Przesyłanie JPK nie jest trudne czy szczególnie skomplikowane, ale generowanie comiesięcznych raportów jest czasochłonne i kosztowne. I to niezależnie od tego, czy radca prawny zdecydował się sam wykonywać tę czynność we własnym zakresie i zainwestował w specjalistyczne oprogramowanie, czy też czynność tę zlecił na zewnątrz, np. firmie księgowej, która prowadzi jego rozliczenia. Tak czy owak nie może zapominać o zabezpieczeniu systemów informatycznych, aby przy tej okazji nie doszło do wycieku danych jego klientów.
Jednolity Plik Kontrolny (w skrócie: JPK) stanowi nową formę przekazywania całości lub części ksiąg podatkowych oraz dowodów księgowych odpowiadających określonej strukturze logicznej w postaci elektronicznej lub na informatycznych nośnikach danych. JPK jest polskim odpowiednikiem systemu SAF-T, który działa w krajach takich jak Francja, Niemcy czy Luksemburg. Jak jeszcze w październiku 2017 r. tłumaczył wiceminister finansów i zastępca Szefa Krajowej Administracji Skarbowej Paweł Cybulski: wprowadzenie JPK ma przyczynić się do wzmocnienia uczciwej konkurencji w Polsce poprzez eliminowanie nieuczciwych kontrahentów. JPK pomoże także w porządkowaniu ewidencji VAT przedsiębiorcy i ograniczy liczbę kontroli ze strony organów skarbowych.
JPK należy wysyłać co miesiąc,
nawet przy kwartalnym rozliczeniu
JPK został więc wprowadzony do systemu podatkowego ustawą ? Ordynacja podatkowa, a dokładnie jej art. 193a. Na jego podstawie organ podatkowy może żądać przekazania mu całości lub części ksiąg rachunkowych w postaci elektronicznej. Przekazane w ten sposób dane muszą być ujęte w strukturze logicznej narzuconej przez Ministerstwo Finansów. Sposób przesyłania ksiąg podatkowych, części tych ksiąg oraz dowodów księgowych w postaci elektronicznej, a także wymagania techniczne dla informatycznych nośników danych, na których mogą być zapisane i przekazywane, określił Minister Finansów w rozporządzeniu z 24 czerwca 2016 r. (Dz.U. z 2016 r., poz. 932).
Od 1 stycznia 2018 r. także radcowie prawni zostali zobowiązani do prowadzenia ewidencji w formie elektronicznej, przy użyciu programów komputerowych. Chodzi o radców prawnych prowadzących kancelarie radcy prawnego lub w ramach jednej ze spółek wymienionych w art. 8 ust. 1 pkt 1?3 ustawy o radcach prawnych i mających jednocześnie status mikroprzedsiębiorcy. Plik JPK_VAT należy przesłać do 25. dnia miesiąca następującego po każdym kolejnym miesiącu, wskazując miesiąc, którego ta informacja dotyczy, niezależnie od tego, czy podatnik rozlicza się z VAT w systemie kwartalnym czy miesięcznym. Co ważne, od 1 lipca mikroprzedsiębiorcy będą również musieli przekazywać dane do e-kontroli (ksiąg podatkowych, ewidencji i dowodów księgowych) w formacie JPK. Ewidencje w formacie JPK trzeba będzie wysłać nawet wtedy, jeśli w danym miesiącu będą one wykazywały wartości zerowe.
Już 1 września 2017 r. specjalną informację w sprawie obowiązku przekazywania przez radców prawnych ksiąg podatkowych i deklaracji VAT w trybie Jednolitego Pliku Kontrolnego skierował do radców prawnych za pośrednictwem dziekanów rad okręgowych izb radców prawnych Ośrodek Badań, Studiów i Legislacji Krajowej Rady Radców Prawnych. Radcowie prawni mogli w nim przeczytać m.in., że (?) JPK jest rodzajem pliku elektronicznego. Sam proces przesyłania danych w wersji elektronicznej ma funkcjonować podobnie do systemu e-Deklaracje, a więc on-line. Generalnie opcja wygenerowania plików w formacie JPK pojawia się w programach przeznaczonych do prowadzenia ksiąg i ewidencji rachunkowo-podatkowych. Raporty JPK generuje się zaciągając zbiory danych wprowadzone przez radcę prawnego do programów, które obsługują jego działalność. Potwierdzeniem poprawnej wysyłki JPK jest możliwość pobrania UPO, czyli Urzędowego Potwierdzenia Odbioru. Pobranie UPO pozwala na sprawdzenie statusu przedłożonego dokumentu, wizualizację i wydruk urzędowego poświadczenia odbioru pliku JPK (?)?.
W informacji tej zawarte było też przypomnienie, że dane zawarte w JPK są traktowane jak deklaracje, zatem trzeba je bezpiecznie przechowywać przez wskazany ustawami okres (co do zasady pięć lat). I przestroga, że sankcją za nieprzestrzeganie obowiązku określonego w art. 193a ordynacji może być pociągnięcie podatnika do odpowiedzialności na podstawie art. 83 ustawy ? Kodeks karny skarbowy lub art. 262 ust. 1 pkt 2 Ordynacji podatkowej.
Wdrożenie i ryzyka to koszt podatnika
Dla radców prawnych, tak jak i innych przedsiębiorców zobowiązanych do przesyłania JPK dla celów VAT, przygotowanie się do tego obowiązku było związane z koniecznością poniesienia dodatkowych kosztów sprawdzenia, czy program komputerowy działający w kancelarii będzie dostosowany do rozliczeń w formie JPK.
? Należy bowiem pamiętać, iż to na podatniku spoczywa obowiązek przystosowania wykorzystywanych dotychczas programów komputerowych do obecnych standardów i wymogów Ministerstwa Finansów, w tym również ciężar pokrycia związanych z tym kosztów ? przypominał Ośrodek Badań, Studiów i Legislacji KIRP. Na tych kosztach jednak się nie skończyło, bo choć wygenerowanie i przesyłanie JPK do ministerstwa odbywa się elektronicznie, to cały proces łącznie z uwierzytelnieniem tego dokumentu jest czasochłonny i pracochłonny. Ci spośród radców prawnych, którzy zdecydowali się przekazać tę czynność na zewnątrz, ponoszą co miesiąc dodatkowe koszty związane z obsługą księgową.
? Nie ma zagrożenia dla przesyłania jednolitych plików kontrolnych przez kancelarie radców prawnych. Na rynku dostępne są różne programy, które to umożliwiają. Można też wysyłać pliki za pośrednictwem specjalnie w tym celu utworzonej strony internetowej Ministerstwa Finansów. Oczywiście przy tej okazji zawsze powstaje kwestia należytego zabezpieczenia nie tylko przesyłanych danych, ale może i przede wszystkim zabezpieczenia danych posiadanych przez kancelarię prawną, aby uniknąć ryzyka niekontrolowanego wypływu danych osobowych klientów radcy prawnego ? mówi Renata Gostkowska, biegły rewident.
A to kolejny, dodatkowy koszt, który muszą brać pod uwagę radcowie prawni, zwłaszcza po wejściu w życie RODO ? rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
O to, czy prezes Urzędu Ochrony Danych Osobowych badał kwestie bezpieczeństwa danych przekazywanych organom podatkowym w kontekście plików JPK przesyłanych przez radców prawnych, zapytaliśmy UODO.
? Zagadnienie związane z bezpieczeństwem danych przekazywanych organom podatkowym m.in. przez kancelarie prawne, jak i prawników, nie było przedmiotem badań i kontroli ani Urzędu Ochrony Danych Osobowych, ani Generalnego Inspektora Ochrony Danych Osobowych. Ponadto dotychczas do organu ds. ochrony danych osobowych nie wpływały skargi ani inne sygnały dotyczące nieprawidłowości w tej kwestii. Niemniej, mając na względzie wagę przedstawionego zagadnienia, prezes UODO rozważa zbadanie sprawy z urzędu ? poinformowała nas Agnieszka Świątek-Druś, rzecznik prasowy Urzędu Ochrony Danych Osobowych.
Karolina Sieraczek, radca prawny, Senior Associate we wrocławskim biurze Rödl & Partner
W związku z wprowadzeniem obowiązku przesyłania JPK pojawiło się wiele wyzwań, do których przedsiębiorcy musieli się odpowiednio przygotować. Pliki JPK mogą być wysyłane z różnych programów, różne są też możliwości ich uwierzytelniania. W niektórych przypadkach konieczne było najpierw dostosowanie posiadanych przez przedsiębiorców systemów do możliwości generowania odpowiednich plików JPK oraz ich przesyłania drogą elektroniczną. Wiązało się to często z dodatkowymi kosztami, gdyż należało w tym celu zlecić takie dostosowanie programu zewnętrznej firmie informatycznej. Obecnie większość programów już posiada moduł generowania JPK.Z generowaniem i przesyłaniem plików JPK związana jest także kwestia ochrony danych osobowych, które znajdują się w pliku JPK (w szczególności nazwa, adres kontrahenta w przypadku prowadzenia jednoosobowej działalności gospodarczej). Należy pamiętać, aby zarówno program, jak i sam komputer, z którego generowany i wysyłany jest plik JPK, był należycie zabezpieczony, aby nie doszło do wycieku tych danych. Te kwestie powinny być przedmiotem audytu RODO, który zapewne większość przedsiębiorców ma już za sobą. Z naszego doświadczenia zalecamy, aby audyt RODO został przeprowadzony nie tylko od strony prawnej, ale również od strony informatycznej. Analiza ryzyka powinna być kompleksowa, aby uniknąć konieczności zgłaszania incydentów związanych z wyciekiem danych, ponieważ może to osłabić wiarygodność przedsiębiorcy na rynku.?
