Urząd Ochrony Danych Osobowych apeluje do Ministra Cyfryzacji o wprowadzenie zmian w podpisie elektronicznym, w związku z wyciekiem danych osobowych pracowników i funkcjonariuszy Krajowej Administracji Skarbowej.

Prezes UODO zwrócił uwagę, że numer PESEL jest pozyskiwany przez dostawców usług zaufania publicznego (kwalifikowanego podpisu elektronicznego), a następnie upubliczniany. 

Prezes UODO, odesłał do przepisów eIDAS (rozporządzenia Parlamentu Europejskiego i Rady nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym) oraz ustawy o usługach zaufania (ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej). 

Zgodnie z, którym kod identyfikacyjny certyfikatu powinien się opierać na numerze z rejestru publicznego, umożliwiającym jednoznaczną identyfikację osoby posługującej się kwalifikowanym podpisem elektronicznym. Z przepisów tych w żaden sposób nie wynika, że musi to być właśnie numer PESEL – niemniej prezes UODO zdaje się zapominać, że nie mamy innego numeru z rejestru publicznego, który mógłby stanowić alternatywę dla numeru PESEL.

Zatem, należałoby skupić się raczej na zapewnieniu właściwej ochrony numeru PESEL a nie panicznym reagowaniu, w każdej sytuacji gdzie PESEL danej osoby jest dostępny.

Pobocznie, należy wskazać, że nie ma większych problemów z wyszukaniem numeru PESEL dowolnej osoby, wystarczy znać adres jej nieruchomości i znaleźć go w księdze wieczystej, rejestrze KRS czy rejestrze beneficjentów rzeczywistych.

Źródło: UODO