Miesięcznik informatyków i menedżerów IT sektora publicznego

Małgorzata Giela

ePUAP a ochrona danych

Zastosowanie środków adekwatnych do poziomu ryzyka pozwala wykazać, że administrator zapewnia odpowiedni stopień bezpieczeństwa systemu. Na ePUAP wdrożono rozwiązania umożliwiające wykazanie przestrzegania m.in. zasady ograniczonego przechowywania.

Każda platforma internetowa przetwarza ogromne ilości danych. Wynika to z akcji użytkowników tych systemów i może prowadzić do ich obciążenia. Tendencja ta ma miejsce także w odniesieniu do elektronicznej Platformy Usług Administracji Publicznej (ePUAP). Jak wskazuje Ministerstwo Cyfryzacji, w 2018 r. na platformie było 2,9 mln kont, w tym 2,1 mln potwierdzonych profili zaufanych.

Bezpieczeństwo przetwarzania

Zgodnie z art. 32 ogólnego rozporządzenia o ochronie danych (DzUrz UE L 119 z 04.05.2016 ze zm.; dalej: rodo) każdy administrator danych osobowych wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa przetwarzania danych odpowiadający ryzyku. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn. DzU z 2019 r., poz. 700 ze zm.; dalej: ustawa o informatyzacji) jednoznacznie określa, że administratorem danych użytkowników ePUAP jest minister właściwy do spraw informatyzacji. Tym samym to właśnie na nim, poprzez delegację ustawową, ciąży obowiązek zapewnienia bezpiecznego przetwarzania danych w systemie. Dostosowanie środków bezpieczeństwa do stanu wiedzy technicznej, kosztów wdrożenia, charakteru, zakresu, kontekstu, celów przetwarzania, ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze musi odbyć się nie tylko w taki sposób, żeby przetwarzanie zapewniało realizację zasad ochrony danych określonych w art. 5 rodo, ale również aby umożliwiało administratorowi wykazanie tego.

Minister Cyfryzacji wydał rozporządzenie z dnia 10 września 2018 r. zmieniające rozporządzenie w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (DzU z 2018 r., poz. 1750), które – z dwoma wyjątkami – weszło w życie 11 września 2018 r. Tym samym zapewniony został mechanizm dostosowujący platformę w szczególności do wymogów art. 5 ust. 1 lit. e rodo, tj. zasady ograniczenia przechowywania. Trzeba jednak zauważyć, że impulsem do zmiany rozporządzenia Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (tekst jedn. DzU z 2019 r., poz. 1969; dalej: rozporządzenie ePUAP) była przede wszystkim konieczność dostosowania go do zmian w ustawie o informatyzacji, dokonanych przez ustawę z dnia 5 lipca 2018 r. o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw (DzU z 2018 r., poz. 1544). W konsekwencji to rozdzielenie funkcjonalności profilu zaufanego ePUAP od platformy ePUAP i oddzielenie podpisu potwierdzonego profilem zaufanym ePUAP od środka identyfikacji elektronicznej, jakim jest profil zaufany, pociągnęło za sobą wprowadzenie możliwości usuwania kont nieużywanych. Ponadto od 29 września 2018 r. dostosowano sposoby identyfikacji i uwierzytelniania użytkownika ePUAP poprzez uwzględnienie przyłączenia ePUAP do krajowego węzła identyfikacji elektronicznej.

[...]

Autorka jest koordynatorką ds. Informacji Publicznej, koordynatorką ds. Systemu Zarządzania Bezpieczeństwem Informacji, pełnomocnikiem prezydenta miasta ds. ISO w jednostce samorządu terytorialnego oraz Inspektorem Ochrony Danych w podmiotach medycznych. Posiada certyfikat Audytora Wiodącego Systemu Zarządzania Bezpieczeństwem Informacji wg ISO 27001:2017 (CQI and IRCA) oraz Audytora Wewnętrznego Systemu Zarządzania Jakością wg ISO 9001:2015.


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej