W związku z przygotowaniem i udostępnieniem przez Krajową Administrację Skarbową platformy „Twój e-PIT”, dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych powzięła informację  o możliwości zaistnienia zagrożenia dostępu przez osoby nieupoważnione do danych osobowych podatników.  Dlatego chce w trybie pilnym dowiedzieć się od Ministerstwa Finansów, czy

  • przed wdrożeniem systemu „Twój e-PIT” dokonano oceny skutków dla ochrony danych, o której mowa w art. 35 RODO; 
  • uwierzytelnienie logowania za pomocą danych w postaci: nr PESEL albo nr NIP  i daty urodzenia, jednej z kwot przychodu z dowolnej informacji od pracodawcy/płatnika (np. z PIT-11 za 2018 r.), kwoty przychodu z deklaracji za 2017 r., pozwala płatnikom zapoznać się z danymi osobowymi podatnika, przekazanymi przez innych płatników.  a jeżeli tak, w jakim zakresie, celu i na jakiej podstawie prawnej;
  • ministerstwo analizuje możliwość wprowadzenia dodatkowych zabezpieczeń dla przetwarzania danych osobowych w ramach platformy „Twój e-PIT”, które uniemożliwiłyby nieuprawniony dostęp do danych osobowych podatników, a jeżeli tak, jakie są przewidywane rozwiązania i kiedy będą wdrożone.

 


Jednocześnie z pisma UODO do MF wynika, że gdy podejrzenia prezes się potwierdzą, może to oznaczać naruszenie RODO.  UODO wskazuje, bowiem, że zgodnie z art. 25 ogólnego rozporządzenia o ochronie danych (RODO), uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,  administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne po to, by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą. Do środków tych należą, np. pseudonimizacja, minimalizacja.

Czytaj również: Czy dane podatników w Ministerstwie Finansów są bezpieczne >>

Ponadto dla przetwarzania danych, w szczególności z użyciem nowych technologii, które może rodzić wysokie ryzyko naruszenia praw i wolności osób fizycznych należy dokonać oceny skutków dla ochrony danych, o której mowa w art. 35 RODO. Zgodnie z 91 motywem preambuły RODO dokonanie takiej oceny powinno mieć zastosowanie w szczególności do operacji przetwarzania o dużej skali - które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą. 

Czytaj w LEX:

Ocena skutków dla ochrony danych, czyli co warto wiedzieć o DPIA >>

Ocena ryzyka w działalności organów administracji publicznej >>

Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>