Uprawnienia w KSeF to temat wzbudzający chyba najwięcej pytań wśród przedsiębiorców i księgowych.
W tym odcinku wyjaśniamy najważniejsze kwestie: kto może legalnie działać w systemie, jak prawidłowo nadać dostęp pracownikowi lub biuru rachunkowemu, czym są tokeny i certyfikaty oraz dlaczego nie wolno dzielić się określonymi danymi dostępowymi.
Jeśli zastanawiasz się, jak bezpiecznie i zgodnie z prawem uporządkować sprawy związane z dostępami do KSeF w swojej firmie – ten materiał jest właśnie dla Ciebie.
Chcesz być na bieżąco? ✉️
Zapisz się do naszego newslettera i otrzymuj najświeższe informacje o e-fakturowaniu!
Jeśli prowadzisz biuro rachunkowe lub pracujesz jako jego kierownik albo menadżer — ten newsletter jest dla Ciebie!
Kto ma pełne i pierwotne uprawnienia w KSeF?
Z punktu widzenia systemu, pełne prawa do KSEF zawsze przysługują podatnikowi.
- Jednoosobowa działalność (JDG) – najprościej. Przedsiębiorca loguje się do KSeF sam, uwierzytelniając się np. profilem zaufanym, i od razu ma wszystkie uprawnienia: wystawianie, odbieranie, nadawanie dostępu.
Jak się uwierzytelnić w KSEF jako osoba fizyczna? Obecnie profil zaufany, a od 1 kwietnia 2026 r. dodatkowo: aplikacja mObywatel, warstwa elektroniczna w dowodzie osobistym; także bankowość elektroniczna.
- Spółki i inne podmioty – tu sprawa jest bardziej złożona, bo spółka nie ma profilu zaufanego. Za spółkę musi także działać konkretna osoba. Spółka (jednostka) może zdobyć kwalifikowaną pieczęć elektroniczną. Najlepiej, żeby taka pieczęć była z NIP (można też zrobić bez NIP, ale wtedy sytuacja jest bardziej skomplikowana).
Jeśli spółka nie ma kwalifikowanej pieczęci elektronicznej, to musi wyznaczyć konkretną osobę, która – niejako „startowo” będzie działała w jej imieniu i jednocześnie będzie takim super-userem. Ta osoba wskazana w ZAW-F uwierzytelnia się w systemie swoimi „narzędziami”, ale w imieniu Spółki / jednostki). I do tego wszystkiego służy formularz ZAW-FA. Formularz ZAW-FA można złożyć papierowo lub elektronicznie.
Jak nadaje się uprawnienia?
W przypadku mniejszych podmiotów – które rozliczają się samodzielnie – pewnie wystarczy jedna osoba uprawniona w KSEF (przedsiębiorca / wyznaczony wspólnik, etc.). Ale zwykle – będzie potrzeba upoważnienia dalszych osób. Nadania im uprawnień do działania w określonym zakresie.
Jakie są uprawnienia w KSEF? Pomijając pewne szczególne sytuacje (dot. np. JST ; Grup VAT, organów egzekucyjnych, etc.), to są one następujące:
- zarządzanie uprawnieniami (nadawanie, odbieranie i przeglądanie uprawnień innych użytkowników);
- wystawianie faktur (możliwość wystawiania faktur w KSeF (online i offline)).
- dostęp do faktur (przeglądanie, pobieranie i odbieranie faktur wystawionych w KSeF);
- samofakturowanie (prawo wystawiania faktur w imieniu sprzedawcy).
Te uprawnienia można przy tym kumulować (np. wystawianie faktur i dostęp do faktur).
Jak nadać te uprawnienia? Może to zrobić albo master-user, albo osoba, której nadano uprawnienia do zarządzania uprawnień.
Generalnie są dwie ścieżki:
- Elektronicznie w KSeF – loguję się np. profilem zaufanym albo podpisem i w systemie nadaję rolę innej osobie (dając jej uprawnienia). To szybkie rozwiązanie, dobre zwłaszcza dla JDG i mniejszych firm.
- Formularz ZAW-FA.
Co to są tokeny, certyfikaty?
Czas na trochę techniki, ale w prostym wydaniu. System KseF przewiduje jeszcze dodatkowe narzędzie do logowania się do systemu w określonej roli:
- Token – wygenerowany w KSeF (po wcześniejszym uwierzytelnieniu się) ciąg znaków alfanumerycznych; token identyfikuje podatnika lub podmiot uprawniony i zakres jego uprawnień. Można powiedzieć, że token to takie hasło, czy też elektroniczny klucz do zamka. Generuję go w KSeF i wpisuję w programie księgowym. Dzięki temu jestem w danym środowisku zidentyfikowany i mogę działać np. jako osoba uprawniona do wystawiania faktur dla X. Token działa trochę jak hasło do systemu – więc jeśli ktoś go przechwyci, może działać w naszym imieniu. Dlatego trzeba go chronić tak, jak hasła do banku. Uwaga! Tokeny przestaną działać z końcem 2026 r.
- Certyfikat KSeF -tTo drugi sposób „automatycznego logowania”. Będzie dostępny od 1 listopada 2025 r. Będzie działań od 1 lutego 2026 r. To specjalny plik, który instaluje się na serwerze lub w aplikacji. Dzięki niemu program łączy się z KSeF jeszcze bezpieczniej niż przez token. Certyfikaty będzie można generować w systemie. Trzeba pamiętać, że certyfikaty mają być ważne dwa lata – z możliwością ich odnowienia. Oprócz tego, certyfikat KSEF będzie potrzebny żeby generować e-faktury w trybie offline, ale o tym innym razem.
Najczęstsze błędy i dobre praktyki
Błędy:
- Podawanie księgowej loginu do Profilu Zaufanego → Niedopuszczalne.
- Zapominanie o odebraniu uprawnień osobom, które już nie pracują → Ryzyko nadużyć.
- Trzymanie tokenów w Excelu albo na prywatnym komputerze → Ogromne zagrożenie.
- Brak polityki dotyczącej tokenów; np. niewiedza ile tokenów zostało wystawionych i z jakim zakresem uprawnień.
Dobre praktyki:
- Regularnie przeglądaj listę osób z dostępami i uprawnieniami do KSeF.
- Stwórz prostą procedurę: kto nadaje uprawnienia, kto je cofa, ewentualnie zmienia; gdzie przechowujemy tokeny i certyfikaty; co robimy na wypadek utraty tokenu.
- W biurze rachunkowym: przygotuj gotowy wzór pełnomocnictwa i instrukcję dla klientów (ich poszczególnych rodzajów – np. z uwagi na formę prawną i zakres kompetencji cyfrowych), jak nadać dostęp.
Biura rachunkowe i pełnomocnictwa
- Biuro rachunkowe nie ma automatycznego prawa wejścia do KSeF klienta.
- Klient musi formalnie nadać uprawnienia – najlepiej przez ZAW-FA albo elektronicznie w systemie.
- W umowie z klientem trzeba jasno opisać:
- czy biuro wystawia faktury w imieniu klienta,
- czy tylko je księguje (ma dostęp),
- kto odpowiada za przechowywanie tokenów i certyfikatów.
- w jaki sposób unieważniamy dostępy, nadajemy nowe, ewentualnie zmieniamy ich zakres; ważny może być tutaj chociażby kanał komunikacji, bo może się np. okazać, że kwestia unieważnienia skompromitowanego tokena, to może być pilna sprawa.
Podsumowanie
W KSeF każdy ruch wymaga formalnych uprawnień. Trzeba się uwierzytelnić w systemie. Jednoosobowe działalności logują się samodzielnie, spółki jeśli mają kwalifikowaną pieczęć elektroniczną, to w sumie też (choć trzeba wyznaczyć „administratora”, który będzie działał „jako jednostka”); w innym przypadku trzeba będzie zgłosić administratora przez ZAW-FA; absolutnie niedopuszczalna jest praktyka współdzielenia jednego loginu, zwłaszcza przez profil zaufany, czy też uprawnienia do bankowości elektronicznej; każdy musi mieć swój dostęp, swój zakres uprawnień (wcześniej uzgodniony) i działać jako swój użytkownik.
Tokeny i certyfikaty to elektroniczne klucze – trzeba je przechowywać bezpiecznie i wiedzieć, kto ma do nich dostęp. Najważniejsze jest, żeby w firmie i w biurze rachunkowym powstały jasne i proste procedury: kto nadaje dostęp, kto go odbiera, kto odpowiada za bezpieczeństwo, kto (i jak) działa w sytuacjach awaryjnych w kontekście dostępów.
Jeśli zajmujesz się zawodowo podatkami – w szczególności prowadzisz biuro rachunkowe, jesteś doradcą podatkowym lub radcą prawnym bądź adwokatem – dołącz do Klubu Dzień Dobry Podatki.
Klub to abonament na comiesięczne szkolenia „Dzień Dobry Podatki” oraz forum dyskusyjne, na którym codziennie wspieramy się w pracy z podatkami.
Sprawdź więcej szczegółów TUTAJ.
