Rozporządzenie w sprawie sposobu przesyłania za pomocą środków komunikacji elektronicznej ksiąg - uwagi

2016-03-30

Przekazujemy uwagi Rady Podatkowej Konfederacji Lewiatan do projektu z dnia 14 marca 2016 r. rozporządzenia Ministra Finansów w sprawie sposobu przesyłania za pomocą środków komunikacji elektronicznej ksiąg oraz wymagań technicznych dla informatycznych nośników danych, na których księgi mogą być zapisane i przekazywane.

1.       Uwagi do §2 projektu rozporządzenia.

a)      §2 pkt 1 projektu rozporządzenia: „Księgi mogą być przesyłane za pomocą oprogramowania interfejsowego dostępnego na stronie, której adres jest podany w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra właściwego do spraw finansów publicznych.".

Przepis nie określa „rozmiaru" ograniczenia dla przesyłanego jednolitego pliku kontrolnego. Istnieją wątpliwości.

-        Czy będzie istniało z góry określone ograniczenie rozmiaru dla jednolitego pliku kontrolnego?

-        Czy w przypadku istnienia takiego ograniczenia, będzie istniała możliwość przesłania pliku w kilku lub kilkunastu załącznikach za pomocą oprogramowania interfejsowego?

-        Czy w przypadku podzielenia plików w celu wysłania go za pomocą oprogramowania interfejsowego ich scalanie będzie dokonywane przez organy podatkowe według klucza wskazanego przez podatnika?

b)      §2 pkt 2 projektu rozporządzenia: „Księgi przesyłane w sposób, o którym mowa w ust. 1, są opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu w rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z 2013 r. poz. 262, z 2014 r. poz. 1662 oraz 2015 r. poz. 1893).".

Podatnicy powinni mieć możliwość autoryzowania przesyłanych plików, także za pomocą profilu zaufanego (poprzez platformę epuap). Obecnie profesjonalni pełnomocnicy podatników zobowiązani są do kontaktu z organami podatkowymi za pomocą platformy epuap i nie wydaje się zasadne nakładanie na wszystkich podatników i pełnomocników konieczności nabycia podpisu elektronicznego.

c)       §2 pkt 5 projektu rozporządzenia: „Urzędowe poświadczenie odbioru wydane przez elektroniczną skrzynkę podawczą systemu teleinformatycznego administracji podatkowej, po przeprowadzeniu prawidłowej weryfikacji struktury logicznej, poprawności danych, autentyczności ksiąg oraz umocowania do podpisywania tych ksiąg:

1)      zapewnia integralność przekazanych ksiąg zgodnie z przepisami ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114);

2)      stanowi dowód i potwierdza termin przekazania ksiąg.".

Postulujemy o doprecyzowanie, że w sytuacji konieczności podzielenia jednej struktury jednolitego pliku kontrolnego na kilka lub kilkanaście załączników w celu przesłania ich za pomocą oprogramowania interfejsowego, urzędowe poświadczenie odbioru będzie wydawane każdorazowo dla każdego załącznika. Ponadto, jak rozumiemy w sytuacji, gdy dane będą przesyłane za pomocą oprogramowania interfejsowego i zaistnieje konieczność przesłania kilku struktur jednolitego pliku kontrolnego, to urzędowe poświadczenie odbioru będzie wydawane dla każdego załącznika. Takie rozwiązanie spowoduje, że podatnik będzie zobligowany do ponownego przesłanie jedynie struktury, dla której pierwotnie nie otrzymał urzędowego poświadczenia odbioru (nie przeszła testów weryfikacyjnych).

W projekcie rozporządzenia brakuje przepisów określających poświadczenie odbioru dla danych przekazywanych na informatycznych nośnikach danych (§3 ust. 1). W konsekwencji, przy obecnym brzmieniu projektu rozporządzenia, podatnicy przekazujący dane osobiście na nośnikach danych będą pozbawieni możliwości otrzymania dowodu potwierdzającego termin przekazania ksiąg. Prosimy o doprecyzowanie, czy w takiej sytuacji takie poświadczenie będzie wydawane, a jeśli tak, to przez kogo, i w którym momencie.

Czy dane przekazywane na informatycznych nośnikach danych będą również podlegały weryfikacji: logicznej, poprawności danych, autentyczności ksiąg?

 

2.       Uwagi do §3 projektu rozporządzenia

a)      §3 ust. 1 i 2 projektu rozporządzenia: „1. Informatyczne nośniki danych, na których księgi mogą być zapisane i przekazywane, powinny być:

1)      oznakowane w sposób pozwalający na jednoznaczną identyfikację;

2)      przystosowane do przenoszenia pomiędzy powszechnie dostępnymi urządzeniami odczytującymi;

3)      dostosowane do przechowywania w temperaturze 18-22oC przy wilgotności względnej 40-50%.

2.    Informatyczne nośniki danych, o których mowa w ust. 1, powinny zapewniać możliwość wiernego odczytywania danych w urządzeniach produkowanych przez różnych producentów, właściwych dla danego typu nośnika.".

 

Przepisy §3 ust. 1 pkt 2 oraz §3 ust. 2 przenoszą na podatnika kwestie możliwości odczytu danych przez organ oraz nie określają sposobu znakowania nośników (§3 ust. 1 pkt 1). Postulujemy, aby w zakresie:

-        §3 ust. 1 pkt 1 doprecyzować i wskazać oznakowania nośnika danych, które będą wymagane dla uznania oznakowania za pozwalające na jednoznaczną identyfikację. Ułatwi to podatnikowi spełnienie wymagania, czy chodzi tu o NIP podatnika, numer kontroli itp.

-        §3 ust. 1 pkt 2 doprecyzować jakie urządzenia są uznawane za powszechnie dostępne urządzenia odczytujące. W celu usunięcia wątpliwości i ewentualnych problemów przy przekazywaniu danych powyższe w naszej ocenie jest zasadne i nie będzie budziło niepewności po stronie podmiotów.

-        §3 ust. 2 doprecyzować zakres urządzeń na jakich odczyt danych ma być możliwy dla danego typu nośnika.

b)      Postulujemy także o uzupełnienie projektu rozporządzenia o kwestie związane z zabezpieczeniem przesyłanych lub przekazywanych danych przed nieuprawnionym dostępem. W projekcie nie zawarto odpowiedzi na pytanie, czy Ministerstwo Finansów dopuszcza możliwość szyfrowania nośników danych - przekazanie danych na niezaszyfrowanych nośnikach danych (np. płytach CD, czy DVD) narusza podstawowe zasady bezpieczeństwa związane z ochroną informacji stanowiących tajemnice handlową i naraża podatnika na konsekwencje prawne. Samo podpisanie nie stanowi zabezpieczenia przed nieautoryzowanym dostępem do informacji. W celu wyeliminowania ryzyk i zabezpieczenia danych przedsiębiorców zasadnym jest wprowadzenie zapisów do rozporządzenia np. poprzez dodanie w §3 ust. 3 o następującej treści: „W przypadku przekazania ksiąg na informatycznych nośnikach danych podatnik ma prawo zabezpieczyć księgi hasłem, które przekaże uprawnionym organom w odrębnej korespondencji lub telefonicznie".

  

3.       Dodatkowe wątpliwości

Analiza dostępnych struktur jednolitego pliku kontrolnego oraz projektu rozporządzenia przy jednoczesnym braku informacji o szczegółach rozwiązań IT przyjętych przez Ministerstwo Finansów, nasuwa następujące pytania.

a)    Z uwagi na przyjęte założenia do struktury plików (np. jeden plik per magazyn czy rachunek bankowy) ilość plików może być bardzo duża - w jaki sposób zapewniona zostanie podatnikom informacja, które pliki zostały przyjęte, a które nie, w jakim czasie podatnicy będą mogli spodziewać się informacji zwrotnej, i w jaki sposób zostanie ona do nich dostarczona?
Czy struktury plików nie powinny być zmodyfikowane w celu uproszczenia komunikacji?

b)   Czy będzie możliwość zbiorczego dostarczenia plików w jednej paczce, czy też każdy plik będzie musiał być dostarczany osobno. Jeżeli tak, to czy dopuszczalna będzie jednoczesna wysyłkę wielu  plików na raz od jednego przedsiębiorstwa. Dodatkowo czy możliwe będzie podpisywanie paczki plików - proces podpisania plików o wielkości 3 GB zajmuje około 3 minut, dla dużej ilości plików trzeba ten czas zwielokrotnić.

c)    Kiedy będą znane założenia do oprogramowania interfejsowego, o którym mowa w §2 projektu? Na stronach Ministerstwa nie zamieszczono informacji w tym zakresie.

d)   Ze względu na przyjętą strukturę plików niektóre pliki jednolitego pliku kontrolnego, będą osiągać rozmiar nawet kilku GB danych - czy przeprowadzano po stronie Ministerstwa Finansów testy pozwalające na potwierdzenie, że oprogramowanie interfejsowe Ministerstwa przyjmie tak duże pliki? 

e)   Czy w zakresie przesyłania plików XML dla JPK przewiduje się wykorzystanie istniejących
i funkcjonujących metod i kanałów transmisji danych, tj.:

-        obecną bramkę podawczą Ministerstwa Finansów do wysyłania elektronicznych deklaracji: https://bramka.e-deklaracje.mf.gov.pl/uslugi/dokumenty/GateService.wsdl

-        Uniwersalną Bramkę Dokumentów (UBD), dostępną pod adresem: https://ubd.mf.gov.pl/uslugi/dokumenty

f)     Jeśli odpowiedź na pytanie w lit. e jest twierdząca, to od kiedy będzie możliwość testowania procesu wysyłki plików JPK przy użyciu testowych wersji bramki:

-        do wysyłania e-deklaracji                 

https://testbramka.edeklaracje.gov.pl/uslugi/dokumenty/GateService.wsdl, lub

-        bramki UBD: https://test-ubd.mf.gov.pl/uslugi/dokumenty

g)      Jeżeli powyższe kanały nie będą wykorzystywane do transmisji danych w zakresie JPK, prosimy o informację, od kiedy będzie dostępne środowisko testowe oprogramowania/serwisu do wysyłania plików JPK.

 

4.       Uwaga do załącznika do rozporządzenia

Zwracamy uwagę, iż zgodnie z dobrymi praktykami bezpieczeństwa informacji, funkcja skrótu SHA1, o której mowa jest w pkt 4 - jest podatna na współczesne ataki osób łamiących zabezpieczenia komputerowe (hakerów). Dlatego, sugerujemy rozważenie użycia mocniejszej funkcji skrótu (np. SHA 256).

  

Konfederacja Lewiatan, 30 marca 2016 r.

KL/142/59/551/PP/2016