Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski zaapelował do wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego o pilny przegląd przepisów regulujących przetwarzanie danych osobowych w polskich rejestrach publicznych. W wystąpieniu z 29 października 2025 r. wskazuje, że obecny model gromadzenia i udostępniania danych jest coraz mniej spójny z Konstytucją RP, RODO oraz nowymi regulacjami unijnymi, a jednocześnie generuje rosnące zagrożenia dla prywatności obywateli, bezpieczeństwa państwa i stabilności biznesu.
Zdaniem Prezesa UODO polski system prawny musi zostać dostosowany do całego pakietu nowych aktów unijnych - m.in. Data Governance Act, Data Act, aktu o usługach cyfrowych, aktu o sztucznej inteligencji, przepisów o europejskiej przestrzeni danych dotyczących zdrowia czy dyrektywy NIS2 - które zmieniają dotychczasowe modele przetwarzania danych w rejestrach publicznych i wprowadzają nowe standardy cyberbezpieczeństwa. Rozwój narzędzi informatycznych, w tym systemów sztucznej inteligencji, oznacza nie tylko większe możliwości wtórnego wykorzystywania danych, ale również poważne ryzyka dla praw i wolności osób, których dane przetwarzają organy państwa.
Kluczowym problemem - także z perspektywy biznesu - jest skala oraz sposób upubliczniania danych osobowych, w szczególności numeru PESEL. UODO od lat krytykuje rozwiązania, które prowadzą do powszechnego ujawniania tego identyfikatora w rejestrach dostępnych online, jak choćby w Krajowym Rejestrze Zadłużonych czy przy powiązaniu numerów ksiąg wieczystych z danymi w Geoportalu. Prezes podkreśla, że obecny model jawności PESEL ma „wewnętrzną sprzeczność”, a ochronę tego identyfikatora w Polsce można wręcz uznać za „schizofreniczną”: z jednej strony ustawodawca wprowadza mechanizmy jego zastrzegania, z drugiej - ten sam numer pozostaje publicznie dostępny w wielu rejestrach, często bezterminowo.
Z biznesowego punktu widzenia oznacza to realne ryzyko nadużyć. Publiczny dostęp do numerów PESEL, danych adresowych czy informacji o zadłużeniu ułatwia działania cyberprzestępców, sprzyja kradzieży tożsamości, wyłudzeniom pożyczek oraz podszywaniu się pod przedsiębiorców i osoby reprezentujące firmy. UODO zwraca uwagę, że szczególnie wrażliwa jest sytuacja jednoosobowych działalności gospodarczych, których adres prowadzenia firmy jest często tożsamy z adresem zamieszkania. Dane takich osób, widoczne od lat w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, tworzą - jak wskazuje organ - poważne ryzyka dla ich prywatności i bezpieczeństwa.
Prezes UODO wskazuje też na problemy związane z wtórnym wykorzystywaniem danych z rejestrów publicznych przez kolejne podmioty. W przywołanych orzeczeniach Trybunału Sprawiedliwości UE - m.in. w sprawach rejestrów beneficjentów rzeczywistych czy działalności biur informacji kredytowej - akcentuje się, że brak przejrzystych gwarancji prawnych dla osób, których dane są przetwarzane, a także nieograniczone łączenie różnych baz danych, narusza zasady RODO i otwiera drogę do profilowania oraz automatycznego podejmowania decyzji bez wiedzy i kontroli jednostki. Dla firm korzystających z danych rejestrowych do oceny wiarygodności klientów, analizy ryzyka czy działań marketingowych oznacza to konieczność liczenia się z zaostrzeniem zasad i większą odpowiedzialnością za sposób wykorzystania pozyskanych informacji.
Wystąpienie Prezesa UODO mocno akcentuje również kwestie cyberbezpieczeństwa. Rejestry publiczne zawierają ogromny zasób danych, w tym dane wrażliwe dotyczące zdrowia, sytuacji socjalnej czy karalności. Niewłaściwie zaprojektowane systemy, nieprecyzyjne określenie ról administratorów i podmiotów przetwarzających, brak jasnych zasad powierzenia danych oraz luki w regulacjach dotyczących wymiany informacji między rejestrami - wszystko to zwiększa prawdopodobieństwo incydentów bezpieczeństwa, wycieków oraz nieuprawnionej teletransmisji danych. W sytuacji, gdy rejestry stanowią podstawę działania wielu usług komercyjnych - od bankowości i ubezpieczeń po e-commerce - ewentualne naruszenia mogą prowadzić do łańcuchowych skutków dla całych sektorów gospodarki.
Prezes UODO postuluje, aby rejestry publiczne były projektowane zgodnie z zasadą privacy by design i privacy by default: z oceną skutków dla ochrony danych już na etapie prac legislacyjnych, z precyzyjnie określonym celem przetwarzania, zakresem danych ograniczonym do niezbędnego minimum oraz jasno zdefiniowanymi okresami przechowywania. Podkreśla też konieczność wbudowania w systemy mechanizmów pozwalających administratorom kontrolować, kto, w jakim celu i w jakim trybie uzyskuje dostęp do danych, zwłaszcza w ramach zautomatyzowanych połączeń między różnymi rejestrami. Takie podejście ma nie tylko wzmacniać ochronę praw obywateli, ale również zapewnić większą przewidywalność i bezpieczeństwo prawne podmiotom gospodarczym, które korzystają z danych rejestrowych w swojej działalności.
Apel skierowany do ministra cyfryzacji jest więc nie tylko techniczną uwagą prawną, ale sygnałem, że model państwowych rejestrów - fundamentu cyfrowej administracji i wielu usług biznesowych - wymaga całościowego przeglądu. W dobie rosnącej roli danych, sztucznej inteligencji i zautomatyzowanego podejmowania decyzji, bezpieczeństwo informacji w rejestrach publicznych staje się jednym z kluczowych czynników zaufania do państwa i stabilności obrotu gospodarczego.