Rozporządzenie Ministra Cyfryzacjiz dnia 5 października 2016 r.w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej 1)Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 17 listopada 2015 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 1910 i 2090).

Treść rozporządzenia

Na podstawie art. 19a ust. 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne   (Dz. U. z 2014 r. poz. 1114 oraz z 2016 r. poz. 352 i 1579) zarządza się, co następuje:

§ 1.

Rozporządzenie określa:

1)

zakres i warunki korzystania z elektronicznej platformy usług administracji publicznej, zwanej dalej „ePUAP”;

2)

sposób identyfikacji i uwierzytelniania w ePUAP, w tym przy wykorzystaniu środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym banku krajowego lub innego przedsiębiorcy, zwanego dalej „podmiotem niepublicznym”;

3)

warunki organizacyjne i techniczne nieodpłatnego wykorzystywania do identyfikacji i uwierzytelniania w ePUAP środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie podmiotu niepublicznego;

4)

sposób potwierdzania spełniania warunków, o których mowa w pkt 1.

§ 2.

Użyte w rozporządzeniu określenia oznaczają:

1)

administrator podmiotu - użytkownika zarejestrowanego zarządzającego zasobami ePUAP posiadanymi przez podmiot;

2)

identyfikator podmiotu - unikalny ciąg znaków alfanumerycznych jednoznacznie identyfikujących podmiot;

3)

identyfikator użytkownika - unikalny ciąg znaków alfanumerycznych jednoznacznie identyfikujących użytkownika zarejestrowanego;

4)

konto - dane opisujące podmiot albo użytkownika zarejestrowanego wraz z zasobami ePUAP przyporządkowanymi do tego podmiotu albo użytkownika;

5)

niezaprzeczalność - brak możliwości zanegowania swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie;

6)

rozliczalność działań - funkcję ePUAP umożliwiającą przypisanie w sposób jednoznaczny działania użytkownika lub podmiotu tylko temu użytkownikowi lub podmiotowi;

7)

oznaczanie czasem - funkcję ePUAP umożliwiającą dołączanie oznaczenia czasu do danych w postaci elektronicznej logicznie powiązanych z danymi opatrzonymi podpisem lub poświadczeniem elektronicznym w chwili wykonania takiego dołączenia oraz poświadczenia elektronicznego tak powstałych danych przez ePUAP;

8)

podmiot - osobę prawną, jednostkę organizacyjną nieposiadającą osobowości prawnej albo podmiot publiczny;

9)

usługa - działanie podmiotu publicznego, polegające na wykorzystaniu przez ten podmiot ePUAP do realizacji swoich ustawowych obowiązków;

10)

usługodawca - podmiot publiczny, świadczący usługi przy użyciu ePUAP;

11)

użytkownik zarejestrowany - użytkownika posiadającego konto.

§ 3.

W celu korzystania z ePUAP użytkownik zakłada konto.

§ 4.

1.

Utworzenie konta dla użytkownika wymaga podania następujących danych:

1)

imienia (imion);

2)

nazwiska;

3)

numeru PESEL, jeżeli użytkownik posiada;

4)

adresu poczty elektronicznej;

5)

numeru telefonu komórkowego;

6)

identyfikatora użytkownika.

2.

W celu identyfikacji i uwierzytelnienia użytkownik zarejestrowany może zastosować:

1)

określone przez użytkownika identyfikator użytkownika i hasło;

2)

kwalifikowany certyfikat;

3)

środek identyfikacji elektronicznej stosowany do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego.

3.

Stopień złożoności hasła, o którym mowa w ust. 2 pkt 1, kontroluje ePUAP.

4.

Komunikaty związane z funkcjonowaniem konta przesyłane są na adres poczty elektronicznej podany przez użytkownika zarejestrowanego.

5.

W przypadku zmiany danych, o których mowa w ust. 1 pkt 1-5, użytkownik zarejestrowany jest zobowiązany do niezwłocznego dokonania odpowiednich zmian w koncie.

6.

Użytkownik zarejestrowany może usunąć swoje konto.

7.

W przypadku utraty identyfikatora użytkownika lub hasła, o których mowa w ust. 2 pkt 1, użytkownik zarejestrowany może wnioskować, za pośrednictwem ePUAP, o przesłanie na adres poczty elektronicznej, o którym mowa w ust. 1 pkt 4, odpowiednio identyfikatora użytkownika albo hasła tymczasowego. Użytkownik zarejestrowany po uwierzytelnieniu się za pomocą hasła tymczasowego określa nowe hasło, którego stopień złożoności kontroluje ePUAP.

§ 5.

1.

Utworzenie konta dla podmiotu jest dokonywane przez użytkownika zarejestrowanego działającego w imieniu podmiotu i wymaga podania:

1)

nazwy podmiotu;

2)

identyfikatora podmiotu;

3)

numeru REGON, jeżeli został nadany temu podmiotowi.

2.

Użytkownik zarejestrowany, zakładając konto dla podmiotu, staje się administratorem podmiotu.

3.

Identyfikator użytkownika i identyfikator podmiotu są wybierane przez użytkownika. Raz nadany identyfikator nie może być nadany ponownie.

4.

W przypadku zmiany danych, o których mowa w ust. 1 pkt 1, użytkownik zarejestrowany działający w imieniu podmiotu niezwłocznie dokonuje ich zmiany w koncie.

5.

Konto podmiotu może usunąć administrator tego podmiotu albo minister właściwy do spraw informatyzacji, zwany dalej „ministrem”, na wniosek podmiotu.

§ 6.

Użytkownik zarejestrowany może działać w imieniu różnych podmiotów.

§ 7.

1.

Podmiot publiczny występuje do ministra z wnioskiem o nadanie funkcjonalności podmiotu publicznego na ePUAP.

2.

Wniosek, o którym mowa w ust. 1, zawiera:

1)

oznaczenie podmiotu publicznego;

2)

imię i nazwisko osoby upoważnionej do reprezentacji podmiotu publicznego wraz z podaniem funkcji lub stanowiska;

3)

dane administratora podmiotu.

3.

Funkcjonalność podmiotu publicznego na ePUAP staje się dostępna po pozytywnym rozpatrzeniu wniosku przez ministra.

4.

Podmiotowi, o którym mowa w art. 20c ust. 3 pkt 2-4 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, zwanej dalej „ustawą”, funkcjonalność podmiotu publicznego na ePUAP jest nadawana na podstawie zgody ministra, o której mowa w art. 20c ust. 3 ustawy, w celu potwierdzania profilu zaufanego ePUAP.

§ 8.

Minister informuje na ePUAP o przerwach serwisowych w świadczeniu usług, wynikających z potrzeby dokonywania zmian i ulepszeń, a w przypadku braku takiej możliwości - przez zamieszczenie informacji o takich przerwach w Biuletynie Informacji Publicznej.

§ 9.

ePUAP udostępnia katalog usług zawierający informacje o usługach, a w szczególności:

1)

podstawę prawną usługi;

2)

nazwę usługi;

3)

nazwę usługodawcy;

4)

cel usługi;

5)

odbiorców usługi;

6)

kategorię usługi;

7)

umiejscowienie usługodawcy według podziału administracyjnego kraju.

§ 10.

1.

Podmioty publiczne mogą wykorzystywać do świadczenia usług w postaci elektronicznej w szczególności następujące funkcje ePUAP:

1)

tworzenie i obsługa dokumentów elektronicznych przez osoby fizyczne i podmioty;

2)

przesyłanie dokumentów elektronicznych;

3)

wymiana danych między ePUAP a innymi systemami teleinformatycznymi;

4)

identyfikacja użytkowników i rozliczalność ich działań;

5)

weryfikacja podpisu elektronicznego;

6)

tworzenie usług podmiotu publicznego lub usług kilku podmiotów publicznych współdziałających ze sobą, zbudowanych na podstawie dwóch lub więcej usług;

7)

obsługa płatności elektronicznych;

8)

potwierdzanie profilu zaufanego ePUAP;

9)

weryfikacja zgodności dokumentu elektronicznego z jego wzorem określonym w centralnym repozytorium wzorów dokumentów elektronicznych;

10)

wystawianie:

a)

urzędowego poświadczenia odbioru,

b)

elektronicznego poświadczenia opłaty,

c)

elektronicznego znacznika czasu
- z uwzględnieniem funkcjonalności ePUAP gwarantujących niezaprzeczalność tych poświadczeń.

2.

Podmioty, o których mowa w art. 20c ust. 3 pkt 2-4 ustawy, w celu potwierdzania profilu zaufanego ePUAP mogą wykorzystywać funkcje ePUAP, o których mowa w ust. 1.

§ 11.

1.

ePUAP może wymieniać informacje z innymi systemami teleinformatycznymi podmiotów określonych w art. 2 ust. 1 i 2 ustawy oraz podmiotów niepublicznych.

2.

Do wymiany informacji, o których mowa w ust. 1, mają zastosowanie przepisy wydane na podstawie art. 18 pkt 2 ustawy.

3.

Minister zapewnia bezpieczeństwo wymiany informacji określonych w ust. 1 przez wydanie, na wniosek podmiotu, o którym mowa w ust. 1, certyfikatu dla systemu teleinformatycznego, o którym mowa w ust. 1.

4.

Wydanie certyfikatu, o którym mowa w ust. 3, stanowi czynność materialno-techniczną.

§ 12.

1.

Wykorzystanie w ePUAP środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, wymaga:

1)

wdrożenia przez podmiot niepubliczny zabezpieczeń dotyczących co najmniej średniego poziomu zaufania, wymaganych rozporządzeniem wykonawczym Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015, str. 7), zwanym dalej „rozporządzeniem wykonawczym 2015/1502”;

2)

opracowania i ustanawiania, wdrażania i eksploatowania, monitorowania i przeglądania oraz utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18 ustawy;

3)

poddawania się przez podmiot niepubliczny niezależnemu audytowi, o którym mowa w pkt 2.4.7 załącznika do rozporządzenia wykonawczego 2015/1502, sprawdzającemu spełnianie wymagań, o których mowa w pkt 1 i 2, nie rzadziej niż raz na dwa lata;

4)

potwierdzenia przez podmiot niepubliczny tożsamości osoby, której udostępniono środki identyfikacji elektronicznej stosowane do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, na podstawie:

a)

okazanego podczas fizycznej obecności dowodu osobistego albo paszportu, który zawiera numer PESEL, albo

b)

danych pochodzących z poprawnie przeprowadzonej weryfikacji kwalifikowanego podpisu elektronicznego, przy użyciu którego osoba ta podpisała dokument elektroniczny, w którym oświadczyła, iż świadoma jest warunków i zalecanych zasad korzystania z systemu identyfikacji elektronicznej oraz wyraziła zgodę na nadanie statusu użytkownika tego systemu oraz wykorzystywanie udostępnionych środków identyfikacji elektronicznej w systemie ePUAP;

5)

przeprowadzenia testów integracyjnych w zakresie możliwości wykorzystania do identyfikacji i uwierzytelniania w ePUAP środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, zgodnie z procedurą udostępnioną w Biuletynie Informacji Publicznej na stronie podmiotowej ministra.

2.

Wymagania, o których mowa w ust. 1 pkt 1-4, uznaje się za spełnione w przypadku przedstawienia przez podmiot niepubliczny:

1)

ważnego akredytowanego certyfikatu, obejmującego w swym zakresie stosowanie środków identyfikacji elektronicznej, systemu zarządzania bezpieczeństwem informacji, albo

2)

protokołu pokontrolnego kontroli organu nadzoru, potwierdzającego wdrożenie wymogów określonych w przepisach wydanych na podstawie art. 137 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe   (Dz. U. z 2015 r. poz. 128, z późn. zm.2)Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2015 r. poz. 559, 978, 1166, 1223, 1260, 1311, 1348, 1357, 1513, 1634, 1830, 1844, 1854, 1864 i 2281 oraz z 2016 r. poz. 615, 904, 996, 1177 i 1579.), w zakresie dotyczącym zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, albo

3)

pozytywnego wyniku audytu, o którym mowa w ust. 1 pkt 3, przeprowadzonego nie wcześniej niż 15 miesięcy przed dniem złożenia przez podmiot niepubliczny wniosku do ministra o wyrażenie zgody na nieodpłatne wykorzystywanie w ePUAP środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego, albo

4)

innego dokumentu potwierdzającego spełnianie warunków, o których mowa w ust. 1.

3.

Wymaganie, o którym mowa w ust. 1 pkt 5, uznaje się za spełnione w przypadku przedstawienia pozytywnego wyniku testów integracyjnych.

§ 13.

Podmiot niepubliczny przedstawia dokumenty, o których mowa w § 12 ust. 2 i 3, na żądanie ministra.

§ 14.

Konta założone przed dniem wejścia w życie rozporządzenia stają się kontami w rozumieniu przepisów niniejszego rozporządzenia.

§ 15.

Wnioski o nadanie funkcjonalności podmiotu publicznego złożone przed dniem wejścia w życie niniejszego rozporządzenia rozpatruje się na podstawie przepisów dotychczasowych.

§ 16.

Rozporządzenie wchodzi w życie z dniem 7 października 2016 r.3)Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz. U. poz. 584), które traci moc z dniem wejścia w życie ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. poz. 1579), na podstawie art. 142 tej ustawy.
1)
Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 17 listopada 2015 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 1910 i 2090).
2)
Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2015 r. poz. 559, 978, 1166, 1223, 1260, 1311, 1348, 1357, 1513, 1634, 1830, 1844, 1854, 1864 i 2281 oraz z 2016 r. poz. 615, 904, 996, 1177 i 1579.
3)
Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz. U. poz. 584), które traci moc z dniem wejścia w życie ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. poz. 1579), na podstawie art. 142 tej ustawy.