Czy PESEL to dana wrażliwa?
Spotykam się często z przeświadczeniem, że PESEL to „dana wrażliwa”. Przykładowe stwierdzenia:
Nie zbieramy danych wrażliwych takich jak Twój PESEL
Chronimy Twoje wrażliwe dane, takie jak imię, nazwisko, PESEL
Nie podam numeru PESEL, bo to dana wrażliwa
Może zacznę od tego, skąd biorą się takie stwierdzenia. PESEL jest indywidualnym i niepowtarzalnym identyfikatorem każdego obywatela. Jest to jedyny niezmienny identyfikator. Na podstawie PESELu można zidentyfikować jednoznacznie każdego obywatela, ponieważ jego dane znajdują się w centralnym rejestrze PESEL. Jest to bardzo cenne i wykorzystywane przez wiele podmiotów źródło informacji. Jednocześnie własności PESELu sprawiają, że staje się on informacją istotniejszą od adresu czy numeru dowodu osobistego, które mogą się zmienić. W związku z tym PESEL podaje się prawie wszędzie: w bankach, szpitalach, urzędach, bibliotekach, umowach. Bez PESELu właściwie nic nie da się dzisiaj załatwić
Jednocześnie niskie standardy bezpieczeństwa zapewniane przez różne podmioty, sprawiają że mając PESEL i niewiele danych osobowych, można zaciągnąć zobowiązania na tę osobę. Stąd niechęć obywateli do dzielenia się swoim identyfikatorem z innymi oraz obawa o jego poufność. Właśnie dlatego przyjęło się mówić, że jest to dana wrażliwa. Jednakże specjalista od bezpieczeństwa informacji (szczególnie ABI, IOD), powinien wiedzieć, że nie jest to dana wrażliwa. Dane wrażliwe to szczególne i specyficzne informacje, które dają wiedzę o bardzo intymnych i ważnych dla podmiotu danych kwestiach. Zbieranie i dalsze przetwarzanie tych danych jest zabronione, chyba że dopuszcza to przepis ustawy, osoba której dane dotyczą wyrazi na to zgodę na piśmie lub podmiot jest do tego uprawniony zgodnie z art. 27 ust. 2 ustawy o ochronie danych osobowych (kwestię przetwarzania danych wrażliwych w myśl obecnych przepisów i RODO omówię szczegółowo w kolejnym wpisie).
Katalog danych wrażliwych określonych w przepisach o ochronie danych jest zamknięty. Danymi wrażliwymi są dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym. W myśl RODO, danymi wrażliwymi są także dane biometryczne.
Warto dodać, że ze względu na szczególną rolę identyfikacyjną, PESEL bardzo często jest wymagany przez wiele podmiotów i skorzystanie z ich usług jest uzależnione od jego podania. Jednocześnie na podmiotach, które gromadzą PESELe ciąży ogromna odpowiedzialność za zapewnienie tym istotnym danym poufności. Gromadzenie danych osobowych oraz ich dalsze przetwarzanie jest uwarunkowane zapewnieniem im poufności na każdym etapie, szczególnie po zakończeniu przetwarzania, należy je właściwie zniszczyć.
Jeżeli widzisz, że Twoje dane nie są właściwie chronione, reaguj. Zwracaj uwagę, że stanowi to naruszenie przepisów o ochronie danych osobowych oraz Twojej prywatności. I że jesteś gotowy dochodzić roszczeń z tego tytułu i złożyć skargę do GIODO. Naprawdę nic nie zastąpi pracy u podstaw.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!