Ministerstwo Finansów wyjaśniło w odpowiedzi na interpelację nr 9998, w jaki sposób zabezpieczone są dane przesyłane przez firmy w postaci Jednolitego Pliku Kontrolnego. Pytał o to poseł Tomasz Jaskóła. Według niego przedsiębiorcy obawiają się, że sposób przesyłania i gromadzenia danych nie gwarantuje zabezpieczenia przed ich wyciekiem.
Ministerstwo wyjaśniło, że dane JPK są zabezpieczone zgodnie z przepisami o tajemnicy skarbowej i ochronie danych osobowych w formie elektronicznej. Dostęp do nich – w celu wykonania zadań analitycznych – mają jedynie upoważnieni pracownicy resortu finansów.
– Jednolite Pliki Kontrolne przesyłane są przez przedsiębiorców do chmury publicznej w postaci zaszyfrowanej kluczem publicznym Ministerstwa Finansów. Do szyfrowania JPK wykorzystywane są silne algorytmy kryptograficzne AES oraz RSA. Odszyfrowanie możliwe jest tylko w środowisku Centrum Przetwarzania Danych Ministerstwa Finansów (CPD MF) z wykorzystaniem chronionego klucza prywatnego MF – napisał wiceminister Paweł Gruza.
Zaznaczył, że system JPK pomyślnie przeszedł zarówno testy bezpieczeństwa, jak i zewnętrzny audyt bezpieczeństwa. Ponadto wszystkie dane są objęte tajemnicą skarbową, której naruszenie jest zagrożone karą pozbawienia wolności (zgodnie z art. 306 ordynacji podatkowej).
Przy tworzeniu systemu ministerstwo wzorowało się na systemach portugalskim i luksemburskim. Polska wersja JPK oparta jest na standardzie OECD zwanym Standard Audit File – Taxes (SAF-T) w wersji 2.0 z 2010 r. Podobne rozwiązania wdrożyły ostatnio Słowacja, Czechy, Litwa, Łotwa i Estonia. Takie plany mają też inne kraje UE.
Od 1 stycznia 2017 r. obowiązkiem raportowania w formacie JPK zostali objęci mali i średni przedsiębiorcy. Od lipca 2016 r. taki obowiązek mają największe firmy.
