UODO chce zmian w certyfikowaniu podpisów elektronicznych. Ministerstwo Cyfryzacji nie widzi problemu

Urząd Ochrony Danych Osobowych postuluje zmianę przepisów tak, by w certyfikatach podpisu elektronicznego nie ujawniano numeru PESEL jego właściciela. Stanowisko to popierają eksperci. Resort cyfryzacji nie widzi jednak potrzeby takiej nowelizacji.

Publikacja: 18.10.2024 09:51

UODO chce zmian w certyfikowaniu podpisów elektronicznych. Ministerstwo Cyfryzacji nie widzi problemu

Foto: Adobe Stock

Prezes UODO we wrześniu zwrócił się do ministra cyfryzacji o zmianę przepisów ustawy o usługach zaufania oraz identyfikacji elektronicznej w sposób, który eliminowałyby ujawnianie numeru PESEL w certyfikacie kwalifikowanego podpisu elektronicznego (organ ten nie ma inicjatywy legislacyjnej). Do urzędu wpływają bowiem sygnały o nieprawidłowościach, a zarówno unijne, jak i krajowe przepisy nie wskazują na obligatoryjne używanie numeru PESEL w treści certyfikatu kwalifikowanego podpisu elektronicznego.

Czytaj więcej

Jak zastrzec numer PESEL? 5 rzeczy, o których musisz wiedzieć

UODO zauważył też, że zgodnie z unijnym rozporządzeniem eIDAS kod identyfikacyjny certyfikatu powinien opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikowałby osobę posługującą się kwalifikowanym podpisem elektronicznym. W opinii organu dostępne są inne identyfikatory niż numer PESEL, jak np. numer paszportu, numer dowodu osobistego lub numer identyfikacji podatkowej, które mogłyby być stosowane do uwierzytelniania osoby podpisującej dokument, a jednocześnie w mniejszym stopniu ingerowałyby w prawo do ochrony danych osobowych.

Certyfikowanie podpisów elektronicznych. Eksperci popierają postulaty UODO

Adwokat dr Paweł Litwiński z kancelarii Barta Litwiński wskazuje jednak, że w Polsce jedynym powszechnym takim rejestrem jest PESEL. Zaznacza przy tym, że czym innym jest opieranie się na tym numerze, a czym innym wprost wpisywanie go do kodu. 

– Jeśli w certyfikacie dołączanym do podpisu kwalifikowanego, czyli poświadczeniu, że to rzeczywiście ja podpisałem, znajduje się numer PESEL, to każdy, kto ma ten dokument z moim podpisem, zna m.in. mój numer PESEL. I urząd od lat się temu sprzeciwia, bo unijne prawo tego nie wymaga. Osobiście bardzo wspieram i takie podejście urzędu, i postulat rezygnacji z zawierania numeru PESEL w certyfikacie. Po prostu zakres danych osobowych podawanych w kontekście konkretnej umowy powinien być dostosowany do specyfiki tej umowy, czego przy obecnym stanie prawnym zrobić się nie da – tłumaczy ekspert.

Czytaj więcej

Nie trzeba podawać numeru PESEL w aptece. Można to obejść na cztery sposoby

– Kwestia PESEL-u w certyfikacie była już poruszona od dawna. Sam uważam, że jest to dana nadmiarowa i nie chciałbym, żeby się tam znajdowała. Całkowicie więc zgadzam się z prezesem UODO w tej kwestii – wskazuje z kolei prof. Dariusz Szostek z Uniwersytetu Opolskiego.

Ministerstwo Cyfryzacji: PESEL nie jest obowiązkowy

Z kolei biuro prasowe Ministerstwa Cyfryzacji w odpowiedzi na nasze pytania podkreśla, że w obecnym stanie PESEL może, ale nie musi znajdować się w certyfikacie poświadczającym taki podpis elektroniczny. Co prawda zawartość certyfikatu musi być widoczna dla strony, która weryfikuje podpis elektroniczny, ale (podobnie jak wskazał na to UODO) zamiast numeru PESEL, certyfikat taki może zawierać inne identyfikatory, które jednoznacznie identyfikują osobę podpisującą, np. numer dowodu osobistego, numer paszportu, numer NIP albo numer dokumentu mObywatel (zgodnie z ustawą o aplikacji mObywatel z 2023 roku).

Czytaj więcej

Kaczyński musi wyjaśnić kwestię PESEL-u przy wpłatach na PiS. Jest oficjalny wniosek

Resort podkreśla przy tym, że kwalifikowani dostawcy usług zaufania (podmioty wydające certyfikaty) oraz ich klienci (osoby chcące mieć podpis elektroniczny) mają pełną swobodę w wyborze, jakie dane znajdą się w certyfikacie. Możliwe jest nawet zamówienie podpisu elektronicznego, w którym zamiast imienia i nazwiska znajduje się pseudonim, choć informacja o tym musi być wyraźnie zaznaczona.

PESEL w certyfikacie przydaje się w wielu sytuacjach

Jednocześnie resort zauważa, że osoby, które kupują kwalifikowany podpis elektroniczny, często decydują się na umieszczenie w certyfikacie swojego imienia, nazwiska oraz numeru PESEL. Podpis taki jest bowiem przydatny w wielu usługach publicznych, gdyż umożliwia automatyczną weryfikację tożsamości osoby podpisującej i przyspiesza składanie wniosków czy załatwianie spraw urzędowych.

Zakazanie umieszczania tego numeru tylko w certyfikatach kwalifikowanych mógłby utrudnić wiele procedur. Podmioty publiczne lub inne strony wymagające numeru PESEL mogłyby być zmuszone do przetwarzania większej ilości danych, aby upewnić się, że osoba podpisująca jest tą, za którą się podaje.

Czytaj więcej

PiS prosi o darowizny i numery PESEL. Co na to RODO i ustawa o partiach?

Do Ministerstwa Cyfryzacji nie dotarły też sygnały, które wskazywałyby na zagrożenia dla prywatności wynikające z ujawnienia numeru PESEL w certyfikatach kwalifikowanego podpisu elektronicznego. A występuje on także w ponad pięciu milionach aktywnych certyfikatów podpisów osobistych, które nie są kwalifikowanymi certyfikatami.

Nowa tożsamość internetowa nadchodzi

Warto również dodać, że nowelizacja rozporządzenia eIDAS, która obowiązuje od 20 maja 2024 r., nie wprowadza istotnych zmian dotyczących narodowych numerów identyfikacyjnych. W związku z tym ewentualne prace nad zmianami w przepisach dotyczących numeru PESEL powinny uwzględniać konieczność zachowania spójności w działaniu usług zaufania w całej Unii Europejskiej. Komisja Europejska prowadzi prace nad aktami wykonawczymi, które mają ustalić zasady dotyczące dopasowywania tożsamości osób korzystających z różnych identyfikatorów, np. wydanych w innych krajach UE. Działania w Polsce powinny być prowadzone w zgodzie z tymi przepisami, dlatego ewentualne zmiany na poziomie krajowym byłyby przedwczesne.

– W maju weszły w życie przepisy nowelizujące rozporządzenie eIDEAS, dotyczące m.in. podpisów elektronicznych – tłumaczy Dariusz Szostek. -Wciąż trwa ich „vacatio legis”, ale w przeciągu dwóch lat mają zbudować całkowicie nową postać tożsamości cyfrowej i jej weryfikowania – także w sposób zanonimizowany. Będzie można np. sprawdzić, czy ktoś odwiedzający strony danego rodzaju faktycznie ma 18 lat – ale bez ustalania, kim jest ta osoba – dodaje ekspert.

Wskazuje przy tym, że w ciągu tych dwóch lat ma też powstać eWallet, czyli cyfrowy portfel – rozwiązanie zupełnie inne niż cyfrowe dokumenty, które dziś mamy w mObywatelu. Będzie się można nimi posługiwać w sposób całkowicie zanonimizowany – choć co do zasady będzie on służył do weryfikowania tożsamości. Tego typu usługi już dziś oferują dostawcy smartfonów, jak Apple czy Samsung. Co więcej, w każdym takim „portfelu” ma być za dwa lata darmowy, kwalifikowany podpis elektroniczny.

Prezes UODO we wrześniu zwrócił się do ministra cyfryzacji o zmianę przepisów ustawy o usługach zaufania oraz identyfikacji elektronicznej w sposób, który eliminowałyby ujawnianie numeru PESEL w certyfikacie kwalifikowanego podpisu elektronicznego (organ ten nie ma inicjatywy legislacyjnej). Do urzędu wpływają bowiem sygnały o nieprawidłowościach, a zarówno unijne, jak i krajowe przepisy nie wskazują na obligatoryjne używanie numeru PESEL w treści certyfikatu kwalifikowanego podpisu elektronicznego.

Pozostało 93% artykułu
Podatki
Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA
Prawo w Polsce
Jest apel do premiera Tuska o usunięcie "pomnika rządów populistycznej władzy"
Edukacja i wychowanie
Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw
Praca, Emerytury i renty
Ile trzeba zarabiać, żeby na konto trafiło 5000 zł
Materiał Promocyjny
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Prawo karne
Rząd zmniejsza liczbę więźniów. Będzie 20 tys. wakatów w celach