Prezes UODO we wrześniu zwrócił się do ministra cyfryzacji o zmianę przepisów ustawy o usługach zaufania oraz identyfikacji elektronicznej w sposób, który eliminowałyby ujawnianie numeru PESEL w certyfikacie kwalifikowanego podpisu elektronicznego (organ ten nie ma inicjatywy legislacyjnej). Do urzędu wpływają bowiem sygnały o nieprawidłowościach, a zarówno unijne, jak i krajowe przepisy nie wskazują na obligatoryjne używanie numeru PESEL w treści certyfikatu kwalifikowanego podpisu elektronicznego.
Czytaj więcej
Już prawie 4,5 mln Polaków zastrzegło swój numer PESEL, by nie mogli się nim posłużyć cyberprzestępcy. Wymaga to tylko kilku prostych kroków. Trzeba jednak pamiętać, że zastrzeżenie danych powoduje też pewne ograniczenia w dostępie do bankowości.
UODO zauważył też, że zgodnie z unijnym rozporządzeniem eIDAS kod identyfikacyjny certyfikatu powinien opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikowałby osobę posługującą się kwalifikowanym podpisem elektronicznym. W opinii organu dostępne są inne identyfikatory niż numer PESEL, jak np. numer paszportu, numer dowodu osobistego lub numer identyfikacji podatkowej, które mogłyby być stosowane do uwierzytelniania osoby podpisującej dokument, a jednocześnie w mniejszym stopniu ingerowałyby w prawo do ochrony danych osobowych.
Certyfikowanie podpisów elektronicznych. Eksperci popierają postulaty UODO
Adwokat dr Paweł Litwiński z kancelarii Barta Litwiński wskazuje jednak, że w Polsce jedynym powszechnym takim rejestrem jest PESEL. Zaznacza przy tym, że czym innym jest opieranie się na tym numerze, a czym innym wprost wpisywanie go do kodu.
– Jeśli w certyfikacie dołączanym do podpisu kwalifikowanego, czyli poświadczeniu, że to rzeczywiście ja podpisałem, znajduje się numer PESEL, to każdy, kto ma ten dokument z moim podpisem, zna m.in. mój numer PESEL. I urząd od lat się temu sprzeciwia, bo unijne prawo tego nie wymaga. Osobiście bardzo wspieram i takie podejście urzędu, i postulat rezygnacji z zawierania numeru PESEL w certyfikacie. Po prostu zakres danych osobowych podawanych w kontekście konkretnej umowy powinien być dostosowany do specyfiki tej umowy, czego przy obecnym stanie prawnym zrobić się nie da – tłumaczy ekspert.