O podpisie elektronicznym piszemy regularnie – o ułatwieniach, jakie daje w czasach pracy zdalnej, o ograniczonej biurokracji, ekologii, szybkości w załatwianiu formalności. Niedawne czasy pandemii związanej z COVID-19 to paradoksalnie doskonały, choć też całkiem nowy dla wielu z nas, przyspieszony kurs nauki dotyczącej pracy online na elektronicznych dokumentach, umowach przesyłanych mailem, sprawozdaniach, korektach, czy w końcu – „cyfrowych” kontaktach z urzędami, instytucjami, kontrahentami. Bez wątpienia, podpis elektroniczny to narzędzie, które w ciągu ostatnich kilku lat zdobyło i regularnie poszerza coraz większą rzeszę zadowolonych użytkowników. Wciąż jednak aspektem, który nurtuje najbardziej, jest bezpieczeństwo podawanych danych – czy personalia, jakie przekazujemy i jakie są zawarte w podpisie na pewno są bezpieczne?
Kwestie bezpieczeństwa informacji oraz wszelkich danych są dzisiaj tematem niezwykle istotnym. Zmieniająca się szybko rzeczywistość niesie ze sobą mnóstwo zmian w cyfrowym świecie, a co za tym idzie – także konieczność dopasowania się do wymogów przepisów prawnych. Coraz częściej przyglądamy się także wszelkim praktykom stosowanym w celu ochrony przed atakami, uszkodzeniami lub nieautoryzowanym dostępem; zastanawiamy się, co zrobić, by skutecznie uniknąć „wycieków danych” – nie bez znaczenia są tutaj także funkcjonujące od kilku lat przepisy RODO, a także coraz większa świadomość i wrażliwość na przetwarzanie danych umożliwiających identyfikację osoby je podającej.
Certyfikat podpisu kwalifikowanego, który znamy, zawiera podstawowe dane osobowe – imię, nazwisko i pesel subskrybenta, czyli osoby, do której ten podpis należy. Dodatkowo, mogą być tam zawarte dane instytucji, której subskrybent jest pracownikiem. Dokument podpisywany certyfikatem kwalifikowanym zawiera informację, że został podpisany elektronicznie przez konkretną osobę, danego dnia i o danej godzinie.
A gdyby tak bez danych…?
No właśnie, a czy podpis elektroniczny zawsze musi zawierać wszystkie nasze dane osobowe? Mamy dobrą wiadomość – kwalifikowany certyfikat może być anonimowy, tzn. może nie zawierać danych osobowych właściciela certyfikatu. Mamy tutaj do czynienia ze zmianą identyfikatorów, które są danymi osobowymi na takie, które nimi nie są, czyli imiona i nazwiska, zastępowane są liczbami. Certyfikat nie zawiera więc pól typu “imię”, “nazwisko”, a zamiast nich pojawiają się pola typu “pseudonim” oraz “nazwa powszechna”. Dzięki takiemu przekształceniu nie jest możliwe przypisanie danych konkretnej i zidentyfikowanej osobie. Pozwala to na uniknięcie zagrożenia związanego z naruszeniem danych osobowych, ponieważ w certyfikacie ich po prostu nie ma. Co ważne – mimo, iż podpis anonimowy nie posiada danych osobowych, jest zgodny z przepisami eIDAS, czyli rozporządzeniem Unii Europejskiej w sprawie identyfikacji elektronicznej i usług zaufania dla transakcji elektronicznych. W sensie prawnym podpis kwalifikowany złożony przy użyciu certyfikatu anonimowego, jest takim samym podpisem kwalifikowanym, tożsamym z podpisem własnoręcznym, jak ten złożony przy użyciu certyfikatu zawierającego dane osobowe.
Certyfikaty anonimowe są wystawiane tak, jak wszystkie inne certyfikaty kwalifikowane (wymagają uwierzytelnienia na podstawie dokumentu tożsamości) i tak samo, jak inne certyfikaty kwalifikowane do podpisu – są przypisane wyłącznie do osoby, której zostały wystawione.
Anonimowy podpis kwalifikowany to doskonałe rozwiązanie i odpowiedź na wzrost świadomości wynikającej z zagrożeń związanych z naruszeniem danych osobowych. Kwestia ochrony danych jest bardzo ważna między innymi dla pracowników służb mundurowych, bądź instytucji państwowych, które z różnych względów nie chcą ujawniać danych swoich pracowników, a musimy mieć świadomość, że podpis elektroniczny złożony w formie tradycyjnej takie dane ujawni. CenCert jako pierwszy kwalifikowany dostawca usług zaufania odpowiedział na tego typu zapotrzebowanie i wprowadził do swojej oferty podpis anonimowy, oczywiście, z pełnym uwzględnieniem kwestii bezpieczeństwa danych wymaganych przez Urząd Ochrony Danych Osobowych.
Pseudonimizacja, czyli co?
W przypadku podpisu anonimowego mamy do czynienia z tzw. pseudonimizacją danych osobowych. Pojęcie to zostało wprowadzone do prawa za pomocą Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Sama pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, aby nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Pamiętajmy, że podpis anonimowy jest podpisem kwalifikowanym i zapewnia nam możliwość weryfikacji autentyczności podpisanego dokumentu. Pseudonimizacja jest zatem procesem odwracalnym, a certyfikaty anonimowe są “anonimowe” tylko w pewnym stopniu. Odbiorca podpisanego dokumentu nie otrzymuje wraz z dokumentem danych osobowych – i w tym sensie certyfikaty są rzeczywiście anonimowe. Prawdziwe dane zna tylko subskrybent, są one objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przepisanie zidentyfikowanej osobie fizycznej. Subskrybent rzeczywiście podaje te dane podczas weryfikacji tożsamości, która jest wymagana przez przepisy eIDAS w procedurze wydania certyfikatu kwalifikowanego. CenCert, jako kwalifikowany podmiot świadczący usługę zaufania, dysponuje pełnymi danymi osobowymi właściciela certyfikatu – przechowuje pełne dane osobowe, w sposób zgodny z przyjętymi uprawnieniami, przepisami i procedurami. W przypadkach nakazanych przepisami prawa dane osobowe właściciela certyfikatu są udostępniane uprawnionym instytucjom, takim jak policja, sąd czy prokuratura.
Bezpieczeństwo informacji oraz danych osobowych bez wątpienia jest kwestią kluczową, a samo cyberbezpieczeństwo przestało być opcją, czy też możliwością, a stało się wręcz koniecznością. Pseudonimizację danych stosuje się w celu podwyższenia poziomu bezpieczeństwa danych osobowych oraz w celu ochrony pozostałych danych istotnych dla danej osoby czy przedsiębiorstwa. Przetworzenie danych subskrybenta podpisu elektronicznego bardzo wyraźnie wpisuje się zatem w coraz bardziej konieczne w cyfrowym świecie strategie bezpieczeństwa, odpowiada na potrzeby ochrony danych osobowych wielu instytucji, a także jest zgodne z polityką UODO.
Certyfikaty anonimowe, choć wciąż nowe na rynku, coraz bardziej zyskują na znaczeniu. Jako społeczeństwo jesteśmy coraz bardziej świadomi zagrożeń związanych z cyberatakami, naruszeniami naszych danych osobowych. Podpisy anonimowe to idealne rozwiązanie dla poszukujących narzędzi, które zapewnią właśnie taką ochronę danych osobowych. Oczywiście, bardzo ważna jest edukacja, ponieważ cyberbezpieczeństwo wciąż jeszcze jest tematem bardzo odległym dla potencjalnego Kowalskiego. Jesteśmy jednak pewni, że rozwiązanie proponowane przez CenCert stanie się równie powszechne co klasyczne kwalifikowane podpisy elektroniczne. Minimalizowanie ryzyka i zagrożenia w świecie cyfrowym to dzisiaj dla wielu priorytet, a to dobrze rokuje na przyszłość.
Więcej informacji na temat naszych produktów znajdziecie na stronie https://www.cencert.pl/certyfikat-kwalifikowany/. Zapraszamy także do kontaktu z naszymi Partnerami (https://www.cencert.pl/punkty-rejestracji/) oraz z infolinią, czynną w dni robocze w godzinach 8.00 – 18.00, pod numerem telefonu: 22 720 79 55, 666 028 044, mail: biuro@cencert.pl
Źródło:
https://www.cencert.pl/informacje-cencert/pytania-i-odpowiedzi/
Przeczytaj artykuł: Zmiany w Krajowym Systemie e-Faktur
Przeczytaj artykuł: Spokojna praca z rSign
Przeczytaj artykuł: Bezpieczeństwo z podpisem elektronicznym