uwagi RCL_profil zaufany
Transkrypt
uwagi RCL_profil zaufany
Warszawa, dnia 23 czerwca 2016 r. RZĄDOWE CENTRUM LEGISLACJI DEPARTAMENT PRAWNY I POSTĘPOWAŃ PRZED TRYBUNAŁEM KONSTYTUCYJNYM RCL.DPPTK.555.3/2016 Dot.: DP-SPUE.0211.3.2016 Pani Katarzyna Kobierska Dyrektor Departamentu Prawnego w Ministerstwie Cyfryzacji W związku z przesłanym do zaopiniowania projektem rozporządzenia Ministra Cyfryzacji w sprawie zasad i warunków potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług administracji publicznej Rządowe Centrum Legislacji zgłasza następujące uwagi: 1. Opiniowany projekt zakłada wykonanie delegacji ustawowej zawartej w art. 20a ust. 3 pkt 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114, z późn. zm.), który zmieniany jest proponowanym przepisem art. 95 pkt 4 projektu ustawy o usługach zaufania oraz identyfikacji elektronicznej. Zgodnie z przywołanym przepisem upoważniającym, uwzględniającym projektowane zmiany, minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, zasady i warunki potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego ePUAP, w tym: 1) okres ważności profilu zaufanego ePUAP; 2) zawartość profilu zaufanego ePUAP; 3) przypadki, w których nie dokonuje się potwierdzenia profilu zaufanego ePUAP; 4) przypadki, w których profil zaufany ePUAP traci ważność; 5) warunki składania podpisu elektronicznego potwierdzonego profilem zaufanym ePUAP; 6) warunki przechowywania oraz archiwizowania dokumentów i danych bezpośrednio związanych z potwierdzeniem profilu zaufanego ePUAP; 7) wzory wniosku o potwierdzenie, przedłużenie i unieważnienie profilu zaufanego ePUAP; 8) warunki, które powinien spełniać punkt potwierdzający profil zaufany ePUAP; 9) warunki organizacyjne i techniczne dla potwierdzania profilu zaufanego ePUAP przy nieodpłatnym wykorzystaniu środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy. Przepisy przedmiotowego rozporządzenia przewidują natomiast szereg regulacji, które swym zakresem wykraczają poza katalog spraw przekazanych do uregulowania w akcie wykonawczym. W tym kontekście należy wskazać przepis: 1) § 1 pkt 6, bowiem wskazuje, że przepisy opiniowanego rozporządzenia określają przechowywanie oraz archiwizowanie dokumentów i danych związanych z potwierdzeniem, przedłużaniem ważności albo unieważnieniem profilu zaufanego ePUAP, podczas gdy delegacja ustawowa przekazała do uregulowania w rozporządzeniu warunki przechowywania oraz archiwizowania jedynie dokumentów i danych związanych z potwierdzeniem profilu zaufanego ePUAP. Analogiczna uwaga dotyczy proponowanego § 18 projektu przewidującego obowiązek przechowywania i archiwizowania dokumentów i danych związanych nie tylko z potwierdzeniem profilu zaufanego ePUAP, ale również z innymi czynnościami dokonywanymi wobec niego. Dodatkowo należy wskazać, iż w § 18 ust. 3 wskazany został również okres, przez który mają być przechowywane przedmiotowe dokumenty, podczas gdy przepis upoważniający nie zawiera dyspozycji w tym zakresie; 2) § 3, w myśl którego „wniosek o potwierdzenie profilu zaufanego ePUAP może złożyć wyłącznie osoba posiadająca pełną zdolność do czynności prawnych”. Proponuje się przeredagowanie omawianej regulacji, tak by wskazywał, iż warunkiem potwierdzenia profilu zaufanego ePUAP jest złożenie wniosku o potwierdzenie tego profilu przez osobę posiadającą pełną zdolność do czynności prawnych; 3) § 9 ust. 3, przewidujący, że „autoryzacja jest dokonywana przy użyciu haseł jednorazowych przesyłanych na wskazany przez użytkownika numer telefonu komórkowego albo środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego”. Przedmiotowy przepis proponuje się przeredagować i umieścić w § 1 2 omawianego przepisu, jako jeden z elementów jakie zawiera profil zaufany ePUAP. Analogicznego przeredagowania wymagają również § 9 ust. 5-9, § 10 ust. 3, § 12 ust. 5, § 13, § 14 ust. 2, § 17, § 18 ust. 4 oraz § 19 ust. 3 projektowanego rozporządzenia, bowiem obecnie zaproponowana treść tych przepisów budzi zastrzeżenia odnośnie przekroczenia przez nie zakresu delegacji ustawowej. 2. Wątpliwości budzi zaproponowana redakcja § 4 i 5 projektu rozporządzenia, bowiem w § 4 ust. 1 wskazano, że osoba wnioskująca przesyła wniosek na ePUAP, natomiast w § 5 ust. 1 przewiduje, że osoba ta może wniosek złożyć osobiście w punkcie potwierdzającym, dlatego też proponuje się wskazanie w jednym przepisie, że osoba wnioskująca może dokonać potwierdzenia profilu zaufanego ePUAP na wniosek złożony w postaci elektronicznej w ePUAP lub osobiście w punkcie potwierdzającym. Należy przy tym pamiętać również o treści uwagi przedstawionej wyżej do § 3. 3. Projektowaną regulację § 4 ust. 2 proponuje się przenieść do przepisu § 6 określającego elementy procesu potwierdzania profilu zaufanego ePUAP. 4. Proponuje się wskazać rozróżnienie w treści projektowanych przepisów, jakie czynności związane z potwierdzeniem profilu zaufanego ePUAP wykonuje punkt potwierdzający, a jakie jego upoważniony pracownik (§ 6 ust. 2, 4, 6 i 7 projektu). 5. Wskazany na wstępie projekt ustawy w proponowanym art. 20c ust. 1 pkt 2 i 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne przewiduje m.in obowiązek wskazania „imienia”, natomiast projektowane § 5 ust. 3 pkt 1 oraz § 9 pkt 1 posługują się sformułowaniem „imię (imiona)”. Wobec powyższego proponuje się dostosowanie terminologii projektu do terminologii projektowanych przepisów wskazanej wyżej ustawy. 6. Przepis § 9 ust. 4 wydaje się być zbędny, bowiem przepisy wydane na podstawie wskazanego w tym przepisie znowelizowanego art. 19a ust. 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne określają zakres i warunki korzystania z ePUAP, w tym warunki organizacyjne i techniczne nieodpłatnego wykorzystywania w ePUAP środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy. Skoro zatem zostaną określone w ww. przepisach warunki korzystania z ePUAP, nie zachodzi już potrzeba określania w opiniowanym akcie warunków organizacyjnych i technicznych niezbędnych do dokonania autoryzacji profilu zaufanego w tej platformie. 3 7. W projektowanym § 10 ust. 3 zbędne jest odesłanie do odpowiedniego stosowania § 12 projektu, bowiem przepis określający przesłanki utraty ważności przez profil zaufany ePUAP znajdzie zastosowanie bez względu na okoliczność czy przesłanka utraty ważności zaistnieje wobec potwierdzonego profilu ePUAP, czy w stosunku do profilu zaufanego, którego ważność została przedłużona. 8. Projektowany przepis § 15 nie stanowi wykonania upoważnienia ustawowego w zakresie określenia warunków, jakie powinien spełniać punkt potwierdzający profil zaufany ePUAP, bowiem przepis ten nie wskazuje warunków, które musi spełnić podmiot ubiegający się o pełnienie funkcji podmiotu potwierdzającego, a wskazuje jedynie oświadczenia, jakie podmiot ten przedkłada ministrowi właściwemu do spraw informatyzacji. Częściową regulację w omawianym zakresie przewiduje § 16 ust. 3, jednakże odnosi się on jedynie do wybranych 3 rodzajów podmiotów, które mogą pełnić funkcję podmiotu potwierdzającego. Dlatego też należy przeredagować omawiany przepis, w ten sposób, aby wskazywał on, że warunkiem, który musi być spełniony przez podmiot ubiegający się o pełnienie funkcji podmiotu potwierdzającego, jest posiadanie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz spełnienie wymagań określonych w przytoczonym rozporządzeniu Ministra Spraw Wewnętrznych i Administracji, podczas gdy oświadczenia obecnie wskazane w analizowanej regulacji będą przedkładane jako potwierdzenie spełniania tych warunków. 9. W proponowanym § 19 w ust. 1: 1) w pkt 1 zasadnym jest przytoczenie poprawnej nazwy rozporządzenia wykonawczego Komisji (UE)2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu w sprawie do identyfikacji transakcji elektronicznej elektronicznych na i rynku usług zaufania wewnętrznym (Dz. Urz. UE L 235 z 9.09.2015, str. 7), 2) w pkt 3 zastrzeżenia budzi sformułowanie „niezależną trzecią stronę”, gdyż pojęcie to nie jest zdefiniowane ani w ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, ani w projektowanym akcie, 4 3) w pkt 4 w lit. a należy wykreślić słowa „zawierającego numer PESEL”, ponieważ wymogi dotyczące dowodów osobistych albo paszportów określone zostały w odrębnych przepisach. 10. Uzasadnienie projektu należy uzupełnić o wyjaśnienie rozwiązań przewidzianych w § 23, tj. dotyczących terminów wejścia w życie projektowanego aktu, a także o wymogi formalne wskazane w § 27 uchwały nr 190 Rady Ministrów z dnia 29 października 2013 r. – Regulamin pracy Rady Ministrów (M.P. poz. 979, z 2015 r. poz. 1063 oraz z 2016 r. poz. 494). Ponadto Rządowe Centrum Legislacji, informuje, iż uwagi legislacyjne i redakcyjne zostaną przekazane w trybie roboczym. Niezależnie od powyższego proponuje się ujednolicenie terminologii opiniowanego projektu z terminologią projektu rozporządzenia Ministra Cyfryzacji w sprawie zasad i warunków potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług administracji publicznej. Dodatkowo zauważyć należy, że projekt ustawy o usługach zaufania oraz identyfikacji elektronicznej, dokonujący nowelizacji upoważnienia ustawowego opiniowanego aktu, znajduje się obecnie na rządowym etapie prac legislacyjnych. Tym samym należy mieć na uwadze, że projekt ten może podlegać modyfikacjom na etapie prac parlamentarnych, które mogą mieć znaczny wpływ na rozwiązania przyjęte w projektowanym akcie. Wobec powyższego proponuje się rozważenie wstrzymania realizacji kolejnych etapów prac legislacyjnych, określonych w uchwale nr 190 Rady Ministrów z dnia 29 października 2013 r. – Regulamin pracy Rady Ministrów, do czasu uchwalenia przez Parlament ostatecznego brzmienia przepisów projektowanej ustawy o usługach zaufania oraz identyfikacji elektronicznej. Wacław Markowicz Dyrektor Departamentu Prawnego i Postępowań przed Trybunałem Konstytucyjnym w Rządowym Centrum Legislacji /-podpisano bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu/ Sprawę prowadzi: Aneta Waszyńska 5