Wątpliwości UODO dotyczące ujawniania PESEL w certyfikacie kwalifikowanego podpisu elektronicznego

Wątpliwości UODO dotyczące ujawniania PESEL w certyfikacie kwalifikowanego podpisu elektronicznego
Fot. stock.adobe.com / SergeyBitos
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Prezes UODO wystąpił do Ministra Cyfryzacji o zmianę ustawy o usługach zaufania oraz identyfikacji elektronicznej tak, by w certyfikacie kwalifikowanego podpisu elektronicznego nie był upubliczniany numer PESEL, czytamy w komunikacie na stronie internetowej UODO.

To kolejne wystąpienie w tej sprawie – jednak postulaty organu nadzorczego do tej pory nie przyniosły oczekiwanych rezultatów.

Problem z PESEL-em sygnalizują Prezesowi UODO instytucje i organizacje, w których używany jest kwalifikowany podpis elektroniczny.

Numer PESEL jest pozyskiwany przez dostawców usług zaufania publicznego (kwalifikowanego podpisu elektronicznego), a następnie upubliczniany, co z kolei nie wynika ani z przepisów europejskich, ani krajowych.

Czytaj także: Co komunikat UODO dotyczący ograniczenia korzystania z danych osobowych oznacza dla sektora bankowego?

eIDAS a PESEL

Stosowanie certyfikatu kwalifikowanego podpisu elektronicznego reguluje rozporządzenie eIDAS (rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym), oraz ustawa o usługach zaufania (ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej).

W świetle rozporządzenia eIDAS kod identyfikacyjny certyfikatu powinien opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikowałby osobę posługującą się kwalifikowanym podpisem elektronicznym.

W ocenie organu nadzorczego nie musi  być to numer PESEL, lecz inny identyfikator.

PESEL jest daną wyjątkową, przypisaną obywatelowi dla jego indywidulanych relacji z państwem – nie tylko identyfikuje w sposób unikalny osobę fizyczną, ale pozwala na ustalenie szeregu dodatkowych informacji o niej, takich jak płeć czy wiek osoby.

Przepisy prawa nie przewidują obowiązku ujawniania numeru PESEL w dokumencie opatrzonym podpisem elektronicznym.

Czytaj także: Zdaniem UODO podawanie imienia ojca do celów identyfikacji nie jest potrzebne

RODO ws. ujawniania informacji dotyczącej numeru PESEL

Także RODO w art. 6 ust. 1 lit. c odnosząc się do jednej z podstaw legalizujących przetwarzanie danych stanowi, że przetwarzanie jest zgodne z prawem jedynie w sytuacji, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

O ile więc zasadnym jest użycie numeru PESEL w przypadku weryfikacji osoby wnioskującej o wydanie certyfikatu kwalifikowanego podpisu elektronicznego, to zdecydowanie wątpliwe jest ujawnianie tej informacji innym osobom uzyskującym dostęp do treści podpisu.

Czytaj także: Bankowość i Finanse | Bezpieczeństwo | System zastrzegania PESEL już działa

Źródło: Urząd Ochrony Danych Osobowych / UODO