W minionym tygodniu DGP ujawnił zagrożenie związane ze sposobem autoryzacji w uruchomionym przez Ministerstwo Finansów portalu Twój e-PIT. Wszyscy, którzy znali numer PESEL (lub NIP) oraz kwoty przychodów za poprzednie lata, mogli mieć dostęp do PIT-a podatnika. Pobrać go mógł zatem zarówno pracodawca, jak i księgowa czy nawet eksmałżonek. Po naszych publikacjach resort podjął działania uszczelniające system logowania się do usługi. Nie wystarczy już podać kwoty przychodów, ale dodatkowo także kwotę nadpłaty lub podatku do zapłaty z deklaracji za 2017 r.
Podręcznikowe naruszenie
Specjaliści od ochrony danych osobowych nie mają wątpliwości, że wcześniejszy sposób autoryzacji naruszał przepisy unijnego rozporządzenia o ochronie danych osobowych 2016/679 (RODO). Zastosowane środki techniczne nie gwarantowały bowiem poufności danych. To jednak nie koniec. Eksperci są zgodni, że na Ministerstwie Finansów ciążył jeszcze jeden dodatkowy obowiązek – przeprowadzenie oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA).
analizuje Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Piecuch.
dodaje.
Zapytaliśmy resort finansów, czy przeprowadził DPIA i jakie były jej wyniki. Niestety uzyskana odpowiedź nie dotyczy wprost samej oceny skutków dla ochrony danych.
– System przeszedł pomyślnie wszystkie zaplanowane w harmonogramie i niezbędne testy (m.in. funkcjonalne, wydajnościowe, bezpieczeństwa). Testy bezpieczeństwa były wykonane przez specjalistyczną firmę zewnętrzną. Zadanie to było w pełni koordynowane przez Ministerstwo Finansów – taką informację przesłał nam zespół prasowy MF, dodając, że kwestie ochrony danych są jednym z priorytetów resortu. Testy bezpieczeństwa to jednak co innego niż ocena skutków dla ochrony danych. Ta ostatnia musi być przeprowadzona przed zaprojektowaniem systemu.
Ostatecznie ministerstwo będzie musiało odpowiedzieć na pytanie dotyczące wprost DPIA, gdyż zadała je dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych, w piśmie skierowanym po opisaniu luki w systemie logowania. Prosi w nim o pilne wyjaśnienia dotyczące tej sprawy. Stwierdzenie ewentualnych naruszeń może oznaczać nie tylko wydanie decyzji, ale też nałożenie kary finansowej.
mówi dr Łukasz Olejnik, badacz i doradca cyberbezpieczeństwa i prywatności, research associate Center for Technology and Global Affairs Uniwersytetu Oksfordzkiego.
Szara strefa
DPIA jest obligatoryjna wszędzie tam, gdzie pojawia się ryzyko naruszenia praw lub wolności osób. Wiąże się z przeprowadzeniem oceny niezbędności przetwarzania danych i proporcjonalności projektowanych operacji. Jedną z najistotniejszych kwestii jest zaś ustalenie możliwych zagrożeń i znalezienie środków, które im zapobiegną.
wskazuje Łukasz Olejnik.
dodaje.
Zdaniem Macieja Gawrońskiego prawidłowo przeprowadzona ocena musiałaby ujawnić zagrożenia związane z wybranym sposobem autoryzacji.
ocenia mec. Gawroński.
Co więcej, nawet najlepiej przeprowadzona ocena nie musi oznaczać końca obowiązków. Jeśli bowiem okaże się, że przetwarzanie powoduje wysokie ryzyko, któremu trudno zapobiec, to niezbędne są konsultacje z UODO.
Nie ma danych, które pokazywałyby, jak często DPIA jest w Polsce przeprowadzana. Eksperci częściej spotykają się z takimi ocenami w prywatnych firmach. Część z nich wręcz wplotła je w proces zarządzania. Administracja publiczna nie chwali się przeprowadzonymi ocenami, choć przy realizacji wielu zadań powinna je przygotowywać. Wynika to choćby z komunikatu prezesa UODO w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (Monitor Polski z 2018 r., poz. 827).
W 2017 r. Łukasz Olejnik zaproponował na Twitterze, że za darmo przygotuje DPIA, pod warunkiem publicznego udostępnienia tego dokumentu.
– Zainteresowania nie było. Tymczasem projektowanie systemów w zgodzie z najlepszymi standardami inżynierii prywatności to dziś kluczowa kwestia. W Polsce wyraźnie widać brak systemowych rozwiązań zachęcających do myślenia o prywatności. Długa droga przed nami – komentuje ekspert.
