Interpretacja 0112-KDSL1-2.4011.18.2026.2.PS

Interpretacja indywidualna
– stanowisko prawidłowe

Szanowny Panie,

stwierdzam, że Pana stanowisko w sprawie oceny skutków podatkowych opisanego stanu faktycznego oraz zdarzeń przyszłych w zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne jest prawidłowe.

Zakres wniosku o wydanie interpretacji indywidualnej

7 stycznia 2026 r. wpłynął Pana wniosek z 7 stycznia 2026 r. o wydanie interpretacji indywidualnej. Uzupełnił go Pan pismem z 11 lutego 2026 r. (wpływ 13 lutego 2026 r.) – w odpowiedzi na wezwanie. Treść wniosku jest następująca:

Opis stanu faktycznego oraz zdarzeń przyszłych

Uwagi wstępne

1.  Wnioskodawca prowadzi jednoosobową działalność gospodarczą pod firmą (…) (dalej: „Wnioskodawca”).

Wnioskodawca posiada nieograniczony obowiązek podatkowy w Polsce w rozumieniu art. 3 ust. 1 oraz ust. 1a ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (Dz. U. z 2025 r. poz. 163; dalej: „ustawa o PIT”). Jednocześnie Wnioskodawca jest czynnym podatnikiem podatku od towarów i usług, w rozumieniu ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz. U. z 2024 r. poz. 361; dalej: „ustawa o VAT”).

W bieżącym roku podatkowym Wnioskodawca dokona wyboru ryczałtu od przychodów ewidencjonowanych jako formy opodatkowania opisanej we wniosku pozarolniczej działalności gospodarczej. Wnioskodawca spełnia warunki określone w art. 6 ust. 4 ustawy o ryczałcie, uprawniające do zastosowania tej formy opodatkowania. Wnioskodawca nie podlega wyłączeniu z opodatkowania zawartemu w art. 8 ustawy o ryczałcie.

Prowadzona przez Wnioskodawcę pozarolnicza działalność gospodarcza ma charakter działalności usługowej, a jej przedmiotem są czynności zaliczane do usług zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (Dz. U. poz. 1676 z późn. zm.).

Wnioskodawca nie jest i nigdy nie był wspólnikiem, ani członkiem zarządu żadnej Spółki prawa handlowego. Wnioskodawca nie uzyskuje przychodów ze świadczenia usług firm centralnych (head-office), o których mowa w art. 12 ust. 1 pkt 9 ustawy o ryczałcie. W ramach prowadzonej działalności Wnioskodawca występuje jako podwykonawca, realizując określone zadania na rzecz kontrahentów. W związku z prowadzoną działalnością gospodarczą Wnioskodawca ponosi ryzyko gospodarcze, charakterystyczne dla działalności wykonywanej na własny rachunek oraz ponosi odpowiedzialność wobec zleceniodawcy za należyte wykonanie powierzonych czynności.

2.  Głównym przedmiotem działalności Wnioskodawcy jest świadczenie usług polegających na prowadzeniu audytów i analiz ryzyka w zakresie bezpieczeństwa (...) i bezpieczeństwa systemów IT. Świadczone usługi można określić jako specjalistyczne usługi o charakterze doradczym, których przedmiotem jest oprogramowanie, systemy informatyczne oraz bezpieczeństwo danych w systemach informatycznych. Wykonywane usługi mają charakter wsparcia organizacyjnego, planistycznego, doradczego, ale nie mają charakteru prac technicznych, programistycznych, czy testerskich.

Poniżej Wnioskodawca przedstawia szczegółowy wykaz usług świadczonych w ramach prowadzonej działalności gospodarczej:

1. Analiza ryzyka oraz wymagań biznesowych w zakresie bezpieczeństwa (…) i systemów IT, w tym:

• przeprowadzanie analiz ryzyka w odniesieniu do bezpieczeństwa (…) w systemach informatycznych,

• weryfikacja zgodności systemów z branżowymi wymaganiami bezpieczeństwa, w tym regulacjami (…),

• opracowywanie rekomendacji i zaleceń bezpieczeństwa (…) w środowisku informatycznym.

2. Audyt zabezpieczeń systemów IT, w tym:

• przegląd i ocena konfiguracji systemów pod kątem bezpieczeństwa,

• analiza zabezpieczeń systemów informatycznych dostawców,

• identyfikacja luk bezpieczeństwa i podatności technicznych systemów IT,

• przygotowanie raportów z rekomendacjami zmian,

• opracowywanie dokumentacji audytowej dla audytów wewnętrznych i zewnętrznych, w tym analizę zgodności zabezpieczeń z wymaganiami audytowymi i regulacyjnymi.

3. Analiza i ocena oprogramowania wspierającego (…), obejmująca:

• analizę danego produktu lub systemu IT pod kątem zgodności z obowiązującymi normami jakości i branżowymi normami bezpieczeństwa dla systemów komputerowych.

4. Usługi doradcze w zakresie (…) i bezpieczeństwa systemów IT, obejmujące:

• doradztwo dotyczące (…) w systemach IT,

• doradztwo w zakresie zapewnienia zgodności z wymaganiami i branżowymi standardami bezpieczeństwa danych systemów informatycznych przejmowanych jednostek,

• analizę luk w zabezpieczeniach i formowanie rekomendacji,

• rekomendowanie rozwiązań podnoszących poziom bezpieczeństwa informacji.

Wszystkie wyżej wymienione usługi, w dalszej części wniosku określane będą łącznie jako „działalność usługowa”.

Wątpliwości Wnioskodawcy dotyczą możliwości zastosowania stawki ryczałtu od przychodów ewidencjonowanych w wysokości 12% w odniesieniu do działalności usługowej Wnioskodawcy.

3.  W przyszłości Wnioskodawca planuje dodatkowo rozpocząć świadczenie usług szkoleniowych w zakresie cyberbezpieczeństwa. Usługi te polegałyby na organizacji i przeprowadzaniu szkoleń z zakresu cyberbezpieczeństwa i audytu zabezpieczeń systemów IT, które miałyby na celu zwiększenie świadomości uczestników oraz wdrożenie najlepszych praktyk w zakresie ochrony systemów i aplikacji.

Szkolenia będą obejmować zarówno teoretyczne aspekty bezpieczeństwa, jak i praktyczne warsztaty, podczas których uczestnicy nauczą się m.in. identyfikować i eliminować podatności w systemie, stosować branżowe standardy bezpieczeństwa (…) oraz zabezpieczać (…) i systemy. Szkolenia będą dostosowane do poziomu wiedzy uczestników i mogą obejmować przykładowo tematykę zabezpieczania infrastruktury IT oraz wykrywania niezgodności z obowiązującymi normami jakości i branżowymi normami bezpieczeństwa dla systemów komputerowych.

Wnioskodawca planuje świadczyć usługi szkoleniowe zarówno w formie szkoleń stacjonarnych, szkoleń online oraz w formule wideo na żądanie (szkolenia w postaci nagrań będą mogły być sprzedawane przez platformy szkoleniowe takie jak (…)). Po ukończeniu szkolenia uczestnicy otrzymają certyfikaty potwierdzające udział w szkoleniu.

Wyżej wymienione usługi, w dalszej części wniosku określane będą łącznie jako „działalność szkoleniowa”.

W piśmie stanowiącym uzupełnienie wniosku, udzielił Pan następujących odpowiedzi na zawarte pytania w wezwaniu:

1)  Od kiedy prowadzi Pan działalność gospodarczą?

Odpowiedź: Wnioskodawca prowadzi działalność gospodarczą od dnia (…) czerwca 2023 r.

2)  Na jakich zasadach (forma opodatkowania) dokonywał Pan rozliczeń podatkowych w prowadzonej działalności gospodarczej, o której mowa we wniosku?

Odpowiedź: W latach podatkowych 2023-2025 Wnioskodawca opodatkowywał działalność na zasadach ogólnych (skalą podatkową). Począwszy od 2026 r. Wnioskodawca wybrał formę opodatkowania – ryczałt od przychodów ewidencjonowanych. Okres, którego dotyczy zapytanie, obejmuje:

• w zakresie stanu faktycznego – okres od 1 stycznia 2026 r. do dnia wydania interpretacji indywidualnej przez Organ,

• w zakresie zdarzenia przyszłego – okres po dniu wydania interpretacji indywidualnej.

3)  Czy złożył/złoży Pan w ustawowym terminie oświadczenie właściwemu Naczelnikowi Urzędu Skarbowego o wyborze formy opodatkowania zryczałtowanym podatkiem dochodowym od niektórych przychodów osiąganych przez osoby fizyczne?

Odpowiedź: Wnioskodawca oświadcza, że na dzień złożenia odpowiedzi złożył w ustawowym terminie właściwemu naczelnikowi urzędu skarbowego, oświadczenie o wyborze formy opodatkowania zryczałtowanym podatkiem dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

4)  Kiedy osiągnął/osiągnie Pan pierwszy przychód z tytułu usług będących przedmiotem wniosku opodatkowanych w formie ryczałtu?

Odpowiedź: Wnioskodawca pierwszy przychód z tytułu usług będących przedmiotem wniosku, opodatkowanych w formie ryczałtu, osiągnął w styczniu 2026 r.

5)  Czy prowadzona przez Pana działalność gospodarcza jest/będzie działalnością usługową w myśl art. 4 ust. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. z 2025 r. poz. 843 ze zm.)?

Odpowiedź: Prowadzona przez Wnioskodawcę działalność jest/będzie działalnością usługową w rozumieniu art. 4 ust. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (Dz. U. z 2025 r. poz. 846 ze zm.).

6)  Jakie konkretnie czynności wykonuje/będzie Pan wykonywał w ramach świadczenia usług polegających na prowadzeniu audytów i analiz ryzyka w zakresie bezpieczeństwa (…) i bezpieczeństwa systemów IT, będących przedmiotem wniosku?

Proszę o ich szczegółowe i wyczerpujące scharakteryzowanie, tj. opisanie:

a)  na czym konkretnie polegają/będą polegały te czynności i jakie dokładnie zadania/działania Pan realizuje/będzie Pan realizował w ramach tych czynności?

b)  czego dotyczą/będą dotyczyły?

c)  jaki jest/będzie ich zakres?

d)  jaki konkretny cel realizują/będą realizowały?

e)  co jest/będzie ich efektem?

f)   w jaki sposób efekty te wykorzystuje/będą wykorzystywali kontrahenci?

Proszę o oddzielną charakterystykę w odniesieniu do każdej z wykonywanych przez Pana usług w ramach usług będących przedmiotem wniosku.

Odpowiedź:

6. Poniżej Wnioskodawca przesyła szczegółową charakterystykę każdej z opisanych usług zgodnie z wytycznymi Organu:

Ad 1. Analiza ryzyka oraz wymagań biznesowych w zakresie bezpieczeństwa (…) i systemów IT

a) czynności polegają na świadczeniu usług doradczych w obszarze bezpieczeństwa systemów informatycznych i oprogramowania poprzez identyfikację, ocenę i opis ryzyka wymagań biznesowych związanych z przetwarzaniem danych w procesach realizowanych z wykorzystaniem systemów IT. Wnioskodawca analizuje przekazaną dokumentację i informacje (m.in. polityki i procedury bezpieczeństwa, rejestry uprawnień, opisy procesów i przepływów danych, umowy z dostawcami IT), mapuje procesy realizowane w systemach IT oraz ocenia stosowane praktyki i kontrole bezpieczeństwa na podstawie dokumentów i informacji otrzymanych od kontrahenta, bez wykonywania czynności technicznych w środowiskach IT (bez konfiguracji, wdrożeń, modyfikacji systemów);

b) usługi dotyczą w szczególności oceny ryzyka naruszenia poufności, integralności i dostępności informacji w systemach IT i oprogramowaniu, w tym oceny dojrzałości procesów bezpieczeństwa (zarządzanie dostępem, incydentami, aktualizacjami, zmianą) oraz zgodności stosowanych kontroli IT z przyjętymi standardami bezpieczeństwa informacji;

c) zakres czynności obejmuje pełny cykl analizy ryzyka, w odniesieniu do obszarów wykorzystujących systemy IT w szczególności: identyfikację procesów, zagrożeń, podatności, przypisanie poziomów ryzyka, określenie wymagań biznesowych i wymagań bezpieczeństwa informacji oraz opracowanie propozycji środków redukujących ryzyko (organizacyjnych i procesowych, a także ogólnych rekomendacji dotyczących stosowania środków technicznych – wyłącznie na poziomie koncepcyjnym, bez ich projektowania, konfiguracji lub wdrażania);

d) celem czynności jest umożliwienie kontrahentowi świadomego zarządzania ryzykiem, dostosowanie organizacji bezpieczeństwa systemów IT do rzeczywistego poziomu zagrożeń oraz zapewnienie zgodności procesów przetwarzania danych w ramach oprogramowania z branżowymi standardami;

e) efektem jest przygotowanie dokumentów takich jak: raport z analizy ryzyka, matryca ryzyka, lista zidentyfikowanych niezgodności i zagrożeń, katalog rekomendowanych działań organizacyjnych i procesowych oraz opisowe wymagania biznesowe i bezpieczeństwa informacji wobec obszarów wykorzystujących systemy informatyczne;

f) kontrahenci wykorzystują efekty do planowania i priorytetyzacji działań naprawczych w obszarze bezpieczeństwa oprogramowania, aktualizacji polityk i procedur, przygotowania do audytów bezpieczeństwa oraz jako dokumentację potwierdzającą zarządzanie ryzykiem cyberbezpieczeństwa w środowisku systemów informatycznych.

Ad 2. Audyt zabezpieczeń systemów IT

a) czynności polegają na świadczeniu usług audytowo-doradczych polegających na niezależnej ocenie rozwiązań bezpieczeństwa dotyczących systemów informatycznych i oprogramowania, z perspektywy organizacyjnej oraz procesowej. Wnioskodawca dokonuje przeglądu dokumentacji bezpieczeństwa i dokumentacji organizacyjnej oraz informacji o stosowanych praktykach i rozwiązaniach IT, bez uzyskiwania dostępu do środowisk produkcyjnych i bez wykonywania czynności technicznych (takich jak konfiguracja, testy techniczne, wdrożenia). Na tej podstawie porównuje stosowane rozwiązania i praktyki z wymaganiami wewnętrznymi oraz zewnętrznymi (regulacyjnymi i standardami branżowymi) oraz identyfikuje luki i niezgodności w obszarze bezpieczeństwa oprogramowania i systemów IT o charakterze organizacyjnym i procesowym;

b) usługi dotyczą organizacji bezpieczeństwa informacji w systemach IT, zasad zarządzania dostępem, aktualizacjami i incydentami, a także zgodności stosowanych praktyk z wymogami audytowymi, regulacyjnymi i branżowymi standardami;

c) zakres obejmuje m.in.: ocenę zgodności stosowanych praktyk z politykami bezpieczeństwa, analizę sposobu nadzoru nad rozwiązaniami wykorzystywanymi przez dostawców, weryfikację kompletności i spójności dokumentacji, ocenę podziału ról i odpowiedzialności oraz funkcjonowania formalnych kontroli organizacyjnych. Rezultatem jest opisowa ocena poziomu bezpieczeństwa informacji wraz ze wskazaniem niezgodności i słabych punktów oprogramowania;

d) celem audytu jest obiektywne zidentyfikowanie obszarów wymagających poprawy, ograniczenie ryzyka incydentów bezpieczeństwa w systemach informatycznych oraz zapewnienie zgodności z wymaganiami audytowymi i standardami branżowymi;

e) efektem są raporty audytowe, dokumentacja audytowa (w tym listy kontrolne i zestawienia niezgodności) oraz zestaw rekomendowanych działań o charakterze organizacyjnym i procesowym, a także – w razie potrzeby – projekty zapisów do dokumentów wewnętrznych w warstwie opisowej;

f) kontrahenci wykorzystują efekty do planowania działań naprawczych, przygotowania do audytów zewnętrznych, udokumentowania poziomu bezpieczeństwa wobec partnerów i klientów oraz do aktualizacji procedur i standardów wewnętrznych w zakresie oprogramowania.

Ad 3. Analiza i ocena oprogramowania wspierającego ((…))

a) czynności polegają na świadczeniu usług związanych z oprogramowaniem polegających na analizie dokumentacji produktu IT (oprogramowania klasyfikowanego jako (…)) oraz jego przeznaczenia, architektury i procesów wytwórczych pod kątem wymogów jakościowych i bezpieczeństwa. Wnioskodawca dokonuje przeglądu dokumentacji, specyfikacji, procedur wytwarzania i utrzymania, sposobu zarządzania incydentami, a następnie formułuje wnioski oraz zalecenia dotyczące oprogramowania;

b) usługi dotyczą oceny czy oprogramowanie i praktyki jego wytwarzania/utrzymania spełniają wymagania norm jakości i norm bezpieczeństwa właściwych dla systemów komputerowych wykorzystywanych w zastosowaniach (…), w szczególności w zakresie bezpieczeństwa (…), ciągłości działania, identyfikowalności zmian wersji oraz zarządzania ryzykiem w cyklu życia oprogramowania;

c) zakres obejmuje ocenę, czy przyjęte rozwiązania organizacyjne i procesowe (np. sposób dokumentowania wymagań, testów, zarządzania ryzykiem, wprowadzania poprawek) są adekwatne do wymogów stawianych oprogramowaniu (…) i systemom wspierającym. Wnioskodawca ocenia kompletność i poprawność przyjętych rozwiązań w zakresie oprogramowania na poziomie dokumentacji i procesów;

d) celem jest umożliwienie kontrahentowi dostosowania produktu do wymogów norm jakościowych i bezpieczeństwa, ograniczenie ryzyka zakwestionowania rozwiązania przez organy nadzoru lub jednostki audytujące oraz wsparcie w zapewnieniu bezpieczeństwa (…) i użytkowników systemu;

e) efektem jest raport z analizy i oceny oprogramowania, wskazujący poziom zgodności z normami, listing wykrytych braków i niezgodności oraz rekomendacje działań korygujących i doskonalących;

f) kontrahenci wykorzystują efekty przy przygotowaniu dokumentacji regulacyjnej, w procesach certyfikacji lub recertyfikacji produktu, oraz jako dowód przeprowadzenia niezależnej oceny bezpieczeństwa i jakości.

Ad 4. Usługi doradcze w zakresie (…) i bezpieczeństwa systemów IT

a) czynności polegają na świadczeniu usług w obszarze bezpieczeństwa systemów informatycznych i oprogramowania, w (…) w systemach IT. Wnioskodawca analizuje środowisko IT klienta w oparciu o przekazaną dokumentację i informacje (m.in. polityki bezpieczeństwa, procedury, rejestry uprawnień, umowy z dostawcami, opisy architektury i procesów IT), identyfikuje luki i niezgodności dotyczące bezpieczeństwa oprogramowania oraz przedstawia rekomendacje działań naprawczych i usprawniających. Usługa ma charakter doradczy i nie obejmuje projektowania, konfiguracji ani wdrażania rozwiązań technicznych;

b) usługi dotyczą m.in. organizacji bezpieczeństwa informacji w systemach IT, zasad zarządzania dostępem i uprawnieniami w aplikacjach, procesu zarządzania aktualizacjami i podatnościami, zarządzania incydentami bezpieczeństwa oraz zgodności rozwiązań i praktyk IT z wymaganiami regulacyjnymi i branżowymi standardami (w tym w obszarach (…));

c) zakres obejmuje m.in.: doradztwo w zakresie oprogramowania, ocenę organizacji procesów bezpieczeństwa zarządzanie incydentami, nadawanie uprawnień, analizę luk w istniejących zabezpieczeniach z punktu widzenia organizacyjnego i procesowego oraz przedstawienie propozycji usprawnień;

d) celem jest podniesienie poziomu bezpieczeństwa informacji i danych osobowych w oprogramowaniu, zapewnienie zgodności ze standardami branżowymi, a także uporządkowanie i ujednolicenie podejścia do bezpieczeństwa systemów informatycznych w organizacji klienta;

e) efektem są pisemne rekomendacje, opinie e-mail, projekty zmian do dokumentacji wewnętrznej, wskazanie priorytetowych działań naprawczych;

f) kontrahenci wykorzystują efekty do ochrony bezpieczeństwa (…) w systemach informatycznych.

7)  Jakie konkretnie czynności będzie Pan wykonywał w ramach świadczenia usług szkoleniowych w zakresie cyberbezpieczeństwa, będących przedmiotem wniosku?

Proszę o ich szczegółowe i wyczerpujące scharakteryzowanie, tj. opisanie:

a)  na czym konkretnie będą polegały te czynności i jakie dokładnie zadania/działania będzie Pan realizował w ramach tych czynności?

b)  czego będą dotyczyły?

c)  jaki będzie ich zakres?

d)  jaki konkretny cel będą realizowały?

e)  co będzie ich efektem?

f)   w jaki sposób efekty te będą wykorzystywali kontrahenci?

Odpowiedź: Charakterystyka usług szkoleniowych w zakresie cyberbezpieczeństwa:

a) czynności Wnioskodawcy będą polegały na organizowaniu i prowadzeniu szkoleń, w tym w szczególności na: przygotowaniu materiałów szkoleniowych, opracowaniu agendy szkolenia, prowadzeniu części teoretycznej oraz warsztatów praktycznych w formie zajęć stacjonarnych, zajęć online lub w formule wideo na żądanie, a także na ocenie prac uczestników i wydawaniu certyfikatów potwierdzających ukończenie szkolenia;

b) szkolenia będą dotyczyły w szczególności: zabezpieczania infrastruktury IT, identyfikacji i eliminacji podatności w systemach informatycznych, stosowania standardów bezpieczeństwa oraz wykrywania niezgodności z obowiązującymi normami jakości i branżowymi normami bezpieczeństwa dla systemów komputerowych;

c) zakres szkoleń obejmie moduły teoretyczne oraz praktyczne, w ramach których uczestnicy będą zapoznawani z podstawami cyberbezpieczeństwa oraz przykładami praktycznych rozwiązań i dobrych praktyk stosowanych przy ochronie systemów i (…);

d) celem szkoleń będzie zwiększenie świadomości uczestników w zakresie konieczności ochrony systemów informatycznych przed cyberzagrożeniami oraz wyjaśnienie branżowych standardów i najlepszych praktyk dotyczących bezpieczeństwa systemów IT;

e) efektem szkoleń będzie zwiększenie poziomu wiedzy uczestników w zakresie objętym tematyką szkoleń oraz uzyskanie przez uczestników certyfikatu ukończenia szkolenia;

f) uczestnicy szkoleń będą wykorzystywać zdobytą wiedzę teoretyczną i praktyczną w swojej pracy zawodowej, w szczególności przy wdrażaniu, utrzymaniu i audycie zabezpieczeń systemów informatycznych oraz przy stosowaniu standardów bezpieczeństwa (…) w swoich organizacjach.

8)    Czy w sytuacji prowadzenia działalności opodatkowanej różnymi stawkami podatku prowadzi/będzie Pan prowadził ewidencję w sposób umożliwiający określenie przychodów z każdego rodzaju prowadzonej przez Pana działalności odrębnie?

Odpowiedź: W sytuacji prowadzenia działalności opodatkowanej różnymi stawkami ryczałtu Wnioskodawca prowadzi/będzie prowadził ewidencję w sposób umożliwiający określenie przychodów z każdego rodzaju prowadzonej działalności odrębnie.

9)    czy „kontrahenci”, o których mowa we wniosku, są/będą podmiotami polskimi, czy zagranicznymi (z jakiego kraju?)? Jeśli „kontrahenci” są/będą podmiotami zagranicznymi, to czy usługi dla tych podmiotów są/będą wykonywane przez Pana w Polsce czy w krajach, w których podmioty te mają/będą miały siedzibę? Jeśli usługi są/będą wykonywane w krajach, w których podmioty te mają/będą miały siedzibę, to proszę wskazać, czy działalność gospodarcza w tych państwach jest/będzie prowadzona za pośrednictwem zakładu w rozumieniu umowy o unikaniu podwójnego opodatkowania zawartej między Polską a tymi państwami?

Odpowiedź: Kontrahenci, o których mowa we wniosku, są podmiotami polskimi. Wnioskodawca nie wyklucza, że w przyszłości kontrahenci mogą być także podmiotami zagranicznymi.

Wnioskodawca wszelkie objęte wnioskiem czynności wykonuje/będzie wykonywał wyłącznie na terytorium Rzeczypospolitej Polskiej.

Pytania

1. Czy osiągane obecnie oraz możliwe do uzyskania w przyszłości przez Wnioskodawcę przychody z opisanej we wniosku działalności usługowej mogą być opodatkowane w formie ryczałtu od przychodów ewidencjonowanych według stawki 12%, zgodnie z art. 12 ust. 1 pkt 2 lit. b ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne?

2. Czy usługi szkoleniowe, które Wnioskodawca planuje w przyszłości świadczyć w ramach pozarolniczej działalności gospodarczej kwalifikują się do opodatkowania w formie ryczałtu od przychodów ewidencjonowanych wg stawki 8,5%, zgodnie z art. 12 ust. 1 pkt 5 lit. c ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne?

Pana stanowisko

Zdaniem Wnioskodawcy, osiągane obecnie oraz możliwe do uzyskania w przyszłości przychody z opisanej we wniosku działalności usługowej mogą być opodatkowane w formie ryczałtu od przychodów ewidencjonowanych według stawki 12%, zgodnie z art. 12 ust. 1 pkt 2 lit. b ustawy o ryczałcie.

Zdaniem Wnioskodawcy, usługi szkoleniowe, które Wnioskodawca planuje w przyszłości świadczyć w ramach pozarolniczej działalności gospodarczej kwalifikują się do opodatkowania w formie ryczałtu od przychodów ewidencjonowanych wg stawki 8,5%, zgodnie z art. 12 ust. 1 pkt 5 lit. c ustawy o ryczałcie.

Poniżej Wnioskodawca przedstawia argumentację dotyczącą zajętego stanowiska:

·      Działalność usługowa [stan faktyczny i zdarzenie przyszłe]

1.  Zgodnie z art. 2 ust. 1 pkt 1 ustawy o ryczałcie: „Osoby fizyczne (...) osiągające przychody z pozarolniczej działalności gospodarczej mogą opłacać zryczałtowany podatek dochodowy w formie ryczałtu od przychodów ewidencjonowanych”.

Zgodnie z art. 6 ust. 1 ustawy o ryczałcie, opodatkowaniu ryczałtem od przychodów ewidencjonowanych podlegają przychody z pozarolniczej działalności gospodarczej, o których mowa w art. 14 ustawy o PIT.

Stawki ryczałtu od przychodów ewidencjonowanych zostały określone w art. 12 ust. 1 ustawy. Stawki zależą od tego, z jakiego rodzaju działalności podatnik uzyskuje przychody. Dla rozróżnienia rodzajów tych działalności ustawodawca posłużył się m.in. grupowaniami Polskiej Klasyfikacji Wyrobów i Usług (dalej: „PKWiU”). W dniu składania wniosku obowiązuje Rozporządzenie Rady Ministrów z dnia 17 grudnia 2025 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (Dz. U. z 2025 r. poz. 1829). Zgodnie jednak z treścią § 2 ww. aktu prawnego do celów opodatkowania zryczałtowanym podatkiem dochodowym w formie ryczałtu od przychodów ewidencjonowanych – do dnia 31 grudnia 2028 r. stosuje się PKWiU wprowadzoną rozporządzeniem Rady Ministrów z dnia 4 września 2015 r.

Dokonując, więc analizy będących przedmiotem niniejszego wniosku usług, w pierwszej kolejności należy mieć na uwadze PKWiU wprowadzoną rozporządzeniem Rady Ministrów z 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług oraz wyjaśnienia Głównego Urzędu Statystycznego do PKWiU z 2015 r.

W ocenie Wnioskodawcy, prowadzona przez Wnioskodawcę działalność usługowa mieści się w grupowaniu 62.02.20.0 – „Usługi związane z doradztwem w zakresie oprogramowania komputerowego”. Zgodnie z art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

„Ryczałt od przychodów ewidencjonowanych wynosi 12% przychodów ze świadczenia usług związanych z doradztwem w zakresie sprzętu komputerowego (PKWiU 62.02.10.0), związanych z oprogramowaniem (PKWiU ex 62.01.1), objętych grupowaniem »Oryginały oprogramowania komputerowego« (PKWiU 62.01.2), związanych z doradztwem w zakresie oprogramowania (PKWiU ex 62.02), w zakresie instalowania oprogramowania (PKWiU ex 62.09.20.0), związanych z zarządzaniem siecią i systemami informatycznymi (PKWiU 62.03.1)”.

W tym miejscu wyjaśnić należy, że ilekroć w ustawie używa się oznaczenia „ex” przy symbolu danego grupowania PKWiU oznacza to, że zakres wyrobów lub usług jest węższy niż określony w tym grupowaniu – o czym stanowi art. 4 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Oznaczenie „ex” dotyczy zatem tylko określonej usługi z danego grupowania. Umieszczenie tego dopisku przy konkretnym symbolu statystycznym ma na celu zawężenie stosowania przepisu tylko do tej nazwy grupowania.

Klasa PKWiU 62.02 „Usługi związane z doradztwem w zakresie informatyki” obejmuje następujące grupowania:

• 62.02.10.0 „Usługi związane z doradztwem w zakresie sprzętu komputerowego”;

• 62.02.20.0 „Usługi związane z doradztwem w zakresie oprogramowania komputerowego”;

• 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”.

Zgodnie z wyjaśnieniami GUS do PKWiU 2015 grupowanie PKWiU 62.02.20.0 „Usługi związane z doradztwem w zakresie oprogramowania komputerowego” obejmuje:

-     usługi związane z doradztwem lub opiniowaniem przez ekspertów spraw w zakresie systemów informatycznych i oprogramowania, takie jak:

• doradztwo dotyczące oprogramowania w zakresie wymagań i zaopatrzenia,

• systemy zabezpieczające.

Podkreślić zatem należy, że świadczenie usług objętych PKWiU ex 62.02, wskazuje na związek świadczonych usług z oprogramowaniem i doradztwem w zakresie oprogramowania, nie zawężając tych czynności wyłącznie do programowania czy tworzenia oprogramowania, przy czym związek ten, może być zarówno bezpośredni, jak i pośredni.

Zgodnie bowiem z wykładnią literalną słowo „związany z” oznacza „dotyczy czegoś, mający związek z czymś lub kimś”. Tym samym, usługi związane z oprogramowaniem czy z doradztwem w zakresie oprogramowania to usługi, które dotyczą oprogramowania, przy czym sformułowanie „doradztwo w zakresie oprogramowania” ma tu znaczenie szersze niż „doradztwo w zakresie programowania”.

W tym miejscu wskazać należy, że ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, nie zawiera definicji oprogramowania. W tym celu – mając na względzie, że ustawa dla ustalenia właściwej stawki podatku, odsyła do właściwej klasyfikacji statystycznej – należy posłużyć się definicją oprogramowania zawartą w zeszycie metodologicznym Głównego Urzędu Statystycznego „Zeszyt metodologiczny. Wskaźnik społeczeństwa informacyjnego. Badania wykorzystania technologii informacyjno-komunikacyjnych”. Zgodnie z zawartą tam definicją oprogramowanie (software) to – całość instrukcji i procedur (programów) oraz powiązanych z nimi danych umożliwiających komputerom i innym programowalnym urządzeniom wykonywanie określonych funkcji. Oprogramowanie jest często rozumiane jako synonim terminu program komputerowy, chociaż ma nieco szersze znaczenie – obejmuje także programy wykorzystywane przez inne urządzenia. Do oprogramowania zalicza się systemy operacyjne, programy użytkowe (aplikacje), programy do tworzenia programów, programy sterujące działaniem różnych urządzeń (od telewizorów i innego sprzętu elektronicznego, kalkulatorów, przez telefony komórkowe, do podzespołów komputerowych np. nagrywarek DVD) – tzw. firmware, a także różnego rodzaju programy wykorzystywane przez urządzenia i systemy sieciowe, telekomunikacyjne, itp.

Ponadto, pojęcie „doradzać” – w świetle definicji zawartej w internetowym Słowniku języka polskiego PWN – oznacza „udzielić porady, wskazać sposób postępowania w jakiejś sprawie”. Na podobny kierunek wskazuje również potoczne rozumienie tego terminu, zgodnie z którym „doradztwo” to udzielanie porad, opinii i wyjaśnień.

Analiza powołanych przepisów prawa, jak również wyjaśnień Głównego Urzędu Statystycznego do PKWiU z 2015 r., w kontekście przedstawionego opisu sprawy, w szczególności zakresu działalności usługowej Wnioskodawcy, prowadzi do stwierdzenia, że będące przedmiotem zapytania usługi mieszczą się w klasie PKWiU 62.02 i mają związek z doradztwem w zakresie oprogramowania. Za uznaniem tych usług za związane z doradztwem w zakresie oprogramowania przemawia opis i zakres wykonywanych przez Wnioskodawcę czynności, które dotyczą doradztwa informatycznego w zakresie cyberbezpieczeństwa, obejmującego analizę ryzyka oraz wymagań biznesowych w zakresie bezpieczeństwa (…) i systemów IT, audyt zabezpieczeń systemów IT, usługi doradcze w zakresie (…) i bezpieczeństwa systemów IT, oraz analizę i ocenę oprogramowania wspierającego (…).

Tym samym w ocenie Wnioskodawcy, osiągane obecnie oraz możliwe do uzyskania w przyszłości przychody z opisanej we wniosku działalności usługowej mogą być opodatkowane w formie ryczałtu od przychodów ewidencjonowanych według stawki 12%, zgodnie z art. 12 ust. 1 pkt 2 lit. b ustawy o ryczałcie.

2.  Wnioskodawca chcąc uzyskać pomoc w zakresie klasyfikacji prowadzonej działalności usługowej skierował do Ośrodka Klasyfikacji i Nomenklatur Urzędu Statystycznego wniosek o wydanie interpretacji klasyfikacyjnej w zakresie jej właściwego grupowania PKWiU (2015), przedstawiając opis świadczonych usług odpowiadający opisowi działalności usługowej przedstawionej w stanie faktycznym/zdarzeniu przyszłym.

W odpowiedzi, w interpretacji klasyfikacyjnej (…), organ klasyfikacyjny zakwalifikował usługi świadczone przez Wnioskodawcę (określane zbiorczo jako: „działalność usługowa”) do grupowania PKWiU (2015) 62.02.20.0 – „Usługi związane z doradztwem w zakresie oprogramowania komputerowego”.

Stanowisko Wnioskodawcy w zakresie możliwości zastosowania stawki 12% do działalności usługowej potwierdza także DKIS w licznych interpretacjach indywidualnych. Przykładowo w interpretacji z 8 maja 2025 r. sygn. 0113-KDIPT2-1.4011.231.2025.2.RK Organ wprost wskazuje, że:

„Usługi, sklasyfikowane wg PKWiU 62.02.20.0 jako usługi związane z doradztwem w zakresie oprogramowania komputerowego, podlegają opodatkowaniu ryczałtem wg 12% stawki ryczałtu od przychodów ewidencjonowanych, określonej w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne”.

Analogiczne stanowisko DKIS zaprezentował w interpretacji z 16 czerwca 2025 r. sygn. 0115-KDST2-2.4011.251.2025.2.MS gdzie czytamy:

„Analiza powołanych przepisów prawa, jak również wyjaśnień Głównego Urzędu Statystycznego do PKWiU 2015, w kontekście przedstawionego opisu sprawy, prowadzi do wniosku, że skoro opisane we wniosku usługi, mieszczą się we wskazanym przez Pana grupowaniu 62.02.20.0, które – jak przedstawiono wyżej – obejmuje usługi związane z doradztwem w zakresie oprogramowania komputerowego, to stawką ryczałtu właściwą dla tych usług jest stawka 12%, zgodnie z art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne”.

Tożsame stanowisko DKIS zajmuje także w interpretacji z 2 kwietnia 2025 r. sygn. 0115-KDST2-1.4011.60.2025.2.JPO gdzie czytamy:

„Uwzględniając powyższe, przychody uzyskiwane przez Pana ze świadczenia w ramach działalności gospodarczej opisanych usług, objętych klasą PKWiU 62.02 „Usługi związane z doradztwem w zakresie informatyki", i – jak wynika z przeprowadzonej analizy – związanych z doradztwem w zakresie oprogramowania, podlegają opodatkowaniu stawką ryczałtu od przychodów ewidencjonowanych w wysokości 12%, określoną w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne”.

• Działalność szkoleniowa [zdarzenie przyszłe]

3.  W ocenie Wnioskodawcy, usługi szkoleniowe, które planuje on świadczyć powinny być klasyfikowane jako usługi oznaczone symbolem PKWiU 85.59.19.0 – „Usługi w zakresie pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane”.

Dokonując analizy usług szkoleniowych, które Wnioskodawca zamierza świadczyć, Wnioskodawca zauważa, że zgodnie z objaśnieniami do PKWiU, wydanymi przez Główny Urząd Statystyczny, grupowanie 85.59.19.0 – „Usługi w zakresie pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane”, obejmuje:

• edukację, w której nie da się określić poziomu nauczania,

• usługi placówek kształcenia praktycznego, ustawicznego oraz ośrodków dokształcania i doskonalenia zawodowego,

• korepetycje, włączając korepetycje z języków obcych,

• usługi ośrodków prowadzących kursy wyrównawcze,

• kursy przygotowujące do egzaminu z wiedzy zawodowej,

• naukę religii,

• kursy udzielania pierwszej pomocy,

• szkoły przetrwania,

• kursy szybkiego czytania.

Aby odpowiednio zakwalifikować usługi, które Wnioskodawca planuje świadczyć pod kątem opodatkowania ryczałtem, należy przeanalizować ich charakter oraz dominujący komponent, zgodnie z PKWiU. W oferowanych przez Wnioskodawcę usługach szkoleniowych dominujący będzie komponent edukacyjny. Usługi takie jak kursy online, warsztaty, szkolenia, mają na celu przekazanie specjalistycznej wiedzy i umiejętności w określonym zakresie. Główny nacisk kładziony będzie na edukację uczestników poprzez naukę branżowych standardów bezpieczeństwa, analizę potencjalnych ryzyk oraz przekazywanie najlepszych praktyk w zakresie bezpieczeństwa oprogramowania. Ukończenie kursów i szkoleń będzie potwierdzane certyfikatem, co dodatkowo podkreśla ich edukacyjny charakter. W dodatku postępy uczestników będą regularnie weryfikowane, oceniane i korygowane. Co za tym idzie mając na uwadze zasadniczy edukacyjny celu działalności szkoleniowej Wnioskodawcy, za właściwe należy uznać zakwalifikowanie jej do działu 85 „Edukacja” w PKWiU.

Dla powyższej kwalifikacji nie ma znaczenia, czy zajęcia będą odbywały się w formie stacjonarnej, online na żywo, czy też w formule wideo na żądanie. Kluczowy jest cel, tj. edukacja i rozwój umiejętności uczestników.

Mając powyższe na uwadze, w ocenie Wnioskodawcy, usługi szkoleniowe z zakresu cyberbezpieczeństwa, w ramach, których Wnioskodawca planuje organizować i przeprowadzać szkolenia w oparciu o posiadana wiedzę dotyczącą systemów bezpieczeństwa i specjalistycznych standardów branżowych objęte są grupowaniem PKWiU 85.59.19.0 – Usługi w zakresie pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane. Co za tym idzie działalność szkoleniowa, którą Wnioskodawca planuje prowadzić będzie podlegać dyspozycji art. 12 ust. 1 pkt 5 lit. c ustawy o ryczałcie.

4.  Stanowisko Wnioskodawcy w tym zakresie potwierdzają liczne wydane przez DKIS interpretacje indywidualne w tym interpretacja z 26 maja 2025 r. sygn. 113-KDIPT2-1.4011.274.2025.3.DJD gdzie wskazano:

„Natomiast, przychody uzyskiwane przez Pana ze świadczenia w ramach działalności gospodarczej usług sklasyfikowanych pod symbolem PKWiU 85.59.19.0 – Usługi w zakresie pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane, podlegają opodatkowaniu 8,5% stawką ryczałtu od przychodów ewidencjonowanych, określoną w art. 12 ust. 1 pkt 5 lit. c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne”.

Analogiczne stanowisko DKIS wyraża w interpretacji z 22 kwietnia 2024 r. sygn. 0112- KDIL2-2.4011.121.2024.2.AG gdzie wskazano:

„Właściwą stawką do opodatkowania przychodów uzyskiwanych przez Pana z tytułu usług sklasyfikowanych pod symbolem PKWiU 85.59.19.0 – Usługi w zakresie pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane, jest stawka 8,5%, o której mowa w art. 12 ust. 1 pkt 5 lit. c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne”.

Ocena stanowiska

Stanowisko, które przedstawił Pan we wniosku jest prawidłowe.

Uzasadnienie interpretacji indywidualnej

Stosownie do art. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. z 2025 r. poz. 843 ze zm.):

Przy czym w myśl art. 4 ust. 1 pkt 12 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Według treści art. 5a pkt 6 ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (t. j. Dz. U. z 2025 r. poz. 163 ze zm.):

Z kolei, zgodnie z art. 5b ust. 1 tej ustawy:

Stosownie do art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Na podstawie art. 6 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

W myśl art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Możliwość opodatkowania w formie ryczałtu od przychodów ewidencjonowanych uzależniona jest między innymi od niespełnienia przesłanek negatywnych określonych w art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Według ww. przepisu:

Kolejnym warunkiem skorzystania ze zryczałtowanej formy opodatkowania jest złożenie oświadczenia o wyborze opodatkowania w formie ryczałtu od przychodów ewidencjonowanych.

Na podstawie art. 9 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Jak stanowi art. 4 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Oznaczenie „ex” dotyczy zatem tylko określonej usługi z danego grupowania. Umieszczenie tego dopisku przy konkretnym symbolu statystycznym ma na celu zawężenie stosowania przepisu tylko do tej nazwy grupowania.

Wysokość stawek ryczałtu od przychodów ewidencjonowanych została przez ustawodawcę ustalona w art. 12 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

W myśl art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Stosownie natomiast do art. 12 ust. 1 pkt 5 lit. a ww. ustawy:

Zgodnie z art. 12 ust. 1 pkt 5 lit. c cyt. ustawy:

W myśl art. 12 ust. 3 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Zatem, w sytuacji prowadzenia działalności gospodarczej opodatkowanej zryczałtowanym podatkiem dochodowym wg różnych stawek, ryczałt od przychodów ewidencjonowanych na podstawie prowadzonej ewidencji przychodów ustala się według stawki właściwej dla przychodów z każdego rodzaju działalności, pod warunkiem że ewidencja przychodów jest prowadzona w sposób umożliwiający określenie przychodów z każdego rodzaju działalności.

Z opisu sprawy przedstawionego we wniosku oraz jego uzupełnienia wynika, że prowadzi Pan jednoosobową działalność gospodarczą od (…) czerwca 2023 r. Posiada Pan nieograniczony obowiązek podatkowy w Polsce w rozumieniu art. 3 ust. 1 oraz ust. 1a ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych. W latach podatkowych 2023-2025 opodatkowywał Pan swoją działalność na zasadach ogólnych (skalą podatkową). Począwszy od 2026 r. wybrał Pan formę opodatkowania – ryczałt od przychodów ewidencjonowanych. Złożył Pan w ustawowym terminie właściwemu naczelnikowi urzędu skarbowego, oświadczenie o wyborze formy opodatkowania zryczałtowanym podatkiem dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Pierwszy przychód z tytułu usług będących przedmiotem wniosku, opodatkowanych w formie ryczałtu, osiągnął Pan w styczniu 2026 r. Spełnia Pan warunki określone w art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, uprawniające do zastosowania tej formy opodatkowania i nie podlega Pan wyłączeniu z opodatkowania zawartemu w art. 8 ww. ustawy. Nie jest i nigdy nie był Pan wspólnikiem, ani członkiem zarządu żadnej Spółki prawa handlowego. Nie uzyskuje Pan przychodów ze świadczenia usług firm centralnych (head-office), o których mowa w art. 12 ust. 1 pkt 9 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. W ramach prowadzonej działalności występuje Pan jako podwykonawca, realizując określone zadania na rzecz kontrahentów. W związku z prowadzoną działalnością gospodarczą ponosi Pan ryzyko gospodarcze, charakterystyczne dla działalności wykonywanej na własny rachunek oraz ponosi odpowiedzialność wobec zleceniodawcy za należyte wykonanie powierzonych czynności. Prowadzona przez Pan a działalność jest/będzie działalnością usługową w rozumieniu art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Głównym przedmiotem Pana działalności jest świadczenie usług polegających na prowadzeniu audytów i analiz ryzyka w zakresie bezpieczeństwa (…) i bezpieczeństwa systemów IT. Świadczone usługi można określić jako specjalistyczne usługi o charakterze doradczym, których przedmiotem jest oprogramowanie, systemy informatyczne oraz bezpieczeństwo (…) w systemach informatycznych. Wykonywane usługi mają charakter wsparcia organizacyjnego, planistycznego, doradczego, ale nie mają charakteru prac technicznych, programistycznych, czy testerskich. We wniosku przedstawił Pan wykaz usług świadczonych w ramach prowadzonej działalności gospodarczej, które szczegółowo opisał Pan w uzupełnieniu:

1. Analiza ryzyka oraz wymagań biznesowych w zakresie bezpieczeństwa (…) i systemów IT,

w tym:

• przeprowadzanie analiz ryzyka w odniesieniu do bezpieczeństwa (…) w systemach informatycznych,

• weryfikacja zgodności systemów z branżowymi wymaganiami bezpieczeństwa, w tym regulacjami (…),

• opracowywanie rekomendacji i zaleceń bezpieczeństwa (…) w środowisku informatycznym.

Pana czynności polegają na świadczeniu usług doradczych w obszarze bezpieczeństwa systemów informatycznych i oprogramowania poprzez identyfikację, ocenę i opis ryzyka wymagań biznesowych związanych z przetwarzaniem danych w procesach realizowanych z wykorzystaniem systemów IT. Analizuje Pan przekazaną dokumentację i informacje (m.in. polityki i procedury bezpieczeństwa, rejestry uprawnień, opisy procesów i przepływów danych, umowy z dostawcami IT), mapuje procesy realizowane w systemach IT oraz ocenia stosowane praktyki i kontrole bezpieczeństwa na podstawie dokumentów i informacji otrzymanych od kontrahenta, bez wykonywania czynności technicznych w środowiskach IT (bez konfiguracji, wdrożeń, modyfikacji systemów). Usługi te dotyczą w szczególności oceny ryzyka naruszenia poufności, integralności i dostępności informacji w systemach IT i oprogramowaniu, w tym oceny dojrzałości procesów bezpieczeństwa (zarządzanie dostępem, incydentami, aktualizacjami, zmianą) oraz zgodności stosowanych kontroli IT z przyjętymi standardami bezpieczeństwa informacji. Zakres czynności obejmuje pełny cykl analizy ryzyka, w odniesieniu do obszarów wykorzystujących systemy IT w szczególności: identyfikację procesów, zagrożeń, podatności, przypisanie poziomów ryzyka, określenie wymagań biznesowych i wymagań bezpieczeństwa informacji oraz opracowanie propozycji środków redukujących ryzyko (organizacyjnych i procesowych, a także ogólnych rekomendacji dotyczących stosowania środków technicznych – wyłącznie na poziomie koncepcyjnym, bez ich projektowania, konfiguracji lub wdrażania). Celem czynności jest umożliwienie kontrahentowi świadomego zarządzania ryzykiem, dostosowanie organizacji bezpieczeństwa systemów IT do rzeczywistego poziomu zagrożeń oraz zapewnienie zgodności procesów przetwarzania danych w ramach oprogramowania z branżowymi standardami. Efektem jest przygotowanie dokumentów takich jak: raport z analizy ryzyka, matryca ryzyka, lista zidentyfikowanych niezgodności i zagrożeń, katalog rekomendowanych działań organizacyjnych i procesowych oraz opisowe wymagania biznesowe i bezpieczeństwa informacji wobec obszarów wykorzystujących systemy informatyczne. Kontrahenci wykorzystują efekty do planowania i priorytetyzacji działań naprawczych w obszarze bezpieczeństwa oprogramowania, aktualizacji polityk i procedur, przygotowania do audytów bezpieczeństwa oraz jako dokumentację potwierdzającą zarządzanie ryzykiem cyberbezpieczeństwa w środowisku systemów informatycznych.

2. Audyt zabezpieczeń systemów IT, w tym:

• przegląd i ocena konfiguracji systemów pod kątem bezpieczeństwa,

• analiza zabezpieczeń systemów informatycznych dostawców,

• identyfikacja luk bezpieczeństwa i podatności technicznych systemów IT,

• przygotowanie raportów z rekomendacjami zmian,

• opracowywanie dokumentacji audytowej dla audytów wewnętrznych i zewnętrznych, w tym analizę zgodności zabezpieczeń z wymaganiami audytowymi i regulacyjnymi.

Pana czynności polegają na świadczeniu usług audytowo-doradczych polegających na niezależnej ocenie rozwiązań bezpieczeństwa dotyczących systemów informatycznych i oprogramowania, z perspektywy organizacyjnej oraz procesowej. Dokonuje Pan przeglądu dokumentacji bezpieczeństwa i dokumentacji organizacyjnej oraz informacji o stosowanych praktykach i rozwiązaniach IT, bez uzyskiwania dostępu do środowisk produkcyjnych i bez wykonywania czynności technicznych (takich jak konfiguracja, testy techniczne, wdrożenia). Na tej podstawie porównuje Pan stosowane rozwiązania i praktyki z wymaganiami wewnętrznymi oraz zewnętrznymi (regulacyjnymi i standardami branżowymi) oraz identyfikuje luki i niezgodności w obszarze bezpieczeństwa oprogramowania i systemów IT o charakterze organizacyjnym i procesowym. Ww. usługi dotyczą organizacji bezpieczeństwa informacji w systemach IT, zasad zarządzania dostępem, aktualizacjami i incydentami, a także zgodności stosowanych praktyk z wymogami audytowymi, regulacyjnymi i branżowymi standardami. Ich zakres obejmuje m.in.: ocenę zgodności stosowanych praktyk z politykami bezpieczeństwa, analizę sposobu nadzoru nad rozwiązaniami wykorzystywanymi przez dostawców, weryfikację kompletności i spójności dokumentacji, ocenę podziału ról i odpowiedzialności oraz funkcjonowania formalnych kontroli organizacyjnych. Rezultatem jest opisowa ocena poziomu bezpieczeństwa informacji wraz ze wskazaniem niezgodności i słabych punktów oprogramowania. Celem audytu jest obiektywne zidentyfikowanie obszarów wymagających poprawy, ograniczenie ryzyka incydentów bezpieczeństwa w systemach informatycznych oraz zapewnienie zgodności z wymaganiami audytowymi i standardami branżowymi. Natomiast efektem są raporty audytowe, dokumentacja audytowa (w tym listy kontrolne i zestawienia niezgodności) oraz zestaw rekomendowanych działań o charakterze organizacyjnym i procesowym, a także – w razie potrzeby – projekty zapisów do dokumentów wewnętrznych w warstwie opisowej. Kontrahenci wykorzystują efekty do planowania działań naprawczych, przygotowania do audytów zewnętrznych, udokumentowania poziomu bezpieczeństwa wobec partnerów i klientów oraz do aktualizacji procedur i standardów wewnętrznych w zakresie oprogramowania.

3. Analiza i ocena oprogramowania wspierającego ((…)), obejmująca:

• analizę danego produktu lub systemu IT pod kątem zgodności z obowiązującymi normami jakości i branżowymi normami bezpieczeństwa dla systemów komputerowych.

Pana czynności polegają na świadczeniu usług związanych z oprogramowaniem polegających na analizie dokumentacji produktu IT (oprogramowania klasyfikowanego jako (…)) oraz jego przeznaczenia, architektury i procesów wytwórczych pod kątem wymogów jakościowych i bezpieczeństwa. Dokonuje Pan przeglądu dokumentacji, specyfikacji, procedur wytwarzania i utrzymania, sposobu zarządzania incydentami, a następnie formułuje wnioski oraz zalecenia dotyczące oprogramowania. Pana usługi dotyczą oceny czy oprogramowanie i praktyki jego wytwarzania/utrzymania spełniają wymagania norm jakości i norm bezpieczeństwa właściwych dla systemów komputerowych wykorzystywanych w zastosowaniach (…), w szczególności w zakresie bezpieczeństwa (…), ciągłości działania, identyfikowalności zmian wersji oraz zarządzania ryzykiem w cyklu życia oprogramowania. Zakres obejmuje ocenę, czy przyjęte rozwiązania organizacyjne i procesowe (np. sposób dokumentowania wymagań, testów, zarządzania ryzykiem, wprowadzania poprawek) są adekwatne do wymogów stawianych oprogramowaniu (…) i systemom wspierającym. Ocenia Pan kompletność i poprawność przyjętych rozwiązań w zakresie oprogramowania na poziomie dokumentacji i procesów. Celem ww. usług jest umożliwienie kontrahentowi dostosowania produktu do wymogów norm jakościowych i bezpieczeństwa, ograniczenie ryzyka zakwestionowania rozwiązania przez organy nadzoru lub jednostki audytujące oraz wsparcie w zapewnieniu bezpieczeństwa (…) i użytkowników systemu. Efektem zaś jest raport z analizy i oceny oprogramowania, wskazujący poziom zgodności z normami, listing wykrytych braków i niezgodności oraz rekomendacje działań korygujących i doskonalących. Kontrahenci wykorzystują efekty przy przygotowaniu dokumentacji regulacyjnej, w procesach certyfikacji lub recertyfikacji produktu, oraz jako dowód przeprowadzenia niezależnej oceny bezpieczeństwa i jakości.

4. Usługi doradcze w zakresie (…) i bezpieczeństwa systemów IT, obejmujące:

• doradztwo dotyczące (…) w systemach IT,

• doradztwo w zakresie zapewnienia zgodności z wymaganiami i branżowymi standardami bezpieczeństwa (…) systemów informatycznych przejmowanych jednostek,

• analizę luk w zabezpieczeniach i formowanie rekomendacji,

• rekomendowanie rozwiązań podnoszących poziom bezpieczeństwa informacji.

Pana czynności polegają na świadczeniu usług w obszarze bezpieczeństwa systemów informatycznych i oprogramowania, w tym (…) w systemach IT. Analizuje Pan środowisko IT klienta w oparciu o przekazaną dokumentację i informacje (m.in. polityki bezpieczeństwa, procedury, rejestry uprawnień, umowy z dostawcami, opisy architektury i procesów IT), identyfikuje luki i niezgodności dotyczące bezpieczeństwa oprogramowania oraz przedstawia Pan rekomendacje działań naprawczych i usprawniających. Usługa ma charakter doradczy i nie obejmuje projektowania, konfiguracji ani wdrażania rozwiązań technicznych. Usługi te dotyczą m.in. organizacji bezpieczeństwa informacji w systemach IT, zasad zarządzania dostępem i uprawnieniami w aplikacjach, procesu zarządzania aktualizacjami i podatnościami, zarządzania incydentami bezpieczeństwa oraz zgodności rozwiązań i praktyk IT z wymaganiami regulacyjnymi i branżowymi standardami (w tym w obszarach (…) w oprogramowaniu). Ich zakres obejmuje m.in.: doradztwo w zakresie oprogramowania, ocenę organizacji procesów bezpieczeństwa zarządzanie incydentami, nadawanie uprawnień, analizę luk w istniejących zabezpieczeniach z punktu widzenia organizacyjnego i procesowego oraz przedstawienie propozycji usprawnień. Celem jest podniesienie poziomu bezpieczeństwa informacji i danych osobowych w oprogramowaniu, zapewnienie zgodności ze standardami branżowymi, a także uporządkowanie i ujednolicenie podejścia do bezpieczeństwa systemów informatycznych w organizacji klienta. Efektem są pisemne rekomendacje, opinie e-mail, projekty zmian do dokumentacji wewnętrznej, wskazanie priorytetowych działań naprawczych. Kontrahenci wykorzystują te efekty do ochrony bezpieczeństwa (…) w systemach informatycznych.

W przyszłości planuje Pan w dodatkowo rozpocząć świadczenie usług szkoleniowych w zakresie cyberbezpieczeństwa. Usługi te polegałyby na organizacji i przeprowadzaniu szkoleń z zakresu cyberbezpieczeństwa i audytu zabezpieczeń systemów IT, które miałyby na celu zwiększenie świadomości uczestników oraz wdrożenie najlepszych praktyk w zakresie ochrony systemów i aplikacji. Szkolenia będą obejmować zarówno teoretyczne aspekty bezpieczeństwa, jak i praktyczne warsztaty, podczas których uczestnicy nauczą się m.in. identyfikować i eliminować podatności w systemie, stosować branżowe standardy bezpieczeństwa (…) oraz zabezpieczać (…) i systemy. Szkolenia będą dostosowane do poziomu wiedzy uczestników i mogą obejmować przykładowo tematykę, zabezpieczania infrastruktury IT oraz wykrywania niezgodności z obowiązującymi normami jakości i branżowymi normami bezpieczeństwa dla systemów komputerowych. Planuje Pan świadczyć usługi szkoleniowe zarówno w formie szkoleń stacjonarnych, szkoleń online oraz w formule wideo na żądanie (szkolenia w postaci nagrań będą mogły być sprzedawane przez platformy szkoleniowe takie jak (…)). Po ukończeniu szkolenia uczestnicy otrzymają certyfikaty potwierdzające udział w szkoleniu. Pana czynności będą polegały na organizowaniu i prowadzeniu szkoleń, w tym w szczególności na: przygotowaniu materiałów szkoleniowych, opracowaniu agendy szkolenia, prowadzeniu części teoretycznej oraz warsztatów praktycznych w formie zajęć stacjonarnych, zajęć online lub w formule wideo na żądanie, a także na ocenie prac uczestników i wydawaniu certyfikatów potwierdzających ukończenie szkolenia. Szkolenia będą dotyczyły w szczególności: zabezpieczania infrastruktury IT, identyfikacji i eliminacji podatności w systemach informatycznych, stosowania standardów bezpieczeństwa oraz wykrywania niezgodności z obowiązującymi normami jakości i branżowymi normami bezpieczeństwa dla systemów komputerowych. Zakres szkoleń obejmie moduły teoretyczne oraz praktyczne, w ramach których uczestnicy będą zapoznawani z podstawami cyberbezpieczeństwa oraz przykładami praktycznych rozwiązań i dobrych praktyk stosowanych przy ochronie systemów i (…). Celem szkoleń będzie zwiększenie świadomości uczestników w zakresie konieczności ochrony systemów informatycznych przed cyberzagrożeniami oraz wyjaśnienie branżowych standardów i najlepszych praktyk dotyczących bezpieczeństwa systemów IT. Efektem szkoleń będzie zwiększenie poziomu wiedzy uczestników w zakresie objętym tematyką szkoleń oraz uzyskanie przez uczestników certyfikatu ukończenia szkolenia. Uczestnicy szkoleń będą wykorzystywać zdobytą wiedzę teoretyczną i praktyczną w swojej pracy zawodowej, w szczególności przy wdrażaniu, utrzymaniu i audycie zabezpieczeń systemów informatycznych oraz przy stosowaniu standardów bezpieczeństwa (…) w swoich organizacjach.

Wskazał Pan, że w sytuacji prowadzenia działalności opodatkowanej różnymi stawkami ryczałtu prowadzi/będzie Pan prowadził ewidencję w sposób umożliwiający określenie przychodów z każdego rodzaju prowadzonej działalności odrębnie. Kontrahenci, o których mowa we wniosku, są podmiotami polskimi. Nie wyklucza Pan, że w przyszłości kontrahenci mogą być także podmiotami zagranicznymi. Wszelkie objęte wnioskiem czynności wykonuje/będzie Pan wykonywał wyłącznie na terytorium Rzeczypospolitej Polskiej.

Podkreślić należy, że wysokość stawek ryczałtu od przychodów ewidencjonowanych, uzyskanych w związku z prowadzoną działalnością gospodarczą, zależy wyłącznie od faktycznego rodzaju świadczonych w ramach tej działalności usług. Dla rozróżnienia rodzajów tych działalności, ustawodawca posłużył się m.in. grupowaniami Polskiej Klasyfikacji Wyrobów i Usług (PKWiU), wprowadzonej rozporządzeniem Rady Ministrów z dnia 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) (Dz. U. z 2015 r. poz. 1676 ze zm.). Wobec tego, dla zastosowania właściwej stawki ryczałtu do przychodów uzyskanych z prowadzonej przez podatnika działalności gospodarczej konieczne jest każdorazowe przypisanie rodzaju wykonywanych czynności do określonego grupowania PKWiU.

Dokonując zatem analizy będących przedmiotem wniosku usług, w pierwszej kolejności należy mieć na uwadze Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) oraz wyjaśnienia Głównego Urzędu Statystycznego do PKWiU z 2015 r.

I tak, w przypadku usług polegających na prowadzeniu audytów i analiz ryzyka w zakresie bezpieczeństwa (…) i bezpieczeństwa systemów IT, należy wskazać, że zgodnie ze schematem klasyfikacji PKWiU 2015 – klasa PKWiU 62.02 „Usługi związane z doradztwem w zakresie informatyki” obejmuje następujące grupowania:

-        62.02.10.0 „Usługi związane z doradztwem w zakresie sprzętu komputerowego”;

-        62.02.20.0 „Usługi związane z doradztwem w zakresie oprogramowania komputerowego”;

-        62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”.

Zgodnie z wyjaśnieniami GUS do PKWiU 2015:

Klasa PKWiU 62.02 „Usługi związane z doradztwem w zakresie informatyki” nie obejmuje:

-        usług związanych z doradztwem połączonych z projektowaniem i rozwojem technologii informatycznych (strona internetowa, baza danych, określona aplikacja, sieć itp.), sklasyfikowanych w 62.01.1,

-        usług związanych z doradztwem w zakresie strategii przedsiębiorstw, takich jak: doradztwo dotyczące rozwoju strategii handlu elektronicznego, sklasyfikowanych w 70.22.11.0.

Grupowanie PKWiU 62.02.10.0 „Usługi związane z doradztwem w zakresie sprzętu komputerowego” obejmuje:

-       usługi związane z doradztwem lub opiniowaniem przez specjalistę technologii informatycznych dotyczące sprzętu komputerowego, takie jak: doradztwo w sprawach dotyczących wymagań odnośnie sprzętu komputerowego i zaopatrzenia w sprzęt komputerowy,

-       usługi w zakresie dostarczania certyfikatów dotyczących sprzętu komputerowego,

-       usługi łączące ocenę potrzeb związanych z systemem komputerowym, doradzanie w zakresie zakupu oprogramowania i sprzętu komputerowego oraz umieszczenia nowego systemu na miejscu,

-       usługi w zakresie integracji systemów komputerowych, tj. analiza aktualnego systemu komputerowego klienta, obecne i przyszłe wymagania odnośnie zakupu nowego sprzętu i oprogramowania oraz integracja nowych i starych elementów systemu w celu stworzenia nowego zintegrowanego systemu.

Grupowanie PKWiU 62.02.20.0 „Usługi związane z doradztwem w zakresie oprogramowania komputerowego” obejmuje:

-     usługi związane z doradztwem lub opiniowaniem przez ekspertów spraw w zakresie systemów informatycznych i oprogramowania, takie jak:

-        doradztwo dotyczące oprogramowania w zakresie wymagań i zaopatrzenia,

-        systemy zabezpieczające.

Natomiast grupowanie 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego” obejmuje usługi pomocy technicznej mające na celu rozwiązanie problemów klienta w zakresie technologii informatycznych i sprzętu komputerowego, takie jak:

-       udzielanie pomocy klientowi w uruchamianiu i usuwaniu usterek w oprogramowaniu,

-       usługi zastępowania nowszą wersją oprogramowania,

-       udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek sprzętu komputerowego, włączając testowanie podstawowego oprogramowania oraz naprawę sprzętu informatycznego,

-       udzielanie pomocy technicznej w przenoszeniu systemu komputerowego klienta na nowe miejsce,

-       udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek dla kombinacji sprzęt komputerowy i oprogramowanie,

-       udzielanie pomocy technicznej w celu rozwiązania problemów klienta związanych z użytkowaniem systemu komputerowego, tj. usługi w zakresie kontroli lub oceny działania komputera, włączając usługi w zakresie kontroli, oceny i dokumentowania serwera, sieci lub technologii dla elementów, wydajności lub bezpieczeństwa.

Grupowanie to nie obejmuje:

-        usług odzyskiwania danych, sklasyfikowanych w 62.09.20.0.

Podkreślam, że przepis art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, wprost wymienia usługi związane z doradztwem w zakresie sprzętu komputerowego (PKWiU 62.02.10.0), a w przypadku PKWiU ex 62.02, wskazuje na związek świadczonych usług z doradztwem w zakresie oprogramowania, przy czym – zarówno w pierwszym, jak i drugim przypadku – związek ten, może być zarówno bezpośredni, jak i pośredni.

Zgodnie z wykładnią literalną słowo „związany z” oznacza „dotyczy czegoś, mający związek z czymś lub kimś”. Tym samym usługi związane z doradztwem zarówno w zakresie sprzętu komputerowego, jaki i oprogramowania to usługi, które dotyczą doradztwa w zakresie sprzętu komputerowego i doradztwa w zakresie oprogramowania, przy czym sformułowanie „doradztwo w zakresie oprogramowania” ma tu znaczenie szersze niż „doradztwo w zakresie programowania”.

W tym miejscu wskazać należy, że ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, nie zawiera definicji oprogramowania. W tym celu – mając na względzie, że ustawa dla ustalenia właściwej stawki podatku, odsyła do właściwej klasyfikacji statystycznej – należy posłużyć się definicją Oprogramowania zawartą w zeszycie metodologicznym Głównego Urzędu Statystycznego „Zeszyt metodologiczny. Wskaźnik społeczeństwa informacyjnego. Badania wykorzystania technologii informacyjno-komunikacyjnych”. Zgodnie z zawartą tam definicją Oprogramowanie (Software) to – całość instrukcji i procedur (programów) oraz powiązanych z nimi danych umożliwiających komputerom i innym programowalnym urządzeniom wykonywanie określonych funkcji. Oprogramowanie jest często rozumiane jako synonim terminu program komputerowy, chociaż ma nieco szersze znaczenie – obejmuje także programy wykorzystywane przez inne urządzenia. Do oprogramowania zalicza się systemy operacyjne, programy użytkowe (aplikacje), programy do tworzenia programów, programy sterujące działaniem różnych urządzeń (od telewizorów i innego sprzętu elektronicznego, kalkulatorów, przez telefony komórkowe, do podzespołów komputerowych np. nagrywarek DVD) – tzw. firmware, a także różnego rodzaju programy wykorzystywane przez urządzenia i systemy sieciowe, telekomunikacyjne itp.

Ponadto, pojęcie „doradzać” – w świetle definicji zawartej w internetowym Słowniku Języka Polskiego PWN – oznacza „udzielić porady, wskazać sposób postępowania w jakiejś sprawie”. Na podobny kierunek wskazuje również potoczne rozumienie tego terminu, zgodnie z którym „doradztwo” to udzielanie porad, opinii i wyjaśnień.

Analiza powołanych przepisów prawa, jak również wyjaśnień Głównego Urzędu Statystycznego do PKWiU 2015, w kontekście przedstawionego opisu sprawy, w szczególności zakresu świadczonych usług, prowadzi do stwierdzenia, że będące przedmiotem Pana zapytania usługi wpisują się w zakres PKWiU 62.02.20.0 „Usługi związane z doradztwem w zakresie oprogramowania komputerowego”.

Wskazał Pan, że w ramach świadczonych usług, wykonuje Pan analizę ryzyka oraz wymagań biznesowych w zakresie bezpieczeństwa (…) i systemów IT, w tym: przeprowadza Pan analizy ryzyka w odniesieniu do bezpieczeństwa (…) w systemach informatycznych, weryfikuje Pan zgodności systemów z branżowymi wymaganiami bezpieczeństwa, w tym regulacjami ochrony (…) ((…)) oraz opracowuje Pan rekomendacje i zalecenia bezpieczeństwa (…) w środowisku informatycznym. Pana czynności polegają na świadczeniu usług doradczych w obszarze bezpieczeństwa systemów informatycznych i oprogramowania poprzez identyfikację, ocenę i opis ryzyka wymagań biznesowych związanych z przetwarzaniem danych w procesach realizowanych z wykorzystaniem systemów IT. Natomiast w ramach audytu zabezpieczeń systemów IT, dokonuje Pan przeglądu i oceny konfiguracji systemów pod kątem bezpieczeństwa, analizę zabezpieczeń systemów informatycznych dostawców, identyfikację luk bezpieczeństwa i podatności technicznych systemów IT, przygotowuje Pan raporty z rekomendacjami zmian oraz opracowuje Pan dokumentację audytową dla audytów wewnętrznych i zewnętrznych, w tym analizę zgodności zabezpieczeń z wymaganiami audytowymi i regulacyjnymi. Pana czynności polegają na świadczeniu usług audytowo-doradczych polegających na niezależnej ocenie rozwiązań bezpieczeństwa dotyczących systemów informatycznych i oprogramowania, z perspektywy organizacyjnej oraz procesowej. W skład Pana usług wchodzą również usługi doradcze w zakresie ochrony (…) i bezpieczeństwa systemów IT, obejmujące: doradztwo dotyczące (…) w systemach IT, doradztwo w zakresie zapewnienia zgodności z wymaganiami i branżowymi standardami bezpieczeństwa danych systemów informatycznych przejmowanych jednostek, analizę luk w zabezpieczeniach i formowanie rekomendacji oraz rekomendowanie rozwiązań podnoszących poziom bezpieczeństwa informacji. Pana czynności polegają na świadczeniu usług w obszarze bezpieczeństwa systemów informatycznych i oprogramowania, w tym ochrony (…) w systemach IT. Analizuje Pan środowisko IT klienta w oparciu o przekazaną dokumentację i informacje (m.in. polityki bezpieczeństwa, procedury, rejestry uprawnień, umowy z dostawcami, opisy architektury i procesów IT), identyfikuje luki i niezgodności dotyczące bezpieczeństwa oprogramowania oraz przedstawia Pan rekomendacje działań naprawczych i usprawniających. Usługa ma charakter doradczy i nie obejmuje projektowania, konfiguracji ani wdrażania rozwiązań technicznych. Zakres Pana usług obejmuje m.in.: doradztwo w zakresie oprogramowania, ocenę organizacji procesów bezpieczeństwa zarządzanie incydentami, nadawanie uprawnień, analizę luk w istniejących zabezpieczeniach z punktu widzenia organizacyjnego i procesowego oraz przedstawienie propozycji usprawnień. Efektem Pana usług są pisemne rekomendacje, opinie e-mail, projekty zmian do dokumentacji wewnętrznej, wskazanie priorytetowych działań naprawczych.

W tym miejscu wskazuję, że systemy, systemy IT, systemy informatyczne wchodzą w zakres pojęcia „oprogramowanie”. Zgodnie z Encyklopedią PWN, „system informatyczny” to zespół systemów komputerowych, sieci i oprogramowania, służący do przetwarzania informacji; w skład systemu informatycznego wchodzi z reguły komputer (jeden lub wiele, połączonych w sieć lub nie) wraz z oprogramowaniem, a także różne urządzenia pomocnicze (takie jak urządzenia peryferyjne, np. drukarki, skanery, a także dyskietki itp.).

Z tego powodu, w ocenie tutejszego organu, wszelkie analizy, propozycje usprawnień, zalecenia, rekomendacje, raporty oraz rekomendacje działań naprawczych, które dotyczą oprogramowania, systemów informatycznych, wskazują na ścisły związek z doradztwem w zakresie oprogramowania. Opisany szczegółowo charakter Pana usług potwierdza, że usługi te wpisują się w zakres usług związanych z doradztwem w zakresie oprogramowania.

Zatem, właściwą stawką ryczałtu dla przychodu osiąganego z usług związanych z doradztwem w zakresie oprogramowania (PKWiU ex 62.02) jest stawka 12%, zgodnie z art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Jeżeli chodzi natomiast o usługi szkoleniowe w zakresie cyberbezpieczeństwa, wskazać należy, że w Sekcji P Polskiej Klasyfikacji Wyrobów i Usług „EDUKACJA” zawarty jest m.in. dział 85 „USŁUGI W ZAKRESIE EDUKACJI”. Stosownie do wyjaśnień do Polskiej Klasyfikacji Wyrobów i Usług (PKWiU 2015) dział ten obejmuje:

•   usługi szkół publicznych i niepublicznych wszystkich typów (włączając szkoły specjalne), prowadzone przez organy administracji rządowej, jednostki samorządu terytorialnego lub inne osoby prawne niebędące jednostkami samorządu terytorialnego lub osoby fizyczne w ramach obowiązującego sytemu oświaty i szkolnictwa wyższego,

•   edukację w formach: stacjonarnej, niestacjonarnej lub z wykorzystaniem metod i technik kształcenia na odległość, np.: przez radio, telewizję, Internet lub drogą korespondencyjną,

•   edukację prowadzoną na różnych poziomach kształcenia, włączając kształcenie specjalne,

•   edukację dla dorosłych prowadzoną na poziomie szkół podstawowych, gimnazjów, liceów ogólnokształcących i szkół policealnych oraz w formach pozaszkolnych (w tym: edukację dla dorosłych wchodzącą w skład publicznych i niepublicznych placówek kształcenia ustawicznego, placówek kształcenia praktycznego, ośrodków dokształcania i doskonalenia zawodowego oraz na kwalifikacyjnych kursach zawodowych),

•   usługi szkół wojskowych i akademii wojskowych,

•   usługi szkół w zakładach karnych i aresztach śledczych oraz w szkołach w zakładach poprawczych i schroniskach dla nieletnich na odpowiednich poziomach nauczania,

•   pozaszkolne formy dokształcania i doskonalenia zawodowego (w tym: kwalifikacyjne kursy zawodowe umożliwiające przystąpienie do egzaminu zawodowego oraz uzyskanie dyplomu potwierdzającego kwalifikacje w zawodzie lub dyplomu potwierdzającego kwalifikacje zawodowe),

•   pozaszkolne formy edukacji związane głównie ze sportem i rekreacją, np. kursy gry w tenisa lub golfa, itp.,

•   usługi wspomagające edukację.

Dział ten nie obejmuje:

•   usług świadczonych przez żłobki i pozostałej dziennej opieki nad dziećmi, sklasyfikowanych w 88.91.1.

W dziale PKWiU 85 znajduje się klasa 85.59 „USŁUGI W ZAKRESIE POZOSTAŁYCH POZASZKOLNYCH FORM EDUKACJI, GDZIE INDZIEJ NIESKLASYFIKOWANE”.

W ramach tego działu mieści się „Usługi w zakresie pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane” – PKWiU 85.59.19.0.

Grupowanie to obejmuje:

•   edukację, w której nie da się określić poziomu nauczania,

•   kursy przygotowujące do egzaminu z wiedzy zawodowej,

•   kursy udzielania pierwszej pomocy,

•   kursy szybkiego czytania,

•   naukę religii,

•   szkoły przetrwania,

•   usługi placówek kształcenia praktycznego, ustawicznego oraz ośrodków dokształcania i doskonalenia zawodowego,

•   usługi ośrodków prowadzących kursy wyrównawcze.

Grupowanie to nie obejmuje:

•   usług świadczonych przez instruktorów i trenerów sportu, sklasyfikowanych w 85.51.10.0,

•   usług w zakresie pozaszkolnych form edukacji artystycznej, sklasyfikowanych w 85.52.1,

•   usług nauczania języków obcych i umiejętności prowadzenia konwersacji w języku obcym, sklasyfikowanych w 85.59.11.0.

Przychód osiągany z tytułu usług, mieszczących się w klasie PKWiU 85.59.19.0 „Usługi w zakresie pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane”, podlega opodatkowaniu ryczałtem od przychodów ewidencjonowanych przy zastosowaniu stawki 8,5%, zgodnie z art. 12 ust. 1 pkt 5 lit. c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Biorąc pod uwagę przedstawiony opis sprawy, w szczególności zakres świadczonych usług, powołane przepisy prawa oraz ww. wyjaśnienia do PKWiU stwierdzam, że świadczone przez Pana usługi, obejmujące usługi polegające na prowadzeniu audytów i analiz ryzyka w zakresie bezpieczeństwa (…) i bezpieczeństwa systemów IT, wpisują się w przestawiony wyżej zakres grupowania PKWiU 62.02.20.0 „Usługi związane z doradztwem w zakresie oprogramowania komputerowego”. Jeżeli chodzi natomiast o usługi szkoleniowe w zakresie cyberbezpieczeństwa, które zamierza Pan świadczyć w przyszłości, wpisują się one w zakres grupowania PKWiU 85.59.19.0 „Usługi w zakresie pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane”.

Na podstawie powołanych wyżej przepisów oraz opisu sprawy stwierdzam, że:

1)  przychody z tytułu świadczenia usług polegających na prowadzeniu audytów i analiz ryzyka w zakresie bezpieczeństwa (…) i bezpieczeństwa systemów IT, które wpisują się w przestawiony powyżej zakres grupowania PKWiU 62.02.20.0, i które – jak wynika z opisu sprawy – obejmują doradztwo w zakresie oprogramowania, podlegają/będą podlegać opodatkowaniu ryczałtem od przychodów ewidencjonowanych stawką w wysokości 12%, zgodnie z art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne;

2)  przychody z tytułu świadczenia w przyszłości usług szkoleniowych w zakresie cyberbezpieczeństwa, które wpisują się w przestawiony powyżej zakres grupowania PKWiU 85.59.19.0, będą podlegać opodatkowaniu ryczałtem od przychodów ewidencjonowanych stawką w wysokości 8,5%, zgodnie z art. 12 ust. 1 pkt 5 lit. c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Dodatkowe informacje

Informacja o zakresie rozstrzygnięcia

Interpretacja dotyczy:

-     zaistniałego stanu faktycznego przedstawionego przez Pana i stanu prawnego obowiązującego w dacie zaistnienia zdarzenia,

-     zdarzeń przyszłych przedstawionych przez Pana i stanu prawnego obowiązującego w dniu wydania interpretacji.

Interpretacja indywidualna wywołuje skutki prawnopodatkowe tylko wtedy, gdy rzeczywisty stan faktyczny sprawy będącej przedmiotem interpretacji pokrywał się będzie ze stanem faktycznym oraz zdarzeniami przyszłymi podanym przez Wnioskodawcę w złożonym wniosku. W związku z powyższym, w przypadku zmiany któregokolwiek elementu przedstawionego we wniosku opisu sprawy, udzielona interpretacja traci swoją aktualność

Zaklasyfikowanie do odpowiedniego grupowania PKWiU zostało przeprowadzone wyłącznie na potrzeby ustalenia właściwej stawki zryczałtowanego podatku dochodowego. Zgodnie bowiem z zasadami metodycznymi Polskiej Klasyfikacji Wyrobów i Usług (PKWiU 2015) zaliczanie danego produktu do odpowiedniego grupowania jest obowiązkiem producenta, względnie usługodawcy [pkt 7.3 załącznika do Rozporządzenia Rady Ministrów w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) z dnia 4 września 2015 r. (Dz. U. z 2015 r. poz. 1676 ze zm.)].

Przy wydawaniu niniejszej interpretacji tutejszy organ dokonał wyłącznie analizy okoliczności podanych we wniosku. Rolą postępowania w sprawie wydania indywidualnej interpretacji przepisów prawa podatkowego nie jest bowiem ustalanie, czy przedstawiony we wniosku stan faktyczny oraz zdarzenia przyszłe są zgodne ze stanem rzeczywistym. W ramach postępowania o wydanie interpretacji przepisów prawa podatkowego organ nie przeprowadza postępowania dowodowego, lecz opiera się jedynie na stanie faktycznym oraz zdarzeniu przyszłym przedstawionym we wniosku. Ustalenie stanu rzeczywistego stanowi domenę ewentualnego postępowania podatkowego. To na podatniku ciąży obowiązek udowodnienia w toku tego postępowania okoliczności faktycznych, z których wywodzi on dla siebie korzystne skutki prawne.

W odniesieniu do powołanych przez Pana interpretacji indywidualnych wskazuję, że zapadły one w indywidualnych sprawach i nie są wiążące dla organu wydającego niniejszą interpretację.

Pouczenie o funkcji ochronnej interpretacji

·     Funkcję ochronną interpretacji indywidualnych określają przepisy art. 14k-14nb ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (t. j. Dz. U. z 2025 r. poz. 111 ze zm.). Interpretacja będzie mogła pełnić funkcję ochronną, jeśli Pana sytuacja będzie zgodna (tożsama) z opisem stanu faktycznego oraz zdarzeń przyszłych i zastosuje się Pan do interpretacji.

·     Zgodnie z art. 14na § 1 Ordynacji podatkowej:

·     Zgodnie z art. 14na § 2 Ordynacji podatkowej:

Pouczenie o prawie do wniesienia skargi na interpretację

Ma Pan prawo do zaskarżenia tej interpretacji indywidualnej do Wojewódzkiego Sądu Administracyjnego (…). Zasady zaskarżania interpretacji indywidualnych reguluje ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2026 r. poz. 143 ze zm.; dalej jako „PPSA”).

Skargę do Sądu wnosi się za pośrednictwem Dyrektora KIS (art. 54 § 1 PPSA). Skargę należy wnieść w terminie trzydziestu dni od dnia doręczenia interpretacji indywidualnej (art. 53 § 1 PPSA):

·         w formie papierowej, w dwóch egzemplarzach (oryginał i odpis) na adres: Krajowa Informacja Skarbowa, ul. Warszawska 5, 43-300 Bielsko-Biała (art. 47 § 1 PPSA), albo

·         w formie dokumentu elektronicznego, w jednym egzemplarzu (bez odpisu), na adres Krajowej Informacji Skarbowej na platformie ePUAP: /KIS/wnioski albo /KIS/SkrytkaESP (art. 47 § 3 i art. 54 § 1a PPSA).

Skarga na interpretację indywidualną może opierać się wyłącznie na zarzucie naruszenia przepisów postępowania, dopuszczeniu się błędu wykładni lub niewłaściwej oceny co do zastosowania przepisu prawa materialnego. Sąd jest związany zarzutami skargi oraz powołaną podstawą prawną (art. 57a PPSA).

Podstawa prawna dla wydania interpretacji

Podstawą prawną dla wydania tej interpretacji jest art. 13 § 2a oraz art. 14b § 1 Ordynacji podatkowej.