Ministerstwo Finansów po raz kolejny musi się tłumaczyć przed UODO

Kilka dni temu pojawiła się informacja, że wystarczy znać PESEL (albo NIP i datę urodzenia), łączny przychód za 2017 rok oraz jedną z kwot przychodu za 2018 rok, np. z PIT-11, by uzyskać dostęp do szczegółowych danych zawartych w przygotowanym przez skarbówkę rozliczeniu. W związku z tym istnieje poważne zagrożenie naruszenia bezpieczeństwa przetwarzanych danych osobowych, ponieważ np. pracodawca lub każda inna osoba posiadająca te dane może uzyskać nieuprawiony dostęp do informacji o innych osobach. Informacje które napływały w tej sprawie do Urzędu Ochrony Danych Osobowych skłoniły Urząd do skierowania pisma do resortu finansów, w którym prosi się o pilne wyjaśnienie doniesień. W prośbie skierowanej do Ministra Finansów Prezes UODO pyta m.in. o to czy faktycznie jest możliwość nieuprawnionego dostępu do danych, czy rozważa się wprowadzenie dodatkowych zabezpieczeń i czy przede wszystkim dokonano oceny skutków dla ochrony danych.

Nie jest to jednak pierwsza tego typu sytuacja między UODO a Ministerstwem Finansów. Kilka dni temu opublikowano informację, że UODO zwrócił się z prośbą do resortu o zmianę przepisów dotyczących pobierania danych przez przedsiębiorców zajmujących się sprzedażą węgla. Przepisy obowiązujące od tego roku wprowadzają obowiązek pobierania od klienta takich danych jak: imię i nazwisko, adres zamieszkania, numer dowodu osobistego lub nazwę i numer innego dokumentu potwierdzającego tożsamość, numer PESEL oraz ilość i przeznaczenie węgla. W ocenie UODO zgodnie z zasadą minimalizacji danych wynikającą z RODO przy sprzedaży wystarczyłoby podać: imię i nazwisko, miejsce odbioru węgla oraz wszystko uwierzytelnić podpisem.

Zgodnie z art. 52 ust. 3 ustawy o ochronie danych osobowych Ministerstwo Finansów ma 30 dni, aby ustosunkować się na piśmie do wystąpienia UODO.