uwagi RCL_profil zaufany

Warszawa, dnia 23 czerwca 2016 r.
RZĄDOWE CENTRUM LEGISLACJI
DEPARTAMENT PRAWNY I POSTĘPOWAŃ PRZED
TRYBUNAŁEM KONSTYTUCYJNYM
RCL.DPPTK.555.3/2016
Dot.: DP-SPUE.0211.3.2016
Pani
Katarzyna Kobierska
Dyrektor
Departamentu Prawnego
w Ministerstwie Cyfryzacji
W związku z przesłanym do zaopiniowania projektem rozporządzenia Ministra
Cyfryzacji
w
sprawie
zasad
i
warunków
potwierdzania,
przedłużania
ważności,
unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług
administracji publicznej Rządowe Centrum Legislacji zgłasza następujące uwagi:
1. Opiniowany projekt zakłada wykonanie delegacji ustawowej zawartej w art. 20a ust. 3
pkt 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114, z późn. zm.), który zmieniany
jest proponowanym przepisem art. 95 pkt 4 projektu ustawy o usługach zaufania oraz
identyfikacji elektronicznej. Zgodnie z przywołanym przepisem upoważniającym,
uwzględniającym projektowane zmiany, minister właściwy do spraw informatyzacji
określi, w drodze rozporządzenia, zasady i warunki potwierdzania, przedłużania ważności,
wykorzystania i unieważniania profilu zaufanego ePUAP, w tym:
1)
okres ważności profilu zaufanego ePUAP;
2)
zawartość profilu zaufanego ePUAP;
3)
przypadki, w których nie dokonuje się potwierdzenia profilu zaufanego ePUAP;
4)
przypadki, w których profil zaufany ePUAP traci ważność;
5)
warunki składania podpisu elektronicznego potwierdzonego profilem zaufanym
ePUAP;
6)
warunki
przechowywania
oraz
archiwizowania
dokumentów
i danych
bezpośrednio związanych z potwierdzeniem profilu zaufanego ePUAP;
7)
wzory wniosku o potwierdzenie, przedłużenie i unieważnienie profilu zaufanego
ePUAP;
8)
warunki, które powinien spełniać punkt potwierdzający profil zaufany ePUAP;
9)
warunki organizacyjne i techniczne dla potwierdzania profilu zaufanego ePUAP
przy
nieodpłatnym
wykorzystaniu
środka
identyfikacji
elektronicznej
stosowanego do uwierzytelniania w systemie teleinformatycznym banku
krajowego lub innego przedsiębiorcy.
Przepisy przedmiotowego rozporządzenia przewidują natomiast szereg regulacji, które
swym zakresem wykraczają poza katalog spraw przekazanych do uregulowania w akcie
wykonawczym. W tym kontekście należy wskazać przepis:
1)
§ 1 pkt 6, bowiem wskazuje, że przepisy opiniowanego rozporządzenia określają
przechowywanie oraz archiwizowanie dokumentów i danych związanych
z potwierdzeniem, przedłużaniem ważności albo unieważnieniem profilu
zaufanego
ePUAP,
podczas
gdy
delegacja
ustawowa
przekazała
do
uregulowania w rozporządzeniu warunki przechowywania oraz archiwizowania
jedynie dokumentów i danych związanych z potwierdzeniem profilu zaufanego
ePUAP.
Analogiczna
uwaga
dotyczy
proponowanego
§
18
projektu
przewidującego obowiązek przechowywania i archiwizowania dokumentów
i danych związanych nie tylko z potwierdzeniem profilu zaufanego ePUAP, ale
również z innymi czynnościami dokonywanymi wobec niego. Dodatkowo
należy wskazać, iż w § 18 ust. 3 wskazany został również okres, przez który
mają być przechowywane przedmiotowe dokumenty, podczas gdy przepis
upoważniający nie zawiera dyspozycji w tym zakresie;
2)
§ 3, w myśl którego „wniosek o potwierdzenie profilu zaufanego ePUAP może
złożyć wyłącznie osoba posiadająca pełną zdolność do czynności prawnych”.
Proponuje się przeredagowanie omawianej regulacji, tak by wskazywał,
iż warunkiem potwierdzenia profilu zaufanego ePUAP jest złożenie wniosku
o potwierdzenie tego profilu przez osobę posiadającą pełną zdolność do
czynności prawnych;
3)
§ 9 ust. 3, przewidujący, że „autoryzacja jest dokonywana przy użyciu haseł
jednorazowych przesyłanych na wskazany przez użytkownika numer telefonu
komórkowego albo środków identyfikacji elektronicznej, stosowanych do
uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego”.
Przedmiotowy przepis proponuje się przeredagować i umieścić w § 1
2
omawianego przepisu, jako jeden z elementów jakie zawiera profil zaufany
ePUAP.
Analogicznego przeredagowania wymagają również § 9 ust. 5-9, § 10 ust. 3, § 12 ust. 5,
§ 13, § 14 ust. 2, § 17, § 18 ust. 4 oraz § 19 ust. 3 projektowanego rozporządzenia, bowiem
obecnie zaproponowana treść tych przepisów budzi zastrzeżenia odnośnie przekroczenia
przez nie zakresu delegacji ustawowej.
2. Wątpliwości budzi zaproponowana redakcja § 4 i 5 projektu rozporządzenia, bowiem
w § 4 ust. 1 wskazano, że osoba wnioskująca przesyła wniosek na ePUAP, natomiast w § 5
ust. 1 przewiduje, że osoba ta może wniosek złożyć osobiście w punkcie potwierdzającym,
dlatego też proponuje się wskazanie w jednym przepisie, że osoba wnioskująca może
dokonać potwierdzenia profilu zaufanego ePUAP na wniosek złożony w postaci
elektronicznej w ePUAP lub osobiście w punkcie potwierdzającym. Należy przy tym
pamiętać również o treści uwagi przedstawionej wyżej do § 3.
3. Projektowaną regulację § 4 ust. 2 proponuje się przenieść do przepisu § 6 określającego
elementy procesu potwierdzania profilu zaufanego ePUAP.
4. Proponuje się wskazać rozróżnienie w treści projektowanych przepisów, jakie czynności
związane z potwierdzeniem profilu zaufanego ePUAP wykonuje punkt potwierdzający,
a jakie jego upoważniony pracownik (§ 6 ust. 2, 4, 6 i 7 projektu).
5. Wskazany na wstępie projekt ustawy w proponowanym art. 20c ust. 1 pkt 2 i 3 ustawy
z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania
publiczne przewiduje m.in obowiązek wskazania „imienia”, natomiast projektowane § 5
ust. 3 pkt 1 oraz § 9 pkt 1 posługują się sformułowaniem „imię (imiona)”. Wobec
powyższego proponuje się dostosowanie terminologii projektu do terminologii
projektowanych przepisów wskazanej wyżej ustawy.
6. Przepis § 9 ust. 4 wydaje się być zbędny, bowiem przepisy wydane na podstawie
wskazanego w tym przepisie znowelizowanego art. 19a ust. 3 ustawy z dnia 17 lutego
2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne określają
zakres i warunki korzystania z ePUAP, w tym warunki organizacyjne i techniczne
nieodpłatnego
wykorzystywania
w
ePUAP
środków
identyfikacji
elektronicznej
stosowanych do uwierzytelniania w systemie teleinformatycznym banku krajowego lub
innego przedsiębiorcy. Skoro zatem zostaną określone w ww. przepisach warunki
korzystania z ePUAP, nie zachodzi już potrzeba określania w opiniowanym akcie
warunków organizacyjnych i technicznych niezbędnych do dokonania autoryzacji profilu
zaufanego w tej platformie.
3
7. W projektowanym § 10 ust. 3 zbędne jest odesłanie do odpowiedniego stosowania § 12
projektu, bowiem przepis określający przesłanki utraty ważności przez profil zaufany
ePUAP znajdzie zastosowanie bez względu na okoliczność czy przesłanka utraty ważności
zaistnieje wobec potwierdzonego profilu ePUAP, czy w stosunku do profilu zaufanego,
którego ważność została przedłużona.
8. Projektowany przepis § 15 nie stanowi wykonania upoważnienia ustawowego w zakresie
określenia warunków, jakie powinien spełniać punkt potwierdzający profil zaufany
ePUAP, bowiem przepis ten nie wskazuje warunków, które musi spełnić podmiot
ubiegający się o pełnienie funkcji podmiotu potwierdzającego, a wskazuje jedynie
oświadczenia, jakie podmiot ten przedkłada ministrowi właściwemu do spraw
informatyzacji. Częściową regulację w omawianym zakresie przewiduje § 16 ust. 3,
jednakże odnosi się on jedynie do wybranych 3 rodzajów podmiotów, które mogą pełnić
funkcję podmiotu potwierdzającego. Dlatego też należy przeredagować omawiany przepis,
w ten sposób, aby wskazywał on, że warunkiem, który musi być spełniony przez podmiot
ubiegający się o pełnienie funkcji podmiotu potwierdzającego, jest posiadanie polityki
bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz spełnienie
wymagań określonych w przytoczonym rozporządzeniu Ministra Spraw Wewnętrznych
i Administracji, podczas gdy oświadczenia obecnie wskazane w analizowanej regulacji
będą przedkładane jako potwierdzenie spełniania tych warunków.
9. W proponowanym § 19 w ust. 1:
1)
w pkt 1 zasadnym jest przytoczenie poprawnej nazwy rozporządzenia
wykonawczego Komisji (UE)2015/1502 z dnia 8 września 2015 r. w sprawie
ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących
poziomów zaufania w zakresie środków identyfikacji elektronicznej na
podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE)
nr 910/2014
w odniesieniu
w
sprawie
do
identyfikacji
transakcji
elektronicznej
elektronicznych
na
i
rynku
usług
zaufania
wewnętrznym
(Dz. Urz. UE L 235 z 9.09.2015, str. 7),
2)
w pkt 3 zastrzeżenia budzi sformułowanie „niezależną trzecią stronę”, gdyż
pojęcie to nie jest zdefiniowane ani w ustawie z dnia 17 lutego 2005 r.
o informatyzacji działalności podmiotów realizujących zadania publiczne, ani
w projektowanym akcie,
4
3)
w pkt 4 w lit. a należy wykreślić słowa „zawierającego numer PESEL”,
ponieważ wymogi dotyczące dowodów osobistych albo paszportów określone
zostały w odrębnych przepisach.
10.
Uzasadnienie projektu należy uzupełnić o wyjaśnienie rozwiązań przewidzianych
w § 23, tj. dotyczących terminów wejścia w życie projektowanego aktu, a także o wymogi
formalne wskazane w § 27 uchwały nr 190 Rady Ministrów z dnia 29 października 2013 r.
– Regulamin pracy Rady Ministrów (M.P. poz. 979, z 2015 r. poz. 1063 oraz z 2016 r.
poz. 494).
Ponadto Rządowe Centrum Legislacji, informuje, iż uwagi legislacyjne i redakcyjne
zostaną przekazane w trybie roboczym.
Niezależnie od powyższego proponuje się ujednolicenie terminologii opiniowanego
projektu z terminologią projektu rozporządzenia Ministra Cyfryzacji w sprawie zasad
i warunków potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu
zaufanego elektronicznej platformy usług administracji publicznej.
Dodatkowo zauważyć należy, że projekt ustawy o usługach zaufania oraz identyfikacji
elektronicznej, dokonujący nowelizacji upoważnienia ustawowego opiniowanego aktu,
znajduje się obecnie na rządowym etapie prac legislacyjnych. Tym samym należy mieć na
uwadze, że projekt ten może podlegać modyfikacjom na etapie prac parlamentarnych, które
mogą mieć znaczny wpływ na rozwiązania przyjęte w projektowanym akcie. Wobec
powyższego proponuje się rozważenie wstrzymania realizacji kolejnych etapów prac
legislacyjnych, określonych w uchwale nr 190 Rady Ministrów z dnia 29 października 2013 r.
– Regulamin pracy Rady Ministrów, do czasu uchwalenia przez Parlament ostatecznego
brzmienia przepisów projektowanej ustawy o usługach zaufania oraz identyfikacji
elektronicznej.
Wacław Markowicz
Dyrektor
Departamentu Prawnego i Postępowań przed
Trybunałem Konstytucyjnym
w Rządowym Centrum Legislacji
/-podpisano bezpiecznym podpisem elektronicznym
weryfikowanym przy pomocy ważnego
kwalifikowanego certyfikatu/
Sprawę prowadzi: Aneta Waszyńska
5