Bezpieczeństwo danych w plikach JPK i programach do JPK

Zabezpieczenie plików JPK powinno następować na kilku etapach jego wykorzystania.

Pierwszy z nich znajduje się już w firmie, tworzącej JPK. Właściwe systemy zabezpieczeń wewnętrznych powinny chronić plik przed nieuprawnionym otwarciem i korzystaniem. Dodatkowo, dostęp do pliku powinien:

  • Być możliwy w chmurze wyłącznie pod warunkiem stworzenia systemu zabezpieczeń przed nieuprawnionym dostępem (w zależności od wagi danych przyjąć należy kilkustopniowy stopień weryfikacji użytkownika) albo
  • wyłącznie na urządzeniach służących do kontaktu / wysyłki zewnętrznej - na rzecz organów podatkowych.

Wewnętrzne bezpieczeństwo nie jest regulowane normami prawa stąd na podmiocie przygotowującym spoczywa odpowiedzialność wykorzystania prawidłowego oprogramowania, zapewniającego wystarczający stopień bezpieczeństwa.

Drugi etap obejmuje pracę z JPK podmiotów zewnętrznych, w tym przede wszystkim biur księgowych, które nie tylko powinny zapewniać wewnętrzny system kontroli i monitorowania danych, ale również dawać bezpieczeństwo przesyłu informacji zabezpieczonych. Elementy te gwarantowane winny być:

  • umową cywilnoprawną (w tym również w zakresie ustalenia sankcji za naruszenia),
  • przepisami o ochronie danych osobowych (w tym umową o przetwarzaniu danych osobowych) – w zakresie w jakim plik te dane posiada oraz w jakim mogłoby dochodzić do korzystania z tych danych.

Kolejnym etapem zapewnienia bezpieczeństwa winno być zapewnienie kanału przesyłu danych z podmiotu do organu skarbowego. Dane w pliku JPK przesyłane są przez przedsiębiorców do chmury publicznej w postaci zaszyfrowanej kluczem publicznym MF. Natomiast do szyfrowania JPK wykorzystywane są silne algorytmy kryptograficzne AES oraz RSA. Ich odszyfrowanie możliwe jest tylko w środowisku Centrum Przetwarzania Danych Ministerstwa Finansów z wykorzystaniem chronionego klucza prywatnego MF. Dodatkowym zabezpieczeniem jest wykorzystanie klucza podpisu elektronicznego lub systemu ePUAP.

W zakresie przechowywania danych z JPK w organach skarbowych, indywidualne dane objęte są tajemnicą skarbową. dane w zakresie Jednolitych Plików Kontrolnych przekazywane przez podatników są chronione z zachowaniem wszystkich reguł wynikających z przepisów dotyczących ochrony informacji stanowiących tajemnicę skarbową i ochrony danych osobowych w odniesieniu do ochrony danych w formie elektronicznej. Dostęp do tych danych - w celu realizacji zadań analitycznych - mają zaś jedynie upoważnieni pracownicy resortu finansów. Bezpieczeństwo przetwarzania danych w Centrum MF zapewnia System Zarządzania Bezpieczeństwem Informacji (wymagania normy PN-ISO/IEC 27001), wewnętrzne zasady bezpiecznego przetwarzania danych, zabezpieczenia techniczne oraz prowadzone okresowe działania audytowe.

Ostatni etap to etap archiwizacji w podmiocie tworzącym plik JPK. Tu ponownie należy wybrać urządzenie, do którego dostęp winien być szyfrowany lub przechowanie plików w chmurze z odpowiednim systemem zabezpieczeń.

Uznać należy, że w całym procesie korzystania z plików JPK to głównie od podmiotu wysyłającego zależy nadanie plikowi odpowiedniego stopnia bezpieczeństwa. W przypadku, jeśli nie zadba on o dołożenie szczególnej uwagi do zabezpieczenia pliku, narażony zostanie na dostęp przez osoby nieuprawnione do danych wrażliwych, dotyczących jego przedsiębiorstwa.