Szefowie bez naszej wiedzy będą mogli sprawdzić, czy mamy inne źródła dochodów, ile zarabia nasz współmałżonek, a nawet ile płacą nam w nowym miejscu pracy.
Uruchomiona przez fiskusa nowa usługa – Twój e-PIT – umożliwia dostęp do tajemnic skarbowych. Ciekawski pracodawca może w bardzo prosty sposób sprawdzić, czy jego pracownik ma inne źródła dochodu.
– W ten sposób szef może się dowiedzieć m.in., czy podwładny dorabia na boku, komu przekazuje 1 proc. podatku – alarmują nasi czytelnicy.
Co gorsza, pracodawca może wprowadzić własne poprawki, np. zmienić numer obdarowanej OPP albo usunąć uwzględnioną ulgę (prorodzinną), a nawet wykazaną nadpłatę przenieść do rubryki „do zapłaty”.
Byli pracodawcy nadal będą mogli zaglądać do naszych portfeli i dowiadywać się, ile zarabiamy w nowej firmie.
Co więcej, szef lub księgowa mogą zobaczyć także dochody małżonka pracownika, bo w systemie widoczny jest ich wspólny PIT.
W ten sposób ochrona danych objętych tajemnicą skarbową staje się fikcją.
– Jeżeli system umożliwia dostęp postronnym osobom do danych podatkowych za 2018 r., to można mówić o naruszeniu tajemnicy skarbowej – mówi doradca podatkowy Marek Kwietko-Bębnowski. Jego zdaniem odpowiedzialność spada na podmiot zarządzający systemem, a więc w tym wypadku resort finansów.
– Nie sposób sądzić, że Ministerstwo Finansów celowo dopuściło do takiej sytuacji. Prawdopodobnie jest to zwykłe niedopatrzenie, które ma jednak doniosłe konsekwencje – komentuje Anna Misiak, doradca podatkowy, partner i szef zespołu podatków osobistych i doradztwa dla pracodawców w MDDP.
Jak to możliwe? Sposób jest banalnie prosty, bo były szef ma wszystkie dane niezbędne do tego, aby zalogować się na konto pracownika. Żeby obejrzeć na Portalu Podatkowym zeznanie podatkowe sporządzone przez urzędników Krajowej Administracji Skarbowej, trzeba potwierdzić swoją tożsamość. Zalogować się można na dwa sposoby: przez profil zaufany albo wpisując swoje dane podatkowe.

Zmiany w koszcie uzyskania przychodu. Zysk nie dla biednych i nie dla bogatych >>>>

Problem dotyczy tego drugiego sposobu uwierzytelniania. Otóż system wymaga wpisania numeru PESEL (lub NIP) oraz dwóch danych liczbowych: łącznej kwoty przychodów za 2017 r. oraz kwoty przychodu za 2018 r.

Przy czym w tym drugim przypadku nie chodzi o sumę, tylko o kwotę z jednej pozycji formularza przygotowanego przez płatnika, np. z PIT-11. Jeżeli więc pracownik miał kilku płatników, to do zalogowania się wystarczy podać jedną kwotę przychodu, spisaną tylko z jednej informacji PIT-11.

W prosty sposób

I tu kryje się możliwość podejrzenia, czy pracownik dorabiał na przykład na boku. Wystarczy, że pracodawca zna dwie dane liczbowe (tj. przychód z zeznania za 2017 r. i kwotę jakiegokolwiek przychodu z 2018 r.) plus numer PESEL pracownika, by miał wgląd w zeznanie podwładnego, sporządzone przez KAS na podstawie informacji od wszystkich płatników, także innych pracodawców i zleceniodawców.

W ten banalnie prosty sposób wgląd do zeznania mogą mieć inne osoby, nie tylko sam podatnik.

– Rzeczywiście takie ryzyko istnieje. Wystarczy znać dochód z jednej informacji PIT-11. Na tej podstawie płatnik, księgowa w firmie, a tak naprawdę każda osoba zaangażowana w proces przygotowywania pracownikom PIT-11 może mieć dostęp do ich zeznań podatkowych w systemie Twój e-PIT – potwierdza Anna Misiak, doradca podatkowy, partner i szef zespołu podatków osobistych i doradztwa dla pracodawców w MDDP.

Czy pracownik dorabiał

Furtka ta w praktyce może być wykorzystana przez wścibskich płatników.

W 2017 r. czytelniczka zarabiała tylko w jednej firmie. W 2018 r. pracowała tam nadal, ale miała też dochody z innych źródeł. Pracodawca zna jej PESEL, pełny przychód za 2017 r. (czytelniczka miała tylko jednego płatnika) oraz kwotę przychodu z PIT-11, który sam dla niej sporządził. To oznacza, że szef może łatwo zalogować do systemu Twój e-PIT i zobaczyć zeznanie naszej czytelniczki, przygotowane przez fiskus na podstawie informacji PIT-11 od wszystkich podmiotów, u których była zatrudniona.

Ile zarobił mąż

– Co więcej, jeśli rozliczę się wspólnie z małżonkiem, to szef czy księgowa z mojej firmy będą mieli także wgląd w dochody mojego męża, bo w systemie widoczny jest nasz wspólny PIT – zwraca uwagę inna nasza czytelniczka.

To nie wszystko. Jeśli czytelniczka miała w minionym roku przychody np. z giełdy, to wścibski płatnik będzie mógł także obejrzeć jej PIT-38.

Ten rodzaj zeznania też już jest widoczny po zalogowaniu się do systemu Twój e-PIT na konto danego podatnika (mimo że do uwierzytelniania nie podaje się kwot z informacji, na podstawie których został on sporządzony).

O inne przykłady nietrudno.

Pan Marek był w 2017 r. zatrudniony tylko w jednej firmie X. W 2018 r. kontynuował pracę u tego samego pracodawcy X, ale tylko do końca lutego. Od marca zatrudnił się w spółce Y. W 2019 r. dostał dwie informacje podatkowe PIT-11 od dwóch płatników: firmy X oraz spółki Y. Na podstawie tych informacji Krajowa Administracja Skarbowa sporządziła panu Markowi zeznanie roczne za 2018 r. Pracodawca X zna wszystkie niezbędne dane, żeby zalogować się na konto podatnika w Portalu Podatkowym: numer PESEL pana Marka, jego przychód za 2017 r. (zakładamy, że pan Marek pracował w 2017 r. tylko w firmie X) oraz kwotę przychodu z informacji PIT-11 sporządzonej dla pana Marka za okres jego zatrudnienia w firmie X w 2018 r. (czyli styczeń – luty 2018 r.). Jeśli pracodawca X użyje tych danych, będzie miał wgląd do e-PIT sporządzonego panu Markowi przez KAS. Słowem, dowie się, ile pan Marek zarobił u następnego pracodawcy, czyli w firmie Y.

System umożliwia wgląd do zeznania także na przyszłość. Wyobraźmy sobie, że płatnik zaloguje się na konto podatnika i spisze wszystkie dochody uzyskane przez niego w 2018 r. Jeżeli pracownik będzie kontynuował pracę w tej firmie także w 2019 r., płatnik będzie mógł zajrzeć sobie do jego zeznania nawet w 2020 r. (przy okazji rozliczeń za bieżący rok).

Niedopatrzenie o poważnych skutkach

W ten sposób dostęp do danych objętych tajemnicą skarbową staje się fikcją.

– Nie sposób sądzić, że Ministerstwo Finansów celowo dopuściło do takiej sytuacji. Prawdopodobnie jest to zwykłe niedopatrzenie, które ma jednak doniosłe konsekwencje – podkreśla Anna Misiak.

– Jeżeli system umożliwia postronnym osobom dostęp do danych podatkowych za 2018 r., to można mówić o naruszeniu tajemnicy skarbowej – mówi doradca podatkowy Marek Kwietko-Bębnowski. Podkreśla, że to nieszczelny system sam w sobie stanowi naruszenie tajemnicy skarbowej. Tajemnica skarbowa polega bowiem na tym, że to organ musi zapewnić bezpieczeństwo danych podatników.

– Skoro stworzono system, który tego wymogu nie spełnia, to odpowiedzialność spada na podmiot nim zarządzający, a więc w tym wypadku resort finansów – mówi Marek Kwietko-Bębnowski. W ocenie eksperta trudno byłoby przypisać ją osobie, której umożliwiono wgląd do tych danych.

Wystarczy, że wścibski pracodawca zna dwie dane liczbowe (tj. sumę przychodów za 2017 r. i kwotę przychodu z 2018 r.) oraz numer PESEL swojego pracownika, by miał wgląd w jego całe zeznanie

Również zdaniem Anny Misiak można mieć wątpliwości czy w zaistniałej sytuacji dopełnione zostały wymogi dotyczące pełnego zabezpieczenia informacji o podatniku.

Ekspertka zwraca też uwagę, że w ten sposób mogą być naruszane przepisy o ochronie danych osobowych. Każdy administrator danych osobowych ma bowiem obowiązek wdrożenia odpowiednich środków, aby uchronić się przed wyciekiem danych czy też dostępem do nich osób nieupoważnionych.

Inaczej w PFR

Inaczej skonstruowany jest sposób uwierzytelniania do innej usługi fiskusa, dostępnej od kilku lat, tj. wstępnie wypełnionych zeznań podatkowych (usługa PFR). W tym wypadku podaje się sumę przychodów ze wszystkich informacji otrzymanych od płatników, a nie tylko jeden przychód. Zasadniczo osoby postronne nie mają informacji o pełnych przychodach danego podatnika, który ma kilku płatników. Nie mają więc wglądu w jego elektroniczny PIT.

Zapytaliśmy Ministerstwo Finansów, dlaczego w przypadku usługi Twój e-PIT wprowadzono inne rozwiązanie i czy resort jest świadomy ryzyka, które się się z tym wiąże. Prosiliśmy też o wyjaśnienie, czy system przewiduje zabezpieczenie pokazujące, czy i kto logował się na konto podatnika w systemie Twój e-PIT. Na odpowiedź czekamy. Jak tylko ją otrzymamy, zostanie opublikowana na naszych łamach.