Z sondy przeprowadzonej przez Prawo.pl wśród członków zarządów różnych osób prawnych, wynika, że wielu z nich nie wie, że wraz ze złożeniem elektronicznego sprawozdania finansowego za 2018 rok, ujawnią światu numery PESEL wszystkich osób, które je podpisały.
– Jestem zaskoczona – mówi Anna Serpina-Forkasiewicz, prezes spółki PortalPZP, która specjalizuje się w elektronizacji zamówień publicznych. – Przecież numer PESEL w połączeniu z imieniem i nazwiskiem jest jak dana wrażliwa, powinna być udostępniana na wniosek. Takie powszechne jej ujawnienie jest niebezpieczne i zbędne – podkreśla Anna Serpina-Forkasiewicz. 

Sprawdź w LEX: Sprawozdanie finansowe w formie elektronicznej >

Problem dotyczy nie tylko członków zarządów, których PESEL już od dawna jest dostępny w KRS, ale także biegłych rewidentów, księgowych sporządzających dokumenty finansowe oraz pełnomocników, którzy prześlą je do Krajowego Rejestru Sądowego. Mają go też urzędnicy, którzy korzystają z elektronicznego podpisu kwalifikowanego. Skala problemu jest ogromna. W Polsce jest blisko 500 tys. spółek, 22 tysiące fundacji i 112 tysięcy stowarzyszeń. Gdyby średnio miały one tylko dwuosobowe zarządy, to już KRS pozwala poznać PESEL ponad miliona osób. Wszystko przez to, że systemy publiczne zostały tak zaprogramowane, że ujawniają numer PESEL wykorzystywany do identyfikacji elektronicznego podpisu kwalifikowanego lub profilu zaufanego.

Maciej Gawroński, partner Gawroński & Partners zwraca uwagę, że PESEL zawiera też informacje o dacie urodzin i płci. - Wszystkie te dane są używane do uwierzytelnienia w różnych systemach i usługach, ich znajomość ułatwia kradzież tożsamości. O ile nie zgadzam się z poglądem UODO, że przypadkowy wyciek numeru PESEL do pojedynczych osób rodzi wysokie ryzyko naruszenia ochrony danych osobowych, bo nie każdy Polak to złodziej tożsamości, to publiczna dostępność numerów PESEL setek tysięcy osób brzmi jak koszmar ochrony danych - ocenia Maciej Gawroński. Część prawników nieoficjalnie przyznaje, że można to uznać za "wyciek" na masową skalę.

Urząd Ochrony Danych Osobowych (UODO) już wielokrotnie zwracał uwagę na potrzebę zmiany obecnych rozwiązań prowadzących do ujawnienia numeru PESEL w kwalifikowanym podpisie elektronicznym ze względu na związane z tym ryzyka dla ochrony danych osobowych, ale bezskutecznie. Jak ustaliło Prawo.pl - wkrótce wystąpi z do Ministerstwa Sprawiedliwości w sprawie KRS.

 

Skąd wziął się problem jawnego numeru PESEL

Od 1 października 2018 r. sprawozdanie finansowe może być złożone tylko w formie elektronicznej. Musi zostać opatrzone kwalifikowanym podpisem elektronicznym lub profilem zaufanym przez osobę, której powierzono prowadzenie ksiąg rachunkowych oraz wszystkich członków zarządu. Tymczasem każdy z tych podpisów zawiera obligatoryjnie imię, nazwisko i numer PESEL. Dzięki temu pozwala zidentyfikować daną osobę. Gdy te dokumenty trafią do Repozytorium Danych Finansowych, można je wyszukać i obejrzeć dzięki przeglądarce dokumentów finansowych na stronie ekrs.ms.gov.pl. - Rozumiem, że  jesteśmy identyfikowani za pośrednictwem PESEL, ale nie rozumiem dlaczego staje się on ogólnodostępny „przy okazji” dla każdego, kto przegląda dokumenty finansowe w eKRS. Dlaczego w czasach RODO następuje jego publiczne wyświetlenie na etapie po złożeniu dokumentów do RDF –  zastanawia się Łukasz Drożdżowski, radca prawny. Prawnicy nie mają wątpliwości, że taka jawność jest sprzeczna z RODO, czyli unijnymi przepisami o ochronie danych osobowych.

Scenariusz jak z Orwella

Mirosław Gumularz, radca prawny z kancelarii GKK Gumularz Kozik, przyznaje, że fakt, iż elementem identyfikującym podpisującego może być PESEL nie oznacza, że może on być wykorzystywany dowolnie. - Ujawnianie PESEL osób, które nie zostały wpisane do KRS może być naruszeniem zasady minimalizacji  – podkreśla Mirosław Gumularz.  - Zgodnie z przepisami KRS wpisując do rejestru osobę fizyczną, zamieszcza się nazwisko i imiona oraz PESEL. Trudno uznać jednak, aby ten przepis dotyczył innych osób niż wpisywane do KRS, np. podpisujących dokumenty pełnomocników - uważa Mirosław Gumularz.

Sprawdź w LEX: Privacy by design czyli projektowanie prywatności >>

Niestety przepisy krajowe pozwalają na takie przetwarzanie numeru PESEL. Według art. 5 ust. 1 lit. c RODO administrator - tu projektodawca - powinien każdorazowo określać, jakie dane są niezbędne dla realizacji usługi. To właśnie zasada minimalizacji, którą  przetwarzanie na taką skalę PESEL może naruszać. I zdaniem Łukasza Drożdżowskiego tak jest w tym przypadku. 

Mirosław Gumularz i Maciej Gawroński zwracają uwagę, że taka jawność może naruszać też zasadę privacy by design.  Co ona oznacza? - RODO wymaga projektowania prywatności już na etapie tworzenia, np. rejestrów - tłumaczy Maciej Gawroński. - Systemowe upublicznianie numerów PESEL to coś przeciwnego, któremu bliżej raczej do Orwellowskiego Roku 1984 - uważa Gawroński. UODO ma zaś wątpliwości, czy PESEL w ogóle powinien być jawny na taką skalę. 

Sprawdź w LEX: Czy biegły rewident musi posiadać osobny podpis kwalifikowany do podpisywania sprawozdania z badania? >

Przepisy krajowe niezgodnie z RODO

- Na dzień dzisiejszy ujawnianie numeru PESEL w Krajowym Rejestrze Sądowym, a także  w kwalifikowanym podpisie elektronicznym jest dopuszczone ustawowo. Niemniej w opinii Urzędu Ochrony Danych Osobowych, te przepisy, zapewniające legalność takiego przetwarzania danych, powinny być zmodyfikowane, gdyż wzbudzają wątpliwość pod kątem zgodności z art. 87 RODO – podkreśla Monika Krasińska, dyrektor zespołu ds. sektora publicznego w UODO. I dodaje, że zgodnie z powołanym przepisem państwo może określić szczególne warunki przetwarzania krajowego numeru identyfikacyjnego, ale  wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą.

Zobacz w LEX: Czy spółka po złożeniu na platformie KRS informacji o niesporządzaniu sprawozdania finansowego, powinna jeszcze przekazać taką informację do innej instytucji? >

- Rozumiejąc potrzebę dbałości o bezpieczeństwo obrotu gospodarczego, należałoby się ponownie zastanowić nad koncepcją powszechnego ujawniania numeru PESEL w kwalifikowanym podpisie elektronicznym, a także nad ograniczeniem jawności numeru PESEL w KRS, chociażby trybem wnioskowym - mówi Monika Krasińska. Obecnie Prezes UODO przygotowuje do Ministra Sprawiedliwości wystąpienie w sprawie konieczności przeanalizowania dotychczasowego modelu powszechnej dostępności numerów PESEL przetwarzanych w KRS.  - Trzeba bowiem pamiętać o wielu ryzykach z tym związanych, jak chociażby profilowanie czy kradzież tożsamości, z wykorzystaniem której zaciągane mogą być różne zobowiązania finansowe, np. pożyczki  – podkreśla Monika Krasińska.

Zobacz w LEX:

W jakim terminie zarząd jest zobowiązany do podpisania sporządzonego sprawozdania finansowego? >

Czy podpis otoczony to podpis kwalifikowany? >

 



 

Problem nie tylko KRS

Co więcej, problem nie dotyczy tylko KRS i sprawozdań finansowych, ale wszystkich innych dokumentów z podpisem kwalifikowanym. Opatrzone nim są wszystkie oferty w zamówieniach publicznych przekraczających progi unijne. Każdego dnia korzysta z niego tysiące urzędników, w tym sekretarzy i skarbników gmin. Informacje o urzędnikach administracji rządowej posiadających podpis kwalifikowany wraz z ich numerem PESEL można znaleźć na stronie Monitora Rządowego. Przez informatyzację sądownictwa, problem z ujawnianiem PESEL będą mieli pracownicy sądów.

Sprawdź w LEX: Kwalifikowany podpis elektroniczny w zamówieniach publicznych >

Każdy bowiem, kto przesyła  dokument opatrzony podpisem kwalifikowanym, ujawnia jednocześnie swój PESEL. Ponadto tworzony rejestr należności publicznoprawnych zakłada upublicznienie numerów PESEL dłużników alimentacyjnych. Maciej Gawroński zauważa, że gdy w Danii w 2014 roku wyciekły tego typu dane na kilka godzin, spowodowało to duży skandal. - Dostęp do numeru PESEL powinien być ograniczony, bo to nie jest dana służbowa. PESEL identyfikuje nas w różnych relacjach, dlatego wydaje się, że nie powinien być powszechnie dostępny. To powinna być informacja raczej zabezpieczona, a nie otwarta dla każdego – podkreśla Monika Krasińska. UODO liczy na rozpoczęcie publicznej dyskusji na ten temat. Podczas prac legislacyjnych nad ustawą wdrażająca RODO, która zacznie obowiązywać już 4 maja, nie pochylono się nad tym problemem. A szkoda, bo wszystko wskazuje, że ten numer zdradzi jeszcze kolejne dane. Od października 2019 roku dzięki niemu będzie można dowiedzieć się, kto jest najważniejszym udziałowcem spółki. Wówczas ma zostać uruchomiony jawny Centralny Rejestr Beneficjentów Rzeczywistych pokazujący osoby fizyczne sprawujące bezpośrednią lub pośrednią kontrolę nad spółką. Ma on ułatwić walkę z praniem pieniędzy. 

 

Aktualizacja: Jan Nowak, prezes Urzędu Ochrony Danych Osobowych wystąpił 14 czerwca 2019 roku do Marka Zagórskiego, ministra cyfryzacji z prośbą o zmianę przepisów, które dostosują aktualne regulacje prawne dotyczące kwalifikowanego podpisu elektronicznego do RODO. Prezes UODO uważa, że ujawnianie numeru PESEL w podpisie kwalifikowanym narusza prywatność i RODO. Sugeruje Ministrowi Cyfryzacji odejście od tej praktyki na rzecz, np. pieczęci elektronicznej. Z informacji uzyskanych przez Prawo.pl wynika jednak, że Ministerstwo Cyfryzacji nie planuje podjąć zmian w zasadach ujawniania danych z podpisów elektronicznych.  

 

Więcej przydatnych materiałów znajdziesz w LEX:

Jakie obowiązki w sprawozdaniu finansowym ma spółka z o.o., która nabyła większościowy pakiet udziałów swojego konkurenta? >

W jaki sposób stowarzyszenie nieprowadzące działalności gospodarczej powinno sporządzić sprawozdanie finansowe? >

Jak należy postąpić, jeśli w trakcie sporządzania sprawozdania finansowego za 2018 r. stwierdzono za niską rezerwę na podatek odroczony? >