Interpretacja indywidualna z dnia 23 września 2024 r., Dyrektor Krajowej Informacji Skarbowej, sygn. 0112-KDSL1-2.4011.382.2024.2.BR
Temat interpretacji
Stawka ryczałtu dla Usług Rozwoju Technologii sklasyfikowanych w grupowaniu PKWiU 62.01.12.0; Usług Cyberbezpieczeństwa sklasyfikowanych pod symbolem 62.02.30.0 oraz Usług Zarządzania Systemami Informatycznymi sklasyfikowanych w grupowaniu PKWiU 62.03.1.
Interpretacja indywidualna – stanowisko w części prawidłowe i w części nieprawidłowe
Szanowny Panie,
stwierdzam, że Pana stanowisko w sprawie oceny skutków podatkowych opisanych stanów faktycznych oraz zdarzeń przyszłych w zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne jest:
- prawidłowe – w zakresie opodatkowania: usługi zarządzania systemami informatycznymi sklasyfikowanej pod symbolem PKWiU 62.03.1 „Usługi związane z zarządzaniem siecią i systemami informatycznymi” zryczałtowaną stawką 12%,
- nieprawidłowe – w zakresie opodatkowania usługi cyberbezpieczeństwa sklasyfikowanej pod symbolem PKWiU 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego” oraz usługi rozwoju technologii sklasyfikowanej pod symbolem PKWiU 62.01.12.0 „Usługi związane z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych” zryczałtowaną stawką 8,5%.
Zakres wniosku o wydanie interpretacji indywidualnej
2 lipca 2024 r. wpłynął Pana wniosek z 1 lipca 2024 r. o wydanie interpretacji indywidualnej, który dotyczy zryczałtowanego podatku dochodowego od niektórych przychodów osiąganych przez osoby fizyczne. Uzupełnił go Pan – w odpowiedzi na wezwanie – pismem z 28 sierpnia 2024 r. (wpływ 28 sierpnia 2024 r.). Treść wniosku jest następująca:
Opis stanów faktycznych oraz zdarzeń przyszłych
Wnioskodawca prowadzi jednoosobową pozarolniczą działalność gospodarczą.
W ramach prowadzonej działalności gospodarczej Wnioskodawca osiąga przychody z tytułu świadczenia różnorodnych usług informatycznych („Usługi Informatyczne”) na rzecz kontrahentów w Polsce i za granicą szczegółowo opisanych poniżej.
W ramach pierwszej kategorii Usług Informatycznych, Wnioskodawca świadczy usługę polegająca na podejmowaniu wszelkich czynności związanych cyberbezpieczeństwem.
Zakres świadczonych przez Wnioskodawcę usług obejmuje przede wszystkim dokonywanie następujących czynności:
1) wdrażanie oprogramowania, sprzętu komputerowego i procedur sterowania dostępem do danych i programami pozwalającymi na bezpieczną wymianę informacji w ramach sieci;
2) stałe monitorowanie zasobów zgodnie z przyjętą strategią bezpieczeństwa, diagnozowanie potencjalnie niebezpiecznych obszarów i zarządzanie incydentami;
3) wykorzystywanie ustawień i narzędzi zabezpieczających urządzenia przed dostępem nieupoważnionych osób oraz instalacją nieautoryzowanego oprogramowania;
4) wykonywanie regularnych backupów i kopii bezpieczeństwa;
5) zabezpieczenie sieci przed nieautoryzowanym dostępem i złośliwym oprogramowaniem oraz ograniczenie dostępu pracowników do potencjalnie niebezpiecznych stron internetowych lub usług;
6) prowadzenie incydentów związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowanie się i współpraca z interesariuszami w zakresie naruszeń danych;
7) analizowanie danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących;
8) analizowanie wyciągniętych wniosków i zaproponowanie ulepszenia procedur środków kontroli bezpieczeństwa;
9) upewnienie się, że reakcja na incydenty i wymagania dotyczące nielegalnych działań są wychwytywane i dostarczane przez program bezpieczeństwa;
10) wykonywanie manualnych testów penetracyjnych systemów informatycznych i infrastruktury teleinformatycznej;
11) wydawanie rekomendacji w zakresie powzięcia środków technicznych w celu zabezpieczenia systemów informatycznych;
12) aktywne wspieranie wiedzą oraz pomocą przy rozwiązywaniu problemów świadczonych dla pracowników oraz kontrahentów klienta implementujących środki bezpieczeństwa służącym zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej;
13) komunikowanie się i współpraca z inżynierami zaangażowanymi w wykryte incydenty bezpieczeństwa;
14) analiza danych wspierających działania dochodzeniowe pozwalające eliminować lub ograniczać ryzyko ataków cybernetycznych;
15) weryfikowanie czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne;
16) aktywne wspieranie wiedzą w użytkowaniu i usuwaniu usterek sprzętu komputerowego oraz testowanego oprogramowania;
17) udzielanie pomocy technicznej w celu rozwiązania problemów klienta z zakresu bezpieczeństwa
-dalej łącznie jako „Usługi Cyberbezpieczeństwa”.
W ramach drugiej kategorii Usług Informatycznych, Wnioskodawca świadczy usługę polegającą na podejmowaniu wszelkich czynności związanych z codziennym zarządzaniem systemami informatycznymi i ich eksploatacją.
Zakres świadczonych przez Wnioskodawcę usług obejmuje przede wszystkim dokonywanie następujących czynności:
1) bieżące zarządzanie systemami informatycznymi w częstotliwości dostosowanej do potrzeb klienta;
2) zarządzanie w rozwiązywaniu incydentów związanych z systemami informatycznymi polegającym na obsłudze procesu awarii i przywróceniu sprawności działania i dostępności systemów;
3) zarządzanie problemami związanymi z systemami informatycznymi polegające na zlokalizowaniu przyczyny powstania incydentu oraz podejmowaniu czynności mających na celu przywrócenie pełnej sprawności (proaktywne identyfikowanie i rozwiązywanie problemów wraz z określeniem ich priorytetów, definiowanie stałych, systemowych rozwiązań wspomagających usuwanie incydentów w przyszłości;
4) zarządzanie konfiguracjami systemów informatycznych;
5) aktywne monitorowanie pracy systemów informatycznych na potrzeby wczesnego i automatycznego wykrywania incydentów;
6) zarządzanie uprawnieniami dostępu do systemów informatycznych;
7) pomoc techniczna w zakresie korzystania z systemów informatycznych
-dalej łącznie jako „Usługi Zarządzania Systemami Informatycznymi”.
W ramach trzeciej kategorii Usług Informatycznych, Wnioskodawca świadczy usługę polegająca na podejmowaniu wszelkich czynności związanych z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych. Prace Wnioskodawcy polegają przede wszystkim na:
1)projektowaniu systemów informatycznych z uwzględnieniem najlepszych praktyk, rekomendacji, standardów, wymagań kontrahenta;
2)analizie i weryfikacji aktualnego stanu systemów na podstawie dokumentacji lub dostępu bezpośredniego;
3)prowadzeniu spotkań w celu optymalizacji kosztów oraz zwiększenia efektywności wykorzystywanych usług na środowiskach testowych i produkcyjnych;
4)przygotowywaniu ofert, prezentacji oraz koncepcji dotyczących rozwiązań technologii informatycznych;
5)instalacji i konfiguracji narzędzi automatyzujących proces wdrożenia systemów informatycznych, który to nie stanowi usług związanych z oprogramowaniem;
-dalej łącznie jako „Usługi Rozwoju Technologii”
Usługi Rozwoju Technologii oraz Usługi Cyberbezpieczeństwa nie są oferowane w pakiecie z Usługami Zarządzania Systemami Informatycznymi i są świadczone na rzecz różnych kontrahentów.
Natomiast zdarza się, że Usługi Rozwoju Technologii oraz Usługi Cyberbezpieczeństwa są świadczone na rzecz tych samych kontrahentów. Wnioskodawca podkreśla, że w powyższym opisie stanu faktycznego nie dokonuje oceny i przesądzenia tego pod jakim symbolem PKWiU – według Polskiej Klasyfikacji Wyrobów Usług, wprowadzonej rozporządzeniem Rady Ministrów z 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) (Dz.U. z 2015 r. poz. 1676 ze zm.) sklasyfikowane są Usługi Informatyczne, które są świadczone w ramach prowadzonej działalności gospodarczej.
Niemniej jednak, Ośrodek Klasyfikacji i Nomenklatur Urzędu Statystycznego (…) w piśmie:
1) z (…) 2023 r. o znaku (…) poinformował Wnioskodawcę, że opisane w złożonym wniosku o interpretację podatkową Usługi Informatyczne polegające na podejmowaniu wszelkich czynności związanych cyberbezpieczeństwem określone przez Wnioskodawcę jako Usługi Cyberbezpieczeństwa mieszą się w grupowaniu: PKWiU 62.02.30.0 Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego;
2) z (…) 2022 r. o znaku (…) poinformował Wnioskodawcę, że opisane w złożonym wniosku o interpretację podatkową Usługi Informatyczne polegające na podejmowaniu wszelkich czynności związanych z codziennym zarządzaniem systemem informatycznym i ich eksploatacją określone przez Wnioskodawcę jako Usługi Zarządzania Systemami Informatycznymi mieszczą się w grupowaniu: PKWiU 62.03.1 Usługi związane z zarządzaniem siecią i systemami informatycznymi;
3) z (…) 2022 r. o znaku (…) poinformował Wnioskodawcę, że opisane w złożonym wniosku o interpretację podatkową czynności związane z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych określonych przez Wnioskodawcę jako Usługi Rozwoju Technologii mieszczą się w grupowaniu: PKWiU 62.01.12.0. Usługi związane z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych.
Złożony wniosek dotyczy zdarzenia przyszłego oraz zaistniałego stanu faktycznego. Wniosek dotyczy roku podatkowego 2022, 2023 i kolejnych.
Łączna kwota osiąganych przez Wnioskodawcę przychodów z tytułu prowadzonej samodzielnie działalności gospodarczej nie przekroczyła w 2021 r., 2022 r. i 2023 r. oraz w latach następnych kwoty 2 000 000 euro, obliczonej według średniego kursu euro ogłaszanego przez Narodowy Bank Polski na pierwszy dzień roboczy października roku poprzedniego.
W 2021 r. Wnioskodawca opodatkowywał przychody uzyskiwane w ramach jednoosobowej pozarolniczej działalności gospodarczej według stawki liniowej w wysokości 19%.
Od 1 stycznia 2022 r. Wnioskodawca zmienił formę opodatkowania na ryczałt od przychodów ewidencjonowanych i w tym celu złożył naczelnikowi właściwego urzędu skarbowego odpowiednie oświadczenie o wyborze opodatkowania przychodów z pozarolniczej działalności gospodarczej w formie ryczałtu od przychodów ewidencjonowanych na 2022 r. w ustawowym terminie.
W latach następnych pozostał i zamierza pozostać przy tej samej formie opodatkowania.
Wnioskodawca nie wyklucza, że w przyszłości będzie uzyskiwał przychody z innych tytułów niż wskazanych w niniejszym opisie zdarzenia faktycznego Usług Informatycznych. W tym miejscu istotne jest jednak podkreślenie, że Wnioskodawca prowadzi i planuje prowadzić działalność w oparciu o księgowość uproszczoną na potrzeby ryczałtu ewidencjonowanego w taki sposób, że ewidencja przychodów w pełni umożliwi określenie przychodów osiąganych osobno z tytułu poszczególnych Usług Informatycznych oraz ewentualnych przychodów osiąganych z innych źródeł.
Poza przychodami z prowadzonej działalności gospodarczej, Wnioskodawca uzyskuje przychody z umowy o pracę (na rzecz innego podmiotu niż kontrahenci, którym świadczy Usługi Informatyczne w ramach jednoosobowej działalności gospodarczej) oraz okazjonalnie z tytułu najmu nieruchomości prywatnej. W odniesieniu do Wnioskodawcy nie występują negatywne przestanki wynikające z art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.
W piśmie z 28 sierpnia 2024 r., stanowiącym uzupełnienie wniosku, udzielił Pan następujących odpowiedzi na zawarte w wezwaniu pytania:
1. Czy zgodnie z art. 3 ust. 1 oraz ust. 1a ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (t. j. Dz. U. z 2024 r. poz. 226 ze zm.), ma Pan nieograniczony obowiązek podatkowy w Polsce?
Odp. Tak, Wnioskodawca podlega w Polsce opodatkowaniu od całości swoich dochodów, bez względu na miejsce ich osiągania (nieograniczony obowiązek podatkowy).
2. Czy w ramach usług sklasyfikowanych pod symbolem PKWiU 62.01.12.0 świadczył/świadczy/będzie świadczyć Pan usługi projektowania, rozwoju i wdrażania oprogramowania, w tym oprogramowania związanego z bezpieczeństwem w sieci?
Odp. Wnioskodawca świadczył/świadczy/będzie świadczył usługi w zakresie projektowania systemów informatycznych jako całości, co obejmuje kompleksowe podejście do tworzenia i implementacji całego systemu, który może składać się z wielu mniejszych programów, modułów i komponentów. Działania Wnioskodawcy koncentrują się na integracji różnych elementów technologicznych, aby stworzyć spójne i funkcjonalne rozwiązania informatyczne, dostosowane do specyficznych potrzeb klienta.
Wnioskodawca nie świadczył/nie świadczy/nie będzie świadczył jednak usług w zakresie projektowania, rozwoju ani wdrażania indywidualnych programów komputerowych lub aplikacji, w tym tych związanych z bezpieczeństwem w sieci. Rola Wnioskodawcy nie obejmuje tworzenia ani modyfikacji konkretnego oprogramowania, lecz raczej projektowanie i zarządzanie całościowym systemem, który obejmuje integrację już istniejących rozwiązań informatycznych.
3. Czy wykonywane przez Pana usługi sklasyfikowane pod symbolem PKWiU 62.02.30.0 były/są/będą usługami związanymi z doradztwem w zakresie oprogramowania?
Odp. Usługi Wnioskodawcy nie obejmowały/nie obejmują/nie będą obejmować doradztwa w zakresie oprogramowania. Wnioskodawca udziela wsparcia wyłącznie w obszarze technologii informatycznych, co oznacza, że Wnioskodawca skupia się na aspektach technicznych, infrastrukturze IT oraz integracji systemów. Wybór konkretnego oprogramowania oraz dostawcy tych rozwiązań jest całkowicie w gestii klienta. Rola Wnioskodawcy polega na uczestnictwie we wdrożeniach wybranego przez klienta systemu, jednak tylko w ramach kompetencji jako eksperta od technologii informatycznych. Zaangażowanie Wnioskodawcy nie obejmowało/nie obejmuje/nie będzie obejmować podejmowania decyzji dotyczących wyboru oprogramowania ani doradztwa w tej dziedzinie.
4. Jakie dokładnie czynności wykonywał/wykonuje/będzie wykonywał Pan w ramach świadczonych usług polegających na podejmowaniu wszelkich czynności związanych z cyberbezpieczeństwem (Usługi Cyberbezpieczeństwa)? Należy szczegółowo wskazać na czym konkretnie polegały/polegają/będą polegać Pana czynności w zakresie:
a)wdrażania oprogramowania, sprzętu komputerowego i procedur sterowania dostępem do danych i programami pozwalającymi na bezpieczną wymianę informacji w ramach sieci;
Odp. W pierwszej kolejności Wnioskodawca pomaga na etapie doboru technologii i standardów zabezpieczeń, które najlepiej odpowiadają potrzebom i wymaganiom klienta. Rola Wnioskodawcy obejmuje analizę dostępnych rozwiązań oraz rekomendowanie tych, które zapewnią najwyższy poziom ochrony danych i bezpiecznej wymiany informacji w ramach sieci. Kiedy klient podejmuje decyzję o wdrożeniu wybranego rozwiązania zabezpieczającego, Wnioskodawca aktywnie uczestniczy w procesie jego konfiguracji oraz przeprowadzaniu testów, współpracując zarówno z dostawcą oprogramowania, jak i z zespołem klienta.
Dodatkowo, Wnioskodawca zdaję sobie sprawę, że nowe rozwiązania zabezpieczające często wymagają opracowania i wdrożenia odpowiednich procedur dla pracowników. W tym kontekście Wnioskodawca wykorzystuję swoją wiedzę i doświadczenie, aby przetłumaczyć złożone zagadnienia techniczne na zrozumiały język biznesowy. Dzięki temu Wnioskodawca może pomóc organizacji w płynnym wdrożeniu nowych technologii, zapewniając, że wszyscy użytkownicy rozumieją i przestrzegają nowych procedur bezpieczeństwa.
b)stałego monitorowania zasobów zgodnie z przyjętą strategią bezpieczeństwa, diagnozowania potencjalnie niebezpiecznych obszarów i zarządzania incydentami;
Odp. Wnioskodawca korzysta z rozwiązań wdrożonych przez klienta do monitorowania zarówno aktualnego, jak i historycznego stanu systemów oraz bezpieczeństwa, w tym analizy logów. Dzięki temu Wnioskodawca może na bieżąco śledzić i analizować dane dotyczące działania systemów oraz wykrywać potencjalnie niebezpieczne obszary. Na przykład, jeśli klient posiada narzędzie do analizy ruchu w sieci, Wnioskodawca automatyzuje proces raportowania, aby umożliwić stałe monitorowanie nietypowych zdarzeń oraz niecodziennych aktywności w sieci.
W przypadku zidentyfikowania incydentów bezpieczeństwa, Wnioskodawca podejmuje działania zgodnie z przyjętą strategią bezpieczeństwa klienta, co obejmuje szybkie diagnozowanie problemów, minimalizowanie zagrożeń oraz koordynowanie odpowiednich działań naprawczych. Celem Wnioskodawcy jest zapewnienie, że systemy klienta pozostają w pełni chronione i zgodne z wytycznymi bezpieczeństwa.
c)wykorzystywania ustawień i narzędzi zabezpieczających urządzenia przed dostępem nieupoważnionych osób oraz instalacją nieautoryzowanego oprogramowania;
Odp. Rozwiązania korporacyjne i systemy operacyjne często posiadają wbudowane mechanizmy umożliwiające ograniczenie dostępu dla użytkowników oraz zabezpieczenie urządzeń przed instalacją nieautoryzowanego oprogramowania. Wnioskodawca wykorzystuje te funkcje, aby zminimalizować potencjalne zagrożenia związane z nieuprawnionym dostępem oraz instalacją niepożądanych aplikacji. Proces ten polega na konfiguracji odpowiednich ustawień bezpośrednio w danym systemie, takich jak uprawnienia użytkowników, polityki grupowe, czy kontrola dostępu do aplikacji i danych. Dzięki temu Wnioskodawca może skutecznie zabezpieczyć urządzenia zapewniając, że tylko upoważnione osoby mają dostęp do krytycznych zasobów, a instalacja oprogramowania jest możliwa wyłącznie za zgodą administratora.
d)wykonywania regularnych backupów i kopii bezpieczeństwa;
Odp. Najczęściej klienci stosują lokalne backupy na urządzeniach typu (…) lub rozwiązania chmurowe. Rola Wnioskodawcy polega na konfigurowaniu systemów backupu, w tym ustawianiu rotacji kopii zapasowych oraz sond do monitorowania stanu backupów, aby zapewnić ich regularność i niezawodność. W przypadku wykrycia problemów technicznych, takich jak awaria dysku, Wnioskodawca przekazuje zadania związane z obsługą sprzętową zewnętrznym firmom specjalizującym się w serwisowaniu tego typu urządzeń. Dzięki temu Wnioskodawca może zapewnić klientom ciągłość ochrony danych oraz szybkie reagowanie na wszelkie problemy związane z backupami.
e)zabezpieczenia sieci przed nieautoryzowanym dostępem i złośliwym oprogramowaniem oraz ograniczenia dostępu pracowników do potencjalnie niebezpiecznych stron internetowych lub usług;
Odp. Podobnie jak w punkcie c – systemy operacyjne oferują funkcje zabezpieczające, które można zastosować również w przeglądarkach internetowych. Przeglądarki same w sobie umożliwiają konfigurowanie różnych zabezpieczeń, takich jak blokowanie dostępu do potencjalnie niebezpiecznych stron internetowych czy ograniczanie instalacji złośliwego oprogramowania. Ponadto, zabezpieczenia mogą być wdrażane na poziomie (…), co pozwala na (…). Dodatkowe środki mogą być również zastosowane na warstwie sprzętowej sieci, na przykład za pomocą (…). Wszystkie te czynności wykonuje się bezpośrednio w danym systemie, aby zapewnić kompleksową ochronę sieci i minimalizować ryzyko związane z nieautoryzowanym dostępem oraz złośliwym oprogramowaniem.
f)prowadzenia incydentów związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowania się i współpracy z interesariuszami w zakresie naruszeń danych;
Odp. Chociaż usługa ta jest wykonywana rzadko, w przypadku wystąpienia incydentu bezpieczeństwa, klient jest zobowiązany do zebrania i przygotowania wszystkich danych związanych z incydentem, co jest niezbędne do spełnienia obowiązków, takich jak raportowanie incydentu zgodnie z wymogami RODO. W takich sytuacjach Wnioskodawca przejmuje na siebie odpowiedzialność za całościowe zarządzanie incydentem – od jego wykrycia, przez zbieranie i analizowanie danych, aż do zamknięcia sprawy. Wnioskodawca współpracuje z klientem, aby upewnić się, że wszystkie niezbędne informacje są dokładnie udokumentowane i gotowe do przekazania odpowiednim interesariuszom, w tym organom nadzorującym. Działania Wnioskodawcy obejmują również komunikację z odpowiednimi stronami w kwestii dalszych kroków, które należy podjąć, aby zapobiec przyszłym naruszeniom.
g)analizowania danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących;
Odp. W przypadku podejrzenia nielegalnego działania, takiego jak korzystanie z nielegalnego oprogramowania, Wnioskodawca jest w stanie wykryć i zweryfikować takie przypadki. Jeśli klient dysponuje odpowiednimi narzędziami, na przykład do monitoringu pracy pracownika, Wnioskodawca konfiguruje te systemy, aby skutecznie monitorowały działania w sieci oraz na poszczególnych urządzeniach. Następnie Wnioskodawca analizuje wyniki zebranych raportów, identyfikując potencjalne naruszenia oraz nieprawidłowości. Działania Wnioskodawcy mają na celu wsparcie klienta w procesie dochodzeniowym, eliminację ryzyka związanego z nielegalnymi działaniami oraz opracowanie i wdrożenie działań łagodzących, które mogą zapobiec podobnym incydentom w przyszłości. Dzięki temu klient może podjąć odpowiednie kroki prawne i organizacyjne, aby chronić swoją infrastrukturę i zasoby.
h)analizowania wyciągniętych wniosków i zaproponowania ulepszenia procedur środków kontroli bezpieczeństwa;
Odp. Większość narzędzi, z których Wnioskodawca korzysta, generuje szczegółowe raporty dotyczące stanu bezpieczeństwa w organizacji. Ponadto, cenne informacje dostarczają sami pracownicy, którzy mogą wskazać na praktyczne problemy i wyzwania związane z bieżącym zabezpieczeniem systemów. Zbierając te wszystkie dane, Wnioskodawca dokonuje analizy i przedstawia je osobom decyzyjnym w organizacji. Na podstawie zebranych informacji Wnioskodawca proponuje konkretne rozwiązania, które mogą usprawnić istniejące procedury i środki kontroli bezpieczeństwa. Przykładem takiego ulepszenia może być (…). Takie podejście pomaga w eliminacji ludzkich błędów i zwiększa ogólny poziom bezpieczeństwa w organizacji.
i)upewnienia się, że reakcja na incydenty i wymagania dotyczące nielegalnych działań są wychwytywane i dostarczane przez program bezpieczeństwa;
Odp. Korzystając z logów systemów bezpieczeństwa oraz narzędzi do monitorowania, Wnioskodawca regularnie analizuje, czy reakcje na incydenty oraz wymagania dotyczące nielegalnych działań są skutecznie realizowane przez wdrożony program bezpieczeństwa. Dodatkowo, Wnioskodawca przeprowadza próbne incydenty, symulując różne scenariusze zagrożeń, aby sprawdzić, czy systemy są prawidłowo skonfigurowane oraz czy przygotowane procedury działają zgodnie z oczekiwaniami. W ten sposób Wnioskodawca upewnia się, że organizacja jest odpowiednio przygotowana do reagowania na rzeczywiste incydenty oraz że wszystkie wymagania prawne i operacyjne są spełnione.
j)wykonywania manualnych testów penetracyjnych systemów informatycznych i infrastruktury teleinformatycznej;
Odp. Jest to związane z punktem i – manualne testy penetracyjne Wnioskodawca przeprowadza, aby upewnić się, że wdrożone przez klienta rozwiązania bezpieczeństwa działają zgodnie z założeniami. Podczas tych testów Wnioskodawca symuluje różne scenariusze ataków i prób nieautoryzowanego dostępu, aby sprawdzić, jak systemy reagują na potencjalne zagrożenia. Prosty przykład takiego testu to wielokrotne wpisanie błędnego hasła, które powinno skutkować tymczasowym lub stałym zablokowaniem możliwości logowania. Tego typu testy pozwalają na weryfikację skuteczności zabezpieczeń i identyfikację ewentualnych luk, które mogą wymagać dodatkowej uwagi i poprawy.
k)wydawania rekomendacji w zakresie powzięcia środków technicznych w celu zabezpieczenia systemów informatycznych;
Odp. W praktyce każde działanie, czynność czy usługa, którą Wnioskodawca realizuje, wiąże się z wydawaniem rekomendacji dotyczących działań naprawczych mających na celu poprawę bezpieczeństwa systemów informatycznych. Na przykład, zgodnie z opisem w punkcie j, jeśli podczas manualnych testów penetracyjnych Wnioskodawca wykryje nieprawidłową konfigurację obsługi logowania, rekomendacja Wnioskodawcy mogłaby obejmować wprowadzenie mechanizmu czasowego zablokowania logowania po trzech nieudanych próbach oraz całkowitej blokady logowania po dziesięciu nieudanych próbach. Tego rodzaju rekomendacje mają na celu uszczelnienie systemów oraz zapobieganie potencjalnym zagrożeniom wynikającym z błędów konfiguracji lub niewystarczających zabezpieczeń.
l) aktywnego wspierania wiedzą oraz pomocą przy rozwiązywaniu problemów świadczonych dla pracowników oraz kontrahentów klienta implementujących środki bezpieczeństwa służącym zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej;
Odp. Od strony proaktywnej, Wnioskodawca świadcząc usługi i na bieżąco zdobywając wiedzę na temat aktualnych zagrożeń oraz nowych rozwiązań w dziedzinie bezpieczeństwa, regularnie informuje swoich klientów o potencjalnych ryzykach oraz dostępnych środkach ochrony. Wnioskodawca stara się być o krok przed zagrożeniami, aby klienci mogli podjąć odpowiednie działania zanim problem się pojawi.
Od strony reaktywnej, w przypadku pytań czy problemów zgłaszanych przez pracowników lub kontrahentów klienta, Wnioskodawca przekłada złożoną wiedzę techniczną na język zrozumiały dla biznesu. Dzięki temu Wnioskodawca pomaga przedsiębiorstwom lepiej zrozumieć naturę zagrożeń oraz skuteczne metody ich eliminacji. Wnioskodawca wspiera ich w podejmowaniu świadomych decyzji dotyczących implementacji środków bezpieczeństwa, które zwiększają poziom ochrony infrastruktury teleinformatycznej. Wsparcie Wnioskodawcy obejmuje zarówno doradztwo, jak i praktyczną pomoc w implementacji oraz optymalizacji zabezpieczeń.
m) komunikowania się i współpracy z inżynierami zaangażowanymi w wykryte incydenty bezpieczeństwa;
Odp. W przypadku wystąpienia incydentu bezpieczeństwa, na przykład gdy okazuje się, że urządzenie sieciowe nie posiada wszystkich niezbędnych aktualizacji, rola Wnioskodawcy polega na skutecznym przekazaniu zebranych informacji i danych z systemów osobie odpowiedzialnej za dany sprzęt. Wnioskodawca przekazuje te informacje inżynierowi, który może być przedstawicielem dostawcy lub firmy wdrożeniowej, dostarczając mu pełny kontekst sytuacji, w tym szczegóły dotyczące problemu, wykryte luki oraz Wnioskodawcy analizę sytuacji. W ten sposób Wnioskodawca wspiera inżyniera w szybkim zdiagnozowaniu i rozwiązaniu problemu, zapewniając, że wszystkie działania naprawcze zostaną przeprowadzone sprawnie i zgodnie z najlepszymi praktykami w zakresie bezpieczeństwa.
n)analizy danych wspierających działania dochodzeniowe pozwalające eliminować lub ograniczać ryzyko ataków cybernetycznych;
Odp. Na podstawie danych pochodzących z systemów operacyjnych oraz systemów i urządzeń bezpieczeństwa Wnioskodawca przeprowadza szczegółową analizę, która pozwala na identyfikację słabych punktów oraz usprawnienie istniejących zabezpieczeń. Przykładem takiej analizy może być monitorowanie i analiza ruchu wychodzącego z sieci, gdzie można zauważyć nieautoryzowane przekazywanie danych przez aplikację na zewnątrz – często spowodowane błędną konfiguracją. Dzięki tej wiedzy Wnioskodawca może zaproponować i wdrożyć odpowiednie środki zaradcze, takie jak blokowanie niepożądanego ruchu na poziomie urządzenia sieciowego, bez konieczności ingerencji w samą aplikację. Tego rodzaju działania pozwalają na skuteczne eliminowanie lub ograniczanie ryzyka ataków cybernetycznych poprzez wzmocnienie ochrony w newralgicznych punktach systemu.
o)weryfikowania czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne;
Odp. Poza wspomnianymi wcześniej manualnymi testami penetracyjnymi Wnioskodawca weryfikuje skuteczność zastosowanych środków za pomocą systemów monitorowania, takich jak (…). Te narzędzia pozwalają na (…). Dzięki nim Wnioskodawca może ocenić, czy systemy bezpieczeństwa działają zgodnie z założeniami, oraz identyfikować potencjalne luki, które wymagają dalszej analizy i wzmocnienia.
p)aktywnego wspierania wiedzą w użytkowaniu i usuwaniu usterek sprzętu komputerowego oraz testowanego oprogramowania;
Odp. Pracując z użytkownikami Wnioskodawca często pomaga w obsłudze codziennych problemów technicznych, takich jak konfiguracja urządzeń peryferyjnych, rozwiązywanie problemów z dostępem do sieci, a także wsparcie w instalacji i aktualizacji oprogramowania. Ponadto, Wnioskodawca oferuje pomoc w zrozumieniu funkcji i możliwości testowanego systemu, co pozwala użytkownikom na efektywniejsze wykorzystanie narzędzi w ich codziennej pracy.
q)udzielania pomocy technicznej w celu rozwiązania problemów klienta z zakresu bezpieczeństwa.
Odp. Problemy bezpieczeństwa często wymagają, aby reagować szybko. Bardzo ważne jest, aby pomóc użytkownikom odpowiednio reagować. Wnioskodawca udziela pomocy technicznej poprzez natychmiastowe diagnozowanie i neutralizowanie zagrożeń, takie jak wirusy, próby phishingu czy nieautoryzowane próby dostępu. Wnioskodawca edukuje użytkowników na temat najlepszych praktyk w zakresie bezpieczeństwa, takich jak rozpoznawanie podejrzanych wiadomości e-mail, bezpieczne zarządzanie hasłami, oraz stosowanie dwuetapowej weryfikacji. Ponadto, Wnioskodawca wspiera ich w implementacji zalecanych środków ochrony oraz w pełnym przywracaniu systemów do stanu bezpiecznego po wystąpieniu incydentu.
Proszę o ich szczegółowe i wyczerpujące scharakteryzowanie, tj. opisanie, na czym konkretnie polegały/polegają/będą polegać wymienione przez Pana czynności:
1)czego dotyczyły/dotyczą/będą dotyczyć?
2)jaki był/jest/będzie ich zakres?
3)co było/jest/będzie ich efektem?
Proszę o oddzielną charakterystykę w odniesieniu do każdej z wymienionych w lit. a-q przez Pana czynności.
Odp. Odpowiedzi na przedstawione przez tut. Organ pytania zostały przedstawione wyżej (lit. a-q). Każda z odpowiedzi dotyczy zarówno stanu przeszłego, faktycznego, jak i zdarzenia przyszłego (każdy z zakresów czynności był w takiej formie realizowany, jest oraz będzie w przyszłości). Podstawowym efektem realizowanych ww. czynności było/jest/będzie zapewnienie integralności i bezpieczeństwa systemów informatycznych w organizacji klienta (lit. a-q).
5.Jakie dokładnie czynności wykonywał/wykonuje/będzie wykonywał Pan w ramach świadczonych usług polegających na podejmowaniu wszelkich czynności związanych z codziennym zarządzaniem systemami informatycznymi i ich eksploatacją (Usługi Zarządzania Systemami Informatycznymi)? Należy szczegółowo wskazać na czym konkretnie polegały/polegają/będą polegać Pana czynności w zakresie:
a) bieżącego zarządzania systemami informatycznymi w częstotliwości dostosowanej do potrzeb klienta;
Odp. Większość systemów informatycznych wymaga opieki administratora, gdzie niezbędna jest znajomość systemu oraz zasad przetwarzania danych. Dla przykładu, (…). To jest obszar działań Wnioskodawcy – Wnioskodawca zapewnia, że wszystkie te zmiany są odpowiednio wdrażane, a systemy pozostają w pełni funkcjonalne i bezpieczne. Praca Wnioskodawcy polega na bieżącym zarządzaniu tymi systemami, dostosowując częstotliwość i zakres działań do potrzeb klienta, co zapewnia ciągłość operacyjną i minimalizuje ryzyko przestojów lub błędów w przetwarzaniu danych.
b) zarządzania w rozwiązywaniu incydentów związanych z systemami informatycznymi polegającymi na obsłudze procesu awarii i przywróceniu sprawności działania i dostępności systemów;
Odp. Każdy system informatyczny prędzej czy później może ulec awarii. W takiej sytuacji zadaniem Wnioskodawcy jest przede wszystkim zabezpieczenie danych, aby uniknąć ich utraty lub uszkodzenia. Następnie Wnioskodawca podejmuje kroki w celu przywrócenia systemu do pełnej sprawności, co może obejmować diagnozowanie przyczyny awarii, naprawę uszkodzonych komponentów, a także przywracanie systemu z backupu. W niektórych przypadkach, gdy naprawa jest niemożliwa lub nieopłacalna, Wnioskodawca przygotowuje system do migracji na nowe środowisko lub platformę, zapewniając minimalny czas przestoju i zachowanie ciągłości działania. Działania Wnioskodawcy obejmują również koordynację całego procesu z zespołami IT i dostawcami, aby jak najszybciej przywrócić pełną dostępność systemów dla użytkowników.
c) zarządzania problemami związanymi z systemami informatycznymi polegające na zlokalizowaniu przyczyny powstania incydentu oraz podejmowaniu czynności mających na celu przywrócenie pełnej sprawności (proaktywne identyfikowanie i rozwiązywanie problemów wraz z określeniem ich priorytetów, definiowanie stałych, systemowych rozwiązań wspomagających usuwanie incydentów w przyszłości);
Odp. Zarządzanie problemami związanymi z systemami informatycznymi polega na zlokalizowaniu przyczyny powstania incydentu i podejmowaniu odpowiednich działań mających na celu przywrócenie pełnej sprawności systemu. Wnioskodawca w swojej pracy koncentruje się na proaktywnym identyfikowaniu i rozwiązywaniu problemów, co oznacza, że stara się przewidywać i zapobiegać incydentom zanim one wystąpią. Gdy incydent już się pojawi, priorytetowo definiuje jego krytyczność i na tej podstawie określa kolejność działań naprawczych.
Po zidentyfikowaniu i rozwiązaniu problemu Wnioskodawca podejmuje kroki mające na celu wdrożenie stałych, systemowych rozwiązań, które pomogą w usuwaniu podobnych incydentów w przyszłości lub, najlepiej, zapobiegną ich ponownemu wystąpieniu. Działania Wnioskodawcy obejmują również dokumentowanie procesów, analizowanie wzorców problemów oraz tworzenie i wdrażanie usprawnień, które zwiększą niezawodność i stabilność systemów informatycznych, co przekłada się na lepszą odporność na przyszłe incydenty.
d) zarządzania konfiguracjami systemów informatycznych;
Odp. Zarządzanie konfiguracjami systemów informatycznych polega na systematycznym nadzorowaniu i kontrolowaniu wszystkich aspektów konfiguracji tych systemów. Rola Wnioskodawcy w tym procesie obejmuje zarówno inicjalne ustawienie systemów zgodnie z wymaganiami klienta, jak i bieżące monitorowanie oraz aktualizowanie konfiguracji w odpowiedzi na zmieniające się potrzeby biznesowe, aktualizacje oprogramowania, czy nowe zagrożenia bezpieczeństwa.
Kluczowym elementem zarządzania konfiguracjami jest dokumentacja i wersjonowanie każdej zmiany w konfiguracji, co pozwala na szybkie przywrócenie poprzednich ustawień w przypadku problemów. Wnioskodawca upewnia się, że wszystkie systemy są skonfigurowane w sposób optymalny pod kątem wydajności, bezpieczeństwa i zgodności z politykami organizacji. Dodatkowo, Wnioskodawca zarządza konfiguracjami w taki sposób, aby minimalizować ryzyko wynikające z nieautoryzowanych zmian oraz aby każda modyfikacja była zgodna z długoterminową strategią IT klienta.
e) aktywnego monitorowania pracy systemów informatycznych na potrzeby wczesnego i automatycznego wykrywania incydentów;
Odp. Aktywne monitorowanie pracy systemów informatycznych jest kluczowym elementem wczesnego i automatycznego wykrywania incydentów. Rola Wnioskodawcy w tym procesie polega na wdrożeniu i zarządzaniu systemami monitorującymi, które ciągle analizują kluczowe wskaźniki wydajności, logi systemowe oraz ruch sieciowy. Dzięki zaawansowanym narzędziom do monitorowania Wnioskodawca jest w stanie wykrywać nietypowe zachowania lub anomalie, które mogą wskazywać na potencjalne zagrożenia lub problemy techniczne.
Automatyczne alerty, które są generowane w odpowiedzi na zdefiniowane wcześniej kryteria, pozwalają na szybkie podjęcie działań naprawczych jeszcze zanim incydent wpłynie na działanie systemu lub użytkowników. Ponadto, monitorowanie obejmuje analizę trendów w dłuższym okresie, co umożliwia przewidywanie problemów oraz podejmowanie proaktywnych działań mających na celu zapobieganie przyszłym incydentom. Zadaniem Wnioskodawcy jest zapewnienie, aby systemy monitorujące działały nieprzerwanie i skutecznie, dostarczając rzetelne informacje, które są kluczowe dla utrzymania bezpieczeństwa i wydajności infrastruktury IT.
f) zarządzenia uprawnieniami dostępu do systemów informatycznych;
Odp. Zarządzanie uprawnieniami dostępu do systemów informatycznych polega na definiowaniu, implementacji i regularnej aktualizacji polityk dostępu, które określają, kto ma dostęp do określonych zasobów i na jakim poziomie. Rola Wnioskodawcy obejmuje tworzenie i zarządzanie rolami użytkowników, kontrolę i audytowanie uprawnień, wdrażanie mechanizmów uwierzytelniania, oraz dostosowywanie uprawnień w odpowiedzi na zmiany w strukturze organizacyjnej. Wnioskodawca dąży do tego, aby uprawnienia były zgodne z zasadą minimalnych uprawnień, co maksymalizuje bezpieczeństwo systemów informatycznych.
g) pomocy technicznej w zakresie korzystania z systemów informatycznych.
Odp. Pomoc techniczna w zakresie korzystania z systemów informatycznych obejmuje wsparcie użytkowników w codziennym korzystaniu z tych systemów, rozwiązywanie napotkanych problemów, oraz udzielanie porad dotyczących najlepszych praktyk. Zadaniem Wnioskodawcy jest zapewnienie, że użytkownicy mogą efektywnie i bezproblemowo korzystać z dostępnych narzędzi, a także edukowanie ich w zakresie funkcjonalności systemów, co minimalizuje ryzyko wystąpienia problemów w przyszłości.
Proszę o ich szczegółowe i wyczerpujące scharakteryzowanie, tj. opisanie, na czym konkretnie polegały/polegają/będą polegać wymienione przez Pana czynności:
1)czego dotyczyły/dotyczą/będą dotyczyć?
2)jaki był/jest/będzie ich zakres?
3)co było/jest/będzie ich efektem?
Proszę o oddzielną charakterystykę w odniesieniu do każdej z wymienionych w lit. a-g przez Pana czynności.
Odp. Odpowiedzi na przedstawione przez tut. Organ pytania zostały przedstawione wyżej (lit. a-g). Każda z odpowiedzi dotyczy zarówno stanu przeszłego, faktycznego, jak i zdarzenia przyszłego (każdy z zakresów czynności był w takiej formie realizowany, jest oraz będzie w przyszłości). Podstawowym efektem realizowanych ww. czynności było/jest/będzie prawidłowe funkcjonowanie systemów informatycznych oraz ich właściwa eksploatacja (lit. a-q).
6.Jakie dokładnie czynności wykonywał/wykonuje/będzie wykonywał Pan w ramach świadczonych usług polegających na podejmowaniu wszelkich czynności związanych z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych (Usługi Rozwoju Technologii)? Należy szczegółowo wskazać na czym konkretnie polegały/polegają/będą polegać Pana czynności w zakresie:
a)projektowania systemów informatycznych z uwzględnieniem najlepszych praktyk, rekomendacji, standardów, wymagań kontrahenta;
Odp. Projektowanie systemów informatycznych z uwzględnieniem najlepszych praktyk, rekomendacji, standardów oraz wymagań kontrahenta polega na kompleksowym podejściu do tworzenia rozwiązań, które są zarówno efektywne, jak i zgodne z najnowszymi wytycznymi branżowymi. Proces ten rozpoczyna się od szczegółowej analizy potrzeb klienta, zrozumienia jego celów biznesowych oraz specyficznych wymagań funkcjonalnych. Na tej podstawie Wnioskodawca projektuje systemy, które są dostosowane do indywidualnych potrzeb klienta, jednocześnie dbając o to, aby były one zgodne z obowiązującymi standardami bezpieczeństwa, wydajności oraz skalowalności.
Podczas projektowania Wnioskodawca uwzględnia również najlepsze praktyki i rekomendacje, które obejmują zarówno aspekty techniczne, jak i organizacyjne. Oznacza to, że projektowane systemy nie tylko spełniają oczekiwania kontrahenta, ale są także zoptymalizowane pod kątem długoterminowej niezawodności i łatwości utrzymania. W procesie projektowania Wnioskodawca współpracuje z klientem, aby upewnić się, że wszystkie jego wymagania są odpowiednio zaadresowane, a także konsultuje się z zespołami technicznymi, aby zapewnić, że wszystkie komponenty systemu będą działać spójnie i efektywnie. Celem Wnioskodawcy jest stworzenie systemów, które są nie tylko technologicznie zaawansowane, ale także praktyczne i dostosowane do rzeczywistych potrzeb użytkowników końcowych.
b)analizy i weryfikacji aktualnego stanu systemów na podstawie dokumentacji lub dostępu bezpośredniego;
Odp. Analiza i weryfikacja aktualnego stanu systemów na podstawie dokumentacji lub dostępu bezpośredniego to proces oceny i oceny funkcjonowania istniejącej infrastruktury informatycznej. Przebieg tego procesu zaczyna się od dokładnej analizy dostępnej dokumentacji, która może obejmować schematy architektury, specyfikacje techniczne, raporty z wcześniejszych audytów oraz wszelkie inne dokumenty związane z systemami. Taka analiza pozwala zrozumieć teoretyczny stan systemu, jego konfigurację, przepływy danych oraz potencjalne słabe punkty.
Jeżeli dokumentacja jest niewystarczająca lub potrzebna jest głębsza analiza, Wnioskodawca przechodzi do bezpośredniego dostępu do systemów. W ramach tego kroku wykorzystuje narzędzia do monitorowania i diagnostyki, aby dokładnie sprawdzić działanie systemów w czasie rzeczywistym, identyfikować potencjalne problemy oraz weryfikować, czy systemy działają zgodnie z założeniami i specyfikacjami. Taka analiza może obejmować testy wydajnościowe, audyty bezpieczeństwa, przegląd konfiguracji oraz weryfikację logów systemowych.
Wyniki tej analizy pozwalają na stworzenie szczegółowego obrazu obecnego stanu systemów, identyfikację obszarów wymagających poprawy oraz sformułowanie rekomendacji dotyczących dalszych działań. Dzięki temu procesowi możliwe jest nie tylko zrozumienie, jak systemy działają obecnie, ale również jakie kroki są potrzebne, aby poprawić ich wydajność, bezpieczeństwo i zgodność z wymaganiami biznesowymi.
c)prowadzenia spotkań w celu optymalizacji kosztów oraz zwiększenia efektywności wykorzystywanych usług na środowiskach testowych i produkcyjnych;
Odp. Prowadzenie spotkań w celu optymalizacji kosztów oraz zwiększenia efektywności wykorzystywanych usług na środowiskach testowych i produkcyjnych to kluczowy element zarządzania zasobami IT. Proces ten zaczyna się od zorganizowania spotkań z udziałem kluczowych interesariuszy, w tym przedstawicieli działów IT, finansów oraz operacji, aby dokładnie zrozumieć bieżące wykorzystanie zasobów i usług w obu środowiskach.
Podczas tych spotkań Wnioskodawca analizuje obecne koszty związane z infrastrukturą IT, w tym licencje na oprogramowanie, zasoby chmurowe, sprzęt oraz koszty utrzymania. Wspólnie z zespołem Wnioskodawca ocenia, w jakim stopniu te zasoby są efektywnie wykorzystywane, identyfikując obszary, gdzie można wprowadzić usprawnienia. Omawiana jest również możliwość konsolidacji zasobów, automatyzacji procesów oraz optymalizacji licencji, co może prowadzić do znaczących oszczędności.
Na spotkaniach Wnioskodawca przedstawia propozycje zmian i ulepszeń, które mogą obejmować modyfikacje w zarządzaniu środowiskami testowymi, wprowadzenie bardziej elastycznych rozwiązań chmurowych, czy też optymalizację procesów deploymentu na środowiskach produkcyjnych. Celem tych działań jest nie tylko redukcja kosztów, ale także zwiększenie wydajności operacyjnej, co przekłada się na szybsze dostarczanie usług oraz lepsze wykorzystanie dostępnych zasobów.
Efektem takich spotkań jest stworzenie planu działania, który jest następnie realizowany, aby zapewnić, że wszystkie rekomendacje są wdrażane w sposób, który maksymalizuje korzyści finansowe i operacyjne dla organizacji.
d)przygotowywania ofert, prezentacji oraz koncepcji dotyczących rozwiązań technologii informatycznych;
Odp. Przygotowywanie ofert, prezentacji oraz koncepcji dotyczących rozwiązań technologii informatycznych to proces, który wymaga dogłębnego zrozumienia potrzeb klienta oraz aktualnych trendów w branży IT. Proces ten zaczyna się od zebrania szczegółowych informacji o wymaganiach i oczekiwaniach klienta, co pozwala na opracowanie spersonalizowanego podejścia do proponowanych rozwiązań.
Tworząc oferty, Wnioskodawca skupia się na przedstawieniu kompleksowych rozwiązań, które odpowiadają na specyficzne wyzwania klienta. Oferta zawiera dokładne opisy proponowanych technologii, korzyści płynących z ich wdrożenia, a także szczegółowe koszty i harmonogramy realizacji. Każda oferta jest dostosowana do unikalnych potrzeb klienta, z uwzględnieniem jego budżetu oraz celów biznesowych.
Prezentacje, które Wnioskodawca przygotowuje, mają na celu nie tylko przekazanie informacji technicznych, ale również zilustrowanie wartości biznesowej proponowanych rozwiązań. Wnioskodawca korzysta z wizualizacji, case studies oraz demonstracji, aby pokazać, jak technologia może przyczynić się do wzrostu efektywności, redukcji kosztów, czy poprawy bezpieczeństwa w organizacji. Prezentacje te są interaktywne i dostosowane do poziomu wiedzy odbiorców, co umożliwia łatwe zrozumienie przedstawianych koncepcji.
Koncepcje technologiczne, które Wnioskodawca opracowuje, bazują na najlepszych praktykach i innowacyjnych podejściach. Przedstawiają one strategiczne kierunki rozwoju infrastruktury IT klienta, z uwzględnieniem przyszłych potrzeb i skalowalności. Każda koncepcja jest tworzona z myślą o długoterminowych korzyściach, jakie może przynieść wdrożenie nowych technologii i jest poparta solidną analizą rynku oraz technologicznymi trendami.
Cały ten proces kończy się przedstawieniem klientowi oferty, prezentacji oraz koncepcji, które są klarowne, przekonujące i ukierunkowane na realizację jego celów biznesowych, a także na zbudowanie długotrwałej współpracy.
e)instalacji i konfiguracji narzędzi automatyzujących proces wdrożenia systemów informatycznych, który to nie stanowi usług związanych z oprogramowaniem.
Odp. Instalacja i konfiguracja narzędzi automatyzujących proces wdrożenia systemów informatycznych, która nie jest bezpośrednio związana z usługami dotyczącymi oprogramowania, polega na wdrażaniu i optymalizacji infrastruktury wspierającej automatyzację wdrożeń. Proces ten obejmuje instalację narzędzi i platform, które umożliwiają automatyczne zarządzanie procesem wdrażania systemów, od konfiguracji środowisk, przez zarządzanie zależnościami, aż po deployment na środowiskach testowych i produkcyjnych.
Zadaniem Wnioskodawcy jest odpowiednia konfiguracja tych narzędzi, aby zapewnić ich efektywne działanie w ramach istniejącej infrastruktury IT. To może obejmować ustawienie procesów (…)/(…), automatyzację tworzenia kopii zapasowych, czy konfigurację narzędzi do monitorowania i logowania, które wspierają bezproblemowe wdrożenie systemów informatycznych.
Choć te działania nie polegają bezpośrednio na tworzeniu lub modyfikowaniu oprogramowania, mają kluczowe znaczenie dla skutecznego i efektywnego wdrażania systemów. Dzięki automatyzacji procesów wdrożeniowych możliwe jest zmniejszenie ryzyka błędów ludzkich, przyspieszenie wdrożeń oraz zwiększenie niezawodności i powtarzalności całego procesu, co przekłada się na lepszą stabilność i wydajność systemów w długim okresie.
Proszę o ich szczegółowe i wyczerpujące scharakteryzowanie, tj. opisanie, na czym konkretnie polegały/polegają/będą polegać wymienione przez Pana czynności:
1)czego dotyczyły/dotyczą/będą dotyczyć?
2)jaki był/jest/będzie ich zakres?
3)co było/jest/będzie ich efektem?
Proszę o oddzielną charakterystykę w odniesieniu do każdej z wymienionych w lit. a-e przez Pana czynności.
Odp. Odpowiedzi na przedstawione przez tut. Organ pytania zostały przedstawione wyżej (lit. a-e). Każda z odpowiedzi dotyczy zarówno stanu przeszłego, faktycznego, jak i zdarzenia przyszłego (każdy z zakresów czynności był w takiej formie realizowany, jest oraz będzie w przyszłości). Podstawowym efektem realizowanych ww. czynności było/jest/będzie (lit. a-e) projektowanie i rozwój technologii informatycznych dla sieci i systemów komputerowych w organizacji klienta, szczegółowo opisanych powyżej.
7.Czy prowadzona przez Pana działalność gospodarcza była/jest/będzie działalnością usługową w myśl art. 4 ust. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. z 2024 r. poz. 776)?
Odp. Tak, prowadzona przez Wnioskodawcę działalność gospodarcza była, jest i będzie działalnością usługową w myśl art. 4 ust. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Przedmiotem działalności Wnioskodawcy są czynności zaliczone do usług zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU), w tym m.in. usługi związane z projektowaniem, zarządzaniem i optymalizacją systemów informatycznych. W związku z tym, działalność Wnioskodawcy wpisuje się w definicję działalności usługowej określoną w przywołanej ustawie.
8.Czy usługi dla Pana zagranicznych kontrahentów były/są/będą wykonywane przez Pana w Polsce czy w kraju, w którym podmiot ten ma siedzibę? Jeśli usługi były/są/będą wykonywane w kraju, w którym podmiot ten ma siedzibę, to, czy działalność gospodarcza w tym państwie była/jest/będzie prowadzona za pośrednictwem zakładu w rozumieniu umowy o unikaniu podwójnego opodatkowania zawartej między Polską a tym państwem?
Odp. Usługi realizowane przez Wnioskodawcę dla zagranicznych kontrahentów były, są i będą wykonywane w Polsce. W siedzibie kontrahenta Wnioskodawca pojawia się jedynie incydentalnie na wybranych spotkaniach, co oznacza, że Wnioskodawca nie prowadzi działalności gospodarczej w państwie, w którym podmiot ten ma siedzibę oraz nie ma stałej placówki w takim państwie. W związku z tym działalność gospodarcza Wnioskodawcy nie jest prowadzona za pośrednictwem zakładu w rozumieniu umowy o unikaniu podwójnego opodatkowania zawartej między Polską a tym państwem. Wszystkie czynności związane z realizacją usług odbywają się na terytorium Polski.
9.W związku, że we wniosku w opisie sprawy wskazał Pan:
Usługi Rozwoju Technologii oraz Usługi Cyberbezpieczeństwa nie są oferowane w pakiecie z Usługami Zarządzania Systemami Informatycznymi i są świadczone na rzecz różnych kontrahentów. Natomiast zdarza się, że Usługi Rozwoju Technologii oraz Usługi Cyberbezpieczeństwa są świadczone na rzecz tych samych kontrahentów.
proszę o jednoznaczne wskazanie:
a)czy Usługi Rozwoju Technologii oraz Usługi Cyberbezpieczeństwa były/są/będą elementami jednego świadczenia?
Odp. Nie, Usługi Rozwoju Technologii oraz Usługi Cyberbezpieczeństwa nie były, nie są i nie będą elementami jednego świadczenia. Każda z tych usług jest świadczona jako odrębna, niezależna usługa, z jasno zdefiniowanym zakresem i celem. Usługi Rozwoju Technologii koncentrują się na projektowaniu, wdrażaniu i optymalizacji nowych rozwiązań technologicznych, natomiast Usługi Cyberbezpieczeństwa obejmują działania mające na celu zabezpieczenie systemów informatycznych oraz ochronę danych przed zagrożeniami zewnętrznymi. Nawet w przypadkach, gdy te usługi są świadczone na rzecz tego samego kontrahenta, są one realizowane jako osobne projekty, z odrębnymi umowami, harmonogramami i wynagrodzeniami. W związku z tym, usługi te nie są i nie będą łączone w jedno świadczenie.
b)czy usługi te były/są/będą świadczone na podstawie jednej umowy?
Odp. Tak, umowy zawierały, zawierają i mogą zawierać obydwie usługi. Oznacza to, że Usługi Rozwoju Technologii oraz Usługi Cyberbezpieczeństwa mogą być świadczone na podstawie jednej umowy. W takich przypadkach umowa obejmuje szczegółowy opis obu usług, precyzując zakres prac, obowiązki stron oraz warunki realizacji każdej z nich. Chociaż usługi te mogą być ujęte w jednej umowie, są one traktowane jako odrębne świadczenia z indywidualnie określonym zakresem, harmonogramem oraz wynagrodzeniem, co umożliwia elastyczne dostosowanie oferty do potrzeb kontrahenta.
c)czy za usługi te Kontrahent płacił/płaci/będzie płacił Panu jedno wynagrodzenie?
Odp. Tak, kontrahent płacił, płaci i będzie płacił jedno wynagrodzenie za obie usługi. Oznacza to, że w przypadku umów obejmujących zarówno Usługi Rozwoju Technologii, jak i Usługi Cyberbezpieczeństwa, kontrahent dokonuje jednej płatności obejmującej całość wynagrodzenia za wykonanie obu tych usług. Chociaż wynagrodzenie jest ujęte w jednej kwocie, w umowie mogą być wyszczególnione poszczególne komponenty związane z każdą z usług, co pozwala na przejrzyste rozliczenie zakresu prac i kosztów związanych z realizacją obu świadczeń.
Jeśli odpowiedzi na powyższe pytania są twierdzące, to czy powyższa usługa jest również przedmiotem złożonego wniosku?
Odp. Nie, powyższe usługi nie są łączone i nie stanowią jednej usługi, w związku z czym nie są przedmiotem złożonego wniosku. Każda z tych usług jest traktowana jako odrębne świadczenie, mimo że mogą być objęte jedną umową i wynagrodzeniem. Oznacza to, że wniosek nie dotyczy łączonego świadczenia tych usług jako jednej usługi, lecz odnosi się do nich indywidualnie.
Pytania
1. Czy w przypadku świadczenia przez Wnioskodawcę Usług Cyberbezpieczeństwa w ramach prowadzonej pozarolniczej działalności gospodarczej, może on począwszy od 2022 roku (i w latach następnych) stosować opodatkowanie w formie ryczałtu od przychodów ewidencjonowanych stosując stawkę podatku wskazaną w art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, tj. w wysokości 8,5%?
2. Czy w przypadku świadczenia przez Wnioskodawcę Usług Zarządzania Systemami Informatycznymi w ramach prowadzonej działalności pozarolniczej działalności gospodarczej, może on począwszy od 2022 roku (i w latach następnych) stosować opodatkowanie w formie ryczałtu od przychodów ewidencjonowanych stosując stawkę podatku wskazaną w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, tj. w wysokości 12%?
3. Czy w przypadku świadczenia przez Wnioskodawcę Usługi Rozwoju Technologii w ramach prowadzonej działalności pozarolniczej działalności gospodarczej, może on począwszy od 2022 roku (i w latach następnych) stosować opodatkowanie w formie ryczałtu od przychodów ewidencjonowanych stosując stawkę podatku wskazaną w art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, tj. w wysokości 8,5%?
Pana stanowisko w sprawie
Ad 1.
W przypadku świadczenia przez Wnioskodawcę Usług Cyberbezpieczeństwa w ramach prowadzonej pozarolniczej działalności gospodarczej, może on począwszy od 2022 r. (i w latach następnych) stosować opodatkowanie w formie ryczałtu od przychodów ewidencjonowanych stosując stawkę podatku wskazaną w art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, tj. w wysokości 8,5%.
Ad 2.
W przypadku świadczenia przez Wnioskodawcę Usług Zarządzania Systemami Informatycznymi w ramach prowadzonej pozarolniczej działalności gospodarczej, może on począwszy od 2022 r. (i w latach następnych) stosować opodatkowanie w formie ryczałtu od przychodów ewidencjonowanych stosując stawkę podatku wskazaną w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, tj. w wysokości 12%.
Ad 3.
W przypadku świadczenia przez Wnioskodawcę Usług Rozwoju Technologii w ramach prowadzonej pozarolniczej działalności gospodarczej, może on począwszy od 2022 r. (i w latach następnych) stosować opodatkowanie w formie ryczałtu od przychodów ewidencjonowanych stosując stawkę podatku wskazaną w art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, tj. w wysokości 8,5%.
Uzasadnienie.
Zgodnie z art. 1 ust. 1 w zw. art. 6 ust. 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (Dz. U. z 2021 r. poz. 1993 z późn. zm.; „Ustawa”) opodatkowaniu ryczałtem od przychodów ewidencjonowanych podlegają przychody osób fizycznych z pozarolniczej działalności gospodarczej.
Zgodnie z art. 4 ust. 1 pkt 12 Ustawy w zw. z art. 14 ust. 1 ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (Dz. U. z 2021 r. poz. 1128 z późn. zm.; „Ustawa o PIT”) za przychód z pozarolniczej działalności gospodarczej uważa się kwoty należne, choćby nie zostały faktycznie otrzymane, po wyłączeniu wartości zwróconych towarów, udzielonych bonifikat i skont, przy czym u podatników dokonujących sprzedaży towarów i usług opodatkowanych podatkiem od towarów i usług za przychód z tej sprzedaży uważa się przychód pomniejszony o należny podatek od towarów i usług.
Natomiast zgodnie z art. 5a pkt 6 Ustawy o PIT pozarolnicza działalność gospodarcza oznacza działalność zarobkową:
a)wytwórczą, budowlaną, handlową, usługową,
b)polegającą na poszukiwaniu, rozpoznawaniu i wydobywaniu kopalin ze złóż,
c)polegającą na wykorzystywaniu rzeczy oraz wartości niematerialnych i prawnych
-prowadzoną we własnym imieniu bez względu na jej rezultat, w sposób zorganizowany i ciągły, z której uzyskane przychody nie są zaliczane do innych przychodów ze źródeł wymienionych w art. 10 ust. 1 pkt 1, 2 i 4-9 Ustawy o PIT.
W świetle art. 6 ust. 4 Ustawy podatnicy opłacają w roku podatkowym ryczałt od przychodów ewidencjonowanych, tylko jeżeli:
1)w roku poprzedzającym rok podatkowy:
a)uzyskali przychody z tej działalności, prowadzonej wyłącznie samodzielnie, w wysokości nieprzekraczającej 2 000 000 euro, lub
b)uzyskali przychody wyłącznie z działalności prowadzonej w formie spółki, a suma przychodów wspólników spółki z tej działalności nie przekroczyła kwoty 2 000 000 euro,
2)rozpoczną wykonywanie działalności w roku podatkowym i nie korzystają z opodatkowania w formie karty podatkowej – bez względu na wysokość przychodów.
Jednocześnie zgodnie z art. 8 ust. 1 Ustawy, opodatkowaniu w formie ryczałtu od przychodów ewidencjonowanych nie stosuje się do podatników:
1)opłacających podatek w formie karty podatkowej;
2)korzystających, na podstawie odrębnych przepisów, z okresowego zwolnienia od podatku dochodowego;
3)osiągających w całości lub w części przychody z tytułu:
a)prowadzenia aptek,
b)działalności w zakresie kupna i sprzedaży wartości dewizowych,
c)działalności w zakresie handlu częściami i akcesoriami do pojazdów mechanicznych;
4)wytwarzających wyroby opodatkowane podatkiem akcyzowym, na podstawie odrębnych przepisów, z wyjątkiem wytwarzania energii elektrycznej z odnawialnych źródeł energii;
5) podejmujących wykonywanie działalności w roku podatkowym po zmianie działalności wykonywanej:
a)samodzielnie na działalność prowadzoną w formie spółki z małżonkiem,
b)w formie spółki z małżonkiem na działalność prowadzoną samodzielnie przez jednego lub każdego z małżonków,
c)samodzielnie przez małżonka na działalność prowadzoną samodzielnie przez drugiego małżonka,
-jeżeli małżonek lub małżonkowie przed zmianą opłacali z tytułu prowadzenia tej działalności podatek dochodowy na ogólnych zasadach.
Dodatkowo, aby móc korzystać z formy opodatkowania zryczałtowanym podatkiem od przychodów ewidencjonowanych, to zgodnie z art. 9 ust. 1 Ustawy koniecznym jest złożenie naczelnikowi urzędu skarbowego właściwego według miejsca zamieszkania podatnika pisemnego oświadczenie o wyborze opodatkowania przychodów z pozarolniczej działalności gospodarczej w formie ryczałtu od przychodów ewidencjonowanych na dany rok podatkowy, do 20. dnia miesiąca następującego po miesiącu, w którym podatnik osiągnął pierwszy przychód z tego tytułu w roku podatkowym.
Biorąc pod uwagę przedstawiony opis stanu faktycznego, należy uznać że Wnioskodawca spełnia wszystkie powyżej wymienione ustawowe warunki do opodatkowania przychodów osiąganych z pozarolniczej działalności gospodarczej zryczałtowanym podatkiem dochodowym od przychodów ewidencjonowanych.
Zatem Wnioskodawca:
1)jest osobą fizyczną osiągającą przychody z pozarolniczej działalności gospodarczej w rozumieniu Ustawy o PIT, oraz
2)przychody z prowadzonej działalności nie przekroczą w 2021 r. kwoty 2 000 000 euro, oraz
3)nie znajduje wobec niego zastosowania żadna z przesłanek wyłączających wskazanych w art. 8 ust. 1 Ustawy, oraz
4)złożył w terminie ustawowym odpowiednie oświadczenie do naczelnika urzędu skarbowego o wyborze opodatkowania przychodów z działalności gospodarczej w formie ryczałtu od przychodów ewidencjonowanych na 2022 r.
Zakładając więc, że Wnioskodawca spełnia wszystkie wymogi do opodatkowania osiąganych przychodów z tytułu Usług Informatycznych ryczałtem ewidencjonowanym, koniecznym jest prawidłowe określenie stawki ryczałtu.
Ad 1. Usługi Cyberbezpieczeństwa
Art. 12 ust. 1 ustawy wymienia kategorie osiąganych przychodów, wobec których stosowane są różne wysokości stawki podatku.
Zgodnie art. 12 ust. 1 pkt 5 lit. a Ustawy, ryczałt od przychodów ewidencjonowanych wynosi 8,5% dla przychodów z działalności usługowej, w tym przychodów z działalności gastronomicznej w zakresie sprzedaży napojów o zawartości alkoholu powyżej 1,5%, z zastrzeżeniem pkt 1-4 oraz 6-8 (tj. pozostałych źródeł uzyskiwanych przychodów, dla których ustalone zostały odmienne stawki).
Postanowienie to należy więc odczytywać jako zasadę, wedle której przychody ze świadczenia usług są objęte stawką ryczałtu w wysokości 8,5%, jeżeli brak jest możliwości przyporządkowania danego rodzaju działalności do innych kategorii czynności precyzyjnie określonych w art. 12 ust. 1 pkt 1-4 oraz 6-8 Ustawy, do których stosowane są odmienne stawki.
W ocenie Wnioskodawcy, brak jest możliwości dopasowania świadczonej Usługi Cyberbezpieczeństwa do którejkolwiek z kategorii czynności wymienionych w art. 12 ust. 1 pkt 1-4 oraz 6-8 Ustawy.
Jak zostało wskazane w powyższym opisie stanu faktycznego, Usługa Cyberbezpieczeństwa obejmuje:
1)wdrażanie oprogramowania, sprzętu komputerowego i procedur sterowania dostępem do danych i programami pozwalającymi na bezpieczną wymianę informacji w ramach sieci;
2)stałe monitorowanie zasobów zgodnie z przyjętą strategią bezpieczeństwa, diagnozowanie potencjalnie niebezpiecznych obszarów i zarządzanie incydentami;
3)wykorzystywanie ustawień i narzędzi zabezpieczających urządzenia przed dostępem nieupoważnionych osób oraz instalacją nieautoryzowanego oprogramowania;
4)wykonywanie regularnych backupów i kopii bezpieczeństwa;
5)zabezpieczenie sieci przed nieautoryzowanym dostępem i złośliwym oprogramowaniem oraz ograniczenie dostępu pracowników do potencjalnie niebezpiecznych stron internetowych lub usług;
6)prowadzeniu incydentów związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowanie się i współpraca z interesariuszami w zakresie naruszeń danych;
7)analizowaniu danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących;
8)analizowaniu wyciągniętych wniosków i zaproponowanie ulepszenia procedur środków kontroli bezpieczeństwa;
9)upewnieniu się, że reakcja na incydenty i wymagania dotyczące nielegalnych działań są wychwytywane i dostarczane przez program bezpieczeństwa;
10)wykonywaniu manualnych testów penetracyjnych systemów informatycznych i infrastruktury teleinformatycznej;
11)wydawanie rekomendacji w zakresie powzięcia środków technicznych w celu zabezpieczenia systemów informatycznych;
12)aktywnym wspieraniu wiedzą oraz pomocą przy rozwiązywaniu problemów świadczonych dla pracowników oraz kontrahentów klienta implementujących środki bezpieczeństwa służącym zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej;
13)komunikowaniu się i współpracy z inżynierami zaangażowanymi w wykryte incydenty bezpieczeństwa;
14)analizie danych wspierających działania dochodzeniowe pozwalające eliminować lub ograniczać ryzyko ataków cybernetycznych;
15)weryfikowaniu czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne;
16)aktywnym wspieraniu wiedzą w użytkowaniu i usuwaniu usterek sprzętu komputerowego oraz testowanego oprogramowania;
17)udzielaniu pomocy technicznej w celu rozwiązania problemów klienta z zakresu bezpieczeństwa;
Jak opisano powyżej, Wnioskodawca świadczy Usługi Cyberbezpieczeństwa, na które składają się różnorodne czynności o niejednolitym charakterze. Tym samym jednoznaczne przyporządkowanie świadczonych usług do jednego grupowania PKWiU jest znacznie utrudnione, niemniej w ocenie Wnioskodawcy, Usługa Cyberbezpieczeństwa według Ośrodka Klasyfikacji i Nomenklatur Urzędu Statystycznego w Łodzi powinna zostać zakwalifikowana na podstawie PKWiU do grupowania nr 62.02.30.0 jako: „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”, takie jak m.in.: udzielanie pomocy technicznej w celu rozwiązania problemów klienta związanych z użytkowaniem systemu komputerowego, tj. usługi w zakresie kontroli lub oceny działania komputera, włączając usługi w zakresie kontroli, oceny i dokumentowania serwera, sieci lub technologii dla elementów, wydajności lub bezpieczeństwa.
Natomiast w art. 12 ust. 1 pkt 1-4 oraz 6-8 Ustawy nie została wyszczególniona grupa przychodów osiąganych z tytułu świadczenia usług kwalifikujących się do PKWiU 62.02.30.0.
Tym samym Wnioskodawca stoi na stanowisku, że Usługi Cyberbezpieczeństwa należą wyłącznie do otwartego katalogu „działalności usługowej”, o którym mowa w art. 12 ust. 1 pkt 5 lit. a i w związku z tym powinny być opodatkowane stawką ryczałtu 8,5%.
Dodatkowo stanowisko, że usługi w zakresie bezpieczeństwa o zbliżonym zakresie czynności do opisanych powyżej Usług Cyberbezpieczeństwa są kwalifikowane do grupowania PKWiU 62.02.30.0. i tym samym podlegają opodatkowaniu stawką ryczałtu 8,5%, zostało potwierdzone w interpretacji indywidualnej wydanej w zbliżonym stanie faktycznym:
- interpretacja indywidualna Dyrektora KIS z 14 stycznia 2022 r., nr 0115-KDIT1.4011.778.2021.1.MK „W przedstawionym we wniosku opisie zdarzenia wskazał Pan, że zakres świadczonych przez Pana usług sklasyfikowany jest wg symbolu PKWiU: – 62.02.30.0 – usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego oraz – 85.59.12.0 – kursy komputerowe. Mając na względzie powołane wyżej przepisy oraz treść wniosku stwierdzić należy, że przychody uzyskiwane przez Pana ze świadczenia w ramach działalności gospodarczej usług sklasyfikowanych według PKWiU pod symbolem 62.02.30.0 oraz 85.59.12.0 będą mogły być od 1 stycznia 2022 r. opodatkowane 8,5% stawką ryczałtu od przychodów ewidencjonowanych, określoną w art. 12 ust. 1 pkt 5 lit. a i c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne”;
- interpretacja indywidualna Dyrektora KIS z 16 czerwca 2021 r., nr 0113-KDIPT2-1.4011.396.2021.1.MD, w którym odstąpiono od uzasadnienia przychylając się do stanowiska podatnika, zgodnie z którym: „w stosunku do uzyskiwanych przez Niego w ramach działalności gospodarczej przychodów zastosowanie znajduje, zgodnie z art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, stawka ryczałtu od przychodów ewidencjonowanych w wysokości 8,5%”.
Uzupełniająco należy zaznaczyć, że zasada, wedle której w przypadku braku możliwości przyporządkowania do innych stawek ryczałtu, przychody ze świadczenia usług powinny być opodatkowane stawką 8,5%, została wprost wskazana w uzasadnieniu projektu ustawy o zmianie ustawy o podatku dochodowym od osób fizycznych, ustawy o podatku dochodowym od osób prawnych, ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne oraz niektórych innych ustaw (druk sejmowy nr 642; ustawa przyjęta 28 listopada 2020 r.): „Ponadto, utrzymana zostanie zasada, zgodnie z którą według stawki 8,5% opodatkowane będą przychody ze świadczenia usług, które nie zostały przyporządkowane do innych stawek ryczałtu”.
Natomiast stanowisko, że w przypadku niemożności zakwalifikowania danej usługi do jakiejkolwiek z kategorii czynności przypisanych do innych stawek ryczałtu z art. 12 ust. 1 pkt 1-4 oraz 6-8 Ustawy, to koniecznym jest stosowanie stawki 8,5%, potwierdzają liczne interpretacje indywidualne:
- interpretacja indywidualna Dyrektora KIS z 23 sierpnia 2021 r., nr 0113-KDIPT2 1.4011.429.2021.2.MAP: „Działalność Wnioskodawcy będzie polegała na sprzedaży produktów tj. suplementów diety. Przeważające PKD planowanej działalności to 47.19.Z – Pozostała sprzedaż detaliczna prowadzona w niewyspecjalizowanych sklepach. (…) W punktach 1-4 oraz 6-8 art. 12 ww. ustawy, nie przewidziano innego rodzaju działalności, który odpowiadałby opisowi działalności gospodarczej przedstawionej przez Wnioskodawcę, a zatem właściwą stawką podatku dla aktywności zarobkowej Wnioskodawcy będzie stawka 8,5% przychodu”;
- interpretacja indywidualna Dyrektora KIS z 14 lipca 2021 r., nr 0115-KDIT1.4011.328.2021.1.MK: „Wnioskodawca otworzył działalność gospodarczą, w ramach której będą świadczone następujące usługi: projektowanie, testowanie i prototypowanie nowych elementów interfejsu, ulepszanie istniejącego interfejsu (…). Będzie to działalność związana z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych, sklasyfikowana pod symbolem PKWiU 62.01.12.0 oraz działalność związana z projektowaniem, programowaniem i rozwojem oprogramowania sklasyfikowana pod symbolem PKWiU 62.01.11.0. (…). Mając na względzie powołane wyżej przepisy oraz przedstawione we wniosku zdarzenie stwierdzić należy, że przychody uzyskiwane przez Wnioskodawcę ze świadczenia w ramach działalności gospodarczej usług mogą być opodatkowane 8,5% stawką ryczałtu od przychodów ewidencjonowanych, zgodnie z art. 12 ust. 1 pkt 5 lit. a) (…), a nie jak wskazał Wnioskodawca art. 12 ust. 1 pkt 3 lit. b)”.
Mając na uwadze powyższe, skoro Wnioskodawca w ramach działalności gospodarczej prowadzi ewidencję przychodów w sposób umożliwiający określenie przychodów osiąganych osobno z tytułu poszczególnych Usług Informatycznych oraz ewentualnych przychodów osiąganych z innych źródeł, to prowadzona działalność gospodarcza może podlegać opodatkowaniu w formie ryczałtu od przychodów ewidencjonowanych przy zastosowaniu różnych stawek opodatkowania właściwych dla przychodów osiągniętych z tytułu każdego rodzaju działalności.
Jednocześnie z uwagi na to, że w art. 12 ust. 1 pkt 1-4 oraz 6-8 Ustawy nie przewidziano źródła przychodów, którego zakres odpowiadałby opisanej we wniosku działalności usługowej Wnioskodawcy w ramach pierwszej kategorii świadczonych Usług Informatycznych, to właściwą stawką podatku dla Usługi Cyberbezpieczeństwa będzie stawka 8,5% zgodnie z art. 12 ust. 1 pkt 5 lit. a Ustawy.
Ad 2. Usługi Zarządzania Systemami Informatycznymi
W ramach pozarolniczej działalności gospodarczej Wnioskodawca świadczy Usługi Zarządzania Systemami Informatycznymi. Jak przedstawiono w opisie stanu faktycznego, Usługi Zarządzania Systemami Informatycznymi polegają na podejmowaniu wszelkich czynności związanych z codziennym zarządzaniem systemem informatycznym i ich eksploatacją.
Zakres świadczonych przez Wnioskodawcę usług obejmuje przede wszystkim dokonywanie następujących czynności:
1) bieżące zarządzanie systemami informatycznymi w częstotliwości dostosowanej do potrzeb klienta;
2) zarządzanie w rozwiązywaniu incydentów związanych z systemami informatycznymi polegającym na obsłudze procesu awarii i przywróceniu sprawności działania i dostępności systemów;
3) zarządzanie problemami związanymi z systemami informatycznymi polegające na zlokalizowaniu przyczyny powstania incydentu oraz podejmowaniu czynności mających na celu przywrócenie pełnej sprawności (proaktywne identyfikowanie i rozwiązywanie problemów wraz z określeniem ich priorytetów, definiowanie stałych, systemowych rozwiązań wspomagających usuwanie incydentów w przyszłości;
4) zarządzanie konfiguracjami systemów informatycznych;
5) aktywne monitorowanie pracy systemów informatycznych na potrzeby wczesnego i automatycznego wykrywania incydentów;
6) zarządzenie uprawnieniami dostępu do systemów informatycznych;
7) pomoc techniczna w zakresie korzystania z systemów informatycznych.
Zgodnie z art. 6 ust. 1 Ustawy, uzyskane przez Wnioskodawcę, w ramach pozarolniczej działalności gospodarczej przychody z Usług Informatycznych, w tym Usług Zarządzania Systemami Informatycznymi, mogą podlegać opodatkowaniu ryczałtem od przychodów ewidencjonowanych jedynie, jeżeli Wnioskodawca spełnia wymogi z art. 6 ust. 4 pkt 1 Ustawy, nie dotyczą jego przesłanki negatywne z art. 8 ust. 1 Ustawy, a także jeśli złożył odpowiednie oświadczenie o wyborze opodatkowania w formie ryczałtu, o którym mowa w art. 9 ust. 1 i 2 Ustawy (co zostało szczegółowo opisane powyżej w uzasadnieniu stanowiska Wnioskodawcy do pytania nr 1).
Odnosząc się do kwestii jaką stawkę ryczałtu należy stosować wobec przychodów uzyskiwanych z tytułu Usług Zarządzania Systemami Informatycznymi, koniecznym jest prawidłowe określenie PKWiU dla usługi rzeczywiście świadczonej w ramach prowadzonej działalności.
W ocenie Wnioskodawcy, Usługi Zarządzania Systemami Informatycznymi powinny zostać zakwalifikowane do działu PKWiU 62, czyli „Usługi związane z oprogramowaniem i doradztwem w zakresie informatyki i usługi powiązane”, ponieważ zgodnie z rozporządzeniem Rady Ministrów z dnia 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług, dział ten obejmują m.in. następujące grupowania:
-62.03 „Usługi związane z zarządzeniem siecią i systemami informatycznymi”;
-62.03.1 „Usługi związane z zarządzeniem siecią i systemami informatycznymi”;
-62.03.1.12.0 „Usługi związane z zarządzaniem systemami informatycznymi”.
Ośrodek Klasyfikacji i Nomenklatur Urzędu Statystycznego w (…) w piśmie z (…) 2022 r. o znaku (…) poinformował Wnioskodawcę, że opisane w złożonym wniosku o interpretację podatkową Usługi Informatyczne polegające na podejmowaniu wszelkich czynności związanych z codziennym zarządzaniem systemem informatycznym i ich eksploatacją określone przez Wnioskodawcę jako Usługi Zarządzania Systemami Informatycznymi mieszczą się w grupowaniu: PKWiU 62.03.1 Usługi związane z zarządzaniem siecią i systemami informatycznymi.
Zgodnie z brzmieniem art. 12 ust. 1 pkt 2b lit. b Ustawy przychody ze świadczenia usług związanych z zarządzaniem siecią i systemami informatycznymi (PKWiU 62.03.1) podlegają opodatkowaniu stawką 12%.
Tym samym z uwagi, że świadczone Usługi Zarzadzania Systemami Informatycznymi stanowią w ocenie ww. organu usługi związane z zarządzaniem systemami informatycznymi (PKWiU 62.03.1), to w ocenie Wnioskodawcy, właściwą stawką podatku od przychodów ze świadczonych, w ramach pozarolniczej działalności gospodarczej, przez Spółkę Usług Informatycznych będzie stawka 12% zgodnie z art. 12 ust. 1 pkt 2b lit. b Ustawy.
Ad. 3 Usługi Rozwoju Technologii
W ramach pozarolniczej działalności gospodarczej Wnioskodawca świadczy Usługi Rozwoju Technologii. Jak przedstawiono w opisie stanu faktycznego, Usługi Rozwoju Technologii polegają na podejmowaniu wszelkich czynności związanych z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych i obejmują przede wszystkim:
1)projektowanie systemów informatycznych z uwzględnieniem najlepszych praktyk, rekomendacji, standardów, wymagań kontrahenta,
2)analizę i weryfikację aktualnego stanu systemów na podstawie dokumentacji lub dostępu bezpośredniego,
3)prowadzenie spotkań w celu optymalizacji kosztów oraz zwiększenia efektywności wykorzystywanych usług na środowiskach testowych i produkcyjnych,
4)przygotowywanie ofert, prezentacji oraz koncepcji dotyczących rozwiązań technologii informatycznych,
5)instalacje i konfiguracje narzędzi automatyzujących proces wdrożenia systemów informatycznych, który to nie stanowi usług związanych z oprogramowaniem.
Zgodnie z art. 6 ust. 1 Ustawy, uzyskane przez Wnioskodawcę, w ramach pozarolniczej działalności gospodarczej przychody z Usług Informatycznych, w tym Usług Rozwoju Technologii, mogą podlegać opodatkowaniu ryczałtem od przychodów ewidencjonowanych jedynie, jeżeli Wnioskodawca spełnia wymogi z art. 6 ust. 4 pkt 1 Ustawy, nie dotyczą jego przesłanki negatywne z art. 8 ust. 1 Ustawy, a także jeśli złożył odpowiednie oświadczenie o wyborze opodatkowania w formie ryczałtu, o którym mowa w art. 9 ust. 1 i 2 Ustawy (co zostało szczegółowo opisane powyżej w uzasadnieniu stanowiska Wnioskodawcy do pytania nr 1).
Odnosząc się do kwestii jaką stawkę ryczałtu należy stosować wobec przychodów uzyskiwanych z tytułu Usług Rozwoju Technologii, koniecznym jest prawidłowe określenie PKWiU dla usługi rzeczywiście świadczonej w ramach prowadzonej działalności gospodarczej.
W ocenie Wnioskodawcy, Usługi Rozwoju Technologii powinny zostać zakwalifikowane do działu PKWiU 62, czyli „Usługi związane z oprogramowaniem i doradztwem w zakresie informatyki i usługi powiązane”, ponieważ zgodnie z rozporządzeniem Rady Ministrów z dnia 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług, dział ten obejmują m.in. następujące grupowania:
-62.01 „Usługi związane z oprogramowaniem”;
-62.01.1 „Usługi związane z projektowaniem i rozwojem technologii informatycznych”;
-62.01.11 „Usługi związane z projektowaniem, programowaniem i rozwojem oprogramowania”;
-62.01.12.0 „Usługi związane z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych”;
-62.09.20.0 „Pozostałe usługi w zakresie technologii informatycznych i komputerowych, gdzie indziej niesklasyfikowane”.
Ośrodek Klasyfikacji i Nomenklatur Urzędu Statystycznego (…) w piśmie z (…) 2022 r. o znaku (…) poinformował Wnioskodawcę, że opisane w złożonym wniosku o interpretację podatkową Usługi Informatyczne związane z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych określonych przez Wnioskodawcę jako Usługi Rozwoju Technologii, mieszczą się w grupowaniu: PKWiU 62.01.12.0. Usługi związane z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych.
Zgodnie z brzmieniem art. 12 ust. 1 pkt 2b lit. b Ustawy przychody ze świadczenia usług:
a) związanych z oprogramowaniem (PKWiU ex 62.01.1),
b) w zakresie instalowania oprogramowania (PKWiU ex 62.09.20.0),
-podlegają opodatkowaniu stawką 12%.
Należy podkreślić, że w art. 4 ust. 4 Ustawy wskazano, że ilekroć w ustawie używa się oznaczenia „ex” przy symbolu danego grupowania PKWiU, oznacza to, że zakres wyrobów lub usług jest węższy niż określony w tym grupowaniu.
Tym samym dodanie przy danym grupowaniu PKWiU symbolu „ex” oznacza, że zamiarem Ustawodawcy było odniesienie się nie do wszystkich rodzajów czynności objętych danym grupowaniem, a jedynie tylko do ich części. Zatem wskazując na grupowanie PKWiU ex 62.01.1, ustawodawca odniósł się wyłącznie do usług określonych zwrotem „związanych z oprogramowaniem”.
Jak wskazał w stanie faktycznym Wnioskodawca, Usługi Rozwoju Technologii oraz Usługi Cyberbezpieczeństwa nie są oferowane w pakiecie z Usługami Zarządzania Systemami Informatycznymi i są świadczone na rzecz różnych kontrahentów.
W ocenie Wnioskodawcy, Usługi Rozwoju Technologii nie są związane z oprogramowaniem, tj. nie dotykają usług programowania i rozwoju oprogramowania technologii informatycznych.
Biorąc pod uwagę powyższe, Wnioskodawca stoi na stanowisku, że Usługi Rozwoju Technologii nie mieszczą się w przychodach ze świadczenia usług związanych z oprogramowaniem w rozumieniu art. 12 ust. 1 pkt 2b lit. b Ustawy i należą wyłącznie do otwartego katalogu „działalności usługowej”, o którym mowa w art. 12 ust. 1 pkt 5 lit. a i w związku z tym powinny być opodatkowane stawką ryczałtu 8,5%.
Dodatkowo stanowisko, że usługi w zakresie czynności związanej z projektowaniem i rozwojem technologii informatycznych o zbliżonym zakresie czynności do opisanych we wniosku Rozwoju Technologii są kwalifikowane do grupowania 62.02.30.0. PKWiU i tym samym podlegają opodatkowaniu stawką ryczałtu 8,5%, zostało potwierdzone w interpretacjach indywidualnych wydanych w zbliżonym stanie faktycznym:
1)Interpretacja indywidualna Dyrektora KIS z 19 listopada 2021 r., nr 0113-KDIPT2-1.4011.808.2021.2.MGR;
2)Interpretacja indywidualna Dyrektora KIS z 31 grudnia 2021 r., nr 0115-KDIT1.4011.746.2021.2.AS;
3)Interpretacja indywidualna Dyrektora KIS z 3 grudnia 2021 r., nr 0115-KDIT1.4011.698.2021.1.MK;
4)Interpretacja indywidualna Dyrektora KIS z 18 listopada 2021 r., nr 0113-KDIPT2-1.4011.797.2021.2.MGR;
5)Interpretacja indywidualna Dyrektora KIS z 13 stycznia 2022 r., nr 0113-KDIPT2-1.4011.1069.2021.3.KO.
Tym samym z uwagi, że świadczone Usługi Informatyczne nie są związane z projektowaniem, tworzeniem i rozwojem oprogramowania (PKWiU ex 62.01.1), to w ocenie Wnioskodawcy właściwą stawką podatku od przychodów ze świadczonych, w ramach pozarolniczej działalności gospodarczej, Usług Rozwoju Technologii będzie stawka 8,5% zgodnie z art. 12 ust. 1 pkt 5 lit. a Ustawy.
Ocena stanowiska
Stanowisko, które przedstawił Pan we wniosku jest w części prawidłowe i w części nieprawidłowe.
Uzasadnienie interpretacji indywidualnej
Stosownie do art. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. z 2024 r. poz. 776):
Ustawa reguluje opodatkowanie zryczałtowanym podatkiem dochodowym niektórych przychodów (dochodów) osiąganych przez osoby fizyczne prowadzące pozarolniczą działalność gospodarczą.
Przy czym według art. 4 ust. 1 pkt 12 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Użyte w ustawie określenie pozarolnicza działalność gospodarcza oznacza pozarolniczą działalność gospodarczą w rozumieniu ustawy o podatku dochodowym.
W myśl art. 5a pkt 6 ustawy z 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (t. j. Dz. U. z 2024 r. poz. 226 ze zm.):
Ilekroć w ustawie jest mowa o działalności gospodarczej albo pozarolniczej działalności gospodarczej – oznacza to działalność zarobkową:
a)wytwórczą, budowlaną, handlową, usługową,
b)polegającą na poszukiwaniu, rozpoznawaniu i wydobywaniu kopalin ze złóż,
c)polegającą na wykorzystywaniu rzeczy oraz wartości niematerialnych i prawnych
–prowadzoną we własnym imieniu bez względu na jej rezultat, w sposób zorganizowany i ciągły, z której uzyskane przychody nie są zaliczane do innych przychodów ze źródeł wymienionych w art. 10 ust. 1 pkt 1, 2 i 4-9.
Na podstawie art. 5b ust. 1 ustawy o podatku dochodowym od osób fizycznych:
Za pozarolniczą działalność gospodarczą nie uznaje się czynności, jeżeli łącznie spełnione są następujące warunki:
1) odpowiedzialność wobec osób trzecich za rezultat tych czynności oraz ich wykonywanie, z wyłączeniem odpowiedzialności za popełnienie czynów niedozwolonych, ponosi zlecający wykonanie tych czynności;
2) są one wykonywane pod kierownictwem oraz w miejscu i czasie wyznaczonych przez zlecającego te czynności;
3) wykonujący te czynności nie ponosi ryzyka gospodarczego związanego z prowadzoną działalnością.
Według art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Działalność usługowa to pozarolnicza działalność gospodarcza, której przedmiotem są czynności zaliczone do usług zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z dnia 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) (Dz. U. poz. 1676, z 2017 r. poz. 2453, z 2018 r. poz. 2440, z 2019 r. poz. 2554 oraz z 2020 r. poz. 556), z zastrzeżeniem pkt 2 i 3.
Zgodnie z art. 6 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Opodatkowaniu ryczałtem od przychodów ewidencjonowanych podlegają przychody osób fizycznych lub przedsiębiorstw w spadku z pozarolniczej działalności gospodarczej, o których mowa w art. 7a ust. 4 lub art. 14 ustawy o podatku dochodowym, z zastrzeżeniem ust. 1e i 1f, w tym również gdy działalność ta jest prowadzona w formie spółki cywilnej osób fizycznych, spółki cywilnej osób fizycznych i przedsiębiorstwa w spadku lub spółki jawnej osób fizycznych, zwanych dalej „spółką”. Do przychodów przedsiębiorstwa w spadku nie stosuje się przepisu art. 12 ust. 10a.
W myśl art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Podatnicy opłacają w roku podatkowym ryczałt od przychodów ewidencjonowanych z działalności wymienionej w ust. 1, jeżeli:
1)w roku poprzedzającym rok podatkowy:
a)uzyskali przychody z tej działalności, prowadzonej wyłącznie samodzielnie, w wysokości nieprzekraczającej 2 000 000 euro, lub
b)uzyskali przychody wyłącznie z działalności prowadzonej w formie spółki, a suma przychodów wspólników spółki z tej działalności nie przekroczyła kwoty 2 000 000 euro,
2)rozpoczną wykonywanie działalności w roku podatkowym i nie korzystają z opodatkowania w formie karty podatkowej – bez względu na wysokość przychodów.
Możliwość opodatkowania w formie ryczałtu od przychodów ewidencjonowanych uzależniona jest między innymi od niespełnienia przesłanek negatywnych określonych w art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.
Według ww. przepisu:
1.Opodatkowania w formie ryczałtu od przychodów ewidencjonowanych, z zastrzeżeniem art. 6 ust. 1b, nie stosuje się do podatników:
1)opłacających podatek w formie karty podatkowej na zasadach określonych w rozdziale 3;
2)korzystających, na podstawie odrębnych przepisów, z okresowego zwolnienia od podatku dochodowego;
3)osiągających w całości lub w części przychody z tytułu:
a)prowadzenia aptek,
b)(uchylona)
c)działalności w zakresie kupna i sprzedaży wartości dewizowych,
d)(uchylona)
e)(uchylona)
f)działalności w zakresie handlu częściami i akcesoriami do pojazdów mechanicznych;
4)wytwarzających wyroby opodatkowane podatkiem akcyzowym, na podstawie odrębnych przepisów, z wyjątkiem wytwarzania energii elektrycznej z odnawialnych źródeł energii;
5)podejmujących wykonywanie działalności w roku podatkowym po zmianie działalności wykonywanej:
a)samodzielnie na działalność prowadzoną w formie spółki z małżonkiem,
b)w formie spółki z małżonkiem na działalność prowadzoną samodzielnie przez jednego lub każdego z małżonków,
c)samodzielnie przez małżonka na działalność prowadzoną samodzielnie przez drugiego małżonka
– jeżeli małżonek lub małżonkowie przed zmianą opłacali z tytułu prowadzenia tej działalności podatek dochodowy na ogólnych zasadach.
6) (uchylony)
2. Jeżeli podatnik prowadzący działalność samodzielnie lub w formie spółki, który wybrał opodatkowanie w formie ryczałtu od przychodów ewidencjonowanych, uzyska z tej działalności przychody ze sprzedaży towarów handlowych lub wyrobów lub ze świadczenia usług na rzecz byłego lub obecnego pracodawcy, odpowiadających czynnościom, które podatnik lub co najmniej jeden ze wspólników:
1)wykonywał w roku poprzedzającym rok podatkowy lub
2)wykonywał lub wykonuje w roku podatkowym
– w ramach stosunku pracy lub spółdzielczego stosunku pracy, podatnik ten traci w roku podatkowym prawo do opodatkowania w formie ryczałtu od przychodów ewidencjonowanych i, poczynając od dnia uzyskania tego przychodu do końca roku podatkowego, opłaca podatek dochodowy na ogólnych zasadach.
3. Jeżeli podatnik w roku poprzedzającym rok podatkowy nie uzyskał przychodu z działalności, o której mowa w ust. 1 pkt 3 i 4, traci w roku podatkowym prawo do opodatkowania w formie ryczałtu od przychodów ewidencjonowanych z dniem uzyskania przychodów z tych rodzajów działalności i od tego dnia opłaca podatek dochodowy na ogólnych zasadach.
Kolejnym warunkiem skorzystania ze zryczałtowanej formy opodatkowania jest złożenie oświadczenia o wyborze opodatkowania w formie ryczałtu od przychodów ewidencjonowanych.
Na podstawie art. 9 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Sporządzone na piśmie oświadczenie o wyborze opodatkowania przychodów z pozarolniczej działalności gospodarczej w formie ryczałtu od przychodów ewidencjonowanych na dany rok podatkowy podatnik składa naczelnikowi urzędu skarbowego właściwemu według miejsca zamieszkania podatnika, a w przypadku przedsiębiorstwa w spadku – według ostatniego miejsca zamieszkania zmarłego przedsiębiorcy, do 20. dnia miesiąca następującego po miesiącu, w którym osiągnął pierwszy przychód z tego tytułu w roku podatkowym, albo do końca roku podatkowego, jeżeli pierwszy taki przychód osiągnął w grudniu roku podatkowego.
Zgodnie z art. 4 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Ilekroć w ustawie używa się oznaczenia „ex” przy symbolu danego grupowania PKWiU, oznacza to, że zakres wyrobów lub usług jest węższy niż określony w tym grupowaniu.
Oznaczenie „ex” dotyczy zatem tylko określonej usługi z danego grupowania. Umieszczenie tego dopisku przy konkretnym symbolu statystycznym ma na celu zawężenie stosowania przepisu tylko do tej nazwy grupowania.
Wysokość stawek ryczałtu od przychodów ewidencjonowanych została przez ustawodawcę ustalona w art. 12 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.
W myśl art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Ryczałt od przychodów ewidencjonowanych wynosi 12% przychodów ze świadczenia usług związanych z doradztwem w zakresie sprzętu komputerowego (PKWiU 62.02.10.0), związanych z oprogramowaniem (PKWiU ex 62.01.1), objętych grupowaniem „Oryginały oprogramowania komputerowego” (PKWiU 62.01.2), związanych z doradztwem w zakresie oprogramowania (PKWiU ex 62.02), w zakresie instalowania oprogramowania (PKWiU ex 62.09.20.0), związanych z zarządzaniem siecią i systemami informatycznymi (PKWiU 62.03.1).
Jak stanowi art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Ryczałt od przychodów ewidencjonowanych wynosi 8,5% przychodów z działalności usługowej, w tym przychodów z działalności gastronomicznej w zakresie sprzedaży napojów o zawartości alkoholu powyżej 1,5%, z zastrzeżeniem pkt 1-4 oraz 6-8.
Zwracam uwagę, że możliwość opłacania oraz wysokość stawki ryczałtu od przychodów ewidencjonowanych uzyskanych w związku z prowadzoną działalnością gospodarczą zależy wyłącznie od faktycznego rodzaju wykonywanych w ramach tej działalności usług. Zatem konieczne jest każdorazowe przypisanie rodzaju wykonywanych czynności do określonego grupowania PKWiU. Przy czym klasyfikacji tej do określonego symbolu PKWiU dokonuje sam podatnik.
Przy czym w myśl art. 12 ust. 3 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Jeżeli podatnik obowiązany do prowadzenia ewidencji przychodów prowadzi działalność, z której przychody są opodatkowane różnymi stawkami określonymi w ust. 1, ryczałt od przychodów ewidencjonowanych ustala się według stawki właściwej dla przychodów z każdego rodzaju działalności, pod warunkiem, że ewidencja przychodów jest prowadzona w sposób umożliwiający określenie przychodów z każdego rodzaju działalności. W przypadku gdy podatnik, o którym mowa w zdaniu poprzednim, nie prowadzi ewidencji w sposób zapewniający ustalenie przychodów dla każdego rodzaju działalności, ryczałt od przychodów ewidencjonowanych wynosi 8,5% przychodów, z tym że w przypadku osiągania również przychodów, o których mowa w:
1) ust. 1 pkt 1, ryczałt wynosi 17%;
2) ust. 1 pkt 2, ryczałt wynosi 15%;
2a) ust. 1 pkt 2a, ryczałt wynosi 14%;
2b) ust. 1 pkt 2b, ryczałt wynosi 12%;
3) ust. 1 pkt 3, ryczałt wynosi 10%;
4) ust. 1 pkt 4, ryczałt wynosi 12,5%.
Zatem, w sytuacji prowadzenia działalności gospodarczej opodatkowanej zryczałtowanym podatkiem dochodowym wg różnych stawek, ryczałt od przychodów ewidencjonowanych na podstawie prowadzonej ewidencji przychodów ustala się według stawki właściwej dla przychodów z każdego rodzaju działalności, pod warunkiem że ewidencja przychodów jest prowadzona w sposób umożliwiający określenie przychodów z każdego rodzaju działalności.
Z opisu sprawy przedstawionego we wniosku oraz jego uzupełnienia wynika, że prowadzi Pan jednoosobową pozarolniczą działalność gospodarczą, w ramach której osiąga Pan przychody z tytułu świadczenia różnorodnych usług informatycznych na rzecz kontrahentów. Pana wniosek dotyczy roku podatkowego 2022, 2023 i lat kolejnych. Łączna kwota osiąganych przez Pana przychodów z tytułu prowadzonej samodzielnie działalności gospodarczej nie przekroczyła w 2021 r., 2022 r. oraz 2023 r. oraz w latach następnych kwoty 2 000 000 euro, obliczonej według średniego kursu euro ogłaszanego przez Narodowy Bank Polski na pierwszy dzień roboczy października roku poprzedniego. W 2021 r. opodatkowywał Pan przychody uzyskiwane z ramach jednoosobowej pozarolniczej działalności gospodarczej według stawki liniowej w wysokości 19%. Od 1 stycznia 2022 r. zmienił Pan formę opodatkowania na ryczałt od przychodów ewidencjonowanych i w tym celu złożył naczelnikowi właściwego urzędu skarbowego odpowiednie oświadczenie o wyborze opodatkowania przychodów z pozarolniczej działalności gospodarczej w formie ryczałtu od przychodów ewidencjonowanych na 2022 r. w ustawowym terminie. W latach następnych pozostał Pan i zamierza pozostać przy tej samej formie opodatkowania. Nie wyklucza Pan, że w przyszłości będzie uzyskiwał przychody z innych tytułów niż wskazanych w opisie sprawy Usług Informatycznych. Prowadzi i planuje Pan prowadzić działalność w oparciu o księgowość uproszczoną na potrzeby ryczałtu ewidencjonowanego w taki sposób, że ewidencja przychodów w pełni umożliwi określenie przychodów osiąganych osobno z tytułu poszczególnych Usług Informatycznych oraz ewentualnych przychodów osiąganych z innych źródeł. Poza przychodami z prowadzonej działalności gospodarczej, uzyskuje Pan przychody z umowy o pracę (na rzecz innego podmiotu niż kontrahenci, którym świadczy Pan Usługi Informatyczne w ramach jednoosobowej działalności gospodarczej) oraz okazjonalnie z tytułu najmu nieruchomości prywatnej. W odniesieniu do Pana nie występują negatywne przestanki wynikające z art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.
Wskazał Pan, że usługi, które Pan świadczył/świadczy/będzie Pan świadczył na rzecz kontrahentów sklasyfikowane są jako:
‒Usługi Cyberbezpieczeństwa – PKWiU 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”;
‒Usługi Zarzadzania Systemami Informatycznymi – PKWiU 62.03.1 „Usługi związane z zarządzaniem siecią i systemami informatycznymi”;
‒Usługi Rozwoju Technologii – PKWiU 62.01.12.0 „Usługi związane z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych”.
Dokonując analizy będących przedmiotem wniosku usług, w pierwszej kolejności należy mieć na uwadze Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) oraz wyjaśnienia Głównego Urzędu Statystycznego do PKWiU z 2015 r.
Zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU) w dziale 62 – USŁUGI ZWIĄZANE Z OPROGRAMOWANIEM I DORADZTWEM W ZAKRESIE INFORMATYKI I USŁUGI POWIĄZANE mieści się klasa 62.01 – USŁUGI ZWIĄZANE Z OPROGRAMOWANIEM. Klasa ta obejmuje: pisanie, modyfikowanie, badanie, dokumentowanie i wspomaganie oprogramowania, włączając pisanie zleceń sterujących programami dla użytkowników.
Klasa ta obejmuje także analizowanie, projektowanie systemów gotowych do użycia:
-rozbudowę, tworzenie, dostarczanie oraz dokumentację oprogramowania wykonanego na zlecenie określonego użytkownika,
-pisanie programów na zlecenie użytkownika,
-projektowanie stron internetowych.
W klasie 62.01 znajduje się kategoria 62.01.1 USŁUGI ZWIĄZANE Z PROJEKTOWANIEM I ROZWOJEM TECHNOLOGII INFORMATYCZNYCH, która obejmuje dwa poniższe grupowania:
-PKWiU 62.01.11.0 „Usługi związane z projektowaniem, programowaniem i rozwojem oprogramowania”,
-PKWiU 62.01.12.0 „Usługi związane z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych”.
Grupowanie to nie obejmuje:
-usług oferowanych w pakiecie z codziennym zarządzaniem siecią klienta, sklasyfikowanych w 62.03.12.0.
Wyjaśnienia do PKWiU 2015 wskazują, że grupowanie PKWiU 62.01.12.0 obejmuje:
- usługi związane z projektowaniem, rozwojem i wdrażaniem sieci klienta, takich jak: intranet, ekstranet i wirtualne sieci prywatne,
- usługi związane z projektowaniem i rozwojem bezpieczeństwa sieci, tj. projektowanie, rozwój i wdrażanie oprogramowania, sprzętu komputerowego i procedur sterowania dostępem do danych i programami pozwalającymi na bezpieczną wymianę informacji w ramach sieci.
Odnosząc się do powyższego, PKWiU 62.01.1 obejmuje zarówno usługi sklasyfikowane w grupowaniu PKWiU 62.01.11.0, jak i w grupowaniu PKWiU 62.01.12.0. Jednak znajdujące się przy grupowaniu PKWiU 62.01.1 oznaczenie „ex” (PKWiU ex 62.01.1) oznacza, że 12% stawkę ryczałtu należy stosować wyłącznie do przychodów uzyskiwanych ze świadczenia usług związanych z oprogramowaniem.
Zatem usługi związane z oprogramowaniem (PKWiU ex 62.01.1) to takie spośród „Usług związanych z projektowaniem i rozwojem technologii informatycznych” (PKWiU 62.01.1), które rzeczywiście są związane tylko z oprogramowaniem.
Wskazać również należy, że przepis art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, w przypadku PKWiU ex 62.01.1 wskazuje na związek świadczonych usług z oprogramowaniem, nie zawężając tych czynności wyłącznie do kwestii programowania. Przy czym przepis ten nie odwołuje się ani do bezpośredniego, ani też pośredniego związku z oprogramowaniem. W tej regulacji nie ma też mowy o usługach polegających na programowaniu (tworzeniu kodów źródłowych programów komputerowych), a związanych z oprogramowaniem.
Zgodnie z wykładnią literalną słowo „związany z” oznacza „dotyczy czegoś, mający związek z czymś lub kimś”. Tym samym usługi związane z oprogramowaniem to usługi, które dotyczą oprogramowania, przy czym sformułowanie „oprogramowanie” ma tu znaczenie szersze niż „program komputerowy”.
Zatem usługi związane z oprogramowaniem nie polegają jedynie na programowaniu, czyli tworzeniu kodów źródłowych przez programistów, są to wszelkie inne usługi związane z projektowaniem i rozwojem technologii informatycznych.
W tym miejscu wskazać należy, że ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, nie zawiera definicji oprogramowania. W tym celu – mając na względzie, że ustawa dla ustalenia właściwej stawki podatku, odsyła do właściwej klasyfikacji statystycznej – należy posłużyć się definicją Oprogramowania zawartą w zeszycie metodologicznym Głównego Urzędu Statystycznego „Zeszyt metodologiczny. Wskaźnik społeczeństwa informacyjnego. Badania wykorzystania technologii informacyjno-komunikacyjnych”. Zgodnie z zawartą tam definicją Oprogramowanie (Software) to – całość instrukcji i procedur (programów) oraz powiązanych z nimi danych umożliwiających komputerom i innym programowalnym urządzeniom wykonywanie określonych funkcji. Oprogramowanie jest często rozumiane jako synonim terminu program komputerowy, chociaż ma nieco szersze znaczenie – obejmuje także programy wykorzystywane przez inne urządzenia. Do oprogramowania zalicza się systemy operacyjne, programy użytkowe (aplikacje), programy do tworzenia programów, programy sterujące działaniem różnych urządzeń (od telewizorów i innego sprzętu elektronicznego, kalkulatorów, przez telefony komórkowe, do podzespołów komputerowych np. nagrywarek DVD) – tzw. firmware, a także różnego rodzaju programy wykorzystywane przez urządzenia i systemy sieciowe, telekomunikacyjne itp.
Analiza powołanych przepisów prawa, jak również wyjaśnień Głównego Urzędu Statystycznego do PKWiU 2015, w kontekście przedstawionego opisu sprawy, w szczególności zakresu świadczonych przez Pana usług, prowadzi do stwierdzenia, że będące przedmiotem zapytania Usługi Rozwoju Technologii mają związek z oprogramowaniem.
Za uznaniem stanowiących przedmiot wniosku Usług Rozwoju Technologii za związane z oprogramowaniem przemawia fakt, że w ramach świadczenia tych usług zajmował/zajmuje/będzie się Pan zajmował projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych, wykonując takie zadania jak:
a)projektowanie systemów informatycznych z uwzględnieniem najlepszych praktyk, rekomendacji, standardów, wymagań kontrahenta;
b)analiza i weryfikacja aktualnego stanu systemów na podstawie dokumentacji lub dostępu bezpośredniego;
c)prowadzenie spotkań w celu optymalizacji kosztów oraz zwiększenia efektywności wykorzystywanych usług na środowiskach testowych i produkcyjnych;
d)przygotowywanie ofert, prezentacji oraz koncepcji dotyczących rozwiązań technologii informatycznych;
e)instalacje i konfiguracje narzędzi automatyzujących proces wdrożenia systemów informatycznych.
Usługi w zakresie projektowania systemów informatycznych świadczył/świadczy/będzie świadczył Pan jako całość, co obejmuje kompleksowe podejście do tworzenia i implementacji całego systemu, który może składać się z wielu mniejszych programów, modułów i komponentów. Pana działania koncentrują się na integracji różnych elementów technologicznych, aby stworzyć spójne i funkcjonalne rozwiązania informatyczne, dostosowane do specyficznych potrzeb klienta.
Całość opisanych przez Pana czynności i zadań odnosi się wprost do systemów informatycznych. Usługi związane z oprogramowaniem nie polegają jedynie na programowaniu, czyli tworzeniu kodów źródłowych przez programistów, ale są to wszelkie inne usługi związane z projektowaniem i rozwojem technologii informatycznych.
Zauważam, że programy, systemy informatyczne wchodzą w zakres pojęcia „oprogramowanie”, zatem wszelkie usługi – sklasyfikowane w kategorii PKWiU 62.01.1 USŁUGI ZWIĄZANE Z PROJEKTOWANIEM I ROZWOJEM TECHNOLOGII INFORMATYCZNYCH – z nimi związane spełniają przesłankę wykluczającą możliwość zastosowania stawki podatku w wysokości 8,5%.
Dlatego też uzyskiwane przez Pana przychody ze świadczenia w ramach działalności gospodarczej Usług Rozwoju Technologii sklasyfikowanych według PKWiU 62.01.12.0 powinny być opodatkowane 12% stawką ryczałtu od przychodów ewidencjonowanych, określoną w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, a nie – jak Pan wskazał – 8,5%.
Podsumowując, uzyskiwane przychody ze świadczenia Usług Rozwoju Technologii, sklasyfikowanych w grupowaniu PKWiU 62.01.12.0, podlegały/podlegają/będą podlegać opodatkowaniu 12% stawką ryczałtu od przychodów ewidencjonowanych, określoną w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.
W powyższym zakresie uznano Pana stanowisko za nieprawidłowe.
Odnosząc się z kolei do świadczonych przez Pana Usług Cyberbezpieczeństwa sklasyfikowanych w grupowaniu PKWiU 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego” wskazać należy, że zgodnie z wyjaśnieniami GUS w klasie PKWiU 62.02 mieszczą się „Usługi związane z doradztwem w zakresie informatyki”. Klasa ta nie obejmuje:
- usług związanych z doradztwem połączonych z projektowaniem i rozwojem technologii informatycznych (strona internetowa, baza danych, określona aplikacja, sieć itp.), sklasyfikowanych w 62.01.1,
- usług związanych z doradztwem w zakresie strategii przedsiębiorstw, takich jak: doradztwo dotyczące rozwoju strategii handlu elektronicznego, sklasyfikowanych w 70.22.11.0.
W klasie tej znajdują się następujące grupowania:
-62.02.10.0 „Usługi związane z doradztwem w zakresie sprzętu komputerowego”;
-62.02.20.0 „Usługi związane z doradztwem w zakresie oprogramowania komputerowego”;
-62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”.
Grupowanie 62.02.30.0 obejmuje usługi pomocy technicznej mające na celu rozwiązanie problemów klienta w zakresie technologii informatycznych i sprzętu komputerowego, takie jak:
- udzielanie pomocy klientowi w uruchamianiu i usuwaniu usterek w oprogramowaniu,
- usługi zastępowania nowszą wersją oprogramowania,
- udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek sprzętu komputerowego, włączając testowanie podstawowego oprogramowania oraz naprawę sprzętu informatycznego,
- udzielanie pomocy technicznej w przenoszeniu systemu komputerowego klienta na nowe miejsce,
- udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek dla kombinacji sprzęt komputerowy i oprogramowanie,
- udzielanie pomocy technicznej w celu rozwiązania problemów klienta związanych z użytkowaniem systemu komputerowego, tj. usługi w zakresie kontroli lub oceny działania komputera, włączając usługi w zakresie kontroli,
- oceny i dokumentowania serwera, sieci lub technologii dla elementów, wydajności lub bezpieczeństwa.
Jak wynika z wcześniej cytowanego art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, ryczałt od przychodów ewidencjonowanych wynosi 12% przychodów ze świadczenia usług związanych z doradztwem w zakresie oprogramowania (PKWiU ex 62.02). Przy czym przepis ten nie odwołuje się ani do bezpośredniego, ani pośredniego związku z doradztwem w zakresie oprogramowania. W tej regulacji nie ma też mowy o usługach związanych z doradztwem w zakresie programowania (doradztwem w zakresie tworzenia czy dodawania nowych kodów źródłowych programów komputerowych), a związanych z doradztwem w zakresie oprogramowania.
Należy podkreślić, że oznaczenie „ex” przy grupowaniu PKWiU 62.02, o którym mowa jest w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, oznacza, że 12% stawkę ryczałtu należy stosować do przychodów uzyskiwanych ze świadczenia usług związanych z doradztwem w zakresie oprogramowania.
Jak już wcześniej wykazałem, zgodnie z definicją zawartą w zeszycie metodologicznym Głównego Urzędu Statystycznego Oprogramowanie (Software) to – całość instrukcji i procedur (programów) oraz powiązanych z nimi danych umożliwiających komputerom i innym programowalnym urządzeniom wykonywanie określonych funkcji. Oprogramowanie jest często rozumiane jako synonim terminu program komputerowy, chociaż ma nieco szersze znaczenie – obejmuje także programy wykorzystywane przez inne urządzenia. Do oprogramowania zalicza się systemy operacyjne, programy użytkowe (aplikacje), programy do tworzenia programów, programy sterujące działaniem różnych urządzeń (od telewizorów i innego sprzętu elektronicznego, kalkulatorów, przez telefony komórkowe, do podzespołów komputerowych np. nagrywarek DVD) – tzw. firmware, a także różnego rodzaju programy wykorzystywane przez urządzenia i systemy sieciowe, telekomunikacyjne itp.
Z kolei doradzać to udzielać porady, wskazywać sposób postępowania w jakiejś sprawie.
Analiza powołanych przepisów prawa, jak również wyjaśnień Głównego Urzędu Statystycznego do PKWiU 2015, w kontekście przedstawionego przez Pana opisu sprawy, w szczególności zakresu świadczonych przez Pana Usług Cyberbezpieczeństwa, prowadzi do stwierdzenia, że świadczone przez Pana przedmiotowe usługi mają związek z doradztwem w zakresie oprogramowania. Za uznaniem tych usług za związane z doradztwem w zakresie oprogramowania wskazuje opis i zakres wykonywanych przez Pana czynności, jak i ich efekty.
Opisując wykonywane czynności w ramach ww. usług, wskazał Pan m.in., że czynności te polegały/polegają/będą polegać na:
a) wdrażaniu oprogramowania, sprzętu komputerowego i procedur sterowania dostępem do danych i programami pozwalającymi na bezpieczną wymianę informacji w ramach sieci – w pierwszej kolejności pomaga Pan na etapie doboru technologii i standardów zabezpieczeń, które najlepiej odpowiadają potrzebom i wymaganiom klienta. Pana rola obejmuje analizę dostępnych rozwiązań oraz rekomendowanie tych, które zapewnią najwyższy poziom ochrony danych i bezpiecznej wymiany informacji w ramach sieci. Kiedy klient podejmuje decyzję o wdrożeniu wybranego rozwiązania zabezpieczającego, Pan aktywnie uczestniczy w procesie jego konfiguracji oraz przeprowadzaniu testów, współpracując zarówno z dostawcą oprogramowania, jak i z zespołem klienta. Dodatkowo, zdaje Pan sobie sprawę, że nowe rozwiązania zabezpieczające często wymagają opracowania i wdrożenia odpowiednich procedur dla pracowników. W tym kontekście wykorzystuje Pan swoją wiedzę i doświadczenie, aby przetłumaczyć złożone zagadnienia techniczne na zrozumiały język biznesowy. Dzięki temu może Pan pomóc organizacji w płynnym wdrożeniu nowych technologii, zapewniając, że wszyscy użytkownicy rozumieją i przestrzegają nowych procedur bezpieczeństwa;
b) stałym monitorowaniu zasobów zgodnie z przyjętą strategią bezpieczeństwa, diagnozowanie potencjalnie niebezpiecznych obszarów i zarządzanie incydentami – m.in. w przypadku zidentyfikowania incydentów bezpieczeństwa, podejmuje Pan działania zgodnie z przyjętą strategią bezpieczeństwa klienta, co obejmuje szybkie diagnozowanie problemów, minimalizowanie zagrożeń oraz koordynowanie odpowiednich działań naprawczych. Pana celem jest zapewnienie, że systemy klienta pozostają w pełni chronione i zgodne z wytycznymi bezpieczeństwa;
c) wykorzystywaniu ustawień i narzędzi zabezpieczających urządzenia przed dostępem nieupoważnionych osób oraz instalacją nieautoryzowanego oprogramowania – rozwiązania korporacyjne i systemy operacyjne często posiadają wbudowane mechanizmy umożliwiające ograniczenie dostępu dla użytkowników oraz zabezpieczenie urządzeń przed instalacją nieautoryzowanego oprogramowania. Wykorzystuje Pan te funkcje, aby zminimalizować potencjalne zagrożenia związane z nieuprawnionym dostępem oraz instalacją niepożądanych aplikacji. Proces ten polega na konfiguracji odpowiednich ustawień bezpośrednio w danym systemie, takich jak uprawnienia użytkowników, polityki grupowe, czy kontrola dostępu do aplikacji i danych. Dzięki temu może Pan skutecznie zabezpieczyć urządzenia zapewniając, że tylko upoważnione osoby mają dostęp do krytycznych zasobów, a instalacja oprogramowania jest możliwa wyłącznie za zgodą administratora;
d) wykonywaniu regularnych backupów i kopii bezpieczeństwa – Pana rola polega na konfigurowaniu systemów backupu, w tym ustawianiu rotacji kopii zapasowych oraz sond do monitorowania stanu backupów, aby zapewnić ich regularność i niezawodność. W przypadku wykrycia problemów technicznych, takich jak awaria dysku, przekazuje Pan zadania związane z obsługą sprzętową zewnętrznym firmom specjalizującym się w serwisowaniu tego typu urządzeń. Dzięki temu może Pan zapewnić klientom ciągłość ochrony danych oraz szybkie reagowanie na wszelkie problemy związane z backupami;
e) zabezpieczeniu sieci przed nieautoryzowanym dostępem i złośliwym oprogramowaniem oraz ograniczenie dostępu pracowników do potencjalnie niebezpiecznych stron internetowych lub usług – systemy operacyjne oferują funkcje zabezpieczające, które można zastosować również w przeglądarkach internetowych. Przeglądarki same w sobie umożliwiają konfigurowanie różnych zabezpieczeń, takich jak blokowanie dostępu do potencjalnie niebezpiecznych stron internetowych czy ograniczanie instalacji złośliwego oprogramowania. Ponadto, zabezpieczenia mogą być wdrażane na poziomie (…), co pozwala na (…). Dodatkowe środki mogą być również zastosowane na warstwie sprzętowej sieci, na przykład za pomocą (…). Wszystkie te czynności wykonuje Pan bezpośrednio w danym systemie, aby zapewnić kompleksową ochronę sieci i minimalizować ryzyko związane z nieautoryzowanym dostępem oraz złośliwym oprogramowaniem;
f) prowadzeniu incydentów związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowanie się i współpraca z interesariuszami w zakresie naruszeń danych – Pana działania obejmują m.in. komunikację z odpowiednimi stronami w kwestii dalszych kroków, które należy podjąć aby zapobiec przyszłym naruszeniom;
g) analizowaniu danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących – m.in. Pana działania mają na celu wsparcie klienta w procesie dochodzeniowym, eliminację ryzyka związanego z nielegalnymi działaniami oraz opracowanie i wdrożenie działań łagodzących, które mogą zapobiec podobnym incydentom w przyszłości. Dzięki temu klient może podjąć odpowiednie kroki prawne i organizacyjne, aby chronić swoją infrastrukturę i zasoby;
h) analizowaniu wyciągniętych wniosków i zaproponowanie ulepszenia procedur środków kontroli bezpieczeństwa – m.in. zbierając dane, dokonuje Pan analizy i przedstawia je osobom decyzyjnym w organizacji. Na podstawie zebranych przez Pana informacji proponuje Pan konkretne rozwiązania, które mogą usprawnić istniejące procedury i środki kontroli bezpieczeństwa;
i) wydawaniu rekomendacji w zakresie powzięcia środków technicznych w celu zabezpieczenia systemów informatycznych – w praktyce każde działanie, czynność czy usługa, którą Pan realizuje, wiąże się z wydawaniem rekomendacji dotyczących działań naprawczych mających na celu poprawę bezpieczeństwa systemów informatycznych. Pana rekomendacje mają na celu uszczelnienie systemów oraz zapobieganie potencjalnym zagrożeniom wynikającym z błędów konfiguracji lub niewystarczających zabezpieczeń;
j) aktywnym wspieraniu wiedzą oraz pomocą przy rozwiązywaniu problemów świadczonych dla pracowników oraz kontrahentów klienta implementujących środki bezpieczeństwa służącym zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej – m.in. wspiera Pan w podejmowaniu świadomych decyzji dotyczących implementacji środków bezpieczeństwa, które zwiększają poziom ochrony infrastruktury teleinformatycznej. Pana wsparcie obejmuje zarówno doradztwo, jak i praktyczną pomoc w implementacji oraz optymalizacji zabezpieczeń;
k) analizie danych wspierających działania dochodzeniowe pozwalające eliminować lub ograniczać ryzyko ataków cybernetycznych – m.in. na podstawie danych pochodzących z systemów operacyjnych oraz systemów i urządzeń bezpieczeństwa przeprowadza Pan szczegółową analizę, która pozwala na identyfikację słabych punktów oraz usprawnienie istniejących zabezpieczeń. Przykładem takiej analizy może być monitorowanie i analiza ruchu wychodzącego z sieci, gdzie można zauważyć nieautoryzowane przekazywanie danych przez aplikację na zewnątrz – często spowodowane błędną konfiguracją. Dzięki tej wiedzy może Pan zaproponować i wdrożyć odpowiednie środki zaradcze, takie jak blokowanie niepożądanego ruchu na poziomie urządzenia sieciowego, bez konieczności ingerencji w samą aplikację. Tego rodzaju działania pozwalają na skuteczne eliminowanie lub ograniczanie ryzyka ataków cybernetycznych poprzez wzmocnienie ochrony w newralgicznych punktach systemu;
l) aktywnym wspieraniu wiedzą w użytkowaniu i usuwaniu usterek sprzętu komputerowego oraz testowanego oprogramowania – pracując z użytkownikami często pomaga Pan w obsłudze codziennych problemów technicznych, takich jak konfiguracja urządzeń peryferyjnych, rozwiązywanie problemów z dostępem do sieci, a także wsparcie w instalacji i aktualizacji oprogramowania. Ponadto, oferuje Pan pomoc w zrozumieniu funkcji i możliwości testowanego systemu, co pozwala użytkownikom na efektywniejsze wykorzystanie narzędzi w ich codziennej pracy.
Odnosząc się do sytuacji przedstawionej we wniosku wskazuję, że w świetle tak przedstawionego opisu czynności w ramach grupowania PKWiU 62.02.30.0, które Pan wykonywał/wykonuje/będzie wykonywał, niezasadne jest przyjęcie, że świadczone przez Pana usługi nie stanowią usług związanych z doradztwem w zakresie oprogramowania. W mojej ocenie czynności, które Pan wskazał w opisie sprawy, mieszczą się w pojęciu usług związanych z doradztwem w zakresie oprogramowania.
Jak wynika z wcześniej cytowanych przepisów ustawodawca określił stawkę ryczałtu dla usług PKWiU ex 62.02 w wysokości 12%, tj. wyłącznie dla usług związanych z doradztwem w zakresie oprogramowania.
Na podstawie powołanych wyżej przepisów oraz opisu sprawy stwierdzam, że przychody uzyskiwane przez Pana ze świadczenia w ramach działalności gospodarczej usług sklasyfikowanych pod symbolem 62.02.30.0, tj. Usług Cyberbezpieczeństwa, które są usługami związanymi z doradztwem w zakresie oprogramowania podlegały/podlegają/będą podlegać opodatkowaniu 12% stawką ryczałtu, zgodnie z art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, a nie – jak Pan wskazał – 8,5%.
W powyższym zakresie uznano Pana stanowisko za nieprawidłowe.
Świadczy Pan również Usługi Zarządzania Systemami Informatycznymi sklasyfikowane wg PKWiU pod symbolem 62.03.1 „Usługi związane z zarządzaniem siecią i systemami informatycznymi” obejmujące swym zakresem: bieżące zarządzanie systemami informatycznymi w częstotliwości dostosowanej do potrzeb klienta; zarządzanie w rozwiązywaniu incydentów związanych z systemami informatycznymi polegającym na obsłudze procesu awarii i przywróceniu sprawności działania i dostępności systemów; zarządzanie problemami związanymi z systemami informatycznymi polegające na zlokalizowaniu przyczyny powstania incydentu oraz podejmowaniu czynności mających na celu przywrócenie pełnej sprawności (proaktywne identyfikowanie i rozwiązywanie problemów wraz z określeniem ich priorytetów, definiowanie stałych, systemowych rozwiązań wspomagających usuwanie incydentów w przyszłości; zarządzanie konfiguracjami systemów informatycznych; aktywne monitorowanie pracy systemów informatycznych na potrzeby wczesnego i automatycznego wykrywania incydentów; zarządzenie uprawnieniami dostępu do systemów informatycznych; pomoc techniczna w zakresie korzystania z systemów informatycznych.
W odniesieniu do świadczonych usług wskazać należy, że w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne ustawodawca wprost wskazał usługi związane z zarządzaniem siecią i systemami informatycznymi (PKWiU 62.03.1).
Uwzględniając powyższe, przychody, które Pan osiągał/osiąga/będzie Pan osiągał w ramach działalności gospodarczej z tytułu świadczenia przez Pana Usług Zarządzania Systemami Informatycznymi, sklasyfikowanych w grupowaniu PKWiU 62.03.1 „Usługi związane z zarządzaniem siecią i systemami informatycznymi” – podlegały/podlegają/będą podlegać opodatkowaniu ryczałtem od przychodów ewidencjonowanych przy zastosowaniu stawki 12%, zgodnie z art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.
W powyższym zakresie uznano Pana stanowisko za prawidłowe.
Dodatkowe informacje
Informacja o zakresie rozstrzygnięcia
Interpretacja dotyczy:
-zaistniałych stanów faktycznych przedstawionych przez Pana i stanu prawnego obowiązującego w dacie zaistnienia zdarzenia,
-zdarzeń przyszłych przedstawionych przez Pana i stanu prawnego obowiązującego w dniu wydania interpretacji.
Interpretacja została wydana przy założeniu, że poprawnie zakwalifikował Pan świadczone usługi do odpowiedniego klasyfikowania PKWiU. Interpretacja nie rozstrzyga o prawidłowości tej klasyfikacji (zasady formalnego przyporządkowania towaru lub usługi do grupowania statystycznego nie są przepisami prawa podatkowego).
Interpretacja indywidualna wywołuje skutki prawnopodatkowe tylko wtedy, gdy rzeczywisty stan faktyczny sprawy będącej przedmiotem interpretacji pokrywał się będzie ze stanem faktycznym/zdarzeniem przyszłym podanym przez wnioskodawcę w złożonym wniosku. W związku z powyższym, w przypadku zmiany któregokolwiek elementu przedstawionego we wniosku opisu sprawy, udzielona interpretacja traci swoją aktualność.
Przy wydawaniu niniejszej interpretacji tutejszy organ dokonał wyłącznie analizy okoliczności podanych we wniosku. Rolą postępowania w sprawie wydania indywidualnej interpretacji przepisów prawa podatkowego nie jest bowiem ustalanie, czy przedstawione we wniosku zdarzenie przyszłe jest zgodne ze stanem rzeczywistym. W ramach postępowania o wydanie interpretacji przepisów prawa podatkowego organ nie przeprowadza postępowania dowodowego, lecz opiera się jedynie na stanie faktycznym/zdarzeniu przyszłym przedstawionym we wniosku. Ustalenie stanu rzeczywistego stanowi domenę ewentualnego postępowania podatkowego. To na podatniku ciąży obowiązek udowodnienia w toku tego postępowania okoliczności faktycznych, z których wywodzi on dla siebie korzystne skutki prawne.
W odniesieniu do powołanych przez Pana interpretacji indywidualnych wskazuję, że zapadły one w indywidualnych sprawach i nie są wiążące dla organu wydającego niniejszą interpretację.
Pouczenie o funkcji ochronnej interpretacji
· Funkcję ochronną interpretacji indywidualnych określają przepisy art. 14k-14nb ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (t. j. Dz. U. z 2023 r. poz. 2383 ze zm.). Interpretacja będzie mogła pełnić funkcję ochronną, jeśli: Pana sytuacja będzie zgodna (tożsama) z opisem stanów faktycznych oraz zdarzeń przyszłych i zastosuje się Pan do interpretacji.
· Zgodnie z art. 14na § 1 Ordynacji podatkowej:
Przepisów art. 14k-14n Ordynacji podatkowej nie stosuje się, jeśli stan faktyczny lub zdarzenie przyszłe będące przedmiotem interpretacji indywidualnej jest elementem czynności, które są przedmiotem decyzji wydanej:
1)z zastosowaniem art. 119a;
2)w związku z wystąpieniem nadużycia prawa, o którym mowa w art. 5 ust. 5 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług;
3)z zastosowaniem środków ograniczających umowne korzyści.
· Zgodnie z art. 14na § 2 Ordynacji podatkowej:
Przepisów art. 14k-14n nie stosuje się, jeżeli korzyść podatkowa, stwierdzona w decyzjach wymienionych w § 1, jest skutkiem zastosowania się do utrwalonej praktyki interpretacyjnej, interpretacji ogólnej lub objaśnień podatkowych.
Pouczenie o prawie do wniesienia skargi na interpretację
Ma Pan prawo do zaskarżenia tej interpretacji indywidualnej do Wojewódzkiego Sądu Administracyjnego (…). Zasady zaskarżania interpretacji indywidualnych reguluje ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2024 r. poz. 935; dalej jako „PPSA”).
Skargę do Sądu wnosi się za pośrednictwem Dyrektora KIS (art. 54 § 1 PPSA). Skargę należy wnieść w terminie trzydziestu dni od dnia doręczenia interpretacji indywidualnej (art. 53 § 1 PPSA):
· w formie papierowej, w dwóch egzemplarzach (oryginał i odpis) na adres: Krajowa Informacja Skarbowa, ul. Warszawska 5, 43-300 Bielsko-Biała (art. 47 § 1 PPSA), albo
· w formie dokumentu elektronicznego, w jednym egzemplarzu (bez odpisu), na adres Elektronicznej Skrzynki Podawczej Krajowej Informacji Skarbowej na platformie ePUAP: /KIS/SkrytkaESP (art. 47 § 3 i art. 54 § 1a PPSA).
Skarga na interpretację indywidualną może opierać się wyłącznie na zarzucie naruszenia przepisów postępowania, dopuszczeniu się błędu wykładni lub niewłaściwej oceny co do zastosowania przepisu prawa materialnego. Sąd jest związany zarzutami skargi oraz powołaną podstawą prawną (art. 57a PPSA).
Podstawa prawna dla wydania interpretacji
Podstawą prawną dla wydania tej interpretacji jest art. 13 § 2a oraz art. 14b § 1 ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (t. j. Dz. U. z 2023 r. poz. 2383 ze zm.).