10238 ΕΞ 2020
Αυθεντικοποίηση Χρηστών για τη χρήση των ηλεκτρονικών υπηρεσιών της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης είτε μέσω των διαπιστευτηρίων της Γενικής Γραμματείας Πληροφοριακών Συστημάτων της Δημόσιας Διοίκησης είτε μέσω των διαπιστευτηρίων των Πιστωτικών Ιδρυμάτων

(ΦΕΚ Β’ 1611/27-04-2020)

Ο ΥΠΟΥΡΓΟΣ ΕΠΙΚΡΑΤΕΙΑΣ

Έχοντας υπόψη:

1. Τις διατάξεις:
α) Του ν. 3979/2011 «Για την ηλεκτρονική διακυβέρνηση και λοιπές διατάξεις» (Α’ 138), όπως ισχύει,
β) του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (L 119/1),
γ) του ν. 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της  Οδηγίας  (ΕΕ)  2016/680» (Α’ 137), όπως ισχύει,
δ) του ν. 4537/2018 «Ενσωμάτωση στην ελληνική νομοθεσία της Οδηγίας 2015/2366/ΕΕ για τις υπηρεσίες πληρωμών και άλλες διατάξεις» (Α’ 84), όπως ισχύει,
ε) του ν. 4577/2018 «Ενσωμάτωση στην ελληνική νομοθεσία της Οδηγίας 2016/1148/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση και άλλες διατάξεις» (Α’ 199), όπως ισχύει,
στ) του άρθ. 52 του ν. 4635/2019 «Επενδύω στην Ελλάδα και άλλες διατάξεις» (Α’ 167), όπως ισχύει,
ζ) της από 20.3.2020 Πράξης Νομοθετικού Περιεχομένου (Α’ 68), ιδίως την παρ. 3 του εικοστού πέμπτου άρθρου, όπως κυρώθηκε με το άρθρο 1 του ν. 4683/2020 (Α’83) και τροποποιήθηκε με το τριακοστό όγδοο άρθρο της από 13.04.2020 Πράξης Νομοθετικού Περιεχομένου (Α’ 84),
η) του π.δ. 81/2019 «Σύσταση, συγχώνευση, μετονομασία και κατάργηση Υπουργείων και καθορισμός των αρμοδιοτήτων τους Μεταφορά υπηρεσιών και αρμοδιοτήτων μεταξύ Υπουργείων» (Α’ 119),
θ) του π.δ. 83/2019 «Διορισμός Αντιπροέδρου της Κυβέρνησης, Υπουργών, Αναπληρωτών Υπουργών και Υφυπουργών (Α’ 121),
ι) του π.δ. 40/2020 «Οργανισμός του Υπουργείου Ψηφιακής Διακυβέρνησης» (Α’ 85),
ια) του άρθρου 90 του Κώδικα Νομοθεσίας για την Κυβέρνηση και τα κυβερνητικά όργανα, ο οποίος κυρώθηκε με το άρθρο 1 του π.δ. 63/2005 (Α’ 98).

2. Την αριθμ. Υ6/2019 απόφαση του Πρωθυπουργού «Ανάθεση αρμοδιοτήτων στον Υπουργό Επικρατείας» (Β’ 2902).

3. Την αριθμ. 118944 ΕΞ 2019 απόφαση του Υπουργού Επικρατείας «Λειτουργία Κέντρου Διαλειτουργικότητας της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης» (Β’ 3990).

4. Την αριθμ. 3981 ΕΞ 2020 απόφαση του Υπουργού Επικρατείας «Παροχή Υπηρεσίας Αυθεντικοποίησης Χρηστών oAuth2.0 σε Πληροφοριακά Συστήματα τρίτων Φορέων» (Β’ 762).

5. Την αριθμ. 157/02.04.2019 απόφαση της Εκτελεστικής Επιτροπής της Τράπεζας της Ελλάδος «Υιοθέτηση των κατευθυντηρίων γραμμών της Ευρωπαϊκής Αρχής Τραπεζών σχετικά με τα μέτρα ασφάλειας για τους λειτουργικούς κινδύνους και τους κινδύνους ασφάλειας που σχετίζονται με τις υπηρεσίες πληρωμών» (Β’ 1646), όπως ισχύει.

6. Τον κατ’ εξουσιοδότηση Κανονισμό (ΕΕ) 2018/389 της Επιτροπής της 27ης Νοεμβρίου 2017 για τη συμπλήρωση της οδηγίας (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά ρυθμιστικά τεχνικά πρότυπα για την αυστηρή εξακρίβωση ταυτότητας πελάτη και τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας (L 69/23).

7. Την ανάγκη παροχής βελτιωμένου επιπέδου ηλεκτρονικών υπηρεσιών προς τους πολίτες και τις επιχειρήσεις μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης με τη χρήση διαδικτυακών υπηρεσιών αυθεντικοποίησης, μέσω των υποδομών των πιστωτικών ιδρυμάτων που πληρούν τις εγγυήσεις ασφάλειας του ν. 4537/2018 (Α’ 84), με στόχο την επίτευξη ενός ασφαλούς και έμπιστου περιβάλλοντος για την ορθή διεκπεραίωση των υπηρεσιών αυτών.

8. Την ανάγκη διασφάλισης ορθής χρήσης των ηλεκτρονικών υπηρεσιών της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης και ειδικότερα της ηλεκτρονικής υπεύθυνης δήλωσης και της ηλεκτρονικής εξουσιοδότησης. Το Υπουργείο Ψηφιακής Διακυβέρνησης βεβαιώνεται περί της ταυτότητας του χρήστη που εισέρχεται στις ηλεκτρονικές υπηρεσίες, της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης εφόσον έχει προηγηθεί η ταυτοποίηση του χρήστη είτε μέσω των κωδικών/διαπιστευτηρίων της Γ.Γ.Π.Σ.Δ.Δ. είτε μέσω των κωδικών/ διαπιστευτηρίων των πιστωτικών ιδρυμάτων.

9. Το γεγονός ότι από την έκδοση της παρούσας απόφασης δεν προκαλείται δαπάνη σε βάρος του κρατικού προϋπολογισμού,

αποφασίζουμε:

Άρθρο 1

Οι χρήστες της Ενιαίας Ψηφιακής Πύλης αποκτούν πρόσβαση στις υπηρεσίες της, αφού προηγουμένως προβούν σε επαλήθευση/επιβεβαίωση της ταυτότητάς τους (αυθεντικοποίηση) με χρήση των κωδικών-διαπιστευτηρίων είτε της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης (taxisnet) είτε των συστημάτων ηλεκτρονικής τραπεζικής (e-banking) των πιστωτικών ιδρυμάτων όπως ορίζονται στο στοιχείο 1 της παρ. 1 του άρθρου 4 του Κανονισμού (ΕΕ) αριθ. 575/2013 (ΕΕ L 176), περιλαμβανομένων των υποκαταστημάτων τους, όπως ορίζονται στο στοιχείο 17 της παρ. 1 του άρθρου 4 του εν λόγω Κανονισμού, όταν τα υποκαταστήματα αυτά βρίσκονται στην Ελλάδα είτε η έδρα τους βρίσκεται εντός της Ευρωπαϊκής Ένωσης είτε σύμφωνα με το άρθρο 36 του ν. 4261/2014 (Α’ 107), σε τρίτη χώρα, καθώς και του Ταμείου Παρακαταθηκών και Δανείων.

Άρθρο 2
Θέματα χρηστών και διαπιστευτηρίων

1. Στην έννοια των χρηστών περιλαμβάνονται τα φυσικά πρόσωπα που δρουν είτε ατομικά για τα ίδια είτε με την ιδιότητα του νόμιμου εκπροσώπου νομικού προσώπου ή νομικής οντότητας.

2. Για την επιτυχή ολοκλήρωση της αυθεντικοποίησης, το φυσικό πρόσωπο χρησιμοποιεί αποκλειστικά τους προσωπικούς κωδικούς-διαπιστευτήρια που του έχουν αποδοθεί είτε από την Γ.Γ.Π.Σ.Δ.Δ. είτε από τα πιστωτικά ιδρύματα του άρθρου 1 της παρούσας. Στην περίπτωση που χρησιμοποιηθούν τυχόν κωδικοί-διαπιστευτήρια φυσικού προσώπου, τα οποία έχουν αποδοθεί σε αυτό από τα πιστωτικά ιδρύματα στο πλαίσιο της εκπροσώπησης νομικού προσώπου ή νομικής οντότητας η διαδικασία της αυθεντικοποίησης διακόπτεται.

Άρθρο 3
Διαδικασία Αυθεντικοποίησης Χρηστών μέσω διαπιστευτηρίων της Γ.Γ.Π.Σ.Δ.Δ.

Η επαλήθευση/επιβεβαίωση της ταυτότητας (αυθεντικοποίηση) κάθε χρήστη της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης μπορεί μετά από επιλογή του χρήστη να βασίζεται στα διαπιστευτήρια της Γ.Γ.Π.Σ.Δ.Δ. (taxisnet), σύμφωνα με την διαδικασία που ρυθμίζεται στην αριθμ. 3981ΕΞ2020 απόφαση του Υπουργού Επικρατείας «Παροχή Υπηρεσίας Αυθεντικοποίησης Χρηστών oAuth2.0 σε Πληροφοριακά Συστήματα τρίτων Φορέων» (Β’ 762).

Άρθρο 4
Διαδικασία Αυθεντικοποίησης Χρηστών μέσω διαπιστευτηρίων των πιστωτικών ιδρυμάτων

1. Η επαλήθευση/επιβεβαίωση της ταυτότητας (αυθεντικοποίηση) κάθε χρήστη της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης, μπορεί μετά από επιλογή του χρήστη να βασίζεται στα διαπιστευτήρια των πιστωτικών ιδρυμάτων (όπως ορίζονται στο άρθ. 1 της παρούσας) που του έχουν χορηγηθεί για τις ηλεκτρονικές υπηρεσίες πληρωμών που αυτός χρησιμοποιεί. Συγκεκριμένα, ο χρήστης της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης μπορεί να χρησιμοποιήσει τους κωδικούς ηλεκτρονικής τραπεζικής (e-banking) του πιστωτικού ιδρύματος της επιλογής του, με σκοπό τη χρήση των υπηρεσιών της ηλεκτρονικής υπεύθυνης δήλωσης και της ηλεκτρονικής εξουσιοδότησης.

2. Για την κάλυψη των βασικών απαιτήσεων ασφάλειας της αυθεντικοποίησης του χρήστη της περίπτωσης της προηγούμενης παραγράφου εφαρμόζονται αναλογικά τα όσα ορίζονται στο άρθ. 96 του ν. 4537/2018 (Α’84) που ενσωμάτωσε την Οδηγία (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (L 337/35), καθώς και στον κατ’ εξουσιοδότηση Κανονισμό (ΕΕ) 2018/389 της Επιτροπής (L 69/23) και χρησιμοποιείται η ισχυρή αυθεντικοποίηση των χρηστών βασισμένη σε  δύο ή περισσότερα στοιχεία που αφορούν γνώση, κατοχή και κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη. Ειδικότερα, χρησιμοποιούνται πολλαπλοί παράγοντες αυθεντικοποίησης (multi factor authentication), όπως η χρήση των προσωπικών κωδικών εισόδου του χρήστη ηλεκτρονικών υπηρεσιών πληρωμών και η παράλληλη εφαρμογή κωδικών μιας χρήσης (όπως ενδεικτικά One Time Password ΟΤΡ που αποστέλλονται στο κινητό τηλέφωνο του χρήστη, Push Notifications, Tokens).

3. Κατά την διαδικασία της παρούσας απόφασης, ο χρήστης εισέρχεται στην Ενιαία Ψηφιακή Πύλη της Δημόσιας Διοίκησης, επιλέγει την υπηρεσία που επιθυμεί και την αυθεντικοποίηση μέσω πιστωτικού ιδρύματος και κατόπιν μεταφέρεται στο περιβάλλον ηλεκτρονικών υπηρεσιών πληρωμών του πιστωτικού ιδρύματος της επιλογής του, όπου προβαίνει σε ισχυρή αυθεντικοποίηση με την καταχώριση α) των προσωπικών κωδικών εισόδου που του έχει χορηγήσει το πιστωτικό ίδρυμα και β) του κωδικού μιας χρήσης (ενδεικτικά ΟΤΡ, Push Notifications, Tokens) που του αποστέλλει το πληροφοριακό σύστημα του πιστωτικού ιδρύματος. Κατόπιν, ο χρήστης ενημερώνεται για την διαβίβαση από το πιστωτικό ίδρυμα στο Υπουργείο Ψηφιακής Διακυβέρνησης των εξής δεδομένων προσωπικού χαρακτήρα:
– Όνομα
– Επώνυμο
– Αριθμό Φορολογικού Μητρώου (ΑΦΜ)
– Αριθμό κινητού τηλεφώνου (εφόσον υπάρχει και χρησιμοποιείται από τον χρήστη για την διαδικασία αυθεντικοποίησης του από το πιστωτικό ίδρυμα),
όπως τα δεδομένα αυτά είναι καταχωρημένα στο πιστωτικό ίδρυμα κατά τον χρόνο της διαβίβασης στο Υπουργείο Ψηφιακής Διακυβέρνησης.

4. Μετά την επιτυχή ολοκλήρωση της διαδικασίας της προηγούμενης παραγράφου, ο χρήστης μεταφέρεται εκ νέου στο περιβάλλον της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης.

Άρθρο 5
Επεξεργασία προσωπικών δεδομένων

Κατά την επεξεργασία των προσωπικών δεδομένων το Υπουργείο Ψηφιακής Διακυβέρνησης είναι Υπεύθυνος επεξεργασίας. Τα πιστωτικά ιδρύματα, όπως αυτά ορίζονται στο άρθρο 1 της παρούσας, είναι Ανεξάρτητοι Υπεύθυνοι Επεξεργασίας. Η νομιμοποιητική βάση για την επεξεργασία των προσωπικών δεδομένων είναι το εικοστό πέμπτο άρθρο της από 20.03.2020 Πράξης Νομοθετικού Περιεχομένου (Α’ 68), όπως κυρώθηκε με το άρθρο 1 του ν. 4683/2020 (Α’ 83) και τροποποιήθηκε με το τριακοστό όγδοο άρθρο της από 13.04.2020 Πράξης Νομοθετικού Περιεχομένου (Α’ 84).

Άρθρο 6
Οργανωτικά μέτρα των πιστωτικών ιδρυμάτων για την ασφάλεια και προστασία δεδομένων προσωπικού χαρακτήρα

1. Η ανωτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα πιστωτικά ιδρύματα, που ορίζονται στο άρθ. 1 της παρούσας, γίνεται για σκοπούς αυθεντικοποίησης των χρηστών και ασφαλούς χρήσης των υπηρεσιών της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης, πραγματοποιείται δε σύμφωνα με τα οριζόμενα στον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (L 119/1), τον ν. 4624/2019 (Α’ 137) και τον ν. 4537/2018 (Α’ 84). Το φυσικό πρόσωπο ενημερώνεται για τη διαβίβαση από το πιστωτικό ίδρυμα στο Υπουργείο Ψηφιακής Διακυβέρνησης των δεδομένων της παρ. 3 του άρθ. 4 της παρούσας, πριν την πραγματοποίηση της διαβίβασης.

2. Για τους σκοπούς της παρούσας, ισχύουν αναλογικά οι απαιτήσεις ασφαλείας και οι υποχρεώσεις των πιστωτικών ιδρυμάτων, όπως αυτές ορίζονται στο άρθ. 96 του ν. 4537/2018 (Α’ 84) και την αριθμ. 157/02.04.2019 (Β’1646) απόφαση της Εκτελεστικής Επιτροπής της Τράπεζας της Ελλάδος, όπως ισχύουν.

Άρθρο 7
Οργανωτικά μέτρα του Υπουργείου Ψηφιακής Διακυβέρνησης για την ασφάλεια και προστασία δεδομένων προσωπικού χαρακτήρα

1. Το Υπουργείο Ψηφιακής Διακυβέρνησης και ειδικότερα η Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης έχει την υποχρέωση λήψης και διαρκούς τήρησης των κατάλληλων και αναγκαίων τεχνικών και οργανωτικών μέτρων ασφάλειας των λαμβανόμενων πληροφοριών και, κατ’ελάχιστον, την καταγραφή και παρακολούθηση των προσβάσεων, τη διασφάλιση ιχνηλασιμότητας και την προστασία των διακινούμενων δεδομένων από κάθε παραβίαση, καθώς και από σκόπιμη ή τυχαία απειλή.

2. Η επεξεργασία των δεδομένων της παρ. 3 του άρθ. 4 της παρούσας διενεργείται σύμφωνα με το ισχύον Πλαίσιο Ασφάλειας Πληροφοριακών Συστημάτων της Γ.Γ.Π.Σ.Δ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης και τις διατάξεις περί προστασίας δεδομένων προσωπικού χαρακτήρα.

3. Η λήψη του αριθμού κινητού τηλεφώνου του χρήστη όπως περιγράφεται στην παρ. 3 του άρθ. 4 της παρούσας θα χρησιμοποιηθεί α) για τον έλεγχο της ταύτισης του αριθμού επικοινωνίας που δηλώνεται στην εξουσιοδότηση και την υπεύθυνη δήλωση με τον αριθμό κινητού τηλεφώνου που έχει διαβιβαστεί από τα πιστωτικά ιδρύματα και σε περίπτωση που δεν ταυτίζονται η διαδικασία διακόπτεται και β) κατά την διαδικασία αυθεντικοποίησης του χρήστη για την αποστολή κωδικών μιας χρήσης (ενδεικτικά ΟΤΡ, Push Notifications, Tokens) από το Υπουργείο Ψηφιακής Διακυβέρνησης προς τον χρήστη κατά τη ολοκλήρωση της χρήσης υπηρεσίας υπεύθυνης δήλωσης ή εξουσιοδότησης της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης.

4. Ο αριθμός κινητού τηλεφώνου μπορεί να χρησιμοποιηθεί από το Υπουργείο Ψηφιακής Διακυβέρνησης, και ιδίως από την Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης, για την παροχή υπηρεσιών αυθεντικοποίησης με την χρήση πολλαπλών παραγόντων αυθεντικοποίησης (multi factor authentication) για την πρόσβαση σε άλλες υπηρεσίες της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης.

5. Τα διαπιστευτήρια του χρήστη στα συστήματα ηλεκτρονικής τραπεζικής (e-banking) των πιστωτικών ιδρυμάτων δεν γίνονται γνωστά στο Υπουργείο Ψηφιακής Διακυβέρνησης.

6. Στα πιστωτικά ιδρύματα του άρθ. 1 της παρούσας δεν διαβιβάζεται μέσω της διαδικασίας αυθεντικοποίησης του χρήστη από το Υπουργείο Ψηφιακής Διακυβέρνησης, κανένα δεδομένο προσωπικού χαρακτήρα. Επισημαίνεται ότι σε καμία περίπτωση τα πιστωτικά ιδρύματα του άρθ. 1 της παρούσας δεν λαμβάνουν γνώση του περιεχομένου της ηλεκτρονικής υπεύθυνης δήλωσης και της ηλεκτρονικής εξουσιοδότησης και εν γένει της υπηρεσίας της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης, της οποίας ο χρήστης κάνει χρήση κατόπιν της αυθεντικοποίησής του κατά τα οριζόμενα στην παρούσα.

Άρθρο 8
Έναρξη ισχύος

Η απόφαση αυτή αρχίζει να ισχύει από τη δημοσίευσή της στην Εφημερίδα της Κυβερνήσεως.

Η απόφαση αυτή να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως.

Μοσχάτο, 27 Απριλίου 2020

Ο Υπουργός
ΚΥΡΙΑΚΟΣ ΠΙΕΡΡΑΚΑΚΗΣ