Wymóg podawania numeru PESEL przy rejestracji prywatnej (nie firmowej) domeny internetowej i usług hostingowych w Polsce od lat wywołuje burzliwe dyskusje i rodzi poważne kontrowersje. Dla wielu użytkowników, którzy chcą po prostu założyć bloga, portfolio czy małą stronę hobbystyczną, żądanie tak wrażliwego i unikalnego identyfikatora jak PESEL wydaje się nadmierne i nieuzasadnione.

Kontrowersje te koncentrują się wokół kilku kluczowych aspektów: prywatności, bezpieczeństwa danych osobowych oraz zgodności z przepisami RODO (Ogólne Rozporządzenie o Ochronie Danych).

Rola numeru PESEL w polskim systemie identyfikacji

Numer PESEL (Powszechny Elektroniczny System Ewidencji Ludności) to 11-cyfrowy, unikalny identyfikator, który jest przypisany każdej osobie fizycznej w Polsce na całe życie. Zawiera zakodowaną datę urodzenia i informację o płci, co czyni go niezwykle cennym narzędziem do jednoznacznej identyfikacji. Chociaż z prawnego punktu widzenia PESEL nie jest klasyfikowany jako „dane wrażliwe” (dane szczególnej kategorii, jak np. informacje o zdrowiu), w powszechnym odczuciu jest traktowany jako jeden z najważniejszych i najbardziej chronionych elementów danych osobowych. Ujawnienie numeru PESEL w niewłaściwe ręce znacząco zwiększa ryzyko kradzieży tożsamości, zaciągania zobowiązań finansowych lub innych oszustw.

Argumenty rejestratorów: Dlaczego PESEL jest wymagany?

Rejestratorzy domen i dostawcy hostingu, którzy wymagają podania numeru PESEL od osób fizycznych, zazwyczaj uzasadniają tę praktykę kilkoma względami:

1. Wymogi rejestru głównego (NASK)

W przypadku domen z końcówką .pl (które są zarządzane przez NASK – Naukową i Akademicką Sieć Komputerową), rejestratorzy często powołują się na wewnętrzne regulacje lub wymogi narzucone przez główny rejestr. Podanie PESEL ma służyć jednoznacznej identyfikacji abonenta domeny, co jest kluczowe w kontekście jej utrzymania i zarządzania.

2. Identyfikacja na potrzeby prawne i księgowe

PESEL jest niezbędny do:

• Wystawienia faktury: Chociaż faktura dla osoby prywatnej nie wymaga PESEL, niektórzy usługodawcy stosują jednolite procedury.
• Identyfikacji w przypadku sporu: W przypadku sporów sądowych dotyczących własności domeny lub treści na hostingu, jednoznaczna identyfikacja abonenta (właściciela) jest kluczowa. Użycie samego imienia i nazwiska, zwłaszcza w przypadku popularnych nazwisk, może prowadzić do pomyłek, co PESEL eliminuje.

3. Zapobieganie nadużyciom

Wymóg podania unikalnego identyfikatora ma na celu ograniczenie anonimowości i utrudnienie rejestracji domen do celów niezgodnych z prawem (np. phishingu, rozpowszechniania nielegalnych treści), ponieważ właściciel jest łatwo identyfikowalny.

Źródło kontrowersji: RODO i zasada minimalizacji

Głównym powodem, dla którego obowiązek podania PESEL budzi kontrowersje, jest konflikt z fundamentalnymi zasadami ochrony danych osobowych, w szczególności z RODO.

1. Zasada minimalizacji danych

RODO nakłada na administratorów danych (czyli rejestratorów i hostingodawców) obowiązek przetwarzania danych osobowych w zakresie niezbędnym do realizacji celu (art. 5 ust. 1 lit. c RODO). Innymi słowy, administrator może żądać tylko tych danych, które są absolutnie konieczne do wykonania usługi.

Krytycy argumentują, że do zarejestrowania domeny i hostingu oraz do celów księgowych w zupełności wystarczą: imię, nazwisko, adres zamieszkania, adres e-mail i numer telefonu. Numer PESEL, jako unikalny i bardzo wrażliwy identyfikator, jest uznawany za nadmiarowy w kontekście samej usługi rejestracji domeny. Niektórzy rejestratorzy w Polsce świadomie rezygnują z żądania PESEL, twierdząc, że nie jest on potrzebny do wykonania usługi, co potwierdza, że nie jest to wymóg bezwzględny.

2. Ryzyko bezpieczeństwa w przypadku wycieku

Przechowywanie numerów PESEL przez dużą liczbę podmiotów (rejestratorów i hostingodawców) znacząco zwiększa ryzyko dla użytkowników. W przypadku ataku hakerskiego lub wycieku danych z bazy firmy, dane te mogą zostać wykorzystane do kradzieży tożsamości. Im mniej podmiotów przetwarza PESEL, tym mniejsze jest ryzyko dla obywateli.

3. Brak jasnej podstawy prawnej

W polskim prawie nie ma ogólnego przepisu, który nakazywałby każdemu usługodawcy internetowemu zbieranie numeru PESEL od osoby fizycznej w celu zawarcia umowy cywilnoprawnej (jaką jest rejestracja domeny czy hostingu). Przetwarzanie PESEL musi opierać się na konkretnej podstawie prawnej (np. przepis prawa, zgoda, niezbędność do wykonania umowy), a w przypadku rejestracji domeny, konieczność ta jest często kwestionowana.

Podsumowanie kontrowersji

Obowiązek podania numeru PESEL przy rejestracji prywatnej domeny budzi kontrowersje, ponieważ:

Ostatecznie, decyzja o wymaganiu PESEL jest często wynikiem wewnętrznej polityki bezpieczeństwa i procedur identyfikacyjnych danego rejestratora, a nie bezwzględnego wymogu prawnego. To właśnie ta uznaniowość i brak jednolitej, prawnie umocowanej praktyki, w połączeniu z wysoką wrażliwością numeru PESEL, stanowią sedno trwającej kontrowersji.