Logując się na swój profil na stronie internetowej podatki.gov.pl, obywatel uzyskał dostęp do danych podatkowych innego przedsiębiorcy. Ten incydent zrodził pytanie nie tylko o jego skalę, ale również o bezpieczeństwo naszych danych podatkowych.
Obywatel, który zalogował się na swój profil na stronie internetowej www.podatki.gov.pl uzyskał dostęp do szczegółowych danych innego przedsiębiorcy. O incydencie zawiadomił RPO (a także MF oraz UODO), załączając do wniosku zrzuty ekranu wskazujące, że uzyskał dostęp jako osoba nieuprawniona do takich danych, jak np. nr REGON, PESEL i NIP, imię i nazwisko, data urodzenia, adres, e-mail, nr rachunku i SWIFT. Zrodziło to pytanie, jaka jest faktyczna skala naruszenia prywatności i ile nieuprawnionych osób otrzymało dostęp do szczegółowych danych podatkowych innych obywateli.
Dane podatkowe podlegają ochronie przewidzianej dla wszystkich kategorii danych osobowych. Zgodnie z art. 5 ust. 1 lit. f rozporządzenia RODO dane przetwarzane muszą być w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).
Jak podreśla RPO, kwestia bezpieczeństwa danych przetwarzanych przez publiczne instytucje jest niezwykle ważna dla wszystkich organów nadzorczych działających w oparciu o rozporządzenie RODO. Można przywołać szeroko komentowany w ubiegłym roku przypadek holenderskiego organu ds. ochrony danych osobowych, który nałożył wysoką karę pieniężną na organ podatkowy w związku z wykorzystywaniem przez ów organ systemu FSV. Jednym z motywów kary było niezastosowanie odpowiednich zabezpieczeń i brak wdrożenia odpowiednich środków technicznych i organizacyjnych dotyczących bezpieczeństwa dostępu i danych osobowych w systemie.
Warto przy tym przypomnieć, że również polski Trybunał Konstytucyjny wielokrotnie wypowiadał się w zakresie konstytucyjnej ochrony prywatności, która stanowi jeden z podstawowych elementów aksjologii demokratycznego państwa prawnego. Zgodnie z art. 47 Konstytucji, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.
Czy zgłoszony incydent miał charater jednostkowy? A może sygnalizuje on nieprawidłowość systemu obejmującą miliony profili? Taka obawę wyraził RPO, zwracając się z pytaniem o bezpieczeństwo naszych danych podatkowych do Prezesa UODO oraz Ministra Finansów. Pytanie o skalę zjawiska nie jest bezpodstawne. Należy zauwać, że w 2023 r. KAS przygotowała na podstawie posiadanych przez siebie danych zeznania roczne za 2022 r. dla ponad 24 mln podatników. Podatnicy korzystający z usługi złożyli już ponad 1 mln formularzy PIT za 2022 rok, w tym:
- 936 tys. deklaracji PIT-37,
- 35 tys. deklaracji PIT-28,
- 16 tys. deklaracji PIT-38,
- 13 tys. deklaracji PIT-36.
- 0,9 tys. oświadczeń PIT-OP.
- 1,3 tys. deklaracji PIT-DZ.
Poznanie skali wycieku danych osobowych jest więc konieczne. W ocenie RPO skala naruszenia, polegająca na możliwym dostępie osób nieuprawnionych do bardzo szczegółowych danych obywateli, może być większa. Tymczasem konstytucyjne prawo do prywatności - jak podkresla TK - to w szczególności możność samodzielnego decydowania o ujawnianiu innym podmiotom informacji dotyczących własnej osoby, a także sprawowania kontroli nad tymi informacjami, nawet jeżeli znajdują się w posiadaniu innych osób (autonomia informacyjna jednostki) oraz możność samostanowienia o swym życiu osobistym w aspekcie przedmiotowym, podmiotowym oraz czasowym (autonomia decyzyjna jednostki). W sferze autonomii informacyjnej normy konstytucyjne gwarantują jednostce ochronę przed pozyskiwaniem, przetwarzaniem, przechowywaniem i ujawnieniem, w sposób naruszający reguły przydatności, niezbędności i proporcjonalności sensu stricto, informacji jej dotyczących. Prawo do prywatności jest więc podstawowym prawem obywatela, a jego przestrzeganie jest obowiazkiem organów państwa i władz publicznych.
Źródło:
- Wyrok TK z dnia 20 stycznia 2015 r., sygn. akt K 39/12, OTK ZU 1A/2015, poz. 2;
- Twój e-PIT w liczbach, https://www.gov.pl/web/finanse/juz-1mln-zeznan-zlozonych-przez-twoj-epit
- Pismo RPO z 13.3.2023 r., VII.501.29.2023.KSZ.
Treści publikowane w serwisie internetowym PlanetaPrawo.pl mają charakter informacyjno-edukacyjny. Nie stanowią one porad prawnych i nie zastępują profesjonalnej pomocy prawnej. Administrator nie ponosi odpowiedzialności za jakiekolwiek skutki związane z ich wykorzystywaniem. Wszelkie prawa zastrzeżone – powołując się na publikację podaj źródło.
Wniosek o przygotowaną likwidację przedsiębiorstwa
2022-03-13 18:08
Jak zmieni się składka zdrowotna w 2025 roku?
2024-03-25 13:10
UOKiK wydał decyzję ws. T-Mobile Polska
2024-01-07 11:00
Środki przymusu w postępowaniu upadłościowym
2022-03-12 09:05
Urlop dla przedsiębiorców coraz bliżej
2024-03-27 09:53
Prowadzisz firmę w Internecie? Poznaj obowiązki, jakie nakłada DSA
2024-02-19 15:00
Co powinien zawierać regulamin sklepu internetowego?
2022-06-02 20:00
Klienci Zalando otrzymają specjalne vouchery
2024-07-24 10:30
