Uwagi RPO do projektu zmian ws. zapobiegania kradzieży tożsamości
- Rząd prowadzi prace legislacyjne nad zmianą przepisów, która ma na celu zapobieganie kradzieży tożsamości
- RPO ocenia pozytywnie proponowane rozwiązania, ale niektóre budzą jego wątpliwości
- Chodzi o problem jawności numeru PESEL, brak elektronicznych pełnomocnictw czy zasady udostępniania danych z rejestru zastrzeżeń
Rzecznik Praw Obywatelskich przedstawił uwagi do przygotowywanej przez Ministerstwo Cyfryzacji zmiany przepisów w związku z zapobieganiem kradzieży tożsamości.
W opinii znalazła się pozytywna ocena wprowadzenia rozwiązania polegającego na zastrzeżeniu numeru PESEL w celu zapobiegania zjawisku kradzieży tożsamości, lecz jednocześnie podkreślono, że projektowane rozwiązania powinny zapewnić lepszą ochronę praw obywatelskich i zgłoszono wątpliwości do niektórych z projektowanych rozwiązań.
Zaproponowane zmiany są potrzebne, ale niewystarczające
Słuszny jest zarówno kierunek, jak i cel przyjętych rozwiązań, czyli zapobieganie zaciągania na skradzione dane identyfikujące osobę kredytów i pożyczek, otwierania rachunków bankowych, zarejestrowania na jej dane działalności gospodarczej oraz sprzedaży nieruchomości.
Rzecznik ma jednak wątpliwość, czy rozwiązanie mające na celu minimalizację zjawiska kradzieży tożsamości jest wystarczające dla ochrony praw obywateli w sytuacji, gdy numer PESEL jest jawny i dostępny w przestrzeni publicznej, w tym w publicznych bazach danych.
Należy kompleksowo i systemowo zastanowić się nad dotychczasowymi rozwiązaniami, które zakładają powszechny dostęp do numeru PESEL. Dlatego zdaniem RPO, przy okazji konsultacji tego projektu, należy poruszyć również te kwestie.
Problem jawności numeru PESEL
RPO wielokrotnie podejmował działania z punktu widzenia prawa do prywatności i ochrony danych osobowych. Przedstawiał zastrzeżenia w odniesieniu do tworzenia i funkcjonowania rejestrów publicznych przewidujących jawność nr PESEL (takich jak np. Centralny Rejestr Beneficjentów Rzeczywistych).
Udostępnianie w publicznych zbiorach danych numeru PESEL może stanowić poważne zagrożenie dla obywateli związane z naruszeniem ochrony prywatności, w tym właśnie z możliwością kradzieży tożsamości. Prywatność jednostki jest natomiast wartością chronioną konstytucyjnie w art. 47 Konstytucji RP oraz w art. 51 Konstytucji RP.
Standard konstytucyjny ochrony prawa do prywatności i ochrony danych osobowych wynikający z orzecznictwa Trybunału Konstytucyjnego wskazuje, że odpowiednią ochronę prywatności gwarantuje zbieranie przez władze publiczne wyłącznie niezbędnych/koniecznych - a nie „wygodnych” - informacji o osobie.
Na konieczność głębszego przemyślenia koncepcji jawności numeru PESEL w rejestrach publicznych od wielu lat zwracał uwagę również Prezes Urzędu Ochrony Danych Osobowych.
RPO zwraca też uwagę na wyrok Trybunał Sprawiedliwości UE z 22 listopada 2022 r. w połączonych sprawach C-37/20 i C-601/20. TSUE, unieważniając jeden z przepisów unijnej dyrektywy podkreślił, że publiczny dostęp do informacji o beneficjentach rzeczywistych przewidziany w tym przepisie stanowi poważną ingerencję w prawa podstawowe do ochrony prywatności oraz danych osobowych zapisane w art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej. Z utrwalonego orzecznictwa TSUE wynika, że „udostępnianie danych osobowych osobom trzecim stanowi ingerencję w prawa podstawowe ustanowione w art. 7 i 8 karty, niezależnie od tego, w jaki sposób te dane zostaną później wykorzystane.”
Dlatego pomimo przyjęcia rozwiązania w postaci „rejestru zastrzeżeń”, istnieje możliwość niewłaściwego wykorzystania nr PESEL, który jest aktualnie dostępny powszechnie, także w innych celach niż wskazane w uzasadnieniu projektu. Jest to poważne ryzyko naruszenia prawa do prywatności.
W ocenie Rzecznika należy zweryfikować dotychczasowe rozwiązania prawne przewidujące dostęp do numeru PESEL w publicznych rejestrach.
Co z elektronicznymi pełnomocnictwami?
Wątpliwości Rzecznika budzi też zmiana w ustawie o ewidencji ludności, która przewiduje, że kurator albo opiekun działający w imieniu osoby ubezwłasnowolnionej częściowo lub całkowicie może złożyć wniosek o zastrzeżenie lub cofnięcie zastrzeżenia w jej imieniu wyłącznie osobiście w organie dowolnej gminy, po uprzednim udokumentowaniu uprawnienia do jej reprezentowania.
W swoich wystąpieniach Rzecznik zwracał uwagę na potrzebę zapewnienia osobom ubezwłasnowolnionym i ich opiekunom, na zasadzie równości z innymi osobami, dostępu do usługi systemu ePUAP.
Brak funkcjonalności w postaci elektronicznego pełnomocnictwa, w szczególności, w przypadku takiego rozwiązania, jakie przewiduje projekt ustawy, tj. zastrzeżenia nr PESEL w związku z kradzieżą tożsamości, gdzie ważne jest podjęcie natychmiastowych kroków, budzi wątpliwości.
Konieczność podjęcia prac w tym zakresie uzasadniają również liczne skargi wpływające do BRPO, w których podnoszony jest właśnie problem elektronicznych pełnomocnictw.
Udostępnianie danych z rejestru zastrzeżeń numerów PESEL
Kolejna wątpliwość dotycząca zmian w ustawie o ewidencji ludności wiąże się z wprowadzeniem możliwości udostępnienia niektórych danych o zastrzeżeniu numeru PESEL określonym podmiotom, po wykazaniu interesu faktycznego.
Dziś ustawa przewiduje w art. 46 ust. 2 pkt 1 (do którego odsyła opiniowany projekt) możliwość udostępniania określonych danych z rejestru PESEL określonym podmiotom, jeżeli wykażą w tym interes prawny. Zgodnie zaś z art. 46 ust. 2 pkt 3 ustawy dostęp do tych rejestrów jest umożliwiony innym osobom i jednostkom organizacyjnym, jeżeli wykażą interes faktyczny w otrzymaniu danych, pod warunkiem uzyskania zgody osób, których dane dotyczą.
W ocenie Rzecznika odesłanie w projekcie powinno być więc skierowane do w art. 46 ust. 2 pkt 3 przewidującego wykazanie interesu faktycznego oraz konieczność uzyskania zgody osób, których dane dotyczą, a nie art. 46 ust. 2 pkt 1 ustawy o ewidencji ludności, który wymaga wykazania interesu prawnego.
RPO już wcześniej zgłaszał wątpliwości co do wprowadzenia nieznanej dotychczas przesłanki interesu faktycznego do ustawy o dowodach osobistych. Wskazywał, że zastąpienie w tej ustawie przesłanki interesu prawnego niejasną i zupełnie dowolną przesłanką interesu faktycznego, jest zbyt daleko posuniętą swobodą w udzielaniu podmiotom (jakimkolwiek), które wykażą taki interes faktyczny, dostępu do danych osobowych obywateli. Stwarza to duże ryzyko dowolności oceny, a tym samym nadużywania tego uprawnienia.
ZRPO Stanisław Trociuk prosi zatem pełnomocnika rządu ds. cyberbezpieczeństwa Janusza Cieszyńskiego o uwzględnienie tych uwag. RPO pozostaje też w gotowości współpracy w trakcie dalszych prac nad projektem.
VII.501.171.2022