PESEL vs. RODO

W trakcie naszej codziennej pracy, bardzo często spotykamy się ze stwierdzeniem osób trzecich, że numer PESEL jest daną wrażliwą i w związku z powyższym podlega on szczególnej ochronie. Za każdym razem spieszymy z wyjaśnieniami i staramy się tłumaczyć, jak to z tym numerem PESEL sprawa wygląda. Dziś jednak postanowiliśmy podzielić się tą wiedzą na łamach naszego bloga.

Czym jest numer PESEL?

Zgodnie z art. 15 ustawy z dnia 24 września 2010 roku o ewidencji ludności, PESEL jest to jedenastocyfrowy numer jednoznacznie identyfikujący określoną osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną.

Czym są dane szczególnej kategorii (tzw. dane wrażliwe)?

Katalog danych szczególnej kategorii oraz zasady ich przetwarzania został określony w art. 9 Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Do danych szczególnej kategorii należą:
  • dane osobowe ujawniające pochodzenie rasowe lub etniczne,
  • dane osobowe ujawniające poglądy polityczne,
  • dane osobowe ujawniające przekonania religijne lub światopoglądowe,
  • dane osobowe ujawniające przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne, które służą jednoznacznemu zidentyfikowaniu osoby fizycznej,
  • dane dotyczące zdrowia,
  • dane dotyczące seksualności lub orientacji seksualnej osoby fizycznej.
Dane wskazane powyżej są objęte szczególną ochroną, tj. ich przetwarzanie jest zabronione chyba że, zajdą okoliczności, w których dopuszczalne jest ich przetwarzanie. Okoliczności legalizujące proces przetwarzania danych wrażliwych został określony w art. 9 ust. 2 RODO i są nimi m.in.: zgoda osoby, której dane dotyczą, realizacja praw i obowiązków w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej czy ochrona żywotnych interesów osoby fizycznej.

Czy numer PESEL jest zatem daną wrażliwą?

Odpowiedź na to pytanie brzmi: NIE. Prawodawca unijny dokładnie określił katalog danych wrażliwych, które są objęte szczególną ochroną. W katalogu tym jednak, nie znalazł się omawiany w niniejszym artykule numer PESEL. Nie ulega natomiast wątpliwości fakt, że numer PESEL jest daną osobową w rozumieniu przepisów Rozporządzenia, ponieważ pozwala na jednoznaczną identyfikację osoby fizycznej. Zaliczamy go jednak do kategorii tzw. danych osobowych zwykłych.
Nie zmienia to jednak faktu, że tak jak i inne dane osobowe, podlega ochronie, a przy jego przetwarzaniu, administratorów wciąż obowiązuje tzw. zasada minimalizacji danych tj. zgodnie z art. 5 ust. 1 lit. c RODO dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Urząd Ochrony Danych Osobowych wielokrotnie jednak zwracał uwagę, iż w ostatnim czasie administratorzy danych, często nieuzasadnienie proszą o podanie numeru PESEL, łamiąc tym samym ww. zasadę minimalizacji.
W związku z powyższym, bądźmy czujni i zwracajmy uwagę na to kto i w jakich okolicznościach wymaga od nas podania numeru PESEL. Pamiętajmy jednak, że nie należy on do katalogu szczególnej kategorii danych, a jego przetwarzanie nie jest zabronione. Ponadto, nie zapominajmy, iż w pewnych okolicznościach przetwarzanie numeru PESEL jest wymagane lub uzasadnione przepisami obowiązującego prawa.
Jagienka Smura
Konsultant ds. ochrony danych osobowych w PBSG

Przeczytaj również

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.