Art. 96 O usługach zaufania oraz identyfikacji elektronicznej
O usługach zaufania oraz identyfikacji elektronicznej
Artykuł 96.
W ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114 oraz z 2016 r. poz. 352) wprowadza się następujące zmiany:
- w art. 3:
- pkt 15 otrzymuje brzmienie:
„15) podpis potwierdzony profilem zaufanym ePUAP – podpis elektroniczny złożony przez użytkownika konta ePUAP, do którego zostały dołączone informacje identyfikujące zawarte w profilu zaufanym ePUAP, a także:
- jednoznacznie wskazujący profil zaufany ePUAP osoby, która wykonała podpis,
- zawierający czas wykonania podpisu,
- jednoznacznie identyfikujący konto ePUAP osoby, która wykonała podpis,
- autoryzowany przez użytkownika konta ePUAP,
- opatrzony i chroniony pieczęcią elektroniczną wykorzystywaną w ePUAP w celu zapewnienia integralności i autentyczności wykonania operacji przez system ePUAP;”,
- jednoznacznie wskazujący profil zaufany ePUAP osoby, która wykonała podpis,
- uchyla się pkt 16,
- w pkt 26 kropkę zastępuje się średnikiem i dodaje się pkt 27 w brzmieniu:
„27) autoryzacja – przydzielenie osobie fizycznej lub prawnej, uprawnień w systemie teleinformatycznym po jej pozytywnym uwierzytelnieniu lub potwierdzenie woli realizacji czynności w postaci elektronicznej przez uwierzytelnionego użytkownika za pomocą dodatkowych danych.”;
- pkt 15 otrzymuje brzmienie:
- w art. 19a:
- po ust. 2 dodaje się ust. 2a–2c w brzmieniu:
„2a. Minister właściwy do spraw informatyzacji, na wniosek banku krajowego lub innego przedsiębiorcy, udziela zgody na nieodpłatne wykorzystywanie do identyfikacji i uwierzytelniania w ePUAP środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy, po spełnieniu przez bank krajowy lub innego przedsiębiorcę warunków, o których mowa w przepisach wydanych na podstawie ust. 3.
2b. Minister właściwy do spraw informatyzacji może sprawdzać, czy bank krajowy lub inny przedsiębiorca, o którym mowa w ust. 1, spełnia warunki, o których mowa w przepisach wydanych na podstawie ust. 3.
2c. Minister właściwy do spraw informatyzacji cofa zgodę, o której mowa w ust. 2a, w przypadku gdy bank krajowy lub inny przedsiębiorca nie spełnia warunków określonych w przepisach wydanych na podstawie ust. 3.”,
- ust. 3 otrzymuje brzmienie:
- po ust. 2 dodaje się ust. 2a–2c w brzmieniu:
„3. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia:
- zakres i warunki korzystania z ePUAP,
- sposób identyfikacji i uwierzytelniania w ePUAP, w tym przy wykorzystaniu środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy,
- warunki organizacyjne i techniczne nieodpłatnego wykorzystywania do identyfikacji i uwierzytelniania w ePUAP środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy,
4) sposób potwierdzania spełniania warunków, o których mowa w pkt 1
– z uwzględnieniem roli ePUAP w procesie realizacji zadań publicznych drogą elektroniczną oraz zasad przetwarzania danych osobowych.”;
- w art. 19b ust. 3 otrzymuje brzmienie:
„3. Organy administracji publicznej przekazują do centralnego repozytorium oraz udostępniają w Biuletynie Informacji Publicznej wzory dokumentów elektronicznych. Przy sporządzaniu wzorów dokumentów elektronicznych stosuje się międzynarodowe standardy dotyczące sporządzania dokumentów elektronicznych przez organy administracji publicznej, z uwzględnieniem konieczności podpisywania ich kwalifikowanym podpisem elektronicznym.”;
- w art. 20a:
- ust. 1 otrzymuje brzmienie:
„1. Uwierzytelnienie użytkowników systemu teleinformatycznego korzystających z usług online udostępnianych przez podmioty określone w art. 2 wymaga:
- użycia notyfikowanego środka identyfikacji elektronicznej, adekwatnie do poziomu bezpieczeństwa wymaganego dla usług świadczonych w ramach tych systemów, lub
- profilu zaufanego ePUAP, lub
- danych weryfikowanych za pomocą kwalifikowanego certyfikatu podpisu elektronicznego.”,
- użycia notyfikowanego środka identyfikacji elektronicznej, adekwatnie do poziomu bezpieczeństwa wymaganego dla usług świadczonych w ramach tych systemów, lub
- w ust. 3:
- pkt 1 otrzymuje brzmienie:
„1) szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny słu- żący do wydania certyfikatu oraz stosowania technologii, o których mowa w ust. 2, w tym:
- zakres i okres przechowywania danych w systemie,
- obowiązki informacyjne, do których zobowiązany jest administrator systemu,”,
- zakres i okres przechowywania danych w systemie,
- w pkt 2:
- – wprowadzenie do wyliczenia otrzymuje brzmienie:
„zasady i warunki potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego ePUAP, w tym:”,
- – lit. f otrzymuje brzmienie:
„f) warunki składania podpisu potwierdzonego profilem zaufanym ePUAP oraz autoryzacji przy nieodpłatnym wykorzystaniu środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy,”,
- – w lit. i dodaje się przecinek i dodaje się lit. j i k w brzmieniu:
- „j) warunki organizacyjne i techniczne dla potwierdzania profilu zaufanego ePUAP oraz autoryzacji przy nieodpłatnym wykorzystaniu środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy,
k) sposób potwierdzania spełniania warunków, o których mowa w lit. j”;
- ust. 1 otrzymuje brzmienie:
- w art. 20c:
- ust. 1 otrzymuje brzmienie:
„1. Potwierdzenia profilu zaufanego ePUAP, które polega na weryfikacji zgodności danych zawartych w profilu użytkownika ze stanem faktycznym oraz nadaniu uprawnień wynikających z posiadania profilu zaufanego ePUAP, jak również przedłużenia ważności i unieważnienia profilu zaufanego ePUAP dokonuje:
- punkt potwierdzający profil zaufany ePUAP;
- samodzielnie osoba fizyczna występująca z wnioskiem o potwierdzenie, podpisanym kwalifikowanym podpisem elektronicznym, w przypadku gdy kwalifikowany certyfikat podpisu elektronicznego zawiera dane obejmujące co najmniej:
- imię,
- nazwisko,
- numer PESEL;
- imię,
- samodzielnie osoba fizyczna występująca z wnioskiem o potwierdzenie, przy nieodpłatnym wykorzystaniu środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy spełniającym warunki, o których mowa w art. 20a ust. 3 pkt 2, o ile środek ten potwierdza dane obejmujące co najmniej:
- imię,
- nazwisko,
- numer PESEL.”,
- imię,
- punkt potwierdzający profil zaufany ePUAP;
- dodaje się ust. 8–10 w brzmieniu:
- ust. 1 otrzymuje brzmienie:
„8. Minister właściwy do spraw informatyzacji, na wniosek banku krajowego lub innego przedsiębiorcy, udziela zgody na nieodpłatne wykorzystywanie środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy do potwierdzania profilu zaufanego ePUAP w sposób, o którym mowa w ust. 1 pkt 3, oraz do autoryzacji związanych z jego wykorzystaniem, po spełnieniu przez bank krajowy lub innego przedsiębiorcę warunków, o których mowa w przepisach wydanych na podstawie art. 20a ust. 3 pkt 2.
- Minister właściwy do spraw informatyzacji może sprawdzać, czy bank krajowy lub inny przedsiębiorca, o którym mowa w ust. 8, spełnia warunki, o których mowa w przepisach wydanych na podstawie art. 20a ust. 3 pkt 2.
- Minister właściwy do spraw informatyzacji cofa zgodę, o której mowa w ust. 8, w przypadku gdy bank krajowy lub inny przedsiębiorca nie spełnia warunków określonych w przepisach wydanych na podstawie art. 20a ust. 3 pkt 2.”.