Podpis elektroniczny, choć funkcjonuje w wirtualnej przestrzeni, powinien realnie chronić dane osoby, do której należy – uważa generalny inspektor ochrony danych osobowych (GIODO).
Chodzi o sprawę, którą kilka tygodni temu opisaliśmy na łamach DGP. Odkąd akty prawne publikowane są jedynie w internetowych dziennikach urzędowych ministrów lub województw, opatruje się je podpisem elektronicznym upoważnionego pracownika właściwego urzędu.
Problem polega na tym, że sprawdzając certyfikat przyporządkowany do podpisu takiej osoby, każdy internauta może znaleźć nie tylko informację o jej imieniu i nazwisku, danych organu, z upoważnienia którego działa, ale także o jej numerze PESEL.
Zasygnalizowany przez nas problem zwrócił uwagę dr. Wojciecha Rafała Wiewiórowskiego, GIODO. Okazuje się również, że sprawa zbyt szerokiego zakresu danych ujawnianych przy dokumentach elektronicznych wypłynęła w czasie prac nad rozporządzeniem Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
„Organ powołany do spraw ochrony danych osobowych podziela negatywne stanowisko prezentowane przez niektóre delegacje państw członkowskich wobec wyszczególniania w certyfikatach kwalifikowanych krajowego numeru identyfikacyjnego (np. PESEL)” – pisze GIODO w wystąpieniu skierowanym do ministra gospodarki.
PESEL zawiera datę urodzenia, informację o płci, a przede wszystkim jednoznacznie identyfikuje daną osobę, chociażby urzędnika. „To powoduje, że osoby, które posługują się podpisem elektronicznym w ramach wykonywania obowiązków pracowniczych lub w związku z pełnieniem określonych funkcji w instytucjach publicznych, dotkliwie odbierają przymus ujawniania tej informacji” – zauważa GIODO.
Jednocześnie dr Wiewiórowski przychyla się do zdania pytanych wcześniej przez DGP ekspertów, że do identyfikacji użytkownika podpisu elektronicznego, oprócz jego nazwiska, wystarczyłoby jedynie wskazanie instytucji i stanowiska, jak przy tradycyjnych pieczątkach.
Dodatkowo wskazuje, że podobny problem co przy podpisie może występować podczas posługiwania się profilem zaufanym ePUAP.
„Ujawnienie numeru PESEL w wymienionych sytuacjach stanowi istotne zagrożenie dla prywatności i ryzyko pozyskiwania na podstawie tej informacji dalszej wiedzy o danej osobie” – konkluduje GIODO.
Jest to niebezpieczne szczególnie w kontekście tego, że udostępniając informację publiczną opatrzoną podpisem elektronicznym organ de facto traci wpływ na to, co się będzie z nią działo, a więc i z danymi osobowymi urzędnika.