Dane z Krajowego Systemu e-Faktur (KSeF) będą trafiać nie tylko do administracji skarbowej, lecz także do szeregu innych instytucji publicznych. Rozszerzenie katalogu uprawnionych organów oraz zakresu przekazywanych informacji wywołuje rosnące obawy przedsiębiorców – zwłaszcza w kontekście obowiązkowego e-fakturowania, które od 1 kwietnia 2026 r. obejmie niemal wszystkie firmy.
Szerszy dostęp do danych z faktur: kto sprawdzi dane z KSeF?
Zgodnie z art. 297h Ordynacji podatkowej, informacje gromadzone w KSeF – w tym faktury ustrukturyzowane oraz dane towarzyszące – mogą być udostępniane licznym organom państwowym. Obejmują one m.in. administrację skarbową, sądy i prokuraturę, a także służby takie jak Policja, ABW czy CBA – w zakresie niezbędnym do prowadzonych postępowań.
Dodatkowo, w określonych przypadkach dostęp do danych mogą uzyskać ministrowie właściwi do spraw wewnętrznych i zagranicznych - w zakresie niezbędnym do realizacji przepisów sankcyjnych.
Nowelizacja przepisów przewiduje także, że od 1 kwietnia 2026 r. dane z KSeF będą przekazywane – bez konieczności składania odrębnych wniosków – prezesowi UOKiK oraz Państwowej Inspekcji Ochrony Roślin i Nasiennictwa. Udostępnianie informacji ma się odbywać na podstawie zawartych porozumień między organami.
Więcej niż tylko kwoty
Zakres informacji dostępnych w KSeF jest znacznie szerszy niż w przypadku jednolitych plików kontrolnych (JPK). Oprócz wartości transakcji obejmuje on również szczegółowe opisy, dane o płatnościach czy inne elementy dokumentujące przebieg operacji gospodarczych.
Co istotne, przepisy posługują się także nieprecyzyjnym pojęciem „innych danych” z systemu, nie wskazując jednoznacznie ich zakresu. To rodzi pytania o granice udostępniania informacji oraz potencjalne ryzyko ich wykorzystania poza celami podatkowymi.
Wątpliwości co do ochrony prywatności a dane z KSeF
Poważne kontrowersje budzi brak precyzyjnie określonych procedur nadzorowania sposobu, w jaki organy pozapodatkowe będą korzystać z pozyskanych informacji. Obecne przepisy Ordynacji podatkowej nie wskazują szczegółowych zasad dokumentowania takich operacji ani mechanizmów kontroli nad procesem udostępniania danych. W praktyce oznacza to, że przedsiębiorcy mogą nie mieć wiedzy o tym, kiedy i w jakim celu ich wrażliwe dane biznesowe są przeglądane przez instytucje takie jak UOKiK czy Państwowa Inspekcja Ochrony Roślin i Nasiennictwa.
Ministerstwo Finansów odpiera część tych zarzutów. W odpowiedzi skierowanej do Rzecznika Praw Obywatelskich w lutym 2026 r. resort wskazał, że dostęp do danych w KSeF będzie ściśle reglamentowany: przysługiwać ma jedynie „nielicznym pracownikom administracji skarbowej po spełnieniu określonych wymagań", wyłącznie w ramach konkretnych czynności służbowych (np. kontrolnych lub sprawdzających) i każdorazowo za zgodą przełożonego. Co więcej, każdy wgląd do faktury ma być „na bieżąco monitorowany w systemie oraz cyklicznie audytowany". MF podkreśla również, że pracownicy KAS są prawnie zobowiązani do zachowania tajemnicy skarbowej – także po ustaniu zatrudnienia. Pytanie jednak, czy te wewnętrzne procedury administracyjne wystarczą – i czy dotyczą właściwego problemu. Odpowiedź MF opisuje bowiem kontrolę dostępu pracowników skarbówki do systemu, nie zaś zasady dalszego wykorzystywania danych przez organy zewnętrzne, takie jak UOKiK czy Inspekcja Ochrony Roślin – a to właśnie ten drugi aspekt pozostaje nieuregulowany.
W przypadku tak ogromnych, scentralizowanych zbiorów danych, państwo powinno zapewnić gwarancje ochrony przed ich niewłaściwym wykorzystaniem. Choć głośne orzecznictwo Trybunału Sprawiedliwości UE (m.in. w sprawach połączonych C-37/20 i C-601/20) zapadło na gruncie przepisów o przeciwdziałaniu praniu pieniędzy (AML) i dotyczyło jawności rejestrów beneficjentów rzeczywistych (UBO), płynące z niego wnioski mają charakter uniwersalny. Wynika z nich, że każda ingerencja w prywatność i ochronę danych musi być proporcjonalna i ograniczona do niezbędnego minimum.
Warto przypomnieć, że po wspomnianym wyroku TSUE, kraje takie jak Luksemburg, Holandia, Cypr i Belgia zdecydowały się na czasowe zablokowanie dostępu do swoich rejestrów, uznając, że zbyt szeroki dostęp do informacji o podmiotach gospodarczych narusza prawa podstawowe. W kontekście KSeF, gdzie zakres danych jest znacznie szerszy niż w rejestrach beneficjentów, brak analogicznych bezpieczników i jasnych reguł proceduralnych może stać się w przyszłości zarzewiem sporów prawnych na linii przedsiębiorca–państwo.
Co dalej?
Na razie brak jest oficjalnych wyjaśnień ze strony ustawodawcy dotyczących zakresu „innych danych” oraz praktyki ich udostępniania. Wraz z wejściem w życie obowiązkowego KSeF temat ten będzie jednak zyskiwał na znaczeniu – szczególnie dla przedsiębiorców, którzy będą musieli przygotować się nie tylko na cyfryzację fakturowania, ale także na większą transparentność swojej działalności