W związku z ostatnim wyciekiem danych osobowych z firmy EuroCert, która dostarcza usługi m.in. kwalifikowanego podpisu elektronicznego dla Ministerstwa Finansów oraz jednostek podległych resortowi - w tym Krajowej Administracji Skarbowej, związki zawodowe KAS apelują do Ministerstwa Cyfryzacji, domagając się zmian legislacyjnych. "Argument podnoszony przez związki zawodowe KAS jest racjonalny. Trzeba się temu przyjrzeć" - usłyszał od wiceministra cyfryzacji Michała Gramatyki reporter RMF FM Kacper Wróblewski.
Jak informują związkowcy, wspomniany atak na EuroCert sprawił, że mogły wyciec dane pracowników i funkcjonariuszy KAS. Chodzi o imiona i nazwiska, numery PESEL, serie i numery dowodów osobistych, dane kontaktowe czy wizerunki konkretnych osób. Dlatego też wśród pracowników istnieją obawy, że są narażeni na ryzyko wyłudzeń, oszustw finansowych czy innych przestępstw.
Ten wyciek pozwala konkretnie zidentyfikować daną osobę. Pracownicy i funkcjonariusze KAS zajmują się ściganiem i wykrywaniem przestępstw oraz prowadzą postępowania podatkowe na wielkie kwoty. Nietrudno sobie wyobrazić, że przestępcy czy nieuczciwe podmioty w ramach chociażby utrudnienia postępowania podatkowego kontrolnego lub karnoskarbowego mogą takie dane wykorzystać przeciwko osobom prowadzącym te postępowania - mówi Patryk Górski, szef zespołu prawnego Związku Zawodowego "Alternatywa" w KAS.
Jednocześnie w rozmowie z reporterem RMF FM, przedstawiciel związku skierował pytania do resortu cyfryzacji: "Czy poinformowano wszystkich pracowników, których dotyczy wyciek tych danych?".
Czy planowane jest usunięcie numeru PESEL z tego certyfikatu? Czy będzie zapewniona ochrona prawna dla pracowników i funkcjonariuszy, których dotyczy ten wyciek i będą z tego mieli w przyszłości jakieś problemy? Czy Ministerstwo Finansów lub Cyfryzacji wykupi tym pracownikom dostęp do BIK-u, żeby mogli nadzorować to, czy ktoś wziął kredyt, używając ich danych? - pyta Patryk Górski.
Resort cyfryzacji podkreśla, że problem związany z danymi osobowymi w certyfikatach kwalifikowanych leży także w przestarzałych już przepisach.
Ta ustawa była pisana kilkanaście lat temu. Wówczas znalazł się tam wymóg włączania do certyfikatów kwalifikowanych podpisu elektronicznego tych danych: PESEL-u czy numeru dowodu osobistego. Rozwój technologii jest tak szalony, że dziś mamy zupełnie nowe metody potwierdzania tożsamości, więc takich danych w tych certyfikatach już nie musi być - wyjaśnia wiceminister cyfryzacji Michal Garamatyka, który jednocześnie deklaruje, że "powinniśmy się zastanowić, czy przy wdrażaniu unijnego rozporządzenia eidas 2.0, dotyczącego cyfrowej tożsamości, nie wyrzucić tych niepotrzebnych danych z certyfikatu".
Eidas 2.0 to perspektywa 2026 roku. Myślę, że ministerstwo będzie wdrażało te przepisy jeszcze w tym roku. Myślę, że takie uregulowania się pojawią. Argument podnoszony przez związki zawodowe KAS jest racjonalny. Trzeba się temu przyjrzeć - usłyszał dziennikarz RMF FM od przedstawiciela resortu.
