Biuletyn Informacji Publicznej RPO

• Obywatel, który zalogował się na swój profil na stronie internetowej www.podatki.gov.pl uzyskał dostęp do szczegółowych danych innego przedsiębiorcy
• Rzecznik Praw Obywatelskich pyta o działania w tej sprawie Ministra Finansów i Prezesa Urzędu Ochrony Danych Osobowych
• Skala naruszenia prywatności  może być bowiem większa
• AKTUALIZACJA: Incydent wynikł z błędu operatora, a nie z błędnego działania serwisu e-Urząd Skarbowy, ujawniony został wyłącznie adres zamieszkania i nazwa działalności innego przedsiębiorcy - odpowiedziało MF
• Uzyskany dostęp miał o wiele szerszy zakres niż wynika to z wyjaśnień MF - replikuje RPO w ponownym piśmie do resortu, prosząc o wyczerpujące wyjaśnienia 

Do wiadomości RPO wpłynął wniosek obywatela, skierowany do MF, a także Urzędu Ochrony Danych Osobowych. Wskazał on, że logując się na swój profil na stronie internetowej https://www.podatki.gov.pl, uzyskał dostęp do danych innego przedsiębiorcy.

Wniosek zawiera zrzuty ekranu wskazujące, że uzyskał dostęp jako osoba nieuprawniona do takich danych, jak np. nr REGON, PESEL i NIP,  imię i nazwisko, data urodzenia, adres, e-mail, nr rachunku i SWIFT.

Trybunał Konstytucyjny wielokrotnie wypowiadał się w zakresie konstytucyjnej ochrony prywatności, która stanowi jeden z podstawowych elementów aksjologii demokratycznego państwa prawnego.

Zgodnie z art. 5 ust. 1 lit. f rozporządzenia RODO dane przetwarzane muszą być w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).

Kwestia bezpieczeństwa danych przetwarzanych przez publiczne instytucje jest niezwykle ważna dla wszystkich organów nadzorczych działających w oparciu o rozporządzenie RODO. Można przywołać  szeroko komentowany w ubiegłym roku przypadek holenderskiego organu ds. ochrony danych osobowych, który nałożył wysoką karę pieniężną na organ podatkowy w związku z wykorzystywaniem przez ów organ systemu FSV. Jednym z motywów kary było niezastosowanie odpowiednich zabezpieczeń i brak wdrożenia odpowiednich środków technicznych i organizacyjnych dotyczących bezpieczeństwa dostępu i danych osobowych w systemie.

Rzecznik prosi o informacje co do podjętych działań zarówno minister finansów Magdalenę Rzeczkowską, jak i prezesa UODO Jana Nowaka.

Zwraca się także o  informację co do możliwej skali zjawiska, gdyż zgłoszony jednostkowy przypadek dostępu do danych innego obywatela może sygnalizować nieprawidłowość systemu obejmującą miliony profili. Jak wynika bowiem z informacji dostępnych na wskazanej na wstępie stronie internetowej w części „Twój e-PIT w liczbach" w 2022 r. Krajowa Administracja Skarbowa przygotowała na podstawie posiadanych przez siebie danych zeznania roczne za 2021 r. dla 23 295 876 podatników. Podatnicy zaś korzystający z usługi Twój e-PIT złożyli na 24 lutego 2022 r. ponad 1 mln formularzy PIT za 2021 rok, w tym 843,5 tys. deklaracji PIT-37, 117,8 tys. deklaracji PIT-28, 26,9 tys. deklaracji PIT-38, 6,6 tys. deklaracji PIT-36, 6,9 tys. oświadczeń PIT-OP.

W ocenie RPO skala naruszenia, polegająca na możliwym dostępie osób nieuprawnionych do bardzo szczegółowych danych obywateli, może być zatem większa.

VII.501.29.2023