Rząd przyjął projekt przepisów mających zapewnić, że dokumenty cyfrowe – z pewnymi wyjątkami – będą uznawane na równi z tradycyjnymi.
Ustawa o aplikacji mObywatel (UD394) stwarza też podstawy prawne do umieszczania na tej platformie nowych usług przez urzędy, instytucje, samorządy terytorialne itp.
Tytułowy mObywatel to „dokument mobilny stwierdzający tożsamość i obywatelstwo polskie” w relacjach „wzajemnej fizycznej obecności stron” na terytorium Polski. Znajduje się on w aplikacji o tej samej nazwie, w której udostępniane są też inne usługi, np. obecnie elektroniczne recepty czy prawo jazdy.
Oprócz potwierdzenia tożsamości i uwierzytelnienia profilu zaufanego ustawa umożliwi dokonywanie w tej aplikacji płatności za usługi w niej świadczone. Da też m.in. dostęp do usług e-Urzędu Skarbowego.
Najnowsza wersja projektu (z 23 lutego 2023 r., gdy przyjął go Stały Komitet Rady Ministrów) została wyraźnie zmodyfikowana wobec poprzednich, choć wiele uwag zgłaszanych w procesie konsultacji i tak nie uwzględniono.
Zakład Ubezpieczeń Społecznych zgłosił np. wątpliwości co do przepisów dotyczących potwierdzania tożsamości (w opiniowanym projekcie były w art. 2, obecnie w art. 7). Chodziło o to, że dokument mObywatel nie może być wykorzystywany do potwierdzenia tożsamości, „gdy ze względu na cel i skutki prawne potwierdzenia tożsamości poziom pewności i bezpieczeństwa takiego sposobu potwierdzenia tożsamości jest niewystarczający”. Równocześnie stwierdzono jednak w projekcie, że „jest dokumentem stwierdzającym tożsamość i obywatelstwo polskie”. Dlatego ZUS chciał doprecyzowania, „w jakich sytuacjach dokument nie będzie mógł być wykorzystany i kto ma ocenić, czy poziom pewności i bezpieczeństwa takiego sposobu potwierdzenia tożsamości jest wystarczający”.
Autorzy projektu uznali uwagę za wyjaśnioną, odpowiadając m.in., że podniesiona kwestia dotyczy „jedynie wyjątkowych, szczególnych przypadków stanowiących odstępstwo od ogólnej reguły wykorzystywania mObywatela jako dokumentu tożsamości”. W najnowszej wersji projektu dopisano też wprost, że „dokument mObywatel nie uprawnia do przekraczania granicy państwowej” (art. 7 ust. 5 pkt 1). Wcześniej planowano umieścić to wykluczenie w rozporządzeniu wykonawczym.
Liczne uwagi do projektu zgłosił Urząd Ochrony Danych Osobowych. Dotyczyły m.in. nieostrych przepisów o współadministrowaniu danymi użytkowników aplikacji przez ministra właściwego ds. informatyzacji i inne podmioty udostępniające tam swoje usługi. Projekt nie określa bowiem zamkniętego katalogu tych usług ani przetwarzanych w związku z tym danych. Część tej materii ma być regulowana w rozporządzeniach zamiast w ustawie.
„Część przepisów proponowanych w projektowanej ustawie jest fundamentalnie sprzecznych z zasadami przetwarzania danych” określonymi w RODO – stwierdził urząd. Autorzy ustawy uznali jego uwagi za wyjaśnione. Ich obszerne stanowisko na ten temat kończy się stwierdzeniem, że „co do zasady w przepisach nie wskazuje się podmiotów przetwarzających” dane, „stąd rola Ministra Cyfryzacji jako podmiotu przetwarzającego będzie uzgadniana z administratorem danych”.
UODO uważa swoje uwagi w większości za nieuwzględnione i 20 lutego na komisji prawniczej określił projekt ustawy jako „nieuzgodniony”.
Wyjaśniona, czyli de facto odrzucona, została też większość uwag zgłoszonych przez Związek Banków Polskich. Chciał on m.in. uregulowania kwestii odpowiedzialności odszkodowawczej dostawców e-tożsamości w razie jej kradzieży lub przywłaszczenia (ok. 90 proc. użytkowników aplikacji wymagających e-tożsamości identyfikuje się za pomocą bankowości elektronicznej). Autorzy ustawy odłożyli temat do rozpatrzenia „poza zakresem prac” nad tym projektem.
Z kolei Polska Izba Informatyki i Telekomunikacji (PIIT) ze względów cyberbezpieczeństwa postulowała dodanie obowiązku zabezpieczenia mObywatela mechanizmami kryptograficznymi. Zdaniem autorów projektu „ujęcie tego elementu w ustawie byłoby nieefektywne”, bo zabezpieczenia są stale podwyższane. ©℗
Współpraca Tomasz Ciechoński
Etap legislacyjny
Projekt przyjęty przez Radę Ministrów
