Prezes Urzędu Ochrony Danych Osobowych (UODO) po raz kolejny zwrócił się do Ministra Cyfryzacji z postulatem zmiany przepisów dotyczących ustawy o usługach zaufania oraz identyfikacji elektronicznej, aby wyeliminować obowiązek upubliczniania numeru PESEL w certyfikatach kwalifikowanego podpisu elektronicznego. Mimo wcześniejszych apelacji organu nadzorczego, problem ten nie został dotychczas rozwiązany.
Problem upubliczniania PESEL w certyfikatach kwalifikowanego podpisu elektronicznego
Instytucje i organizacje korzystające z kwalifikowanego podpisu elektronicznego regularnie zgłaszają problem ujawniania numeru PESEL Prezesowi UODO. Numer ten jest pozyskiwany przez dostawców usług zaufania publicznego i udostępniany innym użytkownikom podpisu, co – jak wskazuje UODO – nie wynika z przepisów europejskich ani krajowych.
Zgodnie z rozporządzeniem eIDAS (Rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014), identyfikacja osoby posługującej się kwalifikowanym podpisem elektronicznym powinna opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikuje osobę. W opinii UODO, do tego celu nie jest konieczne wykorzystywanie numeru PESEL – można zastosować inny identyfikator. PESEL jest wyjątkową daną osobową, która nie tylko unikalnie identyfikuje obywatela, ale także umożliwia ustalenie takich informacji jak wiek czy płeć.
Niepotrzebne ujawnianie PESEL wbrew przepisom prawa
W polskim prawie nie ma wyraźnego wymogu ujawniania numeru PESEL w dokumentach podpisanych elektronicznie. Również RODO w artykule 6 ust. 1 lit. c wskazuje, że przetwarzanie danych osobowych jest zgodne z prawem jedynie wtedy, gdy jest to niezbędne do wypełnienia obowiązków prawnych administratora. O ile numer PESEL jest niezbędny do weryfikacji tożsamości osoby ubiegającej się o wydanie certyfikatu, to upublicznianie tego numeru w samym certyfikacie nie jest uzasadnione.
Prezes UODO podkreśla, że ujawnianie numeru PESEL w certyfikatach kwalifikowanego podpisu elektronicznego może prowadzić do nieuzasadnionego naruszania prywatności użytkowników. Wyeliminowanie tego problemu wymaga zmiany ustawy, co umożliwiłoby stosowanie alternatywnych identyfikatorów, które zapewnią ochronę danych osobowych zgodnie z europejskimi i krajowymi przepisami.
