Jan Nowak, prezes Urzędu Ochrony Danych Osobowych wystąpił do Marka Zagórskiego, ministra cyfryzacji z prośbą o zmianę przepisów, które dostosują aktualne regulacje prawne dotyczące kwalifikowanego podpisu elektronicznego do zasad wyrażonych w ogólnym rozporządzeniu o ochronie danych (RODO). W ocenie prezesa UODO należy bardzo wnikliwe rozważyć, czy ujawnianie numeru PESEL w certyfikacie kwalifikowanego podpisu elektronicznego jest rzeczywiście jedynym sposobem skutecznego i bezpiecznego potwierdzenia tożsamości i czy nie ma innych rozwiązań w tym zakresie, np. wykorzystywanie w tym celu innego numeru. W takim przypadku szerszy zestaw danych osobowych, w tym numer PESEL, byłby dostępny wyłącznie do wiadomości podmiotu świadczącego usługi certyfikacyjne. Obecnie podpis kwalifikowany, który ujawnia numer PESEL, jest wymagany do podpisania sprawozdania finansowego, wysłania go do KRS, przesłaniu ofert w przetargach powyżej progów unijnych, a także do podpisywania pism przez urzędników. O tym, że jego ujawnianie jest niebezpieczne pisaliśmy w kwietniu.
Czytaj: KRS ujawnia PESEL nawet miliona Polaków >>
Dlaczego e-podpis narusza RODO
Zgodnie z art. 87 RODO państwa członkowskie mogą określić szczególne warunki przetwarzania krajowego numeru identyfikacyjnego. Używa się go jednak wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, które przewiduje RODO. PESEL zaś jest właśnie takim krajowy numerem identyfikacyjny, którego przetwarzanie powinno się odbywać z zachowaniem szczególnych warunków. Konsekwencją dostępności numeru PESEL w kwalifikowanym podpisie elektronicznym jest ujawnianie tego numeru coraz większej liczbie osób w związku z postępującą informatyzacją sfery publicznej. Tym samym, budowa nowoczesnego państwa oraz upraszczanie procedur dla obywateli odbywa się często kosztem ich prywatności.
PESEL pozwala na profilowanie
Ujawniony obecnie w wielu miejscach numer PESEL za sprawą podpisu kwalifikowanego ułatwia kradzież tożsamości jak również profilowanie osoby bez jej wiedzy i zgody. Sprzyja temu unikalność numeru PESEL i szereg dodatkowych informacji jaką ta dana za sobą niesie, tj. wiek czy płeć osoby. Problem ten dotyczy każdego obywatela posługującego się podpisem elektronicznym (coraz częściej obligatoryjnie). Jest to przedmiotem szczególnej troski organu nadzorczego, do którego wpływa coraz więcej skarg i sygnałów w tej sprawie. Dotyczy to bardzo szerokiego spektrum grup i sektorów, w tym m. in. osób prywatnych posługujących się profilem zaufanym, członków rad nadzorczych czy też urzędników zobligowanych do opatrywania kwalifikowanym podpisem elektronicznym pism, decyzji administracyjnych czy aktów prawnych. Ten model musi ulec zmianie, tym czasem jest on powielany w kolejnych projektach Ministra Cyfryzacji. O ile zrozumiałe jest, że kod identyfikacyjny certyfikatu powinien opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikowałby osobę posługującą się kwalifikowanym podpisem elektronicznym, to używanie do tego celu numeru PESEL budzi liczne kontrowersje.
Publiczny rejestr kodów lub pieczęć elektroniczna
Być może celowym byłoby utworzenie publicznego rejestru kodów identyfikacyjnych nieposiadających semantycznych cech numeru PESEL, takich jak data urodzenia i płeć, który służyłby wyłącznie walidacji kwalifikowanego podpisu elektronicznego. Rozwiązaniem sprzyjającym prawu do prywatności byłoby również powszechniejsze stosowanie pieczęci elektronicznej. W takiej pieczęci oprócz nazwy podmiotu i jego danych weryfikacyjnych, takich jak numer NIP i numer REGON, zawarte są dane osób reprezentujących określoną jednostkę organizacyjną podmiotu, którego pieczęć dotyczy, ale bez danych o tak szczególnym charakterze, jakim jest numer PESEL.
Zobacz: Wystąpienia prezesa UODO od Ministra Cyfryzacji >>
To już drugie wystąpienie prezesa UODO do ministerstwa w związku z naruszeniem RODO. Była już prezes UODOD, dr Edyta Bielak-Jomaa, poprosiła Ministerstwo finansów prośbą o wyjaśnienie, czy pracodawcy są w stanie zalogować się do usługi Twój e-PIT na dane pracownika i sprawdzić dane przekazane przez innych płatników. Pod jej wpływem Ministerstwo Finansów wprowadziło dodatkowe zabezpieczenia autoryzacyjne przy logowaniu do systemu. Aby zobaczyć swój PIT za rok 2018, po zalogowaniu się do usługi (danymi uwierzytelniającymi), podatnik jest proszony o podanie dodatkowej informacji z PIT-a za 2017 r. - kwoty nadpłaty lub kwoty podatku do zapłaty.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
