Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do Ministra Cyfryzacji z wnioskiem o zmianę przepisów dotyczących usług zaufania i identyfikacji elektronicznej. Wprowadzenie zmian ma na celu wyeliminowanie praktyki ujawniania numeru PESEL w certyfikatach kwalifikowanego podpisu elektronicznego.
Problem ten został zgłoszony przez różne instytucje i organizacje, które korzystają z kwalifikowanego podpisu elektronicznego. Zgodnie z obecnymi praktykami, dostawcy takich usług pozyskują numer PESEL użytkownika, a następnie umieszczają go w certyfikacie, który jest publicznie dostępny. Co istotne, ani polskie, ani europejskie przepisy nie wymagają takiego działania.
Podstawą prawną regulującą stosowanie kwalifikowanego podpisu elektronicznego jest rozporządzenie eIDAS (Rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014) oraz polska ustawa o usługach zaufania i identyfikacji elektronicznej z 2016 roku. Według eIDAS, certyfikat powinien zawierać identyfikator z rejestru publicznego, który jednoznacznie identyfikuje osobę posługującą się podpisem elektronicznym. Jednak, zdaniem UODO, nie musi to być numer PESEL – równie dobrze można zastosować inny rodzaj identyfikatora.
Numer PESEL to unikalna dana osobowa przypisana obywatelowi, wykorzystywana głównie w relacjach z państwem. Oprócz jednoznacznego identyfikowania osoby, pozwala na ustalenie dodatkowych informacji, takich jak płeć czy wiek, co podnosi ryzyko nadużyć. Przepisy nie przewidują obowiązku umieszczania tej informacji w certyfikacie podpisu elektronicznego.
Zgodnie z RODO (art. 6 ust. 1 lit. c), przetwarzanie danych osobowych jest zgodne z prawem jedynie wtedy, gdy jest niezbędne do wypełnienia określonych obowiązków prawnych. O ile użycie numeru PESEL w procesie weryfikacji osoby składającej wniosek o certyfikat jest uzasadnione, o tyle jego ujawnianie w certyfikacie dostępnym publicznie budzi poważne wątpliwości.
Zmiana przepisów postulowana przez UODO miałaby na celu zwiększenie ochrony danych osobowych obywateli i zmniejszenie ryzyka ich nieuprawnionego wykorzystania. Wprowadzenie alternatywnego identyfikatora mogłoby w znacznym stopniu poprawić poziom bezpieczeństwa oraz zgodność z unijnymi standardami ochrony danych.
