Rzecznik podjął interwencję w tej sprawie, ponieważ wpłynął wniosek obywatela, skierowany do MF, a także Urzędu Ochrony Danych Osobowych. Wskazał on, że logując się na swój profil na stronie internetowej https://www.podatki.gov.pl, uzyskał dostęp do danych innego przedsiębiorcy.
Dostęp osoby nieuprawnionej do danych
Wniosek zawiera zrzuty ekranu wskazujące, że uzyskał dostęp jako osoba nieuprawniona do takich danych, jak np. nr REGON, PESEL i NIP, imię i nazwisko, data urodzenia, adres, e-mail, nr rachunku i SWIFT.
RPO przypomina w tym kontekście, że Trybunał Konstytucyjny wielokrotnie wypowiadał się w zakresie konstytucyjnej ochrony prywatności, która stanowi jeden z podstawowych elementów aksjologii demokratycznego państwa prawnego.
Zobacz w LEX:
Jak dokumentować naruszenia ochrony danych osobowych? >
Czy każde naruszenie ochrony danych powoduje szkodę po stronie osoby, której dane dotyczą? >
Zgodnie z art. 5 ust. 1 lit. f rozporządzenia RODO dane przetwarzane muszą być w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).
Czytaj także: Wspólnota mieszkaniowa ukarana za błędy w przetwarzaniu danych osobowych>>
Obowiązki instytucji przetwarzających dane
Rzecznik podkreśla, że kwestia bezpieczeństwa danych przetwarzanych przez publiczne instytucje jest niezwykle ważna dla wszystkich organów nadzorczych działających w oparciu o rozporządzenie RODO. Przywołuje szeroko komentowany w ubiegłym roku przypadek holenderskiego organu ds. ochrony danych osobowych, który nałożył wysoką karę pieniężną na organ podatkowy w związku z wykorzystywaniem przez ów organ systemu FSV. Jednym z motywów kary było niezastosowanie odpowiednich zabezpieczeń i brak wdrożenia odpowiednich środków technicznych i organizacyjnych dotyczących bezpieczeństwa dostępu i danych osobowych w systemie.
Czytaj w LEX: Sankcje administracyjne za naruszenie przepisów RODO >
Rzecznik prosi o informacje co do podjętych działań zarówno minister finansów Magdalenę Rzeczkowską, jak i prezesa UODO Jana Nowaka.
Zwraca się także o informację co do możliwej skali zjawiska, gdyż zgłoszony jednostkowy przypadek dostępu do danych innego obywatela może sygnalizować nieprawidłowość systemu obejmującą miliony profili. Jak wynika bowiem z informacji dostępnych na wskazanej na wstępie stronie internetowej w części „Twój e-PIT w liczbach" w 2022 r. Krajowa Administracja Skarbowa przygotowała na podstawie posiadanych przez siebie danych zeznania roczne za 2021 r. dla 23 295 876 podatników. Podatnicy zaś korzystający z usługi Twój e-PIT złożyli na 24 lutego 2022 r. ponad 1 mln formularzy PIT za 2021 rok, w tym 843,5 tys. deklaracji PIT-37, 117,8 tys. deklaracji PIT-28, 26,9 tys. deklaracji PIT-38, 6,6 tys. deklaracji PIT-36, 6,9 tys. oświadczeń PIT-OP.
W ocenie RPO skala naruszenia, polegająca na możliwym dostępie osób nieuprawnionych do bardzo szczegółowych danych obywateli, może być zatem większa.