Twój e-PIT: poważna luka w zabezpieczeniach. Pracodawca może zalogować się na konto pracownika

Katarzyna Sudaj 20.02.2019 09:57 (aktualizacja: )

Wszystkie dane potrzebne do zalogowania się do usługi Twój e-PIT są w rękach pracodawcy. Księgowa może podejrzeć, czy nie dorabiamy poza firmą, ile zarabia współmałżonek lub komu przekazujemy 1 proc. podatku.

Usługa Twój e-PITumożliwia dostęp do danych objętych tajemnicą skarbową osobom postronnym – donosi Dziennik Gazeta Prawna.

Użytkownicy nowej usługi MF zaczęli alarmować, że sposób logowania, w którym oprócz numeru PESEL, kwoty całkowitego dochodu za 2017 rok oraz kwoty przychodu z tylko jednej informacji PIT-11 za 2018 rok (a nie sumy wszystkich przychodów z 2018 roku – jeśli było ich więcej niż z tylko jednego źródła) daje pracodawcy łatwy dostęp do wrażliwych danych finansowych jego obecnego lub byłego pracownika.

MF reaguje i ogłasza zmianę sposobu logowania do usługi Twój e-PIT

strona logowania do usłigi Twój e-PIT

Źródło własne

W pierwszej chwili można rzec, że przecież pracodawca i tak zna kwoty przychodu swojego pracownika, bo przecież zatrudnia go i płaci mu wynagrodzenie. Jednak po chwili zastanowienia wynika, że możliwość podejrzenia PIT-37 swojego pracownika przygotowanego przez system MF daje wgląd w szersze dane - objęte tajemnicą skarbową.

Pracodawca sprawdzi, czy pracownik ma inne źródła przychodu

Po pierwsze pracodawca podając tylko kwotę przychodu uzyskaną przez osobę zatrudnioną w jego firmie, może sprawdzić, czy pracownik nie dorabia jeszcze u kogoś innego. Bo przy logowaniu wystarczy podać tylko kwotę przychodu z jednego PIT-11 za 2018 rok, czyli wstarczą dane tylko z PIT-11 od danego pracodawcy. Nie ustawiono zabezpieczenia w postaci sumy przychodów ze wszystkich źrodeł.

 

Rozlicz się bezpiecznie! Pobierz nasz program do rozliczeń rocznych e-pity 2018

 

Poza tym po zalogowaniu do usługi Twój e-PIT można sprawdzić, czy pracownik nie osiągnął jakiś przychodów kapitałowych np. z akcji na giełdzie, bo oprócz PIT-37, będzie tam również przygotowane zeznanie PIT-38.

Pracodawca lub osoba, która z jego ramienia wystawia informacje PIT-11, może poznać konkretny cel i OPP, dla której podatnik przekazuje 1 proc. podatku. A jeśli pracownik zmodyfikował już swoje rozliczenia i zmienił z indywidualnego na wspólne z małżonkiem, to osoba postronna może podejrzeć również wielkość przychodu współmałżonka.

Twój e-PIT: Problemy, z którymi spotkali się podatnicy

Poważnie są więc zagrożone nasze dane objęte tajemnica skarbową. Od samego pozyskania informacji wrażliwych przez osoby do tego nieuprawnione, po możliwość ingerencji w wybraną przez nas OPP, modyfikację ulg podatkowych czy nawet psikus w postaci przeniesienia kwoty nadpłaty podatku do rubryki „do zapłaty” – pisze Magdalena Majkowska z DzGP.

[aktualizacja godz. 18:26]:Prezes UODO chce wyjaśnień resortu finansów ws. dostępu do usługi Twój e-PIT

Prezes Urzędu Ochrony Danych Osobowych dr Edyta Bielak-Jomaa prosi minister finansów Teresę Czerwińską o wyjaśnienie, czy pracodawcy mogą zalogować się do usługi Twój e-PIT, korzystając z danych pracownika i sprawdzić dane przekazane przez innych płatników.

Komentarz eksperta - Piotr Szulczewski, PIT.pl:

Piotr Szulczewski, z-ca redaktora naczelnego PIT.plPodstawowym problemem, jest fakt, że nie możemy zrezygnować z prezentacji własnych danych w usłudze Twój e-PIT, nie możemy również wystąpić o nią "na wniosek" tak, jak to miało miejsce w poprzedniej usłudze - PIT-WZ. Nie mamy żadnej możliwości "ustrzec" danych własnych jak i żony czy dzieci - na temat, wynagrodzenia, jego źródeł, dat urodzenia członków rodziny, występowania niepełnosprawności (ulga rehabilitacyjna), posiadania kredytu mieszkaniowego (ulga odsetkowa), posiadania dzieci (ulga prorodzinna) i innych. Nie mamy możliwości stwierdzić, że nie chcemy udostępniać swoich danych w systemie, czyli potencjalnie zabezpieczyć się przed próbami wyłudzenia danych. Jeśli tylko pracodawca dysponować będzie - co nie jest trudne - kwotą przychodu z zeszłego roku i kwotą przychodu z PIT-11 z roku obecnego, to zaloguje się na nasz profil. Wystarczy, że w zeszłym roku wynagrodzenie podatnika u tego pracodawcy było jedynym źródłem przychodów, jakie pracownik uzyskiwał. W takim przypadku pracodawca bez żadnego problemu wejdzie na profil Twój e-PIT pracownika.

I w takim przypadku po pierwsze - jeśli pracownik złożył już zeznanie podatkowe z użyciem usługi Twój e-PIT, to pracodawca będzie miał wgląd w treść zeznania, a zatem w kwoty wszystkich ulg podatkowych, a także w informacje na temat wynagrodzeń i danych osobowych małżonka, dzieci...

Po drugie, jeśli pracodawca wejdzie do usługi przed wysłaniem deklaracji podatkowej - uzyska informację o kwotach przychodów ze wszystkich PIT-11 pracownika (czyli np. sprawdzi, czy dorabia i z jakich źródeł - co może np. mieć wpływ na rozwiązanie stosunku pracy, obniżenie premii, zarzuty o działalność konkurencyjną itd.).

Po trzecie - co ciekawe - jeśli pracodawcy nie uda się zalogować do usługi Twój e-PIT do konta pracownika - to również będzie istotną informacją dla niego. Otóż jeśli pracownik posiada zakaz konkurencji to brak możliwości logowania na dane co do przychodów z zeszłego roku oznaczać będzie, że pracownik posiada również jakieś "inne" źródła, o których pracodawca nie wie. W małych społecznościach informacja taka może wpłynąć na relacje z pracodawcą, który może "uprzejmie poprosić" pracownika o przedstawienie innych źródeł z roku poprzedniego. Oczywiście - informacja taka byłaby wymuszeniem, niemniej praktyka pokazuje, że stosunek nadrzędności nad pracownikiem może do takich zachowań prowadzić i stawiać pracownika "pod ścianą" (albo powiesz nam skąd miałeś inne przychody w poprzednim roku, albo ktoś inny dostanie więcej zleceń, nadgodziny, lepsze warunki pracy etc.).

Pocieszającym jest jedynie fakt, że również w usłudze PIT-PFR logowanie odbywało się na podstawie danych z PIT-11 (sumy przychodów ze wszystkich informacji z danego roku) i nie było głośno o naruszeniach lub logowaniach osób nieupoważnionych.

I wreszcie na koniec - powstaje pytanie - czy Ministerstwo Finansów, jako podmiot udostępniający usługę Twój e-PIT, jest podmiotem, który w niewystarczającym stopniu zabezpiecza dane wrażliwe podatników? Jeśli tak, to komu, w przypadku gdyby tak faktycznie było - miałoby płacić ewentualną karę? Czyżby sobie samemu...?

Rozliczenie roczne PIT-37