Cyberbezpieczeństwo w kontekście kontroli celno-skarbowej – jak chronić firmę przed naruszeniem prywatności?

08.01.2026

Cyberbezpieczeństwo w kontekście kontroli celno-skarbowej oznacza zestaw działań organizacyjnych i technicznych, które mają zapewnić poufność, integralność i dostępność danych przetwarzanych w firmie w trakcie czynności kontrolnych, w tym danych osobowych pracowników, klientów i kontrahentów. W praktyce chodzi o to, aby realizować obowiązki wobec organu, ale nie doprowadzić do nadmiarowego ujawnienia informacji, wycieku danych lub paraliżu operacyjnego.

Dlaczego kontrola celno-skarbowa zwiększa ryzyko naruszeń prywatności

Kontrole prowadzone przez organy KAS często wymagają szybkiego udostępniania dokumentów i danych z wielu systemów (ERP, księgowość, WMS, systemy kadrowe, skrzynki e-mail). Ryzyko naruszenia prywatności rośnie, gdy:

  • firma przekazuje „zrzuty” całych skrzynek pocztowych lub katalogów zamiast danych selektywnych,
  • brakuje procedury wydawania nośników i rejestrowania, co i komu przekazano,
  • dane są kopiowane na niezabezpieczone pendrive’y, dyski lub udostępniane przez niekontrolowane kanały,
  • organy proszą o dostęp do systemów w sposób, który może ujawniać dane osób trzecich bez potrzeby dla sprawy,
  • na miejscu kontroli pracownicy improwizują i „dla świętego spokoju” przekazują więcej niż trzeba.

Konsekwencje biznesowe są mierzalne: ryzyko incydentu RODO, obowiązek notyfikacji do UODO oraz – w razie potrzeby – zawiadomienia osób, których dane dotyczą, koszty obsługi naruszenia, przestoje w działaniu oraz potencjalny spór z kontrahentami o poufność informacji.

Podstawy prawne: uprawnienia organów a obowiązki firmy

Zakres uprawnień organów w kontroli celno-skarbowej wynika w szczególności z ustawy o Krajowej Administracji Skarbowej, w tym przepisów o kontroli celno-skarbowej [1]. Jednocześnie firma pozostaje administratorem danych osobowych i musi zapewnić zgodność z zasadami przetwarzania danych, w tym minimalizacji i integralności, wynikającymi z RODO [2].

Fakt: organ może żądać dokumentów i informacji istotnych dla kontroli, także w postaci elektronicznej, oraz może wykonywać czynności w siedzibie firmy zgodnie z ustawą. Opinia (zależna od stanu faktycznego): w wielu przypadkach możliwe jest takie zorganizowanie przekazania danych, aby spełnić żądanie organu, a jednocześnie ograniczyć ujawnienie danych osób trzecich i informacji wrażliwych biznesowo.

Najczęstsze punkty zapalne: e-mail, pliki, systemy i urządzenia

E-mail i komunikatory

W praktyce największe ryzyko naruszenia prywatności dotyczy skrzynek e-mail. Przekazanie całej skrzynki lub folderu „na wszelki wypadek” bywa równoznaczne z ujawnieniem danych osobowych niezwiązanych ze sprawą (np. HR, dane dotyczące zdrowia, skargi pracownicze) oraz tajemnicy przedsiębiorstwa.

Systemy ERP i księgowość

Udostępnienie kont z szerokimi uprawnieniami kontrolującym lub przygotowanie eksportu „całej bazy” zwiększa ryzyko. Bezpieczniejszym podejściem jest przygotowanie wycinków danych pod konkretny zakres żądania i z kontrolą dostępu.

Nośniki danych i transfer

Ryzyko incydentu rośnie, gdy nie ma standardu szyfrowania, hasła są przekazywane w tej samej wiadomości, albo pliki są kopiowane bez ewidencji. Z perspektywy RODO kluczowe są środki techniczne i organizacyjne adekwatne do ryzyka [2].

Jak przygotować firmę: procedury i „checklista” na pierwsze 24 godziny

Przygotowanie do kontroli powinno być traktowane jako element compliance i zarządzania ryzykiem. W praktyce sprawdza się wdrożenie krótkiej procedury „na kontrolę”, obejmującej role, kanały komunikacji i standardy wydawania danych.

Minimalny zestaw działań prewencyjnych

  1. Wyznaczenie zespołu odpowiedzialnego (prawny, IT, compliance, księgowość) oraz osoby koordynującej kontakt z organem.
  2. Mapa danych i systemów: gdzie są faktury, JPK, dokumenty celne, korespondencja, dane pracownicze. Ułatwia to selektywne udostępnianie.
  3. Standard przekazywania danych: szyfrowanie, hasła innym kanałem, rejestr udostępnień, oznaczanie plików (zakres, data, osoba przygotowująca).
  4. Kontrola uprawnień: konta techniczne, dostęp tylko do niezbędnych modułów, logowanie i audyt dostępu.
  5. Szkolenie „anty-improwizacyjne”: krótkie instrukcje dla recepcji, księgowości, HR i kierowników, co robić w dniu kontroli i czego nie robić.

Reakcja w pierwszej dobie kontroli

  • Ustalenie zakresu żądań i forma ich doprecyzowania na piśmie, aby uniknąć „rozlewania się” kontroli na obszary poboczne.
  • Wyznaczenie bezpiecznego kanału przekazania (szyfrowany nośnik lub kontrolowany transfer) i prowadzenie rejestru przekazanych danych.
  • Segregacja danych: oddzielenie danych osobowych niezwiązanych ze sprawą, danych HR oraz tajemnicy przedsiębiorstwa.
  • Ocena ryzyka RODO: czy przekazanie może skutkować naruszeniem, czy trzeba ograniczyć zakres lub zastosować pseudonimizację.

Odpowiedzialność zarządu: ryzyka prawne i reputacyjne

Z perspektywy zarządu ryzyko w kontroli ma dwa wymiary. Pierwszy to ryzyko podatkowo-celne (ustalenia kontroli, doszacowania, sankcje). Drugi to ryzyko cyber i RODO: nieuprawnione ujawnienie danych, incydent bezpieczeństwa, utrata kontroli nad nośnikami lub dostępem do systemów.

Fakt: administrator danych musi wykazać, że stosuje środki adekwatne do ryzyka i przestrzega zasad, w tym minimalizacji danych [2]. Opinia (zależna od stanu faktycznego): brak procedur udostępniania danych w trakcie kontroli może zostać oceniony jako luka organizacyjna, która zwiększa ekspozycję firmy na odpowiedzialność regulacyjną i roszczenia cywilne.

Bezpieczne udostępnianie danych organom: zasada minimalizacji w praktyce

Minimalizacja nie oznacza „odmowy współpracy”. Oznacza przekazanie tego, co jest potrzebne do realizacji celu kontroli, w sposób kontrolowany. W praktyce pomocne są:

  • Eksporty zakresowe zamiast pełnych baz lub całych skrzynek e-mail.
  • Pseudonimizacja lub maskowanie części danych, jeżeli nie są istotne dla sprawy (po wcześniejszym uzgodnieniu formy z organem).
  • Odrębne paczki danych dla różnych obszarów (cło, VAT, akcyza) z jednoznacznym opisem.
  • Dowodowa „ścieżka audytu”: kto przygotował dane, z jakiego źródła, kiedy przekazano, w jakim formacie.

W firmach, w których ryzyko jest podwyższone (handel międzynarodowy, e-commerce, produkcja, podmioty z rozproszonym IT), sensowne bywa przeprowadzenie przeglądu gotowości na kontrolę celno-skarbową z perspektywy cyber i ochrony danych jeszcze przed wszczęciem czynności.

Materiał informacyjny, nie stanowi porady prawnej.

Bibliografia

  • [1] Ustawa z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (t.j. Dz.U. 2024 poz. 863 ze zm.).
  • [2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), w szczególności art. 5, art. 32 oraz art. 33–34 (zgłaszanie naruszeń i zawiadamianie osób, których dane dotyczą).

W razie potrzeby oceny zakresu udostępnienia danych i przygotowania bezpiecznego procesu na wypadek czynności organów, wsparcie może zapewnić Kopeć & Zaborowski, dlatego warto przeanalizować sytuację i Skontaktuj się z nami.

Potrzebujesz pomocy?

+48 508 333 000
WhatsApp Telegram Skype Viber Signal


Powiązane porady

„Projektowanie specjalistyczne” (PKWiU 74.10.19) w branży IT: checklist przesłanek, które kontrola będzie próbowała udowodnić dokumentami i praktyką pracy

Czytaj więcej
„Projektowanie specjalistyczne” (PKWiU 74.10.19) w branży IT: checklist przesłanek, które kontrola będzie próbowała udowodnić dokumentami i praktyką pracy

Jakie zmiany w przepisach dotyczących podatków transgranicznych mogą zmienić sposób prowadzenia audytów celno-skarbowych?

Czytaj więcej
Jakie zmiany w przepisach dotyczących podatków transgranicznych mogą zmienić sposób prowadzenia audytów celno-skarbowych?

Jakie zmiany w przepisach dotyczących e-commerce mogą wpłynąć na kontrolę celno-skarbową?

Czytaj więcej
Jakie zmiany w przepisach dotyczących e-commerce mogą wpłynąć na kontrolę celno-skarbową?
Zobacz wszystkie

Nagrody

Kancelaria Kopeć Zaborowski oraz Partner Zarządzający adw. Maciej Zaborowski od 2019 roku są rekomendowani jako eksperci KKZ znalazło się w zestawieniu „Najlepsze Kancelarie Polska” magazynu „Forbes” w 2022 i 2023 r. otrzymując szczeg W 2019 roku Kancelaria znalazła się w międzynarodowym prestiżowym rankingu The LEGAL 500 – wśród pięciuset najlepszy W 2023 i 2024 roku adw. Maciej Zaborowski znalazł się na liście jednego z najbardziej prestiżowych, międzynarodowych ran Trzykrotnie, w latach 2020, 2022 i 2023, Maciej Zaborowski, Partner Zarządzający KKZ, jako jeden z nielicznych adwokatów,

Mówią o nas

Gazeta Prawna Gazeta Wyborcza Rzeczpospolita Onet WP
Puls Biznesu TVN24 Polsat TVP RMF

FAQ

Czy podczas kontroli celno-skarbowej można odmówić przekazania danych osobowych?

Co do zasady firma powinna współpracować i przekazywać dane istotne dla zakresu kontroli na podstawie przepisów ustawy o KAS [1]. Równolegle należy stosować zasadę minimalizacji z RODO [2] i dążyć do przekazania wycinku danych, a nie zbiorów nadmiarowych.

Czy organ może żądać dostępu do całej skrzynki e-mail pracownika?

Żądanie powinno pozostawać w związku z przedmiotem kontroli. W praktyce bezpieczniejsze jest przygotowanie selektywnego zestawu wiadomości (np. wg kontrahenta, okresu, słów kluczowych) oraz zachowanie rejestru przekazania. Ocena dopuszczalności zależy od stanu faktycznego i treści żądania.

Jakie zabezpieczenia techniczne są najważniejsze przy przekazywaniu plików organom?

Najczęściej: szyfrowanie nośników lub archiwów, rozdzielenie kanału przekazania plików i haseł, ograniczenie uprawnień dostępowych, logowanie operacji oraz ewidencja przekazanych danych. Są to typowe środki wynikające z podejścia opartego na ryzyku w RODO [2].

Czy przekazanie zbyt szerokiego zakresu danych może być naruszeniem RODO?

Może, jeżeli dojdzie do ujawnienia danych bez podstawy prawnej w danym zakresie lub bez związku z celem przetwarzania, co narusza zasadę minimalizacji [2]. Ocena wymaga analizy, jakie dane przekazano, w jakiej formie oraz czy można było ograniczyć zakres.

Kto w firmie powinien koordynować udostępnianie danych podczas kontroli?

Najczęściej jest to osoba łącząca perspektywę prawną i operacyjną (compliance lub dział prawny) we współpracy z IT i księgowością. Kluczowe jest, aby jedna osoba odpowiadała za rejestr żądań, zakres przekazania i kanały transferu.

Jak przygotować firmę, jeśli kontrola jeszcze się nie rozpoczęła?

Warto wdrożyć krótką procedurę na wypadek kontroli: mapę danych, standard eksportów, standard szyfrowania i ewidencji nośników, oraz przegląd uprawnień w systemach. Dodatkowo sensowny jest test procesu na danych przykładowych, aby ograniczyć improwizację.