Nowe wytyczne ENISA do NIS 2 – praktyczny przewodnik wdrażania art. 21 dyrektywy
Zagadnienia wstępne
W ostatnich latach Unia Europejska intensywnie wzmacnia ramy prawne dotyczące cyberbezpieczeństwa, czego kluczowym wyrazem jest dyrektywa (UE) 2022/2555, znana szerzej jako NIS 2. Obowiązująca od 2023 r., a stosowana od października 2024 r., nakłada na tysiące podmiotów kluczowych i ważnych w całej UE obowiązek wdrożenia szeregu środków technicznych, organizacyjnych i proceduralnych mających na celu zwiększenie odporności na zagrożenia cyfrowe.
Szczególne znaczenie w tym kontekście ma artykuł 21 dyrektywy 2022/2555, który formułuje dziesięć podstawowych obszarów, jakie organizacje muszą objąć swoimi działaniami w zakresie zarządzania ryzykiem. Zapis ten jest jednak sformułowany ogólnie – stąd potrzeba jego dalszego doprecyzowania.
Pierwszym etapem tej konkretnej interpretacji było przyjęcie przez Komisję Europejską rozporządzenia wykonawczego 2024/2690 z 17.10.2024 r., które przekłada wymogi art. 21 ust. 2 dyrektywy 2022/2555 na bardziej szczegółowe, stosowalne w praktyce kryteria. Akt ten zawiera aneks z dokładnym opisem środków, jakie powinny zostać wdrożone m.in. przez dostawców usług cyfrowych i zarządzanych oraz operatorów infrastruktury cyfrowej.
Kolejnym krokiem – ogłoszonym 26.6.2025 r., – jest publikacja przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) wytycznych wdrożeniowych. Dokument ten nie wprowadza nowych obowiązków prawnych, ale stanowi praktyczne rozwinięcie technicznych i metodycznych wymagań określonych w rozporządzeniu. Można go potraktować jako szczegółowy przewodnik operacyjny – materiał wspierający organizacje w dostosowaniu się do europejskich norm i oczekiwań nadzorczych.
Regulacyjna architektura wdrażania wymagań NIS 2
Proces implementacji przepisów NIS 2 został rozłożony na kilka powiązanych ze sobą dokumentów, z których każdy pełni inną funkcję – od ustanowienia zasad, przez ich doprecyzowanie, po wskazówki operacyjne. Dzięki temu podmioty objęte regulacją zyskują coraz bardziej szczegółowy obraz tego, jakie działania należy podjąć, aby spełnić wymogi prawne.
Podstawą całej struktury jest artykuł 21 ust. 2 dyrektywy 2022/2555, który określa dziesięć kluczowych obszarów, jakie powinny być objęte działaniami w zakresie zarządzania ryzykiem w cyberbezpieczeństwie. Są to m.in.: analiza ryzyka, reagowanie na incydenty, bezpieczeństwo łańcucha dostaw, kontrola dostępu, kryptografia czy polityka ciągłości działania. Przepisy te są dość ogólne, pozostawiając krajom członkowskim i samym organizacjom pewien zakres elastyczności we wdrażaniu rozwiązań adekwatnych do skali działalności i rodzaju zagrożeń.
Aby zwiększyć spójność stosowania przepisów na poziomie Unii, Komisja Europejska przyjęła rozporządzenie wykonawcze 2024/2690, w którym w sposób znacznie bardziej precyzyjny zdefiniowano wymagania dotyczące zarządzania ryzykiem. Dokument ten zawiera 13 tytułów tematycznych, obejmujących łącznie 56 szczegółowych wymagań, które muszą zostać spełnione przez określone kategorie podmiotów – przede wszystkim przez operatorów usług cyfrowych, dostawców usług zarządzanych oraz rejestry i operatorów domen najwyższego poziomu.
Najbardziej praktycznym narzędziem wspierającym wdrożenie przepisów są wytyczne przygotowane przez ENISA, które – choć nie mają charakteru wiążącego – stanowią szczegółową interpretację poszczególnych wymagań określonych w rozporządzeniu. Obejmują one m.in. podpowiedzi dotyczące wdrażania poszczególnych środków, przykłady akceptowalnych form dokumentacji, a także odniesienia do uznanych norm międzynarodowych. To pozwala organizacjom łączyć obowiązki wynikające z przepisów z istniejącymi standardami stosowanymi w ramach systemów zarządzania bezpieczeństwem informacji.
Zakres i charakter wytycznych ENISA
Opublikowany przez ENISA dokument zawiera szczegółowe opracowanie 13 bloków tematycznych, które wprost odpowiadają strukturze rozporządzenia wykonawczego 2024/2690. Każdy z tych tytułów obejmuje konkretne wymagania dotyczące obszarów takich jak: polityki bezpieczeństwa, zarządzanie incydentami, rozwój i utrzymanie systemów, ochrona zasobów, bezpieczeństwo fizyczne czy kontrola dostępu.
Dla każdej z opisanych sekcji ENISA przedstawiła komentarz interpretacyjny, który służy lepszemu zrozumieniu intencji prawodawcy. Wskazano również przykładowe rozwiązania, które mogą zostać wykorzystane przez organizacje przy wdrażaniu konkretnych wymagań – zarówno pod względem środków technicznych, jak i organizacyjnych. Uzupełnieniem każdej części są propozycje możliwych dowodów, jakie mogą potwierdzać spełnienie obowiązku – np. procedury, zapisy, raporty czy decyzje zarządcze. W niektórych przypadkach wytyczne zawierają także dodatkowe sugestie i dobre praktyki, których zastosowanie może podnieść jakość wdrożenia, choć nie są one wymagane wprost.
Choć dokument ma charakter niewiążący, jego potencjalna rola w praktyce wdrożeniowej jest istotna. Może on służyć jako pomocne odniesienie przy interpretacji wymagań rozporządzenia oraz wspierać organizacje w kształtowaniu podejścia do zarządzania bezpieczeństwem. Dla wielu podmiotów może okazać się również użytecznym narzędziem porządkującym wewnętrzne procedury i praktyki.
Powiązanie z normami – praktyczny pomost do istniejących systemów
Wraz z publikacją wytycznych ENISA udostępniła również arkusz mapujący wymagania rozporządzenia 2024/2690 na uznane standardy międzynarodowe, takie jak ISO/IEC 27001:2022, NIST Cybersecurity Framework v 2.0 oraz wybrane specyfikacje europejskie (np. ETSI, CEN/TS), a także do wybranych krajowych ram zarządzania cyberbezpieczeństwem. Dla wielu organizacji, które już wcześniej wdrożyły system zarządzania bezpieczeństwem informacji (SZBI) zgodny z normami ISO, materiał ten stanowi istotne ułatwienie. Pozwala zidentyfikować obszary, w których aktualne rozwiązania pokrywają się z wymaganiami NIS 2 – oraz tam, gdzie konieczne są uzupełnienia. Takie zestawienie stanowi cenne narzędzie do minimalizowania powielania działań i dokumentacji, a jednocześnie ułatwia integrację nowych obowiązków z istniejącymi procesami organizacyjnymi. Podejście to sprzyja efektywnemu wdrażaniu zmian – bez konieczności przebudowy całego systemu bezpieczeństwa od podstaw.
Wytyczne ENISA – wskazówki przydatne także poza sektorem cyfrowym
Choć formalnie rozporządzenie wykonawcze 2024/2690 odnosi się do konkretnych typów usługodawców – takich jak dostawcy usług chmurowych, operatorzy DNS czy podmioty świadczące usługi zarządzane – przygotowane przez ENISA wytyczne mają potencjał znacznie szerszego zastosowania. Zawarte w nich rozwiązania mogą być wykorzystane także przez organizacje spoza sektora cyfrowego, zwłaszcza te uznane za kluczowe lub ważne w takich obszarach jak ochrona zdrowia, energetyka, transport czy administracja publiczna. Wytyczne te mogą służyć jako narzędzie porządkowania własnych systemów bezpieczeństwa – także tam, gdzie nie obowiązują jeszcze szczegółowe przepisy sektorowe. Dokument ten może wspierać harmonizację oczekiwań regulacyjnych, a także stanowić punkt odniesienia przy budowie lub doskonaleniu wewnętrznych systemów bezpieczeństwa. Ze względu na otwartą konstrukcję, wytyczne pozostawiają przestrzeń do ich dostosowania w zależności od charakteru, wielkości czy poziomu dojrzałości organizacji. Takie podejście sprzyja stopniowemu i proporcjonalnemu wdrażaniu zmian, umożliwiając instytucjom o różnym poziomie zaawansowania technicznego czy zasobach kadrowych rozpoczęcie realnych działań zgodnych z intencją europejskiego ustawodawcy.
Spójność z innymi obowiązkami – zarządzanie incydentami w praktyce
Realizacja obowiązków określonych w art. 21 dyrektywy NIS 2 pozostaje w bezpośrednim związku z innymi wymaganiami regulacyjnymi – w szczególności z art. 23 dyrektywy 2022/2555, który dotyczy zgłaszania incydentów. W praktyce oznacza to, że skuteczne zarządzanie ryzykiem cyberbezpieczeństwa nie może być oderwane od zdolności do wykrywania, analizowania
i odpowiedniego raportowania zdarzeń. Wytyczne ENISA, rozwijając wymagania dotyczące m.in. monitoringu, prowadzenia dzienników zdarzeń, oceny istotności incydentów oraz gotowości operacyjnej, wskazują wyraźnie, że reagowanie na incydenty powinno być traktowane jako integralna część całego systemu zarządzania bezpieczeństwem. Tylko wtedy możliwe jest spełnienie obowiązków raportowych w wymaganym czasie i zakresie. Takie podejście ułatwia budowę spójnego i powiązanego logicznie zestawu mechanizmów, w którym procedury reagowania i ciągłości działania są powiązane z identyfikacją zagrożeń oraz oceną ryzyka. Dzięki temu organizacje mogą nie tylko szybciej wykrywać nieprawidłowości, ale również skutecznie je klasyfikować i komunikować zgodnie z wymaganiami organów nadzorczych.
Wnioski i rekomendacje
Publikacja wytycznych ENISA to ważny moment dla wszystkich podmiotów objętych przepisami NIS 2 – również tych, które dopiero przygotowują się do wdrożenia nowych wymagań. To dobry moment, aby przeanalizować aktualnie funkcjonujące polityki, procedury i mechanizmy techniczne pod kątem ich zgodności z oczekiwaniami regulacyjnymi.
Dokument może posłużyć jako praktyczne narzędzie weryfikacji – swoista lista kontrolna lub szkielet, wokół którego można budować lub rozwijać system zarządzania bezpieczeństwem informacji. Będzie to szczególnie istotne w kontekście zbliżających się zmian w krajowych przepisach, w tym nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
Wytyczne stanowią także wyraźny sygnał dla organizacji, że nadzór nie będzie ograniczał się do formalnych deklaracji – liczyć się będzie faktyczna skuteczność wdrożonych rozwiązań. Dobrze udokumentowane działania i decyzje operacyjne mogą wkrótce stać się kluczowym elementem relacji z organem właściwym.
Wydatki na utrzymanie psa stróżującego jako koszty podatkowe
W przypadku, gdy pies pełni funkcję stróżującą, organy podatkowe w wydawanych rozstrzygnięciach indywidualnych pozwalają na zaliczenie wydatków do kosztów uzyskania przychodów w części, w jakiej utrzymanie psa (tutaj: nabycie karmy) jest związane z prowadzoną działalnością gospodarczą.
Możliwość zaliczenia wydatku do kosztów uzyskania przychodów wymaga enumeratywnego spełnienia łącznie poniższych przesłanek (art. 22 ust. 1 w zw. z art. 23 ustawy o PIT):
1) wydatek został poniesiony przez podatnika, tj. w ostatecznym rozrachunku musi on zostać pokryty z zasobów majątkowych podatnika,
2) wydatek jest definitywny (rzeczywisty), tj. wartość poniesionego wydatku nie została podatnikowi w jakikolwiek sposób zwrócona,
3) wydatek pozostaje w związku z prowadzoną przez podatnika działalnością gospodarczą,
4) wydatek poniesiony został w celu uzyskania, zachowania lub zabezpieczenia przychodów lub może mieć wpływ na wielkość osiągniętych przychodów,
5) wydatek został właściwie udokumentowany,
6) wydatek nie może znajdować się w grupie wydatków, których nie uważa się za koszty uzyskania przychodów.
W zakresie ponoszenia wydatków na utrzymanie psa, organy podatkowe w wydawanych interpretacjach indywidualnych – co do zasady – przychylają się do zaliczenia ich do kosztów uzyskania przychodów w takiej części, w jakiej pies będzie wykorzystywany na potrzeby prowadzonej działalności.
W interpretacji indywidualnej Dyrektora KIS z 9.1.2025 r. (0112-KDIL2-2.4011.716.2024.2.MC) wskazano, że:
Psy pełnią funkcje stróżujące. Będą chroniły sprzęt oraz dokumentację wykorzystywaną w działalności gospodarczej, co niewątpliwie zabezpiecza źródło przychodu. Będzie mogła Pani zaliczyć do kosztów uzyskania przychodów prowadzonej pozarolniczej działalności gospodarczej wydatki na wyżywienie, opiekę weterynaryjną i akcesoria spacerowe psów, czyli smycz, obrożę, szelki i kaganiec, legowisko, miski do pożywienia.
Podobne stanowisko zostało zaprezentowane w interpretacji indywidualnej Szefa KAS z 19.8.2024 r. (DOP4.8221.23.2024.GEFH), zgodnie z którą:
Podatnik może ująć w kosztach wydatki na zakup psa, gdy ten służy bezpośrednio w działalności lub wykorzystywany jest do ochrony obiektu.
Tożsame wnioski płyną z interpretacji indywidualnej Dyrektora KIS z 17.3.2023 r. (0113-KDIPT2-1.4011.1059.2022.4.MAP), czy też z 23.10.2023 r. (0112-KDWL.4011.75.2023.1.WS).
W wydawanych rozstrzygnięciach organy podatkowe odmawiają – co do zasady – zaliczenia do kosztów uzyskania przychodów wydatków poniesionych na psa, który bawi się z kontrahentami, działa odstresowująco i relaksująco.
Wskazać w tym miejscu należy, iż w przypadku, gdy pies służy zarówno celom związanym z prowadzoną działalnością gospodarczą, jak i celom prywatnym, to na podatniku ciąży obowiązek wykazania, w jakiej części wydatki te mają związek z prowadzoną pozarolniczą działalnością gospodarczą oraz obowiązek ich właściwego udokumentowania.
Reasumując, gdy pies pełni funkcję stróżującą, wówczas istnieje możliwość zaliczenia wydatków ponoszonych na jego utrzymanie do kosztów uzyskania przychodów, w części, w jakiej utrzymanie psa jest związane z prowadzoną działalnością gospodarczą.
Przekazywanie PIT-11 przez płatników i inne podmioty zobowiązane – objaśnienia MF
W jednej z propozycji zgłoszonych przez stronę społeczną podczas prac zespołu deregulacyjnego „SprawdzaMY Inicjatywa Przedsiębiorcy dla Polski” wskazano bowiem m.in., że pracodawca ma obowiązek wysyłania imiennej informacji PIT-11 listem poleconym w każdym przypadku, gdy podatnik nie odbierze jej osobiście. Zwrócono uwagę, że obowiązek ten generuje dodatkowe koszty i zwiększa obciążenia administracyjne.
W wydanych objaśnieniach MF zauważył jednak, że analiza obowiązujących przepisów ustawy o podatku dochodowym od osób fizycznych (dalej: PDOFizU) nie potwierdza istnienia takiego bezwzględnego obowiązku.
Przepis art. 42g ust. 1 pkt 2 PDOFizU wskazuje albowiem jedynie, że formularz PIT-11 jest przesyłany podatnikom najpóźniej do końca lutego roku następującego po roku podatkowym.
Pozostałe regulacje PDOFizU nie zawierają unormowań dotyczących formy i sposobu przekazywania PIT-11 podatnikom. Oznacza to, że w tym zakresie ustawodawca pozostawił płatnikom i innym podmiotom sporządzającym formularz PIT-11 swobodę w wyborze formy i sposobu jego przekazania podatnikom.
W praktyce oznacza to, że PIT-11 może być przekazywany podatnikom zgodnie z zasadami obowiązującymi u danego płatnika, czy innego podmiotu sporządzającego ten formularz. Może to zatem przykładowo nastąpić:
- przez internetowy system kadrowo-płacowy (np. portal pracowniczy),
- na adres poczty elektronicznej (np. służbowy e-mail lub inny e-mail wskazany przez podatnika),
- listem za pośrednictwem poczty,
- osobiście, np. przez odbiór formularza w siedzibie firmy.
Z uwagi na to, że przesłanie podatnikom PIT-11 stanowi realizację obowiązku określonego w PDOFizU, to płatnicy i inne podmioty zobowiązane do sporządzenia i przekazania formularza powinni zadbać o udokumentowanie, że wywiązali się z tego obowiązku.
Zastosowanie się do niniejszych objaśnień przez płatników i inne podmioty zobowiązane korzysta z ochrony przewidzianej w art. 14k–14m Ordynacji podatkowej (zgodnie z art. 14n § 4 pkt 1 i art. 14p Ordynacji podatkowej).
Źródło: Objaśnienia podatkowe Ministra Finansów z 27.6.2025 r., DD3.8203.3.2025
Elektronizacja dokumentacji pracowniczej
Przepisy nie wymagają wprowadzenia takich regulacji wewnętrznych, a jedynie ustalenia procedur dotyczących zabezpieczeń dokumentacji elektronicznej.
Decyzja o elektronizacji dokumentacji pracowniczej lub jej części należy do pracodawcy. Prawodawca uregulował dosyć szeroko działania, jakie mają w związku z tym zostać podjęte art. 948 – 9410 Kodeksu pracy oraz przepisy rozporządzenia w sprawie dokumentacji pracowniczej. Rozporządzenie określa – można tak powiedzieć – stronę techniczną zagadnienia (podstawowe zasady zabezpieczenia dokumentacji, minimalne warunki techniczne dla odwzorowań cyfrowych dokumentów). Nie wymagają wprowadzenia wewnętrznej procedury dotyczącej zakresu wskazanego w pytaniu.
Jest oczywiście możliwość jej wydania ale należałoby się zastanowić nad tym, czy – przy braku wymogu jej wprowadzenia – będzie to rozwiązanie trafne dla pracodawcy ze względu na potencjalną zmienność podejścia do poszczególnych zagadnień. Poruszane zaś w pytaniu kwestie nie wymagają procedury także ze względu na małą ich rozpiętość – zarządzenie pracodawcy wskazując na elektronizację, w którym wskazane zostanie, jakie elementy dokumentacji i w stosunku do kogo (jakich grup pracowników, dokumentacji aktualnej/archiwalnej) mają zostać zelektronizowane wydaje się wystarczające.
Inną kwestią jest uregulowanie tych zagadnień, na które wskazuje rozporządzenie, w szczególności w § 10. Wymaga się w nim m.in.:
- opracowania i stosowania procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu, tworzenia kopii zapasowych oraz przechowywania;
- przygotowania i realizacji planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji.
W tym zakresie wprowadzenie regulacji wewnętrznych jest konieczne. Powinny one obejmować szeroko rozumiane kwestie zabezpieczeń dokumentacji.
Wprowadzenie w umowie spółki zapisów umożliwiających uchylenie tajności głosowania
Autor uważa, że nie jest możliwe wprowadzenie tego rodzaju zapisów do umowy.
Zgodnie z art. 247 § 2 i art. 247 § 3 ustawy Kodeks spółek handlowych (dalej: KSH) tajne głosowanie zarządza się przy wyborach oraz nad wnioskami o odwołanie członków organów spółki lub likwidatorów, o pociągnięcie ich do odpowiedzialności, jak również w sprawach osobowych. Poza tym należy zarządzić tajne głosowanie na żądanie choćby jednego ze wspólników obecnych lub reprezentowanych na zgromadzeniu wspólników. Zgromadzenie wspólników może powziąć uchwałę o uchyleniu tajności głosowania w sprawach dotyczących wyboru komisji powoływanej przez zgromadzenie wspólników.
Regułą jest zatem to, że wszelkie sprawy wyborcze muszą być przeprowadzone w głosowaniu tajnym. Tajność głosowania w tym wypadku gwarantować ma możliwość swobodnego wyrażenia poglądu w poddanej pod głosowanie sprawie, bez narażania się na ewentualne szykany ze strony osób zainteresowanych wynikiem głosowania. W nauce prawa wskazuje się, że: „Przepis art. 247 § 2 KSH stanowi ius cogens, nie jest więc w drodze postanowień umowy spółki dopuszczalne przyjęcie, że sprawy, które z mocy tego przepisu mają być głosowane z zachowaniem tajności, mogą być jednak rozstrzygane w drodze jawnego głosowania. Podobnie niedopuszczalne jest ograniczenie prawa wynikającego z art. 247 § 2 zd. 2 KSH przez wprowadzenie zasady, że tajnego głosowania mogą żądać np. tylko wspólnicy mający określony udział w kapitale zakładowym. Jednakże, ponieważ zasadą jest głosowanie jawne (art. 247 § 1 KSH), a tajne – wyjątkiem, za nieważne trzeba uznać zastrzeżenie w umowie spółki, że we wszystkich sprawach uchwały mają zapadać w głosowaniu tajnym” (tak J.A. Strzępka, E. Zielińska, w: J.A. Strzępka, Kodeks, 2003, s. 686 oraz powołana tam literatura; A. Szumański, w: S. Sołtysiński, Kodeks, t. 2, 2002, s. 570; inaczej R. Pabis, Spółka z o.o., s. 315–316).
Co więcej, niezastosowanie głosowania tajnego w sytuacjach określonych w art. 247 KSH powoduje nieważność uchwały i możliwość wytoczenia powództwa z art. 252 KSH.
Wpłata na poczet usług świadczonych w przyszłości a VAT
W opisywanych okolicznościach otrzymywana wpłata nie powoduje powstania obowiązku podatkowego na gruncie VAT.
Co do zasady obowiązek podatkowy w takich przypadkach – ponieważ nie ma w odniesieniu do takich usług przepisów szczególnych – powstaje z chwilą wykonania usługi (zakończenia imprezy), zgodnie z art. 19a ust. 1 ustawy o VAT.
W odniesieniu do tych usług zastosowanie ma także zasada, że obowiązek podatkowy powstaje z chwilą otrzymania całości lub część zapłaty, w szczególności przedpłaty, zaliczki, zadatku, raty itp.
Piszecie Państwo, że w momencie dokonania takiej wpłaty nie wiadomo jeszcze, ile uczestnicy zjedzą, ile wypiją itp. W związku z tym nie można określić, na poczet jakich konkretnie świadczeń (z jaką stawką opodatkowanych) określone części tej wpłaty zostaną zaliczone.
Powyższe oznaczałoby, że nie można potraktować takiej wpłaty jako zapłaty na poczet konkretnie oznaczonych świadczeń. To oznaczałoby, że nie powoduje ona powstania obowiązku podatkowego.
W praktyce zamiast zaliczek przyjmuje się także od potencjalnych uczestników kaucję na zabezpieczenie ewentualnych strat powstałych po stroni organizatora za niewykorzystany termin. Takie kaucje (wpłaty na zabezpieczenie) również nie kreują w momencie ich otrzymania obowiązku podatkowego.
W każdym razie – w opisywanych okolicznościach otrzymywana wpłata nie powoduje powstania obowiązku podatkowego na gruncie VAT.
Praca zdalna wykonywana na polecenie pracodawcy
Pracodawca może wydać pracownikowi polecenie pracy zdalnej wyłącznie w okresie obowiązywania stanu nadzwyczajnego, stanu zagrożenia epidemicznego albo stanu epidemii oraz w okresie 3 miesięcy po ich odwołaniu lub w okresie, w którym zapewnienie przez pracodawcę bezpiecznych i higienicznych warunków pracy w dotychczasowym miejscu pracy pracownika nie jest czasowo możliwe z powodu działania siły wyższej.
Praca zdalna
Praca zdalna zwykle jest wynikiem zgodnej woli stron stosunku pracy. Wspomniany konsensus dotyczy nie tylko samego faktu pracy na odległość, ale także miejsca wykonywania takiej pracy. Kodeksowa definicja pracy zdalnej określa, że praca może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość (art. 6718 Kodeksu pracy).
Do uzgodnień o wykonywaniu pracy zdalnej (i miejscu jej wykonywania) dochodzi albo podczas nawiązywania stosunku pracy (tj. zatrudnienie do pracy na odległość), albo w trakcie trwania stosunku pracy („zmiana” dotychczasowej pracy stacjonarnej na pracę zdalną lub hybrydową). Zasady wykonywania pracy zdalnej określa się w porozumieniu z działającymi w zakładzie pracy związkami zawodowymi, w regulaminie lub w porozumieniu indywidualnym zawieranym z konkretnym pracownikiem.
Polecenie wykonywania pracy zdalnej
Jedynie w wyjątkowych przypadkach możliwe jest wprowadzenie pracy zdalnej jednostronną decyzją. Dotyczy to przypadku, w którym pracodawca może wydać pracownikowi polecenie wykonywania pracy na odległość (art. 6719 § 3 Kodeksu pracy). Pracodawca może wydać polecenie wykonywania pracy zdalnej tylko:
- w okresie obowiązywania stanu nadzwyczajnego, stanu zagrożenia epidemicznego albo stanu epidemii oraz w okresie 3 miesięcy po ich odwołaniu lub
- w okresie, w którym zapewnienie przez pracodawcę bezpiecznych i higienicznych warunków pracy w dotychczasowym miejscu pracy pracownika nie jest czasowo możliwe z powodu działania siły wyższej
– jeżeli pracownik złoży bezpośrednio przed wydaniem polecenia oświadczenie w postaci papierowej lub elektronicznej, że posiada warunki lokalowe i techniczne do wykonywania pracy zdalnej. Co istotne, takie polecenie może zostać przez pracodawcę cofnięte z co najmniej dwudniowym uprzedzeniem, a zasady pracy zdalnej określa polecenie pracodawcy. W przypadku zmiany warunków lokalowych i technicznych uniemożliwiającej wykonywanie pracy zdalnej pracownik informuje o tym niezwłocznie pracodawcę, a w następstwie tej informacji pracodawca niezwłocznie cofa polecenie wykonywania pracy zdalnej.
RODO a lista obecności
Na liście obecności mogą być imiona i nazwiska pracowników.
Pracodawca ma obowiązek przestrzegać zasady minimalizacji danych osobowych (art. 5 RODO).
Zasada minimalizacji danych oznacza, że pracodawca będący administratorem danych powinien przetwarzać dane w sposób adekwatny, ograniczony, stosowny oraz niezbędny dla celów przetwarzania. Oznacza to, że przetwarzanie danych należy ograniczyć do minimum. Innymi słowy:
- same czynności przetwarzania powinny być ograniczone, oraz
- należy przetwarzać tylko te dane, które są niezbędne.
Zasada minimalizacji danych oznacza, że w przypadku prowadzenia listy obecności można przetwarzać jedynie te dane, które są niezbędne do ustalenia obecności pracowników. Z tego względu na liście nie można podawać przyczyn nieobecności, gdyż takie dane nie są potrzebne dla pozostałych pracowników. Można natomiast ujawniać imiona i nazwiska pracowników, ponieważ pracownicy znają się wzajemnie i wiedzą/widzą, kto jest obecny w pracy, a kto nie. Wiedza ta jest im potrzebna w celu wykonywania pracy, która odbywa się w zespole, w grupie wszystkich podwładnych.
Nadawanie pracownikowi numeru na liście obecności oznacza, że w konsekwencji nie można ujawniać imion i nazwisk pracownika pozostałym podwładnym. Prowadziłoby to do absurdu, gdy ludzie zwracaliby się do siebie poprzez numery.
Skrócony czas pracy. Program pilotażowy MRPiPS
Program pilotażowy dotyczący skróconego czasu pracy
8-godzinny czas pracy wprowadzono w Polsce 107 lat temu, a wolne soboty ponad 50 lat temu. W tym czasie wiele się zmieniło. Nowe technologie znacząco podniosły efektywność pracy, wiele krajów już dziś skraca czas pracy. Mimo braku regulacji, niektórzy pracodawcy z własnej inicjatywy skracają czas pracy w swoich zakładach. Dzieje się tak zarówno w sektorze prywatnym, jak i publicznym.
Korzyści jest wiele. Pracownicy mogą cieszyć się większą równowagą między życiem zawodowym i prywatnym, większymi możliwościami samorozwoju, dłuższą aktywnością zawodową, za to mniejszym ryzykiem wypalenia zawodowego. Pracodawcy mogą z kolei obserwować wzrost efektywności i kreatywności pracowników, minimalizację marnotrawstw, spadek liczby błędów i wypadków, a także większą konkurencyjność na rynku pracy.
Biorąc powyższe pod uwagę 28.4.2025 r. Ministerstwo Rodziny, Pracy i Polityki Społecznej ogłosiło rozpoczęcie przygotowań do uruchomienia pilotażu skrócenia czasu pracy.
Najlepsze rozwiązania dla firm i instytucji
Skrócenie czasu pracy przynosi korzyści, ale wymaga elastycznego podejścia, dostosowanego do specyfiki branż i organizacji. Skrócenie czasu pracy nie może być narzucone odgórnie. Dlatego Ministerstwo Pracy ogłasza pilotaż, który jeszcze w tym roku pozwoli rozpocząć praktyczne testowanie różnych modeli skróconego czasu pracy.
Podmioty mogące uzyskać dofinansowanie
Wniosek mogą złożyć pracodawcy, zarówno podmioty prywatne, jak i publiczne. Maksymalna wartość wsparcia na jeden projekt pilotażowy to 1 milion złotych. Co ważne, koszt projektu w przeliczeniu na jednego pracownika objętego pilotażem nie może przekroczyć 20 tysięcy złotych.
Warunki przystąpienia do pilotażu
Warunkami, jakie należy spełnić, żeby przystąpić do pilotażu są:
- prowadzenie działalności przez co najmniej 12 miesięcy przed dniem złożenia wniosku,
- zatrudnianie co najmniej 75 % pracowników na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę,
- objęcie projektem minimum 50 % pracowników,
- utrzymanie zatrudnienia na poziomie nie niższym niż 90 % stanu początkowego, określonego we wniosku,
- utrzymanie wynagrodzeń pracowników biorących udział w projekcie pilotażowym na poziomie nie niższym niż obowiązujący w dniu rozpoczęcia realizacji projektu pilotażowego, przez cały okres jego trwania,
- brak pogorszenia warunków pracy i płacy pracowników objętych projektem.
Treść wniosku i termin składania
Wniosek należy złożyć elektronicznie, poprzez udostępniony generator wniosków.
Wymagane dokumenty to:
- wniosek o przyznanie środków rezerwy Funduszu Pracy na finansowanie projektu pilotażowego,
- projekt pilotażowy, zawierający opis, cel, uzasadnienie, założenia, w tym rezultaty i mierniki,
- wymagane oświadczenia, w tym m.in. o systematycznym i terminowym wypełnianiu ankiet, niezaleganiu z wypłatami dla pracowników, braku zaległości podatkowych i w opłacaniu składek na ubezpieczenia społeczne, niezaleganiu z opłacaniem innych danin publicznych, braku nieuregulowanych w terminie zobowiązań cywilnoprawnych oraz deklaracja współpracy z urzędem pracy.
Należy pamiętać, że złożenie dokumentów nie jest równoznaczne z przyznaniem środków.
Kluczowe terminy
Do 15.10.2025 r. nastąpi rozstrzygnięcie naboru oraz publikacja listy pracodawców, którzy zakwalifikowali się do pilotażu. Po opublikowaniu listy projektów pilotażowych rekomendowanych do realizacji nastąpi etap podpisywania umów.
Realizacja projektu pilotażowego rozpoczyna się od dnia zawarcia umowy i podzielona jest na trzy etapy:
- I etap: Przygotowanie do wprowadzenia skróconego czasu pracy – trwa od podpisania umowy i kończy się 31.12.2025 r.
- II etap: Testowanie wprowadzenia skróconego czasu pracy w środowisku pracy – zaczyna się 1.1.2026 r. i trwa do 31.12.2026 r.
- III etap: Podsumowanie realizacji projektu pilotażowego – kończy się najpóźniej 15.5.2027 r. (do tego terminu Realizator projektu jest zobowiązany przekazać Ministrowi sprawozdanie końcowe oraz ankiety kwartalne pracodawcy i pracowników).
Więcej informacji można uzyskać za pośrednictwem poczty e-mail, pisząc na adres: scp@mrpips.gov.pl.
Źródło: gov.pl
Usługi serwisowania pojazdów a wybór opodatkowania w formie ryczałtu ewidencjonowanego
W tym przypadku można korzystać z opodatkowania ryczałtem od przychodów ewidencjonowanych, ponieważ – jak wynika z pytania – nie ma tu miejsca handel częściami i akcesoriami do pojazdów mechanicznych.
Zgodnie z art. 8 ust. 1 pkt 3 lit. f ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (dalej: RyczałtU) opodatkowania w formie ryczałtu od przychodów ewidencjonowanych (z zastrzeżeniem art. 6 ust. 1b RyczałtU) nie stosuje się do podatników osiągających w całości lub w części przychody z tytułu działalności w zakresie handlu częściami i akcesoriami do pojazdów mechanicznych.
Działalność usługowa w zakresie handlu dla celów opodatkowania ryczałtem ewidencjonowanym oznacza sprzedaż, w stanie nieprzetworzonym, nabytych uprzednio produktów (wyrobów) i towarów, w tym również takich, które zostały przez sprzedawcę zapakowane lub rozważone do mniejszych opakowań albo rozlane do butelek, puszek lub mniejszych pojemników (art. 4 ust. 1 pkt 3 RyczałtU).
Z pytania nie wynika, aby miała tu miejsce działalność polegająca na handlu (działalności usługowej w zakresie handlu) częściami i akcesoriami do pojazdów mechanicznych. Usługi serwisowe inaczej sklasyfikowano statystycznie niż sprzedaż detaliczną, ponieważ jak wynika z art. 4 ust. 1 pkt 1 RyczałtU działalność usługowa dla potrzeb zastosowania opodatkowania w formie ryczałtu od przychodów ewidencjonowanych oznacza pozarolniczą działalność gospodarczą, której przedmiotem są czynności zaliczone do usług zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU).
W opisanym stanie faktycznym można korzystać z opodatkowania ryczałtem ewidencjonowanym.
