mObywatel - z punktu widzenia regulaminu


Przyglądamy się bliżej regulaminowi usługi mObywatel, w formie aplikacji na smartfony z systemem Android (na dzień 30 października 2017, godzina 10:00), usługa została również zapowiedziana na telefony z systemem iOS w Styczniu 2018 (wg. zapowiedzi z transmisji online)
Przypominamy, że przeczytanie regulaminu usługi, choć żmudne, nudne i konsumujące dużo czasu jest KLUCZOWE dla zrozumienia naszej ekspozycji na ryzyka związane z używaniem tej czy innej aplikacji czy dowolnej usługi sieciowej.
Aplikacja "mObywatel" ten regulamin udostępnia w dość małym oknie, w związku z czym zapoznanie się z nim jest mało wygodne - choć możliwe i wysoce zalecane zarówno przez Ministerstwo Cyfryzacji jak i przez nas.
Regulamin dostępny jest w pliku PDF na wskazanej poniżej stronie, jak również z poziomu menu aplikacji (Menu->Regulamin).

Zwracamy uwagę na fakt, że kompetencja ROZWAGA z zestawu kompetencji Bezpieczeństwa Bardziej Osobistego określa naszą zdolność do nabywania świadomości dotyczących konsekwencji (jak również ich ponoszenia) przy np. używaniu usług sieciowych. Przeczytanie regulaminu daje taką możliwość.

Nasze komentarze i wyszczególnienia są subiektywne, mogą jednak pomóc zrozumieć "co się dzieje" z naszmi danymi w trakcie używania usługi mObywatel.

Poniższy regulamin został umieszczony na stronie https://www.mobywatel.gov.pl/regulamin stan z dnia 30 Października 2017 godzina 10:00.


Regulamin aplikacji mObywatel
§1. Aplikacja
1. Dostawcą Aplikacji (dalej „Dostawca”) jest minister właściwy do spraw informatyzacji – Minister Cyfryzacji, ul. Królewska 27, 00-060 Warszawa.
2. „Aplikacja” to oprogramowanie Dostawcy pod nazwą „mObywatel”, przeznaczone do zainstalowania na urządzeniu mobilnym Użytkownika, z którego korzystanie odbywa się na warunkach określonych w tym Regulaminie. 

Warto zaznaczyć, że to właśnie Regulamin określa zakres i warunki użytkowania. Nie może on oczywiście łamać obowiązującego prawa, nie musi jednak on być z nim równoważny.

3. Aplikacja pozwala na pobranie danych osobistych i wizerunku Użytkownika z Rejestru Dowodów Osobistych i rejestru PESEL i przechowywanie ich w postaci zaszyfrowanej w urządzeniu mobilnym Użytkownika. Za pośrednictwem Aplikacji dane Użytkownika przechowywane w Aplikacji mogą być w sposób bezpieczny okazywane innym Użytkownikom. Aplikacja umożliwia także weryfikację danych osobistych innych Użytkowników. 

Dużo ważnych informacji:
a) dane pobierane są z rejestrów państwowych
b) dane przechowywane są na Twoim urządzeniu
c) dane są zaszyfrowane
d) z użyciem tej aplikacji możesz udostępnić dane osobowe innym
e) z użyciem tej aplikacji możesz sprawdzić czy dane osobowe innej osoby są prawdziwe

4. Wgląd do danych i pobranie danych poprzez Aplikację odbywa się:
4.1. zgodnie z art. 65 ust. 3 ustawy z dnia 6 sierpnia 2010 r. o dowodach osobistych, która reguluje dostęp do danych w rejestrze dowodów osobistych. Zgodnie z tym przepisem „Osoba, której dane są przetwarzane w Rejestrze Dowodów Osobistych, ma prawo wglądu do swoich danych, przy wykorzystaniu środków komunikacji elektronicznej, po uwierzytelnieniu się w sposób określony w art. 20a ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.”
4.2. zgodnie z art. 45 ust. 1 ustawy z dnia 24 września 2010 r. o ewidencji ludności, która reguluje dostęp do danych w rejestrze PESEL, który stanowi, że „osobie, której dane są przetwarzane w rejestrze PESEL, umożliwia się wgląd do rejestru w zakresie danych dotyczących tej osoby, przy wykorzystaniu środków komunikacji elektronicznej, po uwierzytelnieniu jej na zasadach określonych w ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. 

Przepisy które umożliwiają legalnie funkcjonowanie aplikacji oraz dostęp do Twoich danych z rejestrów Państwowych.

5. Dane prezentowane w Aplikacji nie stanowią dokumentu urzędowego ani nie posiadają mocy urzędowej. 

Kluczowe: przy kontaktach z administracją państwową ta aplikacja nie ma zastosowania.

6. Aplikacja służy do okazywania i weryfikowania danych osobistych Użytkownika w relacjach pomiędzy Użytkownikami. 

Kluczowe: obecnie funkcjonalność aplikacji głównie ogranicza się do prezentowania danych pomiędzy obywatelami w celu weryfikacji ich tożsamości - potwierdzenia danych osobowych.

7. Dla urządzeń mobilnych z systemem Android Aplikację można pobrać ze sklepu Google Play Store. 

Kluczowe: aplikację pobieramy wyłącznie z oficjalnego sklepu aplikacji Google Play Store. Nie używaj do tego celu linków, paczek aplikacji umieszczonych na innych portalach, przekazanych przez znajomych. Wejdź do sklepu aplikacji Google Play Store, wyszukaj "mObywatel" sprawdź kto jest dostawcą aplikacji (powinno być: Ministerstwo Cyfryzacji). Aplikacja do pobrania i instalacji nie wymaga wysyłania żadnych kodów, podawania danych. Warto uzmysłowić sobie, dlaczego aplikacja powinna być pobierana jedynie z legalnego sklepu. Prezentuje to pokrótce poniższy rysunek:



8. Pobranie i korzystanie z Aplikacji jest nieodpłatne. Korzystanie przez Użytkownika z usług transmisji danych lub połączeń głosowych w związku z pobraniem lub korzystaniem z Aplikacji, może wiązać się z opłatami naliczonymi przez operatora telekomunikacyjnego, świadczącego Użytkownikowi usługi telekomunikacyjne. 

Bezpłatnie za samą aplikację i usługę. Za transfer danych zapłacisz swojemu operatorowi.

§2. Użytkownicy
9. Użytkownikami Aplikacji (nazywanymi w Regulaminie „Użytkownikami” lub pojedynczo „Użytkownikiem”) mogą być wyłącznie osoby posiadające obywatelstwo polskie, które łącznie: 

Ważne: Aplikacja jest jedynie dla tych, którzy mają obywatelstwo Polskie

9.1. posiadają ważny profil zaufany (dalej „Profil Zaufany”), który został potwierdzony zgodnie z rozporządzeniem Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie profilu zaufanego elektronicznej platformy usług administracji publicznej; 

Aplikacja zadziała tylko tym, którzy są w stanie zalogować się do profilu zaufanego (pz.gov.pl) i podpisać dowolny dokument w ramach tego systemu.

9.2. posiadają ważny dowód osobisty, to jest dokument wydany zgodnie z ustawą z dnia 6 sierpnia 2010 r. o dowodach osobistych, który nie został utracony, uszkodzony lub unieważniony. 
Posiadają ważny (nie zastrzeżony, unieważniony) dowód osobisty.

10. Użytkownikami Aplikacji mogą być wyłącznie osoby spełniające warunki określone w ust. 1 powyżej. W szczególności Użytkownikami Aplikacji nie mogą być osoby nieposiadające dowodu osobistego i posługujące się wyłącznie innym dokumentem stwierdzającym tożsamość, takim jak paszport lub karta pobytu. 

Paszport i karta pobytu to za mało aby zostać użytkownikiem tej aplikacji.

11. Posługiwanie się Aplikacją przez Użytkowników jest dobrowolne. Dostawca informuje, że posiadanie Aplikacji i posługiwanie się nią nie jest prawnym obowiązkiem obywateli Rzeczypospolitej Polskiej lub jakichkolwiek osób przebywających na terytorium Rzeczypospolitej Polskiej. 
Nikt nie zmusza nikogo do używania tej aplikacji. Jest to dobrowolne.

§3. Aktywacja Aplikacji
12. Przy pierwszym użyciu Aplikacji dokonywana jest aktywacja Aplikacji. 
Wielkie słowa, prosty proces: musisz udowodnić z punktu widzenia aplikacji, że masz legalnie prawo do swoich danych osobowych - identyfikacyjnych.

13. Aktywacja Aplikacji polega na:
13.1. potwierdzeniu tożsamości Użytkownika przy użyciu Profilu Zaufanego;
13.2. pobraniu danych Użytkownika z Rejestru Dowodów Osobistych i rejestru PESEL oraz zapisaniu ich w urządzeniu mobilnym Użytkownika;
13.3. nadaniu przez Użytkownika indywidualnego hasła dostępu do Aplikacji. 

W rzeczywistości jest nieco inaczej:
po instalacji aplikacji, prosi ona w kolejności o:

  1. Ustalenie hasła (minimalnie 8 znaków, małe, duże litery, cyfry i znak specjalny)
  2. Potwierdzenia hasła
  3. Przeczytanie i zaakceptowanie regulaminu usługi
  4. Nadanie nazwy dla Twojego urządzenia  (nie dłuższej niż 20 znaków, będzie w certyfikacie)
  5. Otwiera wbudowaną przeglądarkę w celu zalogowania się na pz.gov.pl
  6. Wprowadzenia loginu i hasła do Profilu Zaufanego
  7. Wprowadzenia tokenu/kodu SMS (jeśli masz ustawione logowanie dwuskładnikowe) (można 3 razy pomylić się w kodzie)
  8. Następnie przeprowadza pobranie danych z rejestru państwowego, które jest podpisywane danymi z profilu zaufanego - wymaga kolejnego potwierdzenia tokenem/kodem SMS (pomyłka wymaga rozpoczęcia procedury od nowa).
  9. Dane dostępne są w aplikacji.
14. Potwierdzenie tożsamości Użytkownika przy użyciu Profilu Zaufanego następuje z wykorzystaniem mechanizmu dwuskładnikowego uwierzytelniania i dokonywane jest przy użyciu hasła stałego, przypisanego do Profilu Zaufanego, oraz hasła jednorazowego, przesyłanego na numer telefonu przypisany do Profilu Zaufanego za pomocą wiadomo- ści SMS lub innego dostępnego środka identyfikacji elektronicznej służącego do uwierzytelniania w Profilu Zaufanym. 
Przepisywanie 8 znakowego hasła SMS jest dość uciążliwe - aplikacja i tak ma dostęp do telefonu, może można to rozwiązać w kolejnej aktualizacji? Oczywiście informacja o pobraniu danych z SMS powinna się pojawić. Warto zauważyć, że weryfikacja drugiego etapu logowania odbywa się z poziomu przeglądarki w aplikacji, natomiast weryfikacja podpisu pod żądaniem pobrania danych z poziomu aplikacji. Błąd we wprowadzeniu SMS-a potwierdzającego pobranie danych skutkuje resetem aplikacji i koniecznością ustalenia procedury parowania od początku. Aplikacja jest bardzo wrażliwa na ten pierwszy krok i jeśli nie nastąpi żądanie drugiego etapu logowania (jeśli jest aktywne), to trzeba zamknąć aplikację i ponownie ją uruchomić przechodząc wszystkie kroki od początku.

Ten rysunek prezentuje proces "parowania" urządzenia w kontekście zaufania:


15. Po pobraniu danych z Rejestru Dowodów Osobistych i rejestru PESEL automatycznie jest tworzony i pobierany do Aplikacji certyfikat kryptograficzny potwierdzający autentyczność pobranych danych (dalej „Certyfikat”). Certyfikat przypisany jest do Użytkownika i urządzenia mobilnego, którym posługuje się Użytkownik. Dla celu utworzenia Regulamin aplikacji mObywatel  Certyfikatu i zarządzania Certyfikatami Dostawca przetwarza dane osobowe Użytkownika obejmujące imię, nazwisko i jego nr PESEL pochodzące z rejestru PESEL. 
Dlaczego certyfikat? To mechanizm zapewniający integralność danych czyli zapewnienie, że dane nie zostały zmodyfikowane podczas ich przesyłania i składowania. Ma on również inną równie ważną funkcję - umożliwia transfer zaufania. Jeśli jest ktoś, kogo znamy i mu ufamy i przedstawia nam kogoś obcego jako godnego zaufania, to w ten sposób dokonuje transferu (czy dziedziczenia) zaufania. Podobnie w świecie dokumentów. Oficjalne pismo zawierające nazwę organu wydającego, pieczęcie potwierdzające i podpis upoważnionego pracownika jest dokumentem zaufanym na poziomie zaufania jakim darzymy organ wydający to pismo. W świecie cyfrowym jest identycznie. Jeśli chcemy uznać dowolną informację za wiarygodną bo pochodzącą z zaufanego źródła to podpisujemy ją certyfikatem pochodzącym od zaufanego urzędu certyfikacji.
Urzędem zaufanym w tym wypadku jest: Ministerstwo Cyfryzacji (C=PL, O=Ministerstwo Cyfryzacji, CN=MTMid), który podpisuje (potwierdza wiarygodność i zaufanie) do certyfikatu prywatnego wydanego na Twoje imię i nazwisko przez urząd certyfikatów roboczych tego ministerstwa (C=PL, O=MC, OU=MIDMTCAWork) w tym wypadku nazwa certyfikatu (CN) zawiera twoje IMIĘ_NAZWISKO_NUMERWEWNĘTRZNY. Certyfikat dodatkowo zawiera nadaną przez Ciebie nazwę urządzenia oraz datę utworzenia i ważności.


16. Ważność Certyfikatu jest ograniczona w czasie i wynosi jeden rok od daty aktywacji Aplikacji.
Certyfikaty mają ograniczony czas ważności, co odzwierciedla ograniczone w czasie zaufanie znane z doświadczeń życiowych. Ostatecznie, nawet jeśli kogoś dobrze znamy, sytuacja może się zmienić i obecna relacja zaufania może przestać być aktualna. Tak samo jak nasze dane identyfikacyjne.

17. Zakres pobieranych w czasie aktywacji i przechowywanych w urządzeniu mobilnym danych Użytkownika to:
17.1. z Rejestru Dowodów Osobistych: zdjęcie, termin ważności dowodu osobistego, numer dowodu osobistego, organ wydający dowód osobisty;
17.2. z PESEL: numer PESESL, imiona, nazwisko, data urodzenia Użytkownika.
Zakres danych który przechowywany będzie na urządzeniu mobilnym i zostanie zabezpieczony poprzez szyfrowanie (i tutaj spekulacja: z użyciem kluczy przechowywanych w certyfikacie użytkownika, sam certyfikat prawdopodobnie szyfrowany na urządzeniu jest za pomocą hasła ustalonego na początku procesu rejestracji).

18. Do potwierdzenia tożsamości Użytkownika przy użyciu Profilu Zaufanego, pobrania Certyfikatu oraz pobrania danych z Rejestru Dowodów Osobistych i rejestru PESEL niezbędne jest aktywne połączenie internetowe.
19. Użytkownik może dokonać aktywacji Aplikacji i pobrania danych z Rejestru Dowodów Osobistych i rejestru PESEL na nie więcej niż trzech urządzeniach mobilnych. Na jednym urządzeniu mobilnym można dokonać aktywacji i pobrać dane z Rejestru Dowodów Osobistych i rejestru PESEL tylko jednego Użytkownika.

Aktywne połączenie internetowe jest wymagane, ponieważ aplikacja wydaje się być jedynie klientem funkcjonującym w środowisku centralnym, zarządzanym przez Ministerstwo Cyfryzacji. Jest końcówką, która przez internet może składać legalne żądania udostępnienia danych w Twoim imieniu. Taka architektura jest bezpieczniejsza z uwagi na możliwość lokalizacji danych i możliwości ich nieuprawnionej modyfikacji, jednak ma ograniczenia wynikające z konieczności dostępu do sieci Internet w celu pobrania aktualnych danych z centrum danych.

20. Potwierdzenie tożsamości Użytkownika i pobranie danych z Systemu Rejestrów Publicznych nie powiedzie się, jeżeli Użytkownik nie spełnia warunków określonych w § 2 ust. 1 Regulaminu, w szczególności nie posiada Profilu Zaufanego, jego Profil Zaufany nie został potwierdzony lub utracił ważność, nie posiada ważnego dowodu osobistego lub w Rejestrze Dowodów Osobistych znajduje się informacja o zgłoszeniu jego zaginięcia lub uszkodzenia, bądź też w przypadku podjęcia próby aktywacji Aplikacji na czwartym i kolejnych urządzeniach mobilnych.

Kolejne ważne informacje oraz mały błąd w regulaminie - paragraf  2 ma ustępy 9-11. Jeśli próbujesz aktywować profil na czwartym z kolei urządzeniu nie zostanie zaufany i nie będą na nim możliwe do pobrania żadne dane z rejestrów państwowych. Podobnie gdy nie spełniasz warunków z paragrafu drugiego.


21. Dostęp do danych przechowywanych w Aplikacji jest zabezpieczony hasłem dostępu nadawanym przez Użytkownika podczas aktywacji. Nadane w trakcie aktywacji hasło dostępu powinno być przez Użytkownika chronione i nie powinno być udostępniane innym osobom.
22. Podanie hasła dostępu do Aplikacji jest wymagane każdorazowo po zaprzestaniu korzystania z niej przynajmniej na 5 (pięć) minut, a także po uruchomieniu Aplikacji po każdym jej wyłączeniu oraz po każdym wyłączeniu urządzenia mobilnego. Trzykrotne wprowadzenie nieprawidłowego hasła będzie powodować czasową blokadę dostępu do Aplikacji.

Kluczowe: Twoje hasło chroni Twoje dane na Twoim urządzeniu. Nawet jeśli nie masz ustawionej blokady ekranu, dostęp do aplikacji i zgromadzonych w niej danych wymaga wprowadzenia hasła. Pilnuj je, zachowaj prywatnym i nie ujawniaj. Uważaj gdy wprowadzasz je w obecności innych osób. Nie zapisuj w miejscach gdzie mogą być odczytane przez osoby niepowołane. W tym wypadku pamiętaj, że jedyną powołaną osobą jesteś TY!
Hasło musisz wpisać ponownie jeśli:

  • zrestartujesz telefon (lub go włączysz)
  • ponownie uruchamiasz aplikację
  • nie używasz aplikacji przez 5 minut

Trójkrotne błędne wprowadzenie hasła uruchamia blokadę czasową w celu uniknięcia ataku siłowego mającego na celu odgadnięcie Twojego hasła.


§4. Funkcje Aplikacji
23. Prawidłowo aktywowana Aplikacja po zalogowaniu się z użyciem hasła dostępu do Aplikacji umożliwia Użytkownikowi korzystanie z następujących funkcjonalności:
23.1. okazanie danych Użytkownika (funkcja „mTożsamość”);
23.2. elektroniczne przekazanie danych Użytkownika (funkcja „Przekaż”);
23.3. weryfikacja danych osobistych innego Użytkownika Aplikacji (funkcja „Sprawdź”);
23.4. przechowywanie danych zweryfikowanych Użytkowników Aplikacji (funkcja „Historia”);
23.5. odświeżenie danych Użytkownika; Regulamin aplikacji mObywatel
23.6. zarządzanie Certyfikatem;
23.7. usunięcie danych z Aplikacji.
24. Użytkownik może okazać osobie trzeciej jego dane osobiste na ekranie urządzenia mobilnego, którym się posługuje. Funkcja dostępna jest po uruchomieniu Aplikacji i po wybraniu funkcji „mTożsamość” w Aplikacji. Ekran prezentacji danych, dostępny po wybraniu tej funkcji, uwierzytelniają elementy zabezpieczeń wizualnych w postaci:
24.1. ruchomego elementu graficznego, prezentującego biało-czerwoną flagę;
24.2. elementu graficznego o zmiennej kolorystyce, uzależnionej od kąta pochylenia urządzenia mobilnego („hologramu”), w kształcie odpowiadającym Godłu Rzeczpospolitej Polskiej;
24.3. grafiki tła („znaku wodnego”) stanowiącego stylizowany rysunek orła białego z Godła Rzeczypospolitej Polskiej.

Funkcje aplikacji są szeroko omawiane w innych komentarzach dotyczących tej aplikacji, tutaj skupimy się na kilku kluczowych informacjach na które warto w naszym mniemaniu zwrócić uwagę:

  1. Aplikacja jest końcówką systemu rządowego, pobiera z niego dane i prezentuje je na Twoim urządzeniu mobilnym.
  2. Dane aktualne i uznawane za poprawne, legalne i obowiązujące znajdują się w rejestrach państwowych, na Twoim urządzeniu prezentowana jest wersja tych danych na stan określony datą towarzyszącą tym danym - jeśli chcesz mieć dane aktualne - odśwież je! W przypadku danych obcej osoby wybierz opcję "Weryfikuj".
  3. Możesz udowadniać swoją tożsamość przez funkcję "Przekaż" w ramach której osoba przed którą "się legitymujesz" czy zwyczajnie "legalnie przedstawiasz" uzyska na swoim urządzeniu mobilnym informacje o Tobie wraz z Twoim zdjęciem w niskiej jakości. Ty otrzymasz ten sam zakres informacji na temat osoby która "weryfikuje" Ciebie.
  4. Możesz żądać weryfikacji tożsamości innej osoby - pamiętaj, że Twoje dane w tym samym zakresie zostaną jej udostępnione w wyniku tego procesu.
  5. Zabezpieczenia - zdjęcie prezentowane z danymi dotyczącymi tożsamości ma pomóc Ci zweryfikować, czy osoba której tożsamość poznajesz jest faktycznie osobą która dała Ci Kod QR do skanowania. Tak samo "elektroniczny hologram" czy "ruszająca się flaga państwowa" ma na celu potwierdzenie korzystania z oficjalnej aplikacji "mObywatel" gdzie te mechanizmy wizualizacji zostały wbudowane. NALEŻY ZWRÓCIĆ UWAGĘ, że mechanizmy weryfikacji wizualnej są słabe. Zdjęcie osoby weryfikowanej jest słabej jakości, zatem Twoje możliwości weryfikacji na jego podstawie są mocno ograniczone, podobnie jak mechanizmów wizualnych aplikacji (przestępcy mogą  próbować kopiować lub naśladować te mechanizmy w swoich fałszywych wersjach aplikacji).


25. Elektroniczne przekazanie danych Użytkownika umożliwia przesłanie niektórych danych dotyczących tego Użytkownika (zwanego dalej „Użytkownikiem przekazującym dane”) do urządzenia mobilnego, którym posługuje się inny Użytkownik, dokonujący odczytu tych danych (zwanego dalej „Użytkownikiem pobierającym dane”), połączone z potwierdzeniem poprawności Certyfikatu Użytkownika przekazującego dane. W tym celu Użytkownik dokonujący elektronicznego przekazania danych powinien:
25.1. wybrać funkcję „Przekaż” w Aplikacji;
25.2. po wyświetleniu w Aplikacji graficznego kwadratowego kodu graficznego (dalej „Kod QR”) umożliwić innemu Użytkownikowi odczyt tego Kodu QR za pomocą aparatu fotograficznego urządzenia mobilnego, którym posługuje się Użytkownik pobierający dane.
26. Po prawidłowym zeskanowaniu Kodu QR pomiędzy urządzeniami mobilnymi Użytkowników nawiązywane jest połączenie Bluetooth. Po nawiązaniu połączenia Aplikacja Użytkownika przekazującego dane weryfikuje poprawność Certyfikatu Użytkownika pobierającego dane i wyświetla, a następnie zapisuje niektóre jego dane w Aplikacji (funkcja „Historia”). Wyświetlone dane można dodatkowo zweryfikować on-line przy pomocy funkcji weryfikacji aktualności Certyfikatu. Po weryfikacji poprawności Certyfikatu Użytkownika pobierającego dane bądź – opcjonalnie – weryfikacji on-line aktualności Certyfikatu, Użytkownik przekazujący dane potwierdza zgodę na przesłanie ich do urządzenia Użytkownika pobierającego dane. Przesłanie danych jest możliwe co najmniej po pozytywnej weryfikacji poprawności Certyfikatu Użytkownika pobierającego dane.
27. Elektroniczna weryfikacja danych osobistych innego Użytkownika umożliwia potwierdzenie prawidłowości danych przekazanych przez innego Użytkownika poprzez weryfikację jego Certyfikatu oraz pobranie niektórych danych tego Użytkownika do własnego urządzenia mobilnego, co wiąże się z przekazaniem niektórych własnych danych. W tym celu Użytkownik pobierający dane innego Użytkownika powinien:
27.1. wybrać funkcję „Sprawdź” w Aplikacji;
27.2. po wyświetleniu ekranu skanera Kodów QR wyrazić zgodę na przekazanie swoich danych Użytkownikowi przekazującemu dane, a następnie odczytać Kod QR okazany przez Użytkownika przekazującego dane.
28. Po prawidłowym zeskanowaniu Kodu QR pomiędzy urządzeniami mobilnymi Użytkowników nawiązywane jest połączenie Bluetooth. Po nawiązaniu połączenia Aplikacja Użytkownika pobierającego dane przesyła jego dane do Aplikacji Użytkownika przekazującego dane w celu sprawdzenia ważności Certyfikatu Użytkownika weryfikującego dane. Dane Użytkownika pobierającego dane są przesyłane do urządzenia Użytkownika przekazującego dane tylko w przypadku potwierdzenia prawidłowości jego Certyfikatu. Po weryfikacji Certyfikatu i przekazaniu danych Użytkownika pobierającego dane, Użytkownik przekazujący dane potwierdza zgodę na przekazanie danych do Aplikacji Użytkownika pobierającego dane i następuje przekazanie danych Użytkownika przekazującego dane oraz weryfikacja poprawności jego Certyfikatu. Wyświetlone dane można dodatkowo zweryfikować on-line przy pomocy funkcji weryfikacji aktualności Certyfikatu. Po prawidłowym zakończeniu elektronicznej weryfikacji danych osobistych Użytkowników niektóre dane zweryfikowanego Użytkownika przekazującego dane zapisywane są w Aplikacji (funkcja „Historia”).
Wygląda to mocno skomplikowanie, dlatego zrobiliśmy poniższą grafikę, która prezentuje ten JEDEN proces z obu jego stron:

Dodatkowo w celu uproszczenia wprowadzamy A- przekazuje dane, B - pobiera dane. Wtedy proces wygląda tak:

Ze strony przekazującego (A przekazuje do B):

  • A ma kod QR i pokazuje B
  • B skanuje kod QR
  • połączenie bluetooth smartfonów SA i SB
  • Certyfikat B przekazany do SA
  • SA weryfikuje certyfikat B (i zapisuje dane B)
  • SA wyświetla dane B
  • A może zweryfikować aktualność certyfikatu B w MC (opcja)
  • A potwierdza przekazanie danych
  • Dane są transmitowane z SA do SB


Ze strony Sprawdzającego (B sprawdza A)

  • B wyraża zgodę na przekazanie swoich danych
  • B skanuje kod A
  • połaczenie bluetooth smartfonów SA i SB
  • SB przekazuje dane do SA
  • SA weryfikuje certyfikat B (automat)
  • A wyraża zgodę na przekazanie danych do B
  • Dane są transmitowane z SA do SB
  • SB weryfikuje certyfikat A
  • B może zweryfikować aktualność certyfikatu A
  • B ogląda dane A



29. Przy korzystaniu z funkcji elektronicznego przekazania danych i elektronicznej weryfikacji danych osobistych pomiędzy Użytkownikami przekazywane są następujące dane:
29.1. imiona i nazwisko;
29.2. zdjęcie o zredukowanej jakości;
29.3. seria i numer dowodu osobistego oraz organ go wydający.

Kluczowe: te informacje będą zapisane na smartfonie osoby której przekażesz swoje dane, bądź której dane będziesz weryfikować.


30. Weryfikacja poprawności Certyfikatu dokonywana w związku ze skorzystaniem z funkcji elektronicznego przekazania danych lub elektronicznej weryfikacji danych osobistych nie wymaga aktywnego połączenia internetowego.
31. W przypadku konieczności weryfikacji aktualności Certyfikatu Użytkownika (jego waż- ności) przekazującego dane oraz Użytkownika pobierającego, należy wybrać funkcję „Weryfikuj. Aby można było skorzystać z funkcji „Weryfikuj” urządzenie mobilne musi mieć aktywne połączenie internetowe.
32. Funkcja „Historia” pozwala na zapoznanie się z historią:
32.1. pobranych danych osobistych, zawierającą daty pobrań oraz zapisane dane Użytkowników, którzy dokonywali weryfikacji zgodnie z ust. 3 i 4 powyżej;
32.2. weryfikacji danych osobistych, zawierającą daty weryfikacji oraz zapisane dane Użytkowników zweryfikowanych zgodnie z ust. 5 i 6 powyżej.
Proste: weryfikacja elektroniczna certyfikatów zapisanych w aplikacjach realizowana jest jedynie z użyciem połączenia Bluetooth (dane muszą zostać wymienione między urządzeniami i aplikacjami). Weryfikacja aktualności danych w certyfikatach wymaga dostępu do centralnego systemu Ministerstwa Cyfryzacji - wymagane jest połączenie z Internetem.
W Historii znaleźć można naszą wcześniejszą aktywność wraz z danymi osób którym przekazaliśmy dane lub których dane weryfikowaliśmy.

33. Funkcja odświeżenia danych Użytkownika (dostępna z menu Aplikacji), umożliwia ponowne pobranie danych Użytkownika z Rejestru Dowodów Osobistych i rejestru PESEL i zapisanie ich w urządzeniu mobilnym Użytkownika. Z funkcji tej należy korzystać po zmianie danych zawartych w Rejestrze Dowodów Osobistych lub rejestrze PESEL (np. zmiana nazwiska, zmiana dowodu osobistego).
34. Funkcja odświeżenia danych Użytkownika wymaga dokonania potwierdzenia tożsamości Użytkownika przy użyciu Profilu Zaufanego. Do odświeżenia danych Użytkownika odpowiednio stosuje się postanowienia § 3 ust. 2 do 3 i 6 do 9 Regulaminu.
35. Funkcja zarządzania Certyfikatem (dostępna z menu Aplikacji) umożliwia unieważnienie Certyfikatów Użytkownika. Po unieważnieniu Certyfikatu dla pojedynczego urządzenia mobilnego, dane przechowywane w Aplikacji są nadal dostępne dla Użytkownika. Nie jest jednak możliwe prawidłowe korzystanie z funkcji „Sprawdź” i „Przekaż”. W przypadku wybrania tych funkcji wyświetlać się będzie komunikat „Brak ważnego certyfikatu”.
36. Funkcja usunięcia danych z Aplikacji (dostępna z menu Aplikacji) usuwa wszystkie dane przechowywane w Aplikacji oraz unieważnia Certyfikat. Po użyciu tej funkcji Aplikacja nie ulega odinstalowaniu z Urządzenia mobilnego, jednak, aby mogła być ponownie używana, wymaga ponownego aktywowania, zgodnie z § 3 Regulaminu.

Bezpieczeństwo tej aplikacji w dużej mierze zależy od bezpieczeństwa Twojego hasła i kondycji Twojego telefonu. Dbaj o hasło i nie przekazuj go nikomu, uważaj gdzie i jak je wprowadzasz. Aktualizuj aplikacje i system operacyjny używany na urządzeniu mobilnym. Nie łam zabezpieczeń producenta. Podstawowe informacje zawarliśmy na tej grafice:




§5. Wymagania techniczne
37. Aplikacja jest przeznaczona na urządzenia mobilne z systemem operacyjnym Android w wersji nie niższej niż 6.0 i dostępem do Google Play Store. Lista urządzeń, na których Aplikacja została przetestowana, dostępna jest adresem www.mobywatel.gov.pl/urzą- dzenia. Dostawca dokłada starań dla zapewnienia jak najszerszej kompatybilności Aplikacji z urządzeniami mobilnymi różnych producentów, ale nie gwarantuje, że Aplikacja będzie działać poprawnie na urządzeniach, na których nie została przetestowana.
38. Pobranie i aktywacja Aplikacji wymagają połączenia z siecią Internet. Połączenia z siecią internet wymaga ponadto weryfikacja aktualności Certyfikatu innego Użytkownika oraz odświeżenie Certyfikatu w Aplikacji.
39. Aby Aplikacja działała poprawnie, urządzenie mobilne, na którym jest zainstalowana:
39.1. musi mieć przynajmniej 100 MB wolnej pamięci;
39.2. nie może mieć zainstalowanych modyfikacji systemu operacyjnego, w szczególności modyfikacji polegających na przełamaniu zabezpieczeń producenta urzą- dzenia mobilnego lub producenta systemu operacyjnego (tzw. jailbreaking czy rooting);
39.3. musi posiadać moduł łączności Bluetooth;
39.4. musi umożliwiać nawiązanie połączenia z siecią Internet;
39.5. musi posiadać aparat fotograficzny.
40. Dostawca informuje, że Aplikacja do prawidłowego działania wymaga, aby urządzenie mobilne umożliwiało jej w określonych sytuacjach dostęp do:
40.1. sieci Internet;
40.2. aparatu;
40.3. zdjęć/multimediów/plików;
40.4. identyfikatora urządzenia mobilnego i informacji o połączeniu.
41. Dostawca informuje, że instalacja dostarczanych od czasu do czasu przez Dostawcę aktualizacji Aplikacji może być konieczna dla jej prawidłowego działania i należytego zabezpieczenia zawartych w niej danych. Dostawca rekomenduje instalowanie takich aktualizacji niezwłocznie po ich udostępnieniu za pomocą Google Play Store.
42. Użytkownik powinien instalować uaktualnienia systemu operacyjnego zgodnie z zaleceniami producenta posiadanego urządzenia mobilnego oraz systemu Android. Brak aktualizacji systemu operacyjnego lub Aplikacji może prowadzić do obniżenia poziomu bezpieczeństwa korzystania z Aplikacji, a nawet do wycieku danych z Aplikacji.

Warto zwrócić uwagę, że urządzenie nie może być jailbreakowane (nie mogą zostać zainstalowane mechanizmy łamiące zabezpieczenia producenta).


§6. Prywatność i bezpieczeństwo
43. Okazanie oraz elektroniczne przekazanie danych, jak również przekazanie danych Użytkownika pobierającego dane następuje dobrowolnie i w ramach realizacji uprawnień lub obowiązków Użytkownika w stosunku do innych Użytkowników.
44. W zakresie przetwarzania i ochrony danych, które Użytkownik uzyskał w toku elektronicznego okazywania danych osobistych bądź elektronicznego weryfikowania danych osobistych, Użytkownika obciąża obowiązek stosowania się do powszechnie obowiązujących przepisów prawa.
45. W przypadku zgubienia, kradzieży lub utraty z innych przyczyn urządzenia mobilnego, Użytkownik powinien niezwłocznie dokonać zgłoszenia tego faktu Dostawcy. Zgłoszenie może być dokonane telefonicznie, na numer telefonu 42 253 54 74, czynnego w godzinach 7.00-18.00 w dni robocze.
46. Po zweryfikowaniu danych osobistych Użytkownika dokonującego zgłoszenia, o którym mowa w ust. 3 powyżej, Dostawca unieważni Certyfikat lub Certyfikaty przypisane do danego Użytkownika. Unieważnienie Certyfikatów uniemożliwia skorzystanie z funkcji odświeżenia Certyfikatu w Aplikacji.
47. Dostawca zaleca, aby w przypadku zakończenia korzystania z danego urządzenia mobilnego przez Użytkownika, przed przekazaniem urządzenia osobie trzeciej dokonać resetu danych w Aplikacji w sposób opisany w § 4 ust. 13.

Pamiętaj:
  1. Używanie aplikacji jest dobrowolne, nikt nie  może Cię zmusić do jej instalacji i powiązania z nią Twojej tożsamości.
  2. Bierzesz na siebie odpowiedzialność za dane pozyskane od innych użytkowników, nie możesz ich publikować i udostępniać łamiąc obowiązujące prawo
  3. Zapisz numer 42 253 54 74 i używaj go do odwołania certyfikatu jeśli ktoś ukradł Twoje urządzenie mobilne. Telefon działa w dni robocze w godzinach 7-18, alernatywnie możesz odwołać certyfikat rejestrując się w aplikacji na innym zaufanym urządzeniu mobilnym.
  4. Pamiętaj aby usunąć dane przed przekazaniem/sprzedaniem urządzenia innym (kolejny błąd w regulaminie, powinno być paragraf 4 ust. 36)




48. Aplikacja przechowuje następujące dane Użytkownika:
48.1. imiona i nazwiska;
48.2. PESEL i data urodzenia;
48.3. zdjęcie;
48.4. termin ważności dowodu osobistego;
48.5. seria i numer dowodu osobistego oraz organ, który go wydał;
49. Aplikacja przechowuje następujące dane Użytkowników, których dane osobiste zostały zweryfikowane elektronicznie:
49.1. imiona i nazwisko takich Użytkowników;
49.2. zdjęcia takich Użytkowników o zredukowanej jakości;
49.3. seria i numer dowodów osobistych takich Użytkowników oraz organ je wydający.
Dane przechowywane na Twoim smartfonie i smartfonach osób z którymi wymieniasz się danymi lub umożliwiasz weryfikację Twoich danych. Nie ma tutaj niczego kontrowersyjnego. Taki sam zestaw danych najczęściej jest "notowany" czy "skanowany" gdy jesteśmy proszeni o przedstawienie dowodu osobistego, poza zdjęciem.


50. Dla celu utworzenia Certyfikatu podczas aktywacji Aplikacji oraz zarządzania Certyfikatami Użytkowników, w tym utrzymaniem listy aktywnych Certyfikatów, Dostawca przetwarza dane obejmujące imię, nazwisko oraz numer PESEL Użytkownika. Dane pobierane są z rejestru PESEL podczas aktywacji Aplikacji.
51. Podczas korzystania z funkcji elektronicznego przekazania danych (funkcja „Przekaż”) lub elektronicznej weryfikacji danych osobistych funkcji (funkcja „Sprawdź””) Aplikacja przesyła do urządzenia mobilnego innego Użytkownika, z którym dochodzi do wymiany danych, następujące dane:
51.1. imiona i nazwisko Użytkownika;
51.2. zdjęcie Użytkownika o zredukowanej jakości;
51.3. seria i numer dowodu osobistego oraz organ go wydający. Regulamin aplikacji mObywatel
52. Dostawca gromadzi dane statystyczne dotyczące Aplikacji w zakresie:
52.1. liczby pobrań aplikacji;
52.2. liczby aktualizacji aplikacji;
52.3. liczby akcji odświeżenia danych i wydania Certyfikatów;
52.4. liczby zgłoszonych utrat telefonów;
52.5. liczby zgłoszonych problemów.
53. Z zastrzeżeniem ustępów następnych Dostawca nie przetwarza danych osobowych gromadzonych przez Użytkowników w ramach korzystania przez nich z Aplikacji ani danych o połączeniach między nimi. Dostawca nie gromadzi również informacji o skorzystaniu przez Użytkowników z funkcji elektronicznego przekazania danych lub elektronicznej weryfikacji danych osobistych.
54. Dostawca przy skorzystaniu przez Użytkowników z funkcji weryfikacji aktualności Certyfikatu (sprawdzenie ważności Certyfikatu on-line) gromadzi następujące dane:
54.1. imiona i nazwisko Użytkownika korzystającego z funkcji weryfikacji aktualności Certyfikatu (sprawdzenie ważności Certyfikatu on-line);
54.2. suma kontrolna utworzona z numeru PESEL Użytkownika korzystającego z funkcji weryfikacji aktualności Certyfikatu;
54.3. numer Certyfikatu, o którego zweryfikowanie Użytkownik występuje.
55. Zbieranie danych, o których mowa powyżej wynika z przyczyn technicznych, ma charakter doraźny i jest ograniczone w czasie. Celem zbierania danych jest sprawdzenie poprawności obsługi procesu weryfikacji aktualności Certyfikatu, oraz wykrycia błędów i luk bezpieczeństwa.
56. Dane, o których w ust. 12 są gromadzone od udostępnienia Aplikacji w Google Play Store do końca testów wersji beta Aplikacji. Dostawca przewiduje zakończenie testów wersji beta Aplikacji do dnia 1 lutego 2018 r. Po zakończeniu testów Dostawca niezwłocznie usunie zgromadzone dane.
57. Dostawca umożliwia Użytkownikom pobranie z publicznych rejestrów danych osobowych opisanych w Regulaminie i okazywanie tych danych innym Użytkownikom, na wskazanych w Regulaminie zasadach. Pobrane przez Użytkowników w ramach korzystania z Aplikacji dane, w tym dane osobowe, są przechowywane na urządzeniu mobilnym Użytkownika i z zastrzeżeniem ust. 11, nie są przetwarzane przez Dostawcę.
58. Poza funkcjami elektronicznego przekazania danych oraz elektronicznej weryfikacji danych osobistych, Aplikacja nie oferuje funkcji eksportu ani importu danych.
Kluczowe informacje na temat tego w jakim zakresie danych informacje na temat Twojej tożsamości oraz Twojej aktywności w aplikacji są przetwarzane, przez jaki czas i do jakiego celu.

59. Hasło dostępu do Aplikacji nie jest przechowywane w urządzeniu mobilnym Użytkownika. Dostawca nie umożliwia odtworzenia hasła dostępu do Aplikacji. W przypadku utraty hasła dostępu do Aplikacji niezbędne jest usunięcie Aplikacji z urządzenia mobilnego wraz ze wszystkimi danymi oraz ponowna instalacja i aktywacja Aplikacji.
Zgodnie z dobrymi praktykami bezpieczeństwa , hasło nie jest zapisane na urządzeniu, nie ma również możliwości odzyskania tego hasła, czy legalnymi czy nielegalnymi środkami. Taka architektura rozwiązania koncentruje odpowiedzialność za bezpieczeństwo i poufność hasła w Twoich rękach. Jeśli zapomnisz hasło - należy usunąć aplikację i po ponownej instalacji po raz kolejny ją powiązać z urządzeniem.

60. Dostawca informuje, że dokłada najwyższej staranności w celu zapewnienia wysokiego poziomu bezpieczeństwa teleinformatycznego Aplikacji i danych Użytkowników. Jednakże Dostawca wskazuje, że ze względu na specyfikę technologii informatycznych w przyszłości może zostać ujawniona podatność Aplikacji na określone zagrożenia. Z tego względu Dostawca zaleca dokonywanie aktualizacji Aplikacji zgodnie z § 5 ust. 5 Regulamin aplikacji mObywatel oraz wskazuje, że może od czasu do czasu wydawać publicznie dostępne zalecenia dotyczące zasad bezpieczeństwa związanych z korzystaniem z Aplikacji.

Standardowe zapisy. Warto aktualizować aplikację z uwagi na jej rolę oraz dane w niej przechowane.

§7. Korzystanie z Aplikacji
61. Z chwilą instalacji Aplikacji Dostawca udziela Użytkownikowi niewyłącznej licencji na korzystanie z Aplikacji na warunkach określonych w niniejszym
§ 7. Udzielona licencja jest niewyłączna, nieprzenoszalna, nie uprawnia do udzielania dalszych licencji (sublicencji).
 62. Licencja jest udzielana na czas nieoznaczony i bez ograniczeń terytorialnych.
63. Na podstawie udzielonej licencji Użytkownik jest uprawniony do zwielokrotniania Aplikacji w zakresie niezbędnym do jej zainstalowania i używania na posiadanych przez Użytkownika urządzeniach mobilnych, jeżeli czynności te są podejmowane dla celów korzystania z Aplikacji zgodnie z Regulaminem.
64. Z zastrzeżeniem § 7 ust. 3 oraz wyjątków wynikających z bezwzględnie obowiązujących przepisów prawa, Użytkownik nie jest uprawniony do zwielokrotniania Aplikacji w jakikolwiek inny sposób lub tłumaczenia, przystosowywania, zmiany układu lub wprowadzania jakichkolwiek innych zmian w Aplikacji.

Zapisy związane z prawami autorskimi i prawami do użytkowania aplikacji.

§8. Wsparcie techniczne i zgłoszenia Użytkowników
65. Wsparcie techniczne Aplikacji jest realizowane poprzez udostępnienie Użytkownikom telefonu kontaktowego, czynnego w godzinach 7.00-18.00 w dni robocze, pod numerem 42 253 54 74. 66. Ewentualne pytania, uwagi lub propozycje Użytkowników dotyczące Aplikacji i jej funkcjonalności, można kierować drogą elektroniczną na adres e-mail: mobywatel@mc.gov.pl.

§9. Odpowiedzialność
67. Dostawca informuje, że Użytkownik ponosi pełną odpowiedzialność za naruszenie prawa bądź szkodę wyrządzoną działaniem Użytkownika związanym z korzystaniem przez niego z Aplikacji, w szczególności posłużeniem się lub podaniem do wiadomości publicznej danych innych Użytkowników, uzyskanych za pomocą funkcji oferowanych przez Aplikację, w tym naruszenie ich dóbr osobistych, prywatności lub zasad przetwarzania danych osobowych.
Kluczowe: To z tym punktem mamy najwięcej problemu. Aplikacja wydaje się bardzo mocno na wyrost w stosunku do obecnej kultury konsumpcji informacji i praktyk bezpieczeństwa ogółu społeczeństwa. Jesteśmy jednak dobrej myśli i nie ustajemy w wysiłku szerzenia dobrych praktyk bezpieczeństwa informacji (nie tylko informacji oczywiście).



68. Dostawca informuje, że nie ponosi odpowiedzialności za:
68.1. szkody będące wynikiem niedokonania przez Użytkownika aktualizacji Aplikacji lub niezastosowania się do zaleceń, o których mowa w § 6 ust. 12,
68.2. szkody będące wynikiem korzystania przez Użytkownika z Aplikacji w sposób niezgodny z prawem lub niniejszym Regulaminem;
68.3. jakość i dostępność usług telekomunikacyjnych, niezbędnych do korzystania z Aplikacji, świadczonych przez operatora telekomunikacyjnego, z którego usług korzysta Użytkownik;
68.4. nieprawidłowości funkcjonowania Aplikacji wynikających z nieprawidłowości działania systemu operacyjnego lub urządzenia mobilnego, z którego korzysta Użytkownik.
69. Dostawca informuje, że Aplikacja jest udostępniana Użytkownikom w wersji beta. Udostępnienie Użytkownikom wersji beta ma na celu wykonanie testów prawidłowości działania Aplikacji i powiązanej z nią infrastruktury informatycznej. Dostawca informuje ponadto, że ze względu na specyfikę technologii informatycznych korzystanie z funkcji Aplikacji wymagających dostępu do sieci (aktywacja Aplikacji, odświeżenie Certyfikatu, weryfikacja aktualności Certyfikatu innego użytkownika), może być realizowane z przerwami lub z ograniczeniami wynikającymi z mocy obliczeniowej infrastruktury informatycznej Dostawcy.
70. Dostawca przewiduje zakończenie testów wersji beta Aplikacji 1 lutego 2018 r. Jednakże Dostawca może zakończyć testy wersji beta w każdym czasie, jeżeli będzie to uzasadnione względami technicznymi lub bezpieczeństwa teleinformatycznego. O zakończeniu testów wersji beta Dostawca informuje w komunikatach prasowych lub na stronie internetowej obywatel.gov.pl w karcie usługi „mDokumenty. Potwierdzaj tożsamość smartfonem”. Po zakończeniu testów wersji beta Dostawca nie zapewnia aktualizacji Aplikacji oraz dostępności funkcjonalności Aplikacji wymagającej nawiązania połączenia z systemami informatycznymi Dostawcy (funkcja odświeżenia danych oraz weryfikacji aktualności Certyfikatu), a także prawidłowego funkcjonowania Aplikacji po upływie terminu ważności Certyfikatu przypisanego do Aplikacji.
Kluczowe: Aplikacja w swojej postaci zostanie "porzucona" wraz z zakończeniem okresu testowego w dniu 1 lutego 2018 lub wcześniej. Należy (prawdopodobnie) przejść na aplikację w wersji stabilnej.

§10. Postanowienia końcowe
71. Użytkownik w każdym czasie jest uprawniony do zakończenia korzystania z Aplikacji poprzez jej odinstalowanie z Urządzenia mobilnego.
72. Regulamin może ulec zmianie wraz z kolejnymi wydaniami Aplikacji. Zmiana jest wiążąca dla Użytkowników, którzy zainstalują takie wydanie Aplikacji i zaakceptują zmienione brzmienie Regulaminu.
73. Regulamin jest udostępniony nieodpłatnie w Aplikacji, a ponadto za pośrednictwem strony www.mobywatel.gov.pl/regulamin, w formacie PDF, który umożliwia jego pobranie, utrwalenie i wydrukowanie.

Informacje końcowe, w tym o źródle regulaminu i możliwości jego aktualizacji...


Mamy nadzieję, że lektura regulaminu usługi/aplikacji "mObywatel" uświadomiła Ci konieczność zapoznania się z regulaminami pozostałych usług, jakie używasz nacodzień i bez których codzienność mogłaby być bardziej uciążliwa.

Spokojnego dnia!





Popularne posty