Certyfikat kwalifikowanego podpisu elektronicznego nie powinien ujawniać numeru PESEL [Aktualizacja]
Prezes UODO wystąpił do Ministra Cyfryzacji o zmianę ustawy o usługach zaufania oraz identyfikacji elektronicznej tak, by w certyfikacie kwalifikowanego podpisu elektronicznego nie był upubliczniany numer PESEL.
To kolejne wystąpienie w tej sprawie – jednak postulaty organu nadzorczego do tej pory nie przyniosły oczekiwanych rezultatów.
Problem z PESEL-em sygnalizują Prezesowi UODO instytucje i organizacje, w których używany jest kwalifikowany podpis elektroniczny. Numer PESEL jest pozyskiwany przez dostawców usług zaufania publicznego (kwalifikowanego podpisu elektronicznego), a następnie upubliczniany, co z kolei nie wynika ani z przepisów europejskich, ani krajowych.
Stosowanie certyfikatu kwalifikowanego podpisu elektronicznego reguluje rozporządzenie eIDAS (rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym), oraz ustawa o usługach zaufania (ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej).
W świetle rozporządzenia eIDAS kod identyfikacyjny certyfikatu powinien opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikowałby osobę posługującą się kwalifikowanym podpisem elektronicznym. W ocenie organu nadzorczego nie musi być to numer PESEL lecz inny identyfikator. PESEL jest daną wyjątkową, przypisaną obywatelowi dla jego indywidulanych relacji z państwem - nie tylko identyfikuje w sposób unikalny osobę fizyczną, ale pozwala na ustalenie szeregu dodatkowych informacji o niej, takich jak płeć czy wiek osoby.
Przepisy prawa nie przewidują obowiązku ujawniania numeru PESEL w dokumencie opatrzonym podpisem elektronicznym. Także RODO w art. 6 ust. 1 lit. c odnosząc się do jednej z podstaw legalizujących przetwarzanie danych stanowi, że przetwarzanie jest zgodne z prawem jedynie w sytuacji, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.O ile więc zasadnym jest użycie numeru PESEL w przypadku weryfikacji osoby wnioskującej o wydanie certyfikatu kwalifikowanego podpisu elektronicznego, to zdecydowanie wątpliwe jest ujawnianie tej informacji innym osobom uzyskującym dostęp do treści podpisu.
DOL.413.3.2024
AKTUALIZACJA:
W korespondencji z resortem cyfryzacji dotyczącej stosowania numeru PESEL w kwalifikowanym certyfikacie podpisu elektronicznego PUODO wskazuje problemy, jakimi są:
- nadal zdarzające się niedostarczanie innych rozwiązań dostawców usług zaufania, oraz ograniczona świadomość klientów co do istnienia innych możliwości niż identyfikacja przez numer PESEL. W ocenie Prezesa UODO pożądana byłaby odpowiednia akcja edukacyjna w ww. zakresie. Czasami inne rozwiązania niż certyfikat z numerem PESEL nie są jednak dostępne w domyślnym procesie zakupu.
- Część organów administracji publicznej wymaga certyfikatu z numerem PESEL (np. administracja skarbowa w swoich systemach). Jest to jeden z powodów, dla którego decyzja o przejściu na inny identyfikator niż PESEL może być utrudniona pod względem organizacyjnym i kosztowym.
- Certyfikat z identyfikatorem innym niż numer PESEL może też podlegać częstszym wymianom, np. w przypadku zakończenia ważności dokumentu potwierdzającego identyfikator pracownika albo w przypadku zmiany nazwiska.
Zdaniem PUODO nowelizacja rozporządzenia eIDAS (eIDAS 2), która przewiduje dodanie do Europejskiego Portfela Tożsamości Cyfrowej kwalifikowanego podpisu elektronicznego, będzie wymagała zmian w prawie krajowym (m.in. związanych z aplikacją mObywatel).
W związku z przyjęciem przez Komisję Europejską aktów wykonawczych w sprawie Europejskiego Portfela Tożsamości Cyfrowej zapewne zostaną podjęte przez resort cyfryzacji prace legislacyjne. Wówczas organ nadzorczy deklaruje eksperckie wsparcie przy wypracowywaniu przepisów wzmacniających poziom ochrony danych osobowych.
DOL.413.3.2024