Numer PESEL regularnie pojawia się w umowach, formularzach bankowych, dokumentach medycznych i rekrutacji. Stąd częste pytanie: skoro jego ujawnienie bywa ryzykowne, to czy prawo traktuje go jak dane wrażliwe? Odpowiedź nie jest intuicyjna, bo przepisy rozdzielają dwie kwestie: kategorię danych i poziom ryzyka ich użycia. Poniżej wprost: czym PESEL jest w świetle RODO, kiedy wolno go żądać i dlaczego jego ochrona w praktyce powinna być bardzo poważna.
Czym są dane wrażliwe według RODO
PESEL nie jest daną wrażliwą w rozumieniu art. 9 RODO. To punkt wyjścia, bez którego łatwo pomylić język potoczny z językiem prawa.
RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, rozróżnia zwykłe dane osobowe od tzw. szczególnych kategorii danych. W art. 4 pkt 1 dane osobowe zdefiniowano bardzo szeroko: to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Z tej perspektywy PESEL bez dyskusji jest danym osobowym.
Z kolei art. 9 ust. 1 RODO wymienia zamknięty katalog danych szczególnie chronionych. Chodzi m.in. o dane ujawniające:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych,
- dane genetyczne i biometryczne,
- dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
W tym katalogu nie ma numeru PESEL. To ważne, bo w obiegu codziennym „dane wrażliwe” często oznaczają po prostu dane, których ujawnienie może narobić szkód. Prawo unijne używa tego pojęcia znacznie węziej.
W sensie prawnym PESEL to dana osobowa, ale nie szczególna kategoria danych z art. 9 RODO.
Czy PESEL jest daną wrażliwą, skoro pozwala łatwo zidentyfikować człowieka?
Tu pojawia się źródło największego zamieszania. Zdolność do identyfikacji nie przesądza o uznaniu danych za wrażliwe. PESEL jest identyfikatorem, i to bardzo mocnym, ale to nadal nie czyni go automatycznie daną z art. 9 RODO.
Numer PESEL składa się z 11 cyfr i jest uregulowany w ustawie z 24 września 2010 r. o ewidencji ludności. Zawiera informację o dacie urodzenia, numer porządkowy oraz oznaczenie płci. To oznacza, że sam w sobie niesie więcej niż „losowy numer”, ale nadal nie ujawnia takich informacji jak stan zdrowia czy przekonania religijne. Dlatego ustawodawca nie wrzucił go do kategorii szczególnych.
Jednocześnie art. 87 RODO wyodrębnia osobny temat: krajowe numery identyfikacyjne. Przepis mówi, że państwa członkowskie mogą określić szczególne warunki przetwarzania takich identyfikatorów. To nie jest to samo co dane wrażliwe, ale sygnał jest jasny: numery typu PESEL wymagają ostrożności.
Dlaczego w praktyce PESEL traktuje się „prawie jak dane szczególne”
Bo szkoda po jego wycieku bywa bardzo konkretna. Sam numer PESEL nie wystarcza do wszystkiego, ale w połączeniu z imieniem, nazwiskiem i adresem otwiera drogę do kradzieży tożsamości, prób zaciągania zobowiązań czy podszywania się pod inną osobę.
To właśnie dlatego Prezes Urzędu Ochrony Danych Osobowych w wielu sprawach podkreśla, że numer PESEL ma wysoki potencjał identyfikacyjny i jego ujawnienie może powodować poważne skutki dla osoby, której dotyczy. Tyle że ryzyko praktyczne to nie to samo co kwalifikacja prawna z art. 9 RODO. Te dwie rzeczy trzeba rozdzielać.
Kiedy wolno żądać numeru PESEL, a kiedy to przesada
PESEL wolno przetwarzać tylko wtedy, gdy istnieje konkretna podstawa prawna z art. 6 RODO albo wyraźny obowiązek wynikający z przepisu szczególnego. Samo wygodne „bo tak nam łatwiej” nie wystarcza.
W praktyce najważniejsze są trzy podstawy: obowiązek prawny, wykonanie umowy oraz uzasadniony interes administratora. Problem polega na tym, że część firm sięga po PESEL z przyzwyczajenia, choć cel dałoby się osiągnąć mniejszym zakresem danych. A zgodnie z art. 5 ust. 1 lit. c RODO działa zasada minimalizacji danych: wolno zbierać tylko to, co niezbędne.
| Sytuacja | Podstawa żądania PESEL | Czy PESEL zwykle jest konieczny? | Praktyczna uwaga |
|---|---|---|---|
| Bank lub instytucja pożyczkowa | Prawo bankowe, przepisy AML, ocena zdolności i identyfikacja klienta | Najczęściej tak | Instytucje typu PKO BP, mBank, Santander Bank Polska mają zwykle wyraźną podstawę prawną |
| Pracodawca przy zatrudnieniu | Kodeks pracy i obowiązki wobec ZUS, urzędu skarbowego | Na etapie zatrudnienia tak, w rekrutacji nie zawsze | Kandydat do pracy nie powinien podawać więcej danych, niż pozwala art. 221 Kodeksu pracy |
| Placówka medyczna | Ustawa o prawach pacjenta, systemy NFZ, e-recepta | Bardzo często tak | PESEL służy identyfikacji pacjenta i rozliczeniom świadczeń |
| Sklep internetowy | Najczęściej wykonanie umowy sprzedaży | Zwykle nie | Do wysyłki wystarcza zazwyczaj imię, nazwisko, adres, telefon lub e-mail |
| Operator telekomunikacyjny | Weryfikacja klienta, obowiązki ustawowe przy zawieraniu umowy | Często tak | Dotyczy m.in. operatorów takich jak Orange, Play, T-Mobile, Plus |
Ta tabela pokazuje najważniejszą różnicę: nie każda organizacja, która zna imię i nazwisko klienta, ma prawo żądać PESEL. Gdy cel można osiągnąć bez niego, pobieranie numeru bywa po prostu nadmiarowe.
Najczęstszy błąd: zgoda zamiast realnej podstawy
Wiele podmiotów próbuje ratować się zgodą: „prosimy wpisać PESEL i zaznaczyć checkbox”. To często zła praktyka. Jeśli przetwarzanie jest potrzebne do wykonania obowiązku ustawowego, podstawą nie jest zgoda, lecz art. 6 ust. 1 lit. c RODO. Jeśli PESEL nie jest potrzebny, zgoda też nie rozwiązuje problemu, bo nadal pozostaje pytanie o zgodność z zasadą minimalizacji.
W relacji z silniejszym podmiotem — pracodawcą, bankiem, ubezpieczycielem — zgoda bywa też wątpliwa z powodu braku pełnej dobrowolności. Dlatego poprawne ustalenie podstawy prawnej ma większe znaczenie niż sam formularz zgody.
Dlaczego wyciek PESEL to poważny problem, mimo że przepisy nie nazywają go daną wrażliwą
Skutek wycieku PESEL bywa dotkliwy finansowo i organizacyjnie. I właśnie dlatego wokół tego numeru narosło przekonanie, że „musi być daną wrażliwą”. To zrozumiały skrót myślowy, ale jednak skrót.
Połączenie PESEL + imię i nazwisko pozwala łatwiej potwierdzać tożsamość w wielu procesach. Do tego dochodzi obieg kopii dowodów, umowy na odległość, formularze kredytowe i konta klienta. Ryzyko nie wynika więc z magicznego statusu numeru, tylko z jego szerokiego użycia w systemach publicznych i prywatnych.
W Polsce od 17 listopada 2023 r. działa też usługa zastrzeżenia numeru PESEL. Podstawą są zmiany w ustawie o ewidencji ludności i przepisach towarzyszących. Banki, firmy pożyczkowe i notariusze w określonych przypadkach muszą sprawdzać status zastrzeżenia przed wykonaniem czynności. To mocny sygnał ustawodawcy: PESEL nie jest daną wrażliwą, ale jest danym identyfikatorem o podwyższonym znaczeniu praktycznym.
Prawo nie klasyfikuje PESEL jako danych szczególnych, ale państwo wprowadziło dla niego osobne zabezpieczenia, bo skutki nadużyć są realne.
Co zrobić, gdy ktoś żąda PESEL bez jasnego powodu
Nigdy nie powinno się podawać PESEL „na wszelki wypadek”. Najpierw trzeba ustalić, po co jest potrzebny i na jakiej podstawie prawnej ma być przetwarzany.
Najrozsądniejsza ścieżka wygląda tak:
- Poprosić o wskazanie celu przetwarzania i podstawy prawnej.
- Sprawdzić, czy bez PESEL da się zrealizować usługę lub umowę.
- Zapoznać się z klauzulą informacyjną RODO — kto jest administratorem, jak długo przechowuje dane, komu je udostępnia.
- W razie wątpliwości odmówić i zażądać alternatywy identyfikacji.
Jeśli podmiot nie potrafi wyjaśnić, dlaczego potrzebuje numeru, to sygnał ostrzegawczy. W przypadku ewidentnego nadużycia pozostaje skarga do PUODO. Nie zawsze skończy się to sankcją, ale już samo pytanie o podstawę prawną często porządkuje sytuację.
Z perspektywy organizacji sprawa też jest prosta: zbieranie PESEL „na zapas” zwiększa ryzyko naruszenia i odpowiedzialność administratora. Im więcej danych, tym większy koszt ochrony, obowiązków informacyjnych i reakcji na incydent.
Najczęstsze pytania
Czy PESEL to dane osobowe?
Tak. Zgodnie z art. 4 pkt 1 RODO numer PESEL jest danym osobowym, ponieważ pozwala zidentyfikować konkretną osobę fizyczną.
Czy PESEL należy do danych wrażliwych według RODO?
Nie. Katalog z art. 9 RODO nie obejmuje numeru PESEL, więc formalnie nie jest to szczególna kategoria danych.
Czy sklep internetowy może żądać numeru PESEL?
Najczęściej nie ma takiej potrzeby. Do realizacji zwykłej sprzedaży online zwykle wystarczą dane kontaktowe i adresowe, więc żądanie PESEL powinno mieć bardzo konkretną podstawę.
Czy bank może prosić o PESEL?
Tak, w wielu przypadkach ma do tego podstawę prawną. Wynika to m.in. z obowiązków identyfikacyjnych, przepisów AML i zasad zawierania umów finansowych.
Czy warto zastrzec numer PESEL?
Tak, zwłaszcza jeśli istnieje ryzyko wycieku danych albo utraty dokumentów. Usługa zastrzeżenia ogranicza możliwość wykorzystania numeru przy części czynności, głównie finansowych.
Najkrótsza odpowiedź brzmi więc tak: PESEL nie jest daną wrażliwą w rozumieniu przepisów RODO, ale jest danym osobowym o dużym ciężarze praktycznym. To rozróżnienie ma znaczenie prawne, lecz w codziennym obrocie nie powinno usypiać czujności. Jeśli ktoś żąda PESEL, musi mieć ku temu konkretny powód — i powinien umieć go wskazać bez lawirowania.