Źródło grafiki: https://pixabay.com/photos/ssl-https-safety-computers-lock-2890762/
Certyfikat kwalifikowanego podpisu elektronicznego nie powinien ujawniać numeru PESEL. Dlatego Prezes UODO wystąpił do Ministra Cyfryzacji o zmianę ustawy o usługach zaufania oraz identyfikacji elektronicznej.
Instytucje i organizacje, w których używany jest kwalifikowany podpis elektroniczny, zwróciły się do Prezesa UODO z problemem dotyczącym numeru PESEL. W oficjalnym komunikacie UODO, wydanym w tej sprawie, wskazano, że numer PESEL jest pozyskiwany przez dostawców usług zaufania publicznego (kwalifikowanego podpisu elektronicznego), a następnie upubliczniany, co z kolei nie wynika ani z przepisów europejskich, ani krajowych.
Słusznie zauważono, że stosowanie certyfikatu kwalifikowanego podpisu elektronicznego reguluje rozporządzenie eIDAS (rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym), oraz ustawa o usługach zaufania (ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej). Tymczasem w świetle rozporządzenia eIDAS kod identyfikacyjny certyfikatu powinien opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikowałby osobę posługującą się kwalifikowanym podpisem elektronicznym. W ocenie organu nadzorczego nie musi być to numer PESEL lecz inny identyfikator. PESEL jest daną wyjątkową, przypisaną obywatelowi dla jego indywidulanych relacji z państwem - nie tylko identyfikuje w sposób unikalny osobę fizyczną, ale pozwala na ustalenie szeregu dodatkowych informacji o niej, takich jak płeć czy wiek osoby.
W związku z istniejącym problemem, Prezes UODO od dawna apeluje do Ministra Cyfryzacji o zmianę ustawy o usługach zaufania oraz identyfikacji elektronicznej tak, by w certyfikacie kwalifikowanego podpisu elektronicznego nie był upubliczniany numer PESEL. Wskazuje on, że przepisy prawa nie przewidują obowiązku ujawniania numeru PESEL w dokumencie opatrzonym podpisem elektronicznym. Także RODO w art. 6 ust. 1 lit. c odnosząc się do jednej z podstaw legalizujących przetwarzanie danych stanowi, że przetwarzanie jest zgodne z prawem jedynie w sytuacji, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.O ile więc zasadnym jest użycie numeru PESEL w przypadku weryfikacji osoby wnioskującej o wydanie certyfikatu kwalifikowanego podpisu elektronicznego, to zdecydowanie wątpliwe jest ujawnianie tej informacji innym osobom uzyskującym dostęp do treści podpisu.
Powyższa kwestia nabrała przy tym szczególnego znaczenia po wycieku danych ze spółki EuroCert po cyberataku, jaki miał miejsce w styczniu tego roku.
W styczniu tego roku spółka Eurocert powiadomiła Prezesa UODO o naruszeniu ochrony danych. Do zdarzenia odniósł się również Pełnomocnik Rządu do spraw Cyberbezpieczeństwa. W rządowym komunikacie wskazano, że w ramach posiedzenia Połączonego Centrum Operacyjnego Cyberbezpieczeństwa ustalono, że wykradzione dane mogą obejmować:
- dane osobowe,
- zawarte umowy,
- informacje o realizowanych przedsięwzięciach,
- dane dostępowe,
- inne wrażliwe informacje.
Obecnie trwa analiza, która jest prowadzona przez CSIRT NASK. Współpracują z nimi Centralne Biuro Zwalczania Cyberprzestępczości, inne krajowe CSIRT-y oraz Ministerstwo Cyfryzacji. Celem podsumowania wyników przedmiotowej analizy oraz podjęcia dalszych działań naprawczych zwołane zostało posiedzenie Zespołu do spraw Incydentów Krytycznych.
Źródło:
- Komunikat UODO, https://uodo.gov.pl/pl/138/3541
- Komunikat, Komunikat Pełnomocnika Rządu do spraw Cyberbezpieczeństwa ws. wycieku danych w wyniku cyberataku wobec firmy EUROCERT Sp. z o.o. https://www.gov.pl/web/baza-wiedzy/komunikat-pelnomocnika-rzadu-do-spraw-cyberbezpieczenstwa-ws-wycieku-danych-w-wyniku-cyberataku-wobec-firmy-eurocert-sp-z-oo
- Komunikat UODO, https://www.uodo.gov.pl/pl/138/3373
_____________________________________
Treści publikowane w serwisie internetowym PlanetaPrawo.pl mają charakter informacyjno-edukacyjny. Nie stanowią one porad prawnych i nie zastępują profesjonalnej pomocy prawnej. Administrator nie ponosi odpowiedzialności za jakiekolwiek skutki związane z ich wykorzystywaniem. Wszelkie prawa zastrzeżone – powołując się na publikację podaj źródło. Wykorzystywanie zawartości serwisu internetowego PlanetaPrawo.pl jako danych treningowych AI jest zabronione.
PlanetaPrawo.pl - przepisy, praktyczne komentarze, orzecznictwo, marketing prawniczy
Polub nas na Facebooku, obserwuj nas na Twitterze oraz Instagramie
Zmiany w prokuraturze. Jest nowy projekt
2024-07-31 11:15
UOKiK stawia zarzuty Orange i nju mobile
2022-09-13 10:00
KIA Polska ma kłopoty. Trwa postępowanie Prezesa UOKiK
2022-09-08 07:50
Wybory do PE już 9 czerwca 2024 r.
2024-06-06 11:30
Idą zmiany w umowie o pracę na okres próbny
2022-05-13 20:29
Nowe przepisy o biurach informacji gospodarczej
2024-07-10 11:17
Prezydent zdecydował, kiedy odbędą się wybory parlamentarne 2023
2023-08-09 13:00
Coraz mniej czasu na złożenie deklaracji CEEB
2022-06-24 10:30
