§ 3
Dz.U. 2020 poz. 399
Treść przepisu
§ 3.
1.
System teleinformatyczny przetwarzający dane dotyczące tożsamości użytkowników wykorzystywany
przez podmioty publiczne do uwierzytelniania użytkowników w oparciu o inne technologie
niż certyfikat:
1)
rejestruje użytkowników;
2)
potwierdza tożsamość użytkowników;
3)
przechowuje i udostępnia dane identyfikacyjne użytkowników systemom autoryzującym
uprawnionym do ich otrzymania;
4)
umożliwia zablokowanie konta użytkownika na jego żądanie;
5)
zapewnia rozliczalność, rozumianą jako przypisanie określonego działania w systemie
do osoby fizycznej lub procesu oraz umiejscowienie ich w czasie;
6)
zapewnia integralność, autentyczność i poufność danych identyfikacyjnych i uwierzytelniających
użytkownika;
7)
zapewnia codzienną synchronizację czasu systemowego z czasem uniwersalnym koordynowanym
UTC(PL).
2.
System, o którym mowa w ust. 1, przechowuje dane dotyczące tożsamości użytkownika
przez okres 20 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym
wykonano w systemie ostatnią operację z użyciem tożsamości tego użytkownika.
3.
System, o którym mowa w ust. 1, spełnia następujące warunki techniczne i organizacyjne
w zakresie administrowania:
1)
zapewnianie wiarygodności procesu rejestracji użytkowników i potwierdzania ich tożsamości;
2)
utrzymywanie w aktualnym stanie dokumentacji operacyjnej i technicznej systemu, w
celu zapewnienia jego bezpiecznej eksploatacji;
3)
opracowywanie i ustanawianie, wdrażanie i eksploatowanie, monitorowanie i przeglądanie
oraz utrzymywanie i doskonalenie systemu zarządzania bezpieczeństwem informacji spełniającego
wymagania Polskiej Normy PN-EN ISO/IEC 27001, o którym mowa w przepisach wydanych
na podstawie art. 18 ustawy.
4.
Warunki określone w ust. 3 uważa się za spełnione, jeżeli:
1)
system zarządzania bezpieczeństwem informacji, o którym mowa w ust. 3 pkt 3, został
oceniony pozytywnie przez jednostkę oceniającą zgodność, zgodnie z ustawą z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku
(Dz. U. z 2019 r. poz. 544), albo
2)
administrator systemu, o którym mowa w ust. 1, udostępnił deklarację o spełnieniu
wymagań określonych w ust. 3:
a)
w Biuletynie Informacji Publicznej albo
b)
na stronie internetowej administratora - w przypadku podmiotów niezobowiązanych do
udostępniania informacji publicznej w Biuletynie Informacji Publicznej.
Źródło: Internetowy System Aktów Prawnych — ISAP (isap.sejm.gov.pl), pozyskano 12.07.2026. · PDF źródłowy