Takie są ustalenia inspektorów Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO), do których dotarła „Rz”, dokonane podczas kontroli przeprowadzonej w wybranych urzędach kontroli skarbowej.
[srodtytul]Bez tajemnic[/srodtytul]
Od czerwca do sierpnia 2010 r. inspektorzy sprawdzili dziesięć z 16 urzędów w kraju pod kątem zabezpieczenia danych osobowych w programie informatycznym „Karta kontroli”. Gromadzone są w nim informacje o kontrolowanych podatnikach (osobach fizycznych i firmach), czasie kontroli i o ustaleniach (tj. kwotach stwierdzonych nieprawidłowości).
Wyniki tej inspekcji nie są korzystne dla administracji skarbowej i Ministerstwa Finansów, które program opracowało i udostępniło urzędom.
– System nie spełnia wymogów, o których mowa w § 7 ust. 1 pkt 1 i pkt 2 oraz § 7 ust. 3 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=E150C8D9BB9443A4B663648AF5570893?n=1&id=173419&wid=188287]rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych[/link] – powiedział „Rz” Wojciech R. Wiewiórowski, generalny inspektor ochrony danych osobowych.
Zastrzeżenia dotyczyły odnotowywania i raportowania w systemie informatycznym takich informacji, jak data pierwszego wprowadzenia danych czy identyfikator użytkownika, który dane wprowadził. Krótko mówiąc, w systemie nie było śladu, kto, kiedy i dlaczego wpisywał do niego dane podatników.
[srodtytul]Wyciek niekontrolowany[/srodtytul]
Ministerstwo Finansów bagatelizuje sprawę.
– Dotychczas nie odnotowano przypadków wycieku danych i małe jest ryzyko, że to nastąpi w przyszłości. Włamania lub wycieki z systemów informatycznych to żaden wyjątek na świecie (przykładem są źródła WikiLeaks lub ataki hakerów na Pentagon lub Estonię) i nie istnieje system całkowicie chroniący przed atakami – poinformowało ministerstwo w odpowiedzi na nasze wątpliwości. Dalej jednak przyznało, że „dotychczasowe statystyki wskazują, że najbardziej zawodnym ogniwem jest człowiek (przyczyna blisko 70 proc. wycieków danych)”.
W podobnym tonie sprawę skomentował jeden z wysokich rangą przedstawicieli urzędu kontroli skarbowej.
– To kwestia czysto techniczna – usłyszeliśmy.
Jak się okazuje, dopiero 30 listopada 2010 r. MF przekazało do UKS nową wersję programu. Wcześniej karta kontroli była uzupełniana ręcznie w wersji papierowej.
– To, że tak ogromna ilość danych jest przechowywana przez aparat skarbowy i że ma do nich dostęp wielotysięczna rzesza urzędników, jest przerażające i przypomina rzeczywistość opisywaną przez Orwella w książce „Rok 1984” – podkreśla Sławomir Sadocha, doradca podatkowy specjalizujący się w postępowaniach podatkowych. Według niego zdumiewa to, że dane kontroli nawet po jej zakończeniu nie są przenoszone do zbiorów archiwalnych, a zatem nieograniczona ilość osób w administracji podatkowej i skarbowej nadal ma do nich nieskrępowany żadnymi obostrzeniami dostęp. – Taki niekontrolowany dostęp może rodzić rozmaite patologie: od szantażu podatnika aż do rozmaitych form pomocy w eliminacji konkurencji – mówi Sadocha.
[srodtytul]Odpowiedzialni są dyrektorzy i naczelnicy[/srodtytul]
Z kolei Grzegorz Sibiga, adiunkt w Instytucie Nauk Prawnych PAN, przypomina, że już w 2003 r. GIODO w trakcie swoich kontroli stwierdzał wady oprogramowania używanego przez aparat skarbowy. Wówczas miał zastrzeżenia do używanego przez urzędy skarbowe systemu POLTAX, a poprawność decyzji GIODO nakazujących naczelnikom urzędów dokonanie zmian w oprogramowaniu potwierdzały sądy administracyjne (np. [b]WSA w Warszawie w wyroku z 17 listopada 2004 r., sygn. II SA/Wa 887/04[/b]).
– Mamy zatem do czynienia z powtarzającymi się systemowymi błędami na poziomie Ministerstwa Finansów, których konsekwencją jest używanie w administracji skarbowej na terenie całego kraju wadliwego oprogramowania – podkreśla Grzegorz Sibiga. Przypomina, że odpowiedzialność za wady oprogramowania spoczywa na organach podatkowych (naczelnikach US, dyrektor UKS), ponieważ to one są wskazywane przez GIODO i sądy administracyjne jako administratorzy danych.
– Według ustawy o ochronie danych osobowych to administratorzy danych są adresatami obowiązków ochrony danych osobowych, w tym zabezpieczenia danych, oraz ponoszą odpowiedzialność w tym zakresie i konsekwencje nieprawidłowego postępowania MF, czyli opracowania i wdrażania wadliwego oprogramowania – wyjaśnia Grzegorz Sibiga.
[i]masz pytanie, wyślij e-mail do autorki: [mail=g.lesniak@rp.pl]g.lesniak@rp.pl[/mail][/i]
