PIT, CIT, JPK, kontrola US — tajemnica + AML pod kontrolą.
Doradca podatkowy obraca codziennie skanami dowodów, paskami płac, fakturami VAT, deklaracjami PIT/CIT, JPK, dokumentacją kontroli US. Art. 37 Ustawy o doradztwie podatkowym nakłada tajemnicę zawodową — naruszenie to skreślenie z listy. Plus od 2018 obowiązki AML (KYC, weryfikacja beneficjenta) — UODO + GIIF mogą kontrolować. Fotopliki dają E2E + DPA.
Realne ryzyko biura podatkowego
- PIT-37 z PESEL przez Gmail — pełen profil podatnika, dochody, ulgi, dane małżonka, dzieci. Phishing na skrzynkę = idealny zestaw do kradzieży tożsamości i ZUS-u.
- JPK_VAT do US przez WeTransfer — pełna księgowość firmy w jednym pliku XML. Wyciek = profil dla konkurencji, baza klientów, marże.
- AML art. 34 — przechowywanie 5 lat — dokumentacja KYC (skan dowodu, źródło środków). Bez E2E w archiwum = ryzyko kary GIIF do 1 mln euro.
- Kontrola US — wymiana z urzędnikiem — często mailem. Bez audit log nie udowodnisz co i kiedy wysłałeś. Spór o termin = problem.
Doradca compliant
- Skany z hasłem — Pro pozwala osobne hasło na link. Klient dostaje link, hasło SMS-em. Spełnia art. 32 RODO „środki techniczne adekwatne".
- JPK do 200 MB (Business) — pełen rok podatkowy z księgowości firmy. Bez kompresji, bez utraty danych.
- DPA z klientami biznesowymi — Business zawiera. Wymagana przez większe firmy (sp. z o.o., S.A.) jako warunek umowy o doradztwo.
- Audit log do akt sprawy — przy kontroli US udowadnia kiedy i co zostało wysłane / odebrane. Idealne przy sporach o terminowość.
Typowe scenariusze
Skany dla deklaracji
Klient wysyła PIT-11, faktury, dowody zakupu mieszkania. Pakiet 30-50 MB → kancelaria. Hasło SMS, retencja 30 dni.
Bilans + JPK_KR
Spółka — pełna księgowość rok. JPK_KR + bilans + RZiS + sprawozdanie zarządu. 100-200 MB → DPA wymagana.
Wymiana z urzędnikiem
Kontrola krzyżowa VAT — US żąda dokumentów. Pakiet faktur + JPK przez Fotopliki + audit log. Termin udowodniony.
Weryfikacja klienta
Nowy klient — skan dowodu, oświadczenie o beneficjencie. Archiwum 5 lat (art. 34 AML), Fotopliki Business jako kanał odbioru.
Stan faktyczny + załączniki
Wniosek do KIS — opis stanu + skany umów. Materiał wrażliwy strategicznie. Fotopliki + audit log w aktach kancelarii.
Odwołanie + dowody
Decyzja US zaskarżona do WSA. Materiał 200-500 MB (cała korespondencja, faktury, wyciągi). Fotopliki Business + DPA.
Workflow w kancelarii doradczej
Klient wysyła dokumenty
Klient skanuje PIT-11 / faktury / wyciągi. Wysyła linkiem fotopliki — chroniony hasłem.
Doradca opracowuje
Sporządzenie deklaracji / wniosku / odwołania. Dokumentacja archiwizowana lokalnie.
Wysyłka do urzędu / klienta
JPK do US przez ePUAP. Deklaracja do klienta przez Fotopliki + hasło. Audit log w aktach.
AML archiwum 5 lat
Dokumentacja KYC + transakcji powyżej progu — przechowywana zaszyfrowana lokalnie. Fotopliki = kanał odbioru, nie archiwum.
Ustawa o doradztwie podatkowym + AML + Ordynacja + RODO
Art. 37 Ustawy o doradztwie podatkowym z 5.07.1996
„Doradca podatkowy jest obowiązany zachować w tajemnicy fakty i informacje, z którymi zapoznał się w związku z wykonywaniem zawodu." Tajemnica obejmuje także po zakończeniu wykonywania zawodu — bezterminowo.
Art. 34 Ustawy AML z 1.03.2018
Doradca podatkowy = instytucja obowiązana. Obowiązek KYC + przechowywanie dokumentacji 5 lat. Naruszenie = kara administracyjna do 1 mln euro lub 10% rocznych przychodów (zależnie co większe).
Art. 293 Ordynacji podatkowej
Tajemnica skarbowa — informacje o sprawach podatnika. Doradca jako pełnomocnik ma dostęp i jest związany. Wyciek = odpowiedzialność karna art. 305 Ordynacji (do 5 lat).
RODO art. 6 + 9 + 28
Dane podatnika to dane szczególnej kategorii (przy chorobie wynikającej z ulg rehabilitacyjnych — art. 9). DPA z klientem-firmą wymagana (art. 28). Bez DPA = naruszenie z karą do 4% obrotu rocznego.
FAQ — dla doradców podatkowych
Czy mogę wysłać PIT klientowi mailem?
Mail bez szyfrowania to ryzyko. PIT zawiera PESEL, dochody, ulgi — pełen profil. Phishing na klienta lub na Twoją skrzynkę = wyciek. Lepszy schemat: Fotopliki link + hasło SMS. Spełnia art. 37 UoDP („środki adekwatne") i art. 32 RODO.
AML 2018 — co konkretnie muszę zabezpieczać?
Skany dowodów klientów (KYC), oświadczenia o beneficjencie, dokumentację transakcji powyżej progu (15 tys. euro). Przechowywać 5 lat (art. 34 AML). Fotopliki to kanał odbioru — archiwum musi być pod Twoją kontrolą (lokalnie, zaszyfrowane).
Wymiana z urzędnikiem US — przez ePUAP czy email?
Formalne pisma — ePUAP zawsze. Wymiana robocza (uzupełnienia, wyjaśnienia) — często mail. Fotopliki + audit log = dowód co i kiedy wysłałeś. Przy sporze o termin to bezcenne. ePUAP nie daje audit log dostępu.
DPA z klientem-firmą — kiedy jest obowiązkowa?
Zawsze gdy klient to administrator danych osób trzecich (pracownicy, kontrahenci) i przekazuje Ci dane. Czyli praktycznie każda spółka. Bez DPA = oboje naruszacie art. 28 RODO. Fotopliki Business zawiera DPA jako załącznik do umowy.
Jaki plan dla kancelarii 3-doradczej?
Plan Business (49 zł/mies) — 5 użytkowników, DPA, subdomena kancelaria-XYZ.fotopliki.pl, audit log dla każdego doradcy osobno. Dla dużych biur (10+ doradców z księgową obsługą biur) — Enterprise z SSO i integracją z systemem księgowym (np. Symfonia, Comarch ERP).
Zobacz też
PIT, CIT, JPK, AML — jeden bezpieczny kanał
Pro 19 zł/mies (doradca-solo). Business 49 zł/mies (kancelaria + DPA + subdomena). Wypróbuj — pierwszy klient zobaczy różnicę.
Wyślij dokumenty bezpiecznie →Plan Pro (19 zł/mies): 50MB + wybór retencji + hasło na link. Plan Business (49 zł/mies): 200MB + DPA + audit log + subdomena.