Czy numer PESEL to wrażliwe dane osobowe?

Czy numer PESEL to dane wrażliwe? Czy jeśli wyciekną dane osobowe np. imię i nazwisko oraz numer PESEL to mamy podwyższony poziom ryzyka naruszenia naszych praw lub wolności?

Na jednej z konfederacji w 2019 r. jeden z pracowników Urzędu Ochrony Danych Osobowych powiedział, że UODO, „zawsze będzie kwalifikował naruszenia związane z wyciekiem danych osobowych z numerem PESEL, jako naruszenie z wysokim ryzykiem naruszenia praw i wolności”. Głęboko się z tym nie zgadzam, ponieważ….

Czym jest numer PESEL?

Powszechny Elektroniczny System Ewidencji Ludności czyli PESEL jest centralnym rejestrem państwowym prowadzonym na mocy przepisów dotyczących ewidencji ludności. Rejestr służy do gromadzenia podstawowych informacji identyfikujących tożsamość i status administracyjno-prawny obywateli polskich oraz cudzoziemców zamieszkujących na terenie Polski.

Dlaczego „dane osobowe” a nie „dane osobowa”?

PESEL jest 11-cyfrowy symbolem numerycznym jednoznacznie identyfikujący konkretną osobę fizyczną. Składa on się z następujących informacji:

  • data urodzenie osoby (cyfry od 1 -6)
  • liczba porządkowa (cyfry od 7-10) składająca się z numerem serii oraz płci (cyfra 10)
  • cyfra kontrolna (11)
  • oraz fakt, że numer PESEL należy do rejestru państwowego

Zatem numer PESEL niesie za sobą, nie jedną, a aż cztery informacje, dlatego można mówić o numerze PESEL jako „danych osobowych”.

Kto jest w posiadaniu mojego numeru PESEL?

Całkiem prawdopodobne jestem, że następujące podmioty, czy rodzaje podmiotów dysponują naszym numerem PESEL: minister właściwy ds. informatyzacji, urzędy stanu cywilnego, organy gminy, szpitale i inne zakłady opieki zdrowotnej udzielające świadczeń medycznych, ZUS, oświata (od szkoły podstawowej, średniej po uczelnie wyższe), banki, zakłady ubezpieczeń, wszyscy pracodawcy, większość zleceniodawców, organy podatkowe, zakłady gospodarki komunalnej, starostowie, dostawcy usług powszechnych takich jak: wodociągi, zakłady energetyczne, zakłady szkodnictwa, operatorzy telekomunikacyjni (czy dostawcy usług telefonicznych i internetowych) oraz wiele przedsiębiorców, z którymi zawieraliśmy umowy cywilne (głównie zakupu usług czy towarów). Jak widać, krąg administratorów jaki jest uprawniony do przetwarzania naszych numerów PESEL jest ogromny i praktycznie nieskończony.

Do tego (jeszcze nie wielka to część społeczeństwa), ale coraz więcej z nas dysponuje numerami PESEL osób których nie znamy lub możemy nie znać. Jest on zawarty w podpisie elektronicznym z kwalifikowanym certyfikatem zaszyty w plikach elektronicznych jakie często przechowujemy na naszych komputerach.

Co można zrobić mając numer PESEL?

W sumie, to nie za wiele możemy zdziałać będąc w posiadaniu samego numeru PESEL. Mówi on nam tylko, że mamy do czynienia  z osobą fizyczną (nawet nie wiemy czy ona żyje), kiedy się urodziła i jakiej jest płci. Oczywiście numer PESEL zazwyczaj nie występuje sam. Przeważnie towarzyszą mu inna dane takiej jak: imię, nazwisko, adres zamieszkania lub zameldowania, nr dokumentu tożsamości. Powyższy zestaw danych, wystarczający, aby przygotować pisemną umowę cywilną z osobą fizyczną. Specjalnie napisałem „przygotować” umowę, a nie zawrzeć umowę. Bo jak można zawrzeć skutecznie umowę z „danymi osobowymi” nie znając lub nie mając pewności co do tożsamości, która się tymi danymi posługuje?

Zmiana paradygmatu

To w tym miejscu powinien nastąpić przełomowy punkt w myśleniu o numerze PESEL. Nie fakt posiadania, czy wycieku tego numeru powinno być złem i ryzykiem samym w sobie. To nierzetelni przedsiębiorcy, czy pracownicy podmiotów publicznych, którzy nienależycie weryfikują tożsamość osoby, która się posługuje tym numerem PESEL, powinny być „ścigani” przez organy do tego powołane (w tym Prezesa UODO).

Weryfikacja tożsamości osoby, szczególnie w Internecie, przy korzystaniu z usług drogą elektroniczną, usług publicznych czy zawieraniu umów na odległość, jest najważniejszym procesem przetwarzania danych osobowych. A stopień głębokości tej weryfikacji powinien być adekwatny do ryzyka dla osoby, jakie może wiązać się z błędnym zweryfikowaniem jej tożsamości.

Stawiam więc pytanie retoryczne: który z administratorów w swoich ogromnych RCP’ach, czy systemach zarządzania, naprawdę zarządza procesami weryfikacji tożsamości?

Tomasz Izydorczyk