Działalność nieewidencjonowana a obowiązek opłacania składek ZUS
Świadczenie usług na rzecz obecnego (lub byłego) pracodawcy nie ma znaczenia dla zasad rozliczania składek z tytułu działalności nieewidencjonowanej. Problem leży jednak gdzie indziej.
Działalność nierejestrowana miała być z założenia rozwiązaniem dającym możliwość prowadzenia działalności zarobkowej w małym rozmiarze bez zbędnych formalność. Prawie się to udało (prawie, to jednak różnica). O ile bowiem od strony podatku dochodowego od osób fizycznych sprawa jest oczywista (przychody z działalności nierejestrowanej są zaliczane do innych źródeł, a podatnik rozlicza je sam na koniec roku), to w zakresie ZUS jest problem. Przepisy ubezpieczeniowe nie zawierają zapisów bezpośrednio odnoszących się do działalności nieewidencjonowanej.
Tym samym „oczywistym jest”, że działalność ta nie powinna generować obowiązku opłacania składek ZUS. Według stanowiska prawodawcy i do niedawna ZUS – stosuje się jednak w tym przypadku przepisy o zleceniu. To zaś oznacza, że nabywca usługi ma status płatnika i obowiązek rozliczania składek. Takie podejście do tematu oznacza nierówne traktowanie obywateli. Jeżeli bowiem w ramach działalności nierejestrowanej sprzedawane byłyby towary – czynność nie podlegałaby składkom ZUS. Jeżeli zaś sprzedawane są usługi – składki należałoby płacić na zasadach właściwych dla zlecenia, co może i można wyprowadzić z językowego brzemienia przepisów ubezpieczeniowych, ale sprzeczne jest z ideą omawianej działalności. To zaś oznacza konieczność zgłoszenia do ZUS i rozliczania składek przez usługobiorcę (nie tylko zdrowotnych, ale też społecznych).
Co ciekawe, w podręczniku dla szkół średnich (Lekcje z ZUS. Materiały dla ucznia., opracowanie merytoryczne: ZUS, 2024) na slajdzie 9 z lekcji 4 czytamy, że działalność nieewidencjonowana nie podlega ZUS, co jest niezgodne z dotychczasowym podejściem tej instytucji. Również na stronie ZUS można znaleźć zapisy mówiące, że działalność nieewidencjonowana nie podlega składkom, podczas gdy na stronie rządowej wciąż znajduje się zapis mówiący, że przy sprzedaży towarów składek się nie płaci, ale przy sprzedaży usług już tak.
W efekcie zakładając, że działalność nieewidencjonowana nie podlega składkom (zgodne z obecną nieśmiałą publicystyką ZUS), świadczenie usług na rzecz obecnego (lub byłego) pracodawcy jest bez znaczenia.
Wspólne opodatkowanie małżonków prowadzących działalność gospodarczą a zaliczki na podatek dochodowy
W przypadku prowadzenia przez małżonków jednoosobowych działalności gospodarczych, wspólne rozliczenie może nastąpić dopiero w rocznym zeznaniu podatkowym. Na etapie zaliczek nie ma możliwości skorzystania z obniżenia ich wysokości w związku ze wspólnym rozliczeniem.
Zgodnie z art. 6 ust. 2 ustawy o PIT małżonkowie podlegający nieograniczonemu obowiązkowi podatkowemu w Polsce, pozostający w związku małżeńskim i we wspólności majątkowej przez cały rok albo od dnia zawarcia związku małżeńskiego do ostatniego dnia roku podatkowego – w przypadku, gdy związek małżeński został zawarty w trakcie roku podatkowego – mogą być (z wyjątkami), na wspólny wniosek wyrażony w zeznaniu podatkowym, opodatkowani łącznie od sumy swoich dochodów, po uprzednim odliczeniu kwot pomniejszających dochód. W takim przypadku podatek określa się na imię obojga małżonków w podwójnej wysokości podatku obliczonego od połowy łącznych dochodów małżonków.
Ustawa o podatku dochodowym od osób fizycznych przewiduje również przepis, zgodnie z którym jeśli podatnik złoży płatnikowi oświadczenie, że za dany rok zamierza opodatkować dochody wspólnie z małżonkiem, wówczas zaliczki za wszystkie miesiące są pobierane według stawki 12%. Przepis ten dotyczy osób uzyskujących od zakładów pracy przychody ze stosunku służbowego, stosunku pracy, z pracy nakładczej lub ze spółdzielczego stosunku pracy, z zasiłków pieniężnych z ubezpieczenia społecznego wypłacanych przez zakłady pracy lub z tytułu udziału w nadwyżce bilansowej wypłacanej w spółdzielniach pracy.
Podobnych przepisów nie ma w odniesieniu do przychodów z jednoosobowej działalności gospodarczej. Oznacza to, że choć wspólne rozliczenie małżonków jest jak najbardziej dopuszczalne, to ustawodawca nie przewidział możliwości obniżenia podatku już na etapie wpłacanych zaliczek. Zatem dopiero w rocznym zeznaniu podatnik będzie mógł obniżyć podatek do zapłaty.
Minimalny wymagany okres zatrudnienia cudzoziemca w zawodzie wymagającym wysokich kwalifikacji
Tak, ponieważ od 1.6.2025 r. możliwe jest udzielenie zezwolenia na pobyt czasowy w celu wykonywania pracy w zawodzie wymagającym wysokich kwalifikacji w przypadku zatrudnienia cudzoziemca na okres przynajmniej 6 miesięcy.
Z opisanego przez Państwa stanu faktycznego wynika, że planują Państwo zatrudnienie cudzoziemców w zawodzie wymagającym wysokich kwalifikacji. Na podstawie art. 127 ustawy o cudzoziemcach zezwolenia na pobyt czasowy w celu wykonywania pracy w zawodzie wymagającym wysokich kwalifikacji udziela się, gdy celem pobytu cudzoziemca na terytorium Rzeczypospolitej Polskiej jest wykonywanie pracy w zawodzie wymagającym wysokich kwalifikacji i spełnione są łącznie warunki przewidziane w tymże art. 127 ustawy o cudzoziemcach. Jednym z wymogów jest, aby cudzoziemiec zawarł na minimalny określony czas umowę o pracę, umowę o pracę nakładczą, umowę cywilnoprawną lub pozostawał w stosunku służbowym. I o ile do 31.5.2025 r. ten minimalny określony czas wynosił 1 rok, o tyle od 1.6.2025 r. ten minimalny określony czas wynosi 6 miesięcy. Dlatego też w obecnym stanie prawnym, tj. od dnia 1.6.2025 r., jest możliwe udzielenie zezwolenia na pobyt czasowy w celu wykonywania pracy w zawodzie wymagającym wysokich kwalifikacji w przypadku zatrudnienia cudzoziemca na okres krótszy niż 1 rok pod warunkiem, że okres ten wynosi przynajmniej 6 miesięcy.
Wydatki na zakup roweru stacjonarnego a koszty uzyskania przychodów
Wydatki na zakup sprzętu sportowego – co do zasady – nie mogą być zaliczone do kosztów uzyskania przychodów przedsiębiorcy.
Kosztami uzyskania przychodów są koszty poniesione w celu osiągnięcia przychodów lub zachowania albo zabezpieczenia źródła przychodów, z wyjątkiem kosztów wyłączonych. W przedmiotowej sytuacji nie ma stosownego wyłączenia, a tym samym wystarczy powiązanie z działalnością gospodarczą
Wydatek zaliczony do kosztów uzyskania musi mieć charakter celowy w tym znaczeniu, że musi być poniesiony w celu uzyskania przychodów, ale nie musi przyczyniać się do ich uzyskania. Może być także związany z zachowaniem lub zabezpieczeniem źródła przychodów.
Rower stacjonarny to sprzęt sportowy. Co do zasady nie jest on związany z uzyskiwaniem przychodów, zachowaniem lub zabezpieczeniem źródła (chyba, że przedsiębiorca np. prowadzi siłownię). Niestety przedmiot działalności gospodarczej nie został ujawniony w pytaniu, więc nie wiadomo, czy zakup ma związek z wykonywaną działalnością.
Jeżeli związek taki nie występuje – brak jest możliwości zaliczenia kosztów zakupu do kosztów uzyskania przychodów. Mimo tego, że wykonywanie działalności gospodarczej w pozycji siedzącej i wpatrywanie się przez wiele godzin w ekran monitora nie jest dobre dla organizmu, wydatek na rower stacjonarny nie powinien znaleźć się w kosztach uzyskania przychodów. Wydatek taki ma bowiem charakter prywatny i jest związany ze zdrowiem przedsiębiorcy, a nie z jego działalnością gospodarczą.
Oczywiście w obowiązujących przepisach nie ma wyraźnego zakazu, wobec czego przedsiębiorca, który zaliczy wydatek do kosztów uzyskania przychodów, może próbować się bronić, ale w przypadku braku związku z przedmiotem działalności nadzieje na wygraną są nikłe.
Pozyskiwanie środków z Krajowego Funduszu Szkoleniowego od 1 czerwca 2025 roku
Środki KFS może pozyskać podmiot, który nie posiada zaległości podatkowych lub zaległości z tytułu innych należności publicznoprawnych, z przeznaczeniem na kształcenie ustawiczne pracujących. Są one limitowane w skali roku na jednego uczestnika i na jednego wnioskodawcę.
Ze środków Krajowego Funduszu Szkoleniowego (KFS) mogą korzystać podmioty, które w okresie co najmniej 6 miesięcy bezpośrednio poprzedzających dzień złożenia wniosku o przyznanie takich środków opłacały składki na Fundusz Pracy lub są zwolnione z ich opłacania z mocy prawa. Natomiast nie mogą z nich korzystać m.in. podmioty, które posiadają zaległości podatkowe lub zaległości z tytułu innych należności publicznoprawnych, składek na ubezpieczenia społeczne, ubezpieczenie zdrowotne, FP i FGŚP, Fundusz Solidarnościowy i Fundusz Emerytur Pomostowych oraz wpłat na PFRON lub pozostają pod zarządem komisarycznym, lub znajdują się w toku likwidacji, albo postępowania upadłościowego, lub naruszyły w sposób rażący jakąkolwiek umowę o przyznanie środków KFS, zawartą ze starostą rozpatrującym wniosek o przyznanie środków w okresie 3 lat poprzedzających dzień złożenia tego wniosku.
Ze środków KFS mogą być finansowane koszty związane z kształceniem ustawicznym nie tylko pracowników, ale i pracodawców, osób fizycznych prowadzących działalność gospodarczą oraz osób świadczących usługi na podstawie umów cywilnoprawnych. Ze środków tych mogą być finansowane koszty obejmujące należności dla instytucji:
- realizującej szkolenia wskazane przez podmiot wnioskujący o udzielenie pomocy na kształcenie ustawiczne;
- potwierdzającej nabytą wiedzę i umiejętności lub wydającej dokumenty potwierdzające nabycie wiedzy i umiejętności;
- realizującej studia podyplomowe;
- realizującej badania lekarskie i psychologiczne wymagane do podjęcia przez osoby pracujące kształcenia lub zadań zawodowych po ukończonym kształceniu.
Ze środków KFS mogą być finansowane również należności z tytułu ubezpieczenia od następstw nieszczęśliwych wypadków w związku z podjętym kształceniem, ponoszone przez podmiot wnioskujący o udzielenie pomocy na kształcenie ustawiczne lub instytucję realizującą to kształcenie.
Środki KFS nie mogą natomiast zostać przeznaczone na opłacenie kosztów kształcenia ustawicznego, które:
- zostało sfinansowane z innych środków publicznych;
- pracodawca jest obowiązany zapewnić na podstawie odrębnych przepisów;
- obejmuje działania rozpoczęte przed dniem podpisania umowy o finansowanie.
Na wniosek podmiotu ubiegającego się o pomoc, starosta może przyznać na podstawie umowy środki KFS na finansowanie kosztów w wysokości:
- do 70 % tych kosztów, jednak nie więcej niż 200 % przeciętnego wynagrodzenia w danym roku kalendarzowym, dla wskazanego we wniosku uczestnika kształcenia ustawicznego,
- do 90 % tych kosztów, jednak nie więcej niż 200 % przeciętnego wynagrodzenia w danym roku kalendarzowym dla wskazanego we wniosku uczestnika kształcenia ustawicznego – w przypadku podmiotów niezatrudniających pracowników albo zatrudniających w dniu złożenia wniosku o środki KFS w przeliczeniu na pełny wymiar czasu pracy nie więcej niż 9 osób.
Ponadto wysokość środków KFS dla jednego wnioskodawcy w roku kalendarzowym nie może przekroczyć kwoty:
- 4-krotności przeciętnego wynagrodzenia – w przypadku podmiotów niezatrudniających pracowników albo które zatrudniają nie więcej niż 9 osób,
- 8-krotności przeciętnego wynagrodzenia – w przypadku podmiotów, które zatrudniają więcej niż 9 osób, jednak nie więcej niż 49 osób,
- 12-krotności przeciętnego wynagrodzenia – w przypadku podmiotów, które zatrudniają więcej niż 49 osób, jednak nie więcej niż 249 osób,
- 14-krotności przeciętnego wynagrodzenia – w przypadku podmiotów, które zatrudniają więcej niż 249 osób.
Decyduje liczba zatrudnianych pracowników w dniu złożenia wniosku o środki KFS w przeliczeniu na pełny wymiar czasu pracy.
Podmiot ubiegający się o pomoc składa wniosek w postaci elektronicznej za pośrednictwem indywidualnego konta, do powiatowego urzędu pracy właściwego ze względu na jego siedzibę albo adres prowadzenia działalności. Płatność ze środków KFS jest dokonywana przelewem na rachunek płatniczy podmiotu, który zawarł umowę o przyznanie środków KFS, w terminie określonym w umowie.
W związku z zawarciem umowy i uzyskaniem środków z KFS pracodawca zobowiązuje się do utrzymania zatrudnienia osoby, na której kształcenie ustawiczne przyznano finansowanie, przez okres co najmniej 3 miesięcy od dnia ukończenia przez nią kształcenia (ustawa określa wyjątki od tej zasady). W przypadku niedotrzymania tego warunku pracodawca nie otrzyma finansowania z KFS w ciągu roku od dnia ukończenia finansowanego kształcenia. Poza tym ustawa określa przypadki, w których podmiot, który zawarł umowę o finansowanie kształcenia ustawicznego ze środków KFS, musi zwrócić te środki (m.in. jeżeli osoba, na której kształcenie ustawiczne przyznano finansowanie bez uzasadnionej przyczyny nie podejmie lub nie ukończy tego kształcenia albo gdy środki KFS zostały wydatkowane niezgodnie z umową).
Dokumentowanie naruszeń w przypadku naruszenia ochrony danych osobowych
Dokumentowanie naruszeń ochrony danych osobowych
Dokumentowanie naruszeń ochrony danych osobowych jest nie tylko obowiązkiem administratorów, ale również kluczowym narzędziem analizy przyczyn i skutków incydentów oraz skuteczności działań naprawczych organizacji. Prawidłowa dokumentacja pozwala na utrzymanie przejrzystości postępowania, realizację zasady rozliczalności oraz wykazanie przed organem nadzorczym, że administrator prawidłowo ocenił sytuację i podjął odpowiednie kroki w celu ochrony osób dotkniętych naruszeniem.
Każde stwierdzone naruszenie ochrony danych osobowych, niezależnie od jego skali i charakteru, powinno być szczegółowo udokumentowane. Pozwala to na zrekonstruowanie okoliczności incydentu, ocenę podjętych działań naprawczych oraz udokumentowanie przestrzegania przepisów RODO.
Obowiązek dokumentowania naruszeń
Zgodnie z art. 33 ust. 5 RODO, administratorzy mają obowiązek prowadzenia dokumentacji wszystkich naruszeń ochrony danych, niezależnie od tego, czy incydent wymagał zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych.
Obowiązek dokumentowania dotyczy wszystkich stwierdzonych naruszeń, ale dla pełnej realizacji zasady rozliczalności administratorzy powinni również dokumentować incydenty bezpieczeństwa, które nie zostały zakwalifikowane jako naruszenie, wraz z uzasadnieniem tej decyzji.
Wewnętrzny rejestr naruszeń ochrony danych osobowych
W celu usprawnienia dokumentowania incydentów, zaleca się prowadzenie wewnętrznego rejestru naruszeń ochrony danych osobowych. Choć RODO nie wymaga jego formalnego prowadzenia w określonej formie, administratorzy powinni zadbać o to, aby informacje dotyczące naruszeń były czytelnie oznaczone i dostępne do wglądu w razie potrzeby. Rejestr naruszeń może mieć formę cyfrową lub papierową i powinien być regularnie aktualizowany.
Dokumentacja naruszeń ochrony danych osobowych musi być stale aktualizowana, ponieważ każda nowa informacja dotycząca incydentu, jego skutków czy podjętych działań zaradczych może mieć wpływ na ocenę ryzyka i skuteczność rejestru. Administrator powinien na bieżąco rejestrować postępy w działaniach naprawczych, a w przypadku nowych okoliczności – uzupełniać informacje w rejestrze.
Elementy dokumentacji naruszeń ochrony danych osobowych
Rejestr naruszeń ochrony danych osobowych zgodnie z wytycznymi wynikającymi z art. 33 ust 5 RODO oraz dobrych praktyk w zakresie dokumentowania naruszeń powinien składać się z następujących informacji:
- okoliczności naruszenia – data i czas wykrycia, wystąpienia oraz zakończenia naruszenia, sposób jego wykrycia, przyczyny i przebieg zdarzenia;
- charakter naruszenia – czy naruszenie dotyczyło poufności, integralności czy dostępności danych;
- rodzaj i zakres danych objętych naruszeniem – jakie kategorie danych zostały naruszone oraz ilu osób dotyczył incydent;
- ocena skutków naruszenia – czy wystąpiły faktyczne konsekwencje dla osób, których dane dotyczą, oraz jakie mogą być potencjalne zagrożenia wynikające z incydentu;
- uzasadnienie oceny ryzyka – decyzja, czy naruszenie wymagało zgłoszenia organowi nadzorczemu lub powiadomienia osób poszkodowanych;
- podjęte środki zaradcze i zapobiegawcze – działania mające na celu powstrzymanie skutków naruszenia oraz wdrożenie środków minimalizujących ryzyko podobnych incydentów w przyszłości;
- szczegóły dotyczące zgłoszenia naruszenia organowi nadzorczemu – data zgłoszenia, ewentualne przyczyny opóźnienia w zgłoszeniu, kluczowe informacje zawarte w zgłoszeniu lub uzasadnienie decyzji o jego niezłożeniu;
- szczegóły dotyczące zawiadomienia osób, których dane dotyczą – data zawiadomienia, treść komunikatu, metoda powiadomienia, liczba osób poinformowanych lub uzasadnienie decyzji o braku zawiadomienia (zgodnie z art. 34 ust. 3 RODO).
Przetwarzanie danych osobowych w dokumentacji naruszeń
RODO nie określa okresu przechowywania dokumentacji naruszeń, co oznacza, że administratorzy powinni przechowywać ją jak najdłużej, aby zapewnić zgodność z zasadą rozliczalności. Nie zaleca się jednak umieszczania w rejestrze danych osobowych osób zaangażowanych w proces zarządzania naruszeniem, ani szczegółowych informacji o osobach, których dotyczy naruszenie. W sytuacji, gdy takie dane zostaną zawarte w dokumentacji, należy pamiętać o zasadach minimalizacji danych oraz stosować odpowiednie środki ochrony, np. pseudonimizację.
Sankcje za brak dokumentowania naruszeń
Prowadzenie dokumentacji naruszeń ochrony danych osobowych jest obowiązkiem wynikającym z RODO i kluczowym elementem zapewnienia zgodności z zasadą rozliczalności. Administratorzy muszą rejestrować wszystkie stwierdzone naruszenia, niezależnie od tego, czy podlegały one zgłoszeniu do organu nadzorczego. Nieprowadzenie właściwej dokumentacji naruszeń może skutkować istotnymi konsekwencjami prawnymi i finansowymi, w tym ryzykiem nałożenia administracyjnych kar pieniężnych.
Podstawa prawna sankcji – art. 83 RODO
Zgodnie z art. 83 ust. 4 RODO, niewywiązanie się z obowiązku dokumentowania naruszeń, o którym mowa w art. 33 ust. 5 RODO, może skutkować nałożeniem administracyjnej kary pieniężnej w wysokości do 10 milionów euro lub – w przypadku przedsiębiorstw – do 2% ich globalnego rocznego obrotu za poprzedni rok obrotowy. W takiej sytuacji stosowana jest kwota wyższa.
Do zastosowania powyższych kar może dojść m.in. w przypadku:
- całkowitego braku dokumentowania naruszeń – jeśli administrator nie prowadzi żadnej dokumentacji incydentów, co oznacza, że nie jest w stanie wykazać, że właściwie zarządza ochroną danych osobowych;
- niekompletnej lub nieprawidłowej dokumentacji – gdy rejestr naruszeń nie zawiera wymaganych informacji, np. okoliczności naruszenia, skutków incydentu czy podjętych działań zaradczych;
- braku uzasadnienia decyzji o niezgłoszeniu naruszenia do organu nadzorczego – nawet jeśli administrator uzna, że incydent nie wymaga zgłoszenia do Prezesa UODO, powinien udokumentować tę decyzję. Jej brak może być podstawą do nałożenia sankcji;
- braku możliwości wykazania zgodności z RODO – w przypadku kontroli organ nadzorczy może zażądać dostępu do rejestru naruszeń. Jeśli administrator nie będzie w stanie udowodnić, że incydenty były prawidłowo analizowane i dokumentowane, może to skutkować nałożeniem kary.
Kryteria nakładania kar finansowych
RODO przewiduje, że wysokość kary za brak dokumentowania naruszeń powinna być ustalana indywidualnie dla każdego przypadku. Przy ocenie naruszenia organ nadzorczy uwzględnia między innymi:
- charakter, wagę i czas trwania naruszenia – długotrwałe zaniedbanie obowiązku dokumentowania naruszeń może skutkować wyższą sankcją;
- zakres i wpływ naruszenia – jeśli brak dokumentacji uniemożliwił analizę ryzyka lub podjęcie działań naprawczych, kara może być surowsza;
- liczbę incydentów – jeśli organizacja regularnie nie prowadzi dokumentacji naruszeń, organ nadzorczy może uznać to za systemowe naruszenie RODO;
- stopień współpracy z organem nadzorczym – jeśli administrator nie współpracuje podczas kontroli lub nie podejmuje działań korygujących, może to wpłynąć na wysokość kary;
- wdrożone środki organizacyjne i techniczne – jeśli administrator nie wprowadził procedur umożliwiających skuteczne rejestrowanie naruszeń, organ nadzorczy może nałożyć surowsze sankcje.
Jak uniknąć sankcji?
Aby uniknąć konsekwencji związanych z brakiem dokumentowania naruszeń, organizacje powinny wdrożyć odpowiednie procedury i zapewnić zgodność z przepisami RODO. Najważniejsze działania obejmują:
- prowadzenie wewnętrznego rejestru naruszeń – dokumentowanie każdego naruszenia wraz z jego skutkami, oceną ryzyka i podjętymi działaniami naprawczymi;
- ustalanie jasnych procedur dokumentowania incydentów – określenie, jakie informacje powinny być rejestrowane i kto odpowiada za ich zapis;
- regularne aktualizowanie dokumentacji – każda nowa informacja o naruszeniu powinna być odnotowana, co pozwoli na lepszą analizę ryzyka i skuteczność działań zaradczych;
- szkolenie personelu – pracownicy powinni wiedzieć, jakie naruszenia należy dokumentować i jak prowadzić rejestr incydentów;
- przeglądy i audyty wewnętrzne – organizacja powinna okresowo kontrolować zgodność z RODO w zakresie prowadzenia dokumentacji naruszeń;
- współpraca z Inspektorem Ochrony Danych (IOD) – IOD powinien aktywnie monitorować i wspierać proces dokumentowania incydentów.
Automatyzacja raportowania ESG i CSRD z wykorzystaniem AI
Systemy AI mogą automatycznie integrować dane z różnych źródeł, generować raporty zgodne z ESRS/XBRL, przeprowadzać walidację wskaźników oraz zapewniać pełen ślad rewizyjny, redukując udział człowieka do etapu przeglądu i zatwierdzenia.
Nowoczesne platformy raportowe oparte na AI integrują dane finansowe, środowiskowe i kadrowe z systemów ERP, IoT i HR za pomocą konektorów ETL lub RPA. Następnie narzędzia typu LLM (np. GPT) z funkcją Retrieval-Augmented Generation (RAG) uzupełniają brakujące konteksty (np. polityki ESG) i redagują sekcje tekstowe zgodnie z wymogami standardów ESRS.
Wbudowany moduł walidacyjny (Python/Pandas) sprawdza zgodność danych z regułami raportowania – np. czy emisje Scope 1 i 2 sumują się do całkowitego GHG, czy wskaźniki pokrywają się z kontami taksonomii UE. Nieprawidłowości są automatycznie flagowane do przeglądu. Kolejnym krokiem jest eksport do XBRL – system mapuje wartości do struktury ESEF-CSRD, zapewniając kompatybilność z wymogami technicznymi i niską liczbę błędów (<1%, zgodnie z benchmarkiem PwC 2024).
Każdy KPI zawiera hiperłącze do źródła w hurtowni danych, co spełnia wymóg pełnej audytowalności (traceability). Całość działa w reżimie MLOps, który archiwizuje wersje modelu, reguły walidacji i przebieg rewizji. Dzięki temu możliwe jest spełnienie wymagań kontroli zewnętrznej i wewnętrznej zgodnie z zasadą rozliczalności. Co kwartał system automatycznie aktualizuje cele ESG i identyfikuje trend odchyleń, generując alerty dla CFO i komitetu ESG w przypadku przekroczenia ustalonego progu (np. 5%).
Rejestrowanie na kasie fiskalnej sprzedaży biletów na basen
Spółka nie musi rejestrować w kasie biletów na basen zakupionych przez konsumentów, opłaconych w formie bezgotówkowej, jednakże pod warunkiem, że będzie prowadzić ewidencję pozwalającą połączyć wykonane świadczenia (usługi wstępu na basen i do sauny) z przyjmowanymi płatnościami na rachunek bankowy.
Sprzedaż bezrachunkową ujmuje się w JPK VAT zbiorczo, na podstawie dowodu wewnętrznego oznaczonego symbolem „WEW”.
Względem usług wstępu do obiektu sportowego zastosowanie może znaleźć wyłącznie zwolnienie z obowiązku prowadzenia ewidencji sprzedaży przy zastosowaniu kas rejestrujących przewidziane w § 2 ust. 1 w zw. z poz. 42 załącznika do rozporządzenia w sprawie zwolnień z obowiązku prowadzenia ewidencji sprzedaży przy zastosowaniu kas rejestrujących (dalej: KasRejR). Stosownie do jego treści, aby podatnik miał prawo do skorzystania ze zwolnienia z obowiązku ewidencjonowania obrotu przy użyciu kasy, muszą łącznie zostać spełnione następujące warunki:
- zapłata za usługę musi być dokonana w całości za pośrednictwem poczty, banku lub spółdzielczej kasy oszczędnościowo-kredytowej (odpowiednio na rachunek bankowy podatnika lub na rachunek podatnika w spółdzielczej kasie oszczędnościowo-kredytowej, której jest członkiem);
- z ewidencji i dowodów dokumentujących zapłatę musi jednoznacznie wynikać, jakiej konkretnie czynności zapłata dotyczyła;
- przedmiotem świadczenia nie są usługi wymienione w § 4 KasRejR.
Usługi wstępu na basen i do sauny nie zostały wymienione w § 4 KasRejR. Należy zatem przyjąć, że w przypadku gdy spółka z o.o. za usługi wstępu będzie przyjmowała zapłatę bezgotówkowo przy użyciu terminala płatniczego, jednocześnie prowadząc ewidencję umożliwiającą powiązanie otrzymanych płatności z wykonywanymi usługami wstępu, to nie musi niniejszych czynności rejestrować w kasie.
Sprzedaż bezrachunkową, tj. sprzedaż na rzecz osób fizycznych, która jest zwolniona z ewidencji w kasie fiskalnej, deklaruje się w ewidencji VAT w wysokościach zbiorczych na podstawie dowodu wewnętrznego oznaczonego w pliku JPK VAT symbolem „WEW”.
Należności z tytułu spłaconego poręczenia a koszty uzyskania przychodów
Do kosztów podatkowych mogą zostać zaliczone należności lub odpisy od tych należności, które uprzednio były zaliczone do przychodów podatkowych. Zatem na oba pytania niestety odpowiedź jest negatywna.
Zgodnie z art. 15 ust. 1 ustawy o podatku dochodowym od osób prawnych (dalej: PDOPrU) kosztami uzyskania przychodów są koszty poniesione w celu osiągnięcia przychodów lub zachowania albo zabezpieczenia źródła przychodów, z wyjątkiem kosztów wymienionych w art. 16 ust. 1 PDOPrU.
Aby wydatek poniesiony przez podatnika mógł stanowić koszt uzyskania przychodów, muszą zaistnieć łącznie następujące przesłanki:
1) poniesienie przez podatnika,
2) definitywność, tj. bezzwrotność,
3) pozostawanie w związku z prowadzoną przez podatnika działalnością gospodarczą,
4) poniesienie w celu uzyskania przychodów lub zachowania albo zabezpieczenia źródła przychodów,
5) nieznajdowania się w katalogu wymienionym w art. 16 ust. 1 PDOPrU,
6) właściwe udokumentowanie.
Należy też zwrócić uwagę na art. 16 ust. 1 pkt 10 PDOPrU, który wskazuje, że nie uważa się za koszty uzyskania przychodów wydatków na spłatę innych zobowiązań, w tym z tytułu udzielonych gwarancji i poręczeń.
Organy podatkowe oraz piśmiennictwo podkreślają, że zdefiniowane w tym przepisie wydatki nie stanowią katalogu zamkniętego – tym samym mają charakter przykładowy. W związku z powyższym, nie tylko same zobowiązania z tytułu gwarancji i poręczeń nie mogą być uznane za koszty uzyskania przychodów, ale także spłata innych zobowiązań.
Tak też stwierdził Dyrektor KIS w interpretacji indywidualnej z 25.6.2021 r. (0111-KDIB1-1.4010.149.1.2021.ŚS), w której wskazano, że:
Zasadnym jest przyjęcie, że dyspozycją tego przepisu objęte zostały także te zobowiązania, których obowiązek poniesienia, co do zasady, spoczywa z mocy prawa na innym niż podatnik podmiocie. Świadczy o tym użyte przez ustawodawcę sformułowanie „spłata innych zobowiązań” oraz podkreślenie, że do tej kategorii należy także spłata długów wynikających z poręczeń i gwarancji, a więc instytucji, które z natury swojej stanowią zabezpieczenie cudzego zobowiązania i z których wynika obowiązek zapłaty zobowiązania osoby trzeciej. Do tej grupy należy zatem zaliczyć także spłatę należności za dłużnika.
Podobna konkluzja została przyjęta przez Dyrektora KIS w interpretacji indywidualnej z 6.9.2018 r. (IPPB3/4510-823/15-5/S/18/DP/MS):
Odnosząc powyższe do przedmiotowej sprawy, należy stwierdzić, że kwoty wydatkowane przez Wnioskodawcę na spłatę hipotek ciążących na gospodarstwie rolnym będącym jego własnością na podstawie aktu notarialnego potwierdzającego jego nabycie stanowi zobowiązanie, za które Wnioskodawca ponosi odpowiedzialność rzeczową jako dłużnik hipoteczny. Odpowiedzialność za te zobowiązanie nabyto razem z własnością nieruchomości. Mając na uwadze fakt, że wraz z nabyciem własności nieruchomości Wnioskodawca przyjął na siebie odpowiedzialność za cudzy dług, zobowiązania hipoteczne należy uznać za zobowiązania o charakterze zbliżonym do wskazanych w art. 16 ust. 1 pkt 10 lit. b [PDOPrU] zobowiązań z tytułu poręczeń i gwarancji. Podmiot spłacający zobowiązania z tytułu kredytów zaciągniętych we własnym imieniu i na własną rzecz – zgodnie z art. 16 ust. 1 pkt 10 lit. a tiret pierwszy [PDOPrU] – ma obowiązek wyłączyć z kosztów uzyskania przychodów kwotę kapitału pożyczki (kredytu). [uzup. Autora]
Jednocześnie sądy administracyjne również zdają się podzielać powyższy pogląd, o czym świadczy przyjęte stanowisko w wyroku WSA w Poznaniu z 20.9.2016 r. (I SA/Po 208/16, Legalis) czy też w wyroku WSA w Warszawie z 12.9.2018 r. (III SA/Wa 3689/17, Legalis).
A zatem zgodnie z podejściem organów podatkowych wydatki na spłatę długu „pierwotnego” są kosztami niepodatkowymi. Tym samym, wedle takiego podejścia, podatnicy nie mają – co do zasady – możliwości odliczenia od swoich przychodów wydatków na spłatę cudzego (często przejętego) zobowiązania, nawet jeśli są w stanie to uzasadnić.
Oznacza to, iż spłata poręczonego zobowiązania nie jest kosztem podatkowym.
Należy też zwrócić uwagę, iż oczekiwany zwrot od podmiotu, któremu uprzednio poręczono, nie spowodował powstawania przychodów. A do przychodów podatkowych mogą być zaliczone jedynie w określonych sytuacjach należności lub odpisy należności tylko w takiej części, jaka była uprzednio zaliczona przez podatnika do przychodów podatkowych. Oznacza to, iż zgodnie z art. 16 ust. 1 pkt 25 , 26a i 44 PDOPrU ani należności, ani odpisy należności dotyczących spłaty przez dłużnika za pokrycie jego długu w ramach udzielonego poręczenia nie są kosztem podatkowym.
Obowiązki podmiotów kluczowych i ważnych na gruncie Dyrektywy NIS 2
Obowiązki podmiotów kluczowych i ważnych na gruncie Dyrektywy NIS 2
Wprowadzenie dyrektywy NIS 2 (Dyrektywa 2022/2555) stanowi istotny krok w kierunku ujednolicenia podejścia do cyberbezpieczeństwa na poziomie Unii Europejskiej. Nowe przepisy odpowiadają na pogłębiające się zagrożenia wynikające z powszechnej cyfryzacji oraz rosnącej zależności kluczowych sektorów – zarówno publicznych, jak i prywatnych – od systemów informacyjnych. NIS 2 nie tylko zastępuje wcześniejszą dyrektywę z 2016 r., ale przede wszystkim znacząco rozszerza zakres regulacji oraz precyzuje oczekiwania wobec podmiotów działających w obszarach o szczególnym znaczeniu dla funkcjonowania społeczeństwa i gospodarki. Artykuł koncentruje się wyłącznie na analizie obowiązków, jakie przepisy NIS 2 nakładają na te podmioty.
Zarządzanie ryzykiem i obsługa incydentów jako fundament systemu NIS 2
Wśród najważniejszych obowiązków nakładanych na organizacje objęte dyrektywą NIS 2 znajdują się dwa zasadnicze filary: kompleksowe zarządzanie ryzykiem w obszarze cyberbezpieczeństwa oraz formalna obsługa incydentów bezpieczeństwa. Regulacje w tym zakresie zawarte są odpowiednio w artykułach 21 i 23 Dyrekty 2022/2555 i stanowią punkt wyjścia dla dalszych wymagań stawianych podmiotom kluczowym i ważnym.
Jeśli chodzi o działania prewencyjne, organizacje muszą wdrożyć zestaw środków pozwalających nie tylko reagować na zagrożenia, lecz także skutecznie im zapobiegać i minimalizować ich skutki. Obejmuje to zarówno aspekty techniczne (np. systemy detekcji i reagowania), jak i organizacyjne (np. polityki wewnętrzne czy zarządzanie uprawnieniami dostępowymi). Szczególna uwaga powinna być poświęcona ryzykom związanym z zewnętrznymi zależnościami – w tym bezpieczeństwu łańcuchów dostaw i procedurom aktualizacji oraz utrzymania infrastruktury informacyjnej.
Równie istotnym elementem jest proces zarządzania incydentami, który – zgodnie z dyrektywą – powinien przebiegać w określonych ramach czasowych. Procedura ta składa się z kilku etapów: wczesnego powiadomienia o potencjalnym incydencie, zgłoszenia potwierdzonego zdarzenia w ciągu kolejnych kilkudziesięciu godzin oraz złożenia pełnego raportu po jego dokładnym przeanalizowaniu. Odpowiednia dokumentacja i współpraca z zespołami reagowania (CSIRT) oraz organami nadzorczymi mają kluczowe znaczenie dla ograniczania skutków ataków i poprawy odporności systemu w dłuższej perspektywie.
Choć temat ten wymaga bardziej szczegółowej analizy – co będzie przedmiotem osobnego opracowania – już na tym etapie warto zaznaczyć, że umiejętność właściwego zarządzania ryzykiem oraz skutecznego reagowania na incydenty stanowi podstawę zgodności z NIS 2 i jest nieodzowna dla zapewnienia ciągłości działania organizacji funkcjonujących w krytycznych obszarach gospodarki i usług publicznych.
Odpowiedzialność zarządcza i rozwój kompetencji kierownictwa
Wymogi wprowadzone przez dyrektywę NIS 2 w zakresie zarządzania cyberbezpieczeństwem nie ograniczają się wyłącznie do poziomu operacyjnego czy technicznego. Wprost przeciwnie – przepisy akcentują decydującą rolę najwyższego kierownictwa organizacji w procesie wdrażania, nadzorowania i rozwijania środków ochronnych. Odpowiedzialność za zgodność z regulacjami nie jest zatem domeną specjalistów IT, lecz obowiązkiem, który bezpośrednio dotyka zarządów i osób zajmujących funkcje decyzyjne.
Zgodnie z założeniami NIS 2, kierownictwo musi aktywnie uczestniczyć w procesie budowy systemu bezpieczeństwa, zatwierdzając przyjęte rozwiązania, monitorując ich skuteczność i zapewniając zasoby niezbędne do ich realizacji. W praktyce oznacza to konieczność zaangażowania nie tylko formalnego, lecz również merytorycznego – polegającego na rzeczywistym zrozumieniu celów i mechanizmów ochrony, a także konsekwencji ich niedostatecznego wdrożenia. Warto podkreślić, że odpowiedzialność ta może mieć charakter indywidualny – dyrektywa nie wyklucza stosowania środków egzekucyjnych wobec konkretnych osób pełniących funkcje zarządcze, jeśli zaniedbania po ich stronie doprowadzą do naruszeń.
Dodatkowym aspektem, na który zwraca uwagę unijny ustawodawca, jest konieczność stałego podnoszenia kompetencji osób decyzyjnych w zakresie cyberbezpieczeństwa. Wymaga się nie tylko świadomości istniejących zagrożeń, ale również zdolności do interpretacji i oceny rozwiązań technicznych oraz podejmowania decyzji w warunkach presji i niepewności. W tym kontekście budowa tzw. kultury bezpieczeństwa w organizacji zaczyna się właśnie na poziomie zarządu – to jego postawa, kompetencje i zaangażowanie kształtują priorytety i realne działania w całej strukturze.
Bezpieczeństwo łańcucha dostaw i zobowiązania kontraktowe
W dobie silnie zglobalizowanej gospodarki cyfrowej żadna organizacja nie funkcjonuje w pełnym oderwaniu od otoczenia – zależność od zewnętrznych partnerów, dostawców technologii, usługodawców chmurowych czy twórców oprogramowania stała się trwałym elementem operacyjnej rzeczywistości. W tym kontekście dyrektywa NIS 2 wyraźnie uwzględnia ryzyko, jakie może wynikać z niedostatecznego poziomu zabezpieczeń po stronie podmiotów trzecich, wskazując na konieczność objęcia łańcucha dostaw spójnym systemem zarządzania ryzykiem.
Wymagania te nie ograniczają się do relacji z bezpośrednimi dostawcami – organizacje powinny w miarę możliwości monitorować także dalsze ogniwa łańcucha, np. podwykonawców lub producentów komponentów. Ocena powinna obejmować nie tylko to, „co” jest dostarczane (np. oprogramowanie, infrastruktura, usługi ICT), ale również „jak” dana technologia powstaje i jest utrzymywana – z naciskiem na procesy związane z bezpieczeństwem projektowania, aktualizacji, testowania i utrzymania. Tym samym dyrektywa zachęca do szerszego spojrzenia na bezpieczeństwo jako na cechę całego środowiska, a nie wyłącznie własnych zasobów.
W praktyce oznacza to, że organizacje muszą nie tylko brać pod uwagę kompetencje techniczne partnerów, ale również ich podejście do cyberhigieny, stosowane praktyki szyfrowania danych, sposób zarządzania incydentami czy rozwiązania z zakresu uwierzytelniania i autoryzacji. Taka ocena powinna być częścią procesu wyboru dostawcy, ale również elementem bieżącego nadzoru nad realizacją usług – z możliwością rewizji podejścia w razie zmiany poziomu ryzyka.
Chociaż przepisy nie narzucają bezpośrednio obowiązku zawierania umów z określonymi klauzulami bezpieczeństwa, dyrektywa jednoznacznie rekomenduje takie podejście jako dobrą praktykę. Klauzule tego typu mogą obejmować np. wymóg szyfrowania transmisji, obowiązek zgłaszania incydentów przez kontrahenta, utrzymania zgodności z uznanymi normami (np. ISO/IEC 27001), czy uczestnictwa w audytach i testach odporności.
Kluczowe jest jednak, by podejście do bezpieczeństwa w relacjach kontraktowych było systematyczne – powinno obejmować nie tylko ocenę na etapie rozpoczęcia współpracy, ale również jej późniejszy monitoring i weryfikację, z możliwością renegocjowania warunków umowy, jeśli zmieniające się zagrożenia tego wymagają. Takie podejście pozwala nie tylko na lepsze zabezpieczenie organizacji, ale także na budowanie odpowiedzialnej kultury bezpieczeństwa w całym otoczeniu biznesowym.
Obowiązki rejestrowe i informacyjne
Aby system ustanowiony przez dyrektywę NIS 2 mógł funkcjonować sprawnie, niezbędna jest nie tylko wiedza o tym, jakie obowiązki mają poszczególne organizacje, ale również precyzyjna identyfikacja tych podmiotów przez krajowe instytucje odpowiedzialne za cyberbezpieczeństwo. Właśnie dlatego jednym z podstawowych wymogów proceduralnych jest obowiązek przekazywania przez podmioty kluczowe i ważne zestawu informacji administracyjnych i technicznych, które umożliwiają ich ewidencjonowanie, nadzór oraz utrzymanie skutecznej komunikacji w sytuacjach operacyjnych.
Zgodnie z zapisami dyrektywy, państwa członkowskie mają obowiązek stworzenia wykazu organizacji objętych regulacją, a same podmioty – obowiązek dostarczenia danych takich jak: pełna nazwa, adres, dane kontaktowe (w tym numery IP i telefony operacyjne), a także informacje dotyczące sektora, w którym prowadzą działalność, oraz państw członkowskich, w których świadczą swoje usługi. Te dane mają nie tylko charakter administracyjny, lecz są również wykorzystywane w procesach decyzyjnych, np. podczas koordynacji działań w odpowiedzi na incydenty cyberbezpieczeństwa.
Co istotne, dyrektywa dopuszcza elastyczność w podejściu do procesu rejestracji. W zależności od krajowych rozwiązań, identyfikacja podmiotów może odbywać się w formie samodzielnego zgłoszenia (tzw. model samo rejestracyjny) lub w oparciu o dane zgromadzone w publicznych rejestrach gospodarczych i administracyjnych, co umożliwia automatyczną kwalifikację organizacji bez ich aktywnego udziału.
Jednak obowiązek informacyjny nie kończy się na jednorazowym przekazaniu danych. Organizacje muszą również zadbać o ich aktualność. Każda zmiana, która może wpływać na ocenę ryzyka lub komunikację z organami – np. zmiana struktury organizacyjnej, osób kontaktowych, czy podmiotu świadczącego usługi IT – powinna zostać zgłoszona niezwłocznie, zgodnie z krajowymi przepisami wykonawczymi.
Choć obowiązki te mają głównie charakter formalny, są nieodzownym elementem skutecznego nadzoru nad systemem bezpieczeństwa informacyjnego – zwłaszcza w sytuacjach, gdy niezbędna jest szybka reakcja na incydenty, których skutki mogą wykraczać poza granice jednego państwa. Aktualność i kompletność danych rejestrowych ma w tym kontekście wymiar strategiczny.
Obowiązek współpracy z organami i CSIRT
Jednym z istotnych elementów architektury bezpieczeństwa w ramach dyrektywy NIS 2 jest obowiązek ścisłej współpracy pomiędzy podmiotami objętymi regulacją a instytucjami odpowiedzialnymi za nadzór oraz reagowanie na incydenty. To nie tylko formalność – chodzi o realne zaangażowanie w działania prewencyjne, kontrolne i operacyjne, które budują odporność całego systemu.
Z perspektywy nadzoru, organizacje muszą być przygotowane na udostępnianie szerokiego zakresu informacji – od dokumentacji dotyczącej wdrożonych środków technicznych i procedur organizacyjnych, przez wyniki audytów czy testów bezpieczeństwa, aż po szczegóły dotyczące incydentów i działań naprawczych. Organy krajowe, zgodnie z uprawnieniami określonymi w dyrektywie, mogą żądać tych danych w toku bieżącego monitoringu, a także przeprowadzać kontrole na miejscu – szczególnie w przypadku podmiotów o znaczeniu kluczowym.
Równolegle funkcjonuje kanał współpracy z zespołami CSIRT, które odgrywają rolę technicznego zaplecza reagowania. To one analizują zgłoszenia, wspierają organizacje w neutralizacji zagrożeń i koordynują działania w sytuacjach awaryjnych. Efektywność tego modelu opiera się na sprawnym i terminowym przepływie informacji – podmioty objęte regulacją powinny mieć wypracowane procedury pozwalające szybko dzielić się danymi technicznymi i operacyjnymi, bez opóźnień, które mogłyby pogłębić skutki incydentu.
Warto też zauważyć, że dyrektywa wprowadza zróżnicowany model nadzoru w zależności od rodzaju organizacji. Podmioty kluczowe podlegają zarówno kontroli wyprzedzającej (ex ante), jak i następczej (ex post), co oznacza, że mogą być objęte planowymi audytami niezależnie od tego, czy wystąpiły nieprawidłowości. Natomiast w przypadku podmiotów ważnych interwencje ze strony organów nadzorczych są uruchamiane dopiero wtedy, gdy pojawią się przesłanki wskazujące na możliwe naruszenia.
Taki podział pozwala dostosować intensywność nadzoru do poziomu ryzyka, jaki dana organizacja potencjalnie generuje – przy jednoczesnym zachowaniu mechanizmów reagowania, które umożliwiają sprawne działanie w sytuacjach kryzysowych.
Certyfikacja, normy i środki dowodowe zgodności
Choć dyrektywa NIS 2 nie wprowadza obowiązku stosowania konkretnych systemów certyfikacji w zakresie cyberbezpieczeństwa, wyraźnie wskazuje na ich rolę jako narzędzi wspierających realizację wymogów regulacyjnych. Organizacje, które wdrażają uznane normy techniczne – zarówno europejskie, jak i międzynarodowe – mogą dzięki temu łatwiej wykazać, że spełniają standardy zarządzania ryzykiem, których oczekuje ustawodawca.
W przypadku braku certyfikacji na poziomie UE – opracowywanej zgodnie z tzw. Cybersecurity Act (rozporządzenie 2019/881) – dyrektywa przewiduje, że państwa członkowskie powinny aktywnie promować stosowanie dostępnych norm jako dobrych praktyk. Rekomendowane są tu m.in. rozwiązania zgodne z ISO/IEC 27001, normy ENISA czy inne uznane standardy branżowe, które mogą służyć jako wyznacznik jakości zabezpieczeń stosowanych w organizacji.
Co więcej, właściwe organy nadzorcze mają możliwość zalecenia korzystania z certyfikowanych produktów, usług lub procesów, szczególnie jeśli poziom ryzyka związany z działalnością danego podmiotu uzasadnia takie podejście. Choć wciąż mówimy o rozwiązaniu fakultatywnym, wykorzystanie certyfikatów może mieć praktyczne znaczenie – nie tylko jako forma podniesienia wiarygodności systemu bezpieczeństwa, ale także jako istotny środek dowodowy podczas audytów, kontroli lub w przypadku konieczności wykazania zgodności z wymaganiami art. 21 Dyrektywy 2022/2555.
