Nowe przepisy dotyczące identyfikacji użytkowników systemów teleinformatycznych
Nowe rozporządzenia ws. systemów teleinformatycznych służących do uwierzytelniania użytkowników oraz profilu zaufanego ePUAP dostosowują polski porządek prawny do przepisów unijnych.
Z dniem 7 października 2016 r. weszły w życie dwa rozporządzenia Ministra Cyfryzacji: rozporządzenie z dnia 5 października 2016 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników (Dz.U. poz. 1627) oraz rozporządzenie z dnia 5 października 2016 r. w sprawie profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz.U. poz. 1633)
Potrzeba wydania nowych rozporządzeń związana jest ze zmianami wprowadzonymi do przepisów ustawowych. Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. poz. 1579) zmieniła m.in. upoważnienia do wydania ww. rozporządzeń oraz uchyliła ustawę z dnia 18 września 2001 r. o podpisie elektronicznym (t.j. Dz.U. z 2013 r. poz. 262, ze zm.). Celem wprowadzonych zmian było dostosowanie polskiego porządku prawnego do rozporządzenia Parlamentu Europejskiego i Rady (UE) Nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, str. 73).
Rozporządzenie w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników określa szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny służący do wydania certyfikatu oraz stosowania technologii, o których mowa w art. 20a ust. 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2014 r. poz. 1114, ze zm.), w tym zakres i okres przechowywania danych w systemie oraz obowiązki informacyjne, do których zobowiązany jest administrator systemu. Nowe rozporządzenie w znacznej mierze powiela treść rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz.U. Nr 93, poz. 545), jednocześnie wprowadza do niej istotne zmiany. W tytule rozporządzenia oraz jego poszczególnych jednostkach redakcyjnych pojęcie „identyfikacji” zastąpiono wyrazem „uwierzytelnianie”. Rozporządzenie nie definiuje pojęć „usługi certyfikacyjne” oraz „kwalifikowany certyfikat” (dotychczasowe definicje odsyłały do nieobowiązującej już ustawy o podpisie elektronicznym).
Ponadto w rozporządzeniu zrezygnowano z oddzielnej jednostki redakcyjnej zawierającej definicje pojęć użytych w rozporządzeniu (znaczenie pojęć „system certyfikujący”, „system zarządzania tożsamością”, „system autoryzujący” oraz „rozliczalność”, zostało wyjaśnione, nieco inaczej niż dotychczas, w przepisach merytorycznych). Rozporządzenie nie odnosi się do kwestii wydawania kwalifikowanych certyfikatów podpisu elektronicznego (wymogi dotyczące kwalifikowanych certyfikatów podpisu elektronicznego, pieczęci elektronicznej i uwierzytelniania witryn internetowych regulują przepisy ww. rozporządzenia Parlamentu Europejskiego i Rady). Ponadto rozporządzenie wskazuje, że wymagania określone dla systemu zarządzania tożsamością uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został zweryfikowany pozytywnie przez jednostkę certyfikującą akredytowaną, zgodnie z ustawą z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz.U. poz. 542, ze zm.).
Z kolei rozporządzenie w sprawie profilu zaufanego elektronicznej platformy usług administracji publicznej (ePUAP) określa zasady i warunki potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego elektronicznej platformy usług administracji publicznej. Treść nowych przepisów w znacznym zakresie tożsama jest z treścią rozporządzenia Ministra Administracji i Cyfryzacji z dnia 5 czerwca 2014 r. w sprawie zasad potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz.U. poz. 778). W rozporządzeniu zdefiniowano pojęcie "konta profilu zaufanego ePUAP" ("dane opisujące profil zaufany ePUAP wraz z przyporządkowanymi do nich zasobami ePUAP umożliwiającymi korzystanie z profilu zaufanego ePUAP"). Związane jest to z technicznym wydzieleniem profilu zaufanego ePUAP w ramach systemu ePUAP. Ponadto wprowadzono zmiany w obowiązujących dotychczas definicjach bądź zrezygnowano z definiowania niektórych pojęć (m.in. pojęć "bezpieczny podpis elektroniczny", "kwalifikowany certyfikat"). Dodatkowo nowe przepisy umożliwiają złożenie wniosku o potwierdzenie profilu zaufanego ePUAP w postaci elektronicznej lub papierowej.
Osoba wnioskująca może złożyć wniosek za pośrednictwem ePUAP lub osobiście w punkcie potwierdzającym (w rozporządzeniu określono procedurę złożenia wniosku w postaci papierowej). W rozporządzeniu sprecyzowano również, że autoryzacja dokonywana jest przy użyciu haseł jednorazowych przesyłanych na wskazany przez użytkownika numer telefonu komórkowego albo środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego. Nowe przepisy regulują także kwestię zmiany adresu poczty elektronicznej lub numeru telefonu komórkowego. Doprecyzowują również, że złożenie podpisu potwierdzonego profilem zaufanym ePUAP jest możliwe w okresie jego ważności i wymaga opatrzenia przez ePUAP pieczęcią elektroniczną wykorzystywaną do zapewnienia integralności i autentyczności wykonania operacji przez system ePUAP.
Rozporządzenie wprowadza także zmiany w kwestii warunków do pełnienia funkcji punktu potwierdzającego profil zaufany ePUAP oraz obowiązków punktu potwierdzającego. Rozporządzenie weszło w życie z dniem 7 października 2016 r., z wyjątkiem przepisów § 4, § 8 ust. 2, ust. 4 pkt 1 w zakresie możliwości dokonania zmiany adresu poczty elektronicznej lub numeru telefonu komórkowego w punkcie potwierdzającym profil zaufany ePUAP oraz ust. 5, które zaczną obowiązywać z dniem 1 stycznia 2017 r.
