| IFK | IRB | INFORLEX | GAZETA PRAWNA | IDEORIA | INFORORGANIZER | APLIKACJE | KARIERA | SKLEP
Jesteś tutaj: STRONA GŁÓWNA > Akty prawne

ROZPORZĄDZENIE
MINISTRA CYFRYZACJI1)

z dnia 10 września 2018 r.

w sprawie profilu zaufanego i podpisu zaufanego

Na podstawie art. 20d ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570 oraz z 2018 r. poz. 1000, 1544 i 1669) zarządza się, co następuje:

§ 1. [Zakres regulacji]

Rozporządzenie określa warunki:

1) potwierdzania, przedłużania ważności, wykorzystywania i unieważniania profilu zaufanego, w tym:

a) okres ważności profilu zaufanego,

b) zbiór danych zawartych w profilu zaufanym,

c) przypadki, w których nie dokonuje się potwierdzenia profilu zaufanego,

d) przypadki, w których profil zaufany traci ważność,

e) warunki przechowywania oraz archiwizowania dokumentów i danych bezpośrednio związanych z potwierdzeniem profilu zaufanego,

f) dane i dokumenty wymagane w procedurze potwierdzania, przedłużania ważności i unieważnienia profilu zaufanego,

g) warunki, które powinien spełniać punkt potwierdzający profil zaufany,

h) warunki organizacyjne i techniczne dla potwierdzenia profilu zaufanego oraz uwierzytelnień i autoryzacji przy nieodpłatnym wykorzystaniu środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy, zwanego dalej „podmiotem niepublicznym”,

i) sposób potwierdzania spełniania warunków, o których mowa w lit. h;

2) składania podpisu zaufanego.

§ 2. [Definicje]

Użyte w rozporządzeniu określenia oznaczają:

1) system, w którym wydawany jest profil zaufany – system teleinformatyczny, przy użyciu którego zapewniana jest obsługa publicznego systemu identyfikacji elektronicznej, w ramach którego wydawany jest profil zaufany;

2) identyfikator profilu zaufanego – unikatowy ciąg znaków alfanumerycznych jednoznacznie identyfikujących profil zaufany;

3) identyfikator użytkownika – unikatowy ciąg znaków alfanumerycznych jednoznacznie identyfikujących użytkownika systemu, w którym wydawany jest profil zaufany;

4) konto profilu zaufanego – konto osoby fizycznej, założone w systemie, w którym wydawany jest profil zaufany, umożliwiające wnioskowanie o potwierdzenie profilu zaufanego, używanie profilu zaufanego, przedłużanie ważności profilu zaufanego i unieważnianie profilu zaufanego, a także zmianę czynników uwierzytelniania;

5) konto nieużywane – konto profilu zaufanego, które nie było wykorzystywane przez użytkownika profilu zaufanego w okresie dłuższym niż 3 lata;

6) osoba wnioskująca – osobę fizyczną występującą z wnioskiem o potwierdzenie profilu zaufanego;

7) ustawa – ustawę z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;

8) punkt potwierdzający – punkt potwierdzający profil zaufany, o którym mowa w art. 20c ustawy;

9) rozporządzenie 910/2014 – rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, s. 73);

10) ePUAP – elektroniczną platformę usług administracji publicznej, w rozumieniu art. 3 pkt 13 ustawy;

11) minister – ministra właściwego do spraw informatyzacji.

§ 3. [Potwierdzenie profilu zaufanego w punkcie potwierdzającym]

1. Osoba wnioskująca o potwierdzenie profilu zaufanego w punkcie potwierdzającym składa wniosek o potwierdzenie profilu zaufanego w postaci elektronicznej, wypełniając formularz elektroniczny udostępniony w systemie, w którym wydawany jest profil zaufany. Formularz elektroniczny, o którym mowa w zdaniu pierwszym, może stanowić element udostępnionej w ePUAP usługi elektronicznej umożliwiającej założenie konta w tym systemie teleinformatycznym.

2. Jeżeli w terminie 14 dni od dnia złożenia wniosku, o którym mowa w ust. 1, nie dokonano potwierdzenia profilu zaufanego, wniosek ten jest usuwany z systemu, w którym wydawany jest profil zaufany.

§ 4. [Postępowanie w celu potwierdzenia profilu zaufanego w punkcie potwierdzającym]

1. W celu potwierdzenia profilu zaufanego w punkcie potwierdzającym osoba wnioskująca zgłasza się do wybranego przez siebie punktu potwierdzającego.

2. W punkcie potwierdzającym osoba upoważniona do potwierdzenia profilu zaufanego stwierdza tożsamość osoby wnioskującej na podstawie okazanego dokumentu tożsamości.

3. Osoba wnioskująca potwierdza wolę posiadania profilu zaufanego, opatrując podpisem własnoręcznym wydruk wniosku, o którym mowa w § 3 ust. 1, sporządzony w punkcie potwierdzającym przez osobę upoważnioną do potwierdzenia profilu zaufanego.

4. Osoba upoważniona do potwierdzenia profilu zaufanego, po pozytywnej weryfikacji tożsamości osoby wnioskującej, potwierdza profil zaufany oraz odnotowuje na wydruku wniosku dokonanie potwierdzenia.

5. Osoba upoważniona do potwierdzenia profilu zaufanego dokonuje potwierdzenia, podpisując profil zaufany osoby wnioskującej:

1) podpisem zaufanym albo

2) kwalifikowanym podpisem elektronicznym.

§ 5. [Samodzielne dokonanie potwierdzenia profilu zaufanego]

1. Osoba wnioskująca może samodzielnie dokonać potwierdzenia profilu zaufanego, odpowiednio:

1) opatrując utworzony profil zaufany kwalifikowanym podpisem elektronicznym;

2) identyfikując się i autoryzując czynność utworzenia i potwierdzenia profilu zaufanego w systemie teleinformatycznym podmiotu niepublicznego przy użyciu środka identyfikacji elektronicznej, o którym mowa w art. 20c ust. 8 ustawy.

2. Profil zaufany potwierdzony w sposób, o którym mowa w ust. 1 pkt 2, opatruje się pieczęcią elektroniczną ministra.

3. W przypadku samodzielnego potwierdzenia profilu zaufanego:

1) dane identyfikujące osobę fizyczną, o których mowa w art. 20ad ust. 1 ustawy, ustalane są automatycznie, odpowiednio do metod, o których mowa w ust. 1, na podstawie: kwalifikowanego certyfikatu podpisu elektronicznego albo środka identyfikacji elektronicznej, przy użyciu którego dokonano uwierzytelnienia osoby wnioskującej;

2) dane, o których mowa w § 8 ust. 1 pkt 6–8, określane są przez osobę wnioskującą przy użyciu formularza elektronicznego udostępnionego odpowiednio w systemie, w którym wydawany jest profil zaufany, albo w systemie teleinformatycznym podmiotu niepublicznego, o którym mowa w ust. 1 pkt 2.

§ 6. [Zakres danych oraz oświadczenia wymaganych we wniosku o potwierdzenie profilu zaufanego]

Zakres danych oraz oświadczenia wymagane we wniosku o potwierdzenie profilu zaufanego określa załącznik nr 1 do rozporządzenia.

§ 7. [Obowiązki osoby posiadającej ważny profil zaufany]

Osoba posiadająca ważny profil zaufany:

1) zapewnia poufność danych, które mogłyby być wykorzystane do identyfikacji i uwierzytelnienia w systemie teleinformatycznym przy użyciu profilu zaufanego lub złożenia podpisu zaufanego przez osoby trzecie;

2) niezwłocznie unieważnia profil zaufany w przypadku utraty częściowej lub całkowitej kontroli nad tym profilem.

§ 8. [Zakres profilu zaufanego]

1. Profil zaufany zawiera:

1) dane, o których mowa w art. 20ad ust. 1 ustawy;

2) identyfikator użytkownika;

3) identyfikator profilu zaufanego;

4) czas potwierdzenia;

5) termin ważności;

6) adres poczty elektronicznej;

7) numer telefonu komórkowego;

8) informację o wybranych przez użytkownika czynnikach uwierzytelniania, o których mowa w ust. 3.

2. Raz nadany identyfikator użytkownika nie może być nadany ponownie.

3. W przypadku potwierdzenia profilu zaufanego:

1) w punkcie potwierdzającym – profil zaufany zawiera również oznaczenie punktu potwierdzającego oraz imię i nazwisko osoby upoważnionej do potwierdzania profilu zaufanego;

2) w sposób, o którym mowa w art. 20c ust. 1 pkt 2 ustawy – profil zaufany zawiera również wskazanie, że został potwierdzony przy wykorzystaniu kwalifikowanego podpisu elektronicznego;

3) w sposób, o którym mowa w art. 20c ust. 1 pkt 3 ustawy – profil zaufany zawiera również oznaczenie systemu teleinformatycznego podmiotu niepublicznego, w którym uwierzytelnianie dokonywane jest przy użyciu środka identyfikacji elektronicznej, który posłużył do potwierdzenia profilu zaufanego.

4. Uwierzytelnienie z wykorzystaniem profilu zaufanego dokonywane jest w sposób zapewniający średni poziom bezpieczeństwa, przy wykorzystaniu co najmniej dwóch czynników uwierzytelnienia należących do co najmniej dwóch różnych kategorii, o których mowa w przepisach wydanych na podstawie art. 8 ust. 3 rozporządzenia 910/2014, przy czym:

1) jeden czynnik stanowi:

a) identyfikator użytkownika i hasło do konta profilu zaufanego albo

b) inny czynnik uwierzytelniania wymagający od osoby podlegającej uwierzytelnieniu określonej, znanej tylko tej osobie wiedzy, albo

c) dane posiadacza profilu zaufanego zweryfikowane za pomocą kwalifikowanego certyfikatu podpisu elektronicznego;

2) drugi czynnik stanowi:

a) hasło jednorazowe przesyłane na wskazany przez użytkownika numer telefonu komórkowego albo

b) inny czynnik uwierzytelniania wymagający od posiadacza profilu zaufanego wykazania się posiadaniem ustalonej uprzednio rzeczy lub urządzenia niezbędnego dla wykorzystania tego czynnika.

5. Uwierzytelnienie przy użyciu profilu zaufanego może następować również:

1) z wykorzystaniem czynników uwierzytelniania, spełniających warunki określone w ust. 4, wykorzystywanych w ramach środka identyfikacji elektronicznej, o którym mowa w art. 20c ust. 8 ustawy, stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego;

2) wyłącznie przy wykorzystaniu czynnika uwierzytelniania, o którym mowa w ust. 4 pkt 1, jeżeli przepisy prawa regulujące usługę online dopuszczają możliwość uwierzytelnienia użytkownika tej usługi w sposób zapewniający niski poziom bezpieczeństwa, o którym mowa w art. 8 ust. 2 rozporządzenia 910/2014.

6. W przypadku usług online, wymagających uwierzytelnienia użytkownika profilem zaufanym, autoryzacje wymagane w tych usługach dokonywane są przy użyciu drugiego czynnika uwierzytelnienia, o którym mowa w ust. 4 pkt 2, z uwzględnieniem czynników uwierzytelniania, o których mowa w ust. 5 pkt 1, spełniających warunki określone w ust. 4 pkt 2.

7. Posiadacz profilu zaufanego może dokonać zmiany:

1) adresu poczty elektronicznej lub numeru telefonu komórkowego – samodzielnie w systemie, w którym wydawany jest profil zaufany, autoryzując tę czynność w sposób, o którym mowa ust. 6, albo w punkcie potwierdzającym profil zaufany;

2) środka identyfikacji elektronicznej lub czynników uwierzytelniania, o których mowa w ust. 5 pkt 1 – samodzielnie w systemie podmiotu niepublicznego;

3) czynników uwierzytelniania – samodzielnie w systemie, w którym wydawany jest profil zaufany, albo w systemie teleinformatycznym podmiotu niepublicznego, o ile w systemie tym udostępniono taką możliwość.

8. Komunikaty związane z funkcjonowaniem konta profilu zaufanego przesyłane są na adres poczty elektronicznej, o którym mowa w ust. 1 pkt 6.

9. Struktura danych profilu zaufanego oraz podpisu zaufanego udostępniane są przez ministra w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.

10. W przypadku użytkownika ePUAP czynniki, o których mowa w ust. 4 pkt 1 lit. a, są tożsame z czynnikami służącymi do identyfikacji i uwierzytelniania tego użytkownika w ePUAP.

11. System, w którym wydawany jest profil zaufany, dopuszcza stosowanie wyłącznie hasła, o którym mowa w ust. 4 pkt 1 lit. a, które spełnia wymogi w zakresie stopnia złożoności oraz wymaganej częstotliwości zmian, ustalonych przez ministra.

§ 9. [Potwierdzenie i ważność profilu zaufanego]

1. Profil zaufany potwierdza się na okres trzech lat, a jego ważność może być przedłużona na taki sam okres.

2. Osoba posiadająca profil zaufany może dokonać przedłużenia jego ważności:

1) samodzielnie w systemie, w którym wydawany jest profil zaufany, potwierdzając tę czynność przy wykorzystaniu profilu zaufanego albo kwalifikowanego podpisu elektronicznego;

2) w punkcie potwierdzającym.

3. W systemie, w którym wydawany jest profil zaufany, gromadzone są dane odzwierciedlające historię kolejnych przedłużeń ważności profilu zaufanego obejmujące w szczególności czas i sposób przedłużenia.

4. Zakres danych oraz oświadczenia wymagane we wniosku o przedłużenie ważności profilu zaufanego określa załącznik nr 2 do rozporządzenia.

§ 10. [Przypadki, w których nie dokonuje się potwierdzenia profilu zaufanego]

1. Nie dokonuje się potwierdzenia profilu zaufanego w przypadku:

1) przedłożenia nieważnego dokumentu, o którym mowa w § 4 ust. 2, lub braku możliwości jednoznacznego potwierdzenia tożsamości osoby wnioskującej na podstawie okazanego dokumentu;

2) niezgodności imienia, imion lub nazwiska podanych w złożonym wniosku o potwierdzenie profilu zaufanego z danymi ustalonymi na podstawie okazanego przez wnioskodawcę dokumentu tożsamości;

3) niezgodności numeru PESEL podanego w złożonym wniosku o potwierdzenie profilu zaufanego z numerem PESEL ustalonym na podstawie okazanego przez wnioskodawcę dokumentu tożsamości;

4) niezgodności daty urodzenia ustalonej na podstawie pierwszych sześciu cyfr numeru PESEL podanego w złożonym wniosku o potwierdzenie profilu zaufanego z datą urodzenia ustaloną na podstawie okazanego przez wnioskodawcę dokumentu tożsamości – w przypadku gdy okazany dokument tożsamości nie zawiera numeru PESEL.

2. Niedokonanie potwierdzenia profilu zaufanego osoba upoważniona do potwierdzenia profilu zaufanego odnotowuje na wydruku wniosku o potwierdzenie profilu zaufanego wraz z podaniem czasu i przyczyny niedokonania potwierdzenia.

§ 11. [Utrata ważności profilu zaufanego]

1. Profil zaufany traci ważność w przypadku:

1) usunięcia konta profilu zaufanego;

2) upływu okresu, na jaki został potwierdzony albo przedłużony.

2. W przypadku zmiany adresu poczty elektronicznej, numeru telefonu komórkowego albo środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego profil zaufany jest unieważniany, a w jego miejsce automatycznie tworzony jest nowy profil zaufany powiązany z dotychczasowym kontem profilu zaufanego.

3. Osoba posiadająca profil zaufany może samodzielnie dokonać unieważnienia swojego profilu zaufanego w systemie, w którym wydawany jest profil zaufany, albo wystąpić z wnioskiem o unieważnienie profilu zaufanego.

4. W celu unieważnienia profilu zaufanego osoba posiadająca profil zaufany składa wniosek w wybranym przez siebie punkcie potwierdzającym, w którym osoba upoważniona do potwierdzenia profilu zaufanego unieważnia profil zaufany, stwierdzając uprzednio tożsamość osoby wnioskującej na podstawie okazanego dokumentu tożsamości.

5. Zakres danych oraz oświadczenia wymagane we wniosku o unieważnienie profilu zaufanego określa załącznik nr 3 do rozporządzenia.

§ 12. [Unieważnienie profilu zaufanego]

1. Profil zaufany może być unieważniony, bez udziału jego posiadacza, w przypadku:

1) wykrycia nieprawidłowości w procedurze jego potwierdzenia lub przedłużenia jego ważności;

2) wykrycia nieprawidłowości mogących mieć wpływ na rozliczalność i niezaprzeczalność działań dokonywanych z wykorzystaniem profilu zaufanego:

a) stwierdzenia lub uzasadnionych przesłanek wskazujących na wysokie prawdopodobieństwo, że dane, które mogą pozwolić na użycie profilu zaufanego, przestały być pod wyłączną kontrolą jego posiadacza,

b) wykrycia nieuprawnionego użycia profilu zaufanego;

3) wykrycia w profilu zaufanym nieprawidłowości:

a) zagrażających bezpieczeństwu lub prawidłowemu działaniu systemu, w którym wydawany jest profil zaufany,

b) wykluczających użytkowanie profilu zaufanego w sposób zapewniający poziom bezpieczeństwa, o którym mowa w § 8 ust. 4.

2. W przypadku uzasadnionego podejrzenia nieprawidłowości, o których mowa w ust. 1, dopuszcza się dokonywanie przez ministra czynności sprawdzających mających na celu potwierdzenie lub zaprzeczenie istnienia tych nieprawidłowości.

3. W toku czynności, o których mowa w ust. 2, dopuszcza się możliwość żądania od posiadacza profilu zaufanego dokonania czynności lub przekazania danych, które pozwolą na zaprzeczenie istnienia nieprawidłowości.

§ 13. [Złożenie podpisu zaufanego]

1. Złożenie podpisu zaufanego jest możliwe w okresie ważności profilu zaufanego.

2. Czynność złożenia podpisu zaufanego wymaga autoryzacji, o której mowa w § 8 ust. 6, po której następuje opatrzenie podpisywanych danych w postaci elektronicznej pieczęcią elektroniczną ministra wykorzystywaną do zapewnienia integralności podpisanych danych oraz autentyczności złożonego podpisu.

3. Weryfikacja integralności danych podpisanych przy użyciu podpisu zaufanego oraz autentyczności tego podpisu dokonywana jest za pomocą certyfikatu pieczęci elektronicznej udostępnionego przez ministra pod adresem elektronicznym wskazanym w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.

4. Osoba podejmująca czynności zmierzające do złożenia podpisu zaufanego, przed faktycznym złożeniem tego podpisu elektronicznego, informowana jest w drodze komunikatu udostępnianego w interfejsie użytkownika oprogramowania umożliwiającego złożenie takiego podpisu, że dokonuje czynności złożenia podpisu zaufanego.

§ 14. [Pełnienie funkcji punktu potwierdzającego profil zaufany]

1. Podmioty, o których mowa w art. 20c ust. 3 ustawy, mogą pełnić funkcję punktu potwierdzającego profil zaufany po uprzednim przedłożeniu ministrowi oświadczenia o spełnieniu wymagań, określonych w § 3 ust. 2 i 3 rozporządzenia Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników (Dz. U. poz. 1627), w zakresie, w jakim dotyczyć to będzie uprawnień i czynności osób upoważnionych do potwierdzania profili zaufanych.

2. Punkt potwierdzający stale zapewnia spełnienie wymagań, o których mowa w ust. 1.

3. Punkt potwierdzający, o którym mowa w art. 20c ust. 3 pkt 2–5 ustawy, w przypadku gdy nie posiada instrukcji określającej zasady i tryb postępowania z dokumentacją wydanej na podstawie ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2018 r. poz. 217, 357, 398 i 650), zapewnia wdrożenie instrukcji określającej zasady i tryb postępowania z dokumentacją związaną z potwierdzaniem, przedłużaniem ważności i unieważnianiem profilu zaufanego oraz przedkłada ministrowi kopię tego dokumentu.

4. Osoby realizujące czynności związane z potwierdzaniem profilu zaufanego działają zgodnie z procedurami zarządzania profilami zaufanymi oraz nadawania uprawnień do potwierdzania, przedłużania ważności i unieważniania profilu zaufanego zamieszczonymi w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.

§ 15. [Zadania punktu potwierdzającego]

1. Punkt potwierdzający przechowuje i archiwizuje dokumenty w postaci papierowej w zakresie potwierdzania, przedłużania i unieważniania profilu zaufanego w warunkach zapewniających:

1) zachowanie integralności dokumentów;

2) odszukanie i udostępnienie dokumentów;

3) ochronę danych osobowych zawartych w dokumentach;

4) ochronę tych dokumentów przed zniszczeniem.

2. Dokumenty w postaci elektronicznej w zakresie potwierdzania, przedłużania i unieważniania profilu zaufanego, z zachowaniem warunków określonych w ust. 1, przechowuje oraz archiwizuje minister.

3. Obowiązek przechowania dokumentów, o których mowa w ust. 1 i 2, trwa przez okres 20 lat od chwili potwierdzenia albo przedłużenia ważności profilu zaufanego lub od chwili odmowy jego potwierdzenia albo odmowy przedłużenia ważności bądź od chwili jego unieważnienia.

4. Organ lub jednostka organizacyjna przejmująca zadania, funkcje i dokumenty punktu potwierdzającego, którego działalność ustała, zapewnia spełnienie warunków, o których mowa w ust. 1 i 3. W przypadku braku następcy prawnego punktu potwierdzającego spełnienie warunków, o których mowa w ust. 1 i 3, zapewnia minister.

§ 16. [Unieważnienie profilu zaufanego]

Unieważnienie profilu zaufanego może być dokonane za pośrednictwem systemu teleinformatycznego podmiotu niepublicznego, przy użyciu środka identyfikacji elektronicznej, o którym mowa w art. 20c ust. 8 ustawy.

§ 17. [Wykorzystanie środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego do potwierdzania profilu zaufanego oraz autoryzacji]

1. Wykorzystanie środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego do potwierdzania profilu zaufanego oraz autoryzacji wymaga:

1) wdrożenia przez podmiot niepubliczny zabezpieczeń dotyczących co najmniej średniego poziomu bezpieczeństwa, wymaganych rozporządzeniem wykonawczym Komisji (UE) nr 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów bezpieczeństwa w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015, str. 7, z późn. zm.2)), zwanym dalej „rozporządzeniem wykonawczym 2015/1502”;

2) opracowania, ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wykonawczych wydanych na podstawie art. 18 ustawy;

3) poddawania się przez podmiot niepubliczny niezależnemu audytowi, o którym mowa w pkt 2.4.7 załącznika do rozporządzenia wykonawczego 2015/1502, sprawdzającemu spełnianie wymagań, o których mowa w pkt 1 i 2, nie rzadziej niż raz na dwa lata;

4) potwierdzenia przez podmiot niepubliczny tożsamości osoby, której udostępniono środki identyfikacji elektronicznej stosowane do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, na podstawie:

a) okazanego podczas fizycznej obecności dokumentu tożsamości, który zawiera numer PESEL, z zachowaniem należytej staranności w ustaleniu autentyczności dokumentu tożsamości oraz w działaniach zmierzających do zminimalizowania ryzyka, że tożsamość deklarowana przy użyciu okazanego dokumentu tożsamości jest niezgodna z faktyczną tożsamością osoby okazującej ten dokument, albo

b) danych pochodzących z poprawnie przeprowadzonej weryfikacji kwalifikowanego podpisu elektronicznego, którego certyfikat zawiera numer PESEL, przy użyciu którego osoba ta podpisała dokument elektroniczny, w którym oświadczyła, że świadoma jest warunków i zalecanych zasad korzystania z systemu identyfikacji elektronicznej, oraz wyraziła zgodę na nadanie statusu użytkownika tego systemu oraz wykorzystywanie udostępnionych środków identyfikacji elektronicznej w systemie;

5) przeprowadzenia testów integracyjnych w zakresie możliwości wykorzystania środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego do potwierdzania profilu zaufanego i autoryzacji, zgodnie z procedurą udostępnioną w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.

2. Wymagania, o których mowa w ust. 1 pkt 1–4, uznaje się za spełnione w przypadku przedstawienia przez podmiot niepubliczny:

1) ważnego akredytowanego certyfikatu, obejmującego w swym zakresie stosowanie środków identyfikacji elektronicznej, systemu zarządzania bezpieczeństwem informacji, albo

2) protokołu pokontrolnego kontroli organu nadzoru, potwierdzającego wdrożenie wymogów określonych w przepisach wydanych na podstawie art. 137 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2017 r. poz. 1876, z późn. zm.3)), w zakresie dotyczącym zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, albo

3) pozytywnego wyniku audytu, o którym mowa w ust. 1 pkt 3, przeprowadzonego nie wcześniej niż 15 miesięcy przed dniem złożenia przez podmiot niepubliczny wniosku do ministra o wyrażenie zgody na wykorzystywanie do potwierdzania profilu zaufanego środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, albo

4) innego dokumentu potwierdzającego spełnianie warunków, o których mowa w ust. 1 pkt 1–4.

3. Wymaganie, o którym mowa w ust. 1 pkt 5, uznaje się za spełnione w przypadku przedstawienia pozytywnego wyniku testów integracyjnych.

§ 18. [Przedstawienie dokumentów na żądanie ministra]

Podmiot niepubliczny przedstawia dokumenty, o których mowa w § 17 ust. 2 i 3, na żądanie ministra.

§ 19. [Brak możliwości usunięcia konta profilu zaufanego]

System, w którym wydawany jest profil zaufany, uniemożliwia usunięcie konta profilu zaufanego w przypadku, gdy prowadziłoby to do utraty kontroli użytkownika tego konta nad jego kontem w ePUAP.

§ 20. [Ustalenie kont nieużywanych]

1. Minister co najmniej raz na dwa lata dokonuje sprawdzenia mającego na celu ustalenie kont nieużywanych celem ich usunięcia.

2. W przypadku ustalenia konta nieużywanego dokonuje się dwukrotnego powiadomienia użytkownika tego konta na adres poczty elektronicznej powiązany z tym kontem profilu zaufanego, w odstępie 30 dni, o zamiarze jego usunięcia.

3. Powiadomienie, o którym mowa w ust. 2, zawiera informację dotyczącą oczekiwanych czynności, jakich posiadacz konta profilu zaufanego może dokonać na potwierdzenie woli dalszego korzystania z wskazanego konta nieużywanego.

4. W przypadku niepodjęcia przez użytkownika konta profilu zaufanego czynności, o których mowa w ust. 3, w terminie 30 dni od przesłania drugiego powiadomienia, konto nieużywane jest usuwane.

§ 21. [Zasady rozpatrywania wniosków złożonych przed dniem wejścia w życie rozporządzenia]

Wnioski o potwierdzenie, przedłużenie ważności i unieważnienie profilu zaufanego ePUAP złożone przed dniem wejścia w życie rozporządzenia są rozpatrywane na zasadach dotychczasowych.

§ 22. [Zasady rozpatrywania wniosków, o których mowa w art. 20c ust. 4 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne]

Wnioski, o których mowa w art. 20c ust. 4 ustawy, złożone przed dniem wejścia w życie rozporządzenia, są rozpatrywane na zasadach dotychczasowych.

§ 23. [Wejście w życie]

Rozporządzenie wchodzi w życie z dniem 11 września 2018 r.4)

Minister Cyfryzacji: M. Zagórski


1) Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 20 kwietnia 2018 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 761).

2) Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 345 z 20.12.2016, str. 142.

3) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2361 i 2491 oraz z 2018 r. poz. 62, 106, 138, 650, 685, 723, 864, 1000, 1075, 1499 i 1629.

4) Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz. U. poz. 1633), które traci moc z dniem wejścia w życie niniejszego rozporządzenia, na podstawie art. 61 ustawy z dnia 5 lipca 2018 r. o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw (Dz. U. poz. 1544).

Załącznik 1. [ZAKRES DANYCH ORAZ OŚWIADCZENIA WYMAGANE WE WNIOSKU O POTWIERDZENIE PROFILU ZAUFANEGO]

Załączniki do rozporządzenia Ministra Cyfryzacji
z dnia 10 września 2018 r. (poz. 1760)

Załącznik nr 1

ZAKRES DANYCH ORAZ OŚWIADCZENIA WYMAGANE WE WNIOSKU O POTWIERDZENIE PROFILU ZAUFANEGO:

1) dane dotyczące osoby wnioskującej:

a) imię (imiona),

b) nazwisko,

c) numer PESEL,

d) identyfikator użytkownika,

e) identyfikator profilu zaufanego,

f) adres poczty elektronicznej,

g) numer telefonu komórkowego,

h) wybrane czynniki uwierzytelniania;

2) oświadczenia osoby wnioskującej, że:

a) dane zawarte we wniosku są prawdziwe i aktualne,

b) zapewni poufność danych, które mogłyby być wykorzystane do identyfikacji i uwierzytelnienia w systemie teleinformatycznym przy użyciu profilu zaufanego lub złożenia podpisu zaufanego przez osoby trzecie,

c) nie udostępni konta profilu zaufanego osobom trzecim,

d) niezwłocznie unieważni profil zaufany w przypadku utraty częściowej lub całkowitej kontroli nad tym profilem;

3)1) miejscowość i data oraz czytelny podpis osoby wnioskującej;

4)1) adnotacje osoby upoważnionej do potwierdzania profilu zaufanego w imieniu punktu potwierdzającego:

a) dane dotyczące punktu potwierdzającego:

– nazwa punktu potwierdzającego,

– znak sprawy nadany w punkcie potwierdzającym,

b) dane dotyczące osoby upoważnionej do potwierdzania profilu zaufanego:

– imię,

– nazwisko,

– stanowisko służbowe,

c) w przypadku stwierdzania tożsamości osoby wnioskującej na podstawie dokumentu tożsamości niezawierającego numeru PESEL, jeżeli na jego podstawie stwierdzono tożsamość osoby wnioskującej – dane dotyczące tego dokumentu tożsamości:

– kraj wydania,

– rodzaj,

– numer,

d) informacje dotyczące potwierdzenia profilu zaufanego:

– miejscowość i data,

– czas potwierdzenia (godzina i minuta),

– czytelny podpis osoby upoważnionej do potwierdzania profilu zaufanego albo informacje o niepotwierdzeniu profilu zaufanego:

– przyczyna niepotwierdzenia,

– miejscowość i data,

– czas (godzina i minuta),

– czytelny podpis osoby upoważnionej do potwierdzania profilu zaufanego,

e) inne lub uzupełniające adnotacje.


1) Dotyczy potwierdzenia profilu zaufanego w punkcie potwierdzającym.

Załącznik 2. [ZAKRES DANYCH ORAZ OŚWIADCZENIA WYMAGANE WE WNIOSKU O PRZEDŁUŻENIE WAŻNOŚCI PROFILU ZAUFANEGO]

Załącznik nr 2

ZAKRES DANYCH ORAZ OŚWIADCZENIA WYMAGANE WE WNIOSKU O PRZEDŁUŻENIE WAŻNOŚCI PROFILU ZAUFANEGO:

1) dane dotyczące osoby wnioskującej:

a) imię (imiona),

b) nazwisko,

c) numer PESEL,

d) identyfikator użytkownika,

e) identyfikator profilu zaufanego,

f) adres poczty elektronicznej,

g) numer telefonu komórkowego,

h) wybrane czynniki uwierzytelniania;

2) oświadczenia osoby wnioskującej, że:

a) dane zawarte we wniosku są prawdziwe i aktualne,

b) zapewni poufność danych, które mogłyby być wykorzystane do identyfikacji i uwierzytelnienia w systemie teleinformatycznym przy użyciu profilu zaufanego lub złożenia podpisu zaufanego przez osoby trzecie,

c) nie udostępni konta profilu zaufanego osobom trzecim,

d) niezwłocznie unieważni profil zaufany w przypadku utraty częściowej lub całkowitej kontroli nad tym profilem;

3)1) miejscowość i data oraz czytelny podpis osoby wnioskującej;

4)1) adnotacje osoby upoważnionej do potwierdzania profilu zaufanego w imieniu punktu potwierdzającego:

a) dane dotyczące punktu potwierdzającego:

– nazwa punktu potwierdzającego,

– znak sprawy nadany w punkcie potwierdzającym,

b) dane dotyczące osoby upoważnionej do potwierdzania profilu zaufanego:

– imię,

– nazwisko,

– stanowisko służbowe,

c) informacje dotyczące przedłużenia profilu zaufanego:

– miejscowość i data,

– czas przedłużenia (godzina i minuta),

– czytelny podpis osoby upoważnionej do potwierdzania profilu zaufanego albo informacje o niedokonaniu przedłużenia profilu zaufanego,

– przyczyna niedokonania przedłużenia,

– miejscowość i data,

– czytelny podpis osoby upoważnionej do potwierdzania profilu zaufanego,

d) inne lub uzupełniające adnotacje.


1) Dotyczy przedłużenia ważności profilu zaufanego w punkcie potwierdzającym.

Załącznik 3. [ZAKRES DANYCH ORAZ OŚWIADCZENIA WYMAGANE WE WNIOSKU O UNIEWAŻNIENIE PROFILU ZAUFANEGO]

Załącznik nr 3

ZAKRES DANYCH ORAZ OŚWIADCZENIA WYMAGANE WE WNIOSKU O UNIEWAŻNIENIE PROFILU ZAUFANEGO:

1) dane dotyczące osoby wnioskującej:

a) imię (imiona),

b) nazwisko,

c) numer PESEL,

d) identyfikator użytkownika,

e) identyfikator profilu zaufanego;

2) oświadczenie osoby wnioskującej, że dane zawarte we wniosku są prawdziwe i aktualne;

3)1) miejscowość i data oraz czytelny podpis osoby wnioskującej;

4)1) adnotacje osoby upoważnionej do potwierdzania profilu zaufanego w imieniu punktu potwierdzającego:

a) dane dotyczące punktu potwierdzającego:

– nazwa punktu potwierdzającego,

– znak sprawy nadany w punkcie potwierdzającym,

b) dane dotyczące osoby upoważnionej do potwierdzania profilu zaufanego:

– imię,

– nazwisko,

– stanowisko służbowe,

c) informacje dotyczące wniosku o unieważnienie profilu zaufanego:

– data złożenia wniosku,

– czas złożenia wniosku (godzina i minuta),

d) informacje dotyczące unieważnienia profilu zaufanego:

– miejscowość i data,

– czytelny podpis osoby upoważnionej do potwierdzania profilu zaufanego,

e) inne lub uzupełniające adnotacje.


1) Dotyczy unieważnienia profilu zaufanego w punkcie potwierdzającym.

POLECANE

reklama

Ostatnio na forum

E-sprawozdania

Eksperci portalu infor.pl

MADEJCZYK KANCELARIA PRAWNA Sp. k.

Kancelaria Prawna Madejczyk świadczy usługi w zakresie obsługi klientów biznesowych i indywidualnych.

Zostań ekspertem portalu Infor.pl »