Projekt ustawy o pl.ID po Radzie Ministrów

W trakcie dzisiejszego posiedzenia Rady Ministrów rząd przyjął projekt ustawy o dowodach osobistych, przedłożony przez ministra spraw wewnętrznych i administracji. Projekt został przygotowany na podstawie przyjętych przez rząd 28 grudnia zeszłego roku założeń (por. Kto zostawia odciski na projekcie założeń projektu ustawy o dowodach osobistych). W dowodach osobistych będzie podpis elektroniczny, chociaż - jak się to "sprzedaje" - podpis taki pozwoli raczej tylko na "dokonywanie czynności prawnych w urzędach administracji publicznej", chociaż nie przewidziano zakazu stosowania takiego podpisu w innych celach. Jeśli chodzi o biometrię - na razie nie przewiduje się dodatkowych elementów, ale... Jest też kwestia udostępniania "w trybie pełnej teletransmisji danych"...

W BIP MSWiA dostępne są: Projekt założeń projektu ustawy o dowodach osobistych (jak czytamy na tej stronie - "w brzmieniu przyjętym przez Radę Ministrów w dniu 28 grudnia 2009 r.", chociaż sam załączony plik PDF datowany jest na 29 grudnia) oraz Projekt ustawy o dowodach osobistych (skierowany do rozpatrzenia przez Radę Ministrów) (jest też wcześniejsza wersja projektu).

Ustawa ma określić:

• osoby uprawnione lub obowiązane do posiadania dowodu osobistego;
• zakres danych zawartych w dowodzie osobistym;
• zasady funkcjonowania warstwy elektronicznej dowodu osobistego;
• zasady wydawania dowodu osobistego;
• zasady wymiany i unieważniania dowodu osobistego;
• zakres danych gromadzonych w rejestrach dowodów osobistych oraz zasady prowadzenia tych rejestrów;
• zasady postępowania z dokumentacją dotyczącą dowodów osobistych;
• zasady udostępniania danych gromadzonych w rejestrach dowodów osobistych;
• kompetencje ministra właściwego do spraw wewnętrznych, wojewodów, organów gmin oraz konsulów Rzeczypospolitej Polskiej, w zakresie wydawania dowodów osobistych.

W projekcie zdefiniowano m.in. pojęcie "certyfikat dowodu osobistego", które oznaczać ma "elektroniczne zaświadczenie przyporządkowujące dane do weryfikacji informacji uwierzytelniającej do dowodu osobistego". "Certyfikat ograniczonej identyfikacji" to - wedle projektu - "elektroniczne zaświadczenie nieujawniające tożsamości posiadacza dowodu osobistego, ale gwarantujące, że uwierzytelnienia dokonano za pomocą dowodu osobistego". Jest też pojęcie "certyfikat podpisu osobistego", rozumiane jako "elektroniczne zaświadczenie przyporządkowujące dane do weryfikacji podpisu osobistego do posiadacza dowodu osobistego". Projekt przewiduje ogółem 17 różnych definicji, z czego interesująca jest definicja pojęcia "podpisu osobistego":

podpis osobisty – dane w postaci elektronicznej złożone za pomocą danych do składania podpisu osobistego zawartych w ważnym dowodzie osobistym, które:

a) wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane pozwalają na identyfikację posiadacza dowodu osobistego,

b) są przyporządkowane wyłącznie do posiadacza dowodu osobistego,

c) są powiązane z danymi, do których się odnoszą w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna,

d) są uzupełnione przez ministra właściwego do spraw wewnętrznych danymi pozwalającymi na określenie czasu złożenia tego podpisu;

Taki podpis - wedle uzasadnienia - ma "ułatwić i usprawnić kontakt obywatela z organami administracji". Pytanie, czy będzie mógł również być wykorzystany w relacjach horyzontalnych między obywatelami (por. również Zapowiada się wojna o podpis elektroniczny (Przyjazne Państwo vs. Ministerstwo Gospodarki))? Jeśli taki podpis wystarczy do tego, by opatrzeć nim przesyłany drogą elektroniczną do organu administracji dokument, to właściwie dlaczego nie miałby być wykorzystany również w innych celach? Otóż jest tu problemik, chociaż MSWiA i legislatorzy próbują wybrnać z niego dopuszczając:

zapewnienie możliwości implementacji kwalifikowanego podpisu elektronicznego przez podmiot zewnętrzny w warstwie elektronicznej dowodu osobistego;

Firmy na rynku podpisu elektronicznego trochę zainwestowały, więc dlaczego im teraz psuć rynek? "Do rozwiązań przyjętych w niniejszym projekcie nie będzie się stosowało przepisów ustawy z dnia 18 września 2001 r. o podpisie elektronicznym pisze MSWiA w uzasadnieniu. I dalej:

Jako generalną zasadę należy przyjąć, że jakkolwiek nie jest nakładany zakaz wykorzystania podpisu osobistego poza obszarem publicznym, to Państwo nie bierze na siebie żadnej odpowiedzialności za użytkowanie podpisu osobistego w tym obszarze. Podejście to wynika z zastosowania odmiennej oceny ryzyka w stosunkach cywilno-prawnych niż w stosunkach pomiędzy osobą fizyczną a podmiotami publicznymi (art. 21 projektu).

Być może jednak da się obejść firmy działające na rynku "bezpiecznego podpisu elektronicznego weryfikowanego za pomocą ważnego, kwalifikowanego certyfikatu"... Przypuszczam, że w Sejmie będzie na ten temat duża dyskusja. Zgodnie z art. 13 ust. 1 projektu:

Warstwa elektroniczna dowodu osobistego zawiera:

1) dane zamieszczone w warstwie graficznej dowodu osobistego zapisane w formie elektronicznej wraz z danymi je uwierzytelniającymi;

2) dane służące do składania informacji uwierzytelniającej opatrzonej certyfikatem dowodu osobistego, dane służące do składania podpisu
osobistego opatrzonego certyfikatem podpisu osobistego oraz dane służące do dokonania ograniczonej identyfikacji opatrzone certyfikatem ograniczonej identyfikacji;

3) przestrzeń umożliwiającą zamieszczenie danych służących do składania bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy
kwalifikowanego certyfikatu na podstawie ustawy z dnia 18 września 2001 r. o podpisie elektronicznym;

4) przestrzeń umożliwiającą zamieszczenie danych służących do wykorzystania dowodu osobistego jako karty ubezpieczenia zdrowotnego w rozumieniu ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz.U. z 2008 r Nr 164, poz. 1072 z późn. zm.)

Odnośnie biometrii w uzasadnieniu czytamy:

Wydawanie dowodu osobistego wyłącznie dla jednej osoby oraz zawierającego dane wyłącznie tej osoby stanowi realizację zasady jedna osoba – jeden dokument. Wzór dla przyjętego rozwiązania stanowi rozporządzenie Rady (WE) Nr 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez Państwa Członkowskie (...) Nie oznacza to jednak obowiązku wprowadzenia danych biometrycznych do dowodów osobistych. Na gruncie powołanego wyżej rozporządzenia kategoria dokumentów podróży nie jest tożsama z kategorią dowodów osobistych. Wprawdzie dowód osobisty będzie dokumentem uprawniającym obywateli polskich do przekraczania granic państw trzecich, które na podstawie jednostronnych decyzji uznają ten dokument za wystarczający do przekraczania ich granicy (np. Chorwacja, Bośnia i Hercegowina), jednakże nie jako dokument podróży, ale jako narodowy dokument potwierdzający tożsamość i obywatelstwo osoby.

Nie ma obowiązku. Czy jest możliwość? Obowiązek a możliwość to nie to samo.

Proponując lekturę całości projektu ustawy (30 stron), oceny skutków regulacji (10 stron; tu na uwagę zasługuje fakt, że wśród wymienionych w OSR podmiotów, na które oddziałuje projekt aktu prawnego, nie wymienia się działających na "rynku podpisu elektronicznego" firm) oraz całości uzasadnienia (19 stron) zacytuję jeszcze jeden fragment z tego ostatniego:

Znacznie zawężono, w stosunku do obecnie obowiązujących przepisów ustawy o ewidencji ludności i dowodach osobistych, katalog podmiotów, które będą miały bezpośredni dostęp do danych zgromadzonych w Rejestrze Dowodów Osobistych, wyłącznie do organów czy służb, którym dane zamieszczone w tym rejestrze będą niezbędne do prowadzenia postępowań dotyczących dowodu osobistego (przede wszystkim związanych z prowadzonym śledztwem, czy dochodzeniem). Przyjęte rozwiązanie jest konsekwencją zapisów projektu ustawy o ewidencji ludności, który umożliwia innym podmiotom uzyskanie danych dotyczących osoby, w tym danych dotyczących ostatniego wydanego dowodu osobistego z rejestru PESEL. W celu usprawnienia prowadzonych postępowań dotyczących dowodów osobistych przewidziano także dostęp określonych organów do dokumentacji związanej z wydawaniem dowodów osobistych zgromadzonej w organach gmin, placówkach konsularnych Rzeczypospolitej Polskiej i urzędach stanu cywilnego w postaci papierowej i elektronicznej. Odmowa udostępnienia danych nastąpi w drodze decyzji administracyjnej.

W tym kontekście odwołuje czytelników do materiału opublikowanego w serwisie pod tytułem: Seminarium o publicznych bazach danych przy okazji pl.ID (wideo). Tam m.in. nagrania wypowiedzi Dyrektora Departamentu Informatyzacji MSWiA, dr Wojciecha Wiewiórowskiego, w trakcie seminarium zorganizowanego przez Fundacje Panoptykon.

OK. Zacytuję jeszcze jeden projektowany przepis, tj. art. 70:

Art. 70. 1. W trybie pełnej teletransmisji danych udostępnia się nieodpłatnie, za pomocą urządzeń teletransmisji danych, dane zawarte w Rejestrze Dowodów Osobistych.

2. Udostępnianie danych w trybie pełnej teletransmisji danych odbywa się na podstawie decyzji ministra wydanej na jednorazowy wniosek złożony przez uprawniony podmiot, jeżeli uzyskanie danych jest uzasadnione zakresem wykonywanych zadań, po spełnieniu następujących wymogów:

1) posiadania i stosowania mechanizmów umożliwiających identyfikację i rejestrację osób uzyskujących dostęp do danych oraz rejestrujących zakres udostępnionych danych i datę udostępnienia danych;

2) posiadania i stosowania zabezpieczeń technicznych i organizacyjnych chroniących przed uzyskaniem dostępu do danych przez inne osoby i podmioty.

3. Do korzystania z danych udostępnianych w trybie pełnej teletransmisji, w zakresie niezbędnym do realizacji zadań określonych w ustawach szczególnych, uprawnione są:

1) organy prokuratury;
2) organy Policji;
3) Komendant Główny Straży Granicznej;
4) Szef Służby Wywiadu Wojskowego;
5) Szef Służby Kontrwywiadu Wojskowego;
6) organy Służby Celnej;
7) Żandarmeria Wojskowa;
8) Szef Agencji Bezpieczeństwa Wewnętrznego;
9) Szef Agencji Wywiadu;
10) Szef Centralnego Biura Antykorupcyjnego;
11) Szef Krajowego Centrum Informacji Kryminalnych;
12) wywiad skarbowy;
13) minister właściwy do spraw finansów publicznych;
14) organy informacji finansowej.

W projekcie jest wiele interesujących przepisów i pewnie nie wszystkie mogłyby być zgrabnie opisane w komunikacie po dzisiejszym posiedzeniu rządu, w którym czytamy:

Projekt ustawy przewiduje wprowadzenie elektronicznego dokumentu tożsamości. Dowód elektroniczny będzie miał taki sam status prawny, jak tradycyjny dowód osobisty.

Nowy dokument zostanie wprowadzony w celu zapewnienia bezpieczeństwa transakcji zawieranych drogą elektroniczną. Taki dowód osobisty, jako dokument potwierdzający tożsamość, przyczyni się do wzrostu bezpieczeństwa obrotu prawnego oraz usprawni kontakt obywatela z administracją publiczną.

Zaproponowane przepisy przewidują, że każdy obywatel będzie miał możliwość posługiwania się dowodem osobistym w celu składania podpisu elektronicznego, pozwalającego na dokonywanie czynności prawnych w urzędach administracji publicznej. Z podpisu nie będą mogły skorzystać m.in. osoby małoletnie, które nie posiadają zdolności do czynności prawnych.

Nowy dowód osobisty będzie uwierzytelniał posiadacza w systemach teleinformatycznych podmiotów publicznych oraz przy dostępie do rejestrów publicznych, np. rejestru usług medycznych prowadzonego przez Narodowy Fundusz Zdrowia.

Zgodnie z projektem, obywatele będą mogli złożyć wniosek o wydanie dowodu osobistego w dowolnej gminie na terenie kraju, jak również drogą elektroniczną. Nowy system wydawania dowodów osobistych zapewni spójność i bezpieczeństwo systemu, wiarygodność dokumentów, współpracę rejestrów publicznych oraz zgodność dowodu ze standardami międzynarodowymi. Równocześnie z dowodem będą wydawane dane służące do składania podpisu elektronicznego.

Zaproponowano, aby prawo do dowodu osobistego przysługiwało obywatelowi polskiemu z chwilą urodzenia. Nowe rozwiązanie umożliwi weryfikację danych dzieci w rejestrach państwowych, np. związanych z ochroną zdrowia, nauką czy ubezpieczeniem społecznym. Ponadto, dzieci poniżej 13 lat będą mogły przebywać na terenie pozostałych państw Unii Europejskiej i grupy Schengen bez paszportu. Zaproponowano 10-letni termin ważności dla dokumentów wydawanych dzieciom powyżej 5 lat oraz 5-letni termin dla dzieci poniżej 5 lat.

Organy uczestniczące w wydawaniu dowodów osobistych będą miały dostęp do centralnego rejestru dowodów osobistych. Przyjmuje się, że dokumenty osób, które zmieniły dane zostaną wycofane z obiegu prawnego. Określone mają być zasady unieważniania dowodów osobistych. Przepływ informacji będzie się odbywać w drodze bezpiecznej transmisji teleinformatycznej, z uwzględnieniem wykorzystania internetu, a ich przetwarzanie ma być oparte o formularze elektroniczne.

Projekt przewiduje także, że firma zewnętrzna będzie mogła zapisać kwalifikowany podpis elektroniczny w warstwie elektronicznej dowodu osobistego. Zgodnie z założeniami, system ma zapewniać ochronę warstwy elektronicznej dowodu osobistego przed nieuprawnionym dostępem oraz próbami utworzenia funkcjonalnej kopii jego warstwy elektronicznej.

Zaproponowano, aby nowe przepisy dotyczące elektronicznego dowodu osobistego zaczęły obowiązywać od początku 2011 r.