bg
Chcę wiedzieć o...
Strona główna
Bez kategorii
UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

Dodano: 2024-12-03
Kategorie:

Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do Ministra Cyfryzacji z wnioskiem o zmianę przepisów dotyczących usług zaufania i identyfikacji elektronicznej. Wprowadzenie zmian ma na celu wyeliminowanie praktyki ujawniania numeru PESEL w certyfikatach kwalifikowanego podpisu elektronicznego.

Problem ten został zgłoszony przez różne instytucje i organizacje, które korzystają z kwalifikowanego podpisu elektronicznego. Zgodnie z obecnymi praktykami, dostawcy takich usług pozyskują numer PESEL użytkownika, a następnie umieszczają go w certyfikacie, który jest publicznie dostępny. Co istotne, ani polskie, ani europejskie przepisy nie wymagają takiego działania.

Podstawą prawną regulującą stosowanie kwalifikowanego podpisu elektronicznego jest rozporządzenie eIDAS (Rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014) oraz polska ustawa o usługach zaufania i identyfikacji elektronicznej z 2016 roku. Według eIDAS, certyfikat powinien zawierać identyfikator z rejestru publicznego, który jednoznacznie identyfikuje osobę posługującą się podpisem elektronicznym. Jednak, zdaniem UODO, nie musi to być numer PESEL – równie dobrze można zastosować inny rodzaj identyfikatora.

Numer PESEL to unikalna dana osobowa przypisana obywatelowi, wykorzystywana głównie w relacjach z państwem. Oprócz jednoznacznego identyfikowania osoby, pozwala na ustalenie dodatkowych informacji, takich jak płeć czy wiek, co podnosi ryzyko nadużyć. Przepisy nie przewidują obowiązku umieszczania tej informacji w certyfikacie podpisu elektronicznego.

Zgodnie z RODO (art. 6 ust. 1 lit. c), przetwarzanie danych osobowych jest zgodne z prawem jedynie wtedy, gdy jest niezbędne do wypełnienia określonych obowiązków prawnych. O ile użycie numeru PESEL w procesie weryfikacji osoby składającej wniosek o certyfikat jest uzasadnione, o tyle jego ujawnianie w certyfikacie dostępnym publicznie budzi poważne wątpliwości.

Zmiana przepisów postulowana przez UODO miałaby na celu zwiększenie ochrony danych osobowych obywateli i zmniejszenie ryzyka ich nieuprawnionego wykorzystania. Wprowadzenie alternatywnego identyfikatora mogłoby w znacznym stopniu poprawić poziom bezpieczeństwa oraz zgodność z unijnymi standardami ochrony danych.

Artykuły powiązane

Kierowca odpowiada za wypadek, mimo że pieszy był pijany – decyzja Sądu Najwyższego

Sąd Najwyższy wydał niedawno wyrok (sygn. II CSKP 2286/22), w którym potwierdził odpowiedzialność kierowcy za potrąc...

Rosnące zainteresowanie prywatnymi ubezpieczeniami zdrowotnymi – podsumowanie roku 2024

W 2024 roku Polacy wydali na prywatne ubezpieczenia zdrowotne aż 2,3 miliarda złotych, co oznacza wzrost o 35,3% w p...

939 miliardów złotych w ubezpieczeniach – przedsiębiorcy szukają ochrony przed ryzykiem

W 2024 roku polskie firmy ubezpieczyły swoje obroty handlowe na kwotę przekraczającą 939 miliardów złotych. Choć przych...