Sprawy generalne Rzecznika Praw Obywatelskich



Wystąpienie do Minister Finansów w sprawie dostępu do cudzych danych w profilu na portalu podatki.gov.pl z dnia 2023-03-13.

Adresat:
Minister Finansów
Sygnatura:
VII.501.29.2023
Data sprawy:
2023-03-13
Rodzaj sprawy:
wystąpienie o charakterze generalnym (WG)
Nazwa zepołu:
Zespół Prawa Konstytucyjnego, Międzynarodowego i Europejskiego
Wynik sprawy:
częściowo pozytywnie ze względu na częściowe uwzgl. wystąpienia RPO
Opis sprawy:

Wystąpienie do Minister Finansów w sprawie dostępu do cudzych danych w profilu na portalu podatki.gov.pl.

Do wiadomości Rzecznika Praw Obywatelskich wpłynął wniosek obywatela, który skierowany został do Ministerstwa Finansów, a także Urzędu Ochrony Danych Osobowych. We wniosku tym obywatel wskazał, że logując się na swój profil na stronie internetowej https://www.podatki.gov.pl uzyskał dostęp do danych innego przedsiębiorcy. Dane, o których mowa powyżej to m.in. dane działalności, ale także dane osobowe czy numery kont bankowych.

Należy zaznaczyć, że Trybunał Konstytucyjny (dalej jako: TK) wielokrotnie wypowiadał się w zakresie konstytucyjnej ochrony prywatności, która stanowi jeden z podstawowych elementów aksjologii demokratycznego państwa prawnego. W jednej ze spraw TK wskazał, że prawo do prywatności to "w szczególności możność samodzielnego decydowania o ujawnianiu innym podmiotom informacji dotyczących własnej osoby, a także sprawowania kontroli nad tymi informacjami, nawet jeżeli znajdują się w posiadaniu innych osób (autonomia informacyjna jednostki) oraz możność samostanowienia o swym życiu osobistym w aspekcie przedmiotowym, podmiotowym oraz czasowym (autonomia decyzyjna jednostki). W sferze autonomii informacyjnej normy konstytucyjne gwarantują jednostce ochronę przed pozyskiwaniem, przetwarzaniem, przechowywaniem i ujawnieniem, w sposób naruszający reguły przydatności, niezbędności i proporcjonalności sensu stricto, informacji m.in. o stanie zdrowia (…)."

Ponadto wskazać trzeba, że zgodnie z art. 5 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: rozporządzenie 2016/679) dane przetwarzane muszą być w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).

Mając na uwadze Rzecznik zwrócił się z prośbą o udzielenie informacji w zakresie podjętych działań zarówno przez Ministra Finansów, jak również przez Prezesa Urzędu Ochrony Danych Osobowych w związku z otrzymanym przez obywatela zgłoszeniem. RPO poprosił także o przekazanie informacji o możliwej skali zjawiska, gdyż zgłoszony jednostkowy przypadek dostępu do danych innego obywatela może sygnalizować nieprawidłowość systemu obejmującą miliony profili.

 
Wystąpienie dołączone do tego dokumentu:


Data odpowiedzi:
2023-04-19
Opis odpowiedzi:
Podsekretarz Stanu w Ministerstwie Finansów w piśmie z 19 kwietnia 2023 r. wyjaśniła, że analiza okoliczności zaistnienia incydentu ujawnienia danych przedsiębiorcy wykazała, że nie wynika on z błędu działania serwisu e-Urząd Skarbowy. Prezentacja błędnych danych na koncie użytkownika wynikała z omyłkowego ich przypisania do niewłaściwego podatnika w Centralnym Rejestrze Podmiotów - Krajowej Ewidencji Podatników (CRP KEP) przez pracownika Urzędu Skarbowego. Nieprawidłowo przypisane dane zostały poprawione przy okazji weryfikacji kolejnych dokumentów, złożonych przez podatnika. Podsekretarz Stanu zapewniła, że zgłoszony incydent jest przypadkiem jednostkowym, wynikającym z błędu operatora, a nie z błędnego działania serwisu e-Urząd Skarbowy. Usługa e-Urzędu Skarbowego „Twoje dane” polega na umożliwieniu - tylko uwierzytelnionym użytkownikom serwisu - wglądu w ich dane rejestracyjne zgromadzone w Centralnym Rejestrze Podmiotów - Krajowej Ewidencji Podatników. Nie zidentyfikowano żadnych przypadków wskazujących na błędne działanie e-Urzędu Skarbowego w tym zakresie.