UODO wzywa Ministerstwo Cyfryzacji do zmiany prawa

PUODO podkreśla, że nie jest to pierwsze wystąpienie urzędu w tej sprawie. Dotychczasowe próby wprowadzenia modyfikacji nie przyniosły jednak oczekiwanych rezultatów.

Problem z upublicznianiem numeru PESEL w certyfikatach

Na problem związany z ujawnianiem numeru PESEL w certyfikatach kwalifikowanego podpisu elektronicznego zwracają uwagę instytucje i organizacje korzystające z tej usługi. Swoje uwagi przekazują PUODO, który opublikował specjalny komunikat w tej sprawie.

Jak czytamy dostawcy usług zaufania publicznego pozyskują numer PESEL i przekazują go dalej, choć nie jest to poparte żadnymi regulacjami, ani europejskimi, ani krajowymi.

Według UODO takie działanie stanowi zagrożenie dla ochrony danych osobowych:

PESEL jest daną wyjątkową, przypisaną obywatelowi dla jego indywidulanych relacji z państwem - nie tylko identyfikuje w sposób unikalny osobę fizyczną, ale pozwala na ustalenie szeregu dodatkowych informacji o niej, takich jak płeć czy wiek osoby.
Komunikat UODO, DOL.413.3.2024

Rozporządzenie eIDAS i krajowe regulacje

Kwestie związane z kwalifikowanym podpisem elektronicznym regulują dwa główne akty prawne: unijne rozporządzenie eIDAS z 2014 roku oraz polska ustawa o usługach zaufania oraz identyfikacji elektronicznej z 2016 r.

W myśl rozporządzenia eIDAS identyfikacja osoby przy użyciu kwalifikowanego podpisu elektronicznego powinna opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikuje daną osobę. W polskiej ustawie jako sposób weryfikacji tożsamości jest wymieniony m.in. numer PESEL.

Art. 21q. 1. Podmiot odpowiedzialny za system identyfikacji elektronicznej przetwarza dane osobowe osób, którym w tym systemie wydano środki identyfikacji elektronicznej, obejmujące: 1) imię (imiona), 2) nazwisko, 3) nazwisko rodowe, 4) numer PESEL lub niepowtarzalny identyfikator środka identyfikacji elektronicznej, o którym mowa w przepisach wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014, 5) datę urodzenia, 6) miejsce urodzenia, 7) płeć, 8) adres zamieszkania – w celu realizacji zadań, o których mowa w art. 21p ust. 1 pkt 1–5 i 7.
Art. 21q. ustawy o ustawa o usługach zaufania oraz identyfikacji elektronicznej

RODO a numer PESEL

Podstawy prawne dotyczące przetwarzania danych osobowych, w tym numeru PESEL, są jasno określone także w RODO.

Zgodnie z art. 6 ust. 1 lit. c unijnego rozporządzenia, przetwarzanie danych osobowych jest dozwolone, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

W przypadku weryfikacji tożsamości osoby ubiegającej się o wydanie certyfikatu kwalifikowanego podpisu elektronicznego, konieczność użycia numeru PESEL według PUODO może być uzasadniona. Jednak jego dalsze ujawnianie w certyfikatach, które mogą być dostępne dla osób trzecich, budzi wątpliwości prezesa UODO, co do zasadności takiego działania.

Prezes Urzędu Ochrony Danych Osobowych zwrócił się więc do ministra cyfryzacji z wnioskiem o zmianę ustawy o usługach zaufania oraz identyfikacji elektronicznej z 2016 roku.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].