2016-06-06 Działania GIODO ws. podpisu elektronicznego
W nawiązaniu do poprzedniego artykułu Podpis elektroniczny a dane osobowe przedstawiamy zasygnalizowany problem z perspektywy Generalnego Inspektora Danych Osobowych.
W piśmie GIODO o znaku ZKO-067-5/16/48407 z dnia 31 maja 2016 r.:
ODPOWIADAJĄC NA (...) ZAPYTANIE O DZIAŁANIA GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH (ZWANEGO DALEJ „GIODO”) PODJĘTE NA RZECZ OCHRONY DANYCH OSOBOWYCH W ZWIĄZKU ZE STOSOWANIEM BEZPIECZNEGO PODPISU ELEKTRONICZNEGO WERYFIKOWANEGO PRZY POMOCY WAŻNEGO KWALIFIKOWANEGO CERTYFIKATU ORAZ PODPISU POTWIERDZONEGO PROFILEM ZAUFANYM EPUAP INFORMUJĘ UPRZEJMIE, ŻE GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH BIERZE, W ZAKRESIE SWOICH USTAWOWYCH KOMPETENCJI, AKTYWNY UDZIAŁ W PRACACH LEGISLACYJNYCH MAJĄCYCH NA CELU UREGULOWANIE ZAGADNIENIA STANOWIĄCEGO PRZEDMIOT PAŃSKIEGO WNIOSKU. W SZCZEGÓLNOŚCI:
1. W TOKU KOORDYNOWANYCH W MINISTERSTWIE GOSPODARKI PRAC NAD PROJEKTEM ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) W SPRAWIE IDENTYFIKACJI ELEKTRONICZNEJ I USŁUG ZAUFANIA W ODNIESIENIU DO TRANSAKCJI ELEKTRONICZNYCH NA RYNKU WEWNĘTRZNYM ORAZ UCHYLAJĄCEGO DYREKTYWĘ 1999/93/WE, PRZYJĘTYM OSTATECZNIE W DNIU 23 LIPCA 2014 R. (POD NR 910/2014), STOSOWANYM OD DNIA 1 LIPCA 2016 R., GIODO PRZEDSTAWIAŁ KONSEKWENTNIE STANOWISKO WSKAZUJĄCE NA ZAGROŻENIA ZWIĄZANE Z UJAWNIANIEM NUMERU PESEL (JEGO ODPOWIEDNIKA W INNYCH PAŃSTWACH CZŁONKOWSKICH UE) W PROCEDURACH I MECHANIZMACH UWIERZYTELNIANIA I IDENTYFIKACJI OSÓB FIZYCZNYCH ORAZ WSKAZUJĄCE NA KONIECZNOŚĆ ROZWAŻENIA PROBLEMU Z UWZGLĘDNIENIEM ZASADY ADEKWATNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH I POSZUKIWANIA INNYCH ROZWIĄZAŃ W TYM ZAKRESIE.
VIDE: PRZYKŁADOWO PISMO GIODO Z DNIA 6 GRUDNIA 2012 R. SKIEROWANE DO MINISTERSTWA GOSPODARKI (DOLIS-072-24/12/74040) I ORAZ PISMO GIODO SKIEROWANE DO MINISTERSTWA GOSPODARKI (DOLIS-072-24/13/74360).
2. W TOKU TRWAJĄCYCH AKTUALNIE W MINISTERSTWIE ROZWOJU PRAC NAD PROJEKTEM USTAWY O USŁUGACH ZAUFANIA, IDENTYFIKACJI ELEKTRONICZNEJ ORAZ ZMIANIE NIEKTÓRYCH USTAW, GIODO ZGŁOSIŁ DO PRZEDSTAWIONEGO PROJEKTU SZEREG UWAG , W TYM PONOWNIE PRZEDSTAWIŁ SWOJE ZASTRZEŻENIA CO DO UJAWNIANIA NUMERU PESEL PRZY STOSOWANIU PODPISU ELEKTRONICZNEGO, ZGŁASZANE UPRZEDNIO W TRAKCIE PRAC NAD PROJEKTEM ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) W SPRAWIE IDENTYFIKACJI ELEKTRONICZNEJ I USŁUG ZAUFANIA W ODNIESIENIU DO TRANSAKCJI ELEKTRONICZNYCH NA RYNKU WEWNĘTRZNYM ORAZ UCHYLAJĄCEGO DYREKTYWĘ 1999/93/WE. PRACE NAD PROJEKTEM PRZEDMIOTOWEJ USTAWY SĄ W TOKU; ICH STAN MOŻNA ŚLEDZIĆ NA STRONIE RZĄDOWEGO CENTRUM LEGISLACJI, GDZIE ZAMIESZCZONE SĄ RÓWNIEŻ WSZELKIE DOKUMENTY ZWIĄZANE Z PROCEDURĄ LEGISLACYJNĄ, W TYM OPINIA GIODO – PISMO Z DNIA 8 KWIETNIA 2016 R., SYGN. DOLIS-033-92/16/27913.
VIDE: PISMO GIODO Z DNIA 8 KWIETNIA 2016 R. SKIEROWANE DO MINISTERSTWA ROZWOJU (DOLIS-033-92/16/27913).
3. W TOKU MAJĄCYCH MIEJSCE W 2015 R. W MINISTERSTWIE ADMINISTRACJI I CYFRYZACJI PRAC NAD PROJEKTEM ROZPORZĄDZENIA MINISTRA ADMINISTRACJI I CYFRYZACJI ZMIENIAJĄCEGO ROZPORZĄDZENIE W SPRAWIE ZAKRESU I WARUNKÓW KORZYSTANIA Z ELEKTRONICZNEJ PLATFORMY USŁUG ADMINISTRACJI PUBLICZNEJ ORAZ PROJEKTEM ROZPORZĄDZENIA ZMIENIAJĄCEGO ROZPORZĄDZENIE W SPRAWIE ZASAD POTWIERDZANIA, PRZEDŁUŻANIA WAŻNOŚCI, UNIEWAŻNIANIA ORAZ WYKORZYSTANIA PROFILU ZAUFANEGO ELEKTRONICZNEJ PLATFORMY USŁUG ADMINISTRACJI PUBLICZNEJ, GIODO POWTÓRZYŁ PODNOSZONE WCZEŚNIEJ ZASTRZEŻENIA W ODNIESIENIU DO ZASAD POSŁUGIWANIA SIĘ PROFILEM ZAUFANYM UŻYTKOWNIKA NA PLATFORMIE EPUAP, KTÓRE WIĄŻĄ SIĘ Z KONIECZNOŚCIĄ UJAWNIANIA NUMERU PESEL. GIODO PODNIÓSŁ JEDNOCZEŚNIE WĄTPLIWOŚCI W ODNIESIENIU DO OBLIGATORYJNEGO POZYSKIWANIA OD OSÓB CHCĄCYCH ZAŁOŻYĆ KONTO NA EPUAP ADRESU ZAMIESZKANIA ORAZ NUMERU TELEFONU KOMÓRKOWEGO. PRACE NAD WYMIENIONYMI WYŻEJ ROZPORZĄDZENIAMI TOCZĄ SIĘ AKTUALNIE W MINISTERSTWIE CYFRYZACJI.
VIDE: PISMO GIODO Z DNIA 12 CZERWCA 2015 R. SKIEROWANE DO MINISTERSTWA ADMINISTRACJI I CYFRYZACJI (DOLIS-033-218/15/46496).
PODKREŚLIĆ NALEŻY, ŻE – ZGODNIE Z ART. 12 USTAWY Z DNIA 29 SIERPNIA 1997 R. O OCHRONIE DANYCH OSOBOWYCH (T.J. DZ. U. Z 2015 R. POZ. 2135 Z PÓŹN. ZM.) – OPINIOWANIE PROJEKTÓW AKTÓW PRAWNYCH W ZAKRESIE OCHRONY DANYCH OSOBOWYCH JEST JEDYNĄ DOSTĘPNĄ GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH FORMĄ WPŁYWANIA NA KSZTAŁT REGULACJI PRAWNYCH MAJĄCYCH WPŁYW NA OCHRONĘ DANYCH OSOBOWYCH. DO ZADAŃ I KOMPETENCJI GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH NALEŻY NATOMIAST WYDAWANIE, W PRZYPADKU STWIERDZENIA NARUSZENIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH, DECYZJI ADMINISTRACYJNYCH NAKAZUJĄCYCH ADMINISTRATOROM DANYCH OSOBOWYCH PRZYWRÓCENIE STANU ZGODNEGO Z PRAWEM (ART. 12 PKT 2 W ZWIĄZKU Z ART. 18 UST. 1 USTAWY Z DNIA 29 SIERPNIA 1997 R. O OCHRONIE DANYCH OSOBOWYCH). W ZAKRESIE OBJĘTYM PAŃSKIM WNIOSKIEM GIODO WYDAŁ W DNIU 17 WRZEŚNIA 2014 R. DECYZJĘ ADMINISTRACYJNĄ O SYGN. DIS/DEC-913/14/72580 (ZMIENIONĄ CZĘŚCIOWO W ZAKRESIE TERMINÓW JEJ WYKONANIA DECYZJĄ GIODO Z DNIA 9 PAŹDZIERNIKA 2014 R. O SYGN. DIS/DEC-980/14/79349) SKIEROWANĄ DO MINISTRA ADMINISTRACJI I CYFRYZACJI – WŁAŚCIWEGO DO SPRAW INFORMATYZACJI – BĘDĄCEGO, ZGODNIE Z ART. 19A UST. 2 USTAWY Z DNIA 17 LUTEGO 2005 R. O INFORMATYZACJI DZIAŁALNOŚCI PODMIOTÓW REALIZUJĄCYCH ZADANIA PUBLICZNE (T.J. DZ. U. Z 2014 R. POZ. 1114), ADMINISTRATOREM DANYCH UŻYTKOWNIKÓW EPUAP. W POWYŻSZEJ DECYZJI GIODO NAKAZAŁ MINISTROWI ADMINISTRACJI I CYFRYZACJI M.IN. USUNIĘCIE – W TERMINIE DO DNIA 9 PAŹDZIERNIKA 2015 R. – UCHYBIEŃ W PROCESIE PRZETWARZANIA DANYCH OSOBOWYCH OSÓB ZAKŁADAJĄCYCH KONTO W SYSTEMIE EPUAP POPRZEZ ZAPEWNIENIE, ABY ZAKRES POZYSKIWANYCH DANYCH OD WW. OSÓB W ZWIĄZKU Z ZAKŁADANIEM KONTA WE WSKAZANYM SYSTEMIE BYŁ ZGODNY Z ZAKRESEM OKREŚLONYM W § 3 UST. 1 ROZPORZĄDZENIA MINISTRA ADMINISTRACJI I CYFRYZACJI Z DNIA 6 MAJA 2014 R. W SPRAWIE ZAKRESU I WARUNKÓW KORZYSTANIA Z ELEKTRONICZNEJ PLATFORMY USŁUG ADMINISTRACJI PUBLICZNEJ (DZ.U. Z 2014 R., POZ. 584). W TOKU KONTROLI PRZEPROWADZONEJ W MINISTERSTWIE ADMINISTRACJI I CYFRYZACJI USTALONO BOWIEM, ŻE MINISTER ADMINISTRACJI I CYFRYZACJI, JAKO ADMINISTRATOR DANYCH OSOBOWYCH, DOPUŚCIŁ SIĘ NARUSZENIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH POLEGAJĄCEGO NA POZYSKIWANIU OD OSÓB ZAKŁADAJĄCYCH KONTO W SYSTEMIE EPUAP DANYCH W ZAKRESIE WYKRACZAJĄCYM POZA ZAKRES OKREŚLONY W § 3 UST. 1 WSKAZANEGO POWYŻEJ ROZPORZĄDZENIA (DOTYCZY TO NUMERÓW NIP I PESEL ORAZ ADRESÓW ZAMIESZKANIA LUB POBYTU OSÓB ZAKŁADAJĄCYCH KONTO W SYSTEMIE EPUAP, KTÓRE TO DANE NIE ZOSTAŁY WSKAZANE W POWOŁANYM POWYŻEJ PRZEPISIE).
AKTUALNIE W BIURZE GIODO TOCZY SIĘ POSTĘPOWANIE SPRAWDZAJĄCE WYKONANIE PRZEZ MINISTRA CYFRYZACJI (UPRZEDNIO MINISTRA ADMINISTRACJI I CYFRYZACJI) WSKAZANEJ WYŻEJ DECYZJI GIODO.
VIDE: DECYZJA GIODO Z DNIA 17 WRZEŚNIA 2014 R. (SYGN. DIS/DEC-913/14/72580) ORAZ DECYZJA GIODO Z DNIA 9 PAŹDZIERNIKA 2014 R. (SYGN. DIS/DEC-980/14/79349).