Eksperci nie mają wątpliwości – Ministerstwo Finansów powinno przeprowadzić ocenę ryzyka dla ochrony danych, a ta powinna wykazać zagrożenia związane z dostępem do portalu Twój e-PIT
W minionym tygodniu DGP ujawnił zagrożenie związane ze sposobem autoryzacji w uruchomionym przez Ministerstwo Finansów portalu Twój e-PIT. Wszyscy, którzy znali numer PESEL (lub NIP) oraz kwoty przychodów za poprzednie lata, mogli mieć dostęp do PIT-a podatnika. Pobrać go mógł zatem zarówno pracodawca, jak i księgowa czy nawet eksmałżonek. Po naszych publikacjach resort podjął działania uszczelniające system logowania się do usługi. Nie wystarczy już podać kwoty przychodów, ale dodatkowo także kwotę nadpłaty lub podatku do zapłaty z deklaracji za 2017 r.
Podręcznikowe naruszenie
Specjaliści od ochrony danych osobowych nie mają wątpliwości, że wcześniejszy sposób autoryzacji naruszał przepisy unijnego rozporządzenia o ochronie danych osobowych 2016/679 (RODO). Zastosowane środki techniczne nie gwarantowały bowiem poufności danych. To jednak nie koniec. Eksperci są zgodni, że na Ministerstwie Finansów ciążył jeszcze jeden dodatkowy obowiązek – przeprowadzenie oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA).
Załóż konto lub zaloguj się
i zyskaj dostęp na 14 dni za darmo.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.