Krajowy System e-Faktur nie jest narzędziem jednego użytkownika. W każdej firmie budowlanej czy deweloperskiej wokół procesu fakturowania krąży kilka osób i podmiotów: właściciel lub zarząd, główny księgowy, dział rozliczeń, kierownicy budów zatwierdzający etapy robót, biuro rachunkowe, a niekiedy generalny wykonawca wystawiający faktury w imieniu podwykonawcy. Każda z tych ról wymaga innego zakresu dostępu do systemu. KSeF oferuje precyzyjnie zdefiniowane modele i typy uprawnień – kluczem do bezpiecznego i sprawnego działania jest ich właściwe przypisanie. Ten przewodnik wyjaśnia, co każdy rodzaj uprawnienia oznacza w praktyce i jak zaprojektować strukturę dostępów dopasowaną do specyfiki dużej organizacji budowlanej.
Punkt wyjścia w KSeF stanowią uprawnienia właścicielskie. Przysługują one podatnikowi – osobie fizycznej prowadzącej działalność gospodarczą lub podmiotowi (spółce, fundacji, innej organizacji) identyfikowanemu numerem NIP. Właściciel ma pełny dostęp do wszystkich funkcji systemu: wystawia faktury, pobiera dokumenty, zarządza uprawnieniami innych użytkowników i nie może zostać pozbawiony tego dostępu przez nikogo. Uprawnienia właścicielskie są niezbywalne i nieodwoływalne przez inne podmioty.
Dla JDG uprawnienia właścicielskie aktywują się automatycznie – wystarczy pierwsze logowanie Profilem Zaufanym lub podpisem kwalifikowanym w kontekście NIP firmy. Dla spółek sytuacja jest bardziej złożona: jeśli podmiot nie dysponuje kwalifikowaną pieczęcią elektroniczną zawierającą NIP, musi złożyć formularz ZAW-FA wskazujący pierwszą osobę fizyczną, która zaloguje się jako reprezentant i uruchomi możliwość dalszego zarządzania dostępami. Dopiero od tego momentu firma może budować własną strukturę uprawnień w systemie.
W modelu standardowym – przeznaczonym dla zdecydowanej większości firm – KSeF wyróżnia trzy główne funkcje, które można nadawać niezależnie od siebie lub łączyć.
Pierwsze to uprawnienie do wystawiania faktur. Osoba lub podmiot z tym dostępem może tworzyć i przesyłać faktury ustrukturyzowane do KSeF w imieniu podatnika. Jest to najbardziej operacyjne uprawnienie – przeznaczone dla pracowników działu rozliczeń, handlowców wystawiających faktury sprzedażowe i biur rachunkowych obsługujących fakturowanie klientów. Samo uprawnienie do wystawiania nie daje wglądu w faktury zakupowe ani w inne dokumenty systemu.
Drugie to uprawnienie do dostępu i przeglądania faktur. Osoba z tym dostępem widzi wszystkie faktury zarejestrowane na koncie podatnika – zarówno wystawione, jak i odebrane – bez możliwości tworzenia nowych dokumentów ani ingerowania w system. To uprawnienie właściwe dla audytorów wewnętrznych, dyrektorów finansowych kontrolujących obieg dokumentów, czy pracowników działu zakupów weryfikujących faktury przychodzące od dostawców.
Trzecie to uprawnienie do zarządzania uprawnieniami innych użytkowników. Jest to najszerszy dostęp możliwy do nadania podmiotowi zewnętrznemu lub pracownikowi. Osoba z tym uprawnieniem może samodzielnie dodawać i odbierać dostępy dla kolejnych użytkowników – ale wyłącznie w zakresie nieprzekraczającym własnych uprawnień. To uprawnienie przeznaczone dla administratorów systemu KSeF w firmie: głównych księgowych lub IT managerów zarządzających dostępami dla całego działu.
Czwarte, specyficzne uprawnienie dotyczy samofakturowania – o nim piszemy osobno poniżej.
W modelu standardowym KSeF rozróżnia dwa sposoby przypisywania dostępów ze względu na ścieżkę nadania.
Uprawnienia bezpośrednie to te, które podatnik (właściciel konta) nadaje wprost konkretnej osobie fizycznej lub podmiotowi. Pracownik działu rozliczeń upoważniony przez prezesa spółki do wystawiania faktur – to przykład uprawnienia bezpośredniego. Osoba lub podmiot jest widoczna na liście uprawnień podatnika jako bezpośredni beneficjent dostępu.
Uprawnienia pośrednie powstają, gdy podmiot uprawniony bezpośrednio przez podatnika (np. biuro rachunkowe) przekazuje dostęp dalej – swoim pracownikom. Pracownicy biura działają wówczas w imieniu klienta biura, korzystając z uprawnień pośrednich. Zakres ich działania nie może przekraczać zakresu przyznanego biuru przez klienta. System zapewnia, że delegowanie uprawnień działa wyłącznie jeden poziom w dół: biuro może nadać dostęp pracownikom, ale pracownicy biura nie mogą delegować dostępu kolejnym podmiotom.
Samofakturowanie to procedura, w której nabywca towaru lub usługi wystawia fakturę w imieniu sprzedawcy. W branży budowlanej korzysta z niej generalny wykonawca wystawiający faktury za roboty podwykonawcy – na podstawie zaakceptowanego protokołu odbioru, bez czekania na dokument ze strony podwykonawcy.
W KSeF samofakturowanie wymaga formalnego uprawnienia nadanego przez sprzedawcę (podwykonawcę) nabywcy (GW) w systemie. Samo zawarcie umowy cywilnoprawnej o samofakturowanie nie wystarcza – bez konfiguracji w KSeF system odrzuci fakturę wysyłaną przez nabywcę w imieniu sprzedawcy. Uprawnienie do samofakturowania nadaje sprzedawca w sekcji zarządzania uprawnieniami, wskazując NIP nabywcy jako podmiot uprawniony do wystawiania faktur w jego imieniu.
Ważne ograniczenie: podmiot uprawniony do samofakturowania nie ma przy tym dostępu do pozostałych faktur sprzedawcy w KSeF. Widzi wyłącznie te dokumenty, które sam wystawił w ramach procedury self-billing. To celowe rozwiązanie chroniące poufność danych sprzedawcy – generalny wykonawca nie uzyska wglądu w całą historię fakturową podwykonawcy, tylko w faktury wynikające z ich wzajemnej współpracy. Faktura wystawiona w trybie samofakturowania musi zawierać oznaczenie w polu P_17 struktury FA(3) oraz ma w systemie przypisany NIP nabywcy jako wystawcy – co odróżnia ją od standardowych faktur podwykonawcy.
Firmy budowlane realizujące kontrakty dla gmin, powiatów i urzędów marszałkowskich powinny znać specyficzny model uprawnień przewidziany dla jednostek samorządu terytorialnego. JST mogą nadawać uprawnienia bezpośrednio osobom fizycznym lub jednostkom podrzędnym (szkołom, ośrodkom kultury, zakładom budżetowym). Jednostki podrzędne mogą z kolei przekazywać uprawnienia dalej, ale wyłącznie w zakresie wystawiania i odbierania faktur. Aby jednostka podrzędna JST mogła wystawić fakturę lub być wskazana jako odbiorca, musi być wpisana jako Podmiot3 w strukturze faktury XML z rolą o wartości 7 (jednostka JST – wystawca).
Dla firm budowlanych wystawiających faktury w kontraktach publicznych oznacza to jedno: zanim wyślą pierwszą fakturę do gminy lub powiatu w KSeF, muszą wiedzieć, którą jednostkę wskazać jako odbiorcę – sam NIP JST może okazać się niewystarczający, jeśli inwestycja jest prowadzona przez wydzieloną jednostkę budżetową posiadającą własne konto w systemie.
Generalny wykonawca z kilkudziesięcioma pracownikami i kilkoma równoległymi kontraktami potrzebuje przemyślanej architektury dostępów, a nie przypadkowego zestawu kont. Kilka zasad, które warto wdrożyć.
Zasada minimalnych uprawnień mówi, żeby każdemu użytkownikowi przyznawać wyłącznie taki zakres, jaki jest niezbędny do jego zadań. Kierownik budowy, który zatwierdza protokoły odbioru i inicjuje wystawianie faktur, potrzebuje dostępu do przeglądania – nie do zarządzania uprawnieniami. Handlowiec wystawiający faktury za sprzedaż materiałów potrzebuje uprawnienia do wystawiania – nie do wglądu w faktury zakupowe całej firmy. Mieszanie zakresów bez potrzeby to ryzyko nieuprawnionego dostępu do danych finansowych.
Zasada audytu dostępów polega na regularnym, co najmniej kwartalnym przeglądzie listy aktywnych uprawnień w systemie. Pracownicy odchodzą, zmieniają stanowiska, kończy się współpraca z biurem rachunkowym – żaden z tych zdarzeń nie powoduje automatycznego cofnięcia dostępu w KSeF. Zarządzanie uprawnieniami wymaga aktywnej ingerencji właściciela lub administratora systemu.
Zasada redundancji administratora oznacza posiadanie przynajmniej dwóch osób z uprawnieniem do zarządzania dostępami – na wypadek nieobecności lub odejścia głównego administratora. Utrata jedynego administratora konta w firmie może zablokować proces nadawania dostępów nowym pracownikom lub zmiany uprawnień istniejących.
Jak skonfigurować strukturę uprawnień dla firmy z kilkoma kontraktami, kilkudziesięcioma użytkownikami i zewnętrznym biurem rachunkowym – krok po kroku pokazujemy na szkoleniach KSeF dla branży budowlanej. Program KSeF Develogic pozwala zarządzać uprawnieniami dla wielu podmiotów z jednego panelu, z pełną kontrolą nad zakresem dostępów na każdym poziomie organizacji. Sprawdź to w praktyce – umów bezpłatne demo.
Czy właściciel firmy może stracić dostęp do KSeF, jeśli administrator konta odbierze mu uprawnienia?
Nie. Uprawnienia właścicielskie są nieodwoływalne i nie mogą być odebrane przez żaden podmiot zewnętrzny ani przez żadnego użytkownika systemu. Administrator może zarządzać dostępami innych użytkowników, ale nigdy nie ingeruje w uprawnienia właścicielskie podatnika. Właściciel zawsze zachowuje pełen dostęp do swojego konta.
Czy pracownik z uprawnieniem do wystawiania faktur widzi faktury zakupowe firmy?
Nie – samo uprawnienie do wystawiania faktur nie daje dostępu do przeglądania dokumentów. Wgląd w faktury (zarówno wystawione, jak i odebrane) zapewnia odrębne uprawnienie dostępu do faktur. Jeśli pracownik ma mieć dostęp do obu funkcji, musi otrzymać oba uprawnienia osobno.
Czy w ramach jednego konta w KSeF można mieć różnych użytkowników z różnymi zakresami uprawnień?
Tak – i jest to zalecane rozwiązanie dla firm z rozbudowaną strukturą. KSeF pozwala na tworzenie dowolnej liczby profili dostępu o zróżnicowanym zakresie: osoba A wystawia faktury, osoba B tylko je przegląda, osoba C zarządza uprawnieniami, podmiot D ma uprawnienie do samofakturowania. Każdy użytkownik działa wyłącznie w granicach przyznanego dostępu.
Co się dzieje z uprawnieniami pracownika w KSeF, gdy rozwiązuje się z nim umowę o pracę?
Absolutnie nic – automatycznie. Rozwiązanie stosunku pracy nie powoduje żadnych zmian w systemie KSeF. Pracodawca musi ręcznie odebrać uprawnienia byłemu pracownikowi w sekcji zarządzania dostępami. Zaniedbanie tego kroku oznacza, że była osoba technicznie nadal może działać w systemie w imieniu firmy. Odbieranie uprawnień przy zakończeniu współpracy powinno być elementem firmowej procedury offboardingu.
