W czwartkowym komunikacie Urząd Ochrony Danych Osobowych poinformował, że prezes UODO wystąpił do ministra cyfryzacji o zmianę ustawy o usługach zaufania oraz identyfikacji elektronicznej tak, by w certyfikacie kwalifikowanego podpisu elektronicznego nie był upubliczniany numer PESEL. Urząd przypomniał, że to kolejne wystąpienie w tej sprawie, a postulaty organu nadzorczego do tej pory nie przyniosły oczekiwanych rezultatów.

Jak wyjaśnił UODO, problem z PESEL-em sygnalizują prezesowi UODO instytucje i organizacje, w których używany jest kwalifikowany podpis elektroniczny. Numer PESEL jest pozyskiwany przez dostawców usług zaufania publicznego (kwalifikowanego podpisu elektronicznego), a następnie upubliczniany, co z kolei - jak zaznacza urząd - nie wynika ani z przepisów europejskich, ani krajowych.

W komunikacie przypomniano, że stosowanie certyfikatu kwalifikowanego podpisu elektronicznego reguluje rozporządzenie eIDAS (rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym), oraz ustawa o usługach zaufania (ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej).

Jak zaznaczył urząd, w świetle rozporządzenia eIDAS kod identyfikacyjny certyfikatu powinien opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikowałby osobę posługującą się kwalifikowanym podpisem elektronicznym.

W ocenie organu nadzorczego nie musi być to numer PESEL, lecz może być to inny identyfikator. Urząd podkreślił, że PESEL jest daną wyjątkową, przypisaną obywatelowi dla jego indywidualnych relacji z państwem - nie tylko identyfikuje w sposób unikalny osobę fizyczną, ale pozwala na ustalenie szeregu dodatkowych informacji o niej, takich jak płeć czy wiek osoby.

Jak wynika z komunikatu, przepisy prawa nie przewidują obowiązku ujawniania numeru PESEL w dokumencie opatrzonym podpisem elektronicznym. Zaznaczono, iż także RODO w art. 6 ust. 1 lit. c odnosząc się do jednej z podstaw legalizujących przetwarzanie danych stanowi, że przetwarzanie jest zgodne z prawem jedynie w sytuacji, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

„O ile więc zasadnym jest użycie numeru PESEL w przypadku weryfikacji osoby wnioskującej o wydanie certyfikatu kwalifikowanego podpisu elektronicznego, to zdecydowanie wątpliwe jest ujawnianie tej informacji innym osobom uzyskującym dostęp do treści podpisu” - podkreślił urząd w komunikacie.

agg/ mam/