GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Czy wykorzystywanie numeru PESEL w środkach identyfikacji tożsamości narusza przepisy RODO? – Przyczynek do dyskusji

Czy wykorzystywanie numeru PESEL w środkach identyfikacji tożsamości narusza przepisy RODO? - Przyczynek do dyskusji

UODO w obronie PESEL-u  

W dniu 19 czerwca prezes Urzędu Ochrony Danych Osobowych wydał komunikat w którym wskazał, że wystąpił do Ministra Cyfryzacji z prośbą o zmianę przepisów, które dostosują aktualne regulacje prawne dotyczące kwalifikowanego podpisu elektronicznego do zasad wyrażonych w ogólnym rozporządzeniu o ochronie danych (RODO). Jak wskazał w swoim stanowisku, docierają do niego z licznych środowisk sygnały w sprawie zagrożenia dla prywatności osób posługujących się kwalifikowanym podpisem elektronicznym, związane z ujawnianiem w tym podpisie numeru PESEL osoby podpisującej.

Jest jak było

Mimo, że dookoła zagadnienia urosło bardzo wiele mitów, warto się do nich odnieść odpowiadając na pytanie, czy ujawnienie numeru PESEL w podpisie kwalifikowanym naprawdę narusza przepisy RODO.

Po pierwsze należy wyraźnie przesądzić, że przepisy RODO w żadnym zakresie nie zmieniły zasad związanych z wykorzystywaniem numerów PESEL względem uprzednio obowiązującej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych stanowiącej implementację do krajowego porządku prawnego dyrektywy 95/46/WE. Oba akty prawne zawierają niemal identyczne przesłanki przetwarzania danych osobowych, znajdujące zastosowanie również do pozyskiwanych numerów PESEL. Numer PESEL wykorzystywany jest w podpisie elektronicznym od początku jego funkcjonowania, zanim weszły w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (dalej eIDAS). PESEL był w będących w użyciu wcześniej w tak zwanych bezpiecznych podpisach elektronicznych weryfikowanych za pomocą kwalifikowanego certyfikatu jakie zostały umocowane historycznymi już przepisami ustawy z dnia 18 września 2001 r. o podpisie elektronicznym oraz wydanego na podstawie tej ustawy Rozporządzenia rady ministrów z dnia 7 sierpnia 2002 r.[1]

Przepisy rozporządzenia dopuszczały aby certyfikat zamiast nr PESEL zawierał numer NIP. Podpisy były składane, a dokumenty elektroniczne zawierające nr PESEL podpisującego krążyły  w obiegu, jednak zastosowanie podpisu elektronicznego było rzadkie i mało komu chciało się zadawać trud weryfikacji podpisu. Wymagało to instalowania specjalnego oprogramowania, a „zajrzenie” do środka certyfikatu by zobaczyć numer PESEL podpisującego, graniczyło już z wiedzą tajemną.

Dlaczego PESEL?

Nie ulega jednak wątpliwości, że w środkach identyfikacji elektronicznej konieczne jest wykorzystanie danych, pozwalających jednoznacznie identyfikować osobę uwierzytelniającą. Jak wskazuje się już w pierwszym zdaniu motywów preambuły do rozporządzenia eIDAS „budowanie zaufania do środowiska online jest kluczowe dla rozwoju gospodarczego i społecznego. Brak zaufania, spowodowany w szczególności odczuwanym brakiem pewności prawa, sprawia, że konsumenci, przedsiębiorstwa i organy publiczne wahają się, czy przeprowadzać transakcje elektroniczne i wdrażać nowe usługi”. Certyfikat podpisu elektronicznego jest poświadczeniem elektronicznym, które przyporządkowuje podpis elektroniczny do osoby fizycznej i potwierdza co najmniej imię i nazwisko lub pseudonim tej osoby. W przypadku gdy jest to kwalifikowany certyfikat musi spełniać dodatkowo wymagania określone w załączniku I do eIDAS). Z tego zaś załącznika wynika, że kwalifikowany certyfikat ma zawierać między innymi:

co najmniej imię i nazwisko podpisującego lub jego pseudonim; jeżeli używany jest pseudonim, fakt ten jest jasno wskazany;

kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla kwalifikowanego dostawcy usług zaufania.

Można przyjąć, że kod identyfikacyjny może zawierać jakikolwiek numer przypisany urzędowo do jednej osoby. Nie musi być nim numer PESEL, dlatego na etapie pozyskiwania podpisu kwalifikowanego każdy użytkownik może zdecydować chociażby o posługiwaniu się w tym zakresie numerem NIP. Nie bez znaczenia pozostaje również fakt, że norma techniczna ustalająca tzw. profile certyfikatów dla osób fizycznych (ETSI EN 319 412-2 V2.1.1 (2016-02) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons) wskazuje w rozdziale 4.2.4, że certyfikaty mogą zawierać numer nadany przez wydającego certyfikat lub identyfikator wydawany przez państwo. W efekcie kwalifikowani dostawcy usług zaufania działający zgodnie z normami wskazanymi powyżej mogą wydawać certyfikaty z numerem PESEL jak również z innymi numerami opartymi na rejestrach publicznych.

Podstawa prawna przetwarzania

Uwzględniając rolę podpisu kwalifikowanego uwierzytelniającego osoby nie tylko w relacjach prywatnoprawnych, ale również publicznoprawnych, co najmniej godnym rozważenia wydaje się przesądzenie, czy wobec braku wyraźnej normy prawa krajowego podstawą prawną przetwarzania numeru PESEL przez podmioty publiczne w podpisie kwalifikowanym nie powinien być interes publiczny, o którym mowa w art. 6 ust. 1 lit. e RODO. Odnosząc się z kolei do podmiotów prywatnych, skuteczne uwierzytelnienie się w obrocie gospodarczym wydaje się być uzasadnione interesem uwierzytelnianego przedsiębiorcy. Jak wskazuje się w motywach preambuły do RODO, możliwość powołania się na przesłankę prawnie uzasadnionego interesu o której mowa w art. 6 ust. 1 lit. f RODO uzależniona jest od wykazania związku pomiędzy osobą której dane dotyczą a administratorem pozyskującym dane oraz tym, czy osoba taka jest w stanie przewidzieć, że jej dane będą przetwarzane w takim celu. Wydaje się, że w kontekście ujawnienia numeru PESEL w podpisie elektronicznym obie z tych przesłanek zostały spełnione, a każda osoba wykorzystująca taki podpis może mieć uzasadnione przypuszczenie, że dane ją identyfikujące będą pozyskiwane przez odbiorcę dokumentu. Wreszcie nie bez znaczenia pozostaje tutaj również fakt, że zamawiając podpis u kwalifikowanego dostawcy usług zaufania, zamawiający jest pytany o to czy chce by w certyfikacie wpisać nr PESEL czy numer NIP. Posługiwanie się numerem PESEL w takim certyfikacie jest więc elementem umowy zawieranej pomiędzy dostawca usługi a zamawiającym, i w zachodzących pomiędzy nimi relacjach podstawą przetwarzania takich danych jest art. 6 ust. 1 lit. b RODO a więc niezbędność przetwarzania danych do wykonania umowy.

[1] Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego.