UZAS_profil zaufany_20160606_UZG

UZASADNIENIE
Projektowane
rozporządzenie
stanowi
wykonanie
upoważnienia
ustawowego
określonego w art. 20a ust. 3 pkt 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114 oraz z 2016 r. poz. 352
i ….).
Konieczność przygotowania przedmiotowego rozporządzenia wynika z faktu, iż
w drodze ustawy o usługach zaufania oraz identyfikacji elektronicznej zmieniającej m. in.
ustawę o informatyzacji działalności podmiotów realizujących zadania publiczne, zmianie
ulega treść przepisu stanowiącego upoważnienie ustawowe do wydania niniejszego aktu
wykonawczego (art. 20a ust. 3 pkt 2 lit. f ustawy z dnia 17 lutego 2005 r. o informatyzacji
działalności podmiotów realizujących zadania publiczne).
Ponadto jest to spowodowane zmianami w przebiegu procesów zachodzących w ePUAP
dotyczących profilu zaufanego ePUAP w związku z ich optymalizacją. Zmiany w systemie
ePUAP i optymalizacja procesów realizowane są poprzez wydzielenie, pod względem
technicznym, profilu zaufanego ePUAP w ramach ePUAP. Efektem wydzielenia profilu
zaufanego ePUAP będzie również zwiększenie wydajności i niezawodności ePUAP, jak
również podniesienie bezpieczeństwa działań dokonywanych z użyciem profilu zaufanego
ePUAP.
W
upoważnieniu
ustawowym
uszczegółowione
zostało
pojęcie
podpisu
elektronicznego potwierdzonego profilem zaufanym ePUAP poprzez wskazanie, iż jest on
podpisem elektronicznym (podpis elektroniczny potwierdzony profilem zaufanym ePUAP).
Stosowna zmiana została wprowadzona wszędzie tam, gdzie stosowane było pojęcie podpisu
potwierdzonego profilem zaufanym ePUAP.
Ponadto wskazano dodatkowo, iż rozporządzenie określa warunki organizacyjne i
techniczne dla potwierdzania profilu zaufanego ePUAP przy nieodpłatnym wykorzystaniu
środka
identyfikacji
elektronicznej
stosowanego
do
uwierzytelniania
w
systemie
teleinformatycznym banku krajowego lub innego przedsiębiorcy.
Jednocześnie
należy
wskazać,
iż
przedmiotowe
rozporządzenie
określając
w proponowanym projekcie zasady potwierdzania, przedłużania ważności, wykorzystania
i unieważniania profilu zaufanego ePUAP, składania podpisu elektronicznego potwierdzonego
profilem zaufanym ePUAP, a także warunki przechowywania oraz archiwizowania
dokumentów i danych, biorąc pod uwagę konieczność zachowania bezpieczeństwa i pewności
w procesie identyfikacji oraz poufności kluczowych elementarnych czynności jest w swojej
treści tożsame w stosunku do aktualnie obowiązującego rozporządzenia Ministra Administracji
i Cyfryzacji z dnia 5 czerwca 2014 r. w sprawie zasad potwierdzania, przedłużania ważności,
unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług
administracji publicznej (Dz. U. poz. 778), za wyjątkiem poniżej wskazanych zmian.
W projekcie proponuje się zmianę definicji bezpiecznego podpisu elektronicznego
rozumianego dotychczas jako bezpieczny podpis elektroniczny, o którym mowa w art. 3 pkt 2
ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z 2013 r. poz. 262)
na kwalifikowany podpis elektroniczny rozumiany jako zaawansowany podpis elektroniczny,
o którym mowa w art. 3 pkt 12 rozporządzenia Parlamentu Europejskiego i Rady (EU)
Nr 920/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług
zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające
dyrektywę 1999/93/WE, dalej zwane eIDAS. Stosowna zmiana została wprowadzona wszędzie
tam gdzie stosowane ww. pojęcie.
Przebudowano definicję kwalifikowanego certyfikatu rozumianego dotychczas jako
kwalifikowany certyfikat, o którym mowa w art. 3 pkt 12 ustawy z dnia 18 września 2001 r. o
podpisie elektronicznym na kwalifikowany certyfikat podpisu elektronicznego, o którym mowa
w art. 3 pkt 15 eIDAS. Stosowna zmiana została wprowadzona wszędzie tam gdzie stosowane
ww. pojęcie.
W odniesieniu do definicji rozliczalności zastąpiono odesłanie do przepisów
rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w
sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać
system teleinformatyczny służący do identyfikacji użytkowników (Dz. U. Nr 93, poz. 545)
poprzez bezpośrednie przeniesienie do projektu treści tej definicji.
W związku z wydzieleniem profilu zaufanego ePUAP w ramach systemu ePUAP dane
dotyczące profilu zaufanego ePUAP będą przechowywane w odrębnym koncie (koncie profilu
zaufanego ePUAP). Wobec tego w § 2 rozporządzenia wprowadzono definicję konta profilu
zaufanego ePUAP rozumianego jako dane opisujące profil zaufany ePUAP wraz
z przyporządkowanymi do nich zasobami ePUAP umożliwiającymi korzystanie z profilu
zaufanego ePUAP. Ponadto w związku z wprowadzeniem tej definicji dokonano również zmian
w innych definicjach poprzez ich zmodyfikowanie bądź uchylenie, jak również wprowadzono
zmiany w innych przepisach rozporządzenia, które mają charakter wynikowy i doprecyzowujący.
Wprowadzono również pojęcie pieczęć elektroniczna, która rozumiana jest jako
pieczęć, o której mowa w art. 3 pkt 25 eIDAS.
W projekcie rozporządzenia wprowadzono w § 3 regulację o charakterze
doprecyzowującym, zgodnie z którą wniosek o potwierdzenia profilu zaufanego ePUAP może
złożyć wyłącznie osoba posiadająca pełną zdolność do czynności prawnych.
W § 4 ust. 3, § 10 ust. 4 oraz § 12 ust. 6 wskazano, iż, mają zostać określone wzory
zamiast zakresu danych zawartych w określonym wniosku, które stanowią załącznik nr 1, nr 2
i nr 3 do rozporządzenia
W celu umożliwienia złożenia wniosku o potwierdzenie profilu zaufanego ePUAP
osobie, która nie może, niezależnie od przyczyny, złożyć wniosku w ePUAP w projekcie
rozporządzenia przewidziano przepis upoważniający osobę wnioskującą do wyboru postaci
(elektroniczna lub papierowa) i sposobu (w ePUAP lub osobiście w punkcie potwierdzającym)
złożenia wniosku. W projekcie rozporządzenia określono również procedurę złożenia wniosku
w postaci papierowej.
Rozporządzenie zakłada uproszczenie, określonej w § 6, procedury weryfikacji danych
użytkownika wskazanych we wniosku. W związku z wprowadzeniem możliwości
jednoczesnego założenia konta w ePUAP i złożenia wniosku o potwierdzenie profilu zaufanego
ePUAP w rozporządzeniu zmieniającym wyeliminowano pierwszy etap procedury polegający
na weryfikacji danych z wniosku o potwierdzenie profilu zaufanego ePUAP z danymi
zawartymi w koncie użytkownika w systemie ePUAP. Zakłada się, że dane użytkownika
zawarte we wniosku o potwierdzenie profilu zaufanego ePUAP, w zakresie obejmującym imię
(imiona), nazwisko i numer PESEL będą weryfikowane w sposób automatyczny z danymi
zawartymi w zbiorze PESEL. Ponadto, mając na uwadze, że w celu dokonania weryfikacji
danych wskazywanych we wniosku o potwierdzenie profilu zaufanego ePUAP z danymi
zawartymi w rejestrze PESEL możliwe jest (fakultatywnie) podanie drugiego imienia (jeżeli
użytkownik drugie imię posiada), w rozporządzeniu wprowadzono zmiany mające na celu
pozyskiwanie tej danej.
W rozporządzeniu doprecyzowano, że autoryzacja dokonywana będzie przy użyciu
haseł jednorazowych przesyłanych na wskazany przez użytkownika numer telefonu
komórkowego lub przy użyciu środków identyfikacji elektronicznej, stosowanych do
uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego (§ 9 ust. 3).
Zaproponowane rozwiązanie zakłada rezygnację z wykorzystywania do autoryzacji poczty
elektronicznej. Odstąpienie od poczty elektronicznej jako kanału autoryzacji uzasadnione jest
względami bezpieczeństwa. Wysyłanie haseł jednorazowych na numer telefonu komórkowego,
a nie na adres poczty elektronicznej, znacznie obniża ryzyko związane z przejęciem dostępu do
profilu zaufanego ePUAP w sytuacji nieuprawnionego przejęcia kontroli nad komputerem
użytkownika.
W § 9 ust. 4 określono warunek konieczny dla wykorzystywania do autoryzacji środków
identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym
banku lub innego przedsiębiorcy, poprzez odesłanie do wymagań określonych w przepisach
wydanych na podstawie art. 19a ust. 3 ustawy.
Osoba wnioskująca o potwierdzenie profilu zaufanego ePUAP będzie zobowiązana
do wskazania we wniosku zarówno adresu poczty elektronicznej, jak i numeru telefonu
komórkowego oraz sposobu autoryzacji, bowiem będą one obligatoryjnymi elementami profilu
zaufanego ePUAP.
W § 9 ust. 5 określono procedurę dokonywania zmiany adresu poczty elektronicznej
numeru telefonu komórkowego, środka identyfikacji elektronicznej, stosowanego do
uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego lub sposobu
autoryzacji. Użytkownik może dokonać zmiany adresu poczty elektronicznej numeru telefonu
komórkowego lub sposobu autoryzacji samodzielnie w ePUAP, potwierdzając to podpisem
potwierdzonym profilem zaufanym ePUAP albo osobiście w punkcie potwierdzającym profil
zaufany ePUAP na zasadach dotyczących potwierdzania profilu zaufanego ePUAP w punkcie
potwierdzającym określonych w przepisach § 6 i 7 rozporządzenia. Zmiana środka identyfikacji
elektronicznej, stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu
niepublicznego może być dokonana wyłącznie osobiście w punkcie potwierdzającym profil
zaufany ePUAP.
Zgodnie z ust. 6 dokonanie zmiany adresu poczty elektronicznej, numeru telefonu
komórkowego
użytkownika,
środka
identyfikacji
elektronicznej,
stosowanego
do
uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego lub sposobu
autoryzacji
wymaga
autoryzacji.
W
przypadku
braku
dostępu
użytkownika
do
dotychczasowego numeru telefonu komórkowego lub środków identyfikacji elektronicznej,
stosowanych do uwierzytelniania w systemie teleinformatycznym banku lub innego
przedsiębiorcy dokonanie zmiany jest możliwe w punkcie potwierdzającym profil zaufany
ePUAP. W celu uniknięcia wątpliwości interpretacyjnych w ust. 7 wskazano, że zmiana adresu
poczty elektronicznej, numeru telefonu komórkowego użytkownika, środka identyfikacji
elektronicznej, stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu
niepublicznego lub sposobu autoryzacji pozostaje bez wpływu na termin ważności profilu
zaufanego ePUAP.
Zgodnie z § 9 ust. 8 rozporządzenia komunikaty związane z funkcjonowaniem konta
profilu zaufanego ePUAP przesyłane będą na adres poczty elektronicznej użytkownika.
Ponadto z uwagi na fakt, iż do art. 20c ust. 1 pkt 2 ustawy o informatyzacji działalności
podmiotów realizujących zadania publiczne przeniesiono dotychczasowe kwestie dotyczące
osoby wnioskującej,
która posiada możliwość złożenia kwalifikowanego podpisu
elektronicznego, usunięto z rozporządzenia normę określoną § 4 rozporządzenia Ministra
Administracji i Cyfryzacji z dnia 5 czerwca 2014 r. w sprawie zasad potwierdzania,
przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego elektronicznej
platformy usług administracji publicznej (Dz. U. poz. 778).
Doprecyzowano § 14 ust. 1 poprzez wskazanie, iż złożenie podpisu elektronicznego
potwierdzonego profilem zaufanym ePUAP wymaga autoryzacji ePUAP i opatrzenia pieczęcią
elektroniczną wykorzystywaną w ePUAP do zapewnienia integralności i autentyczności
wykonania operacji przez system ePUAP.
Rozporządzenie zakłada również, że uproszczeniu ulegnie procedura wnioskowania
o pełnienie funkcji punktu potwierdzającego profil zaufany ePUAP poprzez zmianę sposobu
dokumentowania spełnienia przez podmiot ubiegający się o pełnienie funkcji punktu
potwierdzającego profil zaufany ePUAP wymagań warunkujących uzyskanie zgody ministra
właściwego do spraw informatyzacji na pełnienie funkcji punktu potwierdzającego profil
zaufany ePUAP.
W rozporządzeniu uchylono obowiązek przedkładania ministrowi właściwemu do
spraw informatyzacji przez punkt potwierdzający kopii procedury zarządzania profilami
zaufanymi ePUAP sporządzonej zgodnie ze wzorem zamieszczonym w Biuletynie Informacji
Publicznej na stronie podmiotowej ministra oraz kopii procedury nadawania uprawnień do
potwierdzania, przedłużania ważności i unieważniania profili zaufanych ePUAP sporządzonej
zgodnie ze wzorem zamieszczonym w Biuletynie Informacji Publicznej na stronie podmiotowej
ministra.
Punkt potwierdzający profil zaufany ePUAP zobowiązany będzie dokonywać czynności
związanych z potwierdzaniem, przedłużaniem i unieważnianiem profilu zaufanego ePUAP
zgodnie z procedurami zarządzania profilami zaufanymi oraz nadawania uprawnień
do potwierdzania, przedłużania ważności i unieważniania profili zaufanych ePUAP, zamieszczonymi
w Biuletynie Informacji Publicznej na stronie podmiotowej ministra (§ 16 ust. 1).
Ponadto zastąpiono wymóg przedkładania przez podmiot ubiegający się o pełnienie
funkcji punktu potwierdzającego profil zaufany ePUAP ministrowi właściwemu do spraw
informatyzacji
kopii
polityki
bezpieczeństwa
i
instrukcji
zarządzania
systemem
informatycznym, o których mowa w przepisach wydanych na podstawie art. 39a ustawy z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015 r. poz. 2135 oraz poz. 2281) oświadczeniem o ich posiadaniu (§ 15).
W rozporządzeniu wprowadzono przepis określający warunki organizacyjne i
techniczne dla potwierdzania profilu zaufanego ePUAP przy wykorzystaniu środka
identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym
banku krajowego lub innego przedsiębiorcy.
W rozporządzeniu przewidziano przepis przejściowy, określający, że użytkownik,
którego profil zaufany ePUAP nie zawiera numeru telefonu komórkowego podaje numer
telefonu komórkowego w terminie 6 miesięcy od dnia wejścia w życie rozporządzenia lub
środek
identyfikacji
elektronicznej
stosowany
do
uwierzytelniania
w
systemie
teleinformatycznym podmiotu niepublicznego w terminie 3 miesięcy od dnia wejścia w życie
§ 9 ust. 3 w zakresie dokonywania autoryzacji przy użyciu środków identyfikacji
elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu
niepublicznego, na zasadach określonych w § 9 ust. 5 rozporządzenia, autoryzując tę czynność
zgodnie z dotychczasowymi przepisami. Po upływie powyżej wskazanego terminu,
użytkownik, którego profil zaufany ePUAP nie zawiera numeru telefonu komórkowego lub
środka
identyfikacji
elektronicznej,
stosowanego
do
uwierzytelniania
w
systemie
teleinformatycznym podmiotu niepublicznego, podaje go w punkcie potwierdzającym.
Ponadto przewidziano przepis przejściowy, określający, że wnioski o potwierdzenie,
przedłużenie ważności i unieważnienie profilu zaufanego ePUAP przesłane przed dniem
wejścia w życie niniejszego rozporządzenia potwierdzane są na zasadach dotychczasowych.
W rozporządzeniu wprowadzono również przepis przejściowy regulujący sposób
postępowania z wnioskami o udzielenie przez ministra właściwego do spraw informatyzacji
zgody na pełnienie funkcji punktu potwierdzającego profil zaufany ePUAP przez podmioty, o
których mowa w art. 20c ust. 3 ustawy. Zgodnie z projektowanym przepisem wnioski złożone
przed dniem wejścia w życie rozporządzenia rozpatrywane będą zgodnie z dotychczasowymi
przepisami.
Projekt rozporządzenia nie zawiera przepisów technicznych, a zatem nie podlega
notyfikacji, zgodnie z trybem przewidzianym w przepisach rozporządzenia Rady Ministrów
z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji
norm i aktów prawnych (Dz. U. Nr 239, poz. 2039, z późn. zm.).
W ramach konsultacji społecznych i w celu wykonania obowiązku wynikającego z art.
5 ustawy z dnia 7 lipca 2005 r. o działalności lobbingowej w procesie stanowienia prawa (Dz.
U. Nr 169, poz. 1414, z późn. zm.) projekt rozporządzenia zostanie zamieszczony w Biuletynie
Informacji Publicznej na stronie internetowej Ministra Cyfryzacji.