Zasady ochrony zbiorów księgowych i okresy ich przechowywania zostały uregulowane w rozdziale 8 ustawy o rachunkowości "Ochrona danych". Z przepisów w nim zawartych wynika, że zbiory księgowe należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem. Przy prowadzeniu ksiąg rachunkowych przy użyciu komputera ochrona danych powinna polegać m.in. na stosowaniu odpornych na zagrożenia nośników danych. Obecnie popularne jest przechowywanie i przetwarzanie zbiorów księgowych w tzw. chmurze obliczeniowej. Pojęcia tego używa się do określenia zdalnego przechowywania i przetwarzania danych. Ustawa o rachunkowości nie odnosi się jednak bezpośrednio do technologii cyfrowych, które są powszechnie wykorzystywane w rachunkowości jednostek. W niniejszym artykule przedstawimy ogólne zasady i okresy przechowywania zbiorów księgowych, przybliżymy pojęcie chmury obliczeniowej, wymienimy jej zalety i wady, a także zwrócimy uwagę na bezpieczeństwo przechowywania danych przy wykorzystaniu tej technologii.
Przez zbiory księgowe należy rozumieć dokumentację opisującą przyjęte przez jednostkę zasady (politykę) rachunkowości (o której mowa w art. 10 ust. 1 ustawy o rachunkowości), księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne i sprawozdania finansowe. Zbiory te należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem (por. art. 71 ust. 1 ww. ustawy). Ponadto z ustawy o rachunkowości wynika, że przy prowadzeniu ksiąg rachunkowych przy użyciu komputera ochrona danych powinna polegać na stosowaniu odpornych na zagrożenia nośników danych, na doborze stosownych środków ochrony zewnętrznej, na systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na informatycznych nośnikach danych, pod warunkiem zapewnienia trwałości zapisu informacji systemu rachunkowości, przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych. Co więcej ochrona danych powinna polegać na zapewnieniu ochrony programów komputerowych i danych systemu informatycznego rachunkowości, poprzez stosowanie odpowiednich rozwiązań programowych i organizacyjnych, chroniących przed nieupoważnionym dostępem lub zniszczeniem (por. art. 71 ust. 2 ww. ustawy). Księgi rachunkowe mogą mieć formę (z zastrzeżeniem art. 13 ust. 2 i 3 ww. ustawy) zbiorów utrwalonych na informatycznych nośnikach danych, pod warunkiem stosowania ww. rozwiązań. Jeżeli system ochrony zbiorów danych rachunkowości, utrwalonych na informatycznych nośnikach danych, nie spełnia powyższych wymagań, to zapisy te powinny być wydrukowane nie później niż na koniec roku obrotowego. Przechowywanie ksiąg rachunkowych na innym nośniku niż wymieniony powyższej jest dopuszczalne pod warunkiem zapewnienia odtworzenia ksiąg w formie wydruków (por. art. 72 ww. ustawy).
Ustawa o rachunkowości wskazuje również, że treść dowodów księgowych może być przeniesiona na informatyczne nośniki danych pozwalające zachować w trwałej i niezmienionej postaci zawartość dowodów. Warunkiem stosowania tej metody przechowywania danych jest posiadanie urządzeń pozwalających na odtworzenie dowodów w postaci wydruku, o ile inne przepisy nie stanowią inaczej. Wydruk jest dowodem równoważnym z dowodem księgowym, z którego treść została przeniesiona na informatyczny nośnik danych. Powyższa metoda przechowywania nie dotyczy jednak dokumentów odnoszących się do przeniesienia praw majątkowych do nieruchomości, powierzenia odpowiedzialności za składniki aktywów, znaczących umów i innych ważnych dokumentów określonych przez kierownika jednostki (por. art. 73 ust. 2 ww. ustawy). Zbiory księgowe mogą być przechowywane także poza jednostką, w przypadku gdy zostaną przekazane do przechowania innej jednostce, świadczącej usługi w zakresie przechowywania dokumentów (por. art. 73 ust. 4 ww. ustawy).
Informacje na temat systemu służącego ochronie danych i ich zbiorów, w tym dowodów księgowych, ksiąg rachunkowych i innych dokumentów stanowiących podstawę dokonanych w nich zapisów, powinny znajdować się w polityce rachunkowości danej jednostki (por. art. 10 ust. 1 pkt 4 ww. ustawy).
Zatwierdzone roczne sprawozdania finansowe, odmowa podpisu, o której mowa w art. 52 ust. 2 ustawy o rachunkowości, oraz oświadczenie lub odmowa złożenia oświadczenia, o których mowa w art. 52 ust. 2b ww. ustawy, jeżeli zostały sporządzone, podlegają przechowywaniu przez okres co najmniej 5 lat, licząc od początku roku następującego po roku obrotowym, w którym zatwierdzono sprawozdanie finansowe. Pozostałe zbiory przechowuje się co najmniej:
1) księgi rachunkowe - przez okres 5 lat;
2) karty wynagrodzeń pracowników bądź ich odpowiedniki - przez okres wymaganego dostępu do tych informacji, wynikający z przepisów emerytalnych, rentowych oraz podatkowych, nie krócej jednak niż 5 lat;
3) dowody księgowe dotyczące wpływów ze sprzedaży detalicznej - do dnia zatwierdzenia sprawozdania finansowego za dany rok obrotowy, nie krócej jednak niż do dnia rozliczenia osób, którym powierzono składniki aktywów objęte sprzedażą detaliczną;
4) dowody księgowe dotyczące środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym - przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione;
5) dokumentację przyjętego sposobu prowadzenia rachunkowości - przez okres nie krótszy od 5 lat od upływu jej ważności;
6) dokumenty dotyczące rękojmi i reklamacji - przez okres 1 roku po terminie upływu rękojmi lub rozliczeniu reklamacji;
7) dokumenty inwentaryzacyjne - przez okres 5 lat;
8) pozostałe dowody księgowe i sprawozdania, których obowiązek sporządzenia wynika z ustawy - przez okres 5 lat.
Określone w ustawie o rachunkowości okresy przechowywania dokumentów oblicza się od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą (por. art. 74 ustawy o rachunkowości). Trzeba jednak pamiętać, że ustalając okres przechowywania dowodów księgowych należy uwzględnić, poza przepisami ustawy o rachunkowości, także inne przepisy określające okresy przechowywania dokumentów. Jeżeli okres przechowywania dowodów księgowych reguluje kilka aktów prawnych obowiązujących jednostkę, zawsze trzeba przyjąć najdłuższy okres z nich wynikający. Jednostka może również samodzielnie przyjąć dłuższy okres przechowywania niż wskazują przepisy, jeśli tylko wynika to z jej indywidualnych potrzeb.
Chmura obliczeniowa to nowoczesna technologia służąca do przechowywania, przetwarzania i zarządzania danymi. Opiera się na współdzielonych zasobach (oprogramowaniu i infrastrukturze). Dostęp do zasobów odbywa się przez internet. Wykorzystywanie technologii chmurowych w jednostkach podyktowane jest często cyfryzacją usług administracyjnych. Przedsiębiorcy mają bowiem dostęp do e-rejestrów urzędowych (np. KRS, CEIDG) oraz usług publicznych (np. PUE ZUS, ePUAP, e-Urząd Skarbowy). Ponadto wdrażany jest system doręczeń elektronicznych oraz odbywają się przygotowania do wdrożenia w pełni cyfrowego obiegu faktur elektronicznych (Krajowego Systemu e-Faktur - KSeF).
Wyróżnia się trzy podstawowe modele świadczenia usług chmurowych. Prezentujemy je w poniższej tabeli.
Modele świadczenia usług chmurowych | ||||||||||
Nazwa modelu | Charakterystyka modelu | Zakres odpowiedzialności i kontroli | ||||||||
Infrastruktura jako usługa (Infrastructure as a Service - IaaS) |
|
|
||||||||
Platforma jako usługa (Platform as a Service - PaaS) |
|
|
||||||||
Oprogramowanie jako usługa (Software as a Service - SaaS) |
|
|
Przechowywanie zbiorów księgowych w chmurze ma wiele zalet. Wśród nich można wymienić m.in.:
Z kolei wśród najważniejszych ograniczeń i wad chmury obliczeniowej można wskazać brak wpływu na awarię dostawcy (i czas jej usunięcia), czy na miejsce przechowywania danych, obciążenie sieci, oddanie kontroli nad zasobami jednostki.
Z ustawy o rachunkowości wynika, że należy zapewnić bezpieczeństwo zbiorom księgowym. W myśl międzynarodowej normy poświęconej zarządzaniu bezpieczeństwem informacji (norma PN-ISO/IEC 27001), informację uznaje się za bezpieczną, jeżeli są zagwarantowane wszystkie atrybuty jej bezpieczeństwa, tj. poufność, integralność, dostępność, rozliczalność, autentyczność, niezaprzeczalność i niezawodność. Przechowując zbiory księgowe w chmurze obliczeniowej, jednostka nie ma jednak nad nimi pełnej kontroli. Mimo że nowoczesne rozwiązania zapewniają najwyższy poziom bezpieczeństwa, to w przypadku rachunkowości istnieją zagrożenia przypadkowego lub nieuprawnionego ujawnienia, modyfikacji lub zniszczenia danych. Należy zatem zagrożenia te zidentyfikować i w myśl przepisów art. 71-76 ustawy o rachunkowości chronić dane zawarte w zbiorach księgowych, np. poprzez ich odpowiednią archiwizację, czy wydruki.
Kwestia przetwarzania i przechowywania danych w chmurze nie jest objęta obecnie zakresem wyodrębnionych regulacji prawnych. W dokumencie "Europejska agenda cyfrowa" Komisja Europejska zwraca uwagę na potrzebę rozwinięcia jednolitej europejskiej strategii dotyczącej chmury obliczeniowej, m.in. w zakresie obszaru prawnego oraz podstaw technicznych i ekonomicznych. Ze względu jednak na to, że szczególną kategorią danych o dużym stopniu poufności, znajdujących się w dokumentacji księgowej, są dane osobowe, warto jest zwrócić uwagę na regulacje rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L z 2016 r. nr 119/1), dalej zwanego RODO. RODO chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. Ponadto z art. 5 RODO wynika, że dane osobowe muszą być m.in.: przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której te dane dotyczą (zgodność z prawem, rzetelność i przejrzystość) oraz przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność). Co więcej administrator jest odpowiedzialny za przestrzeganie ww. wytycznych i musi być w stanie wykazać ich przestrzeganie.
|