Reklama

Luka w Twój e-PIT istnieje. Ministerstwo podjęło działania, UODO żąda wyjaśnień

Furtka, która pozwala logować się na konta innych podatników i oglądać ich PIT-37, faktycznie działa - informują nas czytelnicy po naszym wczorajszym artykule.

- Jest faktycznie tak, jak opisano w artykule - potwierdza jedna z czytelniczek. Jest kadrową i - jak sama wskazuje - dysponuje wszystkimi danymi, żeby zalogować się na Twój e-PIT większości pracowników w jej firmie.

Ministerstwo Finansów nie wstrzymało wczoraj możliwości logowania się do systemu za pomocą danych o przychodzie.

W reakcji na nasz artykuł zapewniło, że weryfikuje informacje. - Skoro pojawiają się pewne wątpliwości, to będziemy chcieli je jak najszybciej rozwiać, proponując dodatkowe mechanizmy zabezpieczeń - dodało.

Przekonuje jednak, że korzystanie z systemu Twój e-PIT nie stwarza ryzyka wycieku danych.

Reklama

Eksperci potwierdzają - dziurawy system logowania narusza przepisy o ochronie danych osobowych, a samo wchodzenie się na cudze konto i manipulowanie danymi zawartymi w cudzym zeznaniu podatkowym może być potraktowane jako przestępstwo.

Furtka nie dla każdego

Przypomnijmy, chodzi o jeden ze sposobów logowania się do usługi Twój e-PIT.

Polega on na podaniu łącznej kwoty przychodów z 2017 r. i jednego z przychodów za 2018 r., wykazanego w informacji PIT-11. Podkreślmy, nie chodzi o sumę, tylko o kwotę z jednej pozycji formularza przygotowanego przez płatnika. Jeżeli więc pracownik miał kilku płatników, to do zalogowania się wystarczy podać jedną kwotę przychodu, spisaną tylko z jednej informacji PIT-11.

Odpowiedź MF na pytanie "DGP"

Jeśli chodzi o kwestię bezpieczeństwa teleinformatycznego danych zmagazynowanych w tym systemie, to są one bezpieczne. I zostało to potwierdzone stosownym audytem przez specjalistyczny podmiot. Metoda uwierzytelniania kwotą przychodów jest stosowana w rozliczeniach z podatnikiem od wielu lat, do tej pory nie zanotowaliśmy nadużyć w tym zakresie. Przede wszystkim należy pamiętać, że posługiwanie się danymi innych osób i w ten sposób próbowanie pozyskania informacji chronionych jest nielegalne, jest to po prostu przestępstwo, za które grożą dotkliwe kary. Co ważne, nasz system rejestruje wszystkie logowania i dlatego w sytuacjach, które wskazywałyby na takie nieuprawnione działania, jesteśmy gotowi (na wezwanie właściwych organów) do przekazania informacji np. o IP komputera czy sieci, z której korzystał użytkownik. Trzeba pamiętać, że usługa Twój e-PIT jest pionierskim rozwiązaniem, nie tylko w skali kraju, lecz także w Europie, i jesteśmy przygotowani na jej udoskonalanie. Istotne są wszystkie sygnały, które mogą w tym pomóc. Weryfikujemy także dzisiejsze informacje, a skoro pojawiają się pewne wątpliwości, to będziemy chcieli je jak najszybciej rozwiać, proponując dodatkowe mechanizmy zabezpieczeń.

Znając te dane, ciekawski pracodawca może sprawdzić, czy pracownik miał również inne źródła dochodu, a po rozstaniu z nim - ile zarabia w nowym miejscu pracy. W ten sposób można się też dowiedzieć, komu podwładny przekazuje 1 proc. swojego podatku, a nawet, ile zarobił jego małżonek.

Co gorsza, wścibski szef lub księgowa mogą wprowadzić własne poprawki, np. zmienić numer obdarowanej organizacji pożytku publicznego albo usunąć uwzględnioną ulgę (prorodzinną). Jeszcze gorzej, gdy wykazaną nadpłatę przeniosą do rubryki "do zapłaty". Słowem, mogą manipulować danymi zawartymi w zeznaniu przygotowanym przez KAS.

Wczoraj przez cały dzień czytelnicy potwierdzali na naszych internetowych forach, że luka faktycznie istnieje. Jeden z nich napisał: "Pracownica przeszła na emeryturę i zmniejszyła etat u dotychczasowego pracodawcy do 1/4 etatu. Pracodawca poprzez swoją księgową usilnie podejmował kilka prób ustalenia, ile pracownica otrzymuje emerytury. Teraz księgowa bez problemu to ustali, co może zakończyć się nawet rozwiązaniem umowy z powodu zwykłej zazdrości".

To przestępstwo...

Zdaniem ekspertów już samo zalogowanie się na nie swoje konto w systemie Twój e-PIT może wypełniać znamiona przestępstwa. W grę wchodzą tu przede wszystkim przestępstwa przeciwko ochronie informacji, a w szczególności art. 267 par. 1 kodeku karnego.

Jak wyjaśnia dr Katarzyna Witkowska-Moździerz, adwokat w CRIDO Legal, przepis ten dotyczy sytuacji, gdy ktoś bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne zabezpieczenie.

- Nie ma znaczenia, czy wgląd do informacji był łatwo dostępny. Popełnienia przestępstwa nie wyklucza zatem fakt, że pracodawca, kadrowa czy księgowa w firmie, logując się do systemu, skorzystała z danych o przychodach, których nie pozyskała w nielegalny sposób, lecz są jej dostępne z racji pełnionej funkcji - mówi ekspertka.

Jej zdaniem, można to porównać z sytuacją, gdy ktoś np. zostawia na stole list albo hasło i login do poczty elektronicznej. - Jeśli druga osoba, bez wyraźnego uprawnienia otworzy cudzy list lub skorzysta z cudzych danych do logowania, to zachowanie takie może wypełniać znamiona przestępstwa - podkreśla ekspertka.

Zwraca uwagę, że informacje zawarte w zeznaniach PIT są objęte tajemnicą skarbową. - Są to dane wrażliwe i zapoznanie się z taką informacją bez wyraźnego uprawnienia i zgody podatnika może być przestępstwem - mówi dr Katarzyna Witkowska-Moździerz.

Podkreśla, że z odpowiedzialności karnej nie zwalnia to, że istnieje łatwy dostęp techniczny do takiej informacji, np. z powodu nieszczelności systemu informatycznego.

Sprawca przestępstwa z art. 267 par. 1 K.k. podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

...i to podwójne

Druga sprawa to kwestia ingerencji w cudze dane, w tym wypadku w treść zeznania podatkowego (np. zmiana OPP mającej otrzymać 1 proc. podatku czy też ingerencja w dane skutkująca zmianą wysokości zobowiązania podatkowego).

- W tym wypadku wchodzą w grę art. 268 par. 1 K.k. i 268a par. 1 i 2 K.k., które zasadniczo penalizują ingerencję w istotne informacje, a takimi bez wątpienia są deklaracje podatkowe - podkreśla mec. Witkowska-Moździerz.

Co istotne, wszystkie te przestępstwa są ścigane na wniosek pokrzywdzonego.

Adwokat Andrzej Ossowski dodaje, że dokonując ingerencji w cudzym zeznaniu z zamiarem wyrządzenia drugiej osobie szkody majątkowej, narażamy się także na zarzut naruszenia art. 190a par. 2 K.k. Stanowi on, że karze pozbawienia wolności do lat trzech podlega ten, kto, podszywając się pod inną osobę, wykorzystuje jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej.

Ochrona danych osobowych

- Natomiast w zakresie, w jakim np. pracodawca uzyskuje dodatkową wiedzę ponad tę, którą już dysponuje z racji swojej funkcji (np. dowiaduje się o dodatkowych źródłach dochodu, o skorzystaniu z ulg podatkowych), możemy mówić o nieuprawnionym naruszeniu tajemnicy skarbowej oraz nieuprawnionym przetwarzaniu danych osobowych - wyjaśnia Andrzej Ossowski. Pracodawca zaczyna bowiem dysponować dodatkowymi danymi osobowymi, co do których posiadania nie został przez pracownika upoważniony.

- Może zatem tutaj wchodzić w rachubę naruszenie art. 107 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych - uważa adwokat. Zgodnie z tym przepisem, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (więcej o naruszeniu ochrony danych osobowych czytaj obok).

Magdalena Majkowska, 21.2.2019

Komunikat resortu finansów z czwartku, godz. 14.02

Od dzisiaj usługa Twój e-PIT została rozszerzona o dodatkowy element autoryzacyjny. W najbliższych dniach zostanie również rozszerzona o nowe funkcjonalności: historię logowania oraz możliwość wskazania profilu zaufanego jako wyłącznego sposobu dostępu do usługi. Aby zobaczyć swój PIT za rok 2018, po zalogowaniu się do usługi (danymi uwierzytelniającymi) podatnik jest proszony o podanie dodatkowej informacji z PIT za 2017 r. - kwoty nadpłaty lub kwoty podatku do zapłaty. Po wprowadzeniu tej informacji podatnik widzi już swoje rozliczenie. W najbliższych dniach usługa Twój e-PIT zostanie rozszerzona o historię logowania, która pozwoli użytkownikowi zobaczyć wszystkie próby wejścia do systemu. Informacje będą zawierać m.in. dokładne daty i czas oraz sposób i miejsce (region, miasto), z którego nastąpiło logowanie. Ponadto podatnicy będą mieć również możliwość wskazania profilu zaufanego jako wyłącznego sposobu dostępu do usługi. Usługa Twój e-PIT przed wdrożeniem przeszła pozytywnie audyt bezpieczeństwa teleinformatycznego danych zgromadzonych w tym systemie. Są one bezpieczne, co zostało potwierdzone przez specjalistyczny podmiot zewnętrzny. Usługa Twój e-PIT dostępna jest wyłącznie na www.podatki.gov.pl

Pobierz darmowy program do rozliczeń PIT 2018

Reklama

Reklama

Reklama

Reklama

Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »