Wdrożenie KSeF wiąże się ze zmianą modelu odpowiedzialności za dane i dostęp do nich. Ważną kwestią stało się zarządzanie uprawnieniami, a więc tym, kto, w jakim zakresie i na jakiej podstawie ma dostęp do faktur klienta. Często brak przemyślanych zasad w zakresie uprawnień do KSeF prowadzi do ryzyk operacyjnych i problemów przy rotacji pracowników w biurze rachunkowym.
Dostęp dla pracownika biura rachunkowego
W wielu biurach rachunkowych dostęp do danych klientów w KSeF jest przyznawany bezpośrednio pracownikom – na ich PESEL, z wykorzystaniem profilu zaufanego lub podpisu kwalifikowanego. Na pierwszy rzut oka to rozwiązanie wydaje się dobre, bo pracownik loguje się samodzielnie, ma dostęp do faktur, może wykonywać swoje zadania bez pośredników. Problem polega na tym, że w tym modelu:
- dostęp jest powiązany z konkretną osobą, a nie z biurem jako firmą,
- zarządzanie uprawnieniami staje się rozproszone i trudne do nadzorowania,
- rośnie ryzyko błędów przy nadawaniu i odbieraniu dostępów (np. odejście pracownika generuje ryzyko utraty kontroli nad dostępem).
Dostęp na poziomie podmiotu, a nie pracowników
Bezpieczniejszym, moim zdaniem, podejściem w zakresie zarządzania uprawnieniami jest model, w którym klient nadaje uprawnienia do KSeF na NIP biura rachunkowego, a biuro organizuje pracę wewnętrznie, bez konieczności nadawania dostępów każdemu pracownikowi. Działa to lepiej, bo dostęp przestaje być zależny od pojedynczych osób, biuro zachowuje pełną kontrolę nad tym, kto i w jaki sposób pracuje na danych klienta, a także możliwe jest wykorzystanie systemów księgowych zintegrowanych z KSeF, które zarządzają dostępem w sposób uporządkowany i zgodny z wewnętrzną strukturą firmy. To podejście jest szczególnie istotne w kontekście zespołów, które obsługują wielu klientów jednocześnie.
Nie oznacza to, że bezpośrednie nadawanie uprawnień pracownikom należy całkowicie wyeliminować, ponieważ są przypadki, w których jest ono uzasadnione, np. gdy biuro wystawia faktury klienta bezpośrednio w KSeF. Ważne jest jednak to, aby takie przypadki traktować jako wyjątek, a nie standard. Każde nadanie uprawnień dla pracownika biura powinno wynikać z konkretnej potrzeby operacyjnej, być zatwierdzone przez właściciela lub osobę zarządzającą, mieć jasno określony zakres i zostać odnotowane w rejestrze.
Jednym z najczęściej obserwowanych problemów w biurach rachunkowych jest nadawanie zbyt szerokich uprawnień – szczególnie w zakresie zarządzania dostępami. Uprawnienie „zarządzanie” w KSeF pozwala na nadawanie nowych dostępów, odbieranie istniejących, ingerencję w strukturę uprawnień. W praktyce oznacza to realny wpływ na bezpieczeństwo danych, stąd powinno być ono zarezerwowane wyłącznie dla wąskiej grupy osób (właściciel biura rachunkowego, zarząd, ewentualnie administrator). Większość pracowników do swojej pracy potrzebuje jedynie dostępu do odczytu, ewentualnie możliwości wystawiania faktur.
Kontrola dostępów
Kontrola dostępów do KSeF zaczyna się od opracowania procedur stosowanych w biurze rachunkowym w tym zakresie – trzeba uporządkować ten zakres działalności biura. Dobrą praktyką jest wdrożenie:
- procedury nadawania uprawnień,
- rejestru uprawnień (kto, do czego, od kiedy – przy zasadzie minimalnych uprawnień; tylko do tego, co niezbędne),
- procedury odbierania dostępów (np. przy odejściu pracownika).
Brak przyjętych zasad dotyczących zarządzania uprawnieniami sprawia, że bezpieczeństwo danych w KSeF może zostać naruszone.
Trzeba podkreślić, że po wdrożeniu KSeF, który automatyzuje procesy księgowe, bezpieczeństwo danych staje się kluczowe. Biura rachunkowe, które już teraz uporządkują ten obszar, będą w stanie skalować działalność bez dodatkowych ryzyk w zakresie KSeF.
Gazeta Podatkowa nr 50 (2342) z dnia 2026-06-22
Zasady rozliczania różnic kursowych na przykładach wybranych operacji gospodarczych. Wszystko na ten temat w poradniku na GOFIN.pl