Rozp. w sprawie profilu zaufanego i podpisu zaufanego
Ostatnia zmiana Dz.U. 2021.1076
Rozporządzenie Ministra Cyfryzacji
z dnia 29 czerwca 2020 r.
w sprawie profilu zaufanego i podpisu zaufanego
Opracowano na podstawie: Dz.U. z 2020 r. poz. 1194; z 2021 r. poz. 1076
Ostatnie zmiany (Dz.U. z 2021 r. poz. 1076), zaznaczone w tekście na czerwono — weszły w życie dnia 17.06.2021 r. — dotyczą §: 3, 5, 6, 8, 10, 11, 12, 17 oraz zał. nr 2.
Na podstawie art. 20d ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2020 r. poz. 346, 568 i 695) zarządza się, co następuje:
§ 1.
Rozporządzenie określa warunki:
1) wydawania, przedłużania ważności, wykorzystywania i unieważniania profilu zaufanego, w tym:
a) okres ważności profilu zaufanego,
b) zbiór danych zawartych w profilu zaufanym, o których mowa w art. 20ad ust. 5 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne,
c) przypadki, w których nie dokonuje się potwierdzenia profilu zaufanego,
d) przypadki, w których profil zaufany traci ważność,
e) warunki przechowywania oraz archiwizowania dokumentów i danych bezpośrednio związanych z potwierdzeniem profilu zaufanego,
f) dane i dokumenty wymagane w procedurze potwierdzania, przedłużania ważności i unieważnienia profilu zaufanego,
g) warunki, które powinien spełniać punkt potwierdzający profil zaufany,
h) warunki organizacyjne i techniczne potwierdzenia profilu zaufanego oraz uwierzytelnień i autoryzacji przy nieodpłatnym wykorzystaniu środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy, zwanego dalej „podmiotem niepublicznym”,
i) sposób potwierdzania spełniania warunków, o których mowa w lit. h;
2) składania podpisu zaufanego.
§ 2.
Użyte w rozporządzeniu określenia oznaczają:
1) system, w którym wydawany jest profil zaufany — system teleinformatyczny, przy użyciu którego zapewniana jest obsługa publicznego systemu identyfikacji elektronicznej, w którym wydawany jest profil zaufany;
2) identyfikator profilu zaufanego — unikatowy ciąg znaków alfanumerycznych jednoznacznie identyfikujących profil zaufany;
3) identyfikator użytkownika — unikatowy ciąg znaków alfanumerycznych jednoznacznie identyfikujących użytkownika systemu, w którym wydawany jest profil zaufany;
4) konto profilu zaufanego — konto osoby fizycznej, założone w systemie, w którym wydawany jest profil zaufany, umożliwiające wnioskowanie o potwierdzenie profilu zaufanego, używanie profilu zaufanego, przedłużanie ważności profilu zaufanego i unieważnianie profilu zaufanego, a także zmianę czynników uwierzytelniania;
5) konto nieużywane — konto profilu zaufanego, które nie było wykorzystywane przez użytkownika profilu zaufanego w okresie dłuższym niż 3 lata;
6) osoba wnioskująca — osobę fizyczną występującą z wnioskiem o potwierdzenie profilu zaufanego;
7) ustawa — ustawę z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
8) punkt potwierdzający — punkt potwierdzający profil zaufany, o którym mowa w art. 20c ustawy;
9) rozporządzenie 910/2014 — rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, str. 73);
10) ePUAP — elektroniczną platformę usług administracji publicznej, w rozumieniu art. 3 pkt 13 ustawy;
11) minister — ministra właściwego do spraw informatyzacji.
§ 3.
1. Osoba wnioskująca o wydanie profilu zaufanego potwierdzanego w punkcie potwierdzającym składa wniosek o potwierdzenie profilu zaufanego w postaci elektronicznej, przy użyciu formularza elektronicznego udostępnionego w systemie, w którym wydawany jest profil zaufany. Formularz elektroniczny, o którym mowa w zdaniu pierwszym, może stanowić element udostępnionej w ePUAP usługi elektronicznej umożliwiającej założenie konta w tym systemie teleinformatycznym.
2. Jeżeli w terminie 30 dni od dnia złożenia wniosku, o którym mowa w ust. 1, nie dokonano potwierdzenia profilu zaufanego, wniosek ten jest usuwany z systemu, w którym wydawany jest profil zaufany.
§ 4.
1. W celu potwierdzenia profilu zaufanego w punkcie potwierdzającym osoba wnioskująca zgłasza się do wybranego przez siebie punktu potwierdzającego.
2. W punkcie potwierdzającym osoba upoważniona do potwierdzania profilu zaufanego stwierdza tożsamość osoby wnioskującej na podstawie okazanego dokumentu tożsamości umożliwiającego jednoznaczne potwierdzenie tożsamości osoby wnioskującej o potwierdzenie profilu zaufanego, posiadającej numer PESEL.
3. Osoba wnioskująca potwierdza wolę posiadania profilu zaufanego, opatrując podpisem własnoręcznym wydruk wniosku, o którym mowa w § 3 ust. 1, sporządzony w punkcie potwierdzającym przez osobę upoważnioną do potwierdzania profilu zaufanego.
4. Osoba upoważniona do potwierdzania profilu zaufanego, po pozytywnej weryfikacji tożsamości osoby wnioskującej, potwierdza profil zaufany oraz odnotowuje na wydruku wniosku dokonanie potwierdzenia.
5. Osoba upoważniona do potwierdzania profilu zaufanego dokonuje potwierdzenia, podpisując profil zaufany osoby wnioskującej:
1) podpisem zaufanym albo
2) kwalifikowanym podpisem elektronicznym.
§ 5.
1. Osoba wnioskująca o wydanie profilu zaufanego potwierdzanego w sposób, o którym mowa w art. 20cb ustawy, składa wniosek o potwierdzenie profilu zaufanego, wypełniając formularz elektroniczny udostępniony w systemie, w którym jest wydawany profil zaufany.
2. Formularz elektroniczny, o którym mowa w ust. 1, zapewnia możliwość wyboru daty i czasu transmisji audiowizualnej spośród dostępnych terminów wskazanych przez system, w którym wydawany jest profil zaufany.
3. Potwierdzenie złożenia wniosku o potwierdzenie profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, jest wysyłane automatycznie przez system, w którym wydawany jest profil zaufany, na adres poczty elektronicznej wnioskodawcy podany we wniosku o potwierdzenie profilu zaufanego. Potwierdzenie zawiera wybraną przez wnioskodawcę podczas składania wniosku datę i godzinę transmisji audiowizualnej oraz informacje dotyczące sposobu przeprowadzenia tej transmisji.
§ 6.
1. Weryfikacja zgodności danych podanych we wniosku o potwierdzenie profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, z rejestrem PESEL następuje automatycznie.
2. Weryfikacja istnienia w Rejestrze Dowodów Osobistych, o którym mowa w ustawie z dnia 6 sierpnia 2010 r. o dowodach osobistych (Dz. U. z 2020 r. poz. 332, 695 i 875), wizerunku wnioskodawcy, o którym mowa w art. 20cb ust. 2 pkt 1 ustawy, następuje za pośrednictwem systemu, w którym wydawany jest profil zaufany, poprzez wymianę danych między tym systemem a Rejestrem Dowodów Osobistych.
3. Osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, sprawdza w systemie, w którym wydawany jest profil zaufany, wynik weryfikacji, o której mowa w ust. 1 i 2.
4. W przypadku stwierdzonej niezgodności weryfikowanych danych z rejestrem PESEL lub braku wizerunku wnioskodawcy w Rejestrze Dowodów Osobistych, wniosek odrzuca się z powodu niezgodności danych.
5. W przypadku zgodności weryfikowanych danych z rejestrem PESEL oraz stwierdzeniu, że Rejestr Dowodów Osobistych zawiera wizerunek wnioskodawcy, osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, w terminie, o którym mowa w § 5 ust. 3, inicjuje połączenie umożliwiające przeprowadzenie transmisji audiowizualnej.
6. Osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, w trakcie transmisji audiowizualnej kolejno:
1) informuje wnioskodawcę, że transmisja jest nagrywana;
2) podaje numer wniosku;
3) zwraca się o okazanie:
a) dowodu osobistego lub paszportu — w sposób umożliwiający weryfikację treści tego dokumentu,
b) wizerunku wnioskodawcy — w wystarczającym oświetleniu i w sposób ograniczający ryzyko wydania środka identyfikacji elektronicznej osobie nieuprawnionej;
4) uzyskuje ustne oświadczenie wnioskodawcy, że:
a) dane zawarte we wniosku są prawdziwe i aktualne,
b) zapewni poufność danych służących do wykorzystywania profilu zaufanego,
c) nie udostępni konta profilu zaufanego osobom trzecim,
d) niezwłocznie unieważni profil zaufany w przypadku utraty częściowej lub całkowitej kontroli nad tym profilem.
7. Osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, może w trakcie transmisji audiowizualnej zażądać od wnioskodawcy wykonania gestu, który ułatwi wykrycie działania oprogramowania zakłócającego teletransmisję audiowizualną uniemożliwiającego lub utrudniającego potwierdzenie tożsamości wnioskodawcy.
8. W trakcie trwania transmisji audiowizualnej osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, przeprowadza wideoidentyfikację wnioskodawcy, o której mowa w art. 20ca ust. 5 pkt 1 ustawy, pod warunkiem że jakość transmisji audiowizualnej pozwala na:
1) odczytanie danych zawartych w warstwie graficznej okazywanego dowodu osobistego albo paszportu wnioskodawcy;
2) porównanie wizerunku wnioskodawcy z wizerunkiem tego wnioskodawcy pobranym z Rejestru Dowodów Osobistych.
9. Osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, po sprawdzeniu, czy zostało sporządzone nagranie, o którym mowa w art. 20cb ust. 5 ustawy, dokonuje potwierdzenia, podpisując profil zaufany osoby wnioskującej:
1) podpisem zaufanym albo
2) kwalifikowanym podpisem elektronicznym.
10. Sprawdzenie, czy nagranie zostało sporządzone, może odbywać się automatycznie w systemie, w którym wydawany jest profil zaufany.
11. W przypadku wątpliwości dotyczących porównania wizerunku wnioskodawcy z wizerunkiem wnioskodawcy pobranym z Rejestru Dowodów Osobistych lub wątpliwości dotyczących weryfikacji danych zawartych w warstwie graficznej dowodu osobistego albo paszportu wnioskodawcy okazanego przez wnioskodawcę w czasie rzeczywistym za pośrednictwem transmisji audiowizualnej, osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, może zweryfikować tożsamość wnioskodawcy przy wykorzystaniu dodatkowych danych dotyczących wnioskodawcy, podanych przez niego w trakcie trwania procesu weryfikacji, których zgodność może zostać zweryfikowana z danymi zgromadzonymi w rejestrach publicznych lub w systemach teleinformatycznych prowadzonych przez ministra, w szczególności:
1) danych zawartych w warstwie graficznej dowodu osobistego lub paszportu widzianych w czasie rzeczywistym podczas transmisji audiowizualnej;
2) danych podanych przez wnioskodawcę, w przypadku gdy chodzi o dane znajdujące się w rejestrze publicznym lub systemie teleinformatycznym prowadzonym przez ministra.
12. W przypadku, o którym mowa w ust. 11, osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, weryfikuje zgodność dodatkowych danych z właściwym rejestrem publicznym lub systemem teleinformatycznym i odnotowuje tę czynność w systemie, w którym wydawany jest profil zaufany.
13. Po pozytywnym zweryfikowaniu danych, o których mowa w ust. 11, osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, dokonuje potwierdzenia, podpisując profil zaufany osoby wnioskującej:
1) podpisem zaufanym albo
2) kwalifikowanym podpisem elektronicznym.
14. W przypadku braku możliwości uzyskania połączenia umożliwiającego transmisję audiowizualną z osobą wnioskującą w terminie, o którym mowa w § 5 ust. 3, osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, odnotowuje ten fakt w systemie, w którym wydawany jest profil zaufany, a następnie, z zastrzeżeniem ust. 15, odrzuca wniosek o potwierdzenie tymczasowego profilu zaufanego.
15. Jeżeli uzyskanie połączenia umożliwiającego transmisję audiowizualną z osobą wnioskującą nie było możliwe w terminie, o którym mowa w § 5 ust. 3, osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, może podjąć próbę telefonicznego ustalenia z wnioskodawcą nowego terminu transmisji audiowizualnej. Osoba upoważniona do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, przed rozpoczęciem rozmowy telefonicznej podaje numer wniosku o potwierdzenie profilu zaufanego, którego dotyczy rozmowa.
§ 7.
1. Osoba wnioskująca o wydanie profilu zaufanego może samodzielnie dokonać potwierdzenia profilu zaufanego, odpowiednio:
1) składając wniosek o potwierdzenie profilu zaufanego w postaci elektronicznej, przy użyciu formularza elektronicznego udostępnionego w systemie, w którym wydawany jest profil zaufany, i opatrując ten wniosek kwalifikowanym podpisem elektronicznym;
2) identyfikując się i autoryzując czynność utworzenia i potwierdzenia profilu zaufanego w systemie teleinformatycznym podmiotu niepublicznego przy użyciu środka identyfikacji elektronicznej, o którym mowa w art. 20c ust. 8 ustawy;
3) identyfikując się i autoryzując czynność utworzenia i potwierdzenia profilu zaufanego przy użyciu profilu osobistego.
2. Profil zaufany potwierdzony w sposób, o którym mowa w ust. 1:
1) pkt 1 — opatrzony jest kwalifikowanym podpisem elektronicznym wnioskodawcy;
2) pkt 2 i 3 — opatrzony jest pieczęcią elektroniczną ministra.
3. W przypadku samodzielnego potwierdzenia profilu zaufanego:
1) dane identyfikujące osobę fizyczną, o których mowa w art. 20ad ust. 1 ustawy, ustalane są automatycznie, odpowiednio do metod, o których mowa w ust. 1, na podstawie kwalifikowanego certyfikatu podpisu elektronicznego albo na podstawie środka identyfikacji elektronicznej, przy użyciu którego dokonano uwierzytelnienia osoby wnioskującej;
2) dane, o których mowa w § 10 ust. 1 pkt 5–7, określane są przez osobę wnioskującą przy użyciu formularza elektronicznego udostępnionego odpowiednio w systemie, w którym wydawany jest profil zaufany, albo w systemie teleinformatycznym podmiotu niepublicznego, o którym mowa w ust. 1 pkt 2.
§ 8.
1. Zakres danych oraz oświadczenia wymagane we wniosku o potwierdzenie profilu zaufanego określa załącznik nr 1 do rozporządzenia.
2. Zakres danych wymagany we wniosku o potwierdzenie profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, określa załącznik nr 2 do rozporządzenia.
§ 9.
Osoba posiadająca ważny profil zaufany:
1) zapewnia poufność danych, które mogłyby być wykorzystane do identyfikacji i uwierzytelnienia w systemie teleinformatycznym przy użyciu profilu zaufanego lub złożenia podpisu zaufanego przez osoby trzecie;
2) niezwłocznie unieważnia profil zaufany w przypadku utraty częściowej lub całkowitej kontroli nad tym profilem.
§ 10.
1. Profil zaufany, oprócz danych, o których mowa w art. 20ad ust. 1 ustawy, zawiera następujące dane:
1) identyfikator użytkownika;
2) identyfikator profilu zaufanego;
3) czas potwierdzenia;
4) termin ważności;
5) adres poczty elektronicznej;
6) numer telefonu komórkowego;
7) wykorzystywane czynniki uwierzytelniania, o których mowa w ust. 4.
2. Raz nadany identyfikator użytkownika nie może być nadany ponownie.
3. W przypadku potwierdzenia profilu zaufanego:
1) w punkcie potwierdzającym — profil zaufany zawiera również oznaczenie punktu potwierdzającego oraz imię i nazwisko osoby upoważnionej do potwierdzania profilu zaufanego;
2) w sposób, o którym mowa w art. 20c ust. 1 pkt 2 ustawy — profil zaufany zawiera również wskazanie, że został potwierdzony przy wykorzystaniu kwalifikowanego podpisu elektronicznego;
3) w sposób, o którym mowa w art. 20c ust. 1 pkt 3 ustawy — profil zaufany zawiera również oznaczenie systemu teleinformatycznego podmiotu niepublicznego, w którym uwierzytelnianie dokonywane jest przy użyciu środka identyfikacji elektronicznej, który posłużył do potwierdzania profilu zaufanego;
4) w sposób, o którym mowa w art. 20c ust. 1 pkt 4 ustawy — profil zaufany zawiera również wskazanie, że został potwierdzony przy wykorzystaniu profilu osobistego;
5) w sposób, o którym mowa w art. 20cb ustawy — profil zaufany zawiera również imię i nazwisko osoby upoważnionej do potwierdzania profilu zaufanego.
4. Uwierzytelnienie z wykorzystaniem profilu zaufanego dokonywane jest w sposób zapewniający średni poziom bezpieczeństwa, przy wykorzystaniu co najmniej dwóch czynników uwierzytelnienia należących do co najmniej dwóch różnych kategorii, o których mowa w przepisach wydanych na podstawie art. 8 ust. 3 rozporządzenia 910/2014, przy czym:
1) jeden czynnik stanowi:
a) identyfikator użytkownika i hasło do konta profilu zaufanego albo
b) inny czynnik uwierzytelniania wymagający od osoby podlegającej uwierzytelnieniu określonej, znanej tylko tej osobie wiedzy, albo
c) dane posiadacza profilu zaufanego zweryfikowane za pomocą kwalifikowanego certyfikatu podpisu elektronicznego;
2) drugi czynnik stanowi:
a) hasło jednorazowe przesyłane na wskazany przez użytkownika numer telefonu komórkowego albo
b) inny czynnik uwierzytelniania wymagający od posiadacza profilu zaufanego wykazania się posiadaniem ustalonej uprzednio rzeczy lub urządzenia niezbędnego dla wykorzystania tego czynnika.
5. Zamiast identyfikatora użytkownika, o którym mowa w ust. 4 pkt 1 lit. a, użytkownik może używać adresu poczty elektronicznej lub numeru telefonu komórkowego, pod warunkiem, że w systemie, w którym wydawany jest profil zaufany, z tym adresem poczty elektronicznej lub tym numerem telefonu komórkowego powiązany jest tylko jeden identyfikator.
6. Uwierzytelnienie przy użyciu profilu zaufanego może następować również:
1) z wykorzystaniem czynników uwierzytelniania, spełniających warunki określone w ust. 4, wykorzystywanych w ramach środka identyfikacji elektronicznej, o którym mowa w art. 20c ust. 8 ustawy, stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego;
2) wyłącznie przy wykorzystaniu tylko jednego czynnika uwierzytelniania, o którym mowa w ust. 4, jeżeli przepisy prawa regulujące usługę online dopuszczają możliwość uwierzytelnienia użytkownika tej usługi w sposób zapewniający niski poziom bezpieczeństwa, o którym mowa w art. 8 ust. 2 rozporządzenia 910/2014.
7. W przypadku usług online, wymagających uwierzytelnienia użytkownika profilem zaufanym, autoryzacje wymagane w tych usługach dokonywane są przy użyciu drugiego czynnika uwierzytelnienia, o którym mowa w ust. 4 pkt 2, z uwzględnieniem czynników uwierzytelniania, o których mowa w ust. 6 pkt 1, spełniających warunki określone w ust. 4 pkt 2.
8. Posiadacz profilu zaufanego może dokonać zmiany:
1) adresu poczty elektronicznej lub numeru telefonu komórkowego — samodzielnie w systemie, w którym wydawany jest profil zaufany, autoryzując tę czynność w sposób, o którym mowa ust. 7, albo w punkcie potwierdzającym profil zaufany;
2) środka identyfikacji elektronicznej lub czynników uwierzytelniania, o których mowa w ust. 6 pkt 1 — samodzielnie w systemie podmiotu niepublicznego;
3) czynników uwierzytelniania — samodzielnie w systemie, w którym wydawany jest profil zaufany, albo w systemie teleinformatycznym podmiotu niepublicznego, o ile w tym systemie udostępniono taką możliwość.
9. (uchylony)
10. Komunikaty związane z funkcjonowaniem konta profilu zaufanego przesyłane są na adres poczty elektronicznej, o którym mowa w ust. 1 pkt 5.
11. W przypadku użytkownika ePUAP czynniki, o których mowa w ust. 4 pkt 1 lit. a, są tożsame z czynnikami służącymi do identyfikacji i uwierzytelniania tego użytkownika w ePUAP.
12. System, w którym wydawany jest profil zaufany, wymaga stosowania hasła, o którym mowa w ust. 4 pkt 1 lit. a, które spełnia wymogi w zakresie stopnia złożoności oraz wymaganej częstotliwości zmian, ustalonych przez ministra.
§ 11.
1. Profil zaufany potwierdza się na okres 3 lat, a jego ważność może być przedłużona na taki sam okres.
2. Osoba posiadająca profil zaufany może dokonać przedłużenia jego ważności:
1) samodzielnie w systemie, w którym wydawany jest profil zaufany, potwierdzając tę czynność przy wykorzystaniu profilu zaufanego, profilu osobistego albo kwalifikowanego podpisu elektronicznego;
2) w punkcie potwierdzającym.
3. W systemie, w którym wydawany jest profil zaufany, gromadzone są dane odzwierciedlające historię kolejnych przedłużeń ważności profilu zaufanego obejmujące w szczególności czas i sposób przedłużenia.
4. Zakres danych oraz oświadczenia wymagane we wniosku o przedłużenie ważności profilu zaufanego określa załącznik nr 3 do rozporządzenia.
5. (uchylony)
§ 12.
1. Nie dokonuje się potwierdzenia profilu zaufanego w przypadku:
1) okazania nieważnego dokumentu, o którym mowa w § 4 ust. 2 lub w § 6 ust. 6 pkt 3 lit. a, lub braku możliwości jednoznacznego potwierdzenia tożsamości osoby wnioskującej na podstawie okazanego dokumentu;
2) niezgodności imienia, imion lub nazwiska podanych w złożonym wniosku o potwierdzenie profilu zaufanego z danymi ustalonymi na podstawie okazanego przez wnioskodawcę dokumentu tożsamości;
3) niezgodności numeru PESEL podanego w złożonym wniosku o potwierdzenie profilu zaufanego z numerem PESEL ustalonym na podstawie okazanego przez wnioskodawcę dokumentu tożsamości;
4) niezgodności daty urodzenia ustalonej na podstawie pierwszych sześciu cyfr numeru PESEL podanego w złożonym wniosku o potwierdzenie profilu zaufanego z datą urodzenia ustaloną na podstawie okazanego przez wnioskodawcę dokumentu tożsamości — w przypadku gdy okazany dokument tożsamości nie zawiera numeru PESEL;
5) braku możliwości przeprowadzenia transmisji audiowizualnej, o której mowa w § 6, pozwalającej na odczytanie danych z warstwy graficznej okazywanego dokumentu tożsamości, bądź braku możliwości nagrania tej transmisji;
6) wątpliwości dotyczących porównania wizerunku wnioskodawcy z wizerunkiem wnioskodawcy pobranym z Rejestru Dowodów Osobistych podczas transmisji audiowizualnej, o której mowa w § 6, i brakiem możliwości potwierdzenia tożsamości wnioskodawcy za pomocą dodatkowych danych, o których mowa w § 6 ust. 11;
7) braku możliwości pobrania wizerunku wnioskodawcy z Rejestru Dowodów Osobistych — w przypadku potwierdzenia profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy;
8) braku oświadczenia wnioskodawcy, o którym mowa w § 6 ust. 6 pkt 4;
9) braku możliwości weryfikacji treści okazywanego dowodu osobistego lub paszportu lub braku możliwości porównania okazywanego wizerunku z wizerunkiem wnioskodawcy pobranym z Rejestru Dowodów Osobistych, w sposób, o którym mowa w § 6 ust. 6 pkt 3, na skutek niezastosowania się wnioskodawcy do poleceń osoby upoważnionej do potwierdzania profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy;
10) w przypadku określonym w § 6 ust. 14.
2. Niedokonanie potwierdzenia profilu zaufanego w punkcie potwierdzającym osoba upoważniona do potwierdzania profilu zaufanego odnotowuje na wydruku wniosku o potwierdzenie profilu zaufanego wraz z podaniem czasu i przyczyny niedokonania potwierdzenia.
3. Niedokonanie potwierdzenia profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, osoba upoważniona do potwierdzania tymczasowego profilu zaufanego odnotowuje w systemie, w którym wydawany jest profil zaufany, podając przyczynę niedokonania potwierdzenia.
4. Informacja o niedokonaniu potwierdzenia profilu zaufanego w sposób, o którym mowa w art. 20cb ustawy, oraz o przyczynie niedokonania potwierdzenia, o której mowa w ust. 3, jest automatycznie wysyłana na adres poczty elektronicznej wnioskodawcy podany we wniosku o potwierdzenie profilu zaufanego.
§ 13.
1. Profil zaufany traci ważność w przypadku:
1) usunięcia konta profilu zaufanego;
2) upływu okresu, na jaki został potwierdzony albo przedłużony.
2. W przypadku zmiany adresu poczty elektronicznej, numeru telefonu komórkowego albo środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego profil zaufany jest unieważniany, a w jego miejsce automatycznie tworzony jest nowy profil zaufany powiązany z dotychczasowym kontem profilu zaufanego.
3. Osoba posiadająca profil zaufany może samodzielnie dokonać unieważnienia swojego profilu zaufanego w systemie, w którym wydawany jest profil zaufany, albo wystąpić z wnioskiem o unieważnienie profilu zaufanego.
4. W celu unieważnienia profilu zaufanego na wniosek osoba posiadająca profil zaufany składa wniosek w wybranym przez siebie punkcie potwierdzającym, w którym osoba upoważniona do potwierdzania profilu zaufanego unieważnia profil zaufany, stwierdzając uprzednio tożsamość osoby wnioskującej na podstawie okazanego dokumentu tożsamości.
5. Zakres danych oraz oświadczenia wymagane we wniosku o unieważnienie profilu zaufanego określa załącznik nr 4 do rozporządzenia.
§ 14.
1. Profil zaufany może być unieważniony przez ministra bez udziału jego posiadacza, w przypadku:
1) wykrycia nieprawidłowości w procedurze jego potwierdzenia lub przedłużenia jego ważności;
2) wykrycia nieprawidłowości mogących mieć wpływ na rozliczalność i niezaprzeczalność działań dokonywanych z wykorzystaniem profilu zaufanego:
a) stwierdzenia lub uzasadnionych przesłanek wskazujących na wysokie prawdopodobieństwo, że dane, które mogą pozwolić na użycie profilu zaufanego, przestały być pod wyłączną kontrolą jego posiadacza,
b) wykrycia nieuprawnionego użycia profilu zaufanego;
3) wykrycia w profilu zaufanym nieprawidłowości:
a) zagrażających bezpieczeństwu lub prawidłowemu działaniu systemu, w którym wydawany jest profil zaufany,
b) wykluczających użytkowanie profilu zaufanego w sposób zapewniający poziom bezpieczeństwa, o którym mowa w § 10 ust. 4.
2. W przypadku uzasadnionego podejrzenia nieprawidłowości, o których mowa w ust. 1, dopuszcza się dokonywanie przez ministra czynności sprawdzających mających na celu potwierdzenie lub zaprzeczenie istnienia tych nieprawidłowości.
3. W toku czynności, o których mowa w ust. 2, dopuszcza się możliwość żądania od posiadacza profilu zaufanego dokonania czynności lub przekazania danych, które pozwolą na zaprzeczenie istnienia nieprawidłowości.
§ 15.
1. Złożenie podpisu zaufanego jest możliwe w okresie ważności użytego do złożenia podpisu środka identyfikacji elektronicznej, o którym mowa w art. 20aa pkt 1 ustawy.
2. Czynność złożenia podpisu zaufanego wymaga autoryzacji, po której następuje opatrzenie podpisywanych danych w postaci elektronicznej pieczęcią elektroniczną ministra wykorzystywaną do zapewnienia integralności podpisanych danych oraz autentyczności złożonego podpisu.
3. Autoryzacja, o której mowa w ust. 2, dokonywana jest, odpowiednio do użytego środka identyfikacji elektronicznej:
1) w przypadku profilu osobistego — w sposób określony dla tego środka identyfikacji elektronicznej w przepisach wydanych na podstawie art. 12j ustawy z dnia 6 sierpnia 2010 r. o dowodach osobistych;
2) w przypadku profilu zaufanego — w sposób, o którym mowa w § 10 ust. 7.
4. Weryfikacja integralności danych podpisanych przy użyciu podpisu zaufanego oraz autentyczności tego podpisu dokonywana jest za pomocą certyfikatu pieczęci elektronicznej udostępnionego przez ministra pod adresem elektronicznym wskazanym w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.
5. Osoba podejmująca czynności zmierzające do złożenia podpisu zaufanego, przed faktycznym złożeniem tego podpisu elektronicznego, informowana jest w drodze komunikatu udostępnianego w interfejsie użytkownika oprogramowania umożliwiającego złożenie takiego podpisu, że dokonuje czynności złożenia podpisu zaufanego.
§ 16.
1. Podmioty, o których mowa w art. 20c ust. 3 ustawy, mogą pełnić funkcję punktu potwierdzającego profil zaufany po spełnieniu wymagań w zakresie opracowywania i ustanawiania, wdrażania i eksploatowania monitorowania i przeglądania oraz utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji spełniającego wymagania, o których mowa w przepisach wydanych na podstawie art. 18 ustawy, w zakresie, w jakim dotyczyć to będzie uprawnień i czynności osób upoważnionych do potwierdzania profilu zaufanego.
2. Punkt potwierdzający stale zapewnia spełnienie wymagań, o których mowa w ust. 1.
3. Punkt potwierdzający, o którym mowa w art. 20c ust. 3 pkt 2–5 ustawy, w przypadku gdy nie posiada instrukcji określającej zasady i tryb postępowania z dokumentacją wydanej na podstawie ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164), zapewnia wdrożenie instrukcji określającej zasady i tryb postępowania z dokumentacją związaną z potwierdzaniem, przedłużaniem ważności i unieważnianiem profilu zaufanego oraz przedkłada ministrowi kopię tego dokumentu.
4. Osoby realizujące czynności związane z potwierdzaniem profilu zaufanego działają zgodnie z procedurami zarządzania profilami zaufanymi oraz nadawania uprawnień do potwierdzania, przedłużania ważności i unieważniania profilu zaufanego zamieszczonymi w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.
§ 17.
1. Punkt potwierdzający przechowuje i archiwizuje dokumenty w postaci papierowej w zakresie potwierdzania, przedłużania i unieważniania profilu zaufanego w warunkach zapewniających:
1) zachowanie integralności dokumentów;
2) odszukanie i udostępnienie dokumentów;
3) ochronę danych osobowych zawartych w dokumentach;
4) ochronę tych dokumentów przed zniszczeniem.
2. Dokumenty oraz dane w postaci elektronicznej w zakresie potwierdzania, przedłużania i unieważniania profilu zaufanego, z zachowaniem warunków określonych w ust. 1, przechowuje oraz archiwizuje minister.
3. Obowiązek przechowania dokumentów oraz danych, o których mowa w ust. 1 i 2, trwa przez okres 20 lat od chwili potwierdzenia albo przedłużenia ważności profilu zaufanego lub od chwili odmowy jego potwierdzenia albo odmowy przedłużenia ważności bądź od chwili jego unieważnienia, z wyłączeniem nagrania, o którym mowa w art. 20cb ust. 5 ustawy, które przechowuje się przez 6 lat.
4. Organ lub jednostka organizacyjna przejmująca zadania, funkcje i dokumenty punktu potwierdzającego, którego działalność ustała, zapewnia spełnienie warunków, o których mowa w ust. 1 i 3. W przypadku braku następcy prawnego punktu potwierdzającego spełnienie warunków, o których mowa w ust. 1 i 3, zapewnia minister.
§ 18.
Unieważnienie profilu zaufanego może być dokonane za pośrednictwem systemu teleinformatycznego podmiotu niepublicznego, przy użyciu środka identyfikacji elektronicznej, o którym mowa w art. 20c ust. 8 ustawy.
§ 19.
1. Wykorzystanie środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego do potwierdzania profilu zaufanego, uwierzytelnienia oraz autoryzacji wymaga:
1) wdrożenia przez podmiot niepubliczny zabezpieczeń dotyczących co najmniej średniego poziomu bezpieczeństwa, wymaganych rozporządzeniem wykonawczym Komisji (UE) nr 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów bezpieczeństwa w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015, str. 7, z późn. zm.), zwanym dalej „rozporządzeniem wykonawczym 2015/1502”;
2) opracowania, ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wykonawczych wydanych na podstawie art. 18 ustawy;
3) poddawania się przez podmiot niepubliczny niezależnemu audytowi, o którym mowa w pkt 2.4.7 załącznika do rozporządzenia wykonawczego 2015/1502, sprawdzającemu spełnianie wymagań, o których mowa w pkt 1 i 2, nie rzadziej niż raz na 2 lata;
4) potwierdzenia przez podmiot niepubliczny tożsamości osoby, której udostępniono środki identyfikacji elektronicznej stosowane do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, na podstawie:
a) okazanego podczas fizycznej obecności lub w trakcie nagrywanej w czasie rzeczywistym transmisji audiowizualnej dokumentu tożsamości, który zawiera numer PESEL, z zachowaniem należytej staranności w ustaleniu autentyczności dokumentu tożsamości oraz w działaniach zmierzających do zminimalizowania ryzyka, że tożsamość deklarowana przy użyciu okazanego dokumentu tożsamości jest niezgodna z faktyczną tożsamością osoby okazującej ten dokument, albo
b) danych pochodzących z poprawnie przeprowadzonej weryfikacji kwalifikowanego podpisu elektronicznego, którego certyfikat zawiera numer PESEL, przy użyciu którego osoba ta podpisała dokument elektroniczny, w którym oświadczyła, że świadoma jest warunków i zalecanych zasad korzystania z systemu identyfikacji elektronicznej, oraz wyraziła zgodę na nadanie statusu użytkownika tego systemu oraz wykorzystywanie udostępnionych środków identyfikacji elektronicznej w systemie;
5) przeprowadzenia testów integracyjnych w zakresie możliwości wykorzystania środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego do potwierdzania profilu zaufanego i autoryzacji, zgodnie z procedurą udostępnioną w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.
2. Wymagania, o których mowa w ust. 1 pkt 1–4, uznaje się za spełnione w przypadku przedstawienia przez podmiot niepubliczny:
1) ważnego akredytowanego certyfikatu, obejmującego w swym zakresie stosowanie środków identyfikacji elektronicznej, systemu zarządzania bezpieczeństwem informacji, albo
2) protokołu pokontrolnego kontroli organu nadzoru, potwierdzającego wdrożenie wymogów określonych w przepisach wydanych na podstawie art. 137 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2019 r. poz. 2357 oraz z 2020 r. poz. 284, 288, 321 i 1086) w zakresie dotyczącym zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, albo
3) pozytywnego wyniku audytu, o którym mowa w ust. 1 pkt 3, przeprowadzonego nie wcześniej niż 15 miesięcy przed dniem złożenia przez podmiot niepubliczny wniosku do ministra o wyrażenie zgody na wykorzystywanie do potwierdzania profilu zaufanego środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, albo
4) innego dokumentu potwierdzającego spełnianie warunków, o których mowa w ust. 1 pkt 1–4.
3. Wymaganie, o którym mowa w ust. 1 pkt 5, uznaje się za spełnione w przypadku przedstawienia pozytywnego wyniku testów integracyjnych.
§ 20.
1. Podmiot niepubliczny przedstawia dokumenty, o których mowa w § 19 ust. 2 i 3, na żądanie ministra.
2. W przypadku gdy do potwierdzenia profilu zaufanego wykorzystano środek identyfikacji elektronicznej stosowany do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego wydany przez ten podmiot niepubliczny w procesie, w którym okazanie dokumentu tożsamości nastąpiło w trakcie transmisji audiowizualnej, o której mowa w § 19 ust. 1 pkt 4 lit. a, podmiot ten przechowuje nagranie tej transmisji audiowizualnej przez okres 6 lat, chyba że przepisy odrębne wymagają dłuższego okresu przechowywania.
§ 21.
System, w którym wydawany jest profil zaufany, uniemożliwia usunięcie konta profilu zaufanego w przypadku, gdy prowadziłoby to do utraty kontroli użytkownika tego konta nad jego kontem w ePUAP.
§ 22.
1. Minister co najmniej raz na 2 lata dokonuje sprawdzenia mającego na celu ustalenie kont nieużywanych w celu ich usunięcia.
2. W przypadku ustalenia konta nieużywanego dokonuje się dwukrotnego powiadomienia użytkownika tego konta na adres poczty elektronicznej powiązany z tym kontem profilu zaufanego, w odstępie 30 dni, o zamiarze jego usunięcia.
3. Powiadomienie, o którym mowa w ust. 2, zawiera informację dotyczącą czynności, jakich posiadacz konta profilu zaufanego może dokonać na potwierdzenie woli dalszego korzystania z wskazanego konta nieużywanego.
4. W przypadku niepodjęcia przez użytkownika konta profilu zaufanego czynności, o których mowa w ust. 3, w terminie 30 dni od przesłania drugiego powiadomienia, konto nieużywane jest usuwane.
§ 23.
Wnioski o potwierdzenie lub przedłużenie profilu zaufanego złożone przed dniem wejścia w życie rozporządzenia są rozpatrywane na zasadach dotychczasowych.
§ 24.
Wnioski, o których mowa w art. 20c ust. 4 ustawy, złożone przed dniem wejścia w życie rozporządzenia, są rozpatrywane na zasadach dotychczasowych.
§ 25.
Zachowują moc zgody wydane, na podstawie art. 20c ust. 8 ustawy, przed dniem wejścia w życie niniejszego rozporządzenia.
§ 26.
Rozporządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia. [tj. dnia 07.07.2020 r. — przyp. redakcji]*
* Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie profilu zaufanego i podpisu zaufanego (Dz. U. poz. 1760 oraz z 2019 r. poz. 403), które traci moc z dniem wejścia w życie niniejszego rozporządzenia na podstawie art. 99 ustawy z dnia 31 marca 2020 r. o zmianie ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych oraz niektórych innych ustaw (Dz. U. poz. 568, 695 i 1086).