Dane składane przez podatników, czy to w deklaracjach podatkowych, czy w innych dokumentach służących rozliczeniom z fiskusem, są prawnie chronione i stanowią tajemnicę państwową. Do jej przestrzegania zobowiązani są wszyscy urzędnicy podlegli resortowi finansów, w tym także sam minister. Ministerstwo Finansów ma zatem obowiązek zapewnienia, że do danych przetwarzanych i przechowywanych przez organy podatkowe i skarbowe nie będą miały dostępu osoby nieuprawnione, które mogłyby przyczynić się do utraty poufności tych danych.

Wątpliwości dotyczące ochrony danych podatników

Wątpliwości w zakresie bezpieczeństwa danych podatników miał poseł Marcin Kierwiński z PO. W jednej z interpelacji poselskich zapytał, czy prawdą jest, że dane podatników są przechowywane lub przetwarzane w chmurze. Chodziło też o weryfikację, czy resort finansów przestrzega wymogów wynikających z przepisów RODO.

 

Szyfrowanie danych warunkiem bezpieczeństwa

Z odpowiedzi udzielonej przez resort finansów wynika, że dane podatników są przechowywane i przetwarzanie w oparciu o własną infrastrukturę resortu. Jest ona ulokowana w Centrum Informatyki Resortu Finansów (CIRF). Wykorzystuje się tam rozwiązanie hybrydowej architektury informatycznej, umożliwiającej wielu podmiotom składającym JPK szeroki dostęp do bramki. Została ona zbudowana w oparciu o usługi chmury publicznej firmy Microsoft Azure. Rozwiązanie to jest wykorzystywane tylko jako medium transmisyjne plików przesyłanych przez przedsiębiorców do centrum przetwarzania danych Ministerstwa Finansów. Jednolite pliki kontrolne transferowane przez przedsiębiorców poprzez chmurę publiczną są w postaci zaszyfrowanej kluczem publicznym Ministerstwa Finansów. Do szyfrowania wykorzystywane są silne algorytmy kryptograficzne AES oraz RSA. Z zapewnień MF wynika, że odszyfrowanie możliwe jest tylko w środowisku CIRF z wykorzystaniem chronionego klucza prywatnego resortu.

Zobacz również: Jest już plan kontroli przestrzegania RODO >>

Interpretacje podatkowe przestają mieć znaczenie >>

W chmurze tylko transfer danych

- Zaszyfrowane pliki, po zakończeniu transferu danych do CIRF, w żaden sposób nie są przechowywane w chmurze publicznej. Chmura publiczna Microsoft Azure wykorzystywana jest jedynie do transferu zaszyfrowanych plików JPK VAT. Przetwarzanie danych i przechowywanie realizowane jest w CIRF – tłumaczy MF. Dodaje, że bezpieczeństwo rozwiązania zostało potwierdzone poprzez certyfikację zewnętrzną, zarówno rozwiązań Microsoft, jak i rozwiązań wdrożonych w CIRF. Chodzi tu m.in. o System Zarządzania Bezpieczeństwem Informacji, zgodny z normą PN-ISO/IEC 27001 i zasady bezpiecznego przetwarzania danych w CIRF określone w Polityce Bezpieczeństwa Informacji CIRF. System JPK pomyślnie przeszedł także testy bezpieczeństwa i zewnętrzny audyt bezpieczeństwa. Dodatkowo wdrożone rozwiązanie do przekazywania plików JPK zostało zweryfikowane przez specjalistów Agencji Bezpieczeństwa Wewnętrznego, zajmujących się bezpieczeństwa danych teleinformatycznych. Potwierdzili oni, że zastosowane sposoby szyfrowania zapewniają odpowiedni poziom bezpieczeństwa danych podatników.

 


Dane w Radomiu i Warszawie

- Repozytoria danych podatników, przechowywane w postaci elektronicznej, zlokalizowane są w CIRF – podstawowym w Radomiu i zapasowym w Warszawie – potwierdza MF. Dane podatkowe lub skarbowe nie są przechowywane ani przetwarzane poza granicami Polski.

Ministerstwo zapewnia także, że wszystkie stosowane procedury są zgodne z wymogami wynikającymi z przepisów RODO. W tym celu opracowany został m.in.: system nadawania upoważnień do przetwarzania danych osobowych, opracowane i opublikowane na stronach internetowych Ministerstwa Finansów klauzule informacyjne, dokumenty polityki bezpieczeństwa przetwarzania danych osobowych oraz wyznaczenie inspektora ochrony danych.

- Wydaje się, że Ministerstwo Finansów podjęło właściwe kroki w celu zabezpieczenia danych. Przesyłanie danych w postaci zaszyfrowanej oraz korzystanie z własnego data center (głównego i zapasowego) zabezpiecza nasze dane nie tylko przed nieuprawnionym dostępem, ale także przed incydentami związanymi z dostępnością danych (czasową lub trwałą). Nie wydaje się również problemem wykorzystanie rozwiązań dostarczanych przez firmę Microsoft, jest to poważny dostawca, który doskonale sobie radzi z problematyką bezpieczeństwa danych osobowych i wymagań RODO – ocenia Bartosz Kapuściński, radca prawny, wspólnik w Kancelarii TKZ.

Zdaniem eksperta, jedyne co może niepokoić, to zbyt biurokratyczne podejście do RODO w samym ministerstwie. Kapuściński zwraca uwagę, że resort finansów deklaruje spełnienie formalnych wymogów RODO i ma na to "papiery" - m.in. stosowne upoważnienia, polityki czy wyznaczonego inspektora. – Osobiście mnie to jednak nie uspokaja. Cała sztuka polega przede wszystkim na rzetelnej ocenie ryzyka oraz faktycznej implementacji zasad wynikających z RODO. Pozostaje mieć nadzieję, że ministerstwo tego nie zaniedbało – podsumowuje Kapuściński.

Zobacz również: Analiza - RODO a doradcy podatkowi >>