Interpelacja nr 20309 w sprawie niewystarczającej ochrony danych osobowych podatników w systemie ˝Karta kontroli˝
Sposób i standardy gromadzenia i przetwarzania danych osobowych normuje rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. § 7 ust. 1 tego rozporządzenia stanowi m.in., że dla każdej osoby, której dane są przetwarzane w systemie informatycznym, z wyjątkiem edytorów tekstu, system zapewnia odnotowanie daty pierwszego wprowadzenia danych do systemu, a także identyfikatora użytkownika wprowadzającego dane osobowe do systemu, a odnotowanie - zgodnie z ust. 2 tego paragrafu - następuje w sposób automatyczny po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
Niestety, należy z przykrością stwierdzić, że systemy informatyczne używane przez aparat skarbowy państwa nie spełniają podanych wyżej wymogów. Jak wykazała kontrola generalnego inspektora ochrony danych osobowych przeprowadzona w dziesięciu urzędach kontroli skarbowej, program informatyczny ˝Karta kontroli˝ nie spełnia wymogów określonych w powołanych wyżej przepisach rozporządzenia ministra SWiA z 29 kwietnia 2004 r. System gromadzi ważne dane o podatnikach i ich zaległościach wobec budżetu państwa powstałych w wyniku stwierdzenia nieprawidłowości. Są to bardzo istotne dane zarówno dla osób fizycznych, jak i dla przedsiębiorstw. Mimo to użytkowany przez służby skarbowe program nie zapewnia odnotowania i raportowania daty wprowadzenia danych i identyfikatora użytkownika. Wada tego systemu może być źródłem bałaganu w zasobie informacji o podatnikach urzędów kontroli skarbowej, ale także naraża podatników na udostępnienie ważnych informacji ich dotyczących osobom niepowołanym.
Przykłady z ostatnich miesięcy, tj. wyciek ogromnej ilości ważnych danych administracji amerykańskiej na portalu WikiLeaks, były oczywistym następstwem niefrasobliwego, lekkomyślnego traktowania posiadanych zasobów informacji i łatwego dostępu do nich dla zbyt szerokiego grona użytkowników.
Reakcja pracowników MF i UKS po ujawnieniu wyników kontroli GIODO, tzn. bagatelizowanie stwierdzonych w wyniku kontroli GIODO wad systemu ˝Karta kontroli˝, nie napawa optymizmem, kieruję zatem do Pana Ministra poniższe pytania:
1. Jakie działania Pan podejmie w celu wyeliminowania nieprawidłowości ujawnionych przez GIODO w funkcjonowaniu systemu ˝Karta kontroli˝?
2. Czy w szczególności przewiduje się wprowadzenie zmian w zasadach obiegu i archiwizacji dokumentów zawierających wyniki kontroli celem uniknięcia zbyt długiego ich przechowywania w systemie, do którego ma dostęp zbyt szerokie grono użytkowników?
Odpowiedź podsekretarza stanu w Ministerstwie Finansów - z upoważnienia ministra na interpelację nr 20309
Szanowny Panie Marszałku! W odpowiedzi na interpelację posła na Sejm RP pani Anny Paluch z dnia 21 stycznia 2011 r. w sprawie niewystarczającej ochrony danych osobowych podatników w systemie ˝Karta kontroli˝ uprzejmie przekazuję, na ręce Pana Marszałka, następujące informacje.
System informatyczny ˝Karta kontroli˝ został opracowany dla potrzeb usprawnienia pracy jednostek organizacyjnych kontroli skarbowej i jest wykorzystywany do rejestrowania podstawowych informacji dotyczących przebiegu prowadzonych kontroli wynikających z akt kontroli (dane umożliwiające identyfikację kontrolowanego i kontrolujących, zakres kontroli, czas trwania czynności kontrolnych oraz wyniki kwotowe kontroli), w celu usprawnienia procesów sprawozdawczych i planistycznych. Dane z systemu wykorzystywane są np. do sporządzania okresowych sprawozdań dotyczących wyników pracy kontroli skarbowej, oceny efektywności pracy poszczególnych pracowników w wybranych okresach czasowych, prowadzenia analiz ryzyka uchylania się lub unikania obowiązków podatkowych przez określone grupy podatników, analiz skuteczności i poprawności prowadzenia postępowań kontrolnych itp.
W systemie ˝Karta kontroli˝ nie są gromadzone jakiekolwiek dokumenty wytworzone w toku czynności wykonywanych przez organy kontroli skarbowej lub korespondencja wpływająca do urzędów kontroli skarbowej. Nie istnieje więc ryzyko ujawnienia tych dokumentów w wyniku nieuprawnionego dostępu do systemu ˝Karta kontroli˝. System nie gromadzi również informacji o zaległościach podatkowych kontrolowanych podmiotów. W związku z powyższym nie istnieją żadne przesłanki uzasadniające celowość ˝wprowadzenia zmian w obowiązujących zasadach obiegu i archiwizacji dokumentów, celem uniknięcia zbyt długiego ich przechowywania w systemie˝, zgodnie z wnioskiem pani poseł.
Należy również zaznaczyć, że zgodnie z przepisem art. 34 ustawy z dnia 28 września 1991 r. o kontroli skarbowej (t.j. Dz. U. z 2004 r. Nr 8, poz. 65, ze zm.) informacje gromadzone i przetwarzane w ramach kontroli skarbowej, w tym informacje zawarte w systemie ˝Karta kontroli˝, stanowią tajemnicę skarbową, do przestrzegania której, pod rygorem odpowiedzialności karnej, zobowiązani są m.in. pracownicy jednostek organizacyjnych kontroli skarbowej, również po ustaniu zatrudnienia. Uregulowanie zapewnia podwójną ochronę danych, będących w dyspozycji kontroli skarbowej i objętych również ochroną na podstawie przepisów o ochronie danych osobowych.
W wyniku kontroli przeprowadzonych przez generalnego inspektora ochrony danych osobowych w wybranych urzędach kontroli skarbowej w zakresie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzeniem ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, stwierdzono niespełnienie przez system ˝Karta kontroli˝ wymogów w zakresie zapewnienia odnotowania daty pierwszego wprowadzenia danych do systemu oraz identyfikowania użytkownika wprowadzającego dane osobowe do systemu. Nie stwierdzono innych nieprawidłowości systemu, w tym powodujących ryzyko nieuprawnionego dostępu lub ˝wycieku˝ danych podlegających ochronie.
W związku z ustaleniami kontroli generalny inspektor ochrony danych osobowych (GIODO) pismem z dnia 11 października 2010 r. skierowanym do ministra finansów zalecił dokonanie zmian w systemie ˝Karta kontroli˝ polegających na usunięciu wskazanych nieprawidłowości.
Pismem z dnia 7 grudnia 2010 r. generalny inspektor kontroli skarbowej poinformował GIODO, iż w dniu 30 listopada 2010 r. do wszystkich urzędów kontroli skarbowej przekazano zmodyfikowany program ˝Karta kontroli˝, uwzględniający ww. zalecenia.
Zobacz więcej interpelacji »