Jak określa Ministerstwo Cyfryzacji, Profil zaufany to bezpłatna metoda potwierdzania tożsamości obywatela w systemach podmiotów publicznych. Można za jego pomocą zalogować się do takiego systemu, a w razie takiej potrzeby złożyć podpis elektroniczny (podpis zaufany), który wobec podmiotów publicznych jest równie skuteczny jak podpis własnoręczny. Jego funkcjonowanie reguluje Rozporządzenie Ministra Cyfryzacji z dnia 29 czerwca 2020 r. w sprawie profilu zaufanego i podpisu zaufanego.
W przypadku korzystania z tej usługi powstają obawy możliwości ujawnienia danych osobowych osoby z niej korzystającej, w tym numeru PESEL, imienia, nazwiska czy loginu które ułatwiają identyfikację. Temat ten poruszany był końcem 2024 r. przez Prezesa UODO, który wystąpił do Ministra Cyfryzacji o zmianę ustawy o usługach zaufania oraz identyfikacji elektronicznej tak, by w certyfikacie kwalifikowanego podpisu elektronicznego nie był upubliczniany numer PESEL. Kwalifikowany podpis elektroniczny oraz podpis zaufany są regulowane przez te same akty prawne jakimi są:
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (tzw. Rozporządzenie eIDAS),
– Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej.
Art. 15. ust. 1 ww. ustawy stanowi, że:
„Informacje i dane związane ze świadczeniem usług zaufania, których ujawnienie mogłoby narazić na szkodę dostawcę usług zaufania lub odbiorcę usług zaufania,
w szczególności dane do składania podpisów elektronicznych lub pieczęci elektronicznych, są objęte tajemnicą”.
W tym przypadku należy interpretować indywidualnie, czy w danej sytuacji ujawnienie danych osobowych jak PESEL, imię czy nazwisko narażają osobę na szkodę. Spoglądając na przepis z szerszej perspektywy, każde ujawnienie takich danych może narażać na szkodę, gdyż może spowodować ono wyciek danych do nieuprawnionych podmiotów, a w konsekwencji może dojść do kradzieży tożsamości, oszustwa i strat finansowych, czy utraty prywatności.
Podpisując dokument Profilem Zaufanym ujawniamy swoje dane osobowe takie jak:
imię i nazwisko, nr PESEL oraz identyfikator profilu zaufanego. Dane te są widoczne dla każdego kto wejdzie w posiadanie dokumentu podpisanego tą metodą.
STANOWISKO UODO
Stanowisko UODO (DPNT.023.913.2025) w tej sprawie brzmi następująco:„Organ nadzorczy do spraw ochrony danych osobowych udziela informacji
o wykonywaniu praw przysługujących osobie, której dane są przetwarzane, natomiast nie wydaje opinii prawnych. Ustalenie, czy w określonej sytuacji doszło do naruszenia prawa do ochrony danych osobowych wymaga w każdym przypadku przeprowadzenia postępowania administracyjnego, które może zostać zainicjowane złożeniem skargi, na podstawie art. 77 RODO. Skarga taka powinna spełniać określone wymagania formalne, które wskazane są na stronie internetowej Urzędu Ochrony Danych Osobowych (UODO).
Należy pamiętać, że organ nadzorczy nie posiada inicjatywy ustawodawczej, a jego ekspercka rola w rekomendowaniu rozwiązań uwzględniających europejskie przepisy o ochronie danych osobowych przy budowaniu określonych norm prawnych może być tylko wówczas realizowana, jeśli nie będzie pomijany w procesie ich tworzenia. Stosowanie w praktyce przepisów budzących wątpliwości z punktów widzenia prawa ochrony danych będzie natomiast przedmiotem postępowań kontrolnych
i administracyjnych, prowadzonych wskutek złożonych skarg lub wskutek autonomicznej decyzji organu nadzorczego”.
Prezes UODO dodatkowo poinformował, że wystąpił już o zmianę ustawy do Ministra Cyfryzacji, o czym było już wyżej wspomniane.
Jak można wyczytać ze strony UODO, „przepisy prawa nie przewidują obowiązku ujawniania numeru PESEL w dokumencie opatrzonym podpisem elektronicznym. Także RODO w art. 6 ust. 1 lit. c odnosząc się do jednej z podstaw legalizujących przetwarzanie danych stanowi, że przetwarzanie jest zgodne z prawem jedynie w sytuacji, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. O ile więc zasadnym jest użycie numeru PESEL w przypadku weryfikacji osoby wnioskującej o wydanie certyfikatu kwalifikowanego podpisu elektronicznego, to zdecydowanie wątpliwe jest ujawnianie tej informacji innym osobom uzyskującym dostęp do treści podpisu”.
Prezes UODO w czerwcu 2019 r. skierował do Ministra Cyfryzacji wystąpienie o dokonanie zmian ustawowych dotyczących kwalifikowanego podpisu elektronicznego. Wskazał, że o ile zasadne jest użycie numeru PESEL w przypadku weryfikacji osoby wnioskującej o wydanie certyfikatu kwalifikowanego podpisu elektronicznego, o tyle wątpliwości budzi ujawnianie numeru PESEL innym osobom, jako konsekwencja użycia podpisu elektronicznego.
STANOWISKO MINISTERSTWA CYFRYZACJI
W czerwcu bieżącego roku zostało skierowane również zapytanie do Ministerstwa Cyfryzacji, które brzmiało:
- Czy Ministerstwo Cyfryzacji dostrzega problem upublicznienia w podpisie profilem zaufanym np. nr PESEL podpisującego?
- Czy w Ministerstwie Cyfryzacji są prowadzone prace legislacyjne w celu zmiany takiego stanu rzeczy?
- Czy Ministerstwo Cyfryzacji zamierza zmienić rozwiązania zawarte w formacie podpisu profilem zaufanym w celu ochrony danych podpisujących, tak by np.
nr PESEL nie był wyświetlany publicznie?
Stanowisko Ministerstwa na to zapytanie brzmi następująco:
„Uprzejmie informuję, że Ministerstwo Cyfryzacji stoi na stanowisku, że zmiana legislacyjna w odniesieniu do numeru PESEL w podpisach elektronicznych nie jest konieczna.
Dane zawarte w podpisie zaufanym zostały ustalone w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne z dnia 17 lutego 2005 r. (Dz.U.
z 2024 r. poz. 1557 z późn. zm., dalej „ustawa”). Z definicji podpisu zaufanego wynika,
iż jest to podpis elektroniczny, którego autentyczność i integralność są zapewniane przy użyciu pieczęci elektronicznej ministra właściwego do spraw informatyzacji, zawierający:
a) dane identyfikujące osobę, ustalone na podstawie środka identyfikacji elektronicznej wydanego w systemie, o którym mowa w art. 20aa pkt 1 ustawy, obejmujące:
- imię (imiona),
- nazwisko,
- numer PESEL,
- b) identyfikator środka identyfikacji elektronicznej, przy użyciu, którego został złożony,
c) czas jego złożenia.
Posiadając podpis zaufany można złożyć pismo do organu administracji publicznej przez internet lub wypełnić e-formularze udostępnione online przez dany urząd. Instytucje publiczne identyfikują osobę po numerze PESEL, w celu realizacji swoich zadań oraz przetwarzają dane zgodnie z przepisami prawa powszechnie obowiązującego,
w szczególności rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm., dalej „RODO”). Ponadto podmioty publiczne w wielu przypadkach zmuszone są przepisami szczegółowymi do uzyskania wiedzy o numerze PESEL klienta. W przypadku zakazu jego umieszczania paradoksalnie zmuszone byłyby on do przetwarzania większej ilości danych osobowych, celem upewnienia się, że osoba podpisująca jest faktycznie tą za którą się podaje. Z tego względu numer PESEL, jako powszechny obowiązujący w Polsce identyfikator wykorzystywany jest w licznych innych narzędziach informatycznych, np. w niektórych certyfikatach zaawansowanego podpisu elektronicznego, w tym w certyfikacie podpisu osobistego umieszczanym w dowodach osobistych, w profilu osobistym oraz w profilu zaufanym i w podpisie zaufanym jak również we wszystkich środkach identyfikacji elektronicznej przyłączonych do węzła krajowego o którym mowa w art. 21a ust. 1 pkt 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2024 r. poz. 1725). Dzięki temu uwierzytelnianie użytkowników w usługach publicznych przebiega automatycznie i bezproblemowo.
Przedstawiając powyższe stanowisko pragnę dodatkowo poinformować, że do Ministra Cyfryzacji jako organu nadzoru nad dostawcami usług zaufania nie docierają sygnały dotyczące szczególnego zagrożenia dla prywatności osób posługujących się podpisem zaufanym. Numer PESEL dostępny jest również w ponad pięciu milionach aktywnych certyfikatach podpisów osobistych, które nie są certyfikatami kwalifikowanymi. Gdyby identyfikatory długotrwałego stosowania (tzw. long term persistent identifiers) miały podlegać szczególnej regulacji w zakresie ich przetwarzania, w tym ujawniania numerów w certyfikatach, w plikach czy inaczej przekazywanych danych to uregulowanie w tej materii powinno mieć charakter horyzontalny a zastosowane środki ochrony charakter uniwersalny.
Nowelizacja rozporządzenia eIDAS – nad którą zakończono prace – nie przewiduje istotnych zmian dotyczących narodowych numerów identyfikacyjnych. Dlatego ewentualne dalsze prace nad regulacjami dotyczącymi numeru PESEL, powinny być prowadzone z uwzględnieniem, że usługi zaufania muszą zachować jednolity charakter oraz sposób działania w całej Unii Europejskiej, a przetwarzanie numerów identyfikacyjnych przez poszczególne narzędzia (jak np. certyfikaty kwalifikowane) nie powinno być przedmiotem skomplikowanych regulacji prawnych. W Komisji Europejskiej trwają obecnie prace nad aktami wykonawczymi mającymi na celu ustalenie w jaki sposób odbywać się będzie dopasowywanie tożsamości osób posługujących się innym identyfikatorami niż oczekiwane przez stronę ufającą (np. identyfikator nadany w innym państwo członkowskim UE zamiast nr PESEL) lub zestawem danych bez identyfikatora (np. imię nazwisko, data i miejsce urodzenia, nazwisko rodowe, adres) tak aby możliwe było zapewnienie dostępu do usługi wymagającej takiego dopasowania w szczególności np. dostępu o danych dotyczących zdrowia”.
PODSUMOWANIE
Podsumowując, w najbliższym czasie próżno oczekiwać działania ze strony Ministerstwa Cyfryzacji w kierunku zmian ustawy, co za tym idzie zmian funkcjonowania Profilu zaufanego i związanego z nim ujawnianiem danych, mimo że problem jest zauważany przez instytucje i organizacje oraz zgłaszany do Prezesa UODO. UODO uważa, że numer PESEL nie powinien być upubliczniany i postulowało zmianę przepisów. Ministerstwo Cyfryzacji twierdzi natomiast, że zmiany nie są konieczne, bo PESEL jest kluczowym identyfikatorem w administracji i jego użycie ułatwia weryfikację. Spór dotyczy więc tego, czy ujawnianie numeru PESEL przy podpisie elektronicznym jest potrzebne i bezpieczne.
REKOMENDACJE INSPEKORA OCHRONY DANYCH
Pracownicy sektora publicznego w przypadku podpisywania dokumentów zwłaszcza decyzji administracyjnych, umów, protokołów, pism wychodzących powinni korzystanie z podpisu kwalifikowanego, ponieważ podpis kwalifikowany nie ujawnia PESELu ani innych danych, które nie są potrzebne odbiorcy dokumentu. Minimalizuje to ryzyko nadmiernego ujawniania danych osobowych o pracownikach i jest zgodne z zasadą minimalizacji danych. Odbiorca ma pewność co do ważności podpisu, a pracownik zachowuje kontrolę nad zakresem ujawnianych danych.
Z Profilu Zaufanego można korzystać jedynie tam, gdzie wynika to wprost z procedur elektronicznych (np. praca na platformie ePUAP) lub gdy wymaga tego konkretna usługa publiczna.
Petencji (mieszkańcy, rodzice, opiekunowie prawni itp.), podmioty zewnętrzne mogą korzystać z Profilu Zaufanego jest to właściwe narzędzie, proste, darmowe i wystarczające do kontaktu z administracją publiczną. Profil Zaufany identyfikuje osobę w sposób pewny, a jego stosowanie po stronie petenta jest prawidłowy i zgodny z obecnym modelem świadczenia usług publicznych.
Podstawa prawna:
- Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - Rozporządzenie Ministra Cyfryzacji z dnia 29 czerwca 2020 r. w sprawie profilu zaufanego i podpisu zaufanego.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (tzw. Rozporządzenie eIDAS)