Zamówienie-Koszyk
Dokończ - Edytuj - Anuluj

Droga Użytkowniczko, Drogi Użytkowniku, klikając AKCEPTUJĘ I PRZECHODZĘ DO SERWISU wyrazisz zgodę na to aby Rachunkowość Sp. z o.o. oraz Zaufani Partnerzy przetwarzali Twoje dane osobowe takie jak identyfikatory plików cookie, adresy IP, otwierane adresy url, dane geolokalizacyjne, informacje o urządzeniu z jakiego korzystasz. Informacje gromadzone będą w celu technicznego dostosowanie treści, badania zainteresowań tematami, dostosowania niektórych treści do lokalizacji z której jest odczytywana oraz wyświetlania reklam we własnym serwisie oraz w wykupionych przez nas przestrzeniach reklamowych w Internecie. Wyrażenie zgody jest dobrowolne.

Klikając w przycisk AKCEPTUJĘ I PRZECHODZĘ DO SERWISU wyrażasz zgodę na zapisanie i przechowywanie na Twoim urządzeniu plików cookie. W każdej chwili możesz skasować pliki cookie oraz ograniczyć możliwość zapisywania nowych za pomocą ustawień przeglądarki.

Wyrażając zgodę, pozwalasz nam na wyświetlanie spersonalizowanych treści m.in. indywidualne rabaty, informacje o wykupionych przez Ciebie usługach, pomiar reklam i treści.

AKCEPTUJĘ I PRZECHODZĘ DO SERWISU
account_circle
dehaze

Logowanie

e-mail:

hasło:

 

 

Logowanie za pomocą e-maila

Jeżeli nie pamiętasz hasła albo nie masz konta, to wyślemy na Twój e-mail wiadomość weryfikującą. Po kliknięciu w link z e-maila będziesz zalogowany na urządzeniu do chwili wylogowania.

e-mail:

Klikając w poniższy link, zgadzasz się na zapisanie podanych w formularzu danych i wykorzystywanie ich zgodnie z polityką przetwarzania danych dostępną w dokumencie ⇒Polityka przetwarzania danych osobowych (RODO)⇐

 

Logowanie do za pomocą e-maila

Sprawdzanie danych....

Przetwarzanie i przechowywanie danych księgowych w chmurze

Elżbieta Jędruczyk
Doradca podatkowy, Instytut Ekonomii i Finansów, Uniwersytet Szczeciński
W artykule udzielono odpowiedzi na pytania, czym jest „chmura”, jakie są korzyści z jej stosowania, jakie zagrożenia wiążą się z wykorzystaniem rozwiązań chmurowych oraz jak weryfikować bezpieczeństwo usług oferowanych przez dostawców tych rozwiązań.

W dobie cyfryzacji procesów ekonomicznych powszechne jest wykorzystywanie technologii informatycznych. Po doświadczeniach związanych z pandemią COVID-19 praca w trybie zdalnym stała się bardziej powszechna, co spowodowało konieczność zapewnienia dostępu do systemów finansowo-księgowych za pośrednictwem internetu. W efekcie popularność zyskują rozwiązania oparte na przechowywaniu i przetwarzaniu danych księgowych w chmurze obliczeniowej (cloud accounting).

W dobie cyfryzacji procesów ekonomicznych powszechne jest wykorzystywanie technologii informatycznych. Po doświadczeniach związanych z pandemią COVID-19 praca w trybie zdalnym stała się bardziej powszechna, co spowodowało konieczność zapewnienia dostępu do systemów finansowo-księgowych za pośrednictwem internetu. W efekcie popularność zyskują rozwiązania oparte na przechowywaniu i przetwarzaniu danych księgowych w chmurze obliczeniowej (cloud accounting).

Czym jest chmura

Terminu „chmura” używa się do określenia zdalnego przechowywania i przetwarzania danych, a także wykorzystywanego w tym celu oprogramowania i infrastruktury (centrów danych usługodawcy). Do uzyskania dostępu do danych i oprogramowania w chmurze niezbędny jest dostęp do internetu. Amerykański Narodowy Instytut Standaryzacji i Technologii (National Institute of Standards and Technology, NIST) definiuje chmurę jako technologię, która umożliwia wygodny dostęp na żądanie z dowolnego miejsca mającego dostęp do internetu dla możliwych do skonfigurowania usług rozumianych jako sieci, serwery, przechowywanie danych oraz powiązanego z nimi oprogramowania, które mogą być niezwłocznie udostępnione z użyciem minimalnego zaangażowania środków zarządzającego tymi danymi lub dostawcy chmury. NIST wskazuje przy tym na funkcjonujące w praktyce trzy różne modele usług chmurowych:

    [1] D. Yau-Yeung, O. Yigitbasioglu, P. Green, Cloud Accounting Risks and Mitigation Strategies: Evidence from Australia, „Accounting Forum” 2020, 44(4), s. 5.

  • SaaS (Software as a Service, oprogramowanie jako usługa) – dominujący w segmencie usług rachunkowości chmurowej, polega na udzielaniu przez producentów oprogramowania dostępu w modelu subskrypcyjnym[1] (np. Dynamics 365, Comarch ERP Cloud),
  • PaaS (Platform as a Service, platforma jako usługa) – dostawca oferuje infrastrukturę oraz narzędzia pozwalające na stworzenie oprogramowania – wykorzystywany głównie przez dostawców oprogramowania, a nie końcowych użytkowników (np. Microsoft Azure App Service, Google App Engine),
  • IaaS (Infrastructure as a Service, infrastruktura jako usługa) – jednostka wynajmuje serwer chmurowy, na którym instaluje posiadane oprogramowanie finansowo-księgowe.

Zalety pracy w chmurze

Praca w chmurze ma wiele zalet:

  • ułatwia interesariuszom dostęp do danych i raportów księgowych on-line w czasie rzeczywistym (co jest szczególnie istotne w aspekcie konieczności dostosowania się do zmieniających się oczekiwań przedsiębiorców)[2],
  • usprawnia współpracę w przedsiębiorstwach wielozakładowych oraz w modelu „klient–biuro rachunkowe”,
  • umożliwia optymalizację wydatków na infrastrukturę (zwłaszcza kosztów zakupu i serwisowania sprzętu komputerowego)[3],
  • ułatwia przejście na pracę zdalną.

[2] T. Khanom, Cloud Accounting: A Theoretical Overview, „Journal of Business and Management” 2017, 19(6), s. 31.

[3] Podkreślić należy, że pomimo możliwości obniżenia kosztów związanych z inwestycjami w infrastrukturę, będących wynikiem wdrożenia rachunkowości chmurowej, takie wdrożenie nie następuje bezkosztowo. Wiąże się z koniecznością ponoszenia opłat za użytkowanie serwisów, z wydatkami na szkolenia pracowników, dostosowanie istniejących systemów (por. D. Yau-Yeung, O. Yigitbasioglu, P. Green, Cloud Accounting Risks…, jw., s. 8).

Na zakres i sposób wykorzystania oprogramowania finansowo-księgowego duży wpływ wywierają wymogi nakładane przez regulacje podatkowe (np. JPK_VAT, JPK_KR, JPK_CIT). Rozpowszechnienie wykorzystywania technologii chmurowych w przedsiębiorstwach jest wymuszane również w dużym stopniu przez postępującą w bardzo szybkim tempie cyfryzację szeroko rozumianych usług administracji publicznej. Od kilku lat przedsiębiorcy mają dostęp on-line do rejestrów urzędowych (KRS, CEIDG, baza REGON); coraz szersze staje się także wykorzystanie technologii chmurowych do usług publicznych (PUE ZUS, e-Urząd Skarbowy, ePUAP, portale informacyjne sądów powszechnych).

W Polsce jest obecnie wdrażany system doręczeń elektronicznych (PURDE, PUH), trwają przygotowania do wdrożenia w pełni cyfrowego obiegu faktur elektronicznych (Krajowy System e-Faktur), a w UE planuje się obligatoryjne wdrożenie e-fakturowania (tzw. system e-Vida) do 2028 r.

Ogólne warunki bezpieczeństwa rachunkowości chmurowej

[4] S. Han, J. Xing, Ensuring data storage security through a novel third party auditor scheme in cloud computing, IEEE International Conference on Cloud Computing and Intelligence Systems, 2011.

[5] Międzynarodowa norma poświęcona zarządzaniu bezpieczeństwem informacji.

[6] K. Liderman, Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydawnictwo Naukowe PWN, Warszawa 2009.

[7] Grupa Robocza została powołana na mocy art. 29 dyrektywy 95/46/WE. Jest niezależnym europejskim organem doradczym w zakresie ochrony danych (w szczególności osobowych) i prywatności. Jej zadania zostały określone w art. 30 dyrektywy 95/46/WE i art. 15 dyrektywy 2002/58/WE.

[8] Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, WP250, https://archiwum.uodo.gov.pl/pl/3/1345.

Mimo niewątpliwych zalet przetwarzania i przechowywania danych księgowych w chmurze, wykorzystanie technologii chmurowych budzi obawy związane z koniecznością zapewnienia bezpieczeństwa danych, nad którymi – w związku z ich przechowywaniem w chmurze – właściciel de facto traci kontrolę[4]. Z perspektywy rachunkowości ważne jest zapewnienie bezpieczeństwa przetwarzanych informacji oraz dokumentacji źródłowej (tzw. bezpieczeństwo informacyjne). Informację (zgodnie z normą PN-ISO/IEC 27001[5]) uznaje się za bezpieczną wówczas, gdy są zagwarantowane wszystkie atrybuty jej bezpieczeństwa: poufność, integralność, dostępność, rozliczalność, autentyczność, niezaprzeczalność i niezawodność. Dlatego, aby możliwe było zapewnienie bezpieczeństwa informacji, niezbędne jest zidentyfikowanie potencjalnych zagrożeń. Zgodnie z teorią nauki o bezpieczeństwie wyróżnia się[6]:

  • zagrożenia losowe (wypadki, klęski żywiołowe, np. pożar budynku, w którym znajdują się nośniki danych),
  • tradycyjne zagrożenia informacyjne (działalność sabotażowa, dywersyjna, szpiegostwo gospodarcze ukierunkowane na zdobycie informacji),
  • zagrożenia technologiczne (wiążą się z gromadzeniem, przetwarzaniem, przekazywaniem i przechowywaniem informacji w sieciach i systemach teleinformatycznych, np. przestępstwa komputerowe).

Zagrożenia dla bezpieczeństwa informacji związane z ich przechowywaniem i przetwarzaniem w chmurze, w przypadku rachunkowości dotyczą głównie następujących naruszeń (klasyfikacja według tzw. Grupy Roboczej[7])[8]:

  • poufności danych – dochodzi do nieuprawnionego lub przypadkowego ujawnienia bądź nieuprawnionego dostępu do danych,
  • integralności danych – dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych,
  • dostępności danych – dochodzi do przypadkowego lub nieuprawnionego dostępu do danych bądź do ich zniszczenia.

Wykorzystanie technologii chmurowych wiąże się również z występowaniem problemu określanego jako utrata niezależności (uzależnienie od jakości łącza internetowego, zależność od dostawców). Zestawienie regulacji uor według kategorii zagrożeń przedstawiono w tabeli 1.

Regulacje prawne w zakresie bezpieczeństwa danych

[9] Patrz art. 71 ust. 2 uor przywołany w tabeli 1.

Zagadnieniu bezpieczeństwa danych księgowych poświęcono rozdz. 8 uor. Ustawodawca skupił się głównie na konieczności zapewnienia dostępności danych (przede wszystkim ich odpowiedniej archiwizacji). Zgodnie z uor dopuszcza się przechowywanie ksiąg w formie zbiorów utrwalonych na informatycznych nośnikach danych (art. 72), pod warunkiem spełnienia wymagań co do właściwego systemu ochrony danych. Jeżeli system ochrony zbiorów danych rachunkowości utrwalonych na informatycznych nośnikach danych nie spełnia ustawowych wymogów[9], zapisy te powinny być wydrukowane.

Brzmienie art. 73 uor wskazuje, że mimo niewątpliwego postępu technologicznego ustawodawca wciąż preferuje formę drukowaną – podstawową formą przechowywania dowodów księgowych jest przechowywanie ich w jednostce (…) w oryginalnej postaci, w ustalonym porządku dostosowanym do sposobu prowadzenia ksiąg rachunkowych, w podziale na okresy sprawozdawcze, w sposób pozwalający na ich łatwe odszukanie.

Przechowywanie ksiąg rachunkowych na nośnikach elektronicznych jest dopuszczalne wyłącznie pod warunkiem zapewnienia możliwości odtworzenia ksiąg w formie wydruków. Można więc stwierdzić, że w obecnym brzmieniu uor nie odnosi się bezpośrednio do technologii cyfrowych wykorzystywanych dziś powszechnie w rachunkowości przedsiębiorstw. Mimo że można w niej znaleźć podstawowe regulacje dotyczące dodatkowych obowiązków nakładanych na jednostki prowadzące księgi rachunkowe przy użyciu komputera (co jest obowiązującym dziś standardem), ograniczają się one do podstawowych zagadnień związanych z odpowiednim rozszerzeniem polityki rachunkowości, przechowywaniem danych i ich archiwizacją. Zagadnienia związane z postępującą automatyzacją przetwarzania danych księgowych są w uor zaledwie wspomniane, a pojęcie „chmury obliczeniowej” nie występuje.

Zakres regulacji prawnych mających zastosowanie do przechowywania lub przetwarzania danych księgowych w chmurze jest uzależniony od poziomu ich poufności, co pozwala podzielić dane, gromadzone oraz przetwarzane  w związku z prowadzeniem ksiąg rachunkowych i podatkowych, na cztery kategorie:

  • jawne publiczne (np. dane jednostek dostępne w publicznych rejestrach, roczne sprawozdania finansowe),
  • jawne niepubliczne (np. dane, które nie są co prawda dostępne publicznie, ale jednostka jest zobowiązana do ich udostępnienia na mocy przepisów prawa, np. o dostępie do informacji publicznej),
  • poufne na mocy zobowiązań umownych, przyjętych norm etycznych (np. dane finansowe stanowiące tajemnicę przedsiębiorstwa),
  • poufne objęte tajemnicą ustawową (np. dane osobowe pracowników, zleceniobiorców, kontrahentów-konsumentów).

Dokumentacja księgowa i wynikające z niej informacje zaliczają się – co do zasady – do grupy danych poufnych (zazwyczaj stanowią tajemnicę przedsiębiorstwa). Należy jednak mieć świadomość, że w systemie rachunkowości podmiotów przetwarzane są również szczególne kategorie danych o wyższym stopniu poufności (zwłaszcza dane osobowe). W związku z tym wykorzystanie technologii informatycznych opartych na infrastrukturze zewnętrznej wiąże się z koniecznością identyfikacji regulacji prawnych odnoszących się do ochrony poszczególnych kategorii danych oraz zastosowania stosownych procedur w zakresie odpowiednim do ponoszonego ryzyka.

[10] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzUrz UE L 119 z 4.05.2016 r.), dalej dyrektywa RODO.

[11] Nie stanowi powierzenia danych do przetwarzania udostępnienie danych wynikające z przepisów prawa (np. wysyłka deklaracji do ZUS, US).

Wśród regulacji odnoszących się do przechowywania danych szczególne miejsce zajmuje dyrektywa RODO[10], która zawiera szczegółowe regulacje i wytyczne dotyczące zapewnienia ochrony informacji w przypadku przetwarzania danych osobowych przez podmioty. Przykładowo, podmioty są zobowiązane do zweryfikowania pełnionej przez siebie w procesie przetwarzania funkcji (administrator danych, podmiot przetwarzający), a następnie wdrożenia procedur stosownych do funkcji pełnionej w procesie przetwarzania danych.

Zgodnie z dyrektywą RODO do czynności powierzenia danych (objętych szczególnymi obowiązkami w zakresie zapewnienia bezpieczeństwa danych) zalicza się wszelkie rozwiązania prowadzące do przetwarzania danych poza siedzibą jednostki, np. prowadzenie księgowości przez biuro rachunkowe (z wykorzystaniem zarówno oprogramowania lokalnego, jak i w chmurze), serwis i wsparcie systemu ERP przez dostawcę, intranet w chmurze dostawcy, backup (archiwizacja) w chmurze dostawcy, telefoniczne książki kontaktowe w chmurze dostawcy, systemy pocztowe w chmurze, a nawet przetwarzanie ruchu ze stron WWW w systemach zewnętrznych (np. Google Analytics)[11]. Brak jest w polskim prawie szczegółowych regulacji prawnych w zakresie ochrony danych o niższych stopniach poufności, ale na zasadzie analogii można stosować regulacje RODO.

Zasady etyki zawodowej zobowiązujące do zachowania poufności danych

Na zakres obowiązków związanych z zachowaniem poufności danych ma również wpływ charakter podmiotu prowadzącego księgi. Należy bowiem zwrócić uwagę na obowiązek zachowania tajemnicy zawodowej przez biegłych rewidentów, doradców podatkowych i księgowych[12]. W przypadku tych zawodów konieczne jest stosowanie w zakresie bezpieczeństwa danych regulacji etycznych przyjętych przez samorządy zawodowe.

[12] Zawód księgowego formalnie nie należy w Polsce do zawodów zaufania publicznego, a mimo to oczekiwania przedsiębiorców co do zapewnienia bezpieczeństwa danych i uzyskanych na ich podstawie informacji są wysokie.

[13] ⇒link⇐

[14] ⇒link⇐

[15] ⇒link⇐

Księgowi w Polsce nie są objęci ustawowym obowiązkiem stosowania się do sformalizowanych zasad etyki ani do zachowania tajemnicy zawodowej (wyjątek stanowią prowadzący księgi rachunkowe i podatkowe doradcy podatkowi oraz biegli rewidenci). Stąd w ich przypadku wskazówek co do rekomendowanego sposobu postępowania mogą dostarczać – na zasadzie analogii – zasady etyki zawodowej przeznaczone dla innych zawodów zaufania publicznego lub zasady etyki stosowane fakultatywnie, rekomendowane przez organizacje zawodowe zrzeszające księgowych na zasadzie dobrowolności (np. „Kodeks etyki zawodowych księgowych” Stowarzyszenia Księgowych w Polsce[13], „Międzynarodowy kodeks etyki zawodowych księgowych” IESBA[14]). Oba wymienione kodeksy kładą nacisk na konieczność zachowania poufności. Do tej ogólnej zasady wprowadzane są wyjątki – np. zgodnie z regulacjami rozdz. 114 „Zachowanie poufności” Kodeksu IESBA ujawnienie poufnych informacji może być dozwolone, gdy[15]:

  • jest wymagane przepisami prawa (np. przygotowanie dokumentów stanowiących dowody w toku postępowań sądowych lub ujawnienie odpowiednim władzom publicznym przypadków naruszeń przepisów prawa),
  • jest dozwolone przepisami prawa oraz za zgodą klienta lub organizacji zatrudniającej księgowego,
  • istnieje zawodowy obowiązek lub prawo ujawnienia informacji, jeżeli nie zabraniają tego przepisy prawa (np. w celu wypełnienia przeglądu jakości organizacji zawodowej, w celu wypełnienia technicznych i zawodowych standardów, w tym wymogów etycznych).

Wskazać należy, że kodeksy etyczne nie podejmują tematu bezpieczeństwa w przypadku prowadzenia rachunkowości z wykorzystaniem nowych technologii, w tym bezpieczeństwa informacji, gdy korzysta się z chmury obliczeniowej.

[16] D. Yau-Yeung, O. Yigitbasioglu, P. Green, Cloud Accounting Risks…, jw., s. 5.

Konieczność zapewnienia poufności danych sprawia, że zgodność z prawem stosowania rozwiązań chmurowych – szczególnie w aspekcie lokalizacji danych oraz ich własności, ale również rzetelności generowanych sprawozdań – jest wskazywana jako budząca największe wątpliwości w procesie implementacji tych rozwiązań. Może bowiem zachodzić wątpliwość co do tego, czy księgowy, wdrażając rozwiązanie chmurowe, nie dopuścił się naruszenia tajemnicy zawodowej oraz zasad etyki zawodowej (co szczególnie istotne w odniesieniu do księgowych będących członkami organizacji zawodowych)[16].

Kwestia zgodności z prawem wykorzystywania w rachunkowości rozwiązań chmurowych jest podnoszona szczególnie w związku z ryzykiem „wycieku” danych w przypadku ataku na serwery. Równie ważny problem (podnoszony w kontekście fizycznej lokalizacji serwerów) stanowi lokalizacja danych, zwłaszcza w przypadku przechowywania ich fizycznie pod inną niż krajowa jurysdykcją. Tak samo istotna jest kwestia własności danych – zwłaszcza w przypadku rezygnacji z dalszego subskrybowania usługi lub likwidacji dostawcy usług chmurowych i ew. konsekwencji w postaci utraty dostępu do danych (lub możliwości ich odtworzenia).

Jak zweryfikować bezpieczeństwo usług

[17] Wytyczne CCBE w zakresie korzystania przez prawników z usług pracy w chmurze, ⇒link⇐.

[18] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6.07.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (DzUrz UE L 194 z 19.07.2016 r.), dalej dyrektywa NIS.

[19] Pojęcia „wspólnego wykorzystywania” używa się w dyrektywie NIS do opisu zasobów obliczeniowych udostępnianych wielu użytkownikom, którzy dzielą wspólny dostęp do usługi, jednak przetwarzanie odbywa się oddzielnie dla każdego z użytkowników, choć usługa ta jest świadczona za pomocą tego samego sprzętu elektronicznego.

[20] A. Krasuski, Chmura obliczeniowa. Prawne aspekty zastosowania, Wolters Kluwer, Warszawa 2018, s. 120.

[21] A. Krasuski zauważa przy tym, że specyfika usług chmurowych sprawia, że w większości przypadków klient nie ma możliwości negocjowania zapisów umowy – jej zawarcie następuje poprzez przystąpienie do gotowej umowy przygotowanej przez dostawcę usług.

[22] Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1215/2012 z 12.12.2012 r. w sprawie jurysdykcji i uznawania orzeczeń sądowych oraz ich wykonywania w sprawach cywilnych i handlowych (DzUrz UE L 351 z 20.12.2012 r.; rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 593/2008 z 17.06.2008 r. w sprawie prawa właściwego dla zobowiązań umownych (DzUrz UE L 177 z 4.07.2008 r.; rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 864/2007 z 11.07.2007 r. dotyczące prawa właściwego dla zobowiązań pozaumownych (DzUrz UE L 199 z 31.07.2007 r.).

[23] A. Krasuski, Chmura obliczeniowa…, jw.

Weryfikacja bezpieczeństwa przechowywania danych w chmurze jest utrudniona. Wynika to z tego, że kwestia przetwarzania i przechowywania danych w chmurze nie jest obecnie objęta zakresem wyodrębnionych regulacji prawnych. W dokumencie „Europejska agenda cyfrowa” Komisja Europejska wskazuje na konieczność rozwinięcia jednolitej europejskiej strategii dotyczącej chmury, w zakresie[17]:

  • ram prawnych (ochrona danych osobowych i prywatności, także w wymiarze międzynarodowym, normy prawne i inne reguły służące wdrożeniu usług w chmurze w sektorach publicznym i prywatnym),
  • podstaw technicznych i ekonomicznych (poszerzenia wsparcia wspólnotowego dla badań w tym obszarze, zwiększenie bezpieczeństwa i dostępności usług w chmurze),
  • rynku (wspieranie projektów pilotażowych mających na celu wdrażanie usług opartych na chmurze).

Również w polskim systemie prawnym brakuje legalnej definicji działalności w chmurze. Podstawowe pojęcia dotyczące usług chmurowych można odnaleźć w dyrektywie NIS[18], w której w rozdz. 5 określono obowiązki dostawców usług chmurowych w zakresie bezpieczeństwa sieci i systemów informatycznych, zdefiniowano także usługę przetwarzania w chmurze. W myśl art. 17 dyrektywy NIS usługi przetwarzania w chmurze obejmują szeroki zakres działań, które mogą być realizowane według różnych modeli, przy czym dla celów dyrektywy pojęcie „usług przetwarzania w chmurze” obejmuje usługi, które umożliwiają dostęp do skalowalnego i elastycznego zbioru zasobów komputerowych do wspólnego wykorzystywania[19].

W praktyce z punktu widzenia potencjalnego klienta (użytkownika usług chmurowych) co do zasady istotne będą dwie grupy regulacji[20]:

  • dotyczące charakteru prawnego umowy o świadczenie usług w chmurze oraz usług świadczonych na jej podstawie[21] (np. Kc; ustawa z 4.02.2011 r. – Prawo prywatne międzynarodowe, tekst jedn. DzU z 2023 r. poz. 503; wybrane rozporządzenia Parlamentu Europejskiego[22]),
  • dotyczące charakteru prawnego informacji przekazywanych do przetwarzania w chmurze obliczeniowej.

Przed zawarciem umowy o świadczenie usług chmurowych zachodzi w szczególności konieczność zweryfikowania, czy przyszłego użytkownika chmury nie obejmuje zakaz korzystania z usług świadczonych w chmurze obliczeniowej. Jeżeli takiego zakazu nie ma, w dalszej kolejności należy zweryfikować, czy istnieją ograniczenia prawne w korzystaniu z usług świadczonych w chmurze obliczeniowej oraz jakie ew. wymogi (z tych, które potencjalny klient jest zobowiązany spełnić) powinny być spełnione przez dostawcę usług chmurowych[23].

Nawet w przypadku pozytywnej weryfikacji dopuszczalności przetwarzania danych księgowych w chmurze obliczeniowej, przyszły użytkownik powinien dochować staranności przy wyborze dostawcy usług chmurowych – część wymogów, które powinien spełnić, będzie w praktyce uzależniona od dostawcy usług chmurowych. Z uwagi na to, że brak jest opracowań o problematyce rachunkowości w chmurze w aspekcie praktycznym, pomocne może być wykorzystanie, na zasadzie analogii, wytycznych i opracowań skierowanych do innych zawodów niż zawód księgowego (w szczególności zawodów zaufania publicznego).

Wytyczne CCBE

[24] Wytyczne CCBE…, jw.

Jedną z instytucji, która opracowała wytyczne w zakresie przetwarzania i przechowywania danych z wykorzystaniem nowoczesnych technologii chmurowych, jest Rada Adwokatur i Stowarzyszeń Prawniczych w Europie (Council of Bars and Law Societies of Europe, CCBE). Wytyczne CCBE mogą być pomocne w identyfikacji szans i zagrożeń związanych z przetwarzaniem danych chmurowych przez podmioty prowadzące księgi rachunkowe. Jako istotne aspekty wymagające zbadania przed zawarciem umowy z usługodawcą CCBE wskazuje[24]:

  • doświadczenie dostawcy chmury,
  • opinię o nim,
  • zakres specjalizacji,
  • kraj rejestracji i oficjalnej siedziby usługodawcy,
  • wypłacalność, rzetelność, strukturę własnościową i kapitałową usługodawcy,
  • możliwość występowania konfliktu interesów,
  • ryzyko nieuprawnionego dostępu do powierzonych danych,
  • rzeczywistą lokalizację serwerów i centrów przechowywania danych,
  • fizyczne i elektroniczne bezpieczeństwo miejsc, w których są przechowywane dane (o ile sprawdzenie tego jest w praktyce możliwe),
  • właściwe prawo i regulacje mające zastosowanie do umowy.

[25] Tamże.

Autorzy opracowania wskazują, że ponieważ istotą chmury jest korzystanie z usług stron trzecich (dostawców usług), oznacza to przechowywanie danych poza siedzibą biura, a zatem utratę pełnej kontroli użytkownika danych. W praktyce dostawcy rozwiązań chmurowych mogą posiadać (lub wynajmować od innych firm) centra danych, które w przypadku największych firm przyjmują postać połączonych sieci serwerów, których część może się znajdować w krajach spoza EOG, gdzie obowiązują inne (również niższe) standardy ochrony danych. W skrajnych przypadkach centra danych mogą się znajdować w krajach nierespektujących w pełni zasad praworządności. Ponadto w przypadku sieci serwerów dane mogą być dzielone i przechowywane na różnych serwerach w różnych krajach lub mogą migrować między tymi serwerami w taki sposób, że nawet zarządzający chmurą nie będą w stanie precyzyjnie wskazać, w którym miejscu znajdowały się te dane i w jakim czasie[25].

Według CCBE problemy dotyczące prawników, a związane z chmurą, obejmują trzy kategorie – tajemnicę zawodową i ochronę danych, eksterytorialność danych (w tym lokalne wymogi etyczne i prawne), zagadnienia dotyczące umów zawieranych z dostawcami chmury. Podobne problemy wiążą się z wykorzystywaniem rozwiązań chmurowych w rachunkowości (patrz tabela 2).

Po wstępnej weryfikacji dopuszczalności prowadzenia rachunkowości w chmurze (jeżeli regulacje dotyczące podmiotu prowadzącego księgi rachunkowe nie stoją na przeszkodzie) konieczna jest weryfikacja regulacji,

którym podlega dostawca usług chmurowych. Zaleca się korzystanie w pierwszym rzędzie z usług dostawców podlegających wyłącznie przepisom europejskim[26].

Kolejnym sugerowanym etapem jest wstępna ocena technologii, w szczególności wybór między technologiami w formacie SaaS oraz IaaS, a także weryfikacja możliwości zapewnienia poufności danych (zwłaszcza osobowych i wrażliwych) przetwarzanych z jej użyciem. CCBE podkreśla, jak istotne jest zbadanie miejsca serwerów celem uniknięcia ryzyka związanego z ich lokalizacją poza EOG lub w miejscach podlegających pozaeuropejskiej jurysdykcji. Ponadto nie jest wskazane korzystanie z chmury publicznej (dostępnej dla otwartego kręgu użytkowników). Rekomenduje się korzystanie, jeśli to możliwe, z chmur prywatnych (tworzonych dla określonych grup podmiotów).

Autorzy wytycznych sugerują również ocenę stopnia wrażliwości przetwarzanych danych (i upewnienie się, że ich ochrona będzie w adekwatnym stopniu zapewniona przez dostawcę chmury), a także ocenę środków bezpieczeństwa z wykorzystaniem krajowych i międzynarodowych standardów ISO 27001:2005 (zarządzanie bezpieczeństwem) oraz ISO 9001 (zarządzanie jakością). Proponuje się także rozważenie wprowadzenia narzędzi zabezpieczających dostęp do firmowej chmury od strony użytkownika (np. tokeny, karty dostępu).

[26] Tamże.

[27] Tamże.

Celem zapewnienia ciągłości dostępu do danych (np. w przypadku awarii lub sporu między użytkownikiem chmury a jej dostawcą) sugerowane są weryfikacja i ewentualne dostosowanie umowy z dostawcą usług, tak aby były w niej zawarte co najmniej postanowienia odnoszące się do[27]:

  • zakresu świadczonych usług,
  • dostępności systemu,
  • terminów naprawy błędów i usuwania awarii,
  • kar umownych za brak dostępu i opóźnienia (jeżeli rozwiązania takie przewiduje właściwe prawo krajowe),
  • zmian w warunkach świadczenia usług,
  • zobowiązania usługodawcy do zmian i adaptacji systemu w związku ze zmianami w prawie lub w etyce zawodowej,
  • wykluczenia udziału poddostawców bez uprzedniej zgody usługobiorcy,
  • licencji, w szczególności zapewnienia zgodnego z prawem użytkowania oprogramowania przez usługodawcę,
  • prawa własności przechowywanych danych i wyłącznego prawa dostępu,
  • ochrony danych, w szczególności w zakresie wymaganym przez właściwe prawo krajowe,
  • używania środków bezpieczeństwa i odpowiedzialności za ich naruszenie,
  • zakazu udostępniania danych stronom trzecim,
  • monitoringu i składania raportów,
  • prowadzenia dokumentacji technicznej, przetwarzania dokumentacji oraz dokumentowania działań administratora i użytkownika systemu,
  • prawa do kontroli i audytu, włączając w to certyfikację standardów świadczonych usług,
  • tworzenia kopii zapasowych i odpowiedzialności za odzyskiwanie danych,
  • zapewnienia przekazania danych do bezpiecznego depozytu w sytuacji niewypłacalności lub zaprzestania świadczenia usług przez dostawcę chmury,
  • lokalizacji serwerów – w kraju, na obszarze EOG lub poza EOG, ale z zachowaniem standardów europejskich dotyczących ochrony prywatności i poufności przechowywanych danych,
  • ubezpieczeń, gwarancji, zabezpieczeń i odpowiedzialności za powstałe szkody,
  • czasu trwania umowy i jej zakończenia,
  • zakończenia świadczenia usług w chmurze, zapisów regulujących zarządzanie danymi w okresach przejściowych, włączając w to przekazanie i usuwanie danych,
  • mediacji, koncyliacji i/lub arbitrażu,
  • właściwego prawa i jurysdykcji.

W przypadku przetwarzania danych za pomocą chmury obliczeniowej istotnym (często niedocenianym i pomijanym) aspektem jest przejrzystość, rozumiana jako informowanie klientów (obecnych i potencjalnych), że ich dane są lub będą przetwarzane w chmurze, ew. uzyskanie ich świadomej zgody.

Zakres weryfikacji bezpieczeństwa usług

Samodzielne badanie usług związanych z chmurą może nastręczać trudności (m.in. z uwagi na to, że wymaga specjalistycznej wiedzy z dziedziny nie tylko obowiązujących regulacji prawnych, lecz także szeroko rozumianych technologii informatycznych). W związku z brakiem stosownych opracowań dotyczących rachunkowości w chmurze, może być pomocne skorzystanie z opracowań odnoszących się do problematyki ochrony danych.

Zazwyczaj potencjalny użytkownik chmury nie będzie miał możliwości fizycznej weryfikacji zabezpieczeń stosowanych przez dostawcę usług, stąd przedmiotem jego analizy będą najczęściej dokumentacja (regulamin usługi, umowa) lub informacje uzyskane bezpośrednio od dostawcy usług chmurowych. Czołowi dostawcy systemów finansowo-księgowych oferują rozwiązania chmurowe w różnych modelach, np. oparte na chmurze Microsoft Azure, Amazon Web Services bądź oparte na własnych centrach danych (zlokalizowanych głównie w Europie).

Podsumowując przedstawione rozważania, warto zwrócić uwagę na podstawowe aspekty weryfikacji dostawców rozwiązań chmurowych, w podziale na obszary zagrożenia (patrz tabela 3).

Wyświetlono 1% artykułu
Aby odblokować pełną treść

Kup dostęp do tego artykułu

Cena dostępu do pojedynczego artykułu tylko 12,30

Kup abonament

Abonamenty on-line Prenumeratorzy Członkowie SKwP
miesiąc 71,00
kwartał 168,00
pół roku 282,00
rok 408,00

Kup teraz

Bezpłatny dostęp do tego artykułu i ponad 3500 innych, dla prenumeratorów miesięcznika „Rachunkowość".

Pomoc w uzyskaniu dostępu:

15% rabat na wszystkie zakupy. Zapytaj o kod w swoim Oddziale.

Dodaj kod tutaj

Stowarzyszenie Księgowych w Polsce jest organizacją, do której należy ponad 26 000 księgowych, a członkostwo wiąże się z licznymi korzyściami.

Dołącz do nas

„Rachunkowość” - od 75 lat źródło rzetelnej wiedzy!

Zamknij

Skróty w artykułach

akty prawne, standardy i interpretacje:
  • dyrektywa 112 – dyrektywa Rady 2006/112/WE z 28.11.2006 r. w sprawie wspólnego systemu podatku od wartości dodanej (DzUrz UE L 347 z 11.12.2006 r.)
  • dyrektywa 2013/34/UE – dyrektywa Parlamentu Europejskiego i Rady 2013/34/UE z 26.06.2013 r. w sprawie rocznych sprawozdań finansowych, skonsolidowanych sprawozdań finansowych i powiązanych sprawozdań niektórych rodzajów jednostek (...) (DzUrz UE L 182 z 29.06.2013 r.)
  • Kc – ustawa z 23.04.1964 r. Kodeks cywilny (DzU z 2023 r. poz. 1610)
  • KIMSF – interpretacje Komitetu ds. Interpretacji Międzynarodowej Sprawozdawczości Finansowej
  • Kks – ustawa z 10.09.1999 r. Kodeks karny skarbowy (DzU z 2023 r. poz. 654)
  • Kp – ustawa z 26.06.1974 r. Kodeks pracy (DzU z 2023 r. poz. 1465)
  • Kpc – ustawa z 17.11.1964 r. Kodeks postępowania cywilnego (DzU z 2023 r. poz. 1550)
  • Ksh – ustawa z 15.09.2000 r. Kodeks spółek handlowych (DzU z 2022 r. poz. 1467)
  • KSR – Krajowe Standardy Rachunkowości
  • MSR – Międzynarodowe Standardy Rachunkowości (ang. International Accounting Standards) wydawane od 2002 r. jako MSSF
  • MSSF – Międzynarodowe Standardy Sprawozdawczości Finansowej (ang. International Financial Reporting Standards)
  • Op – ustawa z 29.08.1997 r. Ordynacja podatkowa (DzU z 2023 r. poz. 2383)
  • Ppsa – ustawa z 30.08.2002 r. Prawo o postępowaniu przed sądami administracyjnymi (DzU z 2023 r. poz. 1634)
  • rozporządzenie o instrumentach finansowych – rozporządzenie Ministra Finansów z 12.12.2001 r. w sprawie szczegółowych zasad uznawania, metod wyceny, zakresu ujawniania i sposobu prezentacji instrumentów finansowych (DzU z 2017 r. poz. 277)
  • rozporządzenie o konsolidacji – rozporządzenie Ministra Finansów z 25.09.2009 r. w sprawie szczegółowych zasad sporządzania przez jednostki inne niż banki, zakłady ubezpieczeń i zakłady reasekuracji skonsolidowanych sprawozdań finansowych grup kapitałowych (DzU z 2017 r. poz. 676)
  • rozporządzenie składkowe – rozporządzenie Ministra Pracy i Polityki Socjalnej z 18.12.1998 r. w sprawie szczegółowych zasad ustalania podstawy wymiaru składek na ubezpieczenia emerytalne i rentowe (DzU z 2023 r. poz. 728)
  • rozporządzenie z 13.09.2017 r. – rozporządzenie Ministra Rozwoju i Finansów w sprawie rachunkowości oraz planów kont dla budżetu państwa, budżetów jednostek samorządu terytorialnego, jednostek budżetowych, samorządowych zakładów budżetowych, państwowych funduszy celowych oraz państwowych jednostek budżetowych mających siedzibę poza granicami Rzeczypospolitej Polskiej (DzU z 2020 r. poz. 342)
  • specustawa – ustawa z 2.03.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (tekst jedn. DzU z 2023 r. poz. 1327)
  • uobr – ustawa z 11.05.2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (DzU z 2023 r. poz. 1015)
  • uor – ustawa z 29.09.1994 r. o rachunkowości (DzU z 2023 r. poz. 120)
  • updof – ustawa z 26.07.1991 r. o podatku dochodowym od osób fizycznych (DzU z 2022 r. poz. 2647)
  • updop – ustawa z 15.02.1992 r. o podatku dochodowym od osób prawnych (DzU z 2022 r. poz. 2587)
  • upol – ustawa z 12.01.1991 r. o podatkach i opłatach lokalnych (DzU z 2023 r. poz. 70)
  • US GAAP – Amerykańskie Standardy Rachunkowości (ang. Generally Accepted Accounting Principles)
  • ustawa akcyzowa – ustawa z 6.12.2008 r. o podatku akcyzowym (DzU z 2023 r. poz. 1542)
  • ustawa emerytalna – ustawa z 17.12.1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (DzU z 2023 r. poz. 1251)
  • ustawa KAS – ustawa z 16.11.2016 r. o Krajowej Administracji Skarbowej (DzU z 2023 r. poz. 615)
  • ustawa o KRS – ustawa z 20.08.1997 r. o Krajowym Rejestrze Sądowym (DzU z 2023 r. poz. 685)
  • ustawa o PCC – ustawa z 9.09.2000 r. o podatku od czynności cywilnoprawnych (DzU z z 2023 r. poz. 170)
  • ustawa o VAT – ustawa z 11.03.2004 r. o podatku od towarów i usług (DzU z 2023 r. poz. 1570)
  • ustawa o zfśs – ustawa z 4.03.1994 r. o zakładowym funduszu świadczeń socjalnych (DzU z 2023 r. poz. 998)
  • ustawa zasiłkowa – ustawa z 25.06.1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (DzU z 2022 r. poz. 1732)
  • ustawa zdrowotna – ustawa z 27.08.2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (DzU z 2022 r. poz. 2561)
  • usus – ustawa z 13.10.1998 r. o systemie ubezpieczeń społecznych (DzU z 2023 r. poz. 1230)
  • uzpd – ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne
  • Założenia koncepcyjne MSSF Założenia koncepcyjne sprawozdawczości finansowej (Conceptual Framework for Financial Reporting)
pozostałe skróty:
  • CEIDG – Centralna Ewidencja i Informacja o Działalności Gospodarczej
  • EOG – Europejski Obszar Gospodarczy
  • FEP – Fundusz Emerytur Pomostowych
  • FGŚP – Fundusz Gwarantowanych Świadczeń Pracowniczych
  • FP – Fundusz Pracy
  • FS – Fundusz Solidarnościowy
  • IASB – Rada Międzynarodowych Standardów Rachunkowości
  • IS – izba skarbowa
  • KAS – Krajowa Administracja Skarbowa
  • KIS – Krajowa Informacja Skarbowa
  • KNF – Komisja Nadzoru Finansowego
  • KRBR – Krajowa Rada Biegłych Rewidentów
  • KRS – Krajowy Rejestr Sądowy
  • KSB – Krajowe Standardy Badania
  • MF – Minister Finansów
  • MPiPS – Minister Pracy i Polityki Społecznej
  • MRiF – Minister Rozwoju i Finansów
  • MRiPS – Minister Rodziny i Polityki Społecznej
  • MSiG – Monitor Sądowy i Gospodarczy
  • NSA – Naczelny Sąd Administracyjny
  • PANA – Polska Agencja Nadzoru Audytowego
  • PIBR – Polska Izba Biegłych Rewidentów
  • PKD – Polska Klasyfikacja Działalności
  • pkpir – podatkowa księga przychodów i rozchodów
  • PPK – pracownicze plany kapitałowe
  • RM – Rada Ministrów
  • SA – sąd apelacyjny
  • sf – sprawozdanie finansowe
  • skok – spółdzielcza kasa oszczędnościowo-kredytowa
  • SN – Sąd Najwyższy
  • SO – sąd okręgowy
  • TK – Trybunał Konstytucyjny
  • TSUE – Trybunał Sprawiedliwości Unii Europejskiej
  • UCS – urząd celno-skarbowy
  • UE – Unia Europejska
  • US – urząd skarbowy
  • WDT – wewnątrzwspólnotowa dostawa towarów
  • WNT – wewnątrzwspólnotowe nabycie towarów
  • WSA – wojewódzki sąd administracyjny
  • zfśs – zakładowy fundusz świadczeń socjalnych
Skróty w tekście
Spis treści artykułu
Spis treści:
Stowarzyszenie
Księgowych w Polsce
Najbliższe szkolenia on-line
14.06.2025 Rachunkowość budżetu jednostki samorządu terytorialnego oraz jednostek budżetowych SKwP Bydgoszcz, SKwP Wrocław
16.06.2025 AI w Microsoft Excel – możliwości wykorzystania sztucznej inteligencji w programie Microsoft Excel SKwP Bydgoszcz, SKwP Częstochowa, SKwP Gdańsk, SKwP Gorzów Wielkopolski, SKwP Kielce, SKwP Koszalin, SKwP Kraków, SKwP Lublin, SKwP Opole, SKwP Szczecin, SKwP Włocławek
16.06.2025 Potrącenia na liście płac i obowiązki pracodawcy wobec sądowego i administracyjnego organu egzekucyjnego w 2025 roku – 8 godzin dydaktycznych SKwP Warszawa
16.06.2025 Rozliczanie umów cywilnoprawnych i innych wynagrodzeń w 2025 r. 8 godzin SKwP Gdańsk
16.06.2025 Rozliczanie umów cywilnoprawnych i innych wynagrodzeń w 2025 roku SKwP Bielsko-Biała, SKwP Gorzów Wielkopolski, SKwP Koszalin, SKwP Lublin, SKwP Radom
16.06.2025 Podatek VAT dla profesjonalistów SKwP Warszawa
17.06.2025 Akademia VAT dla początkujących SKwP Białystok, SKwP Poznań
Kursy dla księgowych