Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Podziel się...

Ochrona zabytków w...

02 Wrzesień 2020 
Ponad 4 mln zł przeznaczył samorząd województwa podkarpackiego na dotacje dla zabytków w...

Serwis e-budownictwo

02 Wrzesień 2020 
2 sierpnia 2020 r. ruszył serwis e-budownictwo (e-budownictwo.gunb.gov.pl).

Sprawozdanie z działalności...

02 Wrzesień 2020 
W sierpniu br. Krajowa Rada Regionalnych Izb Obrachunkowych przedstawiła „Sprawozdanie z...

ePUAP a ochrona danych

Data publikacji: 03-06-2020 Autor: Małgorzata Giela

Zastosowanie adekwatnych do poziomu ryzyka środków organizacyjnych i technicznych pozwala wykazać, że administrator zapewnia odpowiedni stopień bezpieczeństwa systemu. Na ePUAP wdrożono rozwiązania umożliwiające wykazanie przestrzegania m.in. zasady ograniczonego przechowywania.

 

Każda platforma internetowa przetwarza ogromne ilości danych. Wynika to z akcji użytkowników tych systemów i może prowadzić do ich obciążenia. Tendencja ta ma miejsce także w odniesieniu do elektronicznej Platformy Usług Administracji Publicznej (ePUAP). Jak wskazuje Ministerstwo Cyfryzacji, w 2018 r. na platformie było 2,9 mln kont, w tym 2,1 mln potwierdzonych profili zaufanych1.

 

Bezpieczeństwo przetwarzania


Zgodnie z art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (DzUrz UE L 119 z 4.05.2016 r. ze zm.; dalej: rodo) każdy administrator danych osobowych wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa przetwarzania danych odpowiadający ryzyku. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn. DzU z 2020 r., poz. 346; dalej: ustawa o informatyzacji) jednoznacznie określa, że administratorem danych użytkowników ePUAP jest minister właściwy do spraw informatyzacji. Tym samym to właśnie na nim, poprzez delegację ustawową, ciąży obowiązek zapewnienia bezpiecznego przetwarzania danych w systemie. Dostosowanie środków bezpieczeństwa do stanu wiedzy technicznej, kosztów wdrożenia, charakteru, zakresu, kontekstu, celów przetwarzania, ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze musi odbyć się w taki sposób, żeby przetwarzanie nie tylko zapewniało realizację zasad ochrony danych określonych w art. 5 rodo, ale również umożliwiało administratorowi wykazanie tego.


Mając na względzie cele ePUAP oraz gromadzone w niej dane osobowe, Minister Cyfryzacji wydał rozporządzenie z dnia 10 września 2018 r. zmieniające rozporządzenie w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (DzU z 2018 r., poz. 1750), które – z dwoma wyjątkami – weszło w życie 11 września 2018 r. Tym samym zapewniony został mechanizm dostosowujący platformę w szczególności do wymogów art. 5 ust. 1 lit. e rodo, tj. zasady ograniczenia przechowywania. Trzeba jednak zauważyć, że impulsem do zmiany rozporządzenia Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (tekst jedn. DzU z 2019 r., poz. 1969; dalej: rozporządzenie ePUAP) była przede wszystkim konieczność dostosowania go do zmian w ustawie o informatyzacji, dokonanych przez ustawę z dnia 5 lipca 2018 r. o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw
(DzU z 2018 r., poz. 1544). W konsekwencji to rozdzielenie funkcjonalności profilu zaufanego ePUAP od platformy ePUAP i oddzielenie podpisu potwierdzonego profilem zaufanym ePUAP od środka identyfikacji elektronicznej, jakim jest profil zaufany, pociągnęło za sobą konieczność wprowadzenia możliwości usuwania kont nieużywanych. Ponadto od 29 września 2018 r. dostosowano sposoby identyfikacji i uwierzytelniania użytkownika ePUAP poprzez uwzględnienie przyłączenia ePUAP do krajowego węzła identyfikacji elektronicznej.


Zasada ograniczonego przechowywania


Artykuł 5 ust. 1 lit. e rodo stanowi, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. W konsekwencji po osiągnięciu celów przetwarzania dane powinny zostać usunięte albo zanonimizowane. Z uwagi na możliwość zakładania przez jednego użytkownika większej liczby kont na ePUAP doszło do tego, że często konta te nie są wykorzystywane do celu, jakim jest korzystanie z usług publicznych w formie elektronicznej. Jak wskazuje definicja zawarta w art. 3 pkt 13 ustawy o informatyzacji, ePUAP jest systemem teleinformatycznym, w którym instytucje publiczne udostępniają usługi przez pojedynczy punkt dostępowy w sieci internet. W konsekwencji celem systemu jest umożliwienie użytkownikom korzystania z udostępnionych przez organy publiczne usług online. Zgodnie zaś z § 4 ust. 1 rozporządzenia ePUAP utworzenie konta użytkownika w platformie uwarunkowane jest obowiązkiem podania imienia (imion), nazwiska, numeru PESEL (jeżeli został nadany), adresu poczty elektronicznej, numeru telefonu komórkowego oraz identyfikatora użytkownika zarejestrowanego. Identyfikator użytkownika oznacza unikalny ciąg znaków alfanumerycznych jednoznacznie identyfikujących użytkownika. Tym samym wiąże się to z przetwarzaniem na ePUAP danych osobowych użytkowników, które nie zawsze będą wykorzystywane do realizacji celu systemu teleinformatycznego. Najczęściej wynika to właś­nie z zakładania kilku kont przez jednego użytkownika, których następnie użytkownik ten nie wykorzystuje w sposób trwały.

 

[...]

 

Małgorzata Giela
koordynatorka ds. informacji publicznej, koordynatorka ds. Systemu Zarządzania Bezpieczeństwem Informacji, pełnomocnik prezydenta miasta ds. ISO w jst oraz IOD w podmiotach medycznych

Artykuł pochodzi z miesięcznika: Przetargi Publiczne

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

All rights reserved © 2019 Presscom / Miesięcznik Przetargi Publiczne