Czy Ministerstwo Finansów ma dostęp do wszystkich faktur mojej firmy przez KSeF?

Tak, wszystkie faktury przesyłane przez KSeF są dostępne dla Ministerstwa Finansów — to cel systemu. Dane są przechowywane przez 10 lat. Ministerstwo może wykorzystywać te dane w kontrolach podatkowych i analizie ryzyka VAT. To legalny element systemu podatkowego, ale firmy powinny być świadome, że ich pełna historia fakturowa jest widoczna dla organów podatkowych w czasie rzeczywistym.

Czy biuro rachunkowe musi mieć umowę RODO z klientem, żeby obsługiwać jego faktury przez KSeF?

Tak. Biuro rachunkowe przetwarzające faktury klientów (zawierające dane osobowe przedsiębiorców) działa jako podmiot przetwarzający w rozumieniu art. 28 RODO. Wymaga to podpisania umowy powierzenia przetwarzania danych osobowych (DPA) z każdym klientem, dla którego biuro przetwarza dane. Jeśli umowy te nie istnieją, ich brak stanowi naruszenie RODO niezależnie od KSeF.

Co się stanie, jeśli token KSeF biura rachunkowego zostanie skradziony?

Skradziony token KSeF daje złodziejowi możliwość wystawiania faktur w imieniu klientów biura oraz dostęp do ich faktur zakupowych. Biuro powinno natychmiast powiadomić klientów, którzy muszą unieważnić tokeny w e-Urząd Skarbowy. Jeśli doszło do wycieku danych osobowych, biuro rachunkowe jako administrator lub procesor danych musi rozważyć zgłoszenie incydentu do UODO w ciągu 72 godzin.

Jak bezpiecznie przekazać token KSeF do biura rachunkowego?

Token KSeF powinien być przekazywany bezpiecznym kanałem — nigdy otwartym mailem bez szyfrowania. Bezpieczne opcje to: szyfrowany e-mail (PGP lub S/MIME), bezpieczny portal klienta z szyfrowaniem end-to-end, osobiste przekazanie lub przez zaszyfrowany ZIP z hasłem komunikowanym innym kanałem (SMS). Biuro rachunkowe powinno mieć zdefiniowany bezpieczny proces przyjmowania tokenów od klientów.

Czy KSeF spełnia wymagania RODO?

System KSeF jest projektowany i wdrażany przez Ministerstwo Finansów, które jest zobowiązane do przestrzegania RODO jako organ publiczny. MF przeprowadziło ocenę skutków dla ochrony danych (DPIA) dla KSeF. Z perspektywy przedsiębiorców i biur rachunkowych — przesyłanie danych do KSeF jest niezbędne do wypełnienia obowiązku prawnego (art. 6 ust. 1 lit. c RODO), co stanowi legalną podstawę przetwarzania danych.

Jak długo faktury z KSeF są przechowywane?

Faktury przesłane do KSeF są przechowywane w systemie Ministerstwa Finansów przez 10 lat od końca roku podatkowego, w którym zostały wystawione — zgodnie z przepisami podatkowymi o archiwizacji. Po tym czasie są usuwane. Biura rachunkowe i ich klienci powinni jednak przechowywać lokalne kopie faktur zgodnie z własnymi wymogami archiwizacji i procedurami RODO.

Bezpieczeństwo i RODO

Bezpieczeństwo Danych w KSeF 2026: Co Biura Rachunkowe Muszą Wiedzieć

14 kwietnia 202612 min czytania

Dane osobowe w KSeF a obowiązki wynikające z RODO

Krajowy System e-Faktur gromadzi i przetwarza ogromne ilości danych o polskich przedsiębiorcach i ich transakcjach. Każda faktura zawiera dane osobowe: NIP i nazwę firmy wystawcy, NIP i nazwę nabywcy, dane osób fizycznych prowadzących działalność gospodarczą, a często też adresy, numery rachunków bankowych i opisy towarów/usług. To rodzi konkretne obowiązki z zakresu RODO zarówno dla samego Ministerstwa Finansów (jako administratora KSeF), jak i dla biur rachunkowych przetwarzających te dane.

Biuro rachunkowe jako podmiot przetwarzający dane: Biuro rachunkowe, które przetwarza faktury klientów przez KSeF, działa w roli podmiotu przetwarzającego dane w rozumieniu RODO (art. 28 RODO). Oznacza to konieczność posiadania z każdym klientem umowy powierzenia przetwarzania danych osobowych (DPA). Jeśli Twoje biuro takich umów nie ma — to jest dobry moment na ich przygotowanie, niezależnie od KSeF.

Administrator danych KSeF: Ministerstwo Finansów jest administratorem danych przetwarzanych w systemie KSeF. Przesyłając faktury do KSeF, de facto przekazujesz dane Ministerstwu. To legalne i niezbędne do wypełnienia obowiązków podatkowych, ale warto poinformować klientów o tym fakcie w polityce prywatności lub umowie z biurem.

Retencja danych: Faktury w KSeF są przechowywane przez Ministerstwo przez 10 lat od wystawienia — zgodnie z przepisami podatkowymi. Biuro rachunkowe musi rozważyć, jak długo przechowuje lokalne kopie faktur i czy stosuje odpowiednie zabezpieczenia (szyfrowanie, kontrola dostępu, backup).

Bezpieczeństwo tokenów KSeF — jak chronić dostęp do systemu

Token KSeF to cyfrowy klucz dający dostęp do systemu fakturowania w imieniu klienta. Jego kradzież lub nieuprawnione użycie może skutkować wystawieniem faktur bez wiedzy klienta, uzyskaniem dostępu do jego faktur zakupowych (informacji handlowych), a nawet manipulacją rozliczeniami VAT. Bezpieczeństwo tokenów jest priorytetem.

Zasady bezpiecznego przechowywania tokenów:

Nigdy nie przechowuj tokenów w arkuszach Excel, plikach TXT lub notatkach — to najczęstszy błąd prowadzący do wycieku
Używaj menedżera haseł klasy enterprise (1Password Business, Bitwarden Teams, KeePass z szyfrowaniem) do przechowywania tokenów
Tokeny powinny być zaszyfrowane w bazie danych oprogramowania biurowego — zapytaj dostawcę jak przechowuje tokeny i czy dane są szyfrowane at rest
Ogranicz dostęp — nie każdy pracownik biura potrzebuje dostępu do tokenów wszystkich klientów. Stosuj zasadę minimalnych uprawnień
Prowadź rejestr tokenów: który klient, od kiedy, jakie uprawnienia, data wygaśnięcia

Co zrobić gdy token zostaje skompromitowany: Natychmiast powiadom klienta, klient unieważnia token w e-Urząd Skarbowy, generowany jest nowy token z nowymi danymi. Biuro powinno mieć procedurę incydentową i rozważyć zgłoszenie naruszenia do UODO jeśli doszło do wycieku danych osobowych.

Rotacja tokenów: Nawet jeśli nie doszło do incydentu, rozważ proaktywną rotację tokenów raz do roku. Klient generuje nowy token, stary jest unieważniany. To dobra praktyka bezpieczeństwa zmniejszająca ryzyko długoterminowego nadużycia skompromitowanego tokenu.

Ochrona infrastruktury biura rachunkowego przed cyberzagrożeniami

Biuro rachunkowe w 2026 roku to cel o wysokiej wartości dla cyberprzestępców — przetwarza dane finansowe dziesiątek lub setek firm, ma dostęp do systemów podatkowych przez tokeny KSeF i często przechowuje dane logowania do kont bankowych klientów. Świadomość cyberbezpieczeństwa jest w tym środowisku koniecznością, nie opcją.

Najważniejsze środki ochrony:

Uwierzytelnianie wieloskładnikowe (MFA): Każde konto biura rachunkowego — w oprogramowaniu FK, w platformach KSeF, w poczcie e-mail — powinno być chronione MFA. Hasło samo w sobie nie wystarczy. Ataki phishingowe na biura rachunkowe są coraz częstsze i coraz bardziej wyrafinowane.

Bezpieczna poczta e-mail: Tokeny KSeF, dostępy do portali podatkowych i wrażliwe dane klientów często krążą mailem. Upewnij się, że poczta biurowa ma szyfrowanie (STARTTLS, SPF, DKIM, DMARC), filtrowanie spamu z phishingiem, oraz że pracownicy są przeszkoleni jak rozpoznawać e-maile phishingowe podszywające się pod Ministerstwo Finansów lub e-Urząd Skarbowy.

Aktualizacje oprogramowania: Oprogramowanie księgowe, systemy operacyjne i przeglądarki muszą być zawsze aktualne. Luki bezpieczeństwa w przestarzałym oprogramowaniu to najczęstsza droga włamania. Szczególnie ważne przy systemach, które integrują się z API Ministerstwa Finansów.

Backup i odtwarzanie danych: Regularny backup (3-2-1: trzy kopie, dwa nośniki, jedna offsite lub w chmurze) i testowanie procedury odtwarzania. Atak ransomware na biuro rachunkowe bez backupu to katastrofa — paraliż działalności i utrata danych klientów.

Polityki bezpieczeństwa dla pracowników: Wszyscy pracownicy obsługujący dane klientów i tokeny KSeF powinni przejść szkolenie z cyberbezpieczeństwa. Najsłabszym ogniwem jest zawsze człowiek, nie technologia.

Audyt bezpieczeństwa biura rachunkowego — lista kontrolna

Poniżej praktyczna lista kontrolna bezpieczeństwa dla biura rachunkowego wdrażającego lub używającego KSeF. Przeprowadź ten audyt co najmniej raz na pół roku.

Obszar 1: Tokeny KSeF

Czy wszystkie tokeny klientów są przechowywane w zaszyfrowanym menedżerze haseł lub bezpiecznej bazie?
Czy prowadzony jest rejestr tokenów z datami ważności?
Czy dostęp do tokenów jest ograniczony tylko do uprawnionych pracowników?
Czy masz procedurę na wypadek kradzieży tokenu lub incydentu bezpieczeństwa?

Obszar 2: Dostępy i autentykacja

Czy wszystkie konta systemu FK mają MFA?
Czy poczta biurowa ma włączone SPF, DKIM i DMARC?
Czy hasła pracowników spełniają minimalne wymagania (min. 12 znaków, brak oczywistych słów)?
Czy pracownicy, którzy odeszli z biura, mają odebrane dostępy?

Obszar 3: Dane klientów i RODO

Czy masz podpisane umowy powierzenia przetwarzania danych (DPA) z każdym klientem?
Czy masz politykę prywatności i rejestr czynności przetwarzania?
Czy wiesz ile czasu przechowujesz lokalne kopie faktur i jak je usuwasz po upływie okresu retencji?

Obszar 4: Infrastruktura

Czy oprogramowanie FK i systemy operacyjne są na bieżąco aktualizowane?
Czy backup jest regularny, zaszyfrowany i testowany?
Czy masz plan ciągłości działania na wypadek cyberataku lub awarii infrastruktury?

Często zadawane pytania

Szukasz oprogramowania KSeF dla Twojego biura?

KSeF Now to AI asystent KSeF dla biur rachunkowych — obsługa wielu klientów z jednego panelu, automatyczna kategoryzacja kosztów i raporty AI.

Wypróbuj KSeF Now za darmo

Wróć do Centrum Wiedzy