UZAS_profil zaufany_20160606_UZG
Transkrypt
UZAS_profil zaufany_20160606_UZG
UZASADNIENIE Projektowane rozporządzenie stanowi wykonanie upoważnienia ustawowego określonego w art. 20a ust. 3 pkt 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114 oraz z 2016 r. poz. 352 i ….). Konieczność przygotowania przedmiotowego rozporządzenia wynika z faktu, iż w drodze ustawy o usługach zaufania oraz identyfikacji elektronicznej zmieniającej m. in. ustawę o informatyzacji działalności podmiotów realizujących zadania publiczne, zmianie ulega treść przepisu stanowiącego upoważnienie ustawowe do wydania niniejszego aktu wykonawczego (art. 20a ust. 3 pkt 2 lit. f ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne). Ponadto jest to spowodowane zmianami w przebiegu procesów zachodzących w ePUAP dotyczących profilu zaufanego ePUAP w związku z ich optymalizacją. Zmiany w systemie ePUAP i optymalizacja procesów realizowane są poprzez wydzielenie, pod względem technicznym, profilu zaufanego ePUAP w ramach ePUAP. Efektem wydzielenia profilu zaufanego ePUAP będzie również zwiększenie wydajności i niezawodności ePUAP, jak również podniesienie bezpieczeństwa działań dokonywanych z użyciem profilu zaufanego ePUAP. W upoważnieniu ustawowym uszczegółowione zostało pojęcie podpisu elektronicznego potwierdzonego profilem zaufanym ePUAP poprzez wskazanie, iż jest on podpisem elektronicznym (podpis elektroniczny potwierdzony profilem zaufanym ePUAP). Stosowna zmiana została wprowadzona wszędzie tam, gdzie stosowane było pojęcie podpisu potwierdzonego profilem zaufanym ePUAP. Ponadto wskazano dodatkowo, iż rozporządzenie określa warunki organizacyjne i techniczne dla potwierdzania profilu zaufanego ePUAP przy nieodpłatnym wykorzystaniu środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy. Jednocześnie należy wskazać, iż przedmiotowe rozporządzenie określając w proponowanym projekcie zasady potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego ePUAP, składania podpisu elektronicznego potwierdzonego profilem zaufanym ePUAP, a także warunki przechowywania oraz archiwizowania dokumentów i danych, biorąc pod uwagę konieczność zachowania bezpieczeństwa i pewności w procesie identyfikacji oraz poufności kluczowych elementarnych czynności jest w swojej treści tożsame w stosunku do aktualnie obowiązującego rozporządzenia Ministra Administracji i Cyfryzacji z dnia 5 czerwca 2014 r. w sprawie zasad potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz. U. poz. 778), za wyjątkiem poniżej wskazanych zmian. W projekcie proponuje się zmianę definicji bezpiecznego podpisu elektronicznego rozumianego dotychczas jako bezpieczny podpis elektroniczny, o którym mowa w art. 3 pkt 2 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z 2013 r. poz. 262) na kwalifikowany podpis elektroniczny rozumiany jako zaawansowany podpis elektroniczny, o którym mowa w art. 3 pkt 12 rozporządzenia Parlamentu Europejskiego i Rady (EU) Nr 920/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE, dalej zwane eIDAS. Stosowna zmiana została wprowadzona wszędzie tam gdzie stosowane ww. pojęcie. Przebudowano definicję kwalifikowanego certyfikatu rozumianego dotychczas jako kwalifikowany certyfikat, o którym mowa w art. 3 pkt 12 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym na kwalifikowany certyfikat podpisu elektronicznego, o którym mowa w art. 3 pkt 15 eIDAS. Stosowna zmiana została wprowadzona wszędzie tam gdzie stosowane ww. pojęcie. W odniesieniu do definicji rozliczalności zastąpiono odesłanie do przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz. U. Nr 93, poz. 545) poprzez bezpośrednie przeniesienie do projektu treści tej definicji. W związku z wydzieleniem profilu zaufanego ePUAP w ramach systemu ePUAP dane dotyczące profilu zaufanego ePUAP będą przechowywane w odrębnym koncie (koncie profilu zaufanego ePUAP). Wobec tego w § 2 rozporządzenia wprowadzono definicję konta profilu zaufanego ePUAP rozumianego jako dane opisujące profil zaufany ePUAP wraz z przyporządkowanymi do nich zasobami ePUAP umożliwiającymi korzystanie z profilu zaufanego ePUAP. Ponadto w związku z wprowadzeniem tej definicji dokonano również zmian w innych definicjach poprzez ich zmodyfikowanie bądź uchylenie, jak również wprowadzono zmiany w innych przepisach rozporządzenia, które mają charakter wynikowy i doprecyzowujący. Wprowadzono również pojęcie pieczęć elektroniczna, która rozumiana jest jako pieczęć, o której mowa w art. 3 pkt 25 eIDAS. W projekcie rozporządzenia wprowadzono w § 3 regulację o charakterze doprecyzowującym, zgodnie z którą wniosek o potwierdzenia profilu zaufanego ePUAP może złożyć wyłącznie osoba posiadająca pełną zdolność do czynności prawnych. W § 4 ust. 3, § 10 ust. 4 oraz § 12 ust. 6 wskazano, iż, mają zostać określone wzory zamiast zakresu danych zawartych w określonym wniosku, które stanowią załącznik nr 1, nr 2 i nr 3 do rozporządzenia W celu umożliwienia złożenia wniosku o potwierdzenie profilu zaufanego ePUAP osobie, która nie może, niezależnie od przyczyny, złożyć wniosku w ePUAP w projekcie rozporządzenia przewidziano przepis upoważniający osobę wnioskującą do wyboru postaci (elektroniczna lub papierowa) i sposobu (w ePUAP lub osobiście w punkcie potwierdzającym) złożenia wniosku. W projekcie rozporządzenia określono również procedurę złożenia wniosku w postaci papierowej. Rozporządzenie zakłada uproszczenie, określonej w § 6, procedury weryfikacji danych użytkownika wskazanych we wniosku. W związku z wprowadzeniem możliwości jednoczesnego założenia konta w ePUAP i złożenia wniosku o potwierdzenie profilu zaufanego ePUAP w rozporządzeniu zmieniającym wyeliminowano pierwszy etap procedury polegający na weryfikacji danych z wniosku o potwierdzenie profilu zaufanego ePUAP z danymi zawartymi w koncie użytkownika w systemie ePUAP. Zakłada się, że dane użytkownika zawarte we wniosku o potwierdzenie profilu zaufanego ePUAP, w zakresie obejmującym imię (imiona), nazwisko i numer PESEL będą weryfikowane w sposób automatyczny z danymi zawartymi w zbiorze PESEL. Ponadto, mając na uwadze, że w celu dokonania weryfikacji danych wskazywanych we wniosku o potwierdzenie profilu zaufanego ePUAP z danymi zawartymi w rejestrze PESEL możliwe jest (fakultatywnie) podanie drugiego imienia (jeżeli użytkownik drugie imię posiada), w rozporządzeniu wprowadzono zmiany mające na celu pozyskiwanie tej danej. W rozporządzeniu doprecyzowano, że autoryzacja dokonywana będzie przy użyciu haseł jednorazowych przesyłanych na wskazany przez użytkownika numer telefonu komórkowego lub przy użyciu środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego (§ 9 ust. 3). Zaproponowane rozwiązanie zakłada rezygnację z wykorzystywania do autoryzacji poczty elektronicznej. Odstąpienie od poczty elektronicznej jako kanału autoryzacji uzasadnione jest względami bezpieczeństwa. Wysyłanie haseł jednorazowych na numer telefonu komórkowego, a nie na adres poczty elektronicznej, znacznie obniża ryzyko związane z przejęciem dostępu do profilu zaufanego ePUAP w sytuacji nieuprawnionego przejęcia kontroli nad komputerem użytkownika. W § 9 ust. 4 określono warunek konieczny dla wykorzystywania do autoryzacji środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym banku lub innego przedsiębiorcy, poprzez odesłanie do wymagań określonych w przepisach wydanych na podstawie art. 19a ust. 3 ustawy. Osoba wnioskująca o potwierdzenie profilu zaufanego ePUAP będzie zobowiązana do wskazania we wniosku zarówno adresu poczty elektronicznej, jak i numeru telefonu komórkowego oraz sposobu autoryzacji, bowiem będą one obligatoryjnymi elementami profilu zaufanego ePUAP. W § 9 ust. 5 określono procedurę dokonywania zmiany adresu poczty elektronicznej numeru telefonu komórkowego, środka identyfikacji elektronicznej, stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego lub sposobu autoryzacji. Użytkownik może dokonać zmiany adresu poczty elektronicznej numeru telefonu komórkowego lub sposobu autoryzacji samodzielnie w ePUAP, potwierdzając to podpisem potwierdzonym profilem zaufanym ePUAP albo osobiście w punkcie potwierdzającym profil zaufany ePUAP na zasadach dotyczących potwierdzania profilu zaufanego ePUAP w punkcie potwierdzającym określonych w przepisach § 6 i 7 rozporządzenia. Zmiana środka identyfikacji elektronicznej, stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego może być dokonana wyłącznie osobiście w punkcie potwierdzającym profil zaufany ePUAP. Zgodnie z ust. 6 dokonanie zmiany adresu poczty elektronicznej, numeru telefonu komórkowego użytkownika, środka identyfikacji elektronicznej, stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego lub sposobu autoryzacji wymaga autoryzacji. W przypadku braku dostępu użytkownika do dotychczasowego numeru telefonu komórkowego lub środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym banku lub innego przedsiębiorcy dokonanie zmiany jest możliwe w punkcie potwierdzającym profil zaufany ePUAP. W celu uniknięcia wątpliwości interpretacyjnych w ust. 7 wskazano, że zmiana adresu poczty elektronicznej, numeru telefonu komórkowego użytkownika, środka identyfikacji elektronicznej, stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego lub sposobu autoryzacji pozostaje bez wpływu na termin ważności profilu zaufanego ePUAP. Zgodnie z § 9 ust. 8 rozporządzenia komunikaty związane z funkcjonowaniem konta profilu zaufanego ePUAP przesyłane będą na adres poczty elektronicznej użytkownika. Ponadto z uwagi na fakt, iż do art. 20c ust. 1 pkt 2 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne przeniesiono dotychczasowe kwestie dotyczące osoby wnioskującej, która posiada możliwość złożenia kwalifikowanego podpisu elektronicznego, usunięto z rozporządzenia normę określoną § 4 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 5 czerwca 2014 r. w sprawie zasad potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz. U. poz. 778). Doprecyzowano § 14 ust. 1 poprzez wskazanie, iż złożenie podpisu elektronicznego potwierdzonego profilem zaufanym ePUAP wymaga autoryzacji ePUAP i opatrzenia pieczęcią elektroniczną wykorzystywaną w ePUAP do zapewnienia integralności i autentyczności wykonania operacji przez system ePUAP. Rozporządzenie zakłada również, że uproszczeniu ulegnie procedura wnioskowania o pełnienie funkcji punktu potwierdzającego profil zaufany ePUAP poprzez zmianę sposobu dokumentowania spełnienia przez podmiot ubiegający się o pełnienie funkcji punktu potwierdzającego profil zaufany ePUAP wymagań warunkujących uzyskanie zgody ministra właściwego do spraw informatyzacji na pełnienie funkcji punktu potwierdzającego profil zaufany ePUAP. W rozporządzeniu uchylono obowiązek przedkładania ministrowi właściwemu do spraw informatyzacji przez punkt potwierdzający kopii procedury zarządzania profilami zaufanymi ePUAP sporządzonej zgodnie ze wzorem zamieszczonym w Biuletynie Informacji Publicznej na stronie podmiotowej ministra oraz kopii procedury nadawania uprawnień do potwierdzania, przedłużania ważności i unieważniania profili zaufanych ePUAP sporządzonej zgodnie ze wzorem zamieszczonym w Biuletynie Informacji Publicznej na stronie podmiotowej ministra. Punkt potwierdzający profil zaufany ePUAP zobowiązany będzie dokonywać czynności związanych z potwierdzaniem, przedłużaniem i unieważnianiem profilu zaufanego ePUAP zgodnie z procedurami zarządzania profilami zaufanymi oraz nadawania uprawnień do potwierdzania, przedłużania ważności i unieważniania profili zaufanych ePUAP, zamieszczonymi w Biuletynie Informacji Publicznej na stronie podmiotowej ministra (§ 16 ust. 1). Ponadto zastąpiono wymóg przedkładania przez podmiot ubiegający się o pełnienie funkcji punktu potwierdzającego profil zaufany ePUAP ministrowi właściwemu do spraw informatyzacji kopii polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, o których mowa w przepisach wydanych na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015 r. poz. 2135 oraz poz. 2281) oświadczeniem o ich posiadaniu (§ 15). W rozporządzeniu wprowadzono przepis określający warunki organizacyjne i techniczne dla potwierdzania profilu zaufanego ePUAP przy wykorzystaniu środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy. W rozporządzeniu przewidziano przepis przejściowy, określający, że użytkownik, którego profil zaufany ePUAP nie zawiera numeru telefonu komórkowego podaje numer telefonu komórkowego w terminie 6 miesięcy od dnia wejścia w życie rozporządzenia lub środek identyfikacji elektronicznej stosowany do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego w terminie 3 miesięcy od dnia wejścia w życie § 9 ust. 3 w zakresie dokonywania autoryzacji przy użyciu środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, na zasadach określonych w § 9 ust. 5 rozporządzenia, autoryzując tę czynność zgodnie z dotychczasowymi przepisami. Po upływie powyżej wskazanego terminu, użytkownik, którego profil zaufany ePUAP nie zawiera numeru telefonu komórkowego lub środka identyfikacji elektronicznej, stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, podaje go w punkcie potwierdzającym. Ponadto przewidziano przepis przejściowy, określający, że wnioski o potwierdzenie, przedłużenie ważności i unieważnienie profilu zaufanego ePUAP przesłane przed dniem wejścia w życie niniejszego rozporządzenia potwierdzane są na zasadach dotychczasowych. W rozporządzeniu wprowadzono również przepis przejściowy regulujący sposób postępowania z wnioskami o udzielenie przez ministra właściwego do spraw informatyzacji zgody na pełnienie funkcji punktu potwierdzającego profil zaufany ePUAP przez podmioty, o których mowa w art. 20c ust. 3 ustawy. Zgodnie z projektowanym przepisem wnioski złożone przed dniem wejścia w życie rozporządzenia rozpatrywane będą zgodnie z dotychczasowymi przepisami. Projekt rozporządzenia nie zawiera przepisów technicznych, a zatem nie podlega notyfikacji, zgodnie z trybem przewidzianym w przepisach rozporządzenia Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych (Dz. U. Nr 239, poz. 2039, z późn. zm.). W ramach konsultacji społecznych i w celu wykonania obowiązku wynikającego z art. 5 ustawy z dnia 7 lipca 2005 r. o działalności lobbingowej w procesie stanowienia prawa (Dz. U. Nr 169, poz. 1414, z późn. zm.) projekt rozporządzenia zostanie zamieszczony w Biuletynie Informacji Publicznej na stronie internetowej Ministra Cyfryzacji.