Rządowy projekt ustawy o zmianie ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne, ustawy - Kodeks postępowania administracyjnego, ustawy - Ordynacja podatkowa oraz niektórych innych ustaw

8) Minister – ministra właściwego do spraw informatyzacji.

§ 3. 1. Podmiot odpowiedzialny za system certyfikacyjny:
1) udowadnia wiarygodność niezbędną do świadczenia usług certyfikacyjnych;
2) zapewnia świadczenie natychmiastowej usługi odwołania certyfikatu;
3) zapewnia precyzyjne określenie daty i godziny wystawienia lub odwołania
certyfikatu;
4) zapewnia weryfikację tożsamości osoby, dla której jest wydawany certyfikat;
5) stosuje właściwe procedury i metody administracyjne i zarządzania, które
odpowiadają właściwym krajowym normom;
6) stosuje do świadczenia usług certyfikacyjnych godne zaufania systemy i
produkty, które są chronione przed zmianami i które zapewniają techniczne i
kryptograficzne bezpieczeństwo działań do których służą;
7) podejmuje środki przeciwko fałszowaniu certyfikatów oraz w przypadkach,
gdy tworzą dane służące do składania podpisu, zapewnia poufność podczas
procesu tworzenia tych danych;
8) przechowuje przez odpowiedni okres wszystkie istotne informacje dotyczące
wydanych certyfikatów;
9) nie gromadzi ani nie kopiuje danych służących do składania podpisu osób;
10) informuje osobę ubiegającą się o certyfikat o warunkach stosowania
certyfikatu, w szczególności o ograniczeniu użycia certyfikatu i postępowaniu
w przypadku skarg i rozstrzygania sporów.
2. Warunki, o których mowa w ust. 1 uważa się za spełnione, gdy:
1) polityka certyfikacji spełnia wymagania wskazane w dokumencie
normalizacyjnym ETSI TS 102 042 wersja 1.2.4 lub nowsza;
2) podmiot odpowiedzialny za system certyfikacyjny zapewnił warunki
organizacyjne i techniczne zgodne z wymaganiami standardu CEN-CWA
14167-1 w zakresie świadczenia usług innych niż wydawanie certyfikatów
kwalifikowanych.
3. Podmiot odpowiedzialny za system certyfikacyjny udostępnia polityki certyfikacji oraz
deklarację o spełnieniu wymagań określonych w ust. 2:
1) w Biuletynie Informacji Publicznej - zgodnie z ustawą z dnia 6 września 2001 r.
o dostępie do informacji publicznej (Dz.U. Nr 112, poz. 1198, z późn.zm.), albo
2) na stronie internetowej podmiotu - w przypadku, gdy przepisów ustawy z dnia
6 września 2001 r. o dostępie do informacji publicznej nie stosuje się.


§ 4. 1. System uwierzytelniający powinien spełniać następujące warunki techniczne
(funkcjonalne):
1) przeprowadzać proces rejestracji użytkowników;
2) zapewniać bezpieczne przeprowadzenie procesu uwierzytelnienia
użytkownika;
3) przechowywać i udostępniać dane identyfikacyjne użytkowników systemom
ufającym;

4) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz.U. z 2007 r. Nr 180, poz. 1280, z 2008 r. Nr 70,
poz. 416, Nr 116, poz. 732, Nr 141, poz. 888 i Nr 216, poz. 1367 oraz z 2009 r. Nr 3, poz. 11, Nr 18, poz. 97, Nr 141, poz.
888 i Nr 171, poz. 1056.
5) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2002 r. Nr 153, poz. 1271, z 2004 r. Nr 240, poz.2407, z 2005 r.
Nr 64, poz. 565 i Nr 132, poz.1110.

2

4) zapewniać jednoznaczną identyfikację wszystkich realizowanych operacji;
2. System uwierzytelniający powinien spełniać następujące warunki organizacyjne i
techniczne (bezpieczeństwa):
1) zapewnić wiarygodność procesu rejestracji użytkowników i weryfikację ich
tożsamości;
2) zapewnić integralność, autentyczność i poufność danych identyfikacyjnych i
uwierzytelniających użytkownika;
3) chronić zbiór danych osobowych;
4) rejestrować wykonywane operacje i zapewnić integralność tych rejestrów;
5) zapewnić, że systemy ufające, którym przekazywane są dane są uprawnione
do ich otrzymania;
6) posiadać dokumentację techniczną i organizacyjną zapewniającą bezpieczną
eksploatację;
7) zapewnić zarządzanie bezpieczeństwem informacji.
3. Wymagania określone w ust. 2 uważa się za spełnione, jeśli dla systemu uwierzytelniania
stworzony został system zarządzania bezpieczeństwem informacji, w którym określono
powyższe wymagania bezpieczeństwa oraz gdy system zarządzania bezpieczeństwem
informacji jest poddawany regularnej ocenie zgodności z PN ISO/IEC 27001,

przeprowadzanej przez akredytowaną jednostkę certyfikująca, zgodnie z ustawą z dnia 30
sierpnia 2002 r. o systemie oceny zgodności (Dz. U. z 2004 r. Nr 204, poz. 2087,
z późn.zm.).


§ 5. System obsługi tożsamości powinien spełniać następujące warunki techniczne
(funkcjonalne):
1) jeżeli system wykorzystuje zaawansowany podpis elektroniczny i certyfikaty
kwalifikowane:
a) przeprowadzać proces weryfikacji certyfikatów kwalifikowanych i
certyfikatów wydawanych przez system certyfikacyjny,
b) archiwizować podpisy i podpisane dokumenty elektroniczne w sposób
zapewniający rozliczalność przeprowadzonych w systemie działań.
2) jeżeli system wykorzystuje system uwierzytelniający - rejestrować operacje w
sposób zapewniający rozliczalność przeprowadzonych w systemie działań.



§ 6. 1. Osobie fizycznej lub przedsiębiorcy, zarejestrowanym na platformie ePUAP , może
zostać przypisany profil zaufany ePUAP, jeżeli w sposób wiarygodny uwierzytelnią
informacje ich identyfikujące lub opisujące. Uwierzytelnienie informacji następuje w sposób
określony w § 7 lub § 9.
2. Uwierzytelnienia informacji dokonują organy administracji publicznej: Zakład
Ubezpieczeń Społecznych, urzędu wojewódzkie oraz urzędy skarbowe, a także ich jednostki
organizacyjne, inspektoraty i delegatury.
3. Na wniosek zainteresowanej jednostki samorządu terytorialnego Minister może udzielić jej
upoważnienia do uwierzytelniania informacji, po spełnieniu przez nią warunków techniczno-
organizacyjnych, określonych w § 3-5.


6) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2005 r. Nr 64, poz. 565 i Nr 67, poz. 2258, z 2006 r. Nr 170,
poz. 1217, Nr 249, poz. 1832, Nr 235, poz. 1700 i Nr 249, poz. 1834, z 2007 r. Nr 21, poz. 124 Nr 192, poz. 1381 oraz z
2008 r. Nr 157, poz. 976.

3

§ 7. 1. W celu uwierzytelnienia informacji osoba fizyczna zgłasza się osobiście do wybranego
organu administracji publicznej i przedkłada dokument tożsamości ze zdjęciem oraz
minimalny zakres danych identyfikujących osobę fizyczną.
2. Minimalny zakres danych identyfikujących osobę fizyczną oznacza:
1) imię i nazwisko;
2) PESEL;
3) login;
4) adres e-mail.
3. W celu uwierzytelnienia informacji osoba reprezentująca przedsiębiorcę przedkłada
wybranemu organowi administracji publicznej dokument tożsamości ze zdjęciem oraz
minimalny zakres danych identyfikujących przedsiębiorcę.
4. Minimalny zakres danych identyfikujących przedsiębiorcę oznacza:
1) nazwę (firmę spółki);
2) imię i nazwisko osoby upoważnionej do dokonywania czynności za
pośrednictwem ePUAP i w imieniu rejestrowanego przedsiębiorcy;
3) nazwę kraju i miejscowości właściwych dla siedziby spółki;
4) adres e-mail;
5) deklarację obejmującą oświadczenie osób uprawnionych do reprezentacji
przedsiębiorcy o sprawowaniu pełnej i wyłącznej kontroli nad wskazanym
kontem ePUAP;
6) Nr KRS albo REGON.
5. Pracownik organu administracji publicznej po uwierzytelnieniu informacji identyfikujących
lub opisujących osobę fizyczną lub przedsiębiorcę przypisuje status zaufanego profilu ePUAP
i zatwierdza go swoim bezpiecznym podpisem elektronicznym.

§ 8. Osoba fizyczna posiadająca kwalifikowany certyfikat może indywidualnie dokonać
uwierzytelnienia informacji ją identyfikujących lub opisujących przy użyciu tego certyfikatu.

§ 9. 1. W przypadku zmiany którejkolwiek z minimalnych danych identyfikujących osobę
fizyczną lub przedsiębiorcę, tracą oni profil zaufany ePUAP.
2. W przypadku, o którym mowa w ust. 1, osoba fizyczna lub osoba reprezentująca
przedsiębiorcę mogą dokonać ponownego uwierzytelnienia informacji, określonych w § 7 ust.
2 lub 4. Ponowne uwierzytelnienie informacji przebiega według zasad określonych w § 7.
3. W przypadku, o którym mowa w ust. 1, profil zaufany ePUAP uważa się za zachowany
jeżeli zmiana minimalnych danych identyfikujących osobę fizyczną zostanie następnie przez
nią potwierdzona przy użyciu kwalifikowanego certyfikatu.

§ 10. Minister, Zakład Ubezpieczeń Społecznych, urzędu wojewódzkie oraz urzędy skarbowe,
a także ich jednostki organizacyjne, inspektoraty i delegatury gromadzą i przetwarzają dane i
dokumenty dotyczące minimalnych danych identyfikujących przedsiębiorcę, w zakresie
niezbędnym do realizacji przepisów rozporządzenia.

§ 11. Rozporządzenie wchodzi w życie ........


MINISTER SPRAW WEWNĘTRZNYCH
I ADMINISTRACJI

4

UZASADNIENIE


Projektowane rozporządzenie wykonuje delegację ustawową, zawartą w 20a ust. 3
nowelizowanej ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne (Dz. U. z 2005 r. Nr 64, poz. 565, z późn.zm.).

Rozporządzenie reguluje tryb uzyskiwania profilu zaufanego e PUAP na platformie e PUAP.
Nowe regulacje ustawowe przewidują możliwość tworzenia i dystrybucji profilu zaufanego
ePUAP, w tym przez podmioty upoważnione do potwierdzania tego profilu.
Profil zaufany ePUAP identyfikuje nadawcę informacji i może być wykorzystywany do
uwierzytelniania przekazywanych informacji, wyłącznie na platformie ePUAP.

Rozporządzenie przewiduje, iż uwierzytelnienia informacji identyfikujących osobę fizyczną
lub podmiot, zarejestrowanych na platformie ePUAP, będą dokonywały Zakłady Ubezpieczeń
Społecznych, konsulaty, urzędu wojewódzkie oraz urzędy skarbowe, a także ich jednostki
organizacyjne, inspektoraty i delegatury. Zainteresowany uzyskaniem profilu zaufanego
ePUAP będzie mógł zgłosić się do wybranego, jednego z wymienionych podmiotów
publicznych. Ponadto przewidziano również możliwość uwierzytelnienia informacji przez
jednostkę samorządu terytorialnego. Powyższe będzie możliwe po spełnieniu przez jednostkę
samorządu terytorialnego określonych warunków organizacyjno-technicznych, wystąpieniu z
wnioskiem do ministra właściwego do spraw informatyzacji i uzyskaniu stosownego
upoważnienia.

Rozporządzenie uwzględnia dwa możliwe warianty uwierzytelniania informacji dla osób lub
podmiotów nie posiadających kwalifikowanego certyfikatu oraz dla osób lub podmiotów,
które posiadają kwalifikowany certyfikat i przeszły w związku z tym określone postępowanie
certyfikacyjne. W pierwszym przypadku osoba fizyczna lub osoba reprezentująca podmiot,
będą obowiązane zgłosić się osobiście do wybranego podmiotu publicznego i przedłożyć swój
dowód tożsamości ze zdjęciem oraz potwierdzić minimalne dane identyfikujące. Taką samą
procedurę uwierzytelnienia informacji należy zastosować, gdy ulegnie zmianie którakolwiek
z minimalnych danych, gdyż taka sytuacji powoduje automatyczną utratę profilu zaufanego
ePUAP. Natomiast w przypadku, gdy osoba fizyczna posiada certyfikat kwalifikowany będzie
mogła indywidualnie dokonać uwierzytelnienia danych ją identyfikujących i opisujących,
także w sytuacji zmiany którejkolwiek z minimalnych danych.


OCENA SKUTKÓW REGULACJI


1. Podmioty, na które wpływa projekt aktu prawnego

Regulacje zawarte w projekcie rozporządzenia bezpośrednio dotyczyć będą:
- osób fizycznych lub podmiotów, zarejestrowanych na platformie ePUAP,
zamierzających korzystać z usług świadczonych przez podmioty publiczne wyłącznie
na platformie ePUAP,
- organów uwierzytelniających lub zamierzających uwierzytelniać profil zaufany
ePUAP.



5

2. Konsultacje społeczne

W ramach konsultacji społecznych i w celu wykonania obowiązku wynikającego z
art. 5 ustawy z dnia 7 lipca 2005 r. o działalności lobbingowej w procesie stanowienia
prawa (Dz. U. Nr 169, poz. 1414 oraz z 2009 r. Nr 42, poz. 337) projekt
rozporządzenia zostanie zamieszczony w Biuletynie Informacji Publicznej na stronie
internetowej Ministerstwa Spraw Wewnętrznych i Administracji.


3. Wpływ regulacji na sektor finansów publicznych, w tym na budżet państwa i
budżety jednostek samorządu terytorialnego

Koszt wdrożenia projektowanej regulacji będzie związany głównie z
dostosowaniem podmiotów publicznych do warunków organizacyjnych i technicznych
trybu tworzenia i dystrybucji profilu zaufanego ePUAP, dlatego nie powinien być
wysoki.


4. Wpływ regulacji na rynek pracy; wpływ regulacji na konkurencyjność
gospodarki i przedsiębiorczość, w tym na funkcjonowanie przedsiębiorstw;
wpływ regulacji na sytuację i rozwój regionów.

Rozporządzenie nie będzie miało wpływu na segmenty rynku i zakłócać
mechanizmów konkurencji. Przedmiotu regulacji nie stanowią bowiem kwestie
konkurencji, monopolizacji, prywatyzacji, itp. Regulacje nie zmieniają także istoty
funkcjonowania gospodarki oraz zadań i roli przedsiębiorców.

5. Zgodność z prawem Unii Europejskiej

Proponowane regulacje nie pozostają w kolizji z przepisami obowiązującymi w
Unii Europejskiej.
6