I w zasadzie trudno się temu dziwić, gdyż kwalifikowany podpis elektroniczny jest ogromnym ułatwieniem w codziennej pracy, a co najważniejsze przyspiesza wiele bieżących działań i procedur. Często jednak pada pytanie, czy to rozwiązanie jest w pełni bezpieczne? A chwilę później pojawia się pytanie kolejne: jak wygląda kwestia bezpieczeństwa danych osobowych?

Na rynku możemy zaobserwować coraz więcej rozwiązań, które mają zapewnić bezpieczeństwo danych, a także przechowywanie oraz ich dalszy przepływ. Szczególnie w czasach, gdzie przepisy RODO bardzo silnie osiadły w głowach obywateli szczególnie wrażliwych na ochronę, a dalej związane z nią przetwarzanie danych umożliwiających identyfikację. Bez wątpienia kwestia bezpieczeństwa informacji oraz danych jest kwestią kluczową i pożądaną, a rzeczywistość, w której żyjemy niesie ze sobą rewolucyjne zmiany w cyfrowym świecie. Ewaluacja zdiagnozowanych zagrożeń oraz prognozowanych wyzwań niejako wymusiła na dostawcach usług zaufania, takich jak chociażby CenCert, zmianę myślenia o ochronie danych osobowych. Rozumienie istoty dbania w tej kwestii o bezpieczeństwo stało się  kluczowe, ale i powszechne. Wzrost świadomości zagrożeń powoduje jednocześnie wzrost zainteresowania rozwiązaniami, które mogą nas uchronić przed naruszeniem naszych danych osobowych. Bardzo ważne tutaj jest to, aby upowszechniła się wiedza o możliwościach jakie te narzędzia dają.

Jednym z takich rozwiązań jest udostępniony poszczególnym użytkownikom wspomniany podpis elektroniczny. Jak to się ma do kwestii danych osobowych? Certyfikat takiego podpisu kwalifikowanego zasadniczo zawiera dane osobowe, w tym: imię, nazwisko, czy też pesel Subskrybenta, czyli osoby, do której ten podpis należy. Dodatkowo, w pewnych okolicznościach, mogą być tam zawarte dane instytucji, której pracownikiem jest wspomniany Subskrybent. Dokument podpisywany certyfikatem kwalifikowanym zawiera informację, że został podpisany elektronicznie konkretnie przez tę właśnie osobę danego dnia i o danej godzinie. Wiąże się to z tym, że wspomniane dane będą widoczne podczas procesu weryfikacji podpisu. Rozwiązaniem, które w pełni chroni nasze dane osobowe stają się aktualnie certyfikaty anonimowe. Zasadniczo nie ma tam danych osobowych, zatem podczas weryfikacji nie zawierają newralgicznych informacji i nie ma możliwości ujawnienia tych danych.  Taki certyfikat zawiera dane instytucji oraz unikatowy numer ID. Mimo, iż podpis ten nie posiada danych osobowych jest zgodny z przepisami eIDAS, czyli rozporządzeniem Unii Europejskiej w sprawie identyfikacji elektronicznej i usług zaufania dla transakcji elektronicznych. Oznacza to, że podpis anonimowy jest tak samo ważny, jak jego tradycyjna wersja.

Warto zastanowić się czym w rzeczywistości wyróżnia się taki e-podpis oraz w jaki sposób zapewnia bezpieczeństwo danych. W gruncie rzeczy mamy tutaj do czynienia z tzw. pseudonimizacją danych osobowych.  Na czym ten proces polega? Pojęcie to zostało wprowadzone do prawa za pomocą Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Sama pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, aby nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Tyle z formalnej definicji. Dla użytkownika istotne jest to, że przedstawiony proces w znakomity sposób pozwala na uniknięcie zagrożenia związanego z naruszeniem danych osobowych, gdyż tych danych w certyfikacie po prostu nie ma. No tak, ale podpis elektroniczny ma przecież zapewniać możliwość ewentualnej weryfikacji autentyczności podpisanego dokumentu. Fakt, iż podpis anonimowy jest podpisem kwalifikowanym daje taką pewność. Pseudonimizacja jest procesem odwracalnym. W razie konieczności lub na użytek organów państwowych, np. Sądów, dane z certyfikatu mogą być skorelowane z konkretną osobą. Jest to możliwe ponieważ dane przechowywane są w uprawionym do tego Centrum Certyfikacji. Uprawnienia takie dotyczą między innymi działalności dostawcy usług zaufania jakim jest CenCert, gdzie dane takie jak np. pesel są przechowywane w celu weryfikacji  tożsamości w razie zaistnienia takiej konieczności, ale nie są umieszczane w samym certyfikacie, a zatem nie są upubliczniane podczas bieżącego wykorzystania przez posiadacza podpisu elektronicznego. Należy podkreślić, że dane te są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich bezpośrednie przypisanie zidentyfikowanej osobie fizycznej.

Pomysł na stworzenie anonimowego podpisu kwalifikowanego pojawił się wraz ze wzrostem świadomości wynikających z zagrożeń związanych z naruszeniem danych osobowych. Od Ewy Bielawskiej, Dyrektor Handlowej CenCert zapytanej o genezę powstania takiego rozwiązania, usłyszeliśmy, że na rynku zauważalna była wręcz paląca potrzeba ochrony tych danych, w wyniku czego rozpoczęto poszukiwania narzędzi umożliwiających odpowiedź na to zapotrzebowanie. Jej zdaniem są branże czy też instytucje, które w jasny sposób zdefiniowały w jaki sposób chcą chronić dane osobowe. Kwestia ochrony danych osobowych jest bardzo ważna np. dla pracowników służb mundurowych, bądź instytucji państwowych. Instytucje te z różnych względów nie chcą ujawniać danych swoich pracowników, a pamiętajmy, że podpis elektroniczny złożony w formie tradycyjnej takie dane ujawni. W wyniku tych obserwacji CenCert jako pierwsze i jedyne w Polsce Centrum Certyfikacji Kluczy odpowiedziało na to zapotrzebowanie, jednocześnie dostrzegając kwestie bezpieczeństwa danych poruszanych przez Urząd Ochrony Danych Osobowych. Pionierską instytucją w Polsce, która skorzystała z możliwości, jakie daje anonimowy e-podpis jest Komenda Stołeczna Policji.

W zmieniającej się stale sytuacji geopolitycznej bezpieczeństwo informacji oraz danych osobowych bez wątpienia jest kwestią kluczową, a samo cyberbezpieczeństwo przestało być opcją, czy też możliwością, a stało się wręcz koniecznością. Pseudonimizacja podpisu elektronicznego wpisuje się zatem w te strategię bezpieczeństwa, odpowiada na potrzeby ochrony danych osobowych wielu instytucji, a także jest zgodny z linią UODO. Taki układ wydaje się być zatem idealny. Czy to rozwiązanie się upowszechni? Wiele wskazuje na to, że tak, tym bardziej, że jest istotnym wkładem w minimalizowanie ryzyk i zagrożeń związanych z funkcjonowaniem w cyfrowym świecie.

Źródło informacji: Centrum Certyfikacji CenCert