Без всякакво основание и логика при подписване на документ се е виждал ЕГН на служител на Министерството на образованието и науката

Подписване на документи от администрацията с квалифициран електронен подпис и предоставянето им в електронна среда

В новия брой на бюлетина на Комисията за защита на личните данни е публикувано нейно становище в отговор на въпрос на Министерството на образованието и науката:

СТАНОВИЩЕ

НА

КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

рег. № ПНМД-01-11/2021 г.

гр. София, 17.06.2021 г.

ОТНОСНО: Подписване на документи от администрацията с квалифициран електронен подпис и предоставянето им в електронна среда

Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 09.06.2021 г., разгледа искане за становище с вх. № ПНМД-01-11/2021 г. от Министерство на образованието и науката (МОН), с което се отправя въпрос, свързан с подписване на документи от служители в администрацията с квалифициран електронен подпис (КЕП) и предоставянето им в електронна среда за целите на документооборота.

От МОН информират, че съгласно изискванията на Наредбата за общите изисквания към информационните системи, регистрите и електронните административни услуги (НОИИСРЕАУ) са длъжни да използват система за електронен документооборот и да участват в електронен обмен на документи с други администрации, недопускайки обмен на документи на хартиен носител, освен в случаите, когато това е определено със закон. В изпълнение на чл. 37 от НОИИСРЕАУ електронните документи се подписват с електронен подпис, издаден по реда на Наредбата за удостоверенията за електронен подпис в администрациите. Електронното подписване е установено и по отношение на резултата от предоставяните електронни административни услуги (чл. 9 НОИИСРЕАУ). В чл. 101, ал. 3 от Наредбата за обмена на документи в администрацията (НОДА) също е регламентирано изготвяните електронни документи да се подписват с електронен подпис.

В тази връзка е изложен и анализ, според който доставчиците на удостоверителни услуги, включват информация за ЕГН в квалифицираните удостоверения за квалифициран електронен подпис (КУКЕП). Изразяват се притеснения, че тази информация обаче е видима, както при квалифицираните удостоверения за квалифициран електронен подпис, които се издават на физическа лица (в лично качество), така и за КУКЕП, които се издават на физически лица, асоциирани с юридически лица (т.е. в служебно качество). Опасенията са свързани с обстоятелството, че при изпращане на подписан документ с електронен подпис, без да бъде променен неговият формат (например, чрез сканиране на документа или преобразуването му в друг формат), всички, които имат достъп до документа могат да получат както данни, необходими за валидиране на електронния подпис, срока на валидност и данни за администрацията (наименование/ЕИК/БУЛСТАТ), така и лични данни за лицето, подписало документа – три имена и ЕГН, както и електронен адрес, съдържащи се в електронния подпис.

Предвид гореизложеното, МОН счита, че за предоставянето на достъп до ЕГН на физически лица, действащи при осъществяване на служебните си задължения, не са налице нормативни основания, респ. липсва и съответствие с нормативните изисквания за защита на личните данни. Във връзка с това от МОН се обръщат към КЗЛД с молба за изразяване на становище по казуса.

По тези съображения и отчитайки надзорните правомощия на Комисията за регулиране на съобщенията (КРС) в областта на законодателството, уреждащо електронните удостоверителни услуги, от страна на КЗЛД е изпратено официално запитване с изх. № ПНМД-01-11#1/22.03.2021 г.

В него е поставен следният въпрос:

„Безспорно е, че ЕГН е необходим за издаването на КЕП (чл. 43 от Закона за електронния документ и електронните удостоверителни услуги), но има ли изрично нормативно изискване ЕГН на титуляря на КЕП да е видим при подписване на електронни документи за неограничен кръг от лица – получатели на въпросните документи?“

В отговор на поставения въпрос, със свое писмо с вх. № ПНМД-01-11#2/28.05.2021 г., КРС предоставя следната информация:

„… съгласно действащата нормативна уредба в областта на електронните удостоверителни услуги няма предвидено такова нормативно изискване.“

Правен анализ:

В разпоредбата на чл. 3 от Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 година относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (Обн. L ОВ. бр. 257 от 28 август 2014 г.) са посочени легалните дефиниции на понятията, свързани с разглеждания казус, както следва:

Съгласно т. 10) „електронен подпис“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, и които титулярят на електронния подпис използва, за да се подписва;

Съгласно т. 11) „усъвършенстван електронен подпис“ означава електронен подпис, който отговаря на изискванията, посочени в член 26;

Съгласно т. 12) „квалифициран електронен подпис“ означава усъвършенстван електронен подпис, който е създаден от устройство за създаване на квалифициран електронен подпис и се основава на квалифицирано удостоверение за електронни подписи;

Съгласно т. 13) „данни за създаване на електронен подпис“ означава уникални данни, които се използват от титуляря на електронния подпис за създаването на електронен подпис;

Съгласно т. 14) „удостоверение за електронен подпис“ означава електронен атестат, който свързва данните за валидиране на електронен подпис с физическо лице и потвърждава най-малко името или псевдонима на това лице;

Съгласно т. 15) „квалифицирано удостоверение за електронен подпис“ означава удостоверение за електронни подписи, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение I;

Съгласно т. 16) „удостоверителна услуга“ означава електронна услуга, обикновено предоставяна срещу възнаграждение, която се състои във:

а) създаването, проверката и валидирането на електронни подписи, електронни печати или електронни времеви печати, услуги за електронна препоръчана поща, както и удостоверения, свързани с тези услуги; или

б) създаването, проверката и валидирането на удостоверения за автентичност на уебсайт; или

в) съхраняването на електронни подписи, печати или удостоверения, свързани с тези услуги.

Съгласно Приложение I на Регламент (ЕС) 910/2014 квалифицираните удостоверения за електронни подписи следва да съдържат определен набор от данни по отношение на титулярите.

Ключово обаче е разграничението между целите, за които се обработват тези данни – издаването и съответно ползването на електронния подпис.

По силата на чл. 24, пар. 1 от Регламент (ЕС) 910/2014 при издаването на квалифицирано удостоверение за удостоверителна услуга доставчикът на квалифицирани удостоверителни услуги проверява чрез подходящи средства и в съответствие с националното право самоличността и, ако е приложимо, всички специфични данни за физическото или юридическото лице, на което се издава квалифицираното удостоверение. Тази информацията се проверява от доставчика на квалифицирани удостоверителни услуги пряко или чрез трета страна в съответствие с националното право:

а) чрез личното присъствие на физическото лице или на упълномощен представител на юридическото лице; или

б) дистанционно, чрез средство за електронна идентификация, като за целта преди издаването на квалифицираното удостоверение е било осигурено физическото присъствие на физическото лице или на упълномощен представител на юридическото лице и въпросното средство отговоря на изискванията на член 8 по отношение на нивата на осигуреност „значително“ или „високо“; или

в) чрез удостоверение за квалифициран електронен подпис или за квалифициран електронен печат, издадено в съответствие с буква а) или б); или

г) чрез използване на други признати на национално равнище методи за идентификация, които дават ниво на осигуреност, равностойно на физическото присъствие по отношение на надеждността.

Равностойното ниво на осигуреност се потвърждава от орган за оценяване на съответствието.

Посочената разпоредба задължава доставчика на удостоверителни услуги да идентифицира по безспорен начин титулярите на даден електронен подпис, като за целта се събират и обработват определен обем от лични данни. Несъмнено, един от начините за идентификация на субекта на данни е обработването на неговия ЕГН в съвкупност с други идентификационни данни. Това обаче, не означава, че ЕГН трябва да е видим при подписването на документи. Основната цел при използването на уредените с Регламент (ЕС) 910/2014 услуги е да се гарантира осигуряването на сигурна електронна идентификация и сигурно електронно удостоверяване на автентичност. С тези задължения са изрично натоварени доставчиците на електронни удостоверителни услуги и поради това не е налице нито необходимост, нито правно основание, ЕГН на титуляря да бъде видимо за неограничен кръг от лица – участници в обмена на електронни документи.

Разпоредбата на чл. 11 от Закона за гражданската регистрация (ЗГР) гласи, че ЕГН е административен идентификатор, чрез който физическите лица се определят еднозначно. В тази връзка, ЕГН може да бъде нормативно установен като реквизит, който напр. е част от заявление, което лицето подава по повод искане за иницииране на административно производство или за предоставяне на услуга. В такива случаи целта и основанието за обработване на ЕГН са предвидени в нормативен акт и то е част от съдържанието на конкретен документ, а не на електронния подпис.

Нещо повече, съгласно чл. 25, пар. 2 от Регламент (ЕС) 910/2014 правната сила на квалифицирания електронен подпис е равностойна на тази на саморъчния подпис, за чиято валидност не се изисква добавяне на ЕГН.

По тези съображения и на основание чл. 58, пар. 3, б. „б“ от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното

СТАНОВИЩЕ:

  1. Съгласно действащата нормативна уредба в областта на електронните удостоверителни услуги, липсва нормативно изискване и съответно правно основание, ЕГН на титуляря на КЕП да е видим при подписване на електронни документи.
  2. Отчитайки посоченото в т. 1, Министерство на образованието и науката следва да се обърне към доставчика, предоставил съответните електронни удостоверителни услуги, с цел предприемане на действия по преустановяване на визуализацията на ЕГН на титуляря на КЕП при подписване на електронни документи от служители в неговата администрация.

ПРЕДСЕДАТЕЛ:                                     ЧЛЕНОВЕ:

Можете да споделите: