Miejsce postojowe dla pracownika niepełnosprawnego
Przepisy nie nakładają na pracodawcę obowiązku zapewnienia indywidualnego miejsca parkingowego dla niepełnosprawnego pracownika.
Stosownie do postanowień art. 207 § 2 Kodeksu pracy, pracodawca ma chronić zdrowie i życie pracowników przez zapewnienie im bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. W szczególności pracodawca jest obowiązany organizować pracę w sposób zapewniający bezpieczne i higieniczne warunki pracy, zapewniać przestrzeganie w zakładzie pracy przepisów bhp, wydawać polecenia usunięcia uchybień w tym zakresie oraz kontrolować wykonanie tych poleceń, a także reagować na ich potrzeby oraz dostosowywać środki podejmowane w celu doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników, biorąc pod uwagę zmieniające się warunki wykonywania pracy.
W myśl art. 4 ust. 5 ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych, posiadanie orzeczenia o znacznym albo umiarkowanym stopniu niepełnosprawności nie wyklucza możliwości zatrudnienia takiej osoby u pracodawcy niezapewniającego warunków pracy chronionej, w przypadkach:
1) przystosowania przez pracodawcę stanowiska pracy do potrzeb osoby niepełnosprawnej,
2) zatrudnienia w formie telepracy.
Biorąc pod uwagę powyższe, przepisy nie obligują pracodawcy do dostosowania stanowisk pracy dla osób posiadających orzeczenie o stopniu niepełnosprawności w stopniu lekkim.
Przepisy nie nakładają również obowiązku, bez względu na stopień niepełnosprawności pracownika, aby pracodawca zapewniał takiej osobie indywidualne miejsce parkingowe. Obowiązek zapewnienia miejsc dla osób niepełnosprawnych, przy czym też nie indywidualnych, a ogólnodostępnych, może spoczywać na zarządcy danego budynku, przy czym nie muszą to być miejsca nieodpłatne. Liczba takich miejsc, zgodnie z przepisami rozporządzenia w sprawie wykonania niektórych przepisów ustawy o drogach publicznych, powinna być uzależniona od łącznej liczby miejsc postojowych, przy czym nie powinna być mniejsza niż:
1) 1 stanowisko dla osób niepełnosprawnych – jeżeli liczba stanowisk wynosi 6–15,
2) 2 stanowiska dla osób niepełnosprawnych – jeżeli liczba stanowisk wynosi 16–40,
3) 3 stanowiska dla osób niepełnosprawnych – jeżeli liczba stanowisk wynosi 41–100,
4) 4% ogólnej liczby stanowisk – jeżeli ogólna liczba stanowisk wynosi więcej niż 100.
Mając na uwadze powyższe, zapewnienia indywidualnego miejsca parkingowego dla niepełnosprawnego pracownika stanowi wyłącznie dobrą wolę pracodawcy. W przypadku pozytywnego rozpatrzenia wniosku pracownika pracodawca może pobierać od niego opłaty w takiej samej wysokości, jak od pozostałych pracowników.
Legalne korzystanie z automatycznej selekcji kandydatów w świetle AI Act i Kodeksu pracy
Wykorzystanie sztucznej inteligencji (AI) w procesach rekrutacyjnych, choć oferuje znaczną oszczędność czasu, wprowadza nowe, istotne ryzyka prawne dla pracodawców. AI Act wymaga, aby nad systemami wysokiego ryzyka zapewniony był skuteczny nadzór ludzki. Oznacza to, że ostateczna decyzja o odrzuceniu lub zaakceptowaniu kandydata nie może należeć wyłącznie do algorytmu. Pracownik działu HR musi mieć możliwość weryfikacji i zmiany decyzji podjętej przez system.
Zgodnie z AI Act, systemy AI wykorzystywane do rekrutacji i selekcji osób fizycznych, w szczególności do anonsowania ofert, filtrowania lub oceny aplikacji, są klasyfikowane jako systemy wysokiego ryzyka. Taka klasyfikacja nakłada na pracodawcę (jako użytkownika systemu) szereg konkretnych obowiązków. Przede wszystkim, proces selekcji nie może być w pełni zautomatyzowany.
Kolejnym kluczowym aspektem jest zgodność z przepisami o ochronie danych osobowych. Pracodawca jako administrator danych, musi:
1) spełnić obowiązek informacyjny (art. 13 i 14 RODO) – klauzula rekrutacyjna musi zawierać wyraźną informację, że dane kandydata będą przetwarzane w sposób zautomatyzowany przez system AI w celu selekcji.
2) zapewnić podstawę prawną – o ile przetwarzanie danych z CV odbywa się na podstawie art. 22¹ Kodeksu pracy, o tyle na zautomatyzowane podejmowanie decyzji, które wywołuje skutki prawne, co do zasady wymagana jest wyraźna zgoda kandydata (art. 22 ust. 2 RODO).
3) przeprowadzić ocenę skutków dla ochrony danych (DPIA) – ze względu na dużą skalę przetwarzania i nowe technologie, jest to niezbędne do zidentyfikowania i zminimalizowania ryzyk.
Równie istotne jest zapobieganie dyskryminacji (art. 18³ᵃ Kodeksu pracy). Algorytmy mogą uczyć się historycznych uprzedzeń, np. preferując kandydatów o określonej płci lub w określonym wieku na dane stanowiska.
Jeżeli historyczne dane, na których trenowany był algorytm, wskazują, że na stanowiskach technicznych dominowali mężczyźni, system AI może zacząć niżej oceniać CV kobiet, nawet jeśli posiadają identyczne kwalifikacje. Pracodawca musi być w stanie wykazać, że kryteria stosowane przez algorytm są obiektywne, merytoryczne i niedyskryminujące. W tym celu konieczne jest regularne testowanie i audytowanie używanego oprogramowania.
Wdrożenie AI w rekrutacji wymaga zatem nie tylko wyboru odpowiedniego narzędzia, ale przede wszystkim stworzenia wewnętrznych procedur zapewniających transparentność, nadzór i zgodność z wieloma regulacjami prawnymi.
Brak dokumentów źródłowych będących podstawą ujęcia operacji w księgach rachunkowych
Operacje na rachunku bankowym nie mogą być ujmowane na podstawie dowodów zastępczych. W tym wypadku jednostka powinna dostarczyć wyciągi bankowe. Jeśli dokonane zostały operacje bankowe, co wynika z innych dowodów, jedyne co może zrobić księgowość, to ująć je na koncie „Środki pieniężne w drodze” do czasu otrzymania wyciągów bankowych. W przypadku, gdy brak wyciągów z winy kontrahenta, jest to podstawa do odmowy podpisania sprawozdania finansowego.
W księgach rachunkowych ujmuje się operacje gospodarcze na podstawie dokumentów źródłowych. W przypadku operacji gospodarczych takimi dowodami są wyciągi bankowe. Nie można księgować operacji gospodarczych dotyczących przepływu środków pieniężnych na podstawie innych dowodów. Jeśli z treści innych dowodów wynika, iż płatność była dokonana z wykorzystaniem rachunku bankowego, to ująć taką operację można na koncie „Środki pieniężne w drodze”.
Zatem jeśli zostały dokonane operacje zapłaty przelewami, to powinny zostać ujęte na koncie „Środki pieniężne w drodze”. Późniejsze otrzymanie wyciągów powinno być księgowane w korespondencji z tym kontem w zakresie operacji, o których już wiemy, i które zostały zrealizowane przelewami. W przypadku operacji, o których takiej wiedzy nie ma, księgowanie następuje bezpośrednio z kontami, których operacje te przeprowadzono. Późniejsze otrzymanie wyciągów nie może być zaksięgowane wstecz. Biuro rachunkowe powinno zaksięgować te operacje wskazując datę ich przeprowadzenia, wynikającą z wyciągu, ale przyporządkowując (data księgowania) do okresu, w którym kontrahent przedstawił dokumenty.
Należy przypomnieć, iż za sprawozdanie finansowe i rachunkowość odpowiada kierownik jednostki (zarząd spółki z o.o.), a biuro rachunkowe – za rzetelne wykonywanie postanowień umowy zgodnie z zasadami współpracy z kontrahentem.
Jeśli biuro rachunkowe nie otrzymało od kontrahenta wyciągów bankowych, nie może księgować operacji na koncie „Rachunek bankowy”. Jeśli z treści innych dowodów wynika, iż płatność została dokonana, to można ująć operację na koncie „Środki pieniężne w drodze”. Wtedy w przyszłości – pod datą księgowania otrzymanego z opóźnieniem wyciągu – ujmuje się taką operację w korespondencji z kontem „Rachunek bankowy”. Na przykład w 2024 r. otrzymano dowód, iż pracownik wpłacił do banku 500 zł. Operacja zostanie ujęta zapisem: Wn „Środki pieniężne w drodze”/Ma „Rozrachunki z pracownikiem”. Transakcja wpłynie więc de facto na stan środków pieniężnych prezentowanych w bilansie, ponieważ konto „Środki pieniężne w drodze” jest prezentowane w pozycji „Środki pieniężne w kasie i na rachunkach bankowych”, ale zaksięgowanie na koncie „Rachunek bankowy” nastąpi dopiero pod datą księgowania wyciągu, czyli w 2025 r.
Jeśli nie ma informacji z innych dowodów, to księgowanie może zostać dokonane dopiero na podstawie wyciągu, czyli np. faktura za zobowiązania pozostaje nierozliczona do czasu uzyskania wyciągu (jeśli płatność według słów kontrahenta nastąpiła poprzez przelew bankowy).
Jeśli jest ustalona tylko część wyciągów, to saldo nie może być uznane za prawidłowe. Należy wykazać to saldo, które wynika z dokumentów i na przykład w informacji dodatkowej wskazać, iż według wyciągu powstało saldo „X”, ale posiadane dokumenty tego nie potwierdzają.
W biurze rachunkowym całą korespondencję (wymianę uwag) należy posiadać na piśmie, np. w mailach archiwizowanych. Najlepiej z zachowaniem ciągłości korespondencji. To jedyny dowód „twardy”, że biuro wywiązywało się ze swojej strony z umowy. Będą wątpliwości co do przekazywania informacji ustnie, telefonicznie.
Warto również przypomnieć, iż za rachunkowość odpowiada kierownik jednostki, a nie biuro rachunkowe.
Implementacja dyrektywy NIS 2 w prawie krajowym
Zagadnienia wstępne
Dyrektywa NIS 2 (ang. Directive on Security of Network and Information Systems 2) stanowi kluczowy element w systemie prawnym Unii Europejskiej, mający na celu poprawę poziomu cyberbezpieczeństwa państw członkowskich. Jej wprowadzenie jest odpowiedzią na dynamicznie rosnące zagrożenia cybernetyczne oraz wzrastającą złożoność i znaczenie infrastruktury cyfrowej zarówno w życiu codziennym jak i gospodarczym. Została przyjęta w grudniu 2022 roku, stanowiąc aktualizację pierwotnej Dyrektywy NIS i odzwierciedla zmieniające się podejście Unii Europejskiej do kwestii cyberbezpieczeństwa oraz nowych wyzwań w zakresie zagrożeń cybernetycznych. Ponadto wprowadza znacznie szerszy zestaw wymogów, obejmując większą liczbę podmiotów niż jej poprzedniczka. Celem działań UE jest bowiem stworzenie jednolitych, spójnych ram prawnych, które zapewnią jednakowy poziom ochrony przed zagrożeniami cyfrowymi w całej Wspólnocie oraz wzmocnią współpracę międzynarodową w dziedzinie cyberbezpieczeństwa.
Wobec narastającej liczby cyberataków na instytucje publiczne i prywatne oraz coraz bardziej złożonych zagrożeń, wdrożenie dyrektywy NIS 2 staje się priorytetem wymagającym uwzględnienia aspektów zarówno prawnych, jak i operacyjnych. Polska, podobnie jak inne państwa członkowskie, musi nie tylko dostosować swoje przepisy, ale również zapewnić skuteczne mechanizmy nadzoru i wspierać podmioty w realizacji nowych obowiązków.
Aktualne przepisy: Krajowy System Cyberbezpieczeństwa
Ustawa z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa, to pierwszy tego typu akt prawny w Polsce, który w zakresie swojej regulacji wdrożył dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6.7.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii czyli Dyrektywę NIS. Głównym celem tego aktu prawnego było określenie krajowych ram prawnych umożliwiających ochronę systemów informatycznych oraz podniesienie zdolności do zapobiegania i reagowania na zagrożenie cybernetyczne przez operatorów usług kluczowych oraz dostawców usług cyfrowych (art. 3 ustawy o krajowym systemie cyberbezpieczeństwa). Krajowy system cyberbezpieczeństwa obejmuje operatorów usług kluczowych, dostawców usług cyfrowych, CSIRT MON, CSRIT NASK, CSRIT GOV, sektorowe zespoły cyberbezpieczeństwa, wybrane jednostki sektora finansów publicznych, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polską Agencję Żeglugi Powietrznej, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, Pojedynczy Punkt Kontaktowy, Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa oraz Kolegium do spraw Cyberbezpieczeństwa, ustawa obowiązuje od 28 sierpnia 2018 r.
Zgodnie z ustawą operatorzy usług kluczowych to podmioty świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej, których świadczenie uzależnione jest od funkcjonowania systemów informacyjnych, a incydent wywarłby istotny wpływ zakłócający dla świadczenia tej usługi kluczowej. Operatorów usług kluczowych odnajdziemy w takich sektorach jak: energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną czy infrastruktura cyfrowa. Ich szczegółowy wykaz prowadzony jest przez ministra właściwego do spraw informatyzacji. Ustawa definiuje i obejmuje również swoim zasięgiem dostawców usług cyfrowych. Do usług cyfrowych zaliczane są: internetowe platformy handlowe, usługi przetwarzania w chmurze oraz wyszukiwarki internetowe.
Na podmioty objęte tym aktem prawnym nałożono szereg obowiązków. Operatorzy usług kluczowych są zobowiązani do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w zakresie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. W jego skład wchodzić powinny m.in. procedury dotyczące: szacowania ryzyka, eksploatacji systemu, bezpieczeństwa fizycznego systemu, bezpieczeństwa i ciągłości dostaw usług. Operatorzy usług kluczowych zobowiązani są również do obsługi i zgłaszania incydentów. Są oni zobligowani do klasyfikowania incydentów a w przypadku zakwalifikowania incydentu jako incydent poważny zgłoszenia go do właściwego CSIRT w ciągu 24 godzin od momentu jego wykrycia. Dodatkowo ich obowiązkiem jest współpraca z CSIRT w ramach obsługi incydentu oraz usunięcie podatność systemu. Ustawa zobowiązuje operatorów usług kluczowych do ustanowienia wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo (warto zauważyć, że przewiduje ona możliwość korzystania z outsourcingu usług bezpieczeństwa). Zobowiązani są oni do przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej raz na 2 lata. Na dostawców usług cyfrowych ze względy na transgraniczną specyfikę funkcjonowania tych podmiotów nałożono mniej wymagające obowiązki w zakresie zapewnienie cyberbezpieczeństwa świadczonych usług. Są zobowiązani do stosowania środków bezpieczeństwa adekwatnych do stopnia ryzyka, przy szczególnym uwzględnieniu: bezpieczeństwa systemów informacyjnych i obiektów, postepowania w przypadku obsługi incydentu, zarządzania ciągłością działania, najnowszego stanu wiedzy oraz monitorowania, audytowania i testowania. Zgodnie z art. 21 ustawy o krajowym systemie cyberbezpieczeństwa podmioty publiczne wchodzące w skład krajowego systemu cyberbezpieczeństwa mają obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemy cyberbezpieczeństwa. Ponadto podmioty publiczne zobowiązane są do zarządzania i obsługi incydentu oraz zgłoszenia go do właściwego CSIRT w ciągu 24 godzin od jego wykrycia.
Ustawa wyznacza trzy CSIRT na poziomie krajowym: CSIRT NASK, CSIRT GOV oraz CSRIT MON. Dla każdego z powołanych CSIRT przydzielone zostały podmioty, których obsługą będą się zajmować w zakresie przyjmowania zgłoszeń i raportów oraz udzielania wsparcia. Ponadto wszystkie trzy CSIRT-y mają za zadanie współpracować ze sobą oraz m.in. ministrem ds. informatyzacji czy Pełnomocnikiem ds. Cyberbezpieczeństwa. Inne zadania CSIRT-ów to m.in.: monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym, reagowanie na zgłoszone incydenty, współpraca z sektorowymi zespołami cyberbezpieczeństwa, wydawanie komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa czy współpraca z innymi państwami UE. Jednym z fundamentalnych zadań CSIRT jest przyjmowanie i reagowanie na incydenty. Ustawa określa trzy poziomy incydentów:
- incydent – zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo,
- incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej,
- incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV.
Ustawa przewiduje sprawowanie nadzoru i kontroli nad podmiotami krajowego systemu cyberbezpieczeństwa. Za nadzór nad każdym kluczowym sektorem gospodarki odpowiada organ właściwy do spraw cyberbezpieczeństwa, czyli ministrowie właściwi dla konkretnych działów administracji. Minister odpowiedzialny za informatyzację odpowiada za cywilne aspekty cyberbezpieczeństwa Rzeczypospolitej Polskiej, zaś jednym z głównych zadań Ministra Obrony Narodowej jest prowadzenie współpracy międzynarodowej Sił Zbrojnych Rzeczypospolitej Polskiej z odpowiednimi organami NATO, UE oraz innymi organizacjami międzynarodowymi w obszarze obrony narodowej w zakresie cyberbezpieczeństwa. Operatorzy usług kluczowych oraz dostawcy usług cyfrowych mogą podlegać karze od 1000 zł do 1 000 000 zł za zaniechanie lub niewypełnienie obowiązków wynikających z ustawy. Kary pieniężne nakłada organ odpowiedzialny za cyberbezpieczeństwo w formie decyzji, a środki pochodzące z tych kar zasilają budżet państwa.
Z uwagi na szeroki zakres tematyki cyberbezpieczeństwa, która obejmuje różne ministerstwa i agencje, ustawa ustanawia Kolegium ds. Cyberbezpieczeństwa oraz Pełnomocnika ds. Cyberbezpieczeństwa w celu koordynacji polityki na poziomie państwowym. Pełnomocnik, mianowany i odwoływany przez Prezesa Rady Ministrów, działa jako sekretarz lub podsekretarz stanu podlegający Radzie Ministrów. Jego zadania obejmują analizę i ocenę funkcjonowania systemu cyberbezpieczeństwa, nadzór nad zarządzaniem ryzykiem, opiniowanie dokumentów rządowych, promowanie nowych rozwiązań, inicjowanie ćwiczeń oraz wydawanie rekomendacji dla CSIRT. Ponadto pełnomocnik wspiera badania i rozwój technologiczny oraz podnosi świadomość społeczeństwa w zakresie cyberzagrożeń. Kolegium ds. Cyberbezpieczeństwa, pod przewodnictwem Prezesa Rady Ministrów, pełni zaś rolę opiniodawczo-doradczą. W jego skład wchodzą ministrowie odpowiedzialni za kluczowe obszary, Szef Kancelarii Premiera, Szef Biura Bezpieczeństwa Narodowego i inni przedstawiciele administracji oraz służb.
Dyrektywa NIS 2: kluczowe wymagania
Dyrektywa NIS 2 ustanawia środki, które mają na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii. Podyktowane jest to dążeniem do poprawy funkcjonowania rynku wewnętrznego Unii Europejskiej. W preambule do Dyrektywy ustawodawca unijny wskazuje, że jej celem jest wyeliminowanie rozbieżności, które pojawiły się na gruncie dyrektywy NIS 1, zwłaszcza poprzez zdefiniowanie minimalnych przepisów dotyczących funkcjonowania zharmonizowanych ram regulacyjnych, wprowadzenie mechanizmów skutecznego współdziałania między odpowiedzialnymi organami w poszczególnych państwach członkowskich, uaktualnienie wykazu sektorów i działań podlegających zakresom obowiązków w zakresie cyberbezpieczeństwa oraz wdrożenie sprawnych środków naprawczych i środków egzekwowania, które są istotne dla efektywnego egzekwowania tych obowiązków. Do głównych obowiązków wynikających z Dyrektywy NIS 2 należą:
- obowiązki państw członkowskich dotyczące przyjęcia krajowych strategii cyberbezpieczeństwa oraz wyznaczenia lub powołania właściwych organów, organów ds. zarządzania kryzysowego w cyberbezpieczeństwie, pojedynczych punktów kontaktowych ds. cyberbezpieczeństwa oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT),
- obowiązki w zakresie wdrażania środków zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zgłaszania incydentów spoczywające na podmiotach w rodzaju tych, o których mowa w załączniku I (podmioty z sektora kluczowego) lub II (podmioty z sektora ważnego), jak również na podmiotach zidentyfikowanych jako podmioty o charakterze krytycznym na podstawie dyrektywy (UE) 2022/2557.
- zasady i obowiązki w zakresie wymiany informacji o cyberbezpieczeństwie,
- obowiązki w zakresie nadzoru i egzekwowania przepisów spoczywające na państwach członkowskich.
Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa
Implementacja unijnego prawodawstwa jakim jest Dyrektywa NIS 2 do krajowego porządku prawnego jest priorytetowym zadaniem dla państw członkowskich Wspólnoty, w celu zagwarantowania zharmonizowanego i skutecznego systemu cyberbezpieczeństwa na terenie całej Unii Europejskiej. W Polsce wdrożenie nowego prawodawstwa ma zostać zrealizowane poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowelizacja jest nie tylko formalnym obowiązkiem ciążącym na państwie członkowskim, ale również kluczowym krokiem ku zwiększeniu odporności na cyberzagrożenia w dynamicznie zmieniającym się środowisku cyfrowym. Wdrożenie nowych przepisów oznacza konieczność dostosowania krajowych regulacji do zaostrzonych wymogów NIS 2, co wiąże się z rozszerzeniem zakresu podmiotów objętych regulacją, wprowadzeniem bardziej szczegółowych procedur zarządzania ryzykiem oraz nowych obowiązków w zakresie raportowania incydentów. Oznacza to także zwiększenie uprawnień organów nadzoru i zaostrzenie sankcji, co ma na celu skuteczniejsze egzekwowanie przepisów. Najnowszy projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa został opublikowany 3 października 2024 r. i jest to już drugie wydanie nowelizacji w zakresie implementacji Dyrektywy NIS 2 do polskiego porządku prawnego. Tymczasem, zgodnie z wymogami nowego prawodawstwa unijnego, państwa członkowskie powinny wprowadzić nowe przepisy do porządku prawnego najpóźniej do 17 października 2024 r. To oznacza, że Polska już teraz zmaga się z presją czasową, aby zrealizować te zobowiązania. Mimo że projekt ten jest zapowiadany jako ostateczna wersja, proces legislacyjny jeszcze potrwa. Nawet przy zachowaniu optymalnych terminów i sprawnym przebiegu prac sejmowych, obowiązywanie nowych przepisów – według opinii ekspertów – może zacząć się dopiero pod koniec pierwszego kwartału 2025 r. Taka sytuacja wymaga nie tylko zintensyfikowania działań legislacyjnych, ale również przygotowania podmiotów objętych regulacją do szybkiego wdrożenia nowych wymogów. W związku z tym warto przyjrzeć się głównym założeniom nowelizacji ustawy o KSC, które mają na celu dostosowanie polskiego systemu prawnego do wymogów dyrektywy NIS2 oraz wzmocnienie krajowego systemu cyberbezpieczeństwa.
Na wstępie zaznaczyć należy, że nowelizacji ustawy o KSC jest dokumentem znacznie obszerniejszym niż jej pierwotna wersja, co wynika ze znacznie poszerzonego zakresu, który obejmuje ustawa. Wprowadzono wiele nowych definicji, rozszerzono zakres podmiotów objętych nową regulacją dodano również szczegółowe obowiązki związane z zarządzeniem cyberbezpieczeństwem.
Identyfikacja i rejestracja podmiotów kluczowych i podmiotów ważnych
Zmianie ulegają kryteria dotyczące identyfikacji podmiotów kluczowych i podmiotów ważnych. Do podmiotów kluczowych zaliczane są podmioty, które spełniają m.in. takie kryteria: znajdują się w załączniku nr 1 do ustawy i przewyższają wymogi średnich przedsiębiorstw według rozporządzenia Komisji (UE) nr 651/204, są przedsiębiorcami komunikacji elektronicznej spełniający lub przewyższający wymogi średnich przedsiębiorstw, dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa spełniający przynajmniej wymagania dla małych lub średnich przedsiębiorstw czy dostawcy usług DNS, kwalifikowani dostawcy usług zaufania, podmioty publiczne, operatorzy obiektów energetyki jądrowej niezależnie od ich wielkości. Podmiotami ważnymi są podmioty, które kwalifikują się jako przedsiębiorstwa średnie zgodnie z rozporządzeniem Komisji (UE) nr 651/2014, ale nie zostały uznane za podmioty kluczowe. Kategoria ta będzie obejmować m.in. niekwalifikowanych dostawców usług zaufania oraz małych przedsiębiorców w obszarze komunikacji elektronicznej. Podmioty kluczowe i ważne będą miały 3 miesiące na dokonanie samoanalizy i wniesienie wniosku o wpis do wykazów podmiotów kluczowych i ważnych od wejścia w życie ustawy. Na podmiotach kluczowych i ważnych spoczywa obowiązek dostarczenia i uzupełnienia określonych danych niezbędnych do prowadzenia rejestru podmiotów kluczowych i ważnych przez ministra właściwego do spraw informatyzacji. Za niedopełnienie tego obowiązku podmioty kluczowe i ważne mogą zostać objęte karami pieniężnymi.
System Zarządzania Bezpieczeństwem Informacji
Podmioty kluczowe i ważne muszą wdrożyć system zarządzania bezpieczeństwem informacji w zakresie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej lub ważnej. SZBI uwzględniać powinien takie elementy jak:
- szacowanie i zarządzanie ryzykiem wystąpienia incydentów;
- odpowiednie środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, takie jak: polityki bezpieczeństwa, polityki szacowania ryzyka, bezpieczeństwo nabywania i eksploatacji systemów, ciągłość łańcucha dostaw, edukacja i cyberhigiena personelu czy też stosowanie kryptografii oraz środków uwierzytelniania;
- zarządzanie incydentami i ich skutkami.
Podmioty mają również bardziej szczegółowe obowiązki obejmujące m.in. zbieranie informacji i zagrożeniach i podatnościach, zarządzanie incydentami (klasyfikacja, zgłaszanie, obsługa), wdrażanie planów awaryjnych i ciągłości działania.
Odpowiedzialność i nadzór
Zgodnie z nowelizacją kierownicy podmiotów kluczowych i ważnych ponoszą odpowiedzialność za realizację obowiązków w zakresie cyberbezpieczeństwa. Obowiązki kierowników obejmują m.in.: planowanie środków finansowych na cyberbezpieczeństwo, nadzór nad realizacją obowiązków oraz zapewnienie edukacji personelu, obowiązkowy udział w szkoleniach z obszaru cyberbezpieczeństwa, które muszą odbywać się co najmniej raz w roku. Sformułowano wymóg niekaralności dla osób realizujących zadania związane z cyberbezpieczeństwem.
Dokumentacja
Podmioty kluczowe i ważne muszą prowadzić i aktualizować dokumentację normatywną i operacyjną związaną z bezpieczeństwem systemów informacyjnych oraz zapewnić jej ochronę przed nieuprawnionym dostępem. Dokumentacja powinna być przechowywana przez co najmniej dwa lata od momentu jej wycofania.
Utrzymywanie kontaktu z podmiotami krajowego systemy cyberbezpieczeństwa
Podmioty kluczowe i ważne muszą wyznaczyć co najmniej dwie osoby odpowiedzialne za kontakty z krajowym systemem cyberbezpieczeństwa, zapewniają użytkownikom usług dostęp do informacji z zakresu cyberzagrożeń oraz umożliwiają im zgłaszanie cyberzagrożeń, incydentów i podatności związanych z ich usługami.
Obsługa incydentów i raportowanie
W zakresie obsługi incydentów i raportowania zmieniono wymagania dla podmiotów kluczowych i ważnych. Podmioty kluczowe i ważne muszą zapewnić obsługę incydentów i zgłaszać je do odpowiednich CSIRT-ów w ciągu określonych terminów tj. wczesne ostrzeżenie w ciągu 24 godzin od momenty wykrycia, zaś incydent poważny w ciągu 72 godzin od jego wykrycia. Inne obowiązki w tym zakresie obejmują przekazywanie sprawozdania z obsługi incydentów, w tym końcowe sprawozdanie, szczególnie w przypadku incydentów o charakterze poważnym oraz informowanie użytkowników usług o poważnych incydentach jeżeli mają one niekorzystny wpływ na świadczenie tych usług.
Audyt bezpieczeństwa dla podmiotów kluczowych
Podmioty kluczowe są zobowiązane do przeprowadzania audytów co najmniej raz na trzy lata. Audyty muszą być realizowane przez akredytowane jednostki lub odpowiednich audytorów spełniających określone kryteria. Podmioty kluczowe będą musiały przeprowadzić pierwszy audyt w ciągu 24 miesięcy od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot kluczowy).
Obowiązki rejestrów nazw domen najwyższego poziomu oraz zadania i obowiązki podmiotów świadczących usługi rejestracji nazw domen
Nowelizacja ustawy o KSC zawiera zupełnie nowy rozdział Obowiązki rejestrów nazw domen najwyższego poziomu oraz zadania i obowiązki podmiotów świadczących usługi rejestracji nazw domen, w związku z wyszczególnieniem i objęciem zasięgiem tych podmiotów w Dyrektywie NIS 2. Główne obowiązki tych podmiotów obejmują:
- gromadzenie i utrzymywanie dokładnych danych rejestracyjnych z należytą starannością;
- prowadzenie baz danych zawierających m.in. nazwę domeny, datę rejestracji, dane kontaktowe abonenta oraz informacje o punkcie kontaktowym, jeśli różni się od danych abonenta;
- wdrożenie procedur weryfikacji danych, obejmujące działania przed i po rejestracji, w celu zapewnienia ich dokładności i kompletności
- czy też publikacja w sposób publiczny danych rejestracyjnych.
Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne
Nowelizacja ustawy o KSC w miejsce uchylonego Rozdziału 5. Obowiązki podmiotów publicznych, ustanawia Rozdział 3b. Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne. Podmiot publiczny realizuje obowiązki, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8e, art. 8f, art. 9–12b i art. 15 – a więc obowiązki ciążące na podmiotach kluczowych. Jest to duża zmiana w porównaniu do obecnie obowiązującej ustawy, kiedy to podmioty publiczne były traktowane stosunkowo łagodnie i dotyczyło ich nie wiele obowiązków, które były nakładane na operatorów usług kluczowych. Rozdział ten przewiduje możliwość wyznaczania podległych jednostek do realizacji obowiązków związanych z cyberbezpieczeństwem przez ministrów, centralne organy administracji, wojewodów oraz jednostki samorządu terytorialnego. Podmioty publiczne współpracują z wyznaczonymi jednostkami poprzez przekazywanie informacji o incydentach, stosowanie się do decyzji dotyczących bezpieczeństwa, publikowanie informacji na stronach internetowych i udział w szkoleniach. Wyznaczone jednostki określają terminy na przekazywanie informacji o incydentach i zgłaszają wczesne ostrzeżenia oraz raporty do CSIRT-ów w imieniu podmiotów publicznych.
Ocena bezpieczeństwa
Kolejny nowy rozdział w stosunku do obowiązującej ustawy to Rozdział 6a. Ocena bezpieczeństwa. Opisuje zasady, warunki i procedury przeprowadzania testów bezpieczeństwa systemów informacyjnych przez CSIRT MON, CSIRT NASK, CSIRT GOV oraz CSIRT-y sektorowe. Głównym celem jest identyfikacja podatności tych systemów w ramach testów bezpieczeństwa. Ocena bezpieczeństwa może być przeprowadzana za zgodą podmiotu krajowego systemu cyberbezpieczeństwa, wyrażoną pisemnie lub elektronicznie, bądź na zlecenie organu odpowiedzialnego za cyberbezpieczeństwo. W przypadku instytucji państwowych, takich jak Kancelaria Sejmu, Trybunał Konstytucyjny czy Najwyższa Izba Kontroli, wymagana jest ich zgoda. Przed rozpoczęciem oceny, CSIRT-y informują właściwy organ nadzorujący o swoim zamiarze. Podczas procesu muszą minimalizować zakłócenia w funkcjonowaniu systemu i unikać nieodwracalnego zniszczenia danych. Po przeprowadzeniu oceny CSIRT-y sporządzają raport, który przekazują podmiotowi, którego system został oceniony. Jeśli stwierdzona podatność może dotyczyć innych systemów, CSIRT-y zobowiązane są poinformować o tym ministra właściwego ds. informatyzacji oraz Pełnomocnika.
Zadania ministrów: do spraw informatyzacji, energii oraz Obrony Narodowej
Zadania ministra właściwego do spraw informatyzacji oraz Ministra Obrony Narodowej w odniesieniu do ustawy o KSC zostały poszerzone. Minister do spraw informatyzacji otrzymał nowe zadania m.in.: monitorowanie wdrażania Krajowego planu reagowania na incydenty prowadzenie wykazu podmiotów kluczowych i ważnych, koordynacja współpracy z państwami trzecimi czy zapewnienia systemu teleinformatycznego wspierającego nie tylko współpracę i obsługę incydentów, ale także czynności nadzorcze, zgłaszanie naruszeń ochrony danych osobowych oraz wymianę informacji o aktach prawnych. Nowelizacja wprowadza nowy artykuł, który pozwala ministrowi udzielać pomocy publicznej lub de minimis na wspieranie działań w obszarze cyberbezpieczeństwa. Nowelizacja rozszerza zadania Ministra Obrony Narodowej m.in. o kierowanie działaniami związanymi z obsługą incydentów nie tylko w czasie stanu wojennego, ale również w czasie wojny. Umożliwia również Ministrowi Obrony Narodowej wydzielanie zespołów specjalistów oraz zasobów z Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni w celu zabezpieczenia zadań CSIRT MON oraz zadań Ministra Obrony Narodowej w kontekście dowodzenia przez Naczelnego Dowódcę Sił Zbrojnych. Co więcej nowelizacja wprowadza zupełnie nowy Rozdział 10a. określający zadania ministra właściwego do spraw energii. Minister właściwy do spraw energii pełni rolę kluczowego nadzorcy w kwestiach dotyczących zabezpieczania i zarządzania ryzykiem w sektorze energii. Minister właściwy do spraw energii ma prawo prowadzić kontrole nad podmiotami uznanymi za mające krytyczny wpływ na sektor energii.
Organy odpowiedzialne za zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na dużą skalę
Kolejnym nowym rozdziałem wprowadzonym przez nowelizację jest Rozdział 10b dotyczący organów odpowiedzialnych za zarządzanie incydentami i zarządzania kryzysowego w cyberbezpieczeństwie na dużą skalę. Nowe przepisy precyzują podział kompetencji i odpowiedzialności za zarządzanie incydentami oraz kryzysami w zakresie cyberbezpieczeństwa na dużą skalę między różnymi organami państwowymi. Minister właściwy do spraw informatyzacji jest odpowiedzialny za zarządzanie incydentami i kryzysami w cyberbezpieczeństwie w wymiarze cywilnym, z wyjątkiem spraw związanych z zagrożeniami terrorystycznymi i szpiegostwem. Odpowiada za koordynację i działania w sytuacjach kryzysowych w zakresie cywilnym, co obejmuje zapewnienie odpowiednich procedur oraz reagowanie na incydenty wpływające na infrastrukturę i podmioty cywilne Minister Obrony Narodowej przejmuje odpowiedzialność za zarządzanie incydentami i kryzysami w cyberbezpieczeństwie w kontekście militarnym. Odpowiada za zarządzanie incydentami, które mają znaczenie militarne, co jest kluczowe dla ochrony strategicznych zasobów obronnych kraju oraz bezpieczeństwa narodowego. Szef Agencji Bezpieczeństwa Wewnętrznego odpowiada za zarządzanie incydentami i kryzysami w wymiarze cywilnym w sprawach dotyczących zagrożeń terrorystycznych oraz zagrożeń związanych ze szpiegostwem.
Nadzór i kontrola podmiotów kluczowych i podmiotów ważnych
Nowelizacja ustawy wprowadza szereg istotnych i szczegółowych zmian mających na celu wzmocnienie systemu nadzoru i kontroli nad podmiotami działającymi w obszarze cyberbezpieczeństwa. Nowelizacja wprowadza bardziej rozbudowany zakres nadzoru, obejmujący podmioty kluczowe i podmioty ważne. Nowe przepisy definiują nadzór prewencyjny oraz następczy, pozwalając na bardziej kompleksowe i elastyczne podejście do kontroli. Wprowadzono możliwość zarządzania kontrolami doraźnymi, które mogą być realizowane w pilnych przypadkach lub na podstawie otrzymanych informacji o możliwych naruszeniach. Kontrola doraźna może być prowadzona bez wcześniejszego zawiadomienia podmiotu kontrolowanego, a jej wyniki są prezentowane w formie sprawozdania. Organy właściwe do spraw cyberbezpieczeństwa zyskały możliwość realizacji audytów bezpieczeństwa systemów informacyjnych oraz zlecania ocen bezpieczeństwa zewnętrznym zespołom CSIRT, takim jak CSIRT MON, CSIRT NASK czy CSIRT GOV. W nowelizacji określono konkretne nakazy, jakie mogą być nałożone na podmioty, takie jak informowanie odbiorców o cyberzagrożeniach, publikowanie informacji o naruszeniach przepisów czy wdrażanie zaleceń z audytów. Wprowadzono także możliwość zwracania się o zawieszenie koncesji, cofnięcie zezwoleń oraz nałożenie zakazu pełnienia funkcji kierowniczych w przypadku nieprzestrzegania przepisów. Organy właściwe do spraw cyberbezpieczeństwa mogą tworzyć, samodzielnie lub wspólnie, metodyki nadzoru dotyczące prowadzenia nadzoru nad podmiotami kluczowymi i podmiotami ważnymi w zakresie stosowania przepisów ustawy, co pozwala na bardziej strategiczne podejście do kontrolowania podmiotów. Metodyki te obejmują zakres nadzoru, sposób jego przeprowadzania oraz kryteria oceny efektywności. W zakresie nakładania środków administracyjnych wprowadzone przepisy wymagają, aby przed ich nałożeniem organ nadzorczy informował podmiot kluczowy o wstępnych ustaleniach, dając mu możliwość przedstawienia swojego stanowiska. Przewidziano jednak sytuacje, w których organy mogą odstąpić od tej procedury w przypadku konieczności natychmiastowego działania.
Szczególne działania na rzecz zapewnienia cyberbezpieczeństwa na poziomie krajowym
Nowelizacja wprowadza zupełnie nowy Rozdział 12a dotyczący podejmowania szczególnych działań mających na celu wzmocnienie cyberbezpieczeństwa na poziomie krajowym. Pełnomocnik został wyposażony w nowe kompetencje dotyczące wydawania rekomendowania stosowania środków technicznych i organizacyjnych dla pomiotów krajowego systemu cyberbezpieczeństwa. Co istotne, stosowanie tych rekomendacji jest dobrowolne, co oznacza, że chociaż Pełnomocnik może określić wytyczne, nie są one dla podmiotów obligatoryjne. Wdrożona zostaje procedura uznania dostawcy za dostawcę wysokiego ryzyka, w wyniku której może dojść do wycofania produktów lub usług ICT dostarczanych przez takiego dostawcę. Czas na wycofanie zależy od rodzaju podmiotu: przedsiębiorcy telekomunikacyjni mają 4 lata, inne podmioty do 7 lat na wycofanie tych produktów. Eksperci wskazują, że czas ten jest zdecydowanie zbyt długi i wymaga skrócenia. Nowe przepisy umożliwiają ministrowi właściwemu do spraw informatyzacji wydanie polecenia zabezpieczającego w przypadku incydentu krytycznego. Polecenie to może obejmować szereg działań, od wzmożonego monitorowania po zakaz instalacji określonej wersji oprogramowania. Polecenie ma natychmiastowy charakter i obowiązuje na czas koordynacji obsługi incydentu lub przez okres nie dłuższy niż dwa lata.
Strategia
Nowe przepisy określające Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej wprowadzają istotne zmiany, czyniąc dokument bardziej szczegółowym i kompleksowym. Strategia zawierać ma zarówno cele strategiczne, jak i szczegółowe, oraz dodatkowe elementy, takie jak mechanizmy oceny ryzyka, zasady współpracy międzynarodowej, promowanie zaawansowanych technologii, zarządzanie podatnościami, cyberbezpieczeństwo łańcucha dostaw oraz szczególne działania skierowane do małych i średnich przedsiębiorstw. Realizacja Strategii opiera się na planie działań, który precyzyjnie określa koszty, źródła finansowania, odpowiedzialne podmioty oraz terminy realizacji. Nowelizacja wprowadza również obowiązek informacyjny dla podmiotów zaangażowanych w realizację Strategii, które muszą raportować ministrowi właściwemu do spraw informatyzacji o stanie realizacji celów i działań. Przepisy uwzględniają także koordynację i wymianę informacji z organami Unii Europejskiej i NATO w zakresie ryzyka i incydentów związanych z cyberbezpieczeństwem. Nowelizacja kładzie duży nacisk na wymogi dotyczące cyberbezpieczeństwa w zamówieniach publicznych, promując certyfikację oraz korzystanie z otwartego oprogramowania. Podkreśla się również znaczenie edukacji i szkoleń w celu rozwoju umiejętności, kwalifikacji i świadomości w zakresie cyberbezpieczeństwa. Dodatkowo, nowelizacja wspiera wzmacnianie cyberodporności małych i średnich przedsiębiorstw, co zwiększa ich ochronę przed potencjalnymi cyberzagrożeniami.
Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę
Kolejnym nowym rozdziałem wprowadzonym przez nowelizację jest Rozdział 13a dotyczący Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Krajowy Plan wyznacza ramy zarządzania incydentami oraz kryzysami w obszarze cyberbezpieczeństwa na dużą skalę. Za przyjęcie Krajowego Planu odpowiedzialna jest Rada Ministrów. Krajowy Plan określa cele i tryb zarządzania incydentami oraz kryzysami, w tym zadania organów zaangażowanych w zarządzanie. Zawiera szczegółowe procedury zarządzania kryzysowego, kanały komunikacji oraz środki przygotowawcze, takie jak ćwiczenia i szkolenia. Uwzględnia zasady współpracy między sektorem publicznym i prywatnym, co ma kluczowe znaczenie dla efektywnego zarządzania sytuacjami kryzysowymi. Określa kryteria oceny infrastruktury informatycznej pod kątem jej znaczenia dla zarządzania kryzysowego oraz procedury skoordynowanego zarządzania incydentami na poziomie Unii Europejskiej. Obejmuje postanowienia dotyczące reagowania na transgraniczne przepływy energii elektrycznej. Zawiera listę działań zmierzających do ograniczenia ryzyka incydentów krytycznych, z jasno zdefiniowaną hierarchią działań, czasem realizacji, odpowiedzialnymi podmiotami, finansowaniem oraz oceną efektów. Podmioty realizujące zadania wynikające z Krajowego Planu muszą, na żądanie ministra właściwego do spraw informatyzacji, dostarczać informacje o stanie realizacji zadań. Plan musi być aktualizowany nie rzadziej niż co dwa lata, co zapewnia jego bieżącą adekwatność do zmieniających się warunków.
Kary pieniężne
Nowelizacja ustawy o KSC obejmuje szerszy zakres podmiotów w zakresie nakładania kar pieniężnych – są to zarówno podmioty kluczowe i ważne, kierownicy tych podmiotów, jak i podmioty świadczące usługi rejestracji domen, rejestru domen najwyższego poziomu czy producenci produktów ICT. W nowelizacji maksymalna wysokość kar wzrasta do 10 000 000 euro lub 2% przychodów rocznych, co stanowi znaczącą podwyżkę w porównaniu z poprzednimi stawkami. W szczególnych przypadkach, gdy naruszenia powodują poważne zagrożenia, kara może wynosić nawet do 100 000 000 zł. Nowelizacja wprowadza możliwość nakładania kar bezpośrednio na kierowników podmiotów za zaniechania lub niewłaściwe wykonywanie obowiązków – w wysokości do 600% wynagrodzenia kierownika podmiotu kluczowego lub ważnego. Nowelizacja wprowadza możliwość nałożenia okresowej kary pieniężnej w wysokości od 500 zł do 100 000 zł za każdy dzień opóźnienia w realizacji obowiązków. Kary są nakładane przez organ właściwy do spraw cyberbezpieczeństwa w drodze decyzji administracyjnej, a wpływy z kar zasilały i nadal zasilają budżet państwa, z tą różnicą, że w nowelizacji przeznaczane są na Fundusz Cyberbezpieczeństwa. Nowelizacja przewiduje możliwość odstąpienia od nałożenia kary w przypadku, gdy waga naruszenia jest znikoma, a podmiot zaprzestał naruszenia lub naprawił szkodę.
Wyzwania związane z implementacją nowych przepisów
Implementacja nowych przepisów dotyczących zarządzania cyberbezpieczeństwem niesie za sobą szereg wyzwań zarówno dla przedsiębiorstw, jak i instytucji publicznych. W szczególności dla podmiotów, które dotychczas nie zostały objęte przepisami Dyrektywy NIS czy też ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wyzwania, które stoją przed podmiotami dotkniętymi implementacją nowych przepisów dotykają kilku sfer:
- Złożoność regulacji i procedur powoduje, że organizacje muszą dostosować swoje wewnętrzne struktury w celu spełnienia nowych standardów w zakresie zarządzania ryzykiem czy raportowania incydentów. Może to wymagać znaczących zmian w istniejących politykach i procedurach, co często wiąże się z dodatkowymi wyzwaniami organizacyjnymi i logistycznymi.
- Implementacja nowych przepisów może wiązać się z koniecznością znacznych inwestycji w infrastrukturę IT. Przedsiębiorstwa, zwłaszcza te działające w sektorach kluczowych (np. energetyka, telekomunikacja, finanse), mogą być zmuszone do modernizacji lub wymiany istniejących systemów, aby sprostać wymaganiom dotyczącym bezpieczeństwa i ciągłości działania. Te inwestycje mogą obejmować zakup nowych narzędzi programowych i sprzętu, a także koszty związane z ich integracją i konfiguracją.
- Oprócz jednorazowych kosztów związanych z zakupem technologii, organizacje muszą również uwzględnić stałe koszty operacyjne, takie jak utrzymanie systemów, licencje na oprogramowanie oraz wsparcie techniczne. Dodatkowo, koszty audytów zewnętrznych oraz wewnętrznych, które są wymagane w ramach zapewnienia zgodności z przepisami, mogą obciążyć budżety firm i instytucji publicznych.
- Organizacje będą musiały zainwestować w szkolenia i rozwój zawodowy pracowników, aby zapewnić im wiedzę i umiejętności potrzebne do spełnienia nowych wymagań. Może to obejmować szkolenia z zakresu zarządzania incydentami, identyfikacji zagrożeń, raportowania oraz odpowiedniego stosowania procedur kryzysowych. Szkolenia te muszą być regularnie aktualizowane, aby nadążać za zmieniającymi się zagrożeniami i technologiami.
- Wprowadzenie nowych przepisów wymaga zmiany podejścia do cyberbezpieczeństwa na poziomie całej organizacji. Nie wystarczy, aby tylko działy IT były odpowiednio przygotowane – cała kadra, w tym zarządy, powinny rozumieć znaczenie cyberbezpieczeństwa oraz znać podstawowe procedury. Podnoszenie świadomości pracowników poprzez kampanie edukacyjne i szkolenia to kluczowy element w tworzeniu odporności organizacji na incydenty.
Implementacja nowych przepisów dotyczących cyberbezpieczeństwa wiąże się z licznymi wyzwaniami. Organizacje będą musiały zmierzyć się z koniecznością modernizacji infrastruktury IT, inwestycji w nowe technologie oraz szkoleniami dla pracowników. Pomimo że proces ten może być kosztowny i skomplikowany, zwiększenie poziomu zabezpieczeń i wprowadzenie efektywnych mechanizmów zarządzania kryzysowego ma kluczowe znaczenie dla ochrony interesów zarówno pojedynczych organizacji, państwa członkowskiego jak i cyberbezpieczeństwa na poziomie całej Wspólnoty.
Możliwość amortyzacji lokalu mieszkalnego
Bez względu na sposób wykorzystania i formę opodatkowania, według obowiązujących przepisów podatkowych nieruchomości mieszkalne nie podlegają amortyzacji podatkowej.
Chociaż obowiązujące obecnie przepisy budzą wątpliwości co do ich zgodności z konstytucyjnymi zasadami prawa, jego tworzenia czy raczej wdrażania, zwłaszcza w kontekście ochrony praw nabytych, to ich treść jest jasna. Ponad wszelką wątpliwość nie ma możliwości dokonywania odpisów amortyzacyjnych od nieruchomości mieszkalnych. Nie chodzi przy tym o brak prawa do rozliczenia kosztów, a o zakaz amortyzacji.
Całkowicie bez znaczenia przy tym jest to, jak owa nieruchomość mieszkalna jest wykorzystywana, w ramach jakich aktywności, a także w jaki sposób opodatkowany jest dochód lub przychód uzyskiwany przez podatnika w związku z jej używaniem.
Jednym słowem, tak w przypadku najmu prywatnego nieruchomości mieszkalnych, jak i ich wynajmu w ramach działalności gospodarczej, ale również wykorzystywania w inny sposób na potrzeby działalności gospodarczej (np. jako lokal biurowy), według przepisów nie mogą być dokonywane odpisy amortyzacyjne od jej wartości początkowej.
Na gruncie PIT taka decyzja prawodawcy nie jest dla Autora w pełni zrozumiała. Trzeba bowiem wziąć pod uwagę to, że w przypadku osób fizycznych sprzedaż nieruchomości mieszkalnych dokonana po upływie pięciu lat po zakończeniu roku ich nabycia lub wybudowana nie wygeneruje przychodu podatkowego. Dotyczy to również zbycia nieruchomości mieszkalnych wykorzystywanych przez podatnika w działalności gospodarczej.
Prowadzenie zajęć jogi, warsztatów wyjazdowych oraz „inner dance” a stawka VAT
Zajęcia jogi prawdopodobnie powinny być opodatkowane stawką 8% VAT. Choć nie można wykluczyć zakwestionowania tej stawki podatku przez organy podatkowe. Jeśli chodzi o „warsztaty wyjazdowe”, to prawdopodobnie konieczne będzie zastosowanie w tym przypadku opodatkowania od marży. Sama zaś marża jest opodatkowana stawką 23% VAT. Jeśli chodzi o stawkę dla „inner dance”, to można do powyższego odnieść odpowiednio uwagi dotyczące zajęć z jogi.
W praktyce można spotkać się z różnych skonstruowaniem zakresu zajęć jogi. W zależności od tego, w jaki dokładnie sposób zajęcia te będą prowadzone, mogą być one objęte stawką 8% VAT lub stawką 23% VAT.
Stawka 8% może obejmować wstęp na zajęcia jogi, które mogą stanowić „Pozostałe usługi związane z rekreacją – wyłącznie w zakresie wstępu”, o których mowa w poz. 68 załącznika nr 3 do ustawy o podatku od towarów i usług (zob. także wiążącą informację stawkową z 31.1.2024 r., 0112-KDSL2-1.440.458.2023.3.MC).
Niekiedy organy podatkowe kwestionują możliwość uznania za „usługi wstępu” takich usług, w przypadku których udział instruktora prowadzącego zajęcia jest aktywny. Organy uważają niekiedy, że jeśli instruktor aktywnie prowadzi zajęcia, to nie mamy do czynienia z usługami wstępu, które mogłyby być objęte obniżoną stawką VAT. Pozostaje wówczas opodatkowanie stawką 23% VAT.
Piszecie Państwo także o stawce VAT dla „warsztatów wyjazdowych”. Autor nie wie dokładnie czego to dotyczy, niemniej jednak zakłada On, że w ramach tego świadczenia uczestnicy wyjeżdżają gdzieś wspólnie poza miejsce zamieszkania, ewentualnie dojeżdżają tam. Na miejscu mają zapewnione zakwaterowanie, wyżywienie oraz jakieś zajęcia o charakterze rekreacyjnym.
Jeśli tak, to tego rodzaju usługę trzeba będzie potraktować jako usługę turystyki, opodatkowaną od marży (tzn. w procedurze opodatkowania marży). W praktyce orzeczniczej TSUE istnieje tendencja do bardzo szerokiego traktowania usług turystyki. Za takie usługi zostały uznane np. same usługi noclegowe czy też usługi obozów językowych.
Prawdopodobnie zatem konieczne będzie zastosowanie w tym przypadku opodatkowania od marży. Sama zaś marża jest opodatkowana stawką 23% VAT.
Jeśli chodzi o „inner dance”, to jak wynika z dostępnych informacji jest to szamańska, transformująca metoda pochodząca z Filipin, łącząca głęboką relaksację z energią dźwięku, mająca na celu wprowadzenie umysłu w stan podobny do snu, przy jednoczesnym zachowaniu świadomości.
Generalnie zatem – zdaniem Autora – można do powyższego odnieść odpowiednio uwagi dotyczące zajęć z jogi.
Można zastosować stawkę 8% VAT na zasadzie usług wstępu na zajęcia o charakterze rekreacyjnym. Dla „Pozostałych usług związanych z rekreacją – wyłącznie w zakresie wstępu”, o których mowa w poz. 68 załącznika nr 3 do ustawy o podatku od towarów i usług, zastosowanie ma stawka 8% VAT.
Niekiedy organy podatkowe kwestionują jednak możliwość uznania za „usługi wstępu” takich usług, w przypadku których udział instruktora prowadzącego zajęcia jest aktywny. Na tej zasadzie istnieje ryzyko zakwestionowania stawki 8% VAT.
Wyjazd samochodem w podróż zagraniczną a prawo do ryczałtu na jazdy miejscowe
Oczywiste jest, że pracownikom nie przysługują tzw. ryczałty dojazdowe. W ocenie autora jak najbardziej mają jednak prawo do ryczałtów na korzystanie z komunikacji miejscowej – fakt przejazdu samochodem nie może pozbawiać ich prawa do zwrotu ponoszonych kosztów przy braku pozostawienia im samochodu do dyspozycji.
W zagranicznych podróżach służbowych występują dwa ryczałty nakierowane na przejazdy miejscowe:
- tzw. ryczałt dojazdowy – przysługuje w wysokości diety na pokrycie kosztów dojazdu z dworca i do dworca kolejowego, autobusowego, portu lotniczego lub morskiego w wysokości jednej diety w miejscowości docelowej za granicą oraz w każdej innej miejscowości, w której pracownik korzystał z noclegu. W przypadku gdy pracownik ponosi koszty dojazdu wyłącznie w jedną stronę, przysługuje mu ryczałt w wysokości 50% diety,
- drugi ryczałt to świadczenie na pokrycie pracownikowi kosztów dojazdów środkami komunikacji miejscowej w wysokości 10% diety za każdą rozpoczętą dobę pobytu w podróży.
Ryczałty na przejazdy miejscowe nie przysługują, jeżeli pracownik:
1) odbywa podróż zagraniczną służbowym lub prywatnym pojazdem samochodowym, motocyklem lub motorowerem,
2) ma zapewnione bezpłatne dojazdy,
3) nie ponosi kosztów, na pokrycie których są przeznaczone te ryczałty.
W opisanej sytuacji nie powstaje na pewno prawo do ryczałtu dojazdowego – nie występują tutaj dojazdy z dworca i do dworca kolejowego, autobusowego, portu lotniczego lub morskiego.
Nie można zastosować jednak do ryczałtów na korzystanie z komunikacji miejscowej wyłączenia zawartego w pkt 1). Dotyczy ono nie każdej sytuacji, w której podróż odbywa się samochodem ale takiej, w której pracownik (pracownicy) ma do dyspozycji samochód podczas wyjazdu i wykorzystuj go do przemieszczania się miejscowego. Jakkolwiek prawodawca dosyć ogólnikowo (i tym samym szeroko) określił to wyłączenie, to nie może ono być interpretowane w sposób, który faktycznie przerzucałby koszty delegacyjne na zatrudnione osoby. W opisanej sytuacji pracownicy nie mają samochodu do dyspozycji i – jeżeli przemieszczają się w celach służbowych po Pradze – ponoszą w związku z tym koszty dojazdów miejscowych.
Zaliczenie do kosztów podatkowych wydatków związanych z użytkowaniem kampera
Kamper opisany w dokumentacji jako „samochód specjalny kempingowy”, wykorzystywany wyłącznie w działalności gospodarczej, nie jest samochodem osobowym w rozumieniu ustawy o podatku dochodowym od osób fizycznych. W związku z tym nie obowiązują ograniczenia dla kosztów samochodów osobowych (limit 150 000 zł). Wydatki związane z nabyciem, eksploatacją i amortyzacją kampera mogą być zaliczone w całości do kosztów uzyskania przychodów i wprowadzone do ewidencji środków trwałych.
Zgodnie z art. 22 ust. 1 ustawy o podatku dochodowym od osób fizycznych (dalej: PDOFizU) kosztami uzyskania przychodów są koszty poniesione w celu osiągnięcia przychodów lub zachowania albo zabezpieczenia źródła przychodów, z wyjątkiem kosztów wymienionych w art. 23 PDOFizU. Powyższe oznacza, że wszystkie poniesione wydatki związane z prowadzoną działalnością gospodarczą, po wyłączeniu wydatków zastrzeżonych w przepisach ustawy o podatku dochodowym od osób fizycznych, są kosztami uzyskania przychodów, o ile pozostają w związku przyczynowo–skutkowym z osiąganymi przychodami. Kosztami uzyskania przychodów są więc wszelkie racjonalnie i gospodarczo uzasadnione wydatki związane z działalnością gospodarczą, których celem jest osiągnięcie, zabezpieczenie lub zachowanie źródła przychodów.
Przepisy przewidują ograniczenia w możliwości zaliczenia wydatków do kosztów uzyskania przychodów w odniesieniu do wydatków związanych z nabyciem pojazdów osobowych i ich eksploatacją. Wynikają one z art. 23 ust. 1 pkt 46–47a PDOFizU. Także zgodnie z art. 23 ust. 1 pkt 4 PDOFizU nie uważa się za koszty uzyskania przychodów odpisów z tytułu zużycia samochodu osobowego, w części ustalonej od wartości samochodu przewyższającej kwotę 225 000 zł – w przypadku samochodu osobowego będącego pojazdem elektrycznym oraz 150 000 zł – w przypadku pozostałych samochodów osobowych.
Kluczową kwestią jest zatem ustalenie, czy kamper należy do grupy samochodów osobowych. Zgodnie z art. 5a pkt 19a PDOFizU ilekroć w ustawie jest mowa o samochodzie osobowym, oznacza to pojazd samochodowy w rozumieniu przepisów o ruchu drogowym o dopuszczalnej masie całkowitej nieprzekraczającej 3,5 t, konstrukcyjnie przeznaczony do przewozu nie więcej niż 9 osób łącznie z kierowcą, z wyjątkiem m in. pojazdu specjalnego, jeżeli z dokumentów wydanych zgodnie z przepisami o ruchu drogowym wynika, że dany pojazd jest pojazdem specjalnym, i jeżeli spełnione są również warunki zawarte w odrębnych przepisach, określone dla przeznaczeń wymienionych w tym przepisie.
Zgodnie z art. 5d PDOFizU spełnienie wymagań dla pojazdów samochodowych, określonych w art. 5a pkt 19a PDOFizU, stwierdza się na podstawie dodatkowego badania technicznego przeprowadzonego przez okręgową stację kontroli pojazdów, potwierdzonego zaświadczeniem wydanym przez tę stację, oraz dowodu rejestracyjnego pojazdu zawierającego odpowiednią adnotację o spełnieniu tych wymagań lub też dla pojazdów określonych w art. 5a pkt 19a lit. c PDOFizU spełnienie wymagań stwierdza się na podstawie dokumentów wydanych zgodnie z przepisami o ruchu drogowym. W świetle brzmienia art. 5a pkt 19a lit. c PDOFizU wymienione warunki powinny być zrealizowane jednocześnie, o czym świadczy spójnik „i”. W związku z powyższym – na gruncie przepisów ustawy o podatku dochodowym od osób fizycznych – dla przyznania danemu pojazdowi przymiotu „pojazdu specjalnego” konieczne jest nie tylko wykazanie się wymaganymi dokumentami określonymi w przepisach o ruchu drogowym, ale także jednoczesne zakwalifikowanie pojazdu pod jedno z przeznaczeń wymienionych w art. 5a pkt 19a lit. c PDOFizU.
Z informacji wskazanych w pytaniu wynika, iż podatnik zamierza zakupić pojazd opisywany w dokumentacji jako samochód specjalny kempingowy (kamper) oraz wykorzystywać go w całości na cele prowadzonej działalności gospodarczej. Powyższe oznacza, że w stosunku do wydatków ponoszonych na ww. kamper nie należy stosować żadnego z ograniczeń w zaliczaniu ich w koszty podatkowe, które przewidziane są w art. 23 ust. 1 pkt 46–47a PDOFizU, albowiem kamper ten nie jest samochodem osobowym w myśl ustawy o podatku dochodowym od osób fizycznych, a wszystkie ww. ograniczenia odnoszą się wyłącznie do samochodów osobowych. W przypadku, w którym wydatki związane z pojazdem będą ponoszone w celu osiągnięcia przychodów lub zachowania albo zabezpieczenia źródła przychodów, podatnik będzie uprawniony do zaliczenia ich w całości w koszty uzyskania przychodów. Ponadto kamper może być przez podatnika wprowadzony do ewidencji środków trwałych, a odpisy amortyzacyjne będą stanowiły w całości koszty uzyskania przychodów podatnika.
Wypadek jeszcze przed rozpoczęciem pracy – jak kwalifikować?
Uznanie zdarzenia za wypadek przy pracy zależy od czterech przesłanek występujących łącznie, w tym wskazanie związku z pracą. Sam fakt przebywania na terenie zakładu pracy nie jest wystarczający do uzasadnienia istnienia takiego związku.
Zespół powypadkowy
Ustaleń dotyczących okoliczności i przyczyn danego zdarzenia dokonuje zespół powypadkowy powołany przez pracodawcę na podstawie art. 234 § 1 Kodeksu pracy i działający zgodnie z przepisami rozporządzenia RM z 1.7.2009 r. w sprawie ustalania okoliczności i przyczyn wypadków przy pracy (Dz.U. Nr 105, poz. 870).
Zespół powypadkowy, w toku swojego postępowania, dokonuje także kwalifikacji prawnej zdarzenia – czyli uznania bądź nieuznania zdarzenia za wypadek przy pracy. Podstawą do tego stwierdzenia jest wskazanie uzasadnienia na występowanie, w ramach rozważnego zdarzenia, czterech przesłanek z definicji wypadku przy pracy.
Definicja wypadku przy pracy
Zgodnie z art. 3 ust. 1 ustawy o ubezpieczeniu społecznym z tytułu wypadków przy pracy i chorób zawodowych za wypadek przy pracy uważa się nagłe zdarzenie wywołane przyczyną zewnętrzną powodujące uraz lub śmierć, które nastąpiło w związku z pracą:
1) podczas lub w związku z wykonywaniem przez pracownika zwykłych czynności lub poleceń przełożonych,
2) podczas lub w związku z wykonywaniem przez pracownika czynności na rzecz pracodawcy, nawet bez polecenia,
3) w czasie pozostawania pracownika w dyspozycji pracodawcy w drodze pomiędzy siedzibą pracodawcy a miejscem wykonywania obowiązku wynikającego ze stosunku pracy.
Związek z pracą należy rozpatrywać w trzech wymiarach – związku:
1) czasowego,
2) miejscowego lub
3) funkcjonalnego.
Na słuszność takiego podejścia wskazuje m.in. wyrok z 8.11.2012 r. (SN II PK 80/12, Legalis). Trzy wymiary związku nie muszą wystąpić jednocześnie.
Do wypadku mogło dojść podczas pracy w czasie wolnym pracownika po niespodziewanej prośbie od stałego klienta na dowiezienie brakującego asortymentu, o której nawet pracodawca mógł nie wiedzieć. Zatem związku czasowego nie będzie, miejscowy – zależy od rodzaju zdarzenia, natomiast funkcjonalny już tak – praca na rzecz pracodawcy (powodowana chęcią utrzymania klienta i dalszej współpracy).
Ciekawym orzeczeniem omawiającym problematykę zerwania związku z pracą jest wyrok SN z 17.9.2008 r. (I UK 66/08, Legalis). Sprawa dotyczyła udziału przebywającego na zwolnieniu lekarskim pracownika naukowo-dydaktycznego, który wziął udział w czynnościach opiniodawczych poprzedzających wybory do władz uczelni, a który na terenie zakładu pracy zadławił się pączkiem, w wyniku czego zmarł. Sądy obu instancji stwierdziły, że przebywanie na terenie zakładu pracy po wykonaniu przez pracownika czynności na rzecz pracodawcy wyklucza istnienie związku zdarzenia z wykonywanymi czynnościami.
Sąd Najwyższy jednak przekazał sprawę do ponownego rozpoznania i w świetle wskazanego stanu faktycznego wskazał, że niezbędne dla wyjaśnienia przedmiotowej sprawy są szczegółowe ustalenia dotyczące momentu rozpoczęcia sondażu i chwili oddania głosu przez poszkodowanego (…). Są one niezbędne dla dokonania oceny, czy poszkodowany udał się do bufetu już po zakończeniu uczestnictwa w sondażu, czy też (…) udał się tam jedynie w czasie przerwy w tych czynnościach. Przyjęcie tej drugiej możliwości wskazywałoby, mając na uwadze specyfikę zatrudnienia pracowników naukowo-dydaktycznych uczelni, że związek z pracą nie uległ zerwaniu, a zdarzenie, do jakiego doszło w bufecie, należy ocenić jako wypadek przy pracy.
W sytuacji wskazanej w pytaniu kwestią do rozważenia jest ostatni element definicji – związek z pracą. W postępowaniu powypadkowym zespół powinien ustalić, co robił pracownik pomiędzy godziną 6:00 a 7:00 na terenie zakładu pracy, czy to wcześniejsze przyjście do pracy było spowodowane zadaniami zawodowymi, czy może jego prywatną sprawą, a może tylko możliwością wcześniejszego transportu (np. pracownik zdążył na wcześniejszy pociąg).
Sam fakt przebywania na terenie zakładu pracy (w celu pozasłużbowym) nie jest przesłanką do uznania zdarzenia za wypadek przy pracy.
Wydatki na najem miejsc parkingowych a koszty podatkowe
Wydatki za najem miejsc parkingowych, które nie są przypisane do konkretnych samochodów, spółka może zaliczyć w całości do kosztów uzyskania przychodów. Natomiast wydatki za najem parkingu dla konkretnych samochodów pracowników oraz osób współpracujących na (B2B) spółka może zaliczyć do kosztów podatkowych tylko w proporcji 75% kosztów podatkowych tego najmu.
Zgodnie z art. 15 ust. 1 ustawy o podatku dochodowym od osób prawnych (dalej: PDOPrU) kosztami uzyskania przychodów są koszty poniesione w celu osiągnięcia przychodów ze źródła przychodów lub w celu zachowania albo zabezpieczenia źródła przychodów, z wyjątkiem kosztów wymienionych w art. 16 ust. 1 PDOPrU. Ta definicja kosztów ma charakter ogólny, z tego względu każdorazowy wydatek poniesiony przez podatnika powinien podlegać indywidualnej analizie w celu dokonania jego kwalifikacji prawnej. Należy zbadać istnienie związku przyczynowego pomiędzy poniesieniem kosztu a powstaniem przychodu lub realną szansą powstania przychodów podatkowych, bądź też zachowaniem albo zabezpieczeniem źródła ich uzyskiwania.
W przypadku opisanym w pytaniu, gdy najem miejsc parkingowych nie jest związany z użytkowaniem konkretnych pojazdów samochodowych, tylko wynika z całokształtu funkcjonowania spółki, to spółka ma prawo zaliczyć do kosztów uzyskania przychodów koszt najmu miejsc parkingowych w pełnej wysokości. Są to wydatki ogólne związane z działalnością spółki. Koszty najmu takich miejsc parkingowych nie wiążą się z konkretnymi pojazdami, lecz z całokształtem działalności spółki – z wynajmowanych miejsc korzystają zarówno pracownicy, współpracownicy, jak i kontrahenci spółki. Celem najmu tych miejsc jest więc ułatwienie dostępu do siedziby spółki oraz sprawne funkcjonowanie firmy. Takie stanowisko potwierdził Dyrektor KIS w interpretacji indywidualnej z 14.5.2024 r. (0114-KDIP2-2.4010.131.2024.3.PK).
Inaczej będzie w przypadku wynajmu tych paru miejsc, które przypisane są do konkretnych samochodów prywatnych pracowników oraz osób współpracujących (B2B).
Zgodnie z art. 16 ust. 1 pkt 51 PDOPrU nie uważa się za koszty uzyskania przychodów 25% poniesionych wydatków, z zastrzeżeniem art. 16 ust. 1 pkt 30 PDOPrU, z tytułu kosztów używania samochodu osobowego na potrzeby działalności gospodarczej – jeżeli samochód osobowy jest wykorzystywany również do celów niezwiązanych z działalnością gospodarczą prowadzoną przez podatnika.
Natomiast art. 16 ust. 1 pkt 30 PDOPrU brzmi: „Nie uważa się za koszty uzyskania przychodów wydatków ponoszonych na rzecz pracowników z tytułu używania przez nich samochodów na potrzeby podatnika:
a) w celu odbycia podróży służbowej (jazdy zamiejscowe) – w wysokości przekraczającej kwotę ustaloną przy zastosowaniu stawek za jeden kilometr przebiegu pojazdu,
b) w jazdach lokalnych – w wysokości przekraczającej wysokość miesięcznego ryczałtu pieniężnego albo w wysokości przekraczającej stawki za jeden kilometr przebiegu pojazdu”.
Zatem na podstawie ww. art. 16 ust. 1 pkt 51 PDOPrU do kosztów uzyskania przychodów spółka może zaliczyć 75% poniesionych wydatków na najem parkingu dla konkretnych samochodów osobowych, które są wykorzystywane również do celów niezwiązanych z prowadzoną działalnością. Z objaśnień podatkowych z 9.4.2020 r. pt. „Wykorzystywanie samochodu osobowego w prowadzonej działalności – zmiany w podatkach dochodowych od 2019 roku” wynika, że: „Samochód osobowy jest wykorzystywany dla celów niezwiązanych z prowadzoną działalnością gospodarczą podatnika również w przypadku, gdy samochód jest wykorzystywany dla celów prywatnych przez pracownika podatnika oraz innych osób związanych z podatnikiem, np. zleceniobiorców, członków zarządu, akcjonariuszy, udziałowców”. Zatem koszt najmu parkingu dla konkretnych samochodów pracowników i zleceniobiorców może być zaliczony do kosztów uzyskania przychodów spółki w wysokości 75% wydatków poniesionych na ten najem.
