29810 ΕΞ 23-10-2020

Διαδικασία αυθεντικοποίησης υπαλλήλων του δημοσίου τομέα σε ψηφιακές δημόσιες υπηρεσίες

23 Οκτ 2020

Taxheaven.gr
Αριθμ. 29810 ΕΞ2020

(ΦΕΚ Β' 4798/30-10-2020)

Ο ΥΠΟΥΡΓΟΣ ΕΠΙΚΡΑΤΕΙΑΣ

Έχοντας υπόψη:

Α. Τις διατάξεις:
1. Τα άρθρα 31, 84 και παρ. 23 και 50 του άρθρου 107 του ν. 4727/2020 «Ψηφιακή Διακυβέρνηση (Ενσωμάτωση στην Ελληνική Νομοθεσία της Οδηγίας (ΕΕ) 2016/2102 και της Οδηγίας (ΕΕ) 2019/1024) Ηλεκτρονικές Επικοινωνίες (Ενσωμάτωση στο Ελληνικό Δίκαιο της Οδηγίας (ΕΕ) 2018/1972) και άλλες διατάξεις» (Α΄ 184).
2. Του ν. 4623/2019 «Ρυθμίσεις του Υπουργείου Εσωτερικών, διατάξεις για την ψηφιακή διακυβέρνηση, συνταξιοδοτικές ρυθμίσεις και άλλα επείγοντα ζητήματα» (Α΄ 134), όπως ισχύει.
3. Του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ.
4. Του ν. 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680» (Α΄ 137).
5. Του ν. 3845/2010 «Μέτρα για την εφαρμογή του μηχανισμού στήριξης της ελληνικής οικονομίας από τα κράτη - μέλη της Ζώνης του ευρώ και το Διεθνές Νομισματικό Ταμείο» (Α΄ 65), όπως ισχύει.
6. Του άρθρου 37 του ν. 4389/2016 «Επείγουσες διατάξεις για την εφαρμογή της συμφωνίας δημοσιονομικών στόχων και διαρθρωτικών μεταρρυθμίσεων και άλλες διατάξεις» (Α΄ 94), όπως ισχύει.
7. Του ν. 3469/2006 «Εθνικό Τυπογραφείο, Εφημερίς της Κυβερνήσεως και λοιπές διατάξεις» (Α΄ 131).
8. Του π.δ. 81/2019 «Σύσταση, συγχώνευση, μετονομασία και κατάργηση Υπουργείων και καθορισμός των αρμοδιοτήτων τους Μεταφορά υπηρεσιών και αρμοδιοτήτων μεταξύ Υπουργείων» (Α΄ 119).
9. Του π.δ. 83/2019 «Διορισμός Αντιπροέδρου της Κυβέρνησης, Υπουργών, Αναπληρωτών Υπουργών και Υφυπουργών (Α΄ 121).
10. Του π.δ. 40/2020 «Οργανισμός του Υπουργείου Ψηφιακής Διακυβέρνησης» (Α΄ 85).
11. Του άρθρου 90 του Κώδικα Νομοθεσίας για την Κυβέρνηση και τα κυβερνητικά όργανα, ο οποίος κυρώθηκε με το άρθρο 1 του π.δ. 63/2005 (Α΄ 98).

Β. Την υπό στοιχεία Υ6/2019 απόφαση του Πρωθυπουργού «Ανάθεση αρμοδιοτήτων στον Υπουργό Επικρατείας» (Β΄ 2902).

Γ. Την υπό στοιχεία 118944 ΕΞ 23-10-2019 απόφαση του Υπουργού Επικρατείας «Λειτουργία Κέντρου Διαλειτουργικότητας της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης» (Β΄ 3990).

Δ. Την υπό στοιχεία 3981 ΕΞ 25-02-2020 απόφαση του Υπουργού Επικρατείας «Παροχή υπηρεσίας Αυθεντικοποίησης Χρηστών Oauth2.0 σε Πληροφοριακά Συστήματα Τρίτων Φορέων (Β΄ 762).

Ε. Την ανάγκη προσδιορισμού της διαδικασίας δημιουργίας και χρήσης ειδικών κωδικών διαπιστευτηρίων αυθεντικοποίησης δημοσίων υπαλλήλων για την παροχή ψηφιακών δημοσίων υπηρεσιών από τους φορείς του δημόσιου τομέα, την έκδοση δημοσίων εγγράφων από τους φορείς αυτούς και την εκπλήρωση αιτημάτων που υποβάλλονται από φυσικά ή νομικά πρόσωπα ή νομικές οντότητες.

ΣΤ. Το γεγονός ότι από την έκδοση της παρούσας απόφασης δεν προκαλείται δαπάνη σε βάρος του κρατικού προϋπολογισμού,

αποφασίζουμε:

Άρθρο 1
Υπηρεσία αυθεντικοποίησης Χρηστών Δημόσιας Διοίκησης (oAuth2.0.PA)


1. Oι φορείς του δημοσίου τομέα δύνανται να αξιοποιούν ειδική υπηρεσία αυθεντικοποίησης για την είσοδο των υπαλλήλων τους στις ψηφιακές εφαρμογές κατά την άσκηση των υπηρεσιακών τους καθηκόντων, η οποία φέρει τίτλο «Υπηρεσία αυθεντικοποίησης Χρηστών Δημόσιας Διοίκησης oAuth2.0.PA».

2. Στους φορείς του δημοσίου τομέα περιλαμβάνονται όσοι χαρακτηρίζονται ως τέτοιοι στην παρ. 57 του άρθρου 2 του ν. 4727/2020. Χρήστες της υπηρεσίας αυθεντικοποίησης μπορεί να είναι δημόσιοι λειτουργοί, δημόσιοι υπάλληλοι (πολιτικοί, στρατιωτικοί και δικαστικοί), καθώς και το πάσης φύσεως προσωπικό των φορέων του δημοσίου τομέα.

3. Η υπηρεσία συνίσταται στη δημιουργία και χρήση ειδικών κωδικών διαπιστευτηρίων και παρέχεται από τη Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (Γ.Γ.Π.Σ.Δ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης, η οποία αποθηκεύει και τηρεί τους κωδικούς στις υποδομές της.

4. Οι κωδικοί διαπιστευτήρια αποδίδονται στους χρήστες, προκειμένου για την είσοδο σε ψηφιακές δημόσιες υπηρεσίες, στις οποίες έχουν δικαίωμα πρόσβασης δυνάμει ειδικής εξουσιοδότησης από τον φορέα απασχόλησης τους.

5. Η υπηρεσία αυθεντικοποίησης μπορεί να αξιοποιείται για κάθε εσωτερική ή εξωτερική ψηφιακή εφαρμογή ή πληροφοριακό σύστημα, το οποίο διαχειρίζεται ο εκάστοτε φορέας για την παροχή ψηφιακών δημοσίων υπηρεσιών από αυτόν, καθώς και για την έκδοση δημοσίων εγγράφων και την εκπλήρωση αιτημάτων που υποβάλλονται από φυσικά ή νομικά πρόσωπα ή νομικές οντότητες με ηλεκτρονικό ή μη τρόπο, που γίνεται από τους δημοσίους φορείς με μερικώς ή πλήρως αυτοματοποιημένο τρόπο με την υποστήριξη ΤΠΕ.

Άρθρο 2
Δημιουργία και διαχείριση κωδικών διαπιστευτηρίων στην εφαρμογή «Κωδικοί Δημόσιας Διοίκησης»


1. Η υπηρεσία αυθεντικοποίησης λειτουργεί με τη χρήση κωδικών διαπιστευτηρίων που δημιουργούνται στην εφαρμογή «Κωδικοί Δημόσιας Διοίκησης» της Γ.Γ.Π.Σ.Δ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης.

2. Για τη δημιουργία κωδικών διαπιστευτηρίων, ο υπάλληλος συνδέεται με τη χρήση των κωδικών διαπιστευτηρίων της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (κωδικοί TAXISnet) στην εφαρμογή «Κωδικοί Δημόσιας Διοίκησης» και αιτείται τη δημιουργία υπηρεσιακού λογαριασμού. Ο υπάλληλος καλείται να επιλέξει όνομα χρήστη και κωδικό πρόσβασης (κωδικοί διαπιστευτήρια), σύμφωνα με τις προδιαγραφές ασφαλείας της εφαρμογής.

3. Η εφαρμογή αντλεί από το φορολογικό μητρώο που διαχειρίζεται η ΑΑΔΕ, αποθηκεύει στον νέο λογαριασμό τον ΑΦΜ, το ονοματεπώνυμο, το πατρώνυμο, το μητρώνυμο και την ημερομηνία γέννησης του υπαλλήλου.

4. Πριν την ολοκλήρωση της δημιουργίας λογαριασμού, η εφαρμογή επαληθεύει την ιδιότητα του χρήστη ως υπαλλήλου του φορέα μέσω διαλειτουργικότητας με το Μητρώο Ανθρώπινου Δυναμικού Ελληνικού Δημοσίου (ΑΠΟΓΡΑΦΗ) του Υπουργείου Εσωτερικών.

5. Η εφαρμογή παρέχει στον κάτοχο του λογαριασμού δυνατότητα αλλαγής του κωδικού πρόσβασης (password).

6. Σε περίπτωση απώλειας των κωδικών διαπιστευτηρίων δημόσιας διοίκησης, ο υπάλληλος μπορεί να συνδεθεί στην εφαρμογή «Κωδικοί Δημόσιας Διοίκησης» για να ανακτήσει το όνομα χρήστη και να θέσει εκ νέου τον κωδικό πρόσβασης.

7. Η εφαρμογή παρέχει στον κάτοχο του λογαριασμού τη δυνατότητα απενεργοποίησης του λογαριασμού και εκ νέου ενεργοποίησης του.

8. Η πρόσβαση στην εφαρμογή «Κωδικοί Δημόσιας Διοίκησης» για δημιουργία, απενεργοποίηση, ενεργοποίηση λογαριασμού και αλλαγή κωδικού πρόσβασης γίνεται με αυθεντικοποίηση δύο παραγόντων, εφόσον έχει προηγηθεί πιστοποίηση δεύτερου παράγοντα ταυτοποίησης για τον υπάλληλο στον μηχανισμό αυθεντικοποίησης της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης.

9. Σε περίπτωση λύσης της σχέσης του υπαλλήλου με τον φορέα του δημοσίου τομέα ή σε κάθε άλλη περίπτωση που ενδείκνυται να παύσει η δυνατότητα πρόσβασης του υπαλλήλου στις ψηφιακές δημόσιες υπηρεσίες, όπου χρησιμοποιούνται οι κωδικοί διαπιστευτήρια δημόσιας διοίκησης της παρούσας, η αρμόδια Διεύθυνση Προσωπικού υποβάλλει έγγραφο αίτημα απενεργοποίησης του λογαριασμού του υπαλλήλου προς τη Διεύθυνση Υποστήριξης Λειτουργίας Συστημάτων Δημόσιας Διοίκησης της Γ.Γ.Π.Σ.Δ.Δ. Στο έγγραφο αίτημα απενεργοποίησης πρέπει να περιλαμβάνονται, κατ’ελάχιστον, ο ΑΦΜ και το ονοματεπώνυμο του υπαλλήλου. Η Διεύθυνση Υποστήριξης Λειτουργίας Συστημάτων Δημόσιας Διοίκησης της Γ.Γ.Π.Σ.Δ.Δ. απενεργοποιεί τους κωδικούς του υπαλλήλου. Σε αυτή την περίπτωση, η εκ νέου ενεργοποίηση γίνεται μόνο από τη Διεύθυνση Υποστήριξης Λειτουργίας Συστημάτων Δημόσιας Διοίκησης της Γ.Γ.Π.Σ.Δ.Δ. και εφόσον λάβει έγγραφο αίτημα ενεργοποίησης από την αρμόδια Διεύθυνση Προσωπικού του φορέα απασχόλησης του υπαλλήλου.

Άρθρο 3
Λειτουργία υπηρεσίας αυθεντικοποίησης χρηστών Δημόσιας Διοίκησης


1. Κάθε φορέας, συνεκτιμώντας τις υπηρεσιακές ανάγκες και το επίπεδο ασφαλείας που απαιτείται να τηρεί ανάλογα με τη φύση των παρεχόμενων υπηρεσιών και των αντίστοιχων δεδομένων, δύναται να υποβάλει αίτημα στη Γ.Γ.Π.Σ.Δ.Δ., σύμφωνα με τα οριζόμενα της παρ. 3, για την αξιοποίηση της υπηρεσίας αυθεντικοποίησης κατά τη χρήση των δικών του πληροφοριακών συστημάτων ή εφαρμογών (back office).

2. Εφόσον υπάρχει απαίτηση αυξημένου επιπέδου ασφαλείας κατά την αυθεντικοποίηση, ο φορέας δύναται να αιτηθεί από τη Γ.Γ.Π.Σ.Δ.Δ., σύμφωνα με τα οριζόμενα της παρ. 3, και να αξιοποιήσει υπηρεσία αυθεντικοποίησης δύο παραγόντων για τη χρήση στα πληροφοριακά του συστήματα και εφαρμογές (back office).

3. Το αίτημα των προηγούμενων παρ. 1 και 2 υποβάλλεται από εξουσιοδοτημένο υπάλληλο του ενδιαφερόμενου φορέα στην Εφαρμογή Διαχείρισης Αιτημάτων Διαλειτουργικότητας (Ε.Δ.Α.) του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Δ.Δ., σύμφωνα με τη διαδικασία που περιγράφεται στην υπό στοιχεία 118944 ΕΞ 23-10-2019 απόφαση του Υπουργού Επικρατείας (Β΄ 3990).

4. Κάθε φορέας καθορίζει, με δική του ευθύνη και σύμφωνα με το πλαίσιο οργάνωσης και λειτουργίας που τον διέπει, συγκεκριμένους υπαλλήλους για τη χρήση συγκεκριμένων ψηφιακών εφαρμογών. Εναπόκειται, περαιτέρω, στην ευθύνη του κάθε φορέα να διασφαλίζει ότι μόνον οι ειδικώς καθορισμένοι χρήστες έχουν πρόσβαση σε εκάστη εφαρμογή μέσω της χρήσης των κωδικών διαπιστευτηρίων δημόσιας διοίκησης.

5. Με την εισαγωγή από τον χρήστη των κωδικών διαπιστευτηρίων πριν την πρόσβαση στην εκάστοτε ψηφιακή υπηρεσία, η υπηρεσία αυθεντικοποίησης θα επιστρέφει στο πληροφοριακό σύστημα του φορέα: α) τον ΑΦΜ του υπαλλήλου και β) τα βασικά στοιχεία του υπαλλήλου, ήτοι όνομα, επώνυμο, πατρώνυμο, μητρώνυμο και έτος γέννησης. Εφόσον τα στοιχεία αναγνωρίζονται ως έγκυρα, θα επιτρέπεται η πρόσβαση του υπαλλήλου στην εφαρμογή.

Άρθρο 4
Εμπιστευτικότητα κωδικών διαπιστευτηρίων


1. Ο υπάλληλος, στον οποίο αποδίδονται κωδικοί διαπιστευτηρίων, οφείλει να λαμβάνει όλα τα προσήκοντα μέτρα για την εμπιστευτικότητα των κωδικών.

2. Ο υπάλληλος, στον οποίο αποδίδονται κωδικοί διαπιστευτηρίων, οφείλει να ειδοποιεί αμελλητί τον φορέα απασχόλησης του και τη Γ.Γ.Π.Σ.Δ.Δ. για οποιαδήποτε παραβίαση της εμπιστευτικότητας ή ηλεκτρονική ενέργεια έλαβε χώρα χωρίς τη γνώση του, καθώς και για οποιοδήποτε άλλο πρόβλημα, όπως, ενδεικτικά, αποκάλυψη, κλοπή ή απώλεια των κωδικών, που ενδέχεται να φέρει κινδύνους για την εύρυθμη και ασφαλή λειτουργία των ψηφιακών δημόσιων υπηρεσιών.

Άρθρο 5
Οργανωτικά και τεχνικά μέτρα ασφάλειας και προστασία δεδομένων προσωπικού χαρακτήρα


1. Η διάθεση της υπηρεσίας αυθεντικοποίησης Δημόσιας Διοίκησης στους φορείς του δημοσίου τομέα διενεργείται σύμφωνα με την Πολιτική Ορθής Χρήσης Διαδικτυακών Υπηρεσιών του Κέντρου Διαλειτουργικότητας, με το ισχύον Πλαίσιο Ασφάλειας Πληροφοριακών Συστημάτων της Γ.Γ.Π.Σ.Δ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης και τις διατάξεις περί προστασίας δεδομένων προσωπικού χαρακτήρα.

2. Η αξιοποίηση των διαδικτυακών υπηρεσιών του άρθρου 2 διενεργείται μέσω του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Δ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης.

3. Τα διαπιστευτήρια του χρήστη δεν γίνονται γνωστά στους Φορείς που αξιοποιούν την υπηρεσία αυθεντικοποίησης.

4. Οι φορείς που αξιοποιούν τον μηχανισμό αυθεντικοποίησης υποχρεούνται να τηρούν μητρώο εξουσιοδοτήσεων ανά ψηφιακή εφαρμογή, στο οποίο καταχωρούν τα στοιχεία των υπαλλήλων που έχουν εξουσιοδοτήσει για τη χρήση της συγκεκριμένης ψηφιακής εφαρμογής.

5. Οι φορείς υποχρεούνται να ελέγχουν την πρόσβαση των υπαλλήλων στις ψηφιακές εφαρμογές σύμφωνα με το μητρώο που τηρούν.

Άρθρο 6
Έναρξη ισχύος


Η απόφαση αυτή αρχίζει να ισχύει από τη δημοσίευσή της στην Εφημερίδα της Κυβερνήσεως.

Η απόφαση αυτή να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως.

Μοσχάτο, 23 Οκτωβρίου 2020

Ο Υπουργός
ΚΥΡΙΑΚΟΣ ΠΙΕΡΡΑΚΑΚΗΣ


Taxheaven.gr