Czy numer PESEL jest niezbędny w kwalifikowanym podpisie elektronicznym?

14 czerwca 2019 Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Ministra Cyfryzacji w sprawie konieczności podawania numeru PESEL osoby podpisującej podczas posługiwania się kwalifikowanym podpisem elektronicznym. Jest to reakcja na liczne sygnały różnych środowisk obawiających się zagrożenia dla prywatności.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych należy zastanowić się, czy certyfikat zawierający numer PESEL jest jedynym skutecznym sposobem, żeby w bezpieczny sposób potwierdzić tożsamość osób posługującym się podpisem elektronicznym. Zgodnie z przepisami RODO (art. 87), “Państwa członkowskie mogą określić szczególne warunki przetwarzania krajowego numeru identyfikacyjnego lub innego identyfikatora o zasięgu ogólnym. W takim przypadku krajowego numeru identyfikacyjnego lub innego identyfikatora o zasięgu ogólnym używa się wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, które przewiduje RODO”.

W Polsce to numer PESEL stanowi krajowy numer identyfikacyjny. Prezes UODO wskazuje, że istnieje realne ryzyko zagrożenia prywatności osoby fizycznej, jeśli do przetwarzania tego numeru dojdzie bez zachowania odpowiednich zabezpieczeń, bądź numer ten zostanie ujawniony zbyt wielu osobom. Poziom zagrożenia wzrasta wraz z postępującą informatyzacją w sferze publicznej. Przykładowo, już przy prostych czynnościach technicznych, takich jak przesyłanie korespondencji stronom postępowania, dochodzi do weryfikacji przy użyciu podpisu elektronicznego i ujawnienia numeru PESEL.

Prezes Urzędu Ochrony Danych Osobowych nie podaje gotowych sposobów, za pomocą których można wdrożyć właściwe rozwiązanie. Może w tym pomóc ustawa z dnia 5 września 2016 roku o usługach zaufania i identyfikacji elektronicznej. Prezes Urzędu sugeruje, że można również stworzyć publiczny rejestr kodów identyfikacyjnych nieposiadających semantycznych cech numeru PESEL, takich jak data urodzenia i płeć, który służyłby wyłącznie walidacji kwalifikowanego podpisu elektronicznego.

Minister Cyfryzacji ma 30 dni na ustosunkowanie się do wniosku Prezesa Urzędu Ochrony Danych Osobowych.

Wystąpienie z 14 czerwca 2019 r. do Ministra Cyfryzacji w sprawie dostosowania aktualnych regulacji prawnych dot. kwalifikowanego podpisu elektronicznego do wymogów ogólnego rozporządzenia o ochronie danych osobowych