ROZPORZĄDZENIE MINISTRA FINANSÓW 1)

z dnia .......................... 2003 r.

w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia


Na podstawie art. 26 ust. 2 ustawy z dnia 22 maja 2003r. o działalności ubezpieczeniowej ( Dz. U. Nr 124, poz. 1151) zarządza się, co następuje:

§ 1. Rozporządzenie określa zasady tworzenia, utrwalania, przechowywania i zabezpieczania, w tym przy zastosowaniu podpisu elektronicznego, dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia, sporządzanych na elektronicznych nośnikach informacji.

§ 2. Przepisy rozporządzenia stosuje się do dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia, sporządzanych na elektronicznych nośnikach informacji, z wyjątkiem dokumentów: 1) sporządzanych na elektronicznych nośnikach informacji związanych z operacjami dokonywanymi przy użyciu kart płatniczych, kart służących wyłącznie do dokonywania wypłaty gotówki oraz instrumentów pieniądza elektronicznego; 2) oznaczonych kategorią A i podlegających trwałemu przechowywaniu na mocy odrębnych przepisów.

§ 3. Ilekroć w rozporządzeniu jest mowa o:
1) dokumencie - należy przez to rozumieć dokument związany z zawieraniem i wykonywaniem umowy ubezpieczenia sporządzony na elektronicznym nośniku informacji;
2) podpisaniu - należy przez to rozumieć czynność polegającą na złożeniu podpisu elektronicznego;
3) podpisie elektronicznym - należy przez to rozumieć podpis określony w art. 3 pkt 1 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450 oraz z 2002 r. Nr 153, poz. 1271);
4) bezpiecznym podpisie elektronicznym - należy przez to rozumieć podpis określony w art. 3 pkt 2 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym;
5) integralności dokumentu - należy przez to rozumieć właściwość polegającą na tym, że zawartość dokumentu nie uległa zmianie od chwili jego utworzenia;
6) podmiocie - należy przez to rozumieć zakład ubezpieczeń, spółkę utworzoną przez zakład ubezpieczeń lub inne podmioty świadczące usługi związane z zabezpieczaniem dokumentów.

§ 4. Utworzenie dokumentu polega na zapisaniu sekwencji danych wyrażającej określoną czynność lub czynności związane z zawieraniem lub wykonywaniem umów ubezpieczenia na elektronicznym nośniku informacji i podpisaniu tych danych.

§ 5. 1. Utrwalenie dokumentu polega na jego zapisaniu na elektronicznym nośniku informacji w sposób zapewniający zachowanie jego integralności i możliwość odczytania wszystkich informacji zawartych w tym dokumencie aż do zakończenia okresu przechowywania dokumentu. Zachowanie integralności dokumentu można zapewnić w szczególności poprzez zapisanie go na elektronicznym nośniku informacji, na którym nie można dokonać żadnej zmiany w zapisie bez zniszczenia nośnika.
2. W przypadku stosowania podpisu elektronicznego dokument należy utrwalić wraz z całą ścieżką certyfikacji zawierającą certyfikat i zaświadczenia certyfikacyjne oraz ze wszystkimi listami zawieszonych lub unieważnionych certyfikatów użytymi w celu weryfikacji podpisu elektronicznego.
3. Jeżeli przepisy odrębne nie stanowią inaczej, dopuszczalne jest kopiowanie, pod nadzorem osób uprawnionych, według wewnętrznych procedur podmiotu, dokumentów utrwalonych na elektronicznym nośniku informacji na inny elektroniczny nośnik informacji wraz z informacjami służącymi do weryfikacji podpisu elektronicznego, o których mowa w ust. 2, w przypadku gdy ten podpis został zastosowany.
4. Każda z kopii dokumentu powinna być identyczna z oryginałem.

§ 6. 1. Okres przechowywania dokumentu związanego z określoną czynnością zawarcia lub wykonywania umowy ubezpieczenia nie może być krótszy od okresu określonego w odrębnych przepisach, przewidzianego dla przechowywania danego rodzaju dokumentu.
2. Jeżeli okres trwałości zapisu na elektronicznym nośniku informacji, określony przez producenta tego nośnika jest krótszy od wymaganego okresu przechowywania dokumentu, to utrwalone na nośniku dokumenty należy przenieść na inny elektroniczny nośnik informacji przed upływem gwarantowanego przez producenta okresu trwałości zapisu. Elektroniczny nośnik informacji, z którego przeniesiono zapis podlega fizycznemu zniszczeniu.
3. Po upływie wymaganego okresu przechowywania dokument może zostać usunięty z elektronicznego nośnika informacji w sposób nieodwracalny. W przypadku upływu wymaganego okresu przechowywania wszystkich dokumentów utrwalonych na elektronicznym nośniku informacji, nośnik ten może zostać zniszczony.
4. Dokumenty przechowuje się co najmniej w dwóch kopiach, każda na innym egzemplarzu lub rodzaju elektronicznego nośnika informacji. Miejsca przechowywania nośników wszystkich kopii powinny zapewniać bezpieczeństwo zapisanego na nich dokumentu.
5. Każdy elektroniczny nośnik informacji, użyty do przechowywania dokumentów, powinien mieć swój identyfikator.
6. Podmiot zobowiązany, na podstawie odrębnych przepisów lub zawartych umów, do przechowywania dokumentu, ma obowiązek prowadzenia ewidencji elektronicznych nośników informacji użytych do przechowywania dokumentów.

§ 7. Dokument uważa się za zabezpieczony, jeżeli - w całym okresie jego istnienia - spełnione są łącznie następujące warunki:
1) zapewniona jest jego dostępność wyłącznie dla osób uprawnionych;
2) jest chroniony przed przypadkowym lub nieuprawnionym zniszczeniem;
3) zastosowane są aktualnie dostępne metody i środki ochrony integralności dokumentu.

2. Zabezpieczenie dokumentów wymaga w szczególności:
1) systematycznego dokonywania analizy zagrożeń;
2) opracowania i stosowania procedur zabezpieczania dokumentów i systemów ich przetwarzania, w tym procedur dostępu;
3) stosowania systemów zabezpieczeń ze szczególnym uwzględnieniem zapewnienia kompletności i szczelności tych systemów;
4) opracowania sposobów działania w celu eliminacji naruszania bezpieczeństwa oraz bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i techniczno - informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny tych sposobów.
3. Ochronę informacji prawnie chronionych zawartych w dokumencie realizuje się z odpowiednim stosowaniem zasad przewidzianych dla ochrony tego rodzaju dokumentu określonych w odrębnych przepisach.

§ 8. Rozporządzenie wchodzi w życie z dniem 1 stycznia 2004r.

MINISTER FINANSÓW



Uzasadnienie

Art. 26 ust. 2 ustawy z dnia 22 maja 2003r. o działalności ubezpieczeniowej (Dz. U. Nr 124, poz. 1151) nakłada na Ministra Finansów obowiązek wydania rozporządzenia określającego zasady tworzenia, utrwalania, przechowywania i zabezpieczania, w tym przy zastosowaniu podpisu elektronicznego, dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia. W odnośniku do podstawy prawnej rozporządzenia wskazano (w związku z wymogiem § 122 ust. 1 rozporządzenia Prezesa Rady Ministrów z dnia 20 czerwca 2002 r. w sprawie "Zasad techniki prawodawczej") na przepis § 1 ust. 2 pkt 3 rozporządzenia Prezesa Rady Ministrów z dnia 29 marca 2002 r. w sprawie szczegółowego zakresu działania Ministra Finansów (Dz. U. Nr 32, poz. 301 z późn. zm.), na mocy którego, Minister Finansów jest właściwym w zakresie działu administracji rządowej "instytucje finansowe".

Powszechna elektronizacja i informatyzacja prac związanych z usługami ubezpieczeniowymi oraz wejście w życie ustawy o podpisie elektronicznym, implikują konieczność sprecyzowania obowiązków zakładów ubezpieczeń w dziedzinie należytego posługiwania się dokumentami elektronicznymi, ich sporządzania, utrwalania, zabezpieczania i przechowywania. Wejście w życie niniejszego rozporządzenia wypełnia lukę dotyczącą należytego zapewnienia bezpieczeństwa dokumentom ubezpieczeniowym w postaci elektronicznej w całym okresie ich przetwarzania w zakładach ubezpieczeń, od ich złożenia lub sporządzenia do zarchiwizowania.

Rozporządzenie określa, na czym polega utworzenie dokumentu na elektronicznym nośniku informacji (§ 4) i jego należyte utrwalenie (§ 5), ustala wymagania dla sposobu należytego przechowywania (§ 6) oraz zabezpieczania (§ 7).

Rozporządzenie nie wkracza w dziedzinę istniejących przepisów regulujących okresy archiwizacji dokumentów, ani w dziedzinę praw autorskich i pokrewnych. Opiera się w znacznym stopniu na analogicznej regulacji dotyczącej dokumentów bankowych, co ma na celu zagwarantowanie takich samych warunków dla tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów w bankach i zakładach ubezpieczeń. Dokumenty zdefiniowane w §3 pkt 1 niniejszego rozporządzenia, jeśli przewidziane są do archiwizacji, podlegają przepisom tego rozporządzenia i ponadto przepisom o archiwizacji ( mi. in ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach - Dz.U. z 2002r. Nr 171, poz. 1396 z późn. zm.).

Przepis § 6 stanowi jakie warunki muszą być spełnione w stosunku do archiwizowanych dokumentów w postaci elektronicznej, ale ponadto należy spełnić wszystkie warunki wymagane dla poprawnej archiwizacji. Przepisów rozporządzenia nie stosuje się do dokumentów, które z mocy innych przepisów wymagają trwałego (tzn. wieczystego) przechowywania i zgodnie z przepisami rozporządzenia Ministra Kultury z dnia 16 września 2002 r. w sprawie postępowania z dokumentacją, zasad jej klasyfikowania i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych (Dz. U. Nr 167, poz. 1375) oznaczane są kategorią A - dokumentacja stanowiąca materiały archiwalne (natomiast rozporządzenie ma mieć zastosowanie do dokumentów oznaczonych pozostałymi kategoriami).
Przepisy rozporządzenia nie dotyczą również dokumentów sporządzonych na elektronicznych nośnikach informacji związanych z operacjami dokonywanymi przy użyciu kart płatniczych, kart służących wyłącznie do dokonywania wypłaty gotówki oraz instrumentów pieniądza elektronicznego. Procedury postępowania w systemach z wykorzystaniem wyżej wymienionych elektronicznych instrumentów płatniczych, w tym zasady identyfikacji posiadacza instrumentu płatniczego, określone są przez przepisy ustawy z dnia 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz. U. Nr 169, poz. 1385).
Podpisanie dokumentu (§ 3 pkt 2) może zostać dokonane na jeden z dwóch wymienionych sposobów: poprzez złożenie podpisu elektronicznego albo bezpiecznego podpisu elektronicznego w sposób określony w ustawie z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450 i z 2002 r. Nr 153, poz. 1271).

Zdefiniowana w § 3 pkt 5 integralność dokumentu jest właściwością świadczącą, że dokument nie został zmodyfikowany w sposób nieuprawniony.

Rozporządzenie rozróżnia etap tworzenia dokumentu i etap jego utrwalania. Dokument na etapie tworzenia (§ 4) może być zapisywany w sposób nietrwały lub na nośniku nietrwałym tzn. w sposób umożliwiający jego przypadkowe lub celowe zniszczenie. Podczas tworzenia dokumentu dane najpierw zapisywane są na elektronicznym nośniku informacji i dopiero potem opatrywane podpisem, na tym samym nośniku informacji.
Utrwalenie (§ 5) polega na zapisaniu utworzonego dokumentu na elektronicznym nośniku informacji w sposób trwały umożliwiający jego właściwe przechowywanie. Dokument powinien zostać utrwalony w sposób, który zapewni zachowanie jego integralności i możliwość odczytania wszystkich informacji zawartych na tym dokumencie aż do zakończenia okresu przechowywania dokumentu, przez co rozumie się dostęp przechowującego do urządzeń umożliwiających odczyt pomimo zmian technologicznych. Ponieważ w stosunku do dokumentów przechowywanych w postaci elektronicznej istnieje możliwość sprawdzenia tylko, czy była dokonana w nich zmiana, a nie można ocenić skali tej zmiany, stąd też w każdym przypadku naruszenie integralności dokumentu jest równoznaczne z utratą do niego zaufania. W przypadku stosowania podpisu elektronicznego dokument należy utrwalić wraz z całą ścieżką certyfikacji zawierającą certyfikat i zaświadczenia certyfikacyjne oraz ze wszystkimi listami zawieszonych lub unieważnionych certyfikatów użytymi w celu weryfikacji podpisu elektronicznego (§ 5 ust. 2).
Utrwalony dokument może być kopiowany na inny elektroniczny nośnik informacji, chyba że inne przepisy stanowią inaczej (§ 5 ust. 3). W celu zapewnienia bezpieczeństwa utrwalonych dokumentów, kopiowanie odbywać się może jedynie pod nadzorem osób uprawnionych według wewnętrznych procedur podmiotu, który dokonuje kopiowania dokumentów. Do tak sporządzonych kopii stosuje się przepisy rozporządzenia dotyczące przechowywania dokumentów. Zapisy § 5 ust. 3 i 4 oraz § 6 ust. 4, nie mają nic wspólnego z kopiowaniem w odniesieniu do praw autorskich. Jest to zabieg wynikający z technologii informatycznych. Ze względu na to, że elektroniczne nośniki informacji charakteryzują się niższą trwałością niż tradycyjne metody zapisu, to w celu zagwarantowania integralności dokumentu wymaga się tworzenia kopii zapasowych i osobnego ich przechowywania. Jest to powszechna metoda zapewnienia trwałości elektronicznych zapisów. Ponieważ kopie dokumentów sporządzonych na elektronicznym nośniku informacji są nierozróżnialne, a więc każdy egzemplarz kopii powinien być traktowany jak oryginał. Jest to jeden z elementów zasadniczej różnicy w obrocie dokumentów papierowych i sporządzanych na elektronicznych nośnikach informacji.
Okres przechowywania utrwalonego dokumentu nie może być krótszy od okresu określonego odrębnymi przepisami, przewidzianego dla przechowywania danego rodzaju dokumentu (§ 6 ust. 1). W §6 rozporządzenia nie określono wprost o jakie "przepisy odrębne" chodzi, co ma na celu zachowanie jak największej uniwersalności przepisu w przypadku zmian obowiązujących obecnie przepisów o archiwizacji. Nie wskazano również minimalnego czy też maksymalnego okresu w jakim dokument ma być przechowywany, tak aby zapewnić zgodność rozporządzenia z przepisami szczególnymi dotyczącymi archiwizacji. W tym miejscu wypada wspomnieć, że zgodnie z art. 44 ust. 1 ustawy o narodowym zasobie archiwalnym i archiwizacji, z chwilą ustania działalności niepaństwowych jednostek organizacyjnych ich materiały archiwalne stają się własnością państwa i wchodzą do państwowego zasobu archiwalnego.

Po upływie wymaganego okresu przechowywania dokument może zostać usunięty z elektronicznego nośnika informacji, a w przypadku upływu wymaganego okresu przechowywania wszystkich dokumentów utrwalonych na elektronicznym nośniku informacji, nośnik ten może zostać zniszczony (§ 6 ust. 3).
W przypadku, gdy wymagany okres przechowywania dokumentu jest dłuższy, niż okres trwałości zapisu na elektronicznym nośniku informacji, to utrwalone na nośniku dokumenty należy przenieść na następny elektroniczny nośnik informacji przed upływem gwarantowanego przez producenta okresu trwałości zapisu (§ 6 ust. 2).
Projekt przewiduje, iż dokumenty przechowuje się co najmniej w 2 kopiach, każdą z nich na innym egzemplarzu lub rodzaju elektronicznego nośnika informacji. Miejsca przechowywania nośników powinny zapewniać bezpieczeństwo zapisanego na nich dokumentu (§ 6 ust. 4). Nośniki powinny być więc przechowywane w sposób, który zapewni, iż nie będą one narażone na jednoczesne uszkodzenie bądź zniszczenie.
Każdy elektroniczny nośnik informacji, użyty do przechowywania dokumentów, powinien mieć swój identyfikator. Przepisy rozporządzenia zobowiązują zakład ubezpieczeń lub inny podmiot zobowiązany do przechowywania dokumentu zgodnie z przepisami prawa lub umową ma obowiązek prowadzenia ewidencji nośników użytych do przechowywania dokumentów (§ 6 ust. 6). Obowiązek prowadzenia ewidencji nie dotyczy więc klientów zakładu ubezpieczeń, chyba, że przepisy lub umowa stanowią inaczej.

W § 7 projektu zawarte zostały warunki, jakie powinny zostać spełnione, aby dokument był należycie zabezpieczony w trakcie jego istnienia. Projekt przewiduje, że informacje niejawne, dane osobowe i inne tajemnice prawnie chronione podlegają odrębnym przepisom niezależnie od sposobu ich utrwalenia i nośnika (§ 7 ust. 3). Minimalne wymagania co do sposobu osiągnięcia właściwego zabezpieczenia dokumentów podano w § 7 ust. 2. Są to metody obecnie stosowane zapewniające bezpieczeństwo obrotu dokumentów oraz pozwalające na kontrolę właściwego zabezpieczania.

Ochrona informacji, które podlegają ochronie prawnej ma być realizowana przy odpowiednim zastosowaniu przepisów odrębnych przewidzianych dla ochrony dokumentu danego rodzaju. W tym przypadku również zrezygnowano ze wskazania konkretnych przepisów, aby uniknąć sytuacji, w której z powodu zmiany tych przepisów nowelizacji wymagałoby przedmiotowe rozporządzenie. Jako przykład informacji chronionych prawnie w przepisach odrębnych wskazać można np. dane osobowe czy informacje o stanie zdrowia danej osoby.
Rozporządzenie ma wejść w życie z dniem 1 stycznia 2004r. wraz z wejściem w życie ustawy o działalności ubezpieczeniowej.

Ocena Skutków Regulacji (OSR)

1. Cel wprowadzenia rozporządzenia:
Celem wprowadzenia rozporządzenia jest wypełnienie upoważnienia ustawowego z art. 26 ust. 2 ustawy z dnia 22 maja 2003r. o działalności ubezpieczeniowej ( Dz. U. Nr 124, poz. 1151 ) i zapewnienie właściwej ochrony dokumentów związanych z zawieraniem lub wykonywaniem umowy ubezpieczenia sporządzonym na elektronicznych nośnikach informacji.

2. Konsultacje społeczne:
Projekt rozporządzenia został opracowany w oparciu o analogiczne rozporządzenie Rady Ministrów dotyczące czynności bankowych (rozporządzenie to z kolei zostało przygotowane przez zespół ekspertów, powołany do tego celu przez Narodowy Bank Polski, i przekazany do Ministerstwa Finansów). Projekt rozporządzenia został uzgodniony, z poszczególnymi resortami, a także z Komisją Nadzoru Ubezpieczeń i Funduszy Emerytalnych, Polską Izba Ubezpieczeń, Rzecznikiem Ubezpieczonych oraz innymi zainteresowanymi instytucjami. Ponadto projekt został uzgodniony z Naczelnym Dyrektorem Archiwów Państwowych.

3. Zakres Oceny Skutków Regulacji:
Skutkiem wejścia w życie rozporządzenia będzie podniesienie bezpieczeństwa oraz zaufania do elektronicznego obrotu ubezpieczeniowego, w tym w szczególności do tak zwanych ubezpieczeń internetowych.

4) Skutki wprowadzenia rozporządzenia:
  • wpływ regulacji na dochody i wydatki budżetu i sektora publicznego
    Wejście w życie rozporządzenia nie spowoduje skutków finansowych dla budżetu państwa.
  • wpływ regulacji na rynek pracy
    Wejście w życie rozporządzenia nie spowoduje żadnych istotnych zmian na rynku pracy. Jedynym skutkiem w tym zakresie może być powstanie niewielkiej ilości miejsc pracy (ok.100 w skali kraju) dla specjalistów w dziedzinie bezpieczeństwa informacji i systemów przetwarzania oraz podniesienie rangi tego zawodu.
  • wpływ regulacji na konkurencyjność wewnętrzną i zewnętrzną gospodarki:
    Ujednolicenie kryteriów należytego sporządzania, utrwalania i przetwarzania, w tym składania i przechowywania, dokumentów elektronicznych na obszarze stosowania prawa ubezpieczeniowego przyczyni się do podniesienia zaufania i przyspieszenia obrotów sektora ubezpieczeniowego, co w sposób istotnie pozytywny wpływa na rozwój gospodarczy.
  • wpływ regulacji na sytuację i rozwój regionów:
    Poza pozytywnym wpływem na ogólny rozwój gospodarczy, wejście w życie rozporządzenia przyczyni się do ułatwienia przedsiębiorstwom funkcjonującym w małych miejscowościach, nie posiadających placówek ubezpieczeniowych, dostępu do usług ubezpieczeniowych poprzez rozwój ubezpieczeń internetowych.



1) Minister Finansów kieruje działem administracji rządowej - instytucje finansowe, na podstawie § 1 ust. 2 pkt 3 rozporządzenia Prezesa Rady Ministrów z 29 marca 2002 r. w sprawie szczegółowego zakresu działania Ministra Finansów (Dz. U. Nr 32, poz. 301, Nr 43, poz. 378 i Nr 93, poz. 834).

* * *