Czy w świetle przepisów RODO prawidłowe jest tworzenie kwalifikowanych certyfikatów podpisu elektronicznego przy wykorzystaniu numerów PESEL?

Spółka korzysta z usług zatwierdzonego dostawcy elektronicznego podpisu kwalifikowanego wg ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014. Ten podmiot zatwierdzony to Krajowa Izba Rozliczeniowa S.A. (KIR). Dostawca usługi przetwarza PESEL jako cechę tożsamości niezbędną do identyfikacji osoby, jednak stwarza on ryzyko dostępności PESELU dla osób trzecich (po przeglądzie właściwości podpisu elektronicznego) otrzymujących podpisany elektronicznie dokument. KIR dostawca usług podpisu elektronicznego stoi na stanowisku, iż zgodnie z brzmieniem art. 3 pkt 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014: "Certyfikat podpisu elektronicznego oznacza poświadczenie elektroniczne, które przyporządkowuje dane służące do walidacji podpisu elektronicznego do osoby fizycznej i potwierdza co najmniej imię i nazwisko lub pseudonim tej osoby". Z definicji wynika, że przyporządkowanie danych do osoby wymaga zapisania w certyfikacie identyfikatora osoby fizycznej. Imię i nazwisko nie jest wystarczające, gdyż nie umożliwia jednoznacznej identyfikacji osoby fizycznej. A zgodnie z art. 15 ust. 2 ustawy o ewidencji ludności parametrem, który jednoznacznie identyfikuje osobę fizyczną jest numer Pesel. Konstrukcja certyfikatu nie wynika jedynie z powyższego Rozporządzenia eIDAS, ale również z powszechnie stosowanych norm dotyczących formatów i zawartości certyfikatów. W związku z powyższym konieczne jest, aby każdy certyfikat wydany osobie fizycznej zawierał imię, nazwisko oraz dane umożliwiające jednoznaczną identyfikację osoby fizycznej.

Czy w świetle przepisów RODO stanowisko dostawcy usług podpisu elektronicznego jest zasadne w odniesieniu do faktu, iż nr PESEL wskazuje szereg danych osobowych i nie powinien być powszechnie potencjalnie dostępny odbiorcom pism podpisanych elektronicznie?