Błąd w systemie Płatnik umożliwiał ściągnięcie przez każde biuro rachunkowe danych dowolnego przedsiębiorcy (nie tylko obsługiwanego przez konkretne biuro), m.in. PESEL, adresu e-mail, adresu zamieszkania, informacji o obsługującym go biurze. W razie nieuprawnionego dostępu do takich plików przedsiębiorca nie dostawał żadnego sygnału, że coś jest nie tak, więc może nic nie wiedzieć o naruszeniach.

Według informacji niebezpiecznik.pl problem pojawił się prawdopodobnie po wprowadzeniu 2 lata temu IPP (Interaktywnego Płatnika Plus).

ZUS przekonuje, że nie ma powodów do obaw, m.in. dlatego, że do pobrania wspomnianych danych przedsiębiorców niezbędny jest e-podpis (kwalifikowany certyfikat elektroniczny), na podstawie którego można określić, czy dany podmiot ma odpowiednie uprawnienia. Jednak według ustaleń niebezpiecznik.pl e-podpis nie daje takiej pewności, a ZUS nie monitorował skutecznie pobrań. Ponadto zdaniem serwisu ktoś, kto chciał zatrzeć ślady, podpis elektroniczny mógł zarejestrować na tzw. słupa. W celu uzyskania danych przedsiębiorcy z ZUS trzeba także podać kwoty składek, ale w przypadku jednoosobowej działalności nie jest ona zagadką (z tego względu trudniej oszukać system w przypadku firm zatrudniających pracowników).

Według niebezpiecznik.pl ZUS został poinformowany o problemie w maju br., ale dopiero kilka dni temu zapewnił, że załatał lukę (dlatego teraz ją ujawniono). Rzecznik zakładu utrzymuje, że sprawdzono system i okazało się, że z powodu luki osoby nieuprawnione nie uzyskały dostępu do wrażliwych danych przedsiębiorców.

Warto przypomnieć, że zgodnie z nowymi przepisami o ochronie danych osobowych (RODO), które wejdą w życie w maju 2018 r., za wyciek czy choćby niedostateczne zabezpieczenie informacji przedsiębiorcom grożą wysokie kary, ale nie dotyczą one jednostek publicznych. Te nie muszą obawiać się surowych konsekwencji naruszenia danych osobowych.

Źródło: niebezpiecznik.pl