W minionym tygodniu DGP ujawnił zagrożenie związane ze sposobem autoryzacji w uruchomionym przez Ministerstwo Finansów portalu Twój e-PIT. Wszyscy, którzy znali numer PESEL (lub NIP) oraz kwoty przychodów za poprzednie lata, mogli mieć dostęp do PIT-a podatnika. Pobrać go mógł zatem zarówno pracodawca, jak i księgowa czy nawet eksmałżonek. Po naszych publikacjach resort podjął działania uszczelniające system logowania się do usługi. Nie wystarczy już podać kwoty przychodów, ale dodatkowo także kwotę nadpłaty lub podatku do zapłaty z deklaracji za 2017 r.

Podręcznikowe naruszenie

Specjaliści od ochrony danych osobowych nie mają wątpliwości, że wcześniejszy sposób autoryzacji naruszał przepisy unijnego rozporządzenia o ochronie danych osobowych 2016/679 (RODO). Zastosowane środki techniczne nie gwarantowały bowiem poufności danych. To jednak nie koniec. Eksperci są zgodni, że na Ministerstwie Finansów ciążył jeszcze jeden dodatkowy obowiązek – przeprowadzenie oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA).

– Nie mam żadnych wątpliwości – usługa taka, jaką wdrożyło MF, wymagała wcześniejszego przeprowadzenia takiej oceny. Wynika to ze skali tego przedsięwzięcia, które dotyczy wszystkich polskich podatników. Zgodnie z motywem 75 RODO przy tak masowej skali ocena jest wymagana. Podobne wnioski płyną z wytycznych Grupy Roboczej Art. 29 – analizuje Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Piecuch.

– Co więcej, chociaż nie chodzi o dane dotyczące zdrowia, to jednak są to informacje wrażliwe w potocznym rozumieniu tego słowa. Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji nadała informacjom finansowym kategorię ryzyka 3, czyli prawie najwyższą w skali 1–4. Chodzi bowiem o nasze pieniądze. To dodatkowy powód, dla którego ocena ryzyka była koniecznością – dodaje.

Zapytaliśmy resort finansów, czy przeprowadził DPIA i jakie były jej wyniki. Niestety uzyskana odpowiedź nie dotyczy wprost samej oceny skutków dla ochrony danych.

– System przeszedł pomyślnie wszystkie zaplanowane w harmonogramie i niezbędne testy (m.in. funkcjonalne, wydajnościowe, bezpieczeństwa). Testy bezpieczeństwa były wykonane przez specjalistyczną firmę zewnętrzną. Zadanie to było w pełni koordynowane przez Ministerstwo Finansów – taką informację przesłał nam zespół prasowy MF, dodając, że kwestie ochrony danych są jednym z priorytetów resortu. Testy bezpieczeństwa to jednak co innego niż ocena skutków dla ochrony danych. Ta ostatnia musi być przeprowadzona przed zaprojektowaniem systemu.

Ostatecznie ministerstwo będzie musiało odpowiedzieć na pytanie dotyczące wprost DPIA, gdyż zadała je dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych, w piśmie skierowanym po opisaniu luki w systemie logowania. Prosi w nim o pilne wyjaśnienia dotyczące tej sprawy. Stwierdzenie ewentualnych naruszeń może oznaczać nie tylko wydanie decyzji, ale też nałożenie kary finansowej.

– Brak DPIA, gdy jest ona wymagana, to podręcznikowe wręcz naruszenie. System obejmuje ogromną liczbę użytkowników, a jego projektantowi i twórcy użytkownicy mają prawo ufać. Obawiam się, że to kolejny już sygnał o problemach z poprawnym rozumieniem i wdrożeniem RODO w Polsce – mówi dr Łukasz Olejnik, badacz i doradca cyberbezpieczeństwa i prywatności, research associate Center for Technology and Global Affairs Uniwersytetu Oksfordzkiego.

Szara strefa

DPIA jest obligatoryjna wszędzie tam, gdzie pojawia się ryzyko naruszenia praw lub wolności osób. Wiąże się z przeprowadzeniem oceny niezbędności przetwarzania danych i proporcjonalności projektowanych operacji. Jedną z najistotniejszych kwestii jest zaś ustalenie możliwych zagrożeń i znalezienie środków, które im zapobiegną.

– W przypadku systemu Twój e-PIT, tak jak w każdym procesie DPIA, trzeba zidentyfikować punkty ryzyka i je oszacować. Mówiąc prościej, chodzi o zbadanie, czy może stać się coś niepożądanego oraz czy i kiedy mogą zaistnieć warunki, które do tego doprowadzą, a ryzyko ograniczyć. Punktem wyjścia może być dostęp do danych przy logowaniu bez Profilu Zaufanego przez osoby niepowołane – wskazuje Łukasz Olejnik.

– DPIA nie musi ograniczać się do ogólników, często zresztą precyzja jest pożądana. Szczęśliwie, wydaje się, że MF ma wszelkie dane pozwalające takie ryzyko wręcz dokładnie wyliczyć liczbowo. To istotne przy ustaleniu grup objętych ryzykiem w odniesieniu do całej populacji podatników. Patrząc zaś bardziej systemowo – uproszczona wersja e-PIT powinna mieć możliwość wykrywania nadużyć – dodaje.

Zdaniem Macieja Gawrońskiego prawidłowo przeprowadzona ocena musiałaby ujawnić zagrożenia związane z wybranym sposobem autoryzacji.

– Ocenę powinien przeprowadzić zespół specjalistów z obowiązkowym udziałem eksperta od cyberbezpieczeństwa. Wykrycie luki umożliwiającej pracodawcy dostęp do PIT-a swych pracowników nie powinno takiemu zespołowi przysparzać żadnych problemów. Zagrożenie wydaje się dość oczywiste, skoro uwierzytelnienie opiera się na zasadzie „coś wiesz” – ocenia mec. Gawroński.

Co więcej, nawet najlepiej przeprowadzona ocena nie musi oznaczać końca obowiązków. Jeśli bowiem okaże się, że przetwarzanie powoduje wysokie ryzyko, któremu trudno zapobiec, to niezbędne są konsultacje z UODO.

Nie ma danych, które pokazywałyby, jak często DPIA jest w Polsce przeprowadzana. Eksperci częściej spotykają się z takimi ocenami w prywatnych firmach. Część z nich wręcz wplotła je w proces zarządzania. Administracja publiczna nie chwali się przeprowadzonymi ocenami, choć przy realizacji wielu zadań powinna je przygotowywać. Wynika to choćby z komunikatu prezesa UODO w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (Monitor Polski z 2018 r., poz. 827).

W 2017 r. Łukasz Olejnik zaproponował na Twitterze, że za darmo przygotuje DPIA, pod warunkiem publicznego udostępnienia tego dokumentu.

– Zainteresowania nie było. Tymczasem projektowanie systemów w zgodzie z najlepszymi standardami inżynierii prywatności to dziś kluczowa kwestia. W Polsce wyraźnie widać brak systemowych rozwiązań zachęcających do myślenia o prywatności. Długa droga przed nami – komentuje ekspert.