12. Weryfikacja i pobieranie danych z rejestru referencyjnego
22.05.2024
Generalną rekomendacją AIP jest, że dane, dla których istnieją rejestry referencyjne, powinny być pobierane z właściwego rejestru referencyjnego lub weryfikowane pod kątem zgodności z właściwym rejestrem referencyjnym, zgodnie z uprawnieniami określonymi w przepisach prawa i środkami technicznymi dostępu do danych, określonymi przez organ prowadzący rejestr referencyjny. Rolę tę może pełnić także dodatkowo, jako tzw. „węzeł referencyjności”, inny wyznaczony rejestr, który jest automatycznie aktualizowany z głównego rejestru referencyjnego. Na przykład takim węzłem referencyjności danych osoby fizycznej dla resortu finansów jest CRP KEP, aktualizowany na bieżąco z rejestru PESEL. Odnosząc tę generalną zasadę do grupy danych Osoby fizycznej i aktualnego stanu, rekomendujemy wdrożenie poniższych zasad.
- Podstawowe dane osoby fizycznej (takie jak imię, nazwisko, data i miejsce urodzenia, zgonu, itd.) powinny być pobierane lub weryfikowane z rejestrem PESEL, z zachowaniem zasad ochrony prywatności i bezpieczeństwa informacji. Ewentualnie mogą być aktualizowane z innego węzła referencyjności danych Osoby fizycznej obsługującego daną instytucję.
- Obowiązek weryfikacji wprowadzanych po raz pierwszy danych z rejestrem PESEL jest już częściowo nałożony przepisami UoI. Powinien jednak być rozszerzony zgodnie z powyższą rekomendacją na wszystkie przypadki wprowadzania danych (nie tylko na wprowadzenie tych danych po raz pierwszy do rejestru) i na wszystkie zbiory danych administracji publicznej (nie tylko na te, mieszczące się w aktualnej definicji rejestru publicznego w UoI). Powinien być także konsekwentnie stosowany przez wszystkie instytucje administracji publicznej.
- Jeśli istnieją przeszkody natury technicznej na drodze realizacji tej rekomendacji (np. brak możliwości zapewnienia warunków polityki bezpieczeństwa), należy dążyć do ich usunięcia. Jeśli istnieją przeszkody natury prawnej, należy dążyć do uzupełnienia / modyfikacji przepisów, tak aby zapewnić niezbędną podstawę prawną.
- W przypadku danych podstawowych Osoby fizycznej, których aktualnie nie gromadzi rejestr PESEL, dane powinny być pobierane lub weryfikowane z rejestrami proponowanymi jako referencyjne dla nich w Wykazie rejestrów referencyjnych, np. z Rejestrem Danych Kontaktowych dla adresu e-mail czy numeru telefonu. W szczególności dane cudzoziemców powinny być weryfikowane z Krajowym zbiorem ewidencji rejestrów i wykazu w sprawach cudzoziemców lub z Krajowym rejestrem cudzoziemców.
- Z rejestru PESEL i innych rejestrów przechowujących dane osobowe pobierana lub weryfikowana powinna być minimalna informacja niezbędna do realizacji zadań publicznych, którym służy dany system, rejestr czy e-usługa. Np. jeśli wystarczy informacja, czy dana osoba żyje, nie należy pobierać czy weryfikować daty śmierci tej osoby.