photo
03.10.2024

Certyfikat kwalifikowanego podpisu elektronicznego nie powinien ujawniać numeru PESEL

Prezes UODO wystąpił do Ministra Cyfryzacji o zmianę ustawy o usługach zaufania oraz identyfikacji elektronicznej tak, by w certyfikacie kwalifikowanego podpisu elektronicznego nie był upubliczniany numer PESEL.

To kolejne wystąpienie w tej sprawie – jednak postulaty organu nadzorczego do tej pory nie przyniosły oczekiwanych rezultatów.

Problem z PESEL-em sygnalizują Prezesowi UODO instytucje i organizacje, w których używany jest kwalifikowany podpis elektroniczny. Numer PESEL jest pozyskiwany przez dostawców usług zaufania publicznego (kwalifikowanego podpisu elektronicznego), a następnie upubliczniany, co z kolei nie wynika ani z przepisów europejskich, ani krajowych.

Stosowanie certyfikatu kwalifikowanego podpisu elektronicznego reguluje rozporządzenie eIDAS (rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym), oraz ustawa o usługach zaufania (ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej).

W świetle rozporządzenia eIDAS kod identyfikacyjny certyfikatu powinien opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikowałby osobę posługującą się kwalifikowanym podpisem elektronicznym. W ocenie organu nadzorczego nie musi  być to numer PESEL lecz inny identyfikator. PESEL jest  daną wyjątkową, przypisaną obywatelowi dla jego indywidulanych relacji z państwem - nie tylko identyfikuje w sposób unikalny osobę fizyczną, ale pozwala na ustalenie szeregu dodatkowych informacji o niej, takich jak płeć czy wiek osoby.

Przepisy prawa nie przewidują obowiązku ujawniania numeru PESEL w dokumencie opatrzonym podpisem elektronicznym. Także RODO w art. 6 ust. 1 lit. c odnosząc się do jednej z podstaw legalizujących przetwarzanie danych stanowi, że przetwarzanie jest zgodne z prawem jedynie w sytuacji, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.O ile więc zasadnym jest użycie numeru PESEL w przypadku weryfikacji osoby wnioskującej o wydanie certyfikatu kwalifikowanego podpisu elektronicznego, to zdecydowanie wątpliwe jest ujawnianie tej informacji innym osobom uzyskującym dostęp do treści podpisu. 

DOL.413.3.2024

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2024-10-03
Wprowadził informację:
user Agnieszka Kaczor
date 2024-10-03 09:10:45
Ostatnio modyfikował:
user Agnieszka Kaczor
date 2024-10-31 10:39:38

Materiały do pobrania

Pobierz plik Wystąpienie Prezesa Urzędu Ochrony Danych Osobowych do Ministra Cyfryzacji [PDF, 143,07 KB]
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user Monika Krasińska
date 2024-10-03 10:05:41
Wprowadził informację:
user Agnieszka Kaczor
date 2024-10-03 10:05:41