Wyszukiwanie adresu do e-doręczeń

Do wyszukania adresu osoby fizycznej w bazie adresów elektronicznych (BAE) nie jest niezbędne korzystanie z numeru PESEL. Na te potrzeby można użyć innych posiadanych danych, np. imienia i nazwiska czy adresu zamieszkania.

Jeden z inspektorów ochrony danych (IOD) zwrócił się do Prezesa UODO z pytaniem dotyczącym wyszukiwania adresu do e-doręczeń w bazie tych adresów. Jak wskazał, obywatel przesłał do urzędu wiadomość mailową zawierającą podpisany elektronicznie dokument z imieniem, nazwiskiem i adresem zamieszkania. Jednocześnie poprosił o przesłanie odpowiedzi za pośrednictwem adresu do e-doręczeń. Nie podał jednak tego adresu w treści wiadomości. W związku z tym IOD zapytał, czy urząd w celu ustalenia adresu do e-doręczeń może wykorzystać numer PESEL obywatela, „zaszyty” w podpisie elektronicznym przesłanego dokumentu.

Poprzez jakie dane można wyszukiwać adresy do doręczeń elektronicznych

W odpowiedzi Prezes UODO wskazał, że usługi wyszukiwania w bazie adresów elektronicznych (BAE) umożliwiają – stosownie do art. 60 ust. 2 ustawy z 18 listopada 2020 r. o doręczeniach elektronicznych – wyszukiwanie adresu do doręczeń elektronicznych lub adresu do korespondencji podmiotu niepublicznego będącego osobą fizyczną na podstawie następujących danych:

a) imienia i nazwiska,

b) tytułu zawodowego adwokata, radcy prawnego, doradcy podatkowego, doradcy restrukturyzacyjnego, notariusza lub rzecznika patentowego – w przypadku osoby fizycznej posiadającej tytuł zawodowy,

c) adresu do korespondencji,

d) numeru PESEL, a jeżeli nie został nadany – niepowtarzalnego identyfikatora nadanego przez państwo członkowskie Unii Europejskiej dla celów transgranicznej identyfikacji, o którym mowa w rozporządzeniu wykonawczym Komisji 2015/1501,

e) adresu do doręczeń elektronicznych,

f) adresu do doręczeń elektronicznych wykorzystywanego w ramach prowadzonej działalności zawodowej w przypadku osoby fizycznej będącej adwokatem, radcą prawnym, doradcą podatkowym, doradcą restrukturyzacyjnym, notariuszem lub rzecznikiem patentowym,

g) oznaczenia dostawcy publicznej usługi rejestrowanego doręczenia elektronicznego albo kwalifikowanej usługi rejestrowanego doręczenia elektronicznego,

h) daty wpisania adresu do doręczeń elektronicznych do bazy adresów elektronicznych,

i) daty wykreślenia adresu do doręczeń elektronicznych z bazy adresów elektronicznych,

j) informacji o korzystaniu z dodatkowych usług, o których mowa w art. 53 ust. 1, w zakresie wymiany korespondencji pomiędzy podmiotami niepublicznymi.

Wyżej wymienione dane są udostępniane podmiotom publicznym na potrzeby wyszukania adresu do doręczeń elektronicznych (art. 60 ust. 3 ustawy o doręczeniach elektronicznych).

Z powołanych przepisów nie wynika, aby w celu wyszukiwania w tej bazie niezbędne było posiadanie przez podmiot publiczny numeru PESEL osoby, do której ma być skierowana korespondencja. Przyjąć zatem można, że podmiot publiczny do wyszukania w BAE powinien użyć posiadanych przez siebie danych spośród danych wskazanych w art. 60 ust. 2. Numer PESEL nie jest daną obligatoryjną przy tym wyszukiwaniu.

Zgodność z zasadą minimalizacji danych

Takie podejście jest zgodne z zasadą minimalizacji (art. 5 ust. 1 lit. c RODO), zgodnie z którą administrator powinien przetwarzać (w tym pozyskiwać) tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel udostępniania danych. Ponadto, jak stanowi motyw 39 RODO, dane powinny być przetwarzane wyłącznie w takich przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

Podobny pogląd wyrażany jest również w doktrynie. „Ustawodawca ustanowił w ramach ustalania adresu do doręczeń elektronicznych podmiotu, do którego zamierzamy wysłać korespondencję, dosyć szerokie możliwości wyszukiwania. Pozwala to dokonać identyfikacji adresata na podstawie kilku danych łącznie, co wpływa na pewność tego ustalenia, w szczególności że niektóre dane mogą się (nawet wielokrotnie) powtarzać (np. popularne imię lub nazwisko albo nazwa). Nie zdecydowano się jednak na rozwiązanie prawne oparte na numerze PESEL (osoba fizyczna) albo numerze z właściwego rejestru lub ewidencji (inny podmiot niż osoba fizyczna) wraz z obowiązkiem jego wskazania w każdym pierwszym piśmie skierowanym w danej sprawie do podmiotu publicznego, co usprawniłoby i wpłynęło na pewniejszą identyfikację”. (B. Kwiatek [w:] Doręczenia elektroniczne. Komentarz, red. A. Skóra, Warszawa 2023, art. 60).

Jako przykład przepisu, w którym zdecydowano się na rozwiązanie oparte na numerze PESEL, komentator wskazał m.in. art. 126 § 2 pkt. 2 i 3 Kodeksu postępowania cywilnego, zgodnie z którym, gdy pismo procesowe jest pierwszym pismem w sprawie, powinno zawierać oznaczenie przedmiotu sporu oraz m.in. numer Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) lub numer identyfikacji podatkowej (NIP) powoda będącego osobą fizyczną, jeżeli jest on obowiązany do jego posiadania lub posiada go, nie mając takiego obowiązku, lub numer w Krajowym Rejestrze Sądowym, a w przypadku jego braku – numer w innym właściwym rejestrze, ewidencji lub NIP powoda niebędącego osobą fizyczną, który nie ma obowiązku wpisu we właściwym rejestrze lub ewidencji, jeżeli jest on obowiązany do jego posiadania.

Szczególna ochrona numeru PESEL

Jednocześnie należy pamiętać, że PESEL jest daną, dla której unijny ustawodawca przewidział szczególne gwarancje ochrony, i opisał je w art. 87 RODO. Zgodnie z tym przepisem państwa członkowskie mogą określić szczególne warunki przetwarzania krajowego numeru identyfikacyjnego lub innego identyfikatora o zasięgu ogólnym. W takim przypadku używa się ich wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, przewidzianych w RODO. Przetwarzanie numeru PESEL bez zachowania odpowiednich zasad bezpieczeństwa stwarza wiele zagrożeń dla prywatności osoby fizycznej (na co wielokrotnie UODO zwracał uwagę). Ujawniony w wielu miejscach numer PESEL ułatwia np. kradzież tożsamości czy profilowanie osoby bez jej wiedzy i zgody. Sprzyja temu unikalność tego numeru, a także to, że zawiera w sobie dodatkowe informacje, takie jak wiek czy płeć osoby.

Należy korzystać z danych podanych przez obywatela

Zatem w analizowanej sytuacji administrator do wyszukania adresu w BAE powinien użyć danych wskazanych w treści pisma wnioskodawcy, tj. imienia i nazwiska oraz adresu zamieszkania. Podanie numeru PESEL nie jest bowiem niezbędne do wyszukiwania adresu elektronicznego osoby fizycznej w BAE.