W związku z wyciekiem danych osobowych pracowników i funkcjonariuszy Krajowej Administracji Skarbowej (KAS) ze spółki EuroCert, Urząd Ochrony Danych Osobowych przypomina o wystąpieniu Prezesa UODO skierowanym do Ministerstwa Cyfryzacji. We wspomnianym wystąpieniu prezes UODO, Mirosław Wróblewski zwrócił uwagę, że numer PESEL jest pozyskiwany przez dostawców usług zaufania publicznego (kwalifikowanego podpisu elektronicznego), a następnie upubliczniany.
Prezes UODO odsyłał do przepisów eIDAS (rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym) oraz ustawy o usługach zaufania (ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej).
Zgodnie z treścią ww. rozporządzenia unijnego, kod identyfikacyjny certyfikatu powinien się opierać na numerze z rejestru publicznego, umożliwiającym jednoznaczną identyfikację osoby posługującej się kwalifikowanym podpisem elektronicznym. Z przepisów tych w żaden sposób nie wynika, że musi to być właśnie numer PESEL.
Jednocześnie Prezes UODO zadeklarował eksperckie wsparcie przy wypracowywaniu przepisów wzmacniających poziom ochrony danych osobowych.