Ministerstwo Finansów ma problemy z ochroną danych osobowych

Jakiś czas temu doszło do wycieku danych osobowych w administracji skarbowej. Na oficjalnej stronie Ministerstwa Finansów www.finanse.mf.gov.pl, gdzie można było sprawdzić nadpłatę podatku dochodowego pojawiły się błędy, w wyniku których po kilkakrotnym  w odświeżeniu strony można było uzyskać  dostęp do danych osobowych obywateli. Podobny incydent miał miejsce  na zewnętrznej stronie zbierającej zapisy  na Mistrzostwa Polski Skarbowców kilka dni wcześniej. Ofiarami wycieku padły prawie trzy tysiące urzędników. Błędy zostały już naprawione.

Urzędnicy biegali, dane wyciekały…

Urzędnicy, którzy postanowili zadbać o swoją kondycję fizyczną, mieli możliwość zapisania się na Mistrzostwa Polski Skarbowców, które organizowane są corocznie przez Fundację Skarbowości. Taką decyzję podjęły 2992 osoby. Tymczasem na stornie internetowej B4sportonline.pl pojawił się 135-stronnicowy plik PDF zawierający ich dane osobowe.

Na liście podany został Urząd Skarbowy w którym pracował wskazany urzędnik, jego imię i nazwisko, adres mailowy służbowy lub prywatny, numer telefonu jak i zawody w których zainteresowany wziął udział w ramach wydarzenia. Jak widać, nieupoważnieni mogli sprawdzić nie tylko czy urzędnik, który ostatnio dokonywał kontroli wziął udział w Mistrzostwach, ale i pozyskać ich prywatne dane kontaktowe jak adres mailowy czy numer telefonu…

Sprawa zamknięta?

Okazuje się, że trudno jest tu wskazać osobę winną. Właściciele serwisu oraz przedstawiciele fundacji przerzucają się odpowiedzialnością. Jak podaje serwis Niebezpiecznik.pl, przedstawiciele platformy B4SPORT bronią się, że plik PDF z danymi osobowymi był udostępniony na prośbę organizatora. Przedstawiciel fundacji, Sławomir Dworski po dłuższym czasie milczenia odpowiedział, że do udostępnienia przez nich danych doszło… nieświadomie.

Dobrze, że nie miało to miejsca po 25 maja…

Dziwi jednak fakt, że mimo wiedzy o naruszeniu fundacja, jak i Ministerstwo Finansów nie reagowali. Gdyby do naruszenia doszło w nowym stanie prawnym, obowiązującym od 25 maja, to zgodnie z regulacjami GDPR (ang. General Data Protection Act; Rozporządzenie 2016/679), administrator miałby jedynie 72 godziny na zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych Osobowych. Czas byłby liczony oczywiście od momentu dowiedzenia się przez administratora o zajściu, niemniej nieodbieranie telefonów, niereagowanie na kolejne wiadomości mailowe i facebookowe nie może być tu usprawiedliwieniem.

Strony ministerialne też nie są bezpieczne

Na oficjalnym serwisie Ministerstwa Finansów nie jest lepiej. W zakładce „zwrot nadpłaty PIT” przez pewien czas można było uzyskać dane podatników takie jak numery PESEL, NIP czy wysokość przychodu za 2017 rok oraz właściwy miejscowo urząd skarbowy. Na szczęście na razie sytuacja jest już opanowana.

… i nie są szyfrowane

Jak się okazuje, strona z tego rodzaju danymi nie jest szyfrowana. Co to oznacza? Dane te nie są zabezpieczone, przez co uzyskać do nich dostęp mogą przypadkowe osoby, takie jak nasi domownicy, ale i ISP(internet service provider), lub osoba, która wepnie się pomiędzy ISP, a komputer użytkownika. Nie jest to pierwsza wpadka tego serwera, podobne problemy z szyfrowaniem miały miejsce rok temu. Strony oparte na protokole HTTPS są oznaczane symbolem zielonej kłódki wyświetlanym w pasku adresowym, która oznacza szyfrowanie. Przypominamy, ze szyfrowanie nie tylko chroni przed utratą danych, ale i przed atakami cyberprzestępców!

Zabezpieczamy dane

W GDPR wskazano wprost na szyfrowanie i pseudonimizację jako na środki ochrony przed utratą danych. Niemniej to do administratora należy ocena, czy stosowana procedura zapewnia odpowiednie do ryzyka standardy ochrony. Przepisy przewidują obowiązki wdrożenia środków technicznych i organizacyjnych przetwarzania danych z uwzględnieniem charakteru, zakresu, kontekstu, celów przetwarzania danych i ryzyka wystąpienia naruszeń. Ustawa UODO (ustawa o ochronie danych osobowych) jest jednak wciąż procedowana, do tego mówi się o bardziej liberalnym podejściu do przetwarzania danych przez administracje publiczną. Warto zastanowić się ile w świetle nowych kar administracyjnych kosztowałoby kolejne tego rodzaju naruszenie za rok, już pod rządami GDPR.

Autor: Anna Tomala

Źródła:

  1. https://www.money.pl/gospodarka/wiadomosci/artykul/wyciekly-dane-o-dochodach-podatnikow,119,0,2398839.html
  2. http://www.pit.pl/2002-problem-danymi-osobowymi-w-serwisie-o-zwrocie-nadplaty-pit-na-wwwfinansemfgovpl-17673/
  3. https://niebezpiecznik.pl/post/dane-osobowe-3000-pracownikow-skarbowki-mozna-bylo-pobrac-z-tego-serwera/
  4. https://niebezpiecznik.pl/post/nie-korzystaj-z-rzadowego-serwisu-do-sprawdzania-statusu-zwrotu-nadplaty-pit/
About Redakcja 304 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.