Czy MF przygotowało się do RODO?

(2018-07-12)

Zdaniem Janusza Cichonia, byłego wiceministra finansów, istnieje duże ryzyko wycieku danych osobowych z Ministerstwa Finansów. Potwierdzać ma to dokument z maja br. Marian Banaś, obecny wiceminister, zapewnia jednak, że wszystko jest w porządku.

Nowe regulacje dotyczące ochrony danych osobowych wynikające z unijnego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych tzw. RODO zaczęły obowiązywać 25 maja br.


Ministerstwo Finansów spóźnione w sprawie RODO?


W Ministerstwie Finansów dopiero 9 maja 2018 r. podjęto decyzję o uruchomieniu projektu RODO2 - Dostosowanie resortu finansów do wymagań RODO. Była to decyzja Dyrektora Generalnego Ministerstwa Finansów Adama Niedzielskiego. W karcie projektu wskazano, iż prace w tym zakresie zostaną zakończone do 31 grudnia 2018 r. co oznacza, iż resort finansów nie zdążył implementować przedmiotowego rozporządzenia RODO do 25 maja 2018 r. Cichoń w interpelacji poselskiej zwraca także uwagę, że do nowych regulacji prawnych RODO nadal nie są dostosowane aplikacje funkcjonujące w resorcie, jak również systemy IT, które przetwarzają dane osobowe milionów Polaków. Dodatkowo, projektem nie objęto tych systemów informatycznych, których minimalny czas dostosowania do RODO przekracza osiem miesięcy. W konsekwencji te systemy nie będą zgodne z RODO także po 1 stycznia 2019 r. Z dokumentów MF ma także wynikać, że istnieje duże ryzyko wycieku danych osobowych oraz nałożenia kar pieniężnych.

Dane bezpieczne a RODO jest wdrażane


Marian Banaś, wiceminister finansów, w odpowiedzi na interpelację odpiera zarzuty. Jego zdaniem - mimo toczących się prac - dane podatników nie są zagrożone wyciekiem, ani utratą poufności, integralności, dostępności, rozliczalności i prawidłowości przetwarzania danych. Zwraca uwagę, że resort stosuje odpowiednie środki techniczne i organizacyjne. Zostały one wprowadzone zgodnie z RODO. Są to m.in.:
- nowy system nadawania upoważnień do przetwarzania danych osobowych,
- opracowane i opublikowane na stronach internetowych MF klauzule informacyjne,
- nowe dokumenty polityki bezpieczeństwa przetwarzania danych osobowych,
- jak również wyznaczenie zgodnie z przepisami prawa inspektorów ochrony danych.


Proces musi być długi


Zdaniem Banasia wdrażanie nowego rodzaju europejskiego prawa ze względu na złożoność całego procesu, skomplikowany system przepływu danych oraz ilość danych przetwarzanych w systemach musi być rozłożone w czasie, a wypracowane decyzje podejmowane i wdrażane bardzo rozważnie. W realizację projektu RODO2 zaangażowanych jest wiele komórek organizacyjnych ministerstwa, a wszelkie działania ukierunkowane zostały na ciągły proces podnoszenia poziomu ochrony danych i wypracowania optymalnego systemu ochrony względem danych milionów podatników.


RODO nie stawia precyzyjnych wymagań


Jak podkreśla Banaś, w unijnym rozporządzeniu nie określono konkretnych minimalnych wymagań dla aplikacji i systemów IT. Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Tłumaczy, że w ramach przeprowadzonego przeglądu systemów zidentyfikowano około 170 systemów centralnych oraz 70 zewnętrznych. Około 80 czeka jednak jeszcze na weryfikację i uzupełnienie opisu. Jeszcze liczniejszą grupę stanowią systemy i aplikacje lokalne i regionalne, wdrożone i użytkowane tylko w niektórych jednostkach organizacyjnych Krajowej Administracji Skarbowej (głównie wspierające realizację jej zadań). Na aktualnej liście znajduje się ponad 500 takich systemów, które zostały zweryfikowane i opisane na podstawie informacji przekazanych przez poszczególne Izby Administracji Skarbowej.

Banaś zwraca uwagę, że do Prezesa Urzędu Ochrony Danych Osobowych nie wpłynęło żadne zawiadomienie dotyczące ewentualnych nieprawidłowości przetwarzania danych osobowych w resorcie finansów.

Krzysztof Koślicki

Organizator
Wolters Kluwer Polska Sp. z o.o.
Patronat Honorowy
Ministerstwo Cyfryzacji
Główni Partnerzy Merytoryczni
G+P Gawroński & Partners
Lubasz i Wspólnicy Kancelaria radców prawnych
Współpraca merytoryczna
LEX Ochrona Danych Osobowych
Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp. p.
Traple Konarski Podrecki i Wspólnicy
Sieradzka & Partners
Partnerzy
Altkom
Centrum Kształcenia Podyplomowego Uczelni Łazarskiego
PwC
Wsparcie technologiczne
LEX Compliance RODO
Patroni medialni
Prawo.pl
co do zasady
Back to Top