Κανένα πρόστιμο δεν φαίνεται να είναι αρκετό για να καλύψει αυτό το
φιάσκο της Γενικής Γραμματείας Πληροφοριακών Συστημάτων. Έπειτα από
έρευνες που πραγματοποίησε η Αρχή Προστασίας Προσωπικών Δεδομένων σε
συνεργασία με τη Δίωξη Ηλεκτρονικού Εγκλήματος, βρέθηκαν τα φορολογικά
στοιχεία σχεδόν του συνόλου των ελλήνων φορολογουμένων, μέσα ....
στους
υπολογιστές εταιριών εμπορίας δεδομένων προσωπικού χαρακτήρα. Τα
ανακαλυφθέντα αρχεία περιλαμβάνουν στοιχεία από το 2000 έως και το 2012.
Πρόκειται για τη μεγαλύτερη διαρροή δεδομένων που έχει καταγραφεί στη
χώρα. Ο μίτος της Αριάδνης ξετυλίχτηκε για πρώτη φορά από οικονομικό
έλεγχο που πραγματοποιήθηκε σε 2 εταιρίες τον Οκτώβριο του 2012, όπου
βρέθηκαν αναλυτικά στοιχεία φορολογουμένων για τα έτη 2006 και 2009.
Συγκεκριμένα:
Για το φορολογικό έτος 2009 βρέθηκε αρχείο με 21.283.143 εγγραφές, το
οποίο περιείχε φορολογικά δεδομένα περίπου 1,5 εκατομμυρίου
φορολογουμένων. Τα δεδομένα, μεταξύ άλλων, περιλαμβάνουν Α.Φ.Μ.,
ονοματεπώνυμο, διεύθυνση, επάγγελμα, τηλέφωνα, στοιχεία δελτίου
αστυνομικής ταυτότητας, στοιχεία συζύγου, καθώς και συγκεκριμένους
κωδικούς (με επεξήγηση) του εντύπου Ε1 της δήλωσης φορολογίας
εισοδήματος που αντιστοιχούν στο δηλωθέν από το φορολογούμενο εισόδημα
και σε άλλα φορολογικά δεδομένα.
Για το φορολογικό έτος 2006, βρέθηκαν αρχεία τα οποία περιείχαν
δεδομένα φυσικών και νομικών προσώπων και περιλαμβάνουν μεταξύ άλλων
Α.Φ.Μ., στοιχεία Δ.Ο.Υ., ονοματεπώνυμο, διεύθυνση, επάγγελμα, στοιχεία
δελτίου αστυνομικής ταυτότητας, ημερομηνία γέννησης, τηλέφωνα, αριθμό
κυκλοφορίας οχήματος, μάρκα/τύπο οχήματος, στοιχεία συζύγου κλπ.
Έπειτα από την ψηφιακή ανάλυση αυτών των αρχείων, η Δίωξη
Ηλεκτρονικού Εγκλήματος οδηγήθηκε σε 2 ακόμα εταιρίες, στις οποίες
πραγματοποιήθηκε επίσης ενδελεχής έλεγχος.
Σε αυτές βρέθηκαν:
Για το φορολογικό έτος 2011, προσωπικά δεδομένα 3.165.546 φυσικών
προσώπων που αφορούν σε όλα τα στοιχεία του εκκαθαριστικού σημειώματος
της έκτακτης εισφοράς. Ακόμη, βρέθηκαν δεδομένα που αφορούν στην πληρωμή
των τελών κυκλοφορίας 6.800.715 οχημάτων φυσικών και νομικών προσώπων.
Σύμφωνα με την ανακοίνωση της Αρχής, υπήρχαν ακόμα δύο εταιρίες, στις
οποίες διενεργήθηκε έλεγχος το 2013. Στην πρώτη εταιρία δεν κατέστη
δυνατό να ανασύρουν τα αρχεία που πιθανόν περιείχαν φορολογικά δεδομένα.
Στη δεύτερη εταιρία, όμως, τα δεδομένα ανασύρθηκαν και ο όγκος τους
ξεπερνούσε κάθε προηγούμενο.
Η συγκεκριμένη εταιρία είχε στην κατοχή της σχεδόν όλες τις δηλώσεις
Ε1 που υπεβλήθησαν από φυσικά ή νομικά πρόσωπα από το 2003 έως και το
2009 και εν μέρει το 2012. Τα νούμερα είναι πέρα από κάθε φαντασία.
Παρατίθεται ο αριθμός ευρεθέντων εγγραφών στο βασικό πίνακα του εντύπου Ε1 για κάθε οικονομικό έτος:
- 2003: 9.534.230 αρχεία
- 2004: 9.978.141 αρχεία
- 2005: 10.552.945 αρχεία
- 2006: 11.305.339 αρχεία
- 2007: 11.548.998 αρχεία
- 2008: 11.750.664 αρχεία
- 2009: 12.043.921 αρχεία
- 2012: 5.770.280 αρχεία
Ακόμη, βρέθηκαν πληθώρα εγγράφων Ε2 και Ε9, στοιχεία υπολογισμού του
ΕΤΑΚ για τα έτη 2008-2012, στοιχεία πληρωμής τελών κυκλοφορίας για τα
έτη 2006-2012 και πολλά ακόμη. Ο συνολικός όγκος των εγγράφων άγγιζε τα
70gb.
Ξέφραγο αμπέλι η ΓΓΠΣ
Θα περίμενε κανείς πως η Γενική Γραμματεία Πληροφοριακών Συστημάτων,
ως υπεύθυνος φορέας για την καταγραφή και αποθήκευση φορολογικών και
άλλων δεδομένων των ελλήνων πολιτών, να είναι εξοπλισμένος με εξελιγμένα
συστήματα ασφαλείας, ηλεκτρονικά και μη. Δυστυχώς, η αλήθεια είναι
απογοητευτική. Επιγραμματικά:
- Δεν ελέγχεται ο όγκος ή το περιεχόμενο των φωτοαντιγράφων που δημιουργούνται στις εγκαταστάσεις.
- Δεν έχει εφαρμοστεί διαδικασία εσωτερικών ή εξωτερικών ελέγχων ασφάλειας.
- Δεν έχει ολοκληρωθεί το κεντρικό σύστημα ελέγχου πρόσβασης στα
πληροφοριακά συστήματα της Γ.Γ.Π.Σ. με αποτέλεσμα η πρόσβαση να
πραγματοποιείται ανά εφαρμογή.
- Η απομακρυσμένη πρόσβαση των διαχειριστών στο πληροφοριακό σύστημα δεν
ελέγχεται. Κάποιος θεωρητικά θα μπορούσε να μπει στο σύστημα από το
σπίτι του και αυτό δεν θα φαινόταν πουθενά.
- Δεν ελέγχονται τα αποσπώμενα μέσα των διαχειριστών – υπαλλήλων (CD, DVD, USB).
- Όλοι οι υπολογιστές, ακόμα και αυτοί που επεξεργάζονται τα φορολογικά δεδομένα, είναι μονίμως συνδεδεμένοι με το διαδίκτυο.
- Η καταγραφή ενεργειών των χρηστών περιορίζεται στις κινήσεις σύνδεσης –
αποσύνδεσης και στις ενέργειες ανάγνωσης των πινάκων εισοδήματος και
κάρτας αποδείξεων. Ακόμη χειρότερα, οι διαχειριστές έχουν τη δυνατότητα
να απενεργοποιήσουν την καταγραφή και να διαγράψουν τα σχετικά αρχεία,
τα οποία ούτως ή άλλως δεν περνάνε από διαδικασία εξασφάλισης της
ακεραιότητάς τους. Τέλος, ο έλεγχός τους δεν πραγματοποιείται με
αυτοματοποιημένο τρόπο, συνεπώς είναι εξαιρετικά δυσχερής αν ληφθεί
υπόψη το μέγεθός τους.
Κανένα πρόστιμο δεν είναι αρκετό
Η Αρχή Προστασίας Προσωπικών Δεδομένων κάλεσε την ΓΓΠΣ, στις 27
Ιουνίου 2013, να παρασταθεί στη συνεδρίαση της ολομέλειας, όπου
παρουσιάστηκαν τα πορίσματα από την ανάλυση των πειστηρίων. Η ΑΠΠΔ
αποφάσισε την επιβολή προστίμου ύψους 150.000 ευρώ στην ΓΓΠΣ, αφού
έκρινε ότι παραβίασε την υποχρέωσή της για τη λήψη κατάλληλων μέτρων
ασφαλείας.
Η έρευνα αναμένεται να ολοκληρωθεί τον Οκτώβριο, όπου και θα υπάρξουν κυρώσεις στις εμπλεκόμενες εταιρίες.
Αξίζει να σημειωθεί ότι το 2010 είχε υπάρξει παρόμοια περίπτωση
παραβίασης προσωπικών δεδομένων, που αφορούσε το φορολογικό έτος του
2008. Παρόλο που είχε υποβληθεί σχετική μηνυτήρια αναφορά, δεν
πραγματοποιήθηκε ΕΔΕ ποτέ. Αντίγραφο της αναφοράς δεν υπάρχει στα αρχεία
της Γ.Γ.Π.Σ, ενώ, σύμφωνα με την ίδια, με αφορμή αυτό το περιστατικό,
τα μέτρα ασφαλείας είχαν ενισχυθεί. Προφανώς, όχι αρκετά.
Πηγή: koutipandoras.gr