"Skoro pojawiają się pewne wątpliwości, to będziemy chcieli je jak najszybciej rozwiać, proponując dodatkowe mechanizmy zabezpieczeń" – napisało MF w piśmie do redakcji DGP.

Interwencję podjęła też natychmiast dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych. Zwróciła się do ministra finansów o szczegółowe wyjaśnienia dotyczące platformy Twój e-PIT. Poprosiła o potraktowanie sprawy jako pilnej.

Eksperci nie mają wątpliwości, że niedostateczne zabezpieczenie elektronicznych PIT-ów przed dostępem osób trzecich narusza przepisy o RODO, a odpowiedzialność za to obciąża MF. Jeżeli prezes UODO potwierdzi złamanie prawa, może sięgnąć po sankcje finansowe (do 100 tys. zł). Z kolei osobom, które będą się logować na konta innych podatników, a nawet manipulować danymi w ich deklaracjach, grozi odpowiedzialność karna.

Luka w Twój e-PIT istnieje. Ministerstwo podjęło działania

Furtka, która pozwala logować się na konta innych podatników i oglądać ich PIT-37, faktycznie działa – informują nas czytelnicy po naszym wczorajszym artykule.

Wczoraj opisaliśmy dziurę w uruchomionym dopiero co systemie Twój e-PIT. Umożliwia ona dostęp do tajemnic skarbowych.

Jest faktycznie tak, jak opisano w artykule – potwierdza jedna z czytelniczek. Jest kadrową i – jak sama wskazuje – dysponuje wszystkimi danymi, żeby zalogować się na Twój e-PIT większości pracowników w jej firmie.

Ministerstwo Finansów nie wstrzymało wczoraj możliwości logowania się do systemu za pomocą danych o przychodzie.

W reakcji na nasz artykuł zapewniło, że weryfikuje informacje. – Skoro pojawiają się pewne wątpliwości, to będziemy chcieli je jak najszybciej rozwiać, proponując dodatkowe mechanizmy zabezpieczeń – dodało.

Przekonuje jednak, że korzystanie z systemu Twój e-PIT nie stwarza ryzyka wycieku danych (pełna treść pisma poniżej).

Eksperci potwierdzają – dziurawy system logowania narusza przepisy o ochronie danych osobowych, a samo wchodzenie się na cudze konto i manipulowanie danymi zawartymi w cudzym zeznaniu podatkowym może być potraktowane jako przestępstwo.
Furtka nie dla każdego

Przypomnijmy, chodzi o jeden ze sposobów logowania się do usługi Twój e-PIT.

Polega on na podaniu łącznej kwoty przychodów z 2017 r. i jednego z przychodów za 2018 r., wykazanego w informacji PIT-11. Podkreślmy, nie chodzi o sumę, tylko o kwotę z jednej pozycji formularza przygotowanego przez płatnika. Jeżeli więc pracownik miał kilku płatników, to do zalogowania się wystarczy podać jedną kwotę przychodu, spisaną tylko z jednej informacji PIT-11.

Odpowiedź MF na pytanie DGP

Jeśli chodzi o kwestię bezpieczeństwa teleinformatycznego danych zmagazynowanych w tym systemie, to są one bezpieczne. I zostało to potwierdzone stosownym audytem przez specjalistyczny podmiot. Metoda uwierzytelniania kwotą przychodów jest stosowana w rozliczeniach z podatnikiem od wielu lat, do tej pory nie zanotowaliśmy nadużyć w tym zakresie.

Przede wszystkim należy pamiętać, że posługiwanie się danymi innych osób i w ten sposób próbowanie pozyskania informacji chronionych jest nielegalne, jest to po prostu przestępstwo, za które grożą dotkliwe kary.

Co ważne, nasz system rejestruje wszystkie logowania i dlatego w sytuacjach, które wskazywałyby na takie nieuprawnione działania, jesteśmy gotowi (na wezwanie właściwych organów) do przekazania informacji np. o IP komputera czy sieci, z której korzystał użytkownik.

Trzeba pamiętać, że usługa Twój e-PIT jest pionierskim rozwiązaniem, nie tylko w skali kraju, lecz także w Europie, i jesteśmy przygotowani na jej udoskonalanie. Istotne są wszystkie sygnały, które mogą w tym pomóc.

Weryfikujemy także dzisiejsze informacje, a skoro pojawiają się pewne wątpliwości, to będziemy chcieli je jak najszybciej rozwiać, proponując dodatkowe mechanizmy zabezpieczeń.

Znając te dane, ciekawski pracodawca może sprawdzić, czy pracownik miał również inne źródła dochodu, a po rozstaniu z nim – ile zarabia w nowym miejscu pracy. W ten sposób można się też dowiedzieć, komu podwładny przekazuje 1 proc. swojego podatku, a nawet, ile zarobił jego małżonek.

Co gorsza, wścibski szef lub księgowa mogą wprowadzić własne poprawki, np. zmienić numer obdarowanej organizacji pożytku publicznego albo usunąć uwzględnioną ulgę (prorodzinną). Jeszcze gorzej, gdy wykazaną nadpłatę przeniosą do rubryki "do zapłaty". Słowem, mogą manipulować danymi zawartymi w zeznaniu przygotowanym przez KAS.

Wczoraj przez cały dzień czytelnicy potwierdzali na naszych internetowych forach, że luka faktycznie istnieje. Jeden z nich napisał: "Pracownica przeszła na emeryturę i zmniejszyła etat u dotychczasowego pracodawcy do 1/4 etatu. Pracodawca poprzez swoją księgową usilnie podejmował kilka prób ustalenia, ile pracownica otrzymuje emerytury. Teraz księgowa bez problemu to ustali, co może zakończyć się nawet rozwiązaniem umowy z powodu zwykłej zazdrości".

To przestępstwo…

Zdaniem ekspertów już samo zalogowanie się na nie swoje konto w systemie Twój e-PIT może wypełniać znamiona przestępstwa. W grę wchodzą tu przede wszystkim przestępstwa przeciwko ochronie informacji, a w szczególności art. 267 par. 1 kodeku karnego.

Jak wyjaśnia dr Katarzyna Witkowska-Moździerz, adwokat w CRIDO Legal, przepis ten dotyczy sytuacji, gdy ktoś bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne zabezpieczenie.

Nie ma znaczenia, czy wgląd do informacji był łatwo dostępny. Popełnienia przestępstwa nie wyklucza zatem fakt, że pracodawca, kadrowa czy księgowa w firmie, logując się do systemu, skorzystała z danych o przychodach, których nie pozyskała w nielegalny sposób, lecz są jej dostępne z racji pełnionej funkcji – mówi ekspertka.

Jej zdaniem można to porównać z sytuacją, gdy ktoś np. zostawia na stole list albo hasło i login do poczty elektronicznej. – Jeśli druga osoba, bez wyraźnego uprawnienia otworzy cudzy list lub skorzysta z cudzych danych do logowania, to zachowanie takie może wypełniać znamiona przestępstwa – podkreśla ekspertka.

Zwraca uwagę, że informacje zawarte w zeznaniach PIT są objęte tajemnicą skarbową. – Są to dane wrażliwe i zapoznanie się z taką informacją bez wyraźnego uprawnienia i zgody podatnika może być przestępstwem – mówi dr Katarzyna Witkowska-Moździerz.

Podkreśla, że z odpowiedzialności karnej nie zwalnia to, że istnieje łatwy dostęp techniczny do takiej informacji, np. z powodu nieszczelności systemu informatycznego.

Sprawca przestępstwa z art. 267 par. 1 k.k. podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

…i to podwójne

Druga sprawa to kwestia ingerencji w cudze dane, w tym wypadku w treść zeznania podatkowego (np. zmiana OPP mającej otrzymać 1 proc. podatku czy też ingerencja w dane skutkująca zmianą wysokości zobowiązania podatkowego).

W tym wypadku wchodzą w grę art. 268 par. 1 k.k. i 268a par. 1 i 2 k.k., które zasadniczo penalizują ingerencję w istotne informacje, a takimi bez wątpienia są deklaracje podatkowe – podkreśla mec. Witkowska-Moździerz.

Co istotne, wszystkie te przestępstwa są ścigane na wniosek pokrzywdzonego.

Adwokat Andrzej Ossowski dodaje, że dokonując ingerencji w cudzym zeznaniu z zamiarem wyrządzenia drugiej osobie szkody majątkowej, narażamy się także na zarzut naruszenia art. 190a par. 2 k.k. Stanowi on, że karze pozbawienia wolności do lat trzech podlega ten, kto, podszywając się pod inną osobę, wykorzystuje jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej.

Ochrona danych osobowych

Natomiast w zakresie, w jakim np. pracodawca uzyskuje dodatkową wiedzę ponad tę, którą już dysponuje z racji swojej funkcji (np. dowiaduje się o dodatkowych źródłach dochodu, o skorzystaniu z ulg podatkowych), możemy mówić o nieuprawnionym naruszeniu tajemnicy skarbowej oraz nieuprawnionym przetwarzaniu danych osobowych – wyjaśnia Andrzej Ossowski. Pracodawca zaczyna bowiem dysponować dodatkowymi danymi osobowymi, co do których posiadania nie został przez pracownika upoważniony.

Może zatem tutaj wchodzić w rachubę naruszenie art. 107 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych – uważa adwokat. Zgodnie z tym przepisem, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (więcej o naruszeniu ochrony danych osobowych czytaj obok).