REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Twoje pieniądze » Podatki » Skarbówka wprowadza nowe zasady. Tajemnica skarbowa zostanie rozszerzona

Skarbówka wprowadza nowe zasady. Tajemnica skarbowa zostanie rozszerzona

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
05 listopada 2025, 19:18
Robert Nogacki
Robert Nogacki
radca prawny
Kancelaria Prawna Skarbiec
Kancelaria Prawna Skarbiec
Kancelaria Prawna Skarbiec świadczy doradztwo prawne z zakresu prawa podatkowego, gospodarczego, cywilnego i karnego.
krajowa administracja skarbowa
Skarbówka wprowadza nowe zasady: tajemnica skarbowa także dla informatyków
Shutterstock

REKLAMA

REKLAMA

Nowelizacja ordynacji podatkowej ma rozszerzyć obowiązek zachowania tajemnicy skarbowej na informatyków i zewnętrzne firmy IT współpracujące ze skarbówką. Zmiana ma na celu wzmocnienie ochrony danych podatników w dobie cyfryzacji administracji oraz dostosowanie polskich przepisów do międzynarodowych standardów OECD.

Planowana nowelizacja ordynacji podatkowej, wprowadzająca obowiązek zachowania tajemnicy skarbowej przez pracowników firm informatycznych obsługujących Krajową Administrację Skarbową, stanowi istotny krok w kierunku wzmocnienia ochrony danych podatników w erze cyfryzacji administracji podatkowej. Regulacja ta jest nie tylko uzasadniona z punktu widzenia bezpieczeństwa informacji, ale także w pełni zgodna z międzynarodowymi standardami wypracowanymi przez OECD w zakresie ochrony poufności danych podatkowych.

REKLAMA

REKLAMA

Zewnętrzni dostawcy IT a ryzyko naruszenia poufności

Zewnętrzni dostawcy IT mają często szerszy dostęp do danych niż tradycyjni urzędnicy, a ryzyko naruszenia poufności przez wykonawców zewnętrznych jest porównywalne lub nawet wyższe niż w przypadku pracowników administracji. Brak odpowiednich regulacji dotyczących zewnętrznych dostawców stanowiłby poważną lukę w systemie ochrony danych. Specyfika ryzyka w kontekście Krajowego Systemu e-Faktur wymaga szczególnej uwagi. W kontekście KSeF oznacza to ogromne wolumeny wrażliwych danych handlowych przepływających przez system, dane w czasie rzeczywistym o transakcjach biznesowych, informacje umożliwiające rekonstrukcję strategii biznesowych przedsiębiorstw oraz dostęp do informacji konkurencyjnie wrażliwych. Zewnętrzni wykonawcy IT mogą mieć dostęp do całego tego spektrum danych, co czyni ich potencjalnym punktem podatności systemu.

Rozszerzenie tajemnicy skarbowej na dostawców IT

Kluczowym elementem proponowanej zmiany jest rozszerzenie zakresu podmiotowego tajemnicy skarbowej nie tylko na urzędników, ale także na zewnętrznych dostawców usług IT. Jest to zgodne z wytycznymi OECD, które w kontekście zarządzania bezpieczeństwem informacji wyraźnie podkreślają, że kontrole bezpieczeństwa wzdłuż całego cyklu zatrudnienia powinny mieć zastosowanie do całego personelu, co obejmuje pracowników zarówno stałych, jak i tymczasowych, a także zewnętrznych dostawców usług i wykonawców. Toolkit OECD "Confidentiality and Information Security Management" jednoznacznie stwierdza, że administracje podatkowe powinny brać pod uwagę wszystkie różne kategorie swojego personelu przy ocenie różnych rodzajów procesów, które mają do nich zastosowanie w całym cyklu zatrudnienia.

Sankcje i odpowiedzialność karna w standardach OECD

Zarządzanie dostawcami usług IT jest przedmiotem szczególnej uwagi w standardach OECD. Toolkit poświęca temu zagadnieniu osobny podrozdział (SR 3.2.4.4), podkreślając, że zapewnienie bezpieczeństwa w wykorzystaniu outsourcingu i łańcuchów dostaw poprzez staranne zarządzanie relacjami administracji podatkowej z dostawcami jest bardzo ważnym wymogiem, ponieważ odnotowano kilka głośnych naruszeń bezpieczeństwa, których źródłem były niedociągnięcia w sieci dostawców. Dokument wskazuje wprost: "This is a very important requirement, as there have been several high profile security breaches traced back to deficiencies in the supplier network".

REKLAMA

Kwestia adekwatności sankcji karnych jest również uregulowana w standardach OECD. Toolkit wymaga, aby sankcje były jasne i wystarczająco surowe, aby zniechęcać do naruszeń, stosowane skutecznie w praktyce oraz proporcjonalne do powagi naruszenia. Zgodnie z Sub-requirement 3.3.1, "the law should impose sanctions that are clear and severe enough to discourage breaches and violations". Proponowana kara do pięciu lat pozbawienia wolności za naruszenie tajemnicy przez informatyka jest spójna z sankcjami dla urzędników, wystarczająco surowa, aby stanowić skuteczny środek odstraszający, oraz zgodna z międzynarodowymi standardami proporcjonalności.

Dalszy ciąg materiału pod wideo

Jednak same przepisy prawne nie wystarczą, muszą być wspierane przez odpowiednie procesy i zasoby zapewniające ich skuteczne stosowanie. Toolkit podkreśla w Sub-requirement 3.3.2, że przepisy dotyczące sankcji powinny być wspierane przez niezbędne procesy i zasoby w celu zapewnienia ich skutecznego stosowania. Istotne będzie zatem zapewnienie procedur raportowania podejrzeń o naruszenie tajemnicy, zasobów do prowadzenia dochodzeń oraz skutecznego stosowania sankcji w praktyce.

Cyfryzacja administracji i rola zewnętrznych wykonawców

Zmiana dotyczy coraz powszechniejszej praktyki outsourcingu usług informatycznych przez Krajową Administrację Skarbową. W ramach tych usług pracownicy firm zewnętrznych mają dostęp do systemów informatycznych KAS, w tym do wrażliwych danych podatników objętych tajemnicą skarbową. Toolkit OECD wskazuje, że wiele administracji podatkowych stara się zapewnić, aby wszystkie dane podatników przez cały czas pozostawały w ich siedzibach, były przez nie obsługiwane i kontrolowane oraz przez inne agencje rządowe ze ścisłym nadzorem nad wszelkim dostępem osób trzecich. Niemniej jednak administracje podatkowe coraz częściej zezwalają zewnętrznym dostawcom IT na zdalny dostęp do swoich centrów danych w celu zapewnienia zdalnego wsparcia w zakresie rozwoju, konserwacji i modernizacji.

Zgodnie z danymi z publikacji OECD "Tax Administration Digitalisation and Digital Transformation Initiatives", ponad osiemdziesiąt procent administracji podatkowych otrzymuje obecnie dane bezpośrednio z systemów biznesowych podatników, wykraczając poza tradycyjne systemy płac, a siedemdziesiąt siedem procent administracji wykorzystuje automatyczny przesył danych między maszynami bez udziału człowieka. Ta rosnąca cyfryzacja procesów podatkowych oznacza, że administracje podatkowe coraz bardziej polegają na zewnętrznych dostawcach technologii do utrzymania i rozwoju swoich systemów informatycznych, co z kolei oznacza konieczność zagwarantowania najwyższego poziomu ochrony wrażliwych danych handlowych i finansowych podatników.

Dlatego kluczowe jest precyzyjne określenie typów dostępu dozwolonych dla dostawców zewnętrznych, wdrożenie odpowiednich kontroli bezpieczeństwa oraz zapewnienie, że umowy z dostawcami zawierają szczegółowe wymogi dotyczące ochrony informacji. OECD w Box 28 swojego Toolkitu wskazuje, że umowy z dostawcami powinny formalnie określać opis informacji udostępnianych lub dostępnych dla dostawcy oraz metody udostępniania lub dostępu, klasyfikację informacji, wymogi prawne i regulacyjne dotyczące poufności i bezpieczeństwa, zobowiązania każdej ze stron do wdrożenia odpowiednich kontroli bezpieczeństwa oraz zasady dopuszczalnego i niedopuszczalnego wykorzystania informacji.

Wyzwania praktyczne i potrzeba skutecznego nadzoru

Implementacja proponowanej regulacji będzie wiązała się z pewnymi wyzwaniami praktycznymi. Po pierwsze, kluczowe będzie precyzyjne określenie, którzy konkretnie pracownicy firm IT będą musieli składać przyrzeczenie. Czy tylko ci mający bezpośredni dostęp do danych podatkowych, czy również administratorzy systemów, którzy potencjalnie mogliby uzyskać dostęp? Jak traktować podwykonawców firm informatycznych? Toolkit OECD sugeruje stosowanie zasady "need to know", zgodnie z którą informacje podatników powinny być dostępne tylko dla personelu mającego uzasadniony powód biznesowy, aby do nich uzyskać dostęp. Zasada ta powinna stanowić podstawę do określenia zakresu osobowego nowej regulacji.

Po drugie, niezbędne będą odpowiednie procedury weryfikacji i szkolenia. Zgodnie ze standardami OECD zawartymi w Sub-requirement 3.2.2.3, pracownicy, w tym wykonawcy zewnętrzni, powinni regularnie otrzymywać aktualne szkolenia z zakresu bezpieczeństwa i świadomości, a ci pełniący wrażliwe funkcje powinni otrzymywać dodatkowe wytyczne dotyczące obsługi bardziej wrażliwych materiałów. Szkolenia powinny być regularnie przeprowadzane, aby zapewnić, że personel jest aktualizowany na temat najnowszych zmian. Przed dopuszczeniem do pracy z danymi podatkowymi powinny być przeprowadzone weryfikacje, w tym sprawdzanie rejestru karnego oraz, w przypadku dostępu do szczególnie wrażliwych danych, zaawansowana weryfikacja bezpieczeństwa.

Po trzecie, konieczne będzie skuteczne monitorowanie i egzekwowanie przestrzegania przepisów. Toolkit wymaga w Sub-requirement 3.2.2.4, aby administracje podatkowe zapewniały, że pracownicy stosują polityki i procedury bezpieczeństwa, oraz wyraźnie demonstrowały swoją gotowość do stosowania sankcji, gdy zachowanie spada poniżej wymaganego standardu, zwłaszcza gdy chodzi o ochronę informacji. Konieczne będą regularne audyty, skuteczne procedury raportowania i badania naruszeń oraz konsekwentne stosowanie sankcji. Zgodnie z Sub-requirement 3.2.6.2, wszystkie dostępy do systemów zawierających dane powinny być logowane, a logi te powinny być regularnie przeglądane w celu wykrycia nieautoryzowanego dostępu.

Zobacz również:
oprac. Adam Kuchta
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Infor.pl
ZUS podniesie emeryturę o blisko 1900 złotych. Nie trzeba mieć stażu pracy. Wystarczy złożenie jednego oświadczenia
27 lis 2025

Czy to możliwe, że ZUS może podnieść emeryturę prawie o 1900 złotych i to także tym, którzy nie wypracowali obwarowanego przepisami wymaganego stażu? Tak. Wystarczy złożenie tylko jednego oświadczenia, żeby otrzymać dopłatę do minimalnej kwoty.
Wypłaty dla nauczycieli do 6 czerwca 2026 r. Wyrównanie od 1 września 2025 r. Nauczyciel otrzyma wynagrodzenie za niezrealizowane godziny ponadwymiarowe [Karta Nauczyciela]
27 lis 2025

Zmiany w Karcie Nauczyciela od stycznia 2026 r. Nauczyciel otrzyma wynagrodzenie za niezrealizowane godziny ponadwymiarowe w większej liczbie przypadków. Wypłata z wyrównaniem od 1 września 2025 r. nastąpi do 6 czerwca 2026 r.
Jak wspierać kondycję psychiczną uczniów, gdy system edukacji zawodzi?
26 lis 2025

Każdej jesieni polscy uczniowie i ich rodzice stają wobec zderzenia z systemem edukacji, który nie nadąża za współczesnością i potrzebami młodych ludzi. Po wakacyjnej przerwie, pełnej planów i nadziei, że „w tym roku będzie inaczej”, wielu z nich już w pierwszych tygodniach nauki doświadcza rozczarowania, frustracji i poczucia bezsilności. Za tymi emocjami nie kryje się lenistwo ani brak ambicji, lecz narastające od lat zjawisko przeciążenia psychicznego uczniów, które staje się jednym z najpoważniejszych wyzwań społecznych w Polsce. Dobrostan psychiczny dzieci i młodzieży to dziś nie tylko temat kampanii społecznych, lecz kluczowy wskaźnik jakości całego systemu edukacyjnego.
Social mediów już nie da się „wyłączyć”. Szkoła i nauczyciele muszą pokazać jak z nich korzystać – mądrze i z umiarem
26 lis 2025

Pokolenie urodzone po 2010 roku dorasta w rzeczywistości, w której granica między światem realnym a cyfrowym praktycznie się rozmyła. To pierwsza generacja, której proces dojrzewania emocjonalnego, społecznego i poznawczego odbywa się równocześnie w dwóch wymiarach – rzeczywistości fizycznej i przestrzeni online.

REKLAMA

Jedziesz na letnich oponach w warunkach zimowych? Ryzykujesz mandat do 3000 zł za jazdę i zatrzymanie dowodu rejestracyjnego
26 lis 2025

Czasem można usłyszeć opinię, że w naszym kraju nie ma obowiązku jazdy na oponach zimowych. Ale jest zakaz jazdy na oponach letnich w warunkach zimowych. Wynika on z przepisów ogólnych kodeksu drogowego oraz kodeksu wykroczeń. I podobnie, jak np. za rzucanie pizzą w innych uczestników ruchu można dostać mandat – chociaż też nie jest to wymienione szczegółowo w przepisach. Część kierowców bagatelizuje znaczenie właściwego stanu technicznego samochodu w tym opon, nie zdając sobie sprawy z poważnych konsekwencji, także prawnych, takiego zaniedbania. Polskie prawo nakłada na właścicieli pojazdów obowiązek utrzymania ich w należytym stanie technicznym, a opony jako jedyny punkt styku samochodu z drogą także podlegają kilku przepisom. Niedostosowanie pojazdu do warunków drogowych może skutkować mandatem lub grzywną sięgającą nawet 3000 złotych, zatrzymaniem dowodu rejestracyjnego, a w skrajnych przypadkach zakazem dalszej jazdy.
Mieszkanie blisko rodziców (ale osobno) ma sens. Od neo-gniazdownictwa do klastrów mieszkalnych
26 lis 2025

Z różnych powodów - np. społecznych i demograficznych - polskie rodziny coraz częściej rewidują dotychczasowe modele zamieszkiwania. Kryzys dostępności mieszkań uderza przede wszystkim w młodych dorosłych, co wzmacnia skalę zjawiska gniazdownictwa. Jak wynika z danych GUS, aż 63% młodych osób mieszkających z rodzicami to osoby pracujące, lecz ich dochody nie pozwalają na pełną samodzielność mieszkaniową. Coraz częściej jest to również świadomy wybór – neo-gniazdownictwo oparte na bliskości, trosce i... optymalizacji kosztów.
Nowelizacja ksh w 2026 r. Przedłużenie mocy dowodowej papierowych akcji, koniec z podziałem na akcje imienne i na okaziciela oraz i inne zmiany
26 lis 2025

W dniu 26 listopada 2026 r. Rada Ministrów przyjęła projekt nowelizacji Kodeksu spółek handlowych (ksh) oraz niektórych innych ustaw, przedłożony przez Ministra Sprawiedliwości. Nowe przepisy mają wzmocnić ochronę akcjonariuszy i uczestników rynku kapitałowego. Chodzi m.in. o poprawę przejrzystości i dostępności informacji o firmach prowadzących rejestry akcjonariuszy spółek niepublicznych, czyli takich, które nie są notowane na giełdzie. Projekt przewiduje zwiększenie i uporządkowanie obowiązków informacyjnych spółek oraz instytucji, które prowadzą rejestr akcjonariuszy. Dzięki temu obieg informacji o akcjach stanie się bardziej czytelny, bezpieczny i przewidywalny. Skutkiem nowelizacji będzie też rezygnacja z dotychczasowej klasyfikacji akcji na akcje imienne i na okaziciela. Nowe przepisy mają wejść w życie po dwunastu miesiącach od ogłoszenia w Dzienniku Ustaw, z wyjątkiem niektórych przepisów, które zaczną obowiązywać 28 lutego 2026 roku.
Nieoczekiwana listopadowa waloryzacja emerytur – co najmniej 2 tysiące złotych dla każdego emeryta i rencisty. Prezydent już złożył swój podpis
27 lis 2025

Zgodnie z obecnie obowiązującymi przepisami ustawy z dnia 17.12.1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych - waloryzacja emerytur i rent przeprowadzana jest raz w roku, w dniu 1 marca. Na wskaźnik waloryzacji, który decyduje o kwocie podwyżki świadczeń - ma wpływ kilka czynników (w tym zwłaszcza ubiegłoroczna inflacja). Dotychczas, nie była zagwarantowana minimalna kwota takiej corocznej waloryzacji (tj. kwota minimalnego podwyższenia świadczeń). Stan ten - ma jednak ulec zmianie, w związku z podpisaniem przez Prezydenta Karola Nawrockiego, w dniu 3 listopada br., projektu ustawy o zmianie ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych oraz niektórych innych ustaw.

REKLAMA

Lista kontrolna PIP: rewolucja dla pracowników, pracodawców, zleceniobiorców, zleceniodawców. Jak lista kontrolna PIP zmieni rynek pracy w Polsce?
27 lis 2025

Lista kontrolna PIP. Rewolucja w kontroli zatrudnienia: jak lista kontrolna PIP zmieni rynek pracy w Polsce? Lista kontrolna Państwowej Inspekcji Pracy może stać się przełomowym narzędziem w historii polskiego prawa pracy. Po raz pierwszy pracodawcy, pracownicy i inspektorzy pracy będą dysponować tym samym, uzgodnionym wspólnie instrumentem oceny charakteru zatrudnienia. Dlaczego to takie ważne? Bo wybór odpowiedniej formy zatrudnienia to jedna z najważniejszych decyzji, przed którą staje każdy przedsiębiorca, ale i osoba zatrudniana. Nieprawidłowa kwalifikacja umowy może prowadzić do poważnych konsekwencji prawnych i finansowych – zarówno dla pracodawcy, jak i dla osoby wykonującej pracę. Aby rozwiązać ten problem systemowo, Główny Inspektor Pracy Marcin Stanecki zainicjował prace nad innowacyjnym narzędziem: listą kontrolną, która w przejrzysty sposób wskaże, jaki rodzaj umowy powinien zostać zastosowany w konkretnej sytuacji zawodowej.
Czy można zignorować system kaucyjny i dalej wyrzucać puszki, plastikowe i szklane butelki do odpadów segregowanych tak jak dotychczas? Czy grożą za to kary?
26 lis 2025

Przez ostatnie miesiące dużo mówiło się o systemie kaucyjnym, który polega na selektywnym zbieraniu określonych butelek szklanych, plastikowych oraz puszek aluminiowych. Wiele kwestii zostało już opisanych, ale pojawia się praktyczny problem: co z osobami, które nie chcą albo z różnych względów nie są w stanie przechowywać niezgniecionych butelek i puszek oraz nosić ich do punktów zwrotu (automatów lub sklepów uczestniczących w systemie)? Czy w dalszym ciągu zgodne z prawem będzie wyrzucanie takich opakowań tak jak dotychczas – czyli szklanych do pojemników zielonych, a plastikowych i aluminiowych do żółtych – razem z innymi odpadami segregowanymi?
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA