Interpretacja indywidualna z dnia 25 marca 2024 r., Dyrektor Krajowej Informacji Skarbowej, sygn. 0112-KDSL1-2.4011.48.2024.3.MO

Stawka zryczałtowanego podatku dla usług sklasyfikowanych w pozycji PKWiU 62.01.12.0, PKWiU 62.01.11.0, PKWiU 62.02.30.0 oraz PKWiU 85.59.12.0

Interpretacja indywidualna – stanowisko w części prawidłowe i w części nieprawidłowe

Szanowna Pani,

stwierdzam, że Pani stanowisko w sprawie oceny skutków podatkowych opisanego stanu faktycznego w zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne jest:

-nieprawidłowe w części dotyczącej stawki ryczałtu od przychodów ewidencjonowanych w odniesieniu do usług sklasyfikowanych pod symbolem PKWiU 62.01.11.0 oraz PKWiU 62.01.12.0;

-prawidłowe w pozostałej części.

Zakres wniosku o wydanie interpretacji indywidualnej

W dniu 25 stycznia 2024 r. wpłynął Pani wniosek z 25 stycznia 2024 r. o wydanie interpretacji indywidualnej, który dotyczy zryczałtowanego podatku dochodowego od niektórych przychodów osiąganych przez osoby fizyczne. Uzupełniła go Pani – w odpowiedzi na wezwania – pismami z 26 lutego 2024 r. (wpływ 27 lutego 2024 r.) oraz z 15 marca 2024 r. (wpływ 15 marca 2024 r.). Treść wniosku jest następująca:

Opis stanu faktycznego

Jest Pani polską rezydentką podatkową i prowadzi jednoosobową działalność gospodarczą od 7 grudnia 2023 r.

Związana jest z doradztwem w zakresie informatyki, w szczególności cyberbezpieczeństwa. Usługi świadczone w ramach prowadzonej działalności obejmują:

-Zapewnianie bezpieczeństwa operacji w chmurze.

-Ocenę bezpieczeństwa i zarządzanie podatnościami.

-Projektowanie i wdrażanie rozwiązań sieciowych w chmurze.

-Symulacje zagrożeń, testy penetracyjne.

-Reakcja na incydenty, monitorowanie i minimalizacja ich skutków.

-Tworzenie polityk bezpieczeństwa i dokumentowanie procesów.

-Programy szkoleniowe z zakresu świadomości bezpieczeństwa dla użytkowników.

Ponadto w uzupełnieniach wniosku udzieliła Pani następujących odpowiedzi na zadane pytania:

1.Którego roku podatkowego lub lat podatkowych dotyczy Pani wniosek?

Odpowiedź: Wniosek dotyczy roku podatkowego 2024.

2.Kiedy (dd-mm-rrrr) osiągnęła/osiągnie Pani pierwszy przychód z tytułu działalności, o której mowa we wniosku, którą zamierza Pani opodatkować zryczałtowaną stawką podatku?

Odpowiedź: Pierwszy przychód z tytułu działalności został osiągnięty (…) stycznia 2024 r.

3.Czy złożyła/zamierza złożyć Pani Naczelnikowi Urzędu Skarbowego oświadczenie o wyborze opodatkowania przychodów w formie ryczałtu od przychodów ewidencjonowanych, a jeśli tak to kiedy (dd-mm-rrrr)?

Odpowiedź: Wybór formy opodatkowania na ryczałt został złożony jako wniosek o zmianę wpisu w CEIDG (…) stycznia 2024 r. z datą powstania zmiany (…) stycznia 2024 r.

4.Na jakich zasadach (forma opodatkowania) dokonywała/dokonuje Pani rozliczeń podatkowych w dotychczas prowadzonej działalności gospodarczej?

Odpowiedź: Przy założeniu działalności wybraną formą opodatkowania był podatek liniowy, jednak nie został osiągnięty żaden przychód w tamtym czasie.

5.Czy zgodnie z art. 3 ust. 1 oraz ust. 1a ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (t. j. Dz. U. z 2022 r. poz. 2647 ze zm.), ma Pani nieograniczony obowiązek podatkowy w Polsce?

Odpowiedź: Posiada Pani miejsce zamieszkania na terytorium Polski, więc podlega nieograniczonemu obowiązkowi podatkowemu.

6.Czy w roku podatkowym/latach podatkowych, którego/których dotyczy wniosek (wskazanych w odpowiedzi na pkt 1 wezwania), w odniesieniu do Pani zachowane zostają/zostaną warunki określone w art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowymod niektórych przychodów osiąganych przez osoby fizyczne?

Odpowiedź: W roku podatkowym, którego dotyczy wniosek, zostają zachowane warunki określone w art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

7. Czy w roku podatkowym/latach podatkowych, którego/których dotyczy wniosek (wskazanych w odpowiedzi na pkt 1 wezwania), w odniesieniu do prowadzonej przez Panią działalności gospodarczej występują/wystąpią negatywne przesłanki wynikające z art. 8 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne?

Odpowiedź: Nie występują negatywne przesłanki wynikające z art. 8 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

8.Czy prowadzi Pani ewidencję w sposób umożliwiający określenie przychodów z każdego rodzaju prowadzonej przez Panią działalności odrębnie?

Odpowiedź: Prowadzona ewidencja pozwala na dopasowanie usługi do wymienionych rodzajów działalności, jednak dla pierwszego przychodu (…) stycznia 2024 r. nie został określony bezpośrednio kod PKWiU dla wykonanej usługi na fakturze, jako że nie ma takiego obowiązku.

9.Czy prowadzona przez Panią działalność gospodarcza jest/będzie działalnością usługową w myśl art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne?

Odpowiedź: Prowadzona działalność gospodarcza jest działalnością usługową w myśl art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

10.Którego PKWiU dotyczą opisane we wniosku usługi?

W stanowisku wniosku wskazała Pani, że:

„Usługi świadczone przez działalność są sklasyfikowane pod symbolami PKWiU 62.01.11.0 oraz 62.01.12.0 (…)”

natomiast w opisie sprawy wskazała Pani:

„Usługi świadczone w ramach prowadzonej działalności obejmują:

-Zapewnienie bezpieczeństwa operacji w chmurze.

-Ocenę bezpieczeństwa i zarządzanie płatnościami.

-Projektowanie i wdrażanie rozwiązań sieciowych w chmurze.

-Symulacje zagrożeń, testy penetracyjne.

-Reakcja na incydenty, monitorowanie i minimalizacja ich skutków.

-Tworzenie polityk bezpieczeństwa i dokumentowanie procesów.

-Programy szkoleniowe z zakresu świadomości bezpieczeństwa dla użytkowników.”

Proszę o przyporządkowanie opisanych we wniosku czynności do odpowiednich usług, tj. wskazanie, które z czynności wykonuje Pani w ramach usługi sklasyfikowanej pod symbolem PKWiU 62.01.11.0, a które w ramach usługi sklasyfikowanej wg PKWiU 62.01.12.0?

11.Jakie dokładnie czynności wykonuje Pani w ramach świadczonych usług wskazanych we wniosku? Należy wskazać na czym konkretnie polegają Pani usługi w zakresie:

a)Zapewnienie bezpieczeństwa operacji w chmurze;

b)Ocenę bezpieczeństwa i zarządzanie płatnościami;

c)Projektowanie i wdrażanie rozwiązań sieciowych w chmurze;

d)Symulacje zagrożeń, testy penetracyjne;

e)Reakcja na incydenty, monitorowanie i minimalizacja ich skutków;

f)Tworzenie polityk bezpieczeństwa i dokumentowanie procesów;

g)Programy szkoleniowe z zakresu świadomości bezpieczeństwa dla użytkowników.

Proszę o ich wyczerpujące scharakteryzowanie, tj. opisanie, na czym konkretnie polegają wymienione przez Panią usługi:

1)czego dotyczą?

2)jaki jest ich zakres?

3)co jest ich efektem?

Proszę o oddzielną charakterystykę w odniesieniu do każdej z siedmiu wyżej wymienionych w lit. a-g przez Panią usług.

Odpowiedź na pytanie nr 10 oraz 11: Usługi świadczone w ramach prowadzonej działalności obejmują:

Zapewnienie bezpieczeństwa operacji w chmurze – PKWiU 62.01.11.0

-Wdrażanie rozwiązań mających na celu poprawę bezpieczeństwa infrastruktury w chmurze (serwerów, baz danych).

-Są to np. implementacja i konfiguracja sieciowego firewalla, segmentacja sieci, zarządzanie dostępem, reguły blokujące ruch sieciowy.

-Efektem są istniejące elementy infrastruktury lub reguły/polityki zarządzania ruchem sieciowym.

Projektowanie i wdrażanie rozwiązań sieciowych w chmurze – PKWiU 62.01.11.0

-Projektowanie elementów infrastruktury w chmurze oraz ich implementacja.

-Zakres obejmuje tworzenie np. wirtualnych sieci i serwerów w chmurze po wcześniejszym zaprojektowaniu połączeń i relacji między nimi.

-Wynikiem są diagramy przedstawiające projekt infrastruktury oraz zaimplementowane systemy i sieci.

Testy penetracyjne – PKWiU 62.01.12.0

-Testowanie elementów infrastruktury w celu wykrycia podatności.

-Obejmuje skanowanie sieci, próby wykrycia i wykorzystania podatności systemu, sporządzenie raportu.

-Wynikiem jest raport istniejących podatności z rekomendacjami.

-Ma na celu zdobycie wiedzy o istniejących podatnościach, aby podjąć kroki naprawcze zanim dojdzie do incydentu.

Symulacja zagrożeń/modelowanie zagrożeń – PKWiU 62.01.12.0

-Jest to proces identyfikacji prawdopodobnych zagrożeń bezpieczeństwa związanych z istniejącymi systemami oraz danymi, jakie są na nich przetwarzane, a następnie zaproponowanie sposobów, aby zniwelować zidentyfikowane problemy lub zminimalizować ryzyko.

-W przeciwieństwie do testów penetracyjnych (podczas których odnajdowane są podatności w istniejących już systemach), modelowanie zagrożeń może odbyć się już w fazie projektowania.

-Efektem jest identyfikacja możliwych zagrożeń oraz sposoby ich niwelowania.

Tworzenie polityk bezpieczeństwa i dokumentowanie procesów – PKWiU 62.01.12.0

-Przygotowywanie dokumentów określających metody, narzędzia, praktyki i zasady, których należy używać i przestrzegać w celu zapewnienia bezpieczeństwa informacji danej organizacji.

-Dokumentowanie procesów – każdy proces dotyczący bezpieczeństwa, jak np. przeprowadzenie testu penetracyjnego, powinien być odpowiednio udokumentowany.

-Efektem jest sporządzenie odpowiednich dokumentów.

Programy szkoleniowe z zakresu świadomości bezpieczeństwa dla użytkowników – PKWiU 85.59.12.0

-Szkolenia mają na celu zaznajomienie użytkowników systemów z zasadami bezpiecznego korzystania i podniesienie świadomości w zakresie cyberbezpieczeństwa.

-Szkolenia mogą być przeprowadzone w postaci spotkania online.

-Efektem jest odpowiednio wyszkolony personel, dzięki czemu minimalizuje się ryzyko wystąpienia incydentu.

Reakcja na incydenty, monitorowanie i minimalizacja ich skutków – PKWiU 62.02.30.0

-W przypadku wystąpienia incydentu związanego z bezpieczeństwem, jak np. nieautoryzowany dostęp do systemu lub danych, atak hakerski, wymagana jest odpowiednia reakcja i podjęcie kroków w celu zniwelowania problemu.

-Obejmuje takie działania, jak zablokowanie ruchu sieciowego, izolacja systemów.

-Podczas reakcji na incydent konieczne jest także monitorowanie jego przebiegu i dokumentacja.

-Po rozwiązaniu problemu należy także zminimalizować jego negatywne skutki, np. odzyskać dane z backupu.

-Efektem jest rozwiązanie problemu i minimalizacja szkód.

Ocena bezpieczeństwa i zarządzanie podatnościami – PKWiU 62.02.30.0

-Obejmuje identyfikację elementów infrastruktury wraz z analizą ryzyka.

-Zarządzanie podatnościami to proces wykrywania, priorytetyzowania, oceny i naprawy podatności.

-Podatności wykryte podczas testu penetracyjnego powinny być odpowiednio udokumentowane, a następnie naprawione poprzez np. naprawę wadliwej konfiguracji systemu.

-Efektem jest dokumentacja procesu oraz naprawa podatności systemów w celu podniesienia poziomu bezpieczeństwa z zakresu świadomości bezpieczeństwa dla użytkowników.

Nie są to usługi związane z doradztwem w zakresie oprogramowania.

12.Czy świadczone przez Panią usługi są/będą usługami projektowania, rozwoju i wdrażania oprogramowania, w tym oprogramowania związanego z bezpieczeństwem w sieci?

Odpowiedź: Żadna ze świadczonych usług nie jest związana z projektowaniem, rozwojem i wdrażaniem oprogramowania.

13.Czy wykonywane przez Panią usługi sklasyfikowane pod symbolem PKWiU 62.02.30.0 są usługami związanymi z doradztwem w zakresie oprogramowania?

Odpowiedź: Nie są to usługi związane z doradztwem w zakresie oprogramowania.

Pytanie (ostatecznie sformułowane w piśmie z 26 lutego 2024 r.)

Czy przychód osiągany z tytułu opisanych usług może zostać opodatkowany ryczałtem od przychodów ewidencjonowanych przy zastosowaniu stawki 8,5%?

Pani stanowisko w sprawie (ostatecznie sformułowane w piśmie z 26 lutego 2024 r.)

Usługi świadczone w ramach działalności nie są związane z projektowaniem, rozwojem, ani wdrażaniem oprogramowania, zatem przychód podlega opodatkowaniu ryczałtem od przychodów ewidencjonowanych przy zastosowaniu stawki 8,5%.

Ocena stanowiska

Stanowisko, które przedstawiła Pani we wniosku, jest:

-nieprawidłowe w części dotyczącej stawki ryczałtu od przychodów ewidencjonowanych w odniesieniu do usług sklasyfikowanych pod symbolem PKWiU 62.01.11.0 oraz PKWiU 62.01.12.0;

-prawidłowe w pozostałej części.

Uzasadnienie interpretacji indywidualnej

Stosownie do art. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. z 2022 r. poz. 2540 ze zm.):

Zgodnie z art. 6 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

W myśl art. 6 ust. 4 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne przewiduje również wyłączenia z tej formy opodatkowania, o czym stanowi art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Według art. 8 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Stosownie do art. 8 ust. 2 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

W myśl art. 8 ust. 3 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Jednocześnie należy wskazać, że warunkiem skorzystania ze zryczałtowanej formy opodatkowania jest złożenie oświadczenia o wyborze opodatkowania w formie ryczałtu od przychodów ewidencjonowanych.

Zgodnie z art. 9 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Według art. 9 ust. 1c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Stosownie do art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Na podstawie art. 4 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Oznaczenie „ex” dotyczy zatem tylko określonej usługi z danego grupowania. Umieszczenie tego dopisku przy konkretnym symbolu statystycznym ma na celu zawężenie stosowania przepisu tylko do tej nazwy grupowania.

Wysokość stawek ryczałtu od przychodów ewidencjonowanych została przez ustawodawcę ustalona w art. 12 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

W myśl art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Jak stanowi art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Stosownie do art. 12 ust. 1 pkt 5 lit. c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Zwracam również uwagę, że możliwość opłacania oraz wysokość stawki ryczałtu od przychodów ewidencjonowanych uzyskanych w związku z prowadzoną działalnością gospodarczą zależy wyłącznie od faktycznego rodzaju świadczonych w ramach tej działalności usług.

Zatem konieczne jest każdorazowe przypisanie rodzaju wykonywanych czynności do określonego grupowania PKWiU. Przy czym klasyfikacji tej do określonego symbolu PKWiU dokonuje sam podatnik.

Ponadto podkreślić również należy, że w myśl art. 12 ust. 3 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Zatem, w sytuacji prowadzenia działalności gospodarczej opodatkowanej zryczałtowanym podatkiem dochodowym wg różnych stawek, ryczałt od przychodów ewidencjonowanych na podstawie prowadzonej ewidencji przychodów ustala się według stawki właściwej dla przychodów z każdego rodzaju działalności, pod warunkiem że ewidencja przychodów jest prowadzona w sposób umożliwiający określenie przychodów z każdego rodzaju działalności.

Z opisu sprawy przedstawionego we wniosku oraz uzupełnieniach wynika, że od 7 grudnia 2023 r. prowadzi Pani jednoosobową działalność gospodarczą związaną z doradztwem w zakresie informatyki, w szczególności cyberbezpieczeństwa. Prowadzona działalność gospodarcza jest działalnością usługową w myśl art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Wniosek dotyczy roku podatkowego 2024. W roku podatkowym, którego dotyczy wniosek, zostają zachowane warunki określone w art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne oraz nie występują negatywne przesłanki wynikające z art. 8 ww. ustawy. Prowadzi Pani ewidencję pozwalająca na dopasowanie usługi do wymienionych rodzajów działalności. Usługi świadczone w ramach prowadzonej działalności obejmują:

Zapewnienie bezpieczeństwa operacji w chmurze – PKWiU 62.01.11.0

-Wdrażanie rozwiązań mających na celu poprawę bezpieczeństwa infrastruktury w chmurze (serwerów, baz danych).

-Są to np. implementacja i konfiguracja sieciowego firewalla, segmentacja sieci, zarządzanie dostępem, reguły blokujące ruch sieciowy.

-Efektem są istniejące elementy infrastruktury lub reguły/polityki zarządzania ruchem sieciowym.

Projektowanie i wdrażanie rozwiązań sieciowych w chmurze – PKWiU 62.01.11.0

-Projektowanie elementów infrastruktury w chmurze oraz ich implementacja.

-Zakres obejmuje tworzenie np. wirtualnych sieci i serwerów w chmurze po wcześniejszym zaprojektowaniu połączeń i relacji między nimi.

-Wynikiem są diagramy przedstawiające projekt infrastruktury oraz zaimplementowane systemy i sieci.

Testy penetracyjne – PKWiU 62.01.12.0

-Testowanie elementów infrastruktury w celu wykrycia podatności.

-Obejmuje skanowanie sieci, próby wykrycia i wykorzystania podatności systemu, sporządzenie raportu.

-Wynikiem jest raport istniejących podatności z rekomendacjami.

-Ma na celu zdobycie wiedzy o istniejących podatnościach, aby podjąć kroki naprawcze zanim dojdzie do incydentu.

Symulacja zagrożeń/modelowanie zagrożeń – PKWiU 62.01.12.0

-Jest to proces identyfikacji prawdopodobnych zagrożeń bezpieczeństwa związanych z istniejącymi systemami oraz danymi, jakie są na nich przetwarzane, a następnie zaproponowanie sposobów, aby zniwelować zidentyfikowane problemy lub zminimalizować ryzyko.

-W przeciwieństwie do testów penetracyjnych (podczas których odnajdowane są podatności w istniejących już systemach), modelowanie zagrożeń może odbyć się już w fazie projektowania.

-Efektem jest identyfikacja możliwych zagrożeń oraz sposoby ich niwelowania.

Tworzenie polityk bezpieczeństwa i dokumentowanie procesów – PKWiU 62.01.12.0

-Przygotowywanie dokumentów określających metody, narzędzia, praktyki i zasady, których należy używać i przestrzegać w celu zapewnienia bezpieczeństwa informacji danej organizacji.

-Dokumentowanie procesów – każdy proces dotyczący bezpieczeństwa, jak np. przeprowadzenie testu penetracyjnego, powinien być odpowiednio udokumentowany.

-Efektem jest sporządzenie odpowiednich dokumentów.

Programy szkoleniowe z zakresu świadomości bezpieczeństwa dla użytkowników – PKWiU 85.59.12.0

-Szkolenia mają na celu zaznajomienie użytkowników systemów z zasadami bezpiecznego korzystania i podniesienie świadomości w zakresie cyberbezpieczeństwa.

-Szkolenia mogą być przeprowadzone w postaci spotkania online.

-Efektem jest odpowiednio wyszkolony personel, dzięki czemu minimalizuje się ryzyko wystąpienia incydentu.

Reakcja na incydenty, monitorowanie i minimalizacja ich skutków – PKWiU 62.02.30.0

-W przypadku wystąpienia incydentu związanego z bezpieczeństwem, jak np. nieautoryzowany dostęp do systemu lub danych, atak hakerski, wymagana jest odpowiednia reakcja i podjęcie kroków w celu zniwelowania problemu.

-Obejmuje takie działania, jak zablokowanie ruchu sieciowego, izolacja systemów.

-Podczas reakcji na incydent konieczne jest także monitorowanie jego przebiegu i dokumentacja.

-Po rozwiązaniu problemu należy także zminimalizować jego negatywne skutki, np. odzyskać dane z backupu.

-Efektem jest rozwiązanie problemu i minimalizacja szkód.

Ocena bezpieczeństwa i zarządzanie podatnościami – PKWiU 62.02.30.0

-Obejmuje identyfikację elementów infrastruktury wraz z analizą ryzyka.

-Zarządzanie podatnościami to proces wykrywania, priorytetyzowania, oceny i naprawy podatności.

-Podatności wykryte podczas testu penetracyjnego powinny być odpowiednio udokumentowane, a następnie naprawione poprzez np. naprawę wadliwej konfiguracji systemu.

-Efektem jest dokumentacja procesu oraz naprawa podatności systemów w celu podniesienia poziomu bezpieczeństwa z zakresu świadomości bezpieczeństwa dla użytkowników.

Żadna ze świadczonych usług nie jest związana z projektowaniem, rozwojem, wdrażaniem, ani doradztwem w zakresie oprogramowania. Ponadto, usługi sklasyfikowane pod symbolem PKWiU 62.02.30.0 nie są to usługi związane z doradztwem w zakresie oprogramowania.

Dokonując analizy będących przedmiotem wniosku usług, w pierwszej kolejności należy mieć na uwadze Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) oraz wyjaśnienia Głównego Urzędu Statystycznego do PKWiU z 2015 r.

Zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU) w dziale 62 USŁUGI ZWIĄZANE Z OPROGRAMOWANIEM I DORADZTWEM W ZAKRESIE INFORMATYKI I USŁUGI POWIĄZANE mieści się klasa 62.01 USŁUGI ZWIĄZANE Z OPROGRAMOWANIEM.

W klasie PKWiU 62.01 mieszczą się „Usługi związane z oprogramowaniem”. Klasa ta obejmuje: pisanie, modyfikowanie, badanie, dokumentowanie i wspomaganie oprogramowania, włączając pisanie zleceń sterujących programami dla użytkowników.

Klasa ta obejmuje także analizowanie, projektowanie systemów gotowych do użycia:

-rozbudowę, tworzenie, dostarczanie oraz dokumentację oprogramowania wykonanego na zlecenie określonego użytkownika,

-pisanie programów na zlecenie użytkownika,

-projektowanie stron internetowych.

W klasie 62.01 znajduje się kategoria 62.01.1 USŁUGI ZWIĄZANE Z PROJEKTOWANIEM I ROZWOJEM TECHNOLOGII INFORMATYCZNYCH, która obejmuje dwa poniższe grupowania:

-62.01.11.0 – Usługi związane z projektowaniem, programowaniem i rozwojem oprogramowania,

-62.01.12.0 – Usługi związane z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych.

Usługi związane z oprogramowaniem (PKWiU ex 62.01.1) to takie spośród „Usług związanych z projektowaniem i rozwojem technologii informatycznych” (PKWiU 62.01.1), które rzeczywiście są związane tylko z oprogramowaniem.

Co istotne, grupowanie 62.01.11.0 – „Usługi związane z projektowaniem, programowaniem i rozwojem oprogramowania” obejmuje usługi związane z projektowaniem struktury i/lub zapisu kodu komputera, włączając uaktualnianie i wstawki korekcyjne, niezbędne do tworzenia i/lub wdrożenia aplikacji programowej, takie jak:

-projektowanie struktury i zawartości stron internetowych i/lub zapisu kodu komputerowego, niezbędnego do tworzenia i/lub wdrożenia stron internetowych,

-projektowanie struktury i zawartości bazy danych i/lub zapisu kodu komputerowego, niezbędnego do tworzenia i/lub wdrożenia bazy danych (magazynu danych),

-projektowanie struktury i zapisu kodu komputerowego niezbędnego do zaprojektowania i rozwinięcia aplikacji programowej na życzenie klienta, inne niż programowanie stron internetowych, baz danych lub zintegrowanych pakietów programowych,

-wykonanie aplikacji na indywidualne zamówienie, łączenie w całość, przystosowanie (modyfikowanie, konfigurowanie itp.) i instalowanie istniejącej aplikacji tak, aby była funkcjonalna w środowisku informatycznym klienta.

Z kolei, grupowanie PKWiU 62.01.12.0 „Usługi związane z projektowaniem i rozwojem technologii informatycznych dla sieci i systemów komputerowych” obejmuje:

-usługi związane z projektowaniem, rozwojem i wdrażaniem sieci klienta, takich jak: intranet, ekstranet i wirtualne sieci prywatne,

-usługi związane z projektowaniem i rozwojem bezpieczeństwa sieci, tj. projektowanie, rozwój i wdrażanie oprogramowania, sprzętu komputerowego i procedur sterowania dostępem do danych i programami pozwalającymi na bezpieczną wymianę informacji w ramach sieci.

Odnosząc się do powyższego, PKWiU 62.01.1 obejmuje zarówno usługi sklasyfikowane w grupowaniu PKWiU 62.01.11.0, jak i w grupowaniu PKWiU 62.01.12.0. Jednak znajdujące się przy grupowaniu PKWiU 62.01.1 oznaczenie „ex” (PKWiU ex 62.01.1) oznacza, że 12% stawkę ryczałtu należy stosować wyłącznie do przychodów uzyskiwanych ze świadczenia usług związanych z oprogramowaniem.

Zatem usługi związane z oprogramowaniem (PKWiU ex 62.01.1) to takie spośród „Usług związanych z projektowaniem i rozwojem technologii informatycznych” (PKWiU 62.01.1), które rzeczywiście są związane tylko z oprogramowaniem.

W tym miejscu wskazać należy, że ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, nie zawiera definicji oprogramowania. W tym celu – mając na względzie, że ustawa dla ustalenia właściwej stawki podatku, odsyła do właściwej klasyfikacji statystycznej – należy posłużyć się definicją Oprogramowania zawartą w zeszycie metodologicznym Głównego Urzędu Statystycznego „Zeszyt metodologiczny. Wskaźnik społeczeństwa informacyjnego. Badania wykorzystania technologii informacyjno-komunikacyjnych”. Zgodnie z zawartą tam definicją Oprogramowanie (Software) to – całość instrukcji i procedur (programów) oraz powiązanych z nimi danych umożliwiających komputerom i innym programowalnym urządzeniom wykonywanie określonych funkcji. Oprogramowanie jest często rozumiane jako synonim terminu program komputerowy, chociaż ma nieco szersze znaczenie – obejmuje także programy wykorzystywane przez inne urządzenia. Do oprogramowania zalicza się systemy operacyjne, programy użytkowe (aplikacje), programy do tworzenia programów, programy sterujące działaniem różnych urządzeń (od telewizorów i innego sprzętu elektronicznego, kalkulatorów, przez telefony komórkowe, do podzespołów komputerowych np. nagrywarek DVD) – tzw. firmware, a także różnego rodzaju programy wykorzystywane przez urządzania i systemy sieciowe, telekomunikacyjne itp.

Wskazać również należy, że przepis art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, w przypadku PKWiU ex 62.01.1 wskazuje na związek świadczonych usług z oprogramowaniem, nie zawężając tych czynności wyłącznie do kwestii programowania. Przy czym przepis ten nie odwołuje się ani do bezpośredniego, ani też pośredniego związku z oprogramowaniem. W tej regulacji nie ma też mowy o usługach polegających na programowaniu (tworzeniu kodów źródłowych programów komputerowych), a związanych z oprogramowaniem.

Zgodnie z wykładnią literalną słowo „związany z” oznacza „dotyczy czegoś, mający związek z czymś lub kimś”. Tym samym usługi związane z oprogramowaniem to usługi, które dotyczą oprogramowania.

Zauważam, że grupowanie PKWiU 62.01.11.0 – Usługi związane z projektowaniem, programowaniem i rozwojem oprogramowania zawiera szeroki wachlarz usług, które są związane z oprogramowaniem, począwszy od projektowania tego oprogramowania przez jego programowanie aż po jego rozwój. W grupowaniu tym mieszczą się różne czynności związane z oprogramowaniem – nie tylko sam zapis kodu komputerowego (zapis kodu oprogramowania). Zatem mieszczące się w tym grupowaniu usługi są związane z oprogramowaniem, dotyczą oprogramowania (jak też wskazuje sama nazwa grupowania).

Z opisu sprawy wynika, że wykonuje Pani usługi, które są sklasyfikowane wg PKWiU 62.01.11.0, tj.:

·Zapewnienie bezpieczeństwa operacji w chmurze, które polega na wdrażaniu rozwiązań mających na celu poprawę bezpieczeństwa infrastruktury w chmurze (serwerów, baz danych). Są to np. implementacja i konfiguracja sieciowego firewalla, segmentacja sieci, zarządzanie dostępem, reguły blokujące ruch sieciowy. Efektem są istniejące elementy infrastruktury lub reguły/polityki zarządzania ruchem sieciowym.

·Projektowanie i wdrażanie rozwiązań sieciowych w chmurze, które dotyczy projektowania elementów infrastruktury w chmurze oraz ich implementacji. Zakres obejmuje tworzenie np. wirtualnych sieci i serwerów w chmurze po wcześniejszym zaprojektowaniu połączeń i relacji między nimi. Wynikiem są diagramy przedstawiające projekt infrastruktury oraz zaimplementowane systemy i sieci.

Analiza powyższych czynności prowadzi do wniosku, że są one niewątpliwie nakierowane na oprogramowanie. Czynności, które Pani wskazała we wniosku oraz jego uzupełnieniu, mieszczą się – w ocenie organu – w pojęciu usług związanych z oprogramowaniem. Odnośnie usług zapewnienia bezpieczeństwa operacji w chmurze oraz projektowania i wdrażania rozwiązań sieciowych w chmurze sklasyfikowanych wg symbolu PKWiU 62.01.11.0, nie można zgodzić się z Pani twierdzeniem, że nie są to usługi związane z oprogramowaniem. Całość opisanych przez Panią czynności i zadań odnosi się wprost do oprogramowania, systemów oraz sieci komputerowych. Usługi związane z oprogramowaniem nie polegają jedynie na programowaniu, czyli tworzeniu kodów źródłowych przez programistów, ale są to wszelkie inne usługi związane z projektowaniem i rozwojem technologii informatycznych. Systemy wchodzą w zakres pojęcia „oprogramowanie”, zatem wszelkie usługi – sklasyfikowane w kategorii PKWiU 62.01.11.0 „Usługi związane z projektowaniem, programowaniem i rozwojem oprogramowania” –spełniają przesłankę wykluczającą możliwość zastosowania stawki podatku w wysokości 8,5%. W rezultacie, powinny być opodatkowane 12% stawką ryczałtu od przychodów ewidencjonowanych, określoną w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Odnosząc się do wykonywanych przez Panią usług, które są sklasyfikowane wg PKWiU 62.01.12.0, tj.:

·Testowania penetracyjnego, które dotyczy testowania elementów infrastruktury w celu wykrycia podatności. Obejmuje skanowanie sieci, próby wykrycia i wykorzystania podatności systemu, sporządzenie raportu. Wynikiem jest raport istniejących podatności z rekomendacjami. Ma na celu zdobycie wiedzy o istniejących podatnościach, aby podjąć kroki naprawcze zanim dojdzie do incydentu;

·Symulacji zagrożeń/modelowania zagrożeń – jest to proces identyfikacji prawdopodobnych zagrożeń bezpieczeństwa związanych z istniejącymi systemami oraz danymi, jakie są na nich przetwarzane, a następnie zaproponowanie sposobów, aby zniwelować zidentyfikowane problemy lub zminimalizować ryzyko. W przeciwieństwie do testów penetracyjnych (podczas których odnajdowane są podatności w istniejących już systemach), modelowanie zagrożeń może odbyć się już w fazie projektowania. Efektem jest identyfikacja możliwych zagrożeń oraz sposoby ich niwelowania;

·Tworzenia polityk bezpieczeństwa i dokumentowanie procesów, które dotyczą przygotowywania dokumentów określających metody, narzędzia, praktyki i zasady, których należy używać i przestrzegać w celu zapewnienia bezpieczeństwa informacji danej organizacji. Dokumentowanie procesów – każdy proces dotyczący bezpieczeństwa, jak np. przeprowadzenie testu penetracyjnego, powinien być odpowiednio udokumentowany. Efektem jest sporządzenie odpowiednich dokumentów;

-należy stwierdzić, że są one niewątpliwie nakierowane na oprogramowanie, stąd niezasadne jest przyjęcie, że usługi te nie są związane z oprogramowaniem.

Jak już wspomniano, zgodnie z wykładnią literalną słowo „związany z” oznacza „dotyczy czegoś, mający związek z czymś lub kimś”. Tym samym usługi związane z oprogramowaniem to usługi, które dotyczą oprogramowania.

Całość opisanych przez Panią ww. usług odnosi się wprost do systemu.

Zauważam, że systemy wchodzą w zakres pojęcia „oprogramowanie”, zatem wszelkie usługi z nimi związane spełniają przesłankę wykluczającą możliwość zastosowania stawki podatku w wysokości 8,5%.

Biorąc pod uwagę powyższe stwierdzam, że przedstawione okoliczności sprawy wskazują, że opisane we wniosku czynności sklasyfikowane pod symbolem PKWiU 62.01.12.0 są związane z oprogramowaniem. Za uznaniem tych usług za związane z oprogramowaniem wskazuje opis świadczonych przez Panią usług.

Wobec tego uzyskiwane przez Panią przychody ze świadczenia w ramach działalności gospodarczej usług sklasyfikowanych według PKWiU 62.01.12.0 powinny być opodatkowane 12% stawką ryczałtu od przychodów ewidencjonowanych, określoną w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, a nie – jak Pani wskazała – 8,5%.

Świadczy Pani także usługi sklasyfikowane wg PKWiU pod symbolem 62.02.30.0. W tym zakresie do Pani zadań należą:

·Reakcja na incydenty, monitorowanie i minimalizacja ich skutków – w przypadku wystąpienia incydentu związanego z bezpieczeństwem, jak np. nieautoryzowany dostęp do systemu lub danych, atak hakerski, wymagana jest odpowiednia reakcja i podjęcie kroków w celu zniwelowania problemu. Obejmuje takie działania, jak zablokowanie ruchu sieciowego, izolacja systemów. Podczas reakcji na incydent konieczne jest także monitorowanie jego przebiegu i dokumentacja. Po rozwiązaniu problemu należy także zminimalizować jego negatywne skutki, np. odzyskać dane z backupu. Efektem jest rozwiązanie problemu i minimalizacja szkód.

·Ocena bezpieczeństwa i zarządzanie podatnościami – obejmuje identyfikację elementów infrastruktury wraz z analizą ryzyka. Zarządzanie podatnościami to proces wykrywania, priorytetyzowania, oceny i naprawy podatności. Podatności wykryte podczas testu penetracyjnego powinny być odpowiednio udokumentowane, a następnie naprawione poprzez np. naprawę wadliwej konfiguracji systemu. Efektem jest dokumentacja procesu oraz naprawa podatności systemów w celu podniesienia poziomu bezpieczeństwa z zakresu świadomości bezpieczeństwa dla użytkowników.

Jak Pani wskazała, ww. usługi nie są związane z doradztwem w zakresie oprogramowania.

Na podstawie powołanych wyżej przepisów oraz opisu sprawy stwierdzam, że przychody uzyskiwane przez Panią ze świadczenia w ramach działalności gospodarczej usług sklasyfikowanych według PKWiU pod symbolem 62.02.30.0, które to usługi nie są związane z doradztwem w zakresie oprogramowania, mogą być opodatkowane 8,5% stawką ryczałtu od przychodów ewidencjonowanych, określoną w art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Natomiast przychód z usług sklasyfikowanych pod symbolem PKWiU 85.59.12.0 „Programy szkoleniowe z zakresu świadomości bezpieczeństwa dla użytkowników” podlega opodatkowaniu wg stawki ryczałtu 8,5%, zgodnie z art. 12 ust. 1 pkt 5 lit. c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Reasumując – przychód osiągany w ramach pozarolniczej działalności gospodarczej z tytułu świadczonych przez Panią usług sklasyfikowanych:

-pod kodem PKWiU 62.01.11.0 oraz pod kodem PKWiU 62.01.12.0 podlega opodatkowaniu ryczałtem od przychodów ewidencjonowanych przy zastosowaniu stawki ryczałtu w wysokości 12%, zgodnie z art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne;

-pod kodem PKWiU 62.02.30.0 podlega opodatkowaniu ryczałtem od przychodów ewidencjonowanych przy zastosowaniu stawki ryczałtu w wysokości 8,5%, zgodnie z art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne;

-pod symbolem PKWiU 85.59.12.0 podlega opodatkowaniu wg stawki ryczałtu 8,5%, zgodnie z art. 12 ust. 1 pkt 5 lit. c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Dodatkowe informacje

Informacja o zakresie rozstrzygnięcia

Interpretacja dotyczy zaistniałego stanu faktycznego przedstawionego przez Panią i stanu prawnego obowiązującego w dacie zaistnienia zdarzenia.

Interpretacja indywidualna jest wydana przy założeniu, że poprawnie zakwalifikowała Pani świadczone usługi do odpowiedniego klasyfikowania PKWiU. Interpretacja nie rozstrzyga o prawidłowości tej klasyfikacji (zasady formalnego przyporządkowania towaru lub usługi do grupowania statystycznego nie są przepisami prawa podatkowego).

Pouczenie o funkcji ochronnej interpretacji

·Funkcję ochronną interpretacji indywidualnych określają przepisy art. 14k-14nb ustawyz dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (t. j. Dz. U. z 2023 r. poz. 2383 ze zm.). Interpretacja będzie mogła pełnić funkcję ochronną, jeśli: Pani sytuacja będzie zgodna (tożsama) z opisem stanu faktycznego i zastosuje się Pani do interpretacji.

·Zgodnie z art. 14na § 1 Ordynacji podatkowej:

·Zgodnie z art. 14na § 2 Ordynacji podatkowej:

Pouczenie o prawie do wniesienia skargi na interpretację

Ma Pani prawo do zaskarżenia tej interpretacji indywidualnej do Wojewódzkiego Sądu Administracyjnego w (…). Zasady zaskarżania interpretacji indywidualnych reguluje ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2023 r. poz. 1634 ze zm.; dalej jako „PPSA”).

Skargę do Sądu wnosi się za pośrednictwem Dyrektora KIS (art. 54 § 1 PPSA). Skargę należy wnieść w terminie trzydziestu dni od dnia doręczenia interpretacji indywidualnej (art. 53 § 1 PPSA):

·w formie papierowej, w dwóch egzemplarzach (oryginał i odpis) na adres: Krajowa Informacja Skarbowa, ul. Warszawska 5, 43-300 Bielsko-Biała (art. 47 § 1 PPSA), albo

·w formie dokumentu elektronicznego, w jednym egzemplarzu (bez odpisu), na adres Elektronicznej Skrzynki Podawczej Krajowej Informacji Skarbowej na platformie ePUAP: /KIS/SkrytkaESP (art. 47 § 3 i art. 54 § 1a PPSA).

Skarga na interpretację indywidualną może opierać się wyłącznie na zarzucie naruszenia przepisów postępowania, dopuszczeniu się błędu wykładni lub niewłaściwej oceny co do zastosowania przepisu prawa materialnego. Sąd jest związany zarzutami skargi oraz powołaną podstawą prawną (art. 57a PPSA).

Podstawa prawna dla wydania interpretacji

Podstawą prawną dla wydania tej interpretacji jest art. 13 § 2a oraz art. 14b § 1 ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (t. j. Dz. U. z 2023 r. poz. 2383 ze zm.).