarczego poprzez bezpośredni eksport danych, zawierających informacje o operacjach gospodarczych za dany okres, posiadających ustandaryzowany układ i format (schemat XML) umożliwiający ich łatwe przetwarzanie.

Przy czym, oprócz plików JPK przesyłanych na żądanie fiskusa, na czynnych podatników VAT został nałożony obowiązek comiesięcznego przesyłania informacji o prowadzonej ewidencji VAT, w formacie JPK_VAT, bez wcześniejszego wezwania organu podatkowego.

Natomiast sposób przesyłania JPK został określony rozporządzeniem z 24 czerwca 2016 r. w sprawie sposobu przesyłania za pomocą środków komunikacji elektronicznej ksiąg podatkowych oraz wymagań technicznych dla informatycznych nośników danych, na których te księgi mogą być zapisane i przekazywane (Dz.U. z 29 czerwca 2016 r. poz. 932).

Ministerstwo Finansów udostępniło podatnikom darmową aplikację kliencką „Klient JPK” do wysyłania plików JPK.

Ochrona danych zawartych w JPK

Sposób przesyłania i gromadzenia JPK budzi jednak wątpliwości przedsiębiorców, którzy zwracają uwagę na powagę dokumentów i informacji przesyłanych w postaci JPK. Czy dane z JPK są dostatecznie dobrze zabezpieczone i czy nie mogą zostać przechwycone przez osoby niepowołane?

Polecamy: Jednolity Plik Kontrolny - Ewidencja VAT od 1 stycznia 2017

Ministerstwo Finansów stara się uspokoić przedsiębiorców wskazując, że przekazywane przez podatników dane w postaci plików JPK chronione są z zachowaniem wszystkich reguł wynikających z przepisów dotyczących ochrony informacji stanowiących tajemnicę skarbową i ochrony danych osobowych w odniesieniu do ochrony danych w formie elektronicznej. Natomiast dostęp do danych w celu realizacji zadań analitycznych mają jedynie upoważnieni pracownicy resortu finansów.

JPK przesyłane są do chmury publicznej w postaci zaszyfrowanej kluczem publicznym Ministerstwa Finansów. Do szyfrowania JPK wykorzystywane są silne algorytmy kryptograficzne AES oraz RSA. Odszyfrowanie możliwe jest tylko w środowisku Centrum Przetwarzania Danych Ministerstwa Finansów (CPD MF) z wykorzystaniem chronionego klucza prywatnego Ministerstwa Finansów.

Bezpieczeństwo przetwarzania danych w CPD MF zapewniają:

- System Zarządzania Bezpieczeństwem Informacji zgodny z wymaganiami normy PN-ISO/IEC 27001;

- zasady bezpiecznego przetwarzania danych w CPD MF określone w Polityce Bezpieczeństwa Informacji CPD;

- zabezpieczenia techniczne - systemy typu Firewall, IDS/IPS (Intrusion Detection System/Intrusion Prevention System), systemy antywirusowe i DLP (Data Loss Prevention), system SIEM (Security Information and Event Management) oraz systemy monitorujące funkcjonowanie głównych systemów IT;

- prowadzone okresowe działania audytowe.

Resort finansów zapewnia, że system JPK pomyślnie przeszedł testy bezpieczeństwa i zewnętrzny audyt bezpieczeństwa.

Dodatkowo wszystkie dane przekazywane w ramach JPK są objęte tajemnicą skarbową, której naruszenie jest zagrożone karą pozbawienia wolności (art. 306 Ordynacji podatkowej).

Przy tworzeniu systemu Ministerstwo Finansów wzorowało się na systemach portugalskim i luksemburskim. Polska wersja JPK oparta jest na standardzie OECD zwanym Standard Audit File - Taxes (SAF-T) w wersji 2.0 z 2010. Standard ten został dostosowany do polskiego systemu podatkowego w wyniku prowadzonych testów i konsultacji. Podobne rozwiązania wdrożyły ostatnio Słowacja, Czechy, Litwa, Łotwa i Estonia. Kolejne kraje UE również planują w najbliższym czasie wdrożenie takich systemów.