Czy dane w KSeF są bezpieczne w czasie awarii?

Przeczytaj także: Certyfikaty KSeF - nowa forma uwierzytelniania w systemie e-Faktur

– Każda niedostępność systemu centralnego budzi naturalne emocje, bo dotyczy bieżącego funkcjonowania firm. Warto jednak oddzielić kwestie techniczne od zagadnień związanych z ochroną danych osobowych i bezpieczeństwem informacji – podkreśla Karolina Praszek-Gołębiewska, prawniczka i specjalistka ds. ochrony danych osobowych z Kancelarii Bezpieczeństwa.

Awaria a bezpieczeństwo danych – dwie różne kwestie

Ekspertka zwraca uwagę, że czasowa niedostępność systemu nie jest równoznaczna z wyciekiem danych czy naruszeniem poufności faktur. – Awaria systemu KSeF oznacza brak dostępu do usługi, natomiast naruszenie ochrony danych to sytuacja, w której dochodzi do nieuprawnionego ujawnienia, utraty lub modyfikacji informacji. To dwa odrębne zjawiska, których nie należy utożsamiać – wyjaśnia.

W przypadku systemów takich jak KSeF kluczowe znaczenie mają procedury ciągłości działania, redundancja infrastruktury oraz mechanizmy zabezpieczeń kryptograficznych. Dla przedsiębiorców najważniejsze jest jednak praktyczne pytanie: jak minimalizować ryzyko operacyjne po swojej stronie?

Dane z faktur w KSeF – kto i w jakim zakresie odpowiada?

W modelu KSeF administratorem danych pozostaje podatnik wystawiający fakturę, natomiast rolę odrębną – wynikającą z przepisów prawa podatkowego – pełni organ publiczny utrzymujący system. – Przedsiębiorcy często zakładają, że skoro faktura trafia do systemu centralnego, to odpowiedzialność za dane „przechodzi” na państwo. To uproszczenie. Podatnik nadal odpowiada za prawidłowość danych, zakres ich przetwarzania oraz bezpieczeństwo w swoich systemach księgowych – wskazuje ekspertka.

Oznacza to konieczność weryfikacji uprawnień dostępowych do KSeF, sposobu autoryzacji użytkowników, a także zabezpieczeń integracji między oprogramowaniem finansowo-księgowym a KSeF.

Wnioski po pierwszych zakłóceniach

Z perspektywy firm kluczowe są trzy obszary:

• Procedury awaryjne – jasne instrukcje postępowania w razie niedostępności systemu.
• Komunikacja z kontrahentami – ustalenie zasad potwierdzania wystawienia i otrzymania faktury w sytuacji technicznej przerwy.
• Bezpieczeństwo integracji IT – regularne testy oraz audyty bezpieczeństwa połączeń z systemem centralnym.

– Awaria pokazała, że organizacje powinny traktować KSeF nie tylko jako obowiązek podatkowy, lecz także jako element swojej infrastruktury krytycznej. To wymaga podejścia systemowego, a nie wyłącznie księgowego – zaznacza Karolina Praszek-Gołębiewska.

Dezinformacja i odpowiedzialność komunikacyjna

W przestrzeni medialnej pojawiły się również sugestie dotyczące rzekomych wycieków czy „braku kontroli nad danymi”. – W sytuacjach kryzysowych bardzo łatwo o nadinterpretacje. Ochrona danych osobowych opiera się na konkretnych przesłankach prawnych i faktach technicznych, a nie na domysłach. Dlatego tak istotna jest rzetelna komunikacja ze strony instytucji publicznych oraz spokojna analiza po stronie biznesu – podkreśla ekspertka.

Jej zdaniem obecna sytuacja powinna stać się impulsem do przeglądu wewnętrznych polityk bezpieczeństwa informacji, w tym analizy ryzyka, aktualizacji upoważnień oraz szkoleń pracowników.

KSeF jako projekt długofalowy

Mimo przejściowych trudności KSeF pozostaje jednym z kluczowych projektów cyfryzacyjnych administracji podatkowej. Centralizacja fakturowania oznacza większą transparentność obrotu gospodarczego, ale też nowe obowiązki w obszarze cyberbezpieczeństwa i ochrony danych.

– Każdy system tej skali będzie podlegał testom – zarówno technologicznym, jak i organizacyjnym. Najważniejsze, by wyciągać wnioski i wzmacniać odporność – zarówno po stronie państwa, jak i przedsiębiorców. Bezpieczeństwo danych to proces, a nie jednorazowe wdrożenie – podsumowuje Karolina Praszek-Gołębiewska.