NOWOŚĆ LEX Cyberbezpieczeństwo Twoja tarcza w cyfrowym świecie!
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Zakres i warunki korzystania z elektronicznej platformy usług administracji publicznej.

ROZPORZĄDZENIE
MINISTRA CYFRYZACJI 1
z dnia 5 października 2016 r.
w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej

Na podstawie art. 19a ust. 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2023 r. poz. 57, 1123, 1234 i 1703) zarządza się, co następuje:
§  1. [Przedmiot regulacji]
 Rozporządzenie określa:
1)
zakres i warunki korzystania z elektronicznej platformy usług administracji publicznej, zwanej dalej "ePUAP";
2)
sposób identyfikacji i uwierzytelniania w ePUAP, w tym przy wykorzystaniu środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy, zwanego dalej "podmiotem niepublicznym";
3)
warunki organizacyjne i techniczne nieodpłatnego wykorzystywania do identyfikacji i uwierzytelniania w ePUAP środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie podmiotu niepublicznego;
4)
sposób potwierdzania spełniania warunków, o których mowa w pkt 1.
§  2. [Definicje]
 Użyte w rozporządzeniu określenia oznaczają:
1)
administrator podmiotu - użytkownika zarejestrowanego zarządzającego zasobami ePUAP posiadanymi przez podmiot;
2)
identyfikator podmiotu - unikalny ciąg znaków alfanumerycznych jednoznacznie identyfikujących podmiot;
3)
identyfikator użytkownika - unikalny ciąg znaków alfanumerycznych jednoznacznie identyfikujących użytkownika zarejestrowanego;
4)
konto - dane opisujące podmiot albo użytkownika zarejestrowanego wraz z zasobami ePUAP przyporządkowanymi do tego podmiotu albo użytkownika;
4a)
konto nieużywane - konto użytkownika zarejestrowanego albo konto podmiotu, niewykorzystywane przez jego posiadacza w okresie dłuższym niż 3 lata;
5)
niezaprzeczalność - brak możliwości zanegowania swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie;
6)
rozliczalność działań - funkcję ePUAP umożliwiającą przypisanie w sposób jednoznaczny działania użytkownika lub podmiotu tylko temu użytkownikowi lub podmiotowi;
7)
oznaczanie czasem - funkcję ePUAP umożliwiającą dołączanie oznaczenia czasu do danych w postaci elektronicznej logicznie powiązanych z danymi opatrzonymi podpisem lub poświadczeniem elektronicznym w chwili wykonania takiego dołączenia oraz poświadczenia elektronicznego tak powstałych danych przez ePUAP;
8)
podmiot - osobę prawną, jednostkę organizacyjną nieposiadającą osobowości prawnej albo podmiot publiczny;
9)
usługa - działanie podmiotu publicznego, polegające na wykorzystaniu przez ten podmiot ePUAP do realizacji swoich ustawowych obowiązków;
10)
usługodawca - podmiot publiczny, świadczący usługi przy użyciu ePUAP;
11)
użytkownik zarejestrowany - użytkownika posiadającego konto.
§  3. [Wymóg założenia konta]
 W celu korzystania z ePUAP użytkownik zakłada konto.
§  4. [Dane podawane przy tworzeniu konta; sposoby identyfikacji i uwierzytelnienia użytkownika]
1.
 Utworzenie konta dla użytkownika wymaga podania następujących danych:
1)
imienia (imion);
2)
nazwiska;
3)
numeru PESEL, jeżeli użytkownik posiada;
4)
adresu poczty elektronicznej;
5)
numeru telefonu komórkowego;
6)
identyfikatora użytkownika.
2.
 W celu identyfikacji i uwierzytelnienia użytkownik zarejestrowany może zastosować:
1)
określone przez użytkownika identyfikator użytkownika i hasło;
2)
(uchylony);
3)
środek identyfikacji elektronicznej stosowany do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego;
4)
środek identyfikacji elektronicznej wydany w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego identyfikacji elektronicznej, o którym mowa w art. 21a ust. 1 pkt 2 lit. a ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. z 2021 r. poz. 1797 oraz z 2023 r. poz. 1234);
5)
środek identyfikacji elektronicznej wydany w notyfikowanym systemie identyfikacji elektronicznej;
6)
dane weryfikowane za pomocą kwalifikowanego certyfikatu podpisu elektronicznego;
7) 2
certyfikat podstawowy, o którym mowa w art. 2 pkt 2 ustawy z dnia 26 maja 2023 r. o aplikacji mObywatel (Dz. U. z 2024 r. poz. 1275 i 1717).
3.
 Stopień złożoności hasła, o którym mowa w ust. 2 pkt 1, kontroluje ePUAP.
4. 3
  Komunikaty związane z funkcjonowaniem konta, w tym ze sprawami lub z procedurami zainicjowanymi z wykorzystaniem tego konta, są:
1)
przesyłane na adres poczty elektronicznej podany przez użytkownika zarejestrowanego;
2)
udostępniane w aplikacji mObywatel, jeżeli użytkownik zarejestrowany jest jednocześnie użytkownikiem tej aplikacji i wyraził zgodę na otrzymywanie komunikatów.
5.
 W przypadku zmiany danych, o których mowa w ust. 1 pkt 1-5, użytkownik zarejestrowany jest zobowiązany do niezwłocznego dokonania odpowiednich zmian w koncie.
6.
 Użytkownik zarejestrowany może usunąć swoje konto.
7.
 W przypadku utraty identyfikatora użytkownika lub hasła, o których mowa w ust. 2 pkt 1, użytkownik zarejestrowany może wnioskować, za pośrednictwem ePUAP, o przesłanie na adres poczty elektronicznej, o którym mowa w ust. 1 pkt 4, odpowiednio identyfikatora użytkownika albo hasła tymczasowego. Użytkownik zarejestrowany po uwierzytelnieniu się za pomocą hasła tymczasowego określa nowe hasło, którego stopień złożoności kontroluje ePUAP.
§  5. [Utworzenie konta dla podmiotu]
1.
 Utworzenie konta dla podmiotu jest dokonywane przez użytkownika zarejestrowanego działającego w imieniu podmiotu i wymaga podania:
1)
nazwy podmiotu;
2)
identyfikatora podmiotu;
3)
numeru REGON, jeżeli został nadany temu podmiotowi.
2.
 Użytkownik zarejestrowany, zakładając konto dla podmiotu, staje się administratorem podmiotu.
3.
 Identyfikator użytkownika i identyfikator podmiotu są wybierane przez użytkownika. Raz nadany identyfikator nie może być nadany ponownie.
4.
 W przypadku zmiany danych, o których mowa w ust. 1 pkt 1, użytkownik zarejestrowany działający w imieniu podmiotu niezwłocznie dokonuje ich zmiany w koncie.
5.
 Konto podmiotu może usunąć administrator tego podmiotu albo minister właściwy do spraw informatyzacji, zwany dalej "ministrem", na wniosek podmiotu.
§  5a. [Usuwanie kont nieużywanych]
1.
 Minister co najmniej raz na dwa lata dokonuje sprawdzenia kont w celu ustalenia kont nieużywanych.
2.
 W przypadku ustalenia konta nieużywanego dokonuje się dwukrotnego powiadomienia użytkownika zarejestrowanego lub podmiotu, na adres poczty elektronicznej powiązany z tym kontem, w odstępie 30 dni, o zamiarze jego usunięcia.
3.
 Powiadomienie, o którym mowa w ust. 2, zawiera informację dotyczącą oczekiwanych czynności, jakich należy dokonać w celu potwierdzenia woli dalszego korzystania z konta nieużywanego.
4.
 W przypadku niepodjęcia przez użytkownika zarejestrowanego lub podmiot czynności, o których mowa w ust. 3, w terminie 30 dni od przesłania drugiego powiadomienia, konto nieużywane jest usuwane.
§  6. [Działania użytkownika zarejestrowanego w imieniu różnych podmiotów]
1.
 Użytkownik zarejestrowany może działać w imieniu różnych podmiotów.
2.
 Działania użytkownika zarejestrowanego działającego w imieniu podmiotu publicznego wymagają uwierzytelnienia wykorzystującego co najmniej dwa czynniki uwierzytelnienia należące do co najmniej dwóch różnych kategorii, o których mowa w pkt 1 ppkt 2 załącznika do rozporządzenia wykonawczego Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów bezpieczeństwa w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015, str. 7, z późn. zm.), zwanego dalej "rozporządzeniem wykonawczym 2015/1502".
§  7. [Wniosek o nadanie funkcjonalności podmiotu publicznego na ePUAP]
1.
 Podmiot publiczny występuje do ministra z wnioskiem o nadanie funkcjonalności podmiotu publicznego na ePUAP.
2.
 Wniosek, o którym mowa w ust. 1, zawiera:
1)
oznaczenie podmiotu publicznego;
2)
imię i nazwisko osoby upoważnionej do reprezentacji podmiotu publicznego wraz z podaniem funkcji lub stanowiska;
3)
dane administratora podmiotu.
3.
 Funkcjonalność podmiotu publicznego na ePUAP staje się dostępna po pozytywnym rozpatrzeniu wniosku przez ministra.
4.
 Podmiotowi, o którym mowa w art. 20c ust. 3 pkt 2-5 ustawy "ustawą", funkcjonalność podmiotu publicznego na ePUAP jest nadawana na podstawie zgody ministra, o której mowa w art. 20c ust. 3 ustawy, w celu potwierdzania profilu zaufanego.
§  8. [Informowanie o przerwach serwisowych na ePUAP]
 Minister informuje na ePUAP o przerwach serwisowych w świadczeniu usług, wynikających z potrzeby dokonywania zmian i ulepszeń, a w przypadku braku takiej możliwości - przez zamieszczenie informacji o takich przerwach w Biuletynie Informacji Publicznej.
§  9. [Katalog usług]
 ePUAP udostępnia katalog usług zawierający informacje o usługach, a w szczególności:
1)
podstawę prawną usługi;
2)
nazwę usługi;
3)
nazwę usługodawcy;
4)
cel usługi;
5)
odbiorców usługi;
6)
kategorię usługi;
7)
umiejscowienie usługodawcy według podziału administracyjnego kraju.
§  10. [Funkcje ePUAP wykorzystywane przed podmioty publiczne]
1.
 Podmioty publiczne mogą wykorzystywać do świadczenia usług w postaci elektronicznej w szczególności następujące funkcje ePUAP:
1)
tworzenie i obsługa dokumentów elektronicznych przez osoby fizyczne i podmioty;
2)
przesyłanie dokumentów elektronicznych;
3)
wymiana danych między ePUAP a innymi systemami teleinformatycznymi;
4)
identyfikacja użytkowników i rozliczalność ich działań;
5)
weryfikacja podpisu elektronicznego;
6)
tworzenie usług podmiotu publicznego lub usług kilku podmiotów publicznych współdziałających ze sobą, zbudowanych na podstawie dwóch lub więcej usług;
7)
obsługa płatności elektronicznych;
8)
działania związane z procesem potwierdzania profilu zaufanego;
9)
weryfikacja zgodności dokumentu elektronicznego z jego wzorem określonym w centralnym repozytorium wzorów dokumentów elektronicznych;
10)
wystawianie:
a)
urzędowego poświadczenia odbioru,
b)
elektronicznego poświadczenia opłaty,
c)
elektronicznego znacznika czasu

- z uwzględnieniem funkcjonalności ePUAP gwarantujących niezaprzeczalność tych poświadczeń.

2.
 Podmioty, o których mowa w art. 20c ust. 3 pkt 2-5 ustawy, w celu potwierdzania profilu zaufanego mogą wykorzystywać funkcje ePUAP, o których mowa w ust. 1.
§  11. [Wymiana informacji między ePUAP a innymi systemami teleinformatycznymi]
1.
 ePUAP może wymieniać informacje z innymi systemami teleinformatycznymi podmiotów określonych w art. 2 ust. 1 i 2 ustawy oraz podmiotów niepublicznych.
2.
 Do wymiany informacji, o których mowa w ust. 1, mają zastosowanie przepisy wydane na podstawie art. 18 pkt 2 ustawy.
3.
 Minister zapewnia bezpieczeństwo wymiany informacji określonych w ust. 1 przez wydanie, na wniosek podmiotu, o którym mowa w ust. 1, certyfikatu dla systemu teleinformatycznego, o którym mowa w ust. 1.
4.
 Wydanie certyfikatu, o którym mowa w ust. 3, stanowi czynność materialno-techniczną.
§  12. [Warunki wykorzystania w ePUAP środków identyfikacji elektronicznej stosowanych do uwierzytelniania podmiotu niepublicznego]
1.
 Wykorzystanie w ePUAP środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, wymaga:
1)
wdrożenia przez podmiot niepubliczny zabezpieczeń dotyczących co najmniej średniego poziomu bezpieczeństwa, wymaganych rozporządzeniem wykonawczym 2015/1502;
2)
opracowania i ustanawiania, wdrażania i eksploatowania, monitorowania i przeglądania oraz utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18 ustawy;
3)
poddawania się przez podmiot niepubliczny niezależnemu audytowi, o którym mowa w pkt 2.4.7 załącznika do rozporządzenia wykonawczego 2015/1502, sprawdzającemu spełnianie wymagań, o których mowa w pkt 1 i 2, nie rzadziej niż raz na dwa lata;
4)
potwierdzenia przez podmiot niepubliczny tożsamości osoby, której udostępniono środki identyfikacji elektronicznej stosowane do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, na podstawie:
a)
okazanego podczas fizycznej obecności dowodu osobistego albo paszportu, który zawiera numer PESEL, albo
b)
danych pochodzących z poprawnie przeprowadzonej weryfikacji kwalifikowanego podpisu elektronicznego, przy użyciu którego osoba ta podpisała dokument elektroniczny, w którym oświadczyła, iż świadoma jest warunków i zalecanych zasad korzystania z systemu identyfikacji elektronicznej oraz wyraziła zgodę na nadanie statusu użytkownika tego systemu oraz wykorzystywanie udostępnionych środków identyfikacji elektronicznej w systemie ePUAP;
5)
przeprowadzenia testów integracyjnych w zakresie możliwości wykorzystania do identyfikacji i uwierzytelniania w ePUAP środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, zgodnie z procedurą udostępnioną w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.
2.
 Wymagania, o których mowa w ust. 1 pkt 1-4, uznaje się za spełnione w przypadku przedstawienia przez podmiot niepubliczny:
1)
ważnego akredytowanego certyfikatu, obejmującego w swym zakresie stosowanie środków identyfikacji elektronicznej, systemu zarządzania bezpieczeństwem informacji, albo
2)
protokołu pokontrolnego kontroli organu nadzoru, potwierdzającego wdrożenie wymogów określonych w przepisach wydanych na podstawie art. 137 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2023 r. poz. 2488), w zakresie dotyczącym zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, albo
3)
pozytywnego wyniku audytu, o którym mowa w ust. 1 pkt 3, przeprowadzonego nie wcześniej niż 15 miesięcy przed dniem złożenia przez podmiot niepubliczny wniosku do ministra o wyrażenie zgody na nieodpłatne wykorzystywanie w ePUAP środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, albo
4)
innego dokumentu potwierdzającego spełnianie warunków, o których mowa w ust. 1.
3.
 Wymaganie, o którym mowa w ust. 1 pkt 5, uznaje się za spełnione w przypadku przedstawienia pozytywnego wyniku testów integracyjnych.
§  13. [Przedstawianie dokumentów na żądanie ministra]
 Podmiot niepubliczny przedstawia dokumenty, o których mowa w § 12 ust. 2 i 3, na żądanie ministra.
§  14. [Status kont założonych przed dniem wejścia w życie rozporządzenia]
 Konta założone przed dniem wejścia w życie rozporządzenia stają się kontami w rozumieniu przepisów niniejszego rozporządzenia.
§  15. [Rozpatrzenie wniosków o nadanie funkcjonalności podmiotu publicznego złożonych przed dniem wejścia w życie rozporządzenia]
 Wnioski o nadanie funkcjonalności podmiotu publicznego złożone przed dniem wejścia w życie niniejszego rozporządzenia rozpatruje się na podstawie przepisów dotychczasowych.
§  16. [Wejście w życie]
 Rozporządzenie wchodzi w życie z dniem 7 października 2016 r. 4
1 ) Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 26 kwietnia 2023 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 792).
2 § 4 ust. 2 pkt 7 zmieniony przez § 1 pkt 1 rozporządzenia z dnia 27 czerwca 2025 r. (Dz.U.2025.850) zmieniającego nin. rozporządzenie z dniem 1 lipca 2025 r.
3 § 4 ust. 4 zmieniony przez § 1 pkt 2 rozporządzenia z dnia 27 czerwca 2025 r. (Dz.U.2025.850) zmieniającego nin. rozporządzenie z dniem 1 lipca 2025 r.
4 Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz.U.2014.584), które traci moc z dniem wejścia w życie ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz.U.2016.1579), na podstawie art. 142 tej ustawy.
Metryka aktu
Identyfikator:

Dz.U.2023.2514 t.j.

Rodzaj:rozporządzenie
Tytuł:Zakres i warunki korzystania z elektronicznej platformy usług administracji publicznej.
Data aktu:2016-10-05
Data ogłoszenia:2023-11-20
Data wejścia w życie:2016-10-07