Miesięcznik informatyków i menedżerów IT sektora publicznego

Kazimierz Schmidt

Dlaczego w podpisie elektronicznym jest PESEL

Wraz z upowszechnianiem się kwalifikowanego podpisu elektronicznego wróciły kontrowersje związane z tym, że wykorzystany w nim numer PESEL zawiera datę urodzenia, a zatem dane osobowe. Jednak podpis elektroniczny wcale nie musi zawierać tego numeru.

Zdecydowana większość osób posiadających kwalifikowany podpis elektroniczny wie, jakie dane oprócz imienia i nazwiska zawiera składany przez nich podpis. Może to być PESEL, NIP albo numer dokumentu tożsamości. Mimo to co jakiś czas ktoś ze zdziwieniem „odkrywa”, że składany przez niego podpis zawiera jego numer PESEL. Zdarza się to ostatnio coraz częściej dzięki jednoczesnemu zbiegowi następujących zdarzeń: podnoszeniu świadomości w zakresie ochrony danych osobowych, przyśpieszeniu elektronizacji usług publicznych, a także upowszechnianiu się dokumentów elektronicznych zapisanych w formacie PDF i opatrzonych podpisem w formacie PAdES.

W efekcie można się spotkać z oficjalnymi pismami organów1 i artykułami prasowymi wyrażającymi zaniepokojenie faktem, że każdy, kto weryfikuje podpis elektroniczny, może poznać nie tylko imię i nazwisko podpisującego, ale też jego PESEL. Media internetowe, działając w sposób dla siebie oczywisty, zawierają śródtytuły i wytłuszczenia mające wzbudzić zainteresowanie tym wcale niełatwym do zrozumienia zagadnieniem. Niestety, w ślad za takim działaniem przenoszą się i utrwalają dwie nieprawdziwe informacje.

Mity elektronicznego podpisu

Pierwszą jest upowszechnianie się fałszywego mniemania, że kwalifikowany podpis elektroniczny musi zawierać numer PESEL, podczas gdy taki podpis tylko może go zawierać. Mimo że pomiędzy „musi” a „może” jest kolosalna i oczywista różnica, nawet Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) podjął ten temat, formułując oficjalne zapytanie w wystąpieniu do Ministra Cyfryzacji2:

(…) czy ujawnianie numeru PESEL w certyfikacie kwalifikowanego podpisu elektronicznego jest rzeczywiście jedynym sposobem skutecznego i bezpiecznego potwierdzenia tożsamości osób posługujących się podpisem elektronicznym i czy nie ma innych rozwiązań w tym zakresie (…)

Mimo że to tylko pytanie i – co za tym idzie – nie przesądza ono o braku innych rozwiązań, to w kontekście obowiązujących przepisów staje się ono pytaniem retorycznym. Można łatwo sprawdzić, że certyfikat podpisu elektronicznego wcale nie musi zawierać numeru PESEL. Wystarczy sprawdzić, co oferują krajowi kwalifikowani dostawcy podpisów elektronicznych wymienieni na stronie Narodowego Centrum Certyfikacji (nccert.pl).

Wydawałoby się, że na tym emocje dotyczące numeru PESEL w podpisie elektronicznym mogłyby się zakończyć, ale została podniesiona druga wątpliwość, że jeżeli podpis elektroniczny już zawiera numer PESEL (bo może), to ujawnianie tego numeru w podpisie elektronicznym jest niezgodne z rodo. Wspomniane już pismo Prezesa UODO do Ministra Cyfryzacji podchwyciły media internetowe, sugerujące naruszenie przepisów o ochronie danych osobowych.

Wybierz numer

Oprócz Powszechnego Elektronicznego Systemu Ewidencji Ludności istnieją także inne rejestry publiczne, takie jak Rejestr Dowodów Osobistych czy Rejestr Podatników. Planowane jest też stworzenie Rejestru Danych Kontaktowych³. Można domagać się zmian w przepisach, które doprowadziłyby do stworzenia kolejnego rejestru publicznego przyporządkowującego kolejny numer do osób fizycznych – tym razem numer kwalifikowanego certyfikatu, który oczywiście musiałby być odpowiednio połączony z rejestrem PESEL, aby w razie wątpliwości można było ustalić, kto podpisał dokument. Tylko po co? Przecież osoby, które obawiają się, że w ich podpisie elektronicznym pojawi się numer PESEL, już teraz mogą zażyczyć sobie wpisania tam numeru dowodu osobistego albo, jeżeli mają – numeru paszportu lub numeru NIP. Co prawda podpis elektroniczny z takim numerem nie będzie już automatycznie otwierał drzwi do systemów publicznych, ale dalej będzie równoważny z własnoręcznym.

Tak jest przecież od dawna

Numer PESEL znajdował się w podpisie elektronicznym praktycznie od zawsze, jeszcze zanim weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (dalej: eIDAS). PESEL był też wykorzystywany w tzw. bezpiecznych podpisach elektronicznych weryfikowanych za pomocą kwalifikowanego certyfikatu, jakie zostały umocowane historycznymi już przepisami ustawy z dnia 18 września 2001 r. o podpisie elektronicznym oraz wydanego na podstawie tej ustawy rozporządzenia Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. Przepisy rozporządzenia dopuszczały, aby certyfikat zawierał numer NIP zamiast PESEL. Podpisy były składane, podpisane dokumenty elektroniczne zawierające w podpisie PESEL podpisującego były w obiegu, ale mało kto to zauważał, ponieważ zastosowanie podpisu elektronicznego było rzadkie i mało komu chciało się go weryfikować. Wymagało to instalowania specjalnego oprogramowania, a „zajrzenie” do środka certyfikatu, by zobaczyć numer PESEL podpisującego, to już była wiedza tajemna.

[...]

Autor jest pracownikiem Ministerstwa Cyfryzacji. Wspierał zespół roboczy przygotowujący projekt ustawy wdrażającej eIDAS, a następnie nowelizację wdrażającą krajowy węzeł identyfikacji elektronicznej.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej