W języku potocznym utarło się, że PESEL to tzw. „dane wrażliwe”. Każdy z nas, pytany o swój PESEL, dzieli się nim dość niechętnie, uznając, że to bardzo ważny, „wrażliwy” numer identyfikacyjny. Trudno się z tym nie zgodzić. Numer PESEL jest wykorzystywany przez nas dla celów identyfikacyjnych (np. w przychodni), podczas korzystania z przysługujących nam praw obywatelskich (np. podczas głosowania w budżecie obywatelskim), czy też do zaciągania różnego rodzaju zobowiązań (np. popularne „chwilówki”).
Ważnym aspektem związanym z przetwarzaniem danych w postaci numeru PESEL, jest również podejście Prezesa Urzędu Ochrony Danych Osobowych do sytuacji jego ujawnienia podmiotowi nieuprawnionemu. Nasz organ jest na takie przypadki wyjątkowo wyczulony.
Dziś zajmę się odpowiedzią na pytania, która z pewnością nurtują wiele osób: Jak to jest z PESELem? Czy to dane wrażliwe? Co robić, gdy będzie on przedmiotem naruszenia?
Czym jest PESEL?
Każdy z nas słyszał o PESELu; ale czym właściwie jest ten identyfikator? Otóż jest to: Powszechny Elektroniczny System Ewidencji Ludności – 11 cyfrowy identyfikator składający się z ciągu cyfr, który umożliwia identyfikację konkretnej osoby fizycznej. PESEL jest złożony z zakodowanej daty urodzenia, liczby porządkowej oraz zakodowanej płci i cyfry kontrolnej. Dzięki niemu możemy zidentyfikować konkretną osobę fizyczną – każdy obywatel naszego kraju posiada taki numer identyfikacyjny, przypisany mu przez całe życie. Takie dane jak numer dowodu osobistego czy miejsce zamieszkania się zmieniają. PESEL pozostaje niezmienny.
Czym są dane wrażliwe?
Wiemy już czym jest PESEL, teraz odpowiedzmy sobie na pytanie czy PESEL to dane wrażliwe? Potoczne rozumienie terminu danych wrażliwych rozmija się z definicją zawartą w RODO. Zgodnie z art. 9 RODO dane wrażliwe (szczególne kategorie danych) to m.in. dane dotyczące stanu zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych. Mamy do czynienia z zamkniętym katalogiem różnego rodzaju szczególnych kategorii danych. Jak widzimy trudno tu szukać numeru PESEL.
Zgodnie z definicją zawartą w art. 4 RODO „dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, którą można zidentyfikować w szczególności na podstawie identyfikatora takiego jak [..] numer identyfikacyjny”.
Czy PESEL to dane wrażliwe?
A zatem należy uznać, że PESEL identyfikujący osobę fizyczną, w rozumieniu przepisów RODO stanowi tzw. dane zwykłe. Oczywiście by mówić o identyfikacji osoby fizycznej, należy PESEL połączyć z innymi danymi osobowymi, np. imieniem i nazwiskiem, czy adresem zamieszkania i innymi danymi. „Przeciętnemu Kowalskiemu”, który nie ma dostępu do państwowych systemów informatycznych, trudno będzie zidentyfikować taką osobę, wyłącznie po samym numerze PESEL.
Wyjątkiem może być dostęp do numerów PESEL osób reprezentujących spółki, które są dostępne w rejestrze przedsiębiorców Krajowego Rejestru Sądowego. Oczywiście o ile sam dostęp nie jest trudny, to wyszukanie konkretnej osoby po samym numerze PESEL już tak proste nie jest.
Prezes UODO podejmuje natomiast działania mające na celu ograniczenie dostępu do numerów PESEL osób pełniących funkcje w organach osób prawnych ujawnionych w rejestrach publicznych (w tym KRS).
A zatem PESEL nie stanowi danych wrażliwych, zaliczamy go do zbioru danych zwykłych.
Nie wiesz jak się zachować w przypadku wycieku numerów PESEL?
Przygotowaliśmy dla Ciebie kompleksowy pakiet wytycznych w zakresie zarządzania naruszeniami ochrony danych osobowych w organizacji.
Nasze dokumenty zostały opracowane w taki sposób, aby ich dostosowanie do działalności Twojej organizacji było jak najbardziej intuicyjne i proste.
Wyciek PESELu – stanowisko Prezesa UODO
Według poradnika wydanego przez Prezesa Urzędu Ochrony Danych Osobowych – wyciek PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, powoduje wystąpienie wysokiego ryzyka naruszenia praw lub wolności osoby, której te dane dotyczą.
Wiąże się to zatem z koniecznością powiadomienia organu nadzorczego, a także osoby, której dane dotyczą. Więcej na temat zgłaszania naruszenia przetwarzania znajdziesz w artykule Zgłoszenie naruszenia RODO do Urzędu Ochrony Danych Osobowych.
Co może zrobić z PESELem oszust?
Jak wskazuje nasz krajowy regulator, taki zestaw danych – jak opisany powyżej - może zostać wykorzystany do:
- uzyskania przez osoby trzecie kredytów w instytucjach pozabankowych;
- uzyskania dostępu do danych o stanie zdrowia danej osoby, w przypadku włamania do systemu świadczeń opieki zdrowotnej lub korzystania ze świadczeń opieki zdrowotnej przysługujących tej osobie;
- korzystania z praw obywatelskich, np. wykorzystania danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego;
- zarejestrowania telefonicznej karty pre-paid, która może posłużyć do celów przestępczych;
- wyłudzenia ubezpieczenia lub środków z ubezpieczenia;
- zawarcia umów cywilno-prawnych, np. najmu nieruchomości;
- posłużenia się fałszywymi danymi, np. przy otrzymywaniu mandatu.
Właśnie te powyższe niebezpieczeństwa powodują według Prezesa UODO wystąpienie wysokiego ryzyka. Można zatem uznać, ze Prezes UODO zestaw informacji: imię, nazwisko i PESEL uznaje za pewnego rodzaju „dane wrażliwe”, ze względu na możliwość wywołania negatywnych skutków prawnych dla osoby, której dane mogłyby zostać ujawnione. Wyciek takich danych umożliwia chociażby zamówienie dowodu kolekcjonerskiego, co Jest bardzo ryzykowne z punktu widzenia osoby, której dane dostały się w niepowołane ręce.
Przy użyciu takiego dowodu można uzyskać dostęp do karty SIM, a w konsekwencji uzyskać nawet dostęp do konta bankowego czy innych usług powiązanych z numerem telefonu (np. serwisów społecznościowych czy skrzynek e-mail).
Dlatego też w przypadku powyższych danych regulator jest tak wyczulony i nakazuje zgłaszanie naruszenia i powiadamianie osób, których dane wyciekły.
Rosnąca rola identyfikatora PESEL
Faktem jest, że obecnie wzrasta rola identyfikatora PESEL w obrocie gospodarczym. Jeszcze kilka lat temu, gdy numer PESEL nie był używany w postępowaniu cywilnym dochodziło do kuriozalnych sytuacji, np. wszczynania egzekucji wobec niewłaściwych osób, które posiadały to same imię i nazwisko, ale zupełnie inny PESEL. To właśnie postępowania sądowe są najlepszym przykładem istotności numeru PESEL. W 2013 roku wprowadzono m.in. obowiązek wskazywania numeru PESEL pozwanego, będącego osobą fizyczną w elektronicznym postępowaniu upominawczym (tzw. e-sąd), numeru PESEL powoda w pierwszym piśmie procesowym w sprawie czy obowiązek ustalenia przez sąd z urzędu numeru PESEL pozwanego, będącego osobą fizyczną.
Pamiętajmy, że istnieje możliwość ustalenia z urzędu numeru PESEL przez sąd, co może powodować kontrowersje w związku z koniecznością zbierania tego numeru indentyfikacyjnego na potrzeby postępowania sądowego przez administratorów.
PESELe „na zapas”
Fakt zbierania identyfikatorów PESEL był obiektem zainteresowania Fundacji Panaptykon, która poruszyła problem zbierania przez firmę Nextbike Polska S.A. numeru PESEL wśród użytkowników systemu wypożyczalni rowerów miejskich. Jak podnosiła Fundacja, obowiązek zbierania identyfikatora PESEL mógł naruszać ustawę o ochronie danych osobowych (w czasach „przed-RODO”), ponieważ operator posiadał już imię, nazwisko, dane adresowe, numer telefonu czy adres e-mail.
Fundacja wskazywała, że zbieranie danych „na zapas”, na wypadek kradzieży czy nieuiszczenia opłaty za korzystanie z rowerów, jest niezgodny z prawem. Nextbike tłumaczył zbieranie tych danych koniecznością dokładnej identyfikacji strony umowy i egzekwowania opłat za wypożyczenie rowerów. Sprawa została zgłoszona przez Fundację do GIODO (poprzednika Prezesa UODO). Organ nadzorczy przeprowadził kontrolę i nie dopatrzył się naruszenia przepisów prawa. Zdaniem urzędu, Nextbike miał prawo przetwarzać numery PESEL w celu ewentualnego dochodzenia roszczeń. Było to zatem potwierdzenie stanowiska, które Fundacja otrzymała od operatora systemu Veturilo.
Czy taki pogląd jest prawidłowy? Wydaje się, że z jednej strony przedsiębiorcy muszą móc dochodzić swoich roszczeń i identyfikować bezbłędnie konkretne osoby fizyczne poprzez PESEL, z drugiej strony zbieranie danych „na zapas” powoduje „zjawisko PESELozy”, o czym pisze dr Paweł Litwiński, co jest ryzykowne w przypadku wystąpienia wycieku takich danych, o czym była mowa powyżej
Podsumowanie
W chwili obecnej jesteśmy świadkami nagminnego „zbierania” identyfikatorów PESEL. Najczęściej odbywa się to w celu dochodzenia roszczeń, ale też w celu korzystania z usług ochrony zdrowia czy realizacji naszych praw obywatelskich. Dlatego ważne jest zbudowanie systemu ochrony danych osobowych, który będzie na tyle bezpieczny, że obniży ryzyko wycieku danych (a zwłaszcza numerów PESEL) do minimum. Jest to o tyle istotne, że Prezes UODO wyraźnie wskazuje jak ważnym identyfikatorem jest PESEL. Mimo, że nie zalicza się on do zbioru danych wrażliwych jego wyciek może spowodować wysokie ryzyko naruszenia praw lub wolności. Będzie w związku z tym wiązać się z koniecznością powiadomienia Prezesa UODO oraz danej osoby. Zatem chrońmy PESELe naszych pracowników, klientów czy kontrahentów najlepiej jak to możliwe.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych)
- Obowiązki administratorów związane z naruszeniami ochrony danych osobowych
- PESEL potrzebny do wypożyczenia roweru miejskiego?
- Skąd się wziął numer PESEL i PESELoza?
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.