W związku z przygotowaniem i udostępnieniem przez Krajową Administrację Skarbową platformy „Twój e-PIT”, dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych powzięła informację o możliwości zaistnienia zagrożenia dostępu przez osoby nieupoważnione do danych osobowych podatników. Dlatego chce w trybie pilnym dowiedzieć się od Ministerstwa Finansów, czy
- przed wdrożeniem systemu „Twój e-PIT” dokonano oceny skutków dla ochrony danych, o której mowa w art. 35 RODO;
- uwierzytelnienie logowania za pomocą danych w postaci: nr PESEL albo nr NIP i daty urodzenia, jednej z kwot przychodu z dowolnej informacji od pracodawcy/płatnika (np. z PIT-11 za 2018 r.), kwoty przychodu z deklaracji za 2017 r., pozwala płatnikom zapoznać się z danymi osobowymi podatnika, przekazanymi przez innych płatników. a jeżeli tak, w jakim zakresie, celu i na jakiej podstawie prawnej;
- ministerstwo analizuje możliwość wprowadzenia dodatkowych zabezpieczeń dla przetwarzania danych osobowych w ramach platformy „Twój e-PIT”, które uniemożliwiłyby nieuprawniony dostęp do danych osobowych podatników, a jeżeli tak, jakie są przewidywane rozwiązania i kiedy będą wdrożone.
Jednocześnie z pisma UODO do MF wynika, że gdy podejrzenia prezes się potwierdzą, może to oznaczać naruszenie RODO. UODO wskazuje, bowiem, że zgodnie z art. 25 ogólnego rozporządzenia o ochronie danych (RODO), uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne po to, by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą. Do środków tych należą, np. pseudonimizacja, minimalizacja.
Czytaj również: Czy dane podatników w Ministerstwie Finansów są bezpieczne >>
Ponadto dla przetwarzania danych, w szczególności z użyciem nowych technologii, które może rodzić wysokie ryzyko naruszenia praw i wolności osób fizycznych należy dokonać oceny skutków dla ochrony danych, o której mowa w art. 35 RODO. Zgodnie z 91 motywem preambuły RODO dokonanie takiej oceny powinno mieć zastosowanie w szczególności do operacji przetwarzania o dużej skali - które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą.
Czytaj w LEX:
Ocena skutków dla ochrony danych, czyli co warto wiedzieć o DPIA >>
Ocena ryzyka w działalności organów administracji publicznej >>
Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
