Eksperci nie mają wątpliwości – niedostateczne zabezpieczenie elektronicznych PIT-ów przed dostępem osób nieuprawnionych narusza przepisy RODO.
Jeżeli prezes Urzędu Ochrony Danych Osobowych potwierdzi złamanie prawa, może sięgnąć po sankcje finansowe. W przypadku administracji publicznej ich górna wysokość wynosi 100 tys. zł. Spytaliśmy ekspertów o zgodność sposobu logowania do nowej usługi Twój e-PIT z przepisami unijnego rozporządzenie o ochronie danych osobowych 2016/679.
Adam Klimowski, specjalista ds. ochrony danych osobowych z firmy JAMANO, nie ma wątpliwości, że Ministerstwo Finansów złamało unijne rozporządzenie.
– Artykuł 24–25 RODO wymagają od administratora danych stosowania odpowiednich środków technicznych, w szczególności zapewniających, że osoby postronne nie będą miały dostępu do danych – wyjaśnia ekspert.
Co więcej – dodaje – naruszenie to należy uznać za poważne, gdyż dotyczy szerokiej grupy obywateli oraz istotnych informacji na ich temat.
– Ryzyko dotyczy nie tylko tych, którzy chcą skorzystać z usługi Twój e-PIT, ale wszystkich, których KAS wyręczył w przygotowaniu PIT-ów. A że dane dotyczą dochodów, sytuacji rodzinnej, wspieranych organizacji – to jest to naruszenie wagi ciężkiej – zwraca uwagę Wojciech Klicki z Fundacji Panoptykon.
– Mechanizmy identyfikacji elektronicznej powinny, zgodnie z przepisami, zapewniać dostęp wyłącznie jednej osobie – podatnikowi. Tymczasem pozwalają na dostęp osobom nieuprawnionym – nie tylko pracodawcy, ale też chociażby firmie księgowej obsługującej podatnika w minionych latach, nawet gdy już zrezygnował z jej usług. Zastosowane środki techniczne nie zapewniają więc poufności danych – komentuje dr Grzegorz Sibiga, adwokat w kancelarii Traple, Konarski, Podrecki i Wspólnicy.
Przepisy nakazujące dostosowanie środków technicznych do zagrożeń nie są jedynymi, jakie – zdaniem ekspertów – złamał resort przez swą niefrasobliwość.
– Mogło również dojść do naruszenia zasady z art. 32 RODO, czyli podejścia opartego na ryzyku – wskazuje dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Podkreśla, że przed uruchomieniem usługi należało wykonać ocenę skutków dla ochrony danych osobowych. W toku wykonywania tej oceny powinno stać się jasne, że w procesie jest ryzyko, które należało wyeliminować. Jak? Przez eliminację uwierzytelniania za pomocą kwoty przychodu z roku ubiegłego i pozostawienie tylko profilu zaufanego – wskazuje prawnik.
Jak poinformowano nas wczoraj po południu, dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych, wysłała pismo do ministra finansów, w którym prosi o szczegółowe informacje dotyczące platformy „Twój e-PIT” . Pyta w nim m.in. czy przed jej uruchomieniem przeprowadzono ocenę skutków dla ochrony danych oraz czy analizowana jest możliwość wprowadzenia dodatkowych zabezpieczeń, które uniemożliwiłyby nieuprawniony dostęp do danych osobowych podatników. Jednocześnie prosi o potraktowanie sprawy jako pilnej.
– Po stwierdzeniu nieprawidłowości UDODO może nakazać administratorowi dostosowanie systemu do RODO, a nawet wprowadzić czasowe ograniczenie przetwarzania w nim danych osobowych – tłumaczy Wojciech Klicki. W praktyce oznaczałoby to konieczność zablokowania usługi do czasu usunięcia zagrożeń.