Prezes UODO bierze pod lupę "Twój e-PIT"

22-02-2019, 20:37

Prezes Urzędu Ochrony Danych Osobowych powzięła informację o możliwości zaistnienia zagrożenia w związku z udostępnianiem platformy „Twój e-PIT”. Zwróciła się do Ministra Finansów z prośbą o wyjaśnienie, czy rzeczywiście pracodawcy są w stanie zalogować się do usługi Twój e-PIT na dane pracownika i sprawdzić dane przekazane przez innych płatników.

Urząd Ochrony Danych Osobowych wskazuje, że zgodnie z art. 25 ogólnego rozporządzenia o ochronie danych administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Ponadto prezes zaznacza, iż trzeba zauważyć, że dla przetwarzania danych, w szczególności z użyciem nowych technologii, które może rodzić wysokie ryzyko naruszenia praw i wolności osób fizycznych należy dokonać oceny skutków dla ochrony danych, o której mowa w art. 35 ww. rozporządzenia.

Zgodnie z treścią motywu (91) preambuły ogólnego rozporządzenia o ochronie danych, dokonanie oceny, o jakiej mowa powyżej, powinno mieć zastosowanie w szczególności do operacji przetwarzania o dużej skali - które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególny charakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia - oraz do innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanie przysługujących im praw.

Oceny skutków dla ochrony danych należy także dokonywać w przypadkach, w których dane osobowe przetwarza się w celu podjęcia decyzji wobec konkretnej osoby fizycznej po dokonaniu systematycznej, kompleksowej oceny czynników osobowych osób fizycznych na podstawie profilowania tych danych lub po przetworzeniu szczególnych kategorii danych osobowych, danych biometrycznych lub danych osobowych dotyczących wyroków skazujących, czynów zabronionych lub odnośnych środków bezpieczeństwa.

Mając na uwadze powyższe, Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych, realizując uprawnienia nadane mu przez obowiązujące przepisy zwróciła się  do Ministerstwa Finansów o złożenie wyjaśnień:

1) czy przed wdrożeniem przedmiotowego systemu, dokonano oceny skutków dla ochrony danych, o której mowa w art. 35 ogólnego rozporządzenia o ochronie danych;

2) czy uwierzytelnienie logowania za pomocą danych w postaci: nr PESEL albo nr NIP i daty urodzenia, jednej z kwot przychodu z dowolnej informacji od pracodawcy/płatnika (np. z PIT-11 za 2018 r.), kwoty przychodu z deklaracji za 2017 r., pozwala płatnikom zapoznać się z danymi osobowymi podatnika, przekazanymi przez innych płatników, a jeżeli tak, w jakim zakresie, celu i na jakiej podstawie prawnej;

3) czy Ministerstwo Finansów analizuje możliwość wprowadzenia dodatkowych zabezpieczeń dla przetwarzania danych osobowych w ramach platformy „Twój e-PIT”, które uniemożliwiłyby nieuprawniony dostęp do danych osobowych podatników, a jeżeli tak, jakie są przewidywane rozwiązania i kiedy będą wdrożone?

Prezes UODO poprosił o ustosunkowanie się do wskazanych powyżej kwestii i o potraktowanie sprawy jako pilnej.

Źródło: UODO


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy