Wdrożenie Krajowego Systemu e-Faktur (KSeF) w Polsce rozpoczęło się 1 lutego 2026 roku dla największych podatników, a planowane rozszerzenie na pozostałe firmy od 1 kwietnia 2026 roku uruchomiło intensywną debatę o zgodności systemu z konstytucyjnymi gwarancjami prywatności i tajemnicy przedsiębiorstwa.

Przedsiębiorcy, eksperci i Rzecznik Praw Obywatelskich wskazują na ryzyko naruszenia art. 51 ust. 2 Konstytucji RP oraz standardów bezpieczeństwa danych przewidzianych w prawie unijnym.

Przesyłanie wszystkich faktur VAT w czasie rzeczywistym do centralnego rejestru Ministerstwa Finansów bez zgody kontrahenta, z szerokimi uprawnieniami dostępowymi organów państwa, rodzi zasadnicze wątpliwości co do jego zgodności z prawem polskim i europejskimi standardami ochrony praw człowieka. Niniejsza analiza dokumentuje sprzeciw przedsiębiorców, przedstawia główne argumenty konstytucyjne (m.in. prof. dr hab. Witolda Modzelewskiego) oraz ocenia możliwości wdrożenia systemu w zgodzie z obowiązującym porządkiem prawnym.

Charakterystyka systemu KSeF i kontekst jego uruchomienia

Krajowy System e-Faktur to centralne repozytorium dla wszystkich ustrukturyzowanych faktur wystawianych w Polsce w relacjach B2B i B2G. Od 1 lutego 2026 roku największe podmioty (przychody w 2024 roku powyżej 200 mln zł) wystawiają faktury wyłącznie w KSeF w schemacie XML FA(3), co radykalnie zmienia praktyki fakturowania znane od trzech dekad.

Poniżej przedstawiono zapowiedziane etapy obowiązkowego wdrożenia:

• 1 lutego 2026 – najwięksi podatnicy – obowiązek wystawiania faktur wyłącznie w KSeF w formacie XML FA(3);
• 1 kwietnia 2026 – pozostali podatnicy – rozszerzenie obowiązku na resztę przedsiębiorstw, z jednoczesnym obowiązkiem odbioru faktur przez KSeF;
• 1 stycznia 2027 – mikroprzedsiębiorstwa – objęcie firm o obrotach poniżej 10 tys. zł miesięcznie, przy niezmiennym obowiązku odbioru od dnia startu systemu.

Głównym celem KSeF jest uszczelnienie luki VAT (szacowanej na 11–12%) oraz ograniczenie szarej strefy dzięki automatycznej weryfikacji danych w czasie rzeczywistym.

Pierwsze dni funkcjonowania przyniosły jednak poważne problemy techniczne: przeciążenia serwerów i Profilu Zaufanego zablokowały dostęp wielu firmom. Ministerstwo Finansów opisało zdarzenia jako „przeciążenie”, co podważyło wiarę w gotowość infrastruktury do obsługi 2,5 mld dokumentów rocznie. Niepewność co do stabilności i bezpieczeństwa centralnie gromadzonych danych jeszcze wzrosła.

Artykuł 51 Konstytucji RP i problem gromadzenia informacji „nie‑niezbędnych”

Oś sporu wyznacza art. 51 ust. 2 Konstytucji RP, który wprowadza zasadę „niezbędności” jako warunek legalnego gromadzenia informacji przez państwo:

władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

Przedsiębiorcy i RPO argumentują, że KSeF wykracza poza niezbędne minimum do prawidłowego poboru VAT. Organy podatkowe konsekwentnie odrzucają wnioski o zwolnienie, powołując się na:

zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Zakres informacji gromadzonych w KSeF budzi wątpliwości co do spełnienia kryterium niezbędności. Przykładowe kategorie danych obejmują:

• pełne opisy towarów i usług,
• rabatowanie ujawniające strategię cenową,
• terminy płatności i warunki handlowe,
• informacje o łańcuchach dostaw.

Tak szeroki zakres de facto „penetruje tajemnicę przedsiębiorstwa” i wykracza poza to, co konieczne do rozliczeń VAT. W licznych państwach UE (m.in. Włochy, Hiszpania, Francja, Rumunia) zakres e-fakturowania bywa węższy, co osłabia tezę o niezbędności polskiego modelu.

Szczególne kontrowersje budzi potencjalny dostęp do danych przez organy ścigania i służby (ABW, CBA) bez zgody sądu. Połączenie KSeF z JPK i STIR pozwala tworzyć kompleksowe profile zachowań i powiązań biznesowych. W przypadku JDG ryzyko naruszenia standardów ochrony prywatności (EKPC) jest szczególnie wysokie.

Krytyka prof. Witolda Modzelewskiego i problem faktur „wirtualnych”

Prof. dr hab. Witold Modzelewski uznaje za fundamentalny błąd odwrócenie tradycyjnej funkcji faktury – z dokumentu potwierdzającego treść umowy do „bytu cyfrowego” istniejącego przede wszystkim na serwerze ministerstwa. Faktura trafia najpierw do państwa, a dopiero potem do kontrahenta, co budzi krytykę także za granicą.

skoro wysyłacie faktury do władzy, to niech państwo za nie płaci.

System przechowuje również „atrapy faktur” – wersje błędne lub robocze – co rodzi pytania o stosowanie art. 108 ust. 1 ustawy o VAT (zapłata podatku z wystawionej faktury), nawet gdy dokument nie wszedł skutecznie do obrotu. Profesor podnosi zarzut naruszenia art. 90 dyrektywy 2006/112/UE w zakresie zasad zmniejszenia podstawy opodatkowania przy anulowaniu faktur.

Otwartą kwestią pozostaje, czy faktura wystawiona poza KSeF może być ważna, jeśli system odrzuci ją z przyczyn technicznych. Uzależnienie skuteczności czynności cywilnoprawnych od działania serwerów państwa ingeruje w swobodę umów i podważa zaufanie do instytucji publicznych. Brakuje też skutecznej procedury całkowitego usunięcia błędnie wystawionych dokumentów, co może utrwalać błędy w rejestrze nawet przez 10 lat.

Obawy o inwigilację i tworzenie behawioralnych profili przedsiębiorców

Powszechne obawy dotyczą tworzenia złożonych profili behawioralnych przez łączenie danych z KSeF, JPK i STIR. Wgląd w strategię cenową, marże, relacje i sieci dostaw – wsparte danymi bankowymi – daje organom bezprecedensowy dostęp do tajemnicy przedsiębiorstw.

KSeF ustanawia stałą, uprzednią architekturę kontroli fiskalnej – nie tyle reaguje na uzasadnione podejrzenie, ile wprowadza powszechną prewencję. Eksperci podkreślają, że centralizacja i analityka big data diametralnie zwiększają zdolności inwigilacyjne, niezależnie od formalnego zakresu danych.

Tajemnica handlowa i ochrona konkurencyjności

Dane w KSeF – rabaty, modele biznesowe, sieci dostawców, terminy płatności – mają bezpośrednią wartość gospodarczą i podlegają ochronie konstytucyjnej. Automatyczne, powszechne przekazywanie ich do centralnego systemu poza procedurą kontrolną przypomina „wywłaszczenie informacyjne” z know-how, bez adekwatnych mechanizmów kompensacyjnych.

Ryzyko obejmuje także przecieki i nadużycia. Mimo deklaracji o audytowalności dostępu i autoryzacji, centralne repozytorium to atrakcyjny „honeypot” dla hakerów i obcych służb, a brak pełnej, niezależnej oceny bezpieczeństwa tylko wzmacnia obawy.

Zgodność z prawem unijnym i standardami ViDA

Polska uzyskała decyzję wykonawczą Rady UE 2022/1003, dopuszczającą szersze obowiązkowe e-fakturowanie niż przewiduje dyrektywa 2006/112/UE. Pojawiają się jednak zarzuty, m.in. naruszenie art. 90 dyrektywy w zakresie korekt w przypadku anulowania faktur.

W perspektywie pakietu ViDA (VAT in the Digital Age) od 1 lipca 2030 roku przewidziano standard oparty na EN 16931, skromniejszy niż polski XML FA(3). Komisja Europejska dopuszcza krajowe środki szczególne jedynie do 31 grudnia 2027 roku. KSeF będzie wymagał dostosowania do norm unijnych, co zapowiada kolejne koszty dla firm niedawno inwestujących w lokalne wdrożenia.

Stanowisko Ministerstwa Finansów i deklaracje bezpieczeństwa

MF i KAS utrzymują, że zmienia się forma przetwarzania, a nie zakres danych. Szef KAS Marcin Łoboda podkreśla, że dostęp następuje wyłącznie w określonych sytuacjach i za zgodą przełożonego.

Resort wskazuje na szyfrowanie faktur, ścisłe uwierzytelnianie i rejestrowanie dostępu (w tym adresów IP). Dyrektor CIRF Roman Łożyński informował o stałych atakach DDoS od grudnia 2025 roku i obsłudze 36 tys. zapytań na sekundę bez wycieków. MF zapewnia, że systemy bezpieczeństwa nie mają dostępu do treści faktur, widząc wyłącznie dane zaszyfrowane.

Jednocześnie przyznano potrzebę dodatkowego szyfrowania w wyższych warstwach. Brak publicznej, niezależnej certyfikacji rozwiązań wzmacnia nieufność, a kluczowy problem nadmiernego zakresu danych w KSeF pozostaje bez odpowiedzi.

Praktyczne wyzwania i problemy techniczne wdrożenia

Pierwsze dni działania KSeF ujawniły niedoszacowanie skali obciążenia i kaskadowe skutki przeciążenia Profilu Zaufanego. Niewłaściwie przewidziano szczyty popytu i scenariusze obciążeniowe, co zakłóciło także inne e‑usługi (e‑PIT, biznes.gov.pl, portale ZUS).

System przewiduje tryby pracy poza KSeF. Zestawienie dostępnych trybów i terminów dosłania dokumentów wygląda następująco:

• offline24 – wystawienie bez połączenia i przekazanie do KSeF najpóźniej w następnym dniu roboczym;
• offline – tryb na czas prac modernizacyjnych po stronie systemu publicznego;
• awaryjny – w razie całkowitej awarii KSeF z obowiązkiem dosłania w ciągu 7 dni.

Do 31 grudnia 2026 roku nie przewidziano sankcji za błędy przy fakturowaniu poza KSeF, a kary finansowe mają obowiązywać od 1 stycznia 2027 roku, co w praktyce tworzy bufor na wypadek dalszych trudności technicznych.

Masowe wnioski o zwolnienie z systemu na podstawie konstytucji

Przedsiębiorcy masowo składają wnioski o zwolnienie z KSeF, powołując się na art. 51 ust. 2 Konstytucji RP. Organy skarbowe odmawiają wszczęcia postępowań, wskazując na art. 165 § 1 Ordynacji podatkowej oraz cytowany art. 51 ust. 5 Konstytucji, uznając sprawy za „nieistniejące”.

Realna kontrola konstytucyjna wymagałaby rozstrzygnięcia Trybunału Konstytucyjnego, co obecnie jest w praktyce niedostępne. Skargi indywidualne mogą zostać rozpatrzone dopiero w latach 2028–2030, bez wpływu na bieżące wdrażanie systemu.

Stanowisko Rzecznika Praw Obywatelskich i organizacji branżowych

Rzecznik Praw Obywatelskich (RPO) interweniował po fali skarg dotyczących inwigilacji i naruszeń praw konstytucyjnych. Europejskie Stowarzyszenie Przedsiębiorców Turystycznych (ESPT) – reprezentujące MŚP – wskazało, że KSeF to powszechny, prewencyjny i niezróżnicowany mechanizm kontroli podatników.

W odpowiedzi z 6 grudnia 2024 roku Szef KAS zapewnił o wykorzystywaniu danych wyłącznie w niezbędnym zakresie, nie odnosząc się jednak do zarzutu nadmierności gromadzonych informacji. Pytania o pełną, niezależną weryfikację bezpieczeństwa pozostają bez rozstrzygnięcia.

Problemy z RODO i ochroną danych osobowych

W KSeF przedsiębiorcy pozostają administratorami danych i odpowiadają za ich zgodność z RODO. MF zapewnia infrastrukturę, lecz nie przejmuje odpowiedzialności za obowiązki RODO po stronie podatników.

Najważniejsze obowiązki administratora w związku z KSeF obejmują:

• wdrożenie adekwatnych środków technicznych i organizacyjnych,
• aktualizację dokumentacji oraz rejestrów czynności przetwarzania,
• szkolenia personelu i kontrolę uprawnień do KSeF,
• obsługę praw osób (dostęp, sprostowanie, ograniczenie),
• przeprowadzenie oceny skutków (DPIA) przy dużej skali lub wysokim ryzyku.

W przypadku JDG dane z faktur często łączą sferę zawodową i prywatną, co dodatkowo wzmacnia reżim ochrony wynikający z art. 8 EKPC.

Scenariusze przyszłych rozwojów i potencjalne rozwiązania

Mając na uwadze ograniczone i długotrwałe ścieżki egzekwowania praw konstytucyjnych, rząd akcentuje priorytet w postaci uszczelnienia VAT. Możliwe kierunki zmian wyglądają następująco:

• wdrożenie bez zmian – utrzymanie obecnego modelu KSeF, mimo ryzyk konstytucyjnych i biznesowych;
• ograniczenie zakresu danych – korekty pod presją przedsiębiorców i RPO, z większą selektywnością informacji;
• przyspieszone dostosowanie do ViDA – redukcja zakresu danych i formatów do standardu EN 16931, nawet kosztem ponownych wdrożeń.

Wiele firm utrzymuje równoległe procedury „na wypadek awarii”, a doświadczenia z Polski skłoniły część państw UE do rewizji planów w zakresie centralnych repozytoriów faktur.

Zagrożenia bezpieczeństwa danych i ryzyka techniczne

Centralizacja wszystkich faktur w jednym repozytorium tworzy „honeypot” dla cyberprzestępców i obcych wywiadów. Ewentualny wyciek mógłby ujawnić strukturę gospodarki i strategie konkurencyjne, co byłoby katastrofalne dla przewag rynkowych polskich firm.

Skala 2,5 mld dokumentów rocznie nie ma krajowego precedensu, a przeciążenia z pierwszych dni sugerują, że nie wszystkie scenariusze zostały przetestowane. Niski poziom zaufania przedsiębiorców do stabilności i odporności KSeF pozostaje faktem.