Rozp. w sprawie profilu zaufanego elektronicznej platformy usług administracji publicznej
Dz.U. 2016.1633
Rozporządzenie Ministra Cyfryzacji
z dnia 5 października 2016 r.
w sprawie profilu zaufanego elektronicznej platformy usług administracji publicznej
Opracowano na podstawie: Dz.U. z 2016 r. poz. 1633
Na podstawie art. 20a ust. 3 pkt 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114 oraz z 2016 r. poz. 352 i 1579) zarządza się, co następuje:
§ 1.
Rozporządzenie określa zasady i warunki potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego elektronicznej platformy usług administracji publicznej, zwanej dalej „ePUAP”, w tym:
1) okres ważności profilu zaufanego ePUAP;
2) zawartość profilu zaufanego ePUAP;
3) przypadki, w których nie dokonuje się potwierdzenia profilu zaufanego ePUAP;
4) przypadki, w których profil zaufany ePUAP traci ważność;
5) warunki składania podpisu potwierdzonego profilem zaufanym ePUAP oraz autoryzacji przy nieodpłatnym wykorzystaniu środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy, zwanego dalej „podmiotem niepublicznym”;
6) warunki przechowywania oraz archiwizowania dokumentów i danych związanych z potwierdzeniem, przedłużaniem ważności albo unieważnianiem profilu zaufanego ePUAP;
7) wzory wniosków o potwierdzenie, przedłużenie ważności i unieważnienie profilu zaufanego ePUAP;
8) warunki, które powinien spełniać punkt potwierdzający, o którym mowa w art. 20c ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, zwanej dalej „ustawą”;
9) warunki organizacyjne i techniczne dla potwierdzania profilu zaufanego ePUAP oraz autoryzacji przy nieodpłatnym wykorzystaniu środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy;
10) sposób potwierdzania spełniania warunków, o których mowa w pkt 9.
§ 2.
Użyte w rozporządzeniu określenia oznaczają:
1) identyfikator profilu zaufanego ePUAP — unikatowy ciąg znaków alfanumerycznych jednoznacznie identyfikujących profil zaufany ePUAP;
2) identyfikator użytkownika — identyfikator użytkownika w rozumieniu przepisów wydanych na podstawie art. 19a ust. 3 ustawy;
3) konto profilu zaufanego ePUAP — dane opisujące profil zaufany ePUAP wraz z przyporządkowanymi do nich zasobami ePUAP umożliwiającymi korzystanie z profilu zaufanego ePUAP;
4) osoba wnioskująca — osobę fizyczną występującą z wnioskiem o potwierdzenie profilu zaufanego ePUAP w swoim imieniu;
5) punkt potwierdzający — punkt potwierdzający profil zaufany ePUAP, o którym mowa w art. 20c ustawy.
§ 3.
1. Osoba wnioskująca przesyła na ePUAP wniosek o potwierdzenie profilu zaufanego ePUAP w postaci elektronicznej.
2. Jeżeli w okresie 14 dni od daty przesłania wniosku, o którym mowa w ust. 1, osoba wnioskująca nie zgłosi się do punktu potwierdzającego w celu potwierdzenia profilu zaufanego ePUAP, wniosek ten uważa się za bezskuteczny.
3. Wzór wniosku, o którym mowa w ust. 1, określa załącznik nr 1 do rozporządzenia.
§ 4.
1. Osoba wnioskująca może złożyć wniosek o potwierdzenie profilu zaufanego ePUAP osobiście w punkcie potwierdzającym.
2. Wniosek, o którym mowa w ust. 1, jest przygotowywany w punkcie potwierdzającym przez osobę upoważnioną do potwierdzania profilu zaufanego ePUAP przy wykorzystaniu formularza elektronicznego w ePUAP, wypełnionego na podstawie danych zawartych w ePUAP oraz danych podanych przez wnioskodawcę.
3. Osoba wnioskująca potwierdza zgodność danych wprowadzonych do ePUAP z podanymi danymi, w sposób określony w § 8 ust. 3 pkt 1.
§ 5.
1. W celu potwierdzenia profilu zaufanego ePUAP osoba wnioskująca zgłasza się do wybranego przez siebie punktu potwierdzającego.
2. W punkcie potwierdzającym osoba upoważniona do potwierdzania profilu zaufanego ePUAP stwierdza tożsamość osoby wnioskującej na podstawie dowodu osobistego albo paszportu.
3. Dane zawarte we wniosku w zakresie obejmującym:
1) imię (imiona),
2) nazwisko,
3) numer PESEL
— są weryfikowane automatycznie z danymi zawartymi w rejestrze PESEL.
4. Osoba upoważniona do potwierdzania profilu zaufanego ePUAP drukuje wniosek o potwierdzenie profilu zaufanego ePUAP z ePUAP. Osoba wnioskująca podpisuje wydrukowany wniosek.
5. Osoba upoważniona do potwierdzania profilu zaufanego, po pozytywnej weryfikacji danych, o których mowa w ust. 3, potwierdza profil zaufany ePUAP i odnotowuje to na wydrukowanym wniosku wraz z podaniem czasu potwierdzenia.
6. Osoba upoważniona do potwierdzania profilu zaufanego ePUAP podpisuje profil zaufany ePUAP osoby wnioskującej:
1) podpisem potwierdzonym profilem zaufanym ePUAP albo
2) kwalifikowanym podpisem elektronicznym.
§ 6.
Osoba posiadająca ważny profil zaufany ePUAP w celu jego bezpiecznego wykorzystywania:
1) zapewnia poufność danych, które mogłyby być wykorzystane do identyfikacji i uwierzytelnienia w systemie teleinformatycznym lub złożenia podpisu potwierdzonego profilem zaufanym ePUAP przez osoby trzecie;
2) nie udostępnia konta profilu zaufanego ePUAP osobom trzecim;
3) niezwłocznie unieważnia profil zaufany ePUAP w przypadku utraty kontroli nad kontem profilu zaufanego ePUAP.
§ 7.
Potwierdzenia, przedłużenia ważności i unieważnienia profilu zaufanego ePUAP dokonuje się na ePUAP.
§ 8.
1. Profil zaufany ePUAP zawiera:
1) imię (imiona) użytkownika;
2) nazwisko użytkownika;
3) numer PESEL użytkownika;
4) identyfikator użytkownika;
5) identyfikator profilu zaufanego ePUAP;
6) czas jego potwierdzenia;
7) termin ważności;
8) adres poczty elektronicznej;
9) numer telefonu komórkowego;
10) wybrany przez użytkownika sposób autoryzacji.
2. W przypadku potwierdzenia profilu zaufanego ePUAP:
1) w punkcie potwierdzającym — profil zaufany ePUAP zawiera również oznaczenie punktu potwierdzającego oraz imię i nazwisko osoby upoważnionej do potwierdzania profilu zaufanego ePUAP;
2) w sposób, o którym mowa w art. 20c ust. 1 pkt 2 i 3 ustawy — profil zaufany ePUAP zawiera również imię, nazwisko i numer PESEL osoby fizycznej występującej z wnioskiem o potwierdzenie profilu zaufanego ePUAP.
3. Autoryzacja jest dokonywana przy użyciu:
1) haseł jednorazowych przesyłanych na wskazany przez użytkownika numer telefonu komórkowego albo
2) środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego.
4. Użytkownik może dokonać zmiany:
1) adresu poczty elektronicznej lub numeru telefonu komórkowego — samodzielnie w ePUAP, potwierdzając to podpisem potwierdzonym profilem zaufanym ePUAP, albo w punkcie potwierdzającym profil zaufany ePUAP;
2) środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego — samodzielnie w systemie podmiotu niepublicznego;
3) sposobu autoryzacji — samodzielnie w ePUAP albo systemie teleinformatycznym podmiotu niepublicznego, o ile ePUAP albo system teleinformatyczny podmiotu niepublicznego na to pozwala.
5. W przypadku braku dostępu użytkownika do dotychczasowego numeru telefonu komórkowego dokonanie zmiany jest możliwe w punkcie potwierdzającym profil zaufany ePUAP.
6. Komunikaty związane z funkcjonowaniem konta profilu zaufanego ePUAP przesyłane są na adres poczty elektronicznej.
7. Struktura danych profilu zaufanego ePUAP oraz podpisu potwierdzonego profilem zaufanym ePUAP są publikowane na ePUAP przez ministra właściwego do spraw informatyzacji, zwanego dalej „ministrem”.
§ 9.
1. Profil zaufany ePUAP potwierdza się na okres trzech lat i jego ważność może być przedłużona na taki sam okres.
2. Przed upływem okresu ważności osoba posiadająca profil zaufany ePUAP może dokonać jego przedłużenia:
1) samodzielnie w ePUAP, potwierdzając to podpisem potwierdzonym profilem zaufanym ePUAP, albo
2) w punkcie potwierdzającym profil zaufany ePUAP, składając wniosek o przedłużenie ważności profilu zaufanego ePUAP na zasadach określonych w § 4 i 5.
3. Do przedłużenia ważności profilu zaufanego ePUAP § 10 stosuje się odpowiednio.
4. Wzór wniosku o przedłużenie ważności profilu zaufanego ePUAP określa załącznik nr 2 do rozporządzenia.
§ 10.
1. Nie dokonuje się potwierdzenia profilu zaufanego ePUAP w przypadku:
1) przedłożenia nieważnego dokumentu, o którym mowa w § 5 ust. 2, lub braku możliwości stwierdzenia tożsamości osoby wnioskującej na podstawie tego dokumentu na zasadach określonych w przepisach dotyczących dowodów osobistych oraz w przepisach dotyczących dokumentów paszportowych;
2) negatywnej weryfikacji danych, o których mowa w § 5 ust. 3.
2. Niedokonanie potwierdzenia profilu zaufanego ePUAP osoba upoważniona do potwierdzania profilu zaufanego ePUAP odnotowuje na wydrukowanym wniosku o potwierdzenie profilu zaufanego ePUAP wraz z podaniem czasu niedokonania potwierdzenia.
§ 11.
1. Profil zaufany ePUAP traci ważność w przypadku:
1) usunięcia konta profilu zaufanego ePUAP;
2) upływu okresu, na jaki został potwierdzony albo przedłużony;
3) zmiany adresu poczty elektronicznej, numeru telefonu komórkowego, środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego lub sposobu autoryzacji użytkownika.
2. Osoba posiadająca profil zaufany ePUAP może samodzielnie dokonać unieważnienia swojego profilu zaufanego ePUAP albo wystąpić z wnioskiem o unieważnienie profilu zaufanego ePUAP.
3. W celu unieważnienia profilu zaufanego ePUAP na wniosek osoba posiadająca profil zaufany ePUAP zgłasza się do wybranego przez siebie punktu potwierdzającego. Osoba upoważniona do potwierdzania profilu zaufanego ePUAP stwierdza tożsamość osoby wnioskującej na podstawie dowodu osobistego albo paszportu.
4. Osoba posiadająca profil zaufany ePUAP w przypadku zmiany danych, o których mowa w § 8 ust. 1 pkt 1–3, niezwłocznie występuje z wnioskiem o unieważnienie profilu zaufanego ePUAP.
5. Podpis potwierdzony profilem zaufanym ePUAP, złożony po faktycznym zaistnieniu zmiany danych, o których mowa w § 8 ust. 1 pkt 1–3, jest nieważny.
6. Wzór wniosku o unieważnienie profilu zaufanego ePUAP określa załącznik nr 3 do rozporządzenia.
§ 12.
Profil zaufany ePUAP potwierdzony na podstawie nieprawdziwych lub nieaktualnych danych jest nieważny od dnia jego potwierdzenia.
§ 13.
1. Złożenie podpisu potwierdzonego profilem zaufanym ePUAP jest możliwe w okresie ważności tego profilu i wymaga opatrzenia przez ePUAP pieczęcią elektroniczną wykorzystywaną do zapewnienia integralności i autentyczności wykonania operacji.
2. Weryfikacja integralności dokumentu lub danych podpisanych przy użyciu podpisu potwierdzonego profilem zaufanym ePUAP oraz autentyczności tego podpisu dokonywana jest za pomocą certyfikatu udostępnionego na ePUAP przez ministra.
§ 14.
1. Pełnienie funkcji punktu potwierdzającego profil zaufany ePUAP jest możliwe po przedłożeniu ministrowi:
1) oświadczenia o posiadaniu polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, o których mowa w przepisach wydanych na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), dotyczącego systemów, przy użyciu których podmiot ten uzyskuje dostęp do funkcjonalności systemu ePUAP wykorzystywanych w zakresie pełnienia funkcji punktu potwierdzającego;
2) oświadczenia o spełnieniu wymagań określonych w § 3 ust. 2 i 3 rozporządzenia Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników (Dz. U. poz. 1627).
2. Punkt potwierdzający zapewnia spełnienie wymagań, o których mowa w ust. 1.
3. Punkt potwierdzający, o którym mowa w art. 20c ust. 3 pkt 2–4 ustawy, w przypadku gdy nie posiada instrukcji określającej zasady i tryb postępowania z dokumentacją wydanej na podstawie ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2016 r. poz. 1506), zapewnia wdrożenie instrukcji określającej zasady i tryb postępowania z dokumentacją związaną z potwierdzaniem, przedłużaniem ważności i unieważnianiem profilu zaufanego ePUAP oraz przedkłada ministrowi kopie tego dokumentu.
4. Osoba upoważniona do potwierdzania profilu zaufanego dokonuje czynności, o których mowa w § 7, zgodnie z procedurami zarządzania profilami zaufanymi ePUAP oraz nadawania uprawnień do potwierdzania, przedłużania ważności i unieważniania profili zaufanych ePUAP, zamieszczonymi w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.
§ 15.
1. Punkt potwierdzający przechowuje i archiwizuje dokumenty w postaci papierowej w zakresie potwierdzania, przedłużania i unieważniania profilu zaufanego ePUAP w warunkach zapewniających co najmniej:
1) zachowanie integralności dokumentów;
2) odszukanie i udostępnienie dokumentów;
3) ochronę danych osobowych zawartych w dokumentach;
4) ochronę tych dokumentów przed zniszczeniem.
2. Dokumenty w postaci elektronicznej w zakresie potwierdzania, przedłużania i unieważniania ważności profilu zaufanego ePUAP, z zachowaniem warunków określonych w ust. 1, przechowuje oraz archiwizuje minister.
3. Obowiązek przechowania dokumentów, o których mowa w ust. 1 i 2, trwa przez okres 20 lat od chwili potwierdzenia albo przedłużenia ważności profilu zaufanego ePUAP lub od chwili odmowy jego potwierdzenia albo odmowy przedłużenia ważności bądź od chwili jego unieważnienia.
4. Organ lub jednostka organizacyjna przejmująca zadania, funkcje i dokumenty punktu potwierdzającego, którego działalność ustała, zapewnia spełnienie warunków, o których mowa w ust. 1 i 3. W przypadku braku następcy prawnego punktu potwierdzającego spełnienie warunków, o których mowa w ust. 1 i 3, zapewnia minister.
§ 16.
Potwierdzenie profilu zaufanego ePUAP, a także przedłużenie jego ważności lub unieważnienie, w sposób określony w art. 20c ust. 1 pkt 3 ustawy, może być dokonane z wykorzystaniem systemu teleinformatycznego podmiotu niepublicznego.
§ 17.
1. Wykorzystanie środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego do potwierdzania profilu zaufanego ePUAP oraz autoryzacji wymaga:
1) wdrożenia przez podmiot niepubliczny zabezpieczeń dotyczących co najmniej średniego poziomu zaufania, wymaganych rozporządzeniem wykonawczym Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015, str. 7), zwanym dalej „rozporządzeniem wykonawczym 2015/1502”;
2) opracowania i ustanawiania, wdrażania i eksploatowania, monitorowania i przeglądania oraz utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wykonawczych wydanych na podstawie art. 18 ustawy;
3) poddawania się przez podmiot niepubliczny niezależnemu audytowi, o którym mowa w pkt 2.4.7 załącznika do rozporządzenia wykonawczego 2015/1502, sprawdzającemu spełnianie wymagań, o których mowa w pkt 1 i 2, nie rzadziej niż raz na dwa lata;
4) potwierdzenia przez podmiot niepubliczny tożsamości osoby, której udostępniono środki identyfikacji elektronicznej stosowane do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, na podstawie:
a) okazanego podczas fizycznej obecności dowodu osobistego albo paszportu, który zawiera numer PESEL, z zachowaniem należytej staranności w ustaleniu autentyczności tych dokumentów tożsamości oraz w działaniach zmierzających do zminimalizowania ryzyka, że tożsamość deklarowana przy użyciu okazanego dowodu tożsamości jest niezgodna z faktyczną tożsamością osoby okazującej ten dokument, albo
b) danych pochodzących z poprawnie przeprowadzonej weryfikacji kwalifikowanego podpisu elektronicznego, przy użyciu którego osoba ta podpisała dokument elektroniczny, w którym oświadczyła, że świadoma jest warunków i zalecanych zasad korzystania z systemu identyfikacji elektronicznej, oraz wyraziła zgodę na nadanie statusu użytkownika tego systemu oraz wykorzystywanie udostępnionych środków identyfikacji elektronicznej w systemie ePUAP;
5) przeprowadzenia testów integracyjnych w zakresie możliwości wykorzystania środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego do potwierdzania profilu zaufanego ePUAP i autoryzacji, zgodnie z procedurą udostępnioną w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.
2. Wymagania, o których mowa w ust. 1 pkt 1–4, uznaje się za spełnione w przypadku przedstawienia przez podmiot niepubliczny:
1) ważnego akredytowanego certyfikatu, obejmującego w swym zakresie stosowanie środków identyfikacji elektronicznej, systemu zarządzania bezpieczeństwem informacji, albo
2) protokołu pokontrolnego kontroli organu nadzoru, potwierdzającego wdrożenie wymogów określonych w przepisach wydanych na podstawie art. 137 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. — Prawo bankowe (Dz. U. z 2015 r. poz. 128, z późn. zm.), w zakresie dotyczącym zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, albo
3) pozytywnego wyniku audytu, o którym mowa w ust. 1 pkt 3, przeprowadzonego nie wcześniej niż 15 miesięcy przed dniem złożenia przez podmiot niepubliczny wniosku do ministra o wyrażenie zgody na wykorzystywanie do potwierdzania profilu zaufanego ePUAP środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, albo
4) innego dokumentu potwierdzającego spełnianie warunków, o których mowa w ust. 1 pkt 1–4.
3. Wymaganie, o którym mowa w ust. 1 pkt 5, uznaje się za spełnione w przypadku przedstawienia pozytywnego wyniku testów integracyjnych.
§ 18.
Podmiot niepubliczny przedstawia dokumenty, o których mowa w § 17 ust. 2 i 3, na żądanie ministra.
§ 19.
Wnioski o potwierdzenie, przedłużenie ważności i unieważnienie profilu zaufanego ePUAP przesłane przed dniem wejścia w życie rozporządzenia są potwierdzane na zasadach dotychczasowych.
§ 20.
Wnioski, o których mowa w art. 20c ust. 4 ustawy, złożone przed dniem wejścia w życie rozporządzenia, rozpatrywane są zgodnie z dotychczasowymi przepisami.
§ 21.
1. Użytkownik, którego profil zaufany ePUAP nie zawiera numeru telefonu komórkowego, podaje numer telefonu komórkowego w terminie 6 miesięcy od dnia wejścia w życie rozporządzenia, autoryzując tę czynność zgodnie z dotychczasowymi przepisami.
2. Po upływie terminu, o którym mowa w ust. 1, użytkownik, którego profil zaufany ePUAP nie zawiera numeru telefonu komórkowego, podaje go w punkcie potwierdzającym na zasadach określonych w § 4 i 5.
§ 22.
Do przechowywania i archiwizowania dokumentów dotyczących potwierdzania, przedłużania i unieważniania profilu zaufanego ePUAP, potwierdzonych przed dniem wejścia w życie rozporządzenia, stosuje się przepisy dotychczasowe.
§ 23.
Rozporządzenie wchodzi w życie z dniem 7 października 2016 r., z wyjątkiem § 4, § 8 ust. 2, ust. 4 pkt 1 w zakresie możliwości dokonania zmiany adresu poczty elektronicznej lub numeru telefonu komórkowego w punkcie potwierdzającym profil zaufany ePUAP oraz ust. 5, które wchodzą w życie z dniem 1 stycznia 2017 r.
* Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 5 czerwca 2014 r. w sprawie zasad potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz. U. poz. 778), które traci moc z dniem wejścia w życie ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. poz. 1579) na podstawie art. 142 tej ustawy.