Czy MF przygotowało się do RODO?

Nowe regulacje dotyczące ochrony danych osobowych wynikające z unijnego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych tzw. RODO zaczęły obowiązywać 25 maja br.

Ministerstwo Finansów spóźnione w sprawie RODO?

W Ministerstwie Finansów dopiero 9 maja 2018 r. podjęto decyzję o uruchomieniu projektu RODO2 - Dostosowanie resortu finansów do wymagań RODO. Była to decyzja Dyrektora Generalnego Ministerstwa Finansów Adama Niedzielskiego. W karcie projektu wskazano, iż prace w tym zakresie zostaną zakończone do 31 grudnia 2018 r. co oznacza, iż resort finansów nie zdążył implementować przedmiotowego rozporządzenia RODO do 25 maja 2018 r. Cichoń w interpelacji poselskiej zwraca także uwagę, że do nowych regulacji prawnych RODO nadal nie są dostosowane aplikacje funkcjonujące w resorcie, jak również systemy IT, które przetwarzają dane osobowe milionów Polaków. Dodatkowo, projektem nie objęto tych systemów informatycznych, których minimalny czas dostosowania do RODO przekracza osiem miesięcy. W konsekwencji te systemy nie będą zgodne z RODO także po 1 stycznia 2019 r. Z dokumentów MF ma także wynikać, że istnieje duże ryzyko wycieku danych osobowych oraz nałożenia kar pieniężnych. 

Dane bezpieczne a RODO jest wdrażane

Marian Banaś, wiceminister finansów, w odpowiedzi na interpelację odpiera zarzuty. Jego zdaniem - mimo toczących się prac - dane podatników nie są zagrożone wyciekiem, ani utratą poufności, integralności, dostępności, rozliczalności i prawidłowości przetwarzania danych. Zwraca uwagę, że resort stosuje odpowiednie środki techniczne i organizacyjne. Zostały one wprowadzone zgodnie z RODO. Są to m.in.: 
- nowy system nadawania upoważnień do przetwarzania danych osobowych, 
- opracowane i opublikowane na stronach internetowych MF klauzule informacyjne, 
- nowe dokumenty polityki bezpieczeństwa przetwarzania danych osobowych, 
- jak również wyznaczenie zgodnie z przepisami prawa inspektorów ochrony danych.

Proces musi być długi

Zdaniem Banasia wdrażanie nowego rodzaju europejskiego prawa ze względu na złożoność całego procesu, skomplikowany system przepływu danych oraz ilość danych przetwarzanych w systemach musi być rozłożone w czasie, a wypracowane decyzje podejmowane i wdrażane bardzo rozważnie. W realizację projektu RODO2 zaangażowanych jest wiele komórek organizacyjnych ministerstwa, a wszelkie działania ukierunkowane zostały na ciągły proces podnoszenia poziomu ochrony danych i wypracowania optymalnego systemu ochrony względem danych milionów podatników.

RODO nie stawia precyzyjnych wymagań

Jak podkreśla Banaś, w unijnym rozporządzeniu nie określono konkretnych minimalnych wymagań dla aplikacji i systemów IT. Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Tłumaczy, że w ramach przeprowadzonego przeglądu systemów zidentyfikowano około 170 systemów centralnych oraz 70 zewnętrznych. Około 80 czeka jednak jeszcze na weryfikację i uzupełnienie opisu. Jeszcze liczniejszą grupę stanowią systemy i aplikacje lokalne i regionalne, wdrożone i użytkowane tylko w niektórych jednostkach organizacyjnych Krajowej Administracji Skarbowej (głównie wspierające realizację jej zadań). Na aktualnej liście znajduje się ponad 500 takich systemów, które zostały zweryfikowane i opisane na podstawie informacji przekazanych przez poszczególne Izby Administracji Skarbowej. 

Banaś zwraca uwagę, że do Prezesa Urzędu Ochrony Danych Osobowych nie wpłynęło żadne zawiadomienie dotyczące ewentualnych nieprawidłowości przetwarzania danych osobowych w resorcie finansów.

RODO a doradcy podatkowi >>