|
Dz.U.01.130.1450
USTAWA
z dnia 18 września 2001 r.
o podpisie elektronicznym.
(Dz. U. z dnia 15 listopada 2001 r.)
Rozdział I
Przepisy ogólne
Art. 1.
Ustawa określa warunki stosowania podpisu elektronicznego,
skutki prawne jego stosowania, zasady świadczenia usług certyfikacyjnych oraz
zasady nadzoru nad podmiotami świadczącymi te usługi.
Art. 2.
Przepisy ustawy stosuje się do podmiotów świadczących usługi
certyfikacyjne, mających siedzibę lub świadczących usługi na terytorium
Rzeczypospolitej Polskiej.
Art. 3.
Użyte w ustawie wyrażenia oznaczają:
1)podpis elektroniczny -
dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały
dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby
składającej podpis elektroniczny,
2)bezpieczny podpis
elektroniczny - podpis elektroniczny, który:
a) jest przyporządkowany wyłącznie
do osoby składającej ten podpis,
b) jest sporządzany za pomocą podlegających
wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń
służących do składania podpisu elektronicznego i danych służących do składania
podpisu elektronicznego,
c) jest powiązany z danymi, do których został
dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest
rozpoznawalna,
3)osoba składająca podpis
elektroniczny - osobę fizyczną posiadającą urządzenie służące do składania
podpisu elektronicznego, która działa w imieniu własnym albo w imieniu innej
osoby fizycznej, prawnej albo jednostki organizacyjnej nieposiadającej
osobowości prawnej,
4)dane służące do składania
podpisu elektronicznego - niepowtarzalne i przyporządkowane osobie fizycznej
dane, które są wykorzystywane przez tę osobę do składania podpisu
elektronicznego,
5)dane służące do
weryfikacji podpisu elektronicznego - niepowtarzalne i przyporządkowane osobie
fizycznej dane, które są wykorzystywane do identyfikacji osoby składającej
podpis elektroniczny,
6)urządzenie służące do
składania podpisu elektronicznego - sprzęt i oprogramowanie skonfigurowane w
sposób umożliwiający złożenie podpisu lub poświadczenia elektronicznego przy
wykorzystaniu danych służących do składania podpisu lub poświadczenia
elektronicznego,
7)bezpieczne urządzenie
służące do składania podpisu elektronicznego - urządzenie służące do składania
podpisu elektronicznego spełniające wymagania określone w ustawie,
8)urządzenie służące do
weryfikacji podpisu elektronicznego - sprzęt i oprogramowanie skonfigurowane w
sposób umożliwiający identyfikację osoby fizycznej, która złożyła podpis
elektroniczny, przy wykorzystaniu danych służących do weryfikacji podpisu
elektronicznego lub w sposób umożliwiający identyfikację podmiotu świadczącego
usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne, przy
wykorzystaniu danych służących do weryfikacji poświadczenia elektronicznego,
9)bezpieczne urządzenie
służące do weryfikacji podpisu elektronicznego - urządzenie służące do
weryfikacji podpisu elektronicznego spełniające wymagania określone w ustawie,
10)certyfikat -
elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji
podpisu elektronicznego są przyporządkowane do osoby składającej podpis
elektroniczny i które umożliwiają identyfikację tej osoby,
11)zaświadczenie
certyfikacyjne - elektroniczne zaświadczenie, za pomocą którego dane służące do
weryfikacji poświadczenia elektronicznego są przyporządkowane do podmiotu
świadczącego usługi certyfikacyjne lub organu, o którym mowa w art. 30 ust. 1,
i które umożliwiają identyfikację tego podmiotu lub organu,
12)kwalifikowany certyfikat
- certyfikat spełniający warunki określone w ustawie, wydany przez
kwalifikowany podmiot świadczący usługi certyfikacyjne, spełniający wymogi
określone w ustawie,
13)usługi certyfikacyjne -
wydawanie certyfikatów, znakowanie czasem lub inne usługi związane z podpisem
elektronicznym,
14)podmiot świadczący usługi
certyfikacyjne - przedsiębiorcę w rozumieniu przepisów ustawy z dnia 19
listopada 1999 r. - Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178,
z 2000 r. Nr 86, poz. 958 i Nr 114, poz. 1193 oraz z 2001 r. Nr 49, poz. 509,
Nr 67, poz. 679 i Nr 102, poz. 1115), Narodowy Bank Polski albo organ władzy
publicznej, świadczący co najmniej jedną z usług, o których mowa w pkt 13,
15)kwalifikowany podmiot
świadczący usługi certyfikacyjne - podmiot świadczący usługi certyfikacyjne,
wpisany do rejestru kwalifikowanych podmiotów świadczących usługi
certyfikacyjne,
16)znakowanie czasem -
usługę polegającą na dołączaniu do danych w postaci elektronicznej logicznie
powiązanych z danymi opatrzonymi podpisem lub poświadczeniem elektronicznym,
oznaczenia czasu w chwili wykonania tej usługi oraz poświadczenia
elektronicznego tak powstałych danych przez podmiot świadczący tę usługę,
17)polityka certyfikacji -
szczegółowe rozwiązania, w tym techniczne i organizacyjne, wskazujące sposób,
zakres oraz warunki bezpieczeństwa tworzenia i stosowania certyfikatów,
18)odbiorca usług
certyfikacyjnych - osobę fizyczną, osobę prawną lub jednostkę organizacyjną
nieposiadającą osobowości prawnej, która:
a) zawarła z podmiotem świadczącym
usługi certyfikacyjne umowę o świadczenie usług certyfikacyjnych lub
b) w
granicach określonych w polityce certyfikacji może działać w oparciu o
certyfikat lub inne dane elektronicznie poświadczone przez podmiot świadczący
usługi certyfikacyjne,
19)poświadczenie
elektroniczne - dane w postaci elektronicznej, które wraz z innymi danymi, do
których zostały dołączone lub logicznie z nimi powiązane, umożliwiają
identyfikację podmiotu świadczącego usługi certyfikacyjne lub organu wydającego
zaświadczenia certyfikacyjne, oraz spełniają następujące wymagania:
a) są
sporządzane za pomocą podlegających wyłącznej kontroli podmiotu świadczącego
usługi certyfikacyjne lub organu wydającego zaświadczenie certyfikacyjne
bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych
służących do składania poświadczenia elektronicznego,
b) jakakolwiek zmiana
danych poświadczonych jest rozpoznawalna,
20)dane służące do składania
poświadczenia elektronicznego - niepowtarzalne i przyporządkowane do podmiotu
świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia
certyfikacyjne dane, które są wykorzystywane przez ten podmiot lub organ do
składania poświadczenia elektronicznego,
21)dane służące do
weryfikacji poświadczenia elektronicznego - niepowtarzalne i przyporządkowane
do podmiotu świadczącego usługi certyfikacyjne lub organu wydającego
zaświadczenia certyfikacyjne dane, które są wykorzystywane do identyfikacji
podmiotu lub organu składającego poświadczenie elektroniczne,
22)weryfikacja bezpiecznego
podpisu elektronicznego - czynności, które pozwalają na identyfikację osoby
składającej podpis elektroniczny oraz pozwalają stwierdzić, że podpis został
złożony za pomocą danych służących do składania podpisu elektronicznego
przyporządkowanych do tej osoby, a także że dane opatrzone tym podpisem nie
uległy zmianie po złożeniu podpisu elektronicznego.
Art. 4.
Certyfikat wydany przez podmiot świadczący usługi
certyfikacyjne, niemający siedziby na terytorium Rzeczypospolitej Polskiej i
nieświadczący usług na jej terytorium, zrównuje się pod względem prawnym z
kwalifikowanymi certyfikatami wydanymi przez kwalifikowany podmiot świadczący
usługi certyfikacyjne, mający siedzibę lub świadczący usługi na terytorium
Rzeczypospolitej Polskiej, jeżeli zostanie spełniona jedna z poniższych
przesłanek:
1)podmiot świadczący usługi
certyfikacyjne, który wydał ten certyfikat, został wpisany do rejestru
kwalifikowanych podmiotów świadczących usługi certyfikacyjne,
2)przewiduje to umowa
międzynarodowa, której stroną jest Rzeczpospolita Polska, o wzajemnym uznaniu
certyfikatów,
3)podmiot świadczący usługi
certyfikacyjne, który wydał ten certyfikat, spełnia wymagania ustawy i została
mu udzielona akredytacja w państwie członkowskim Unii Europejskiej,
4)podmiot świadczący usługi
certyfikacyjne, mający siedzibę na terytorium Wspólnoty Europejskiej,
spełniający wymogi ustawy, udzielił gwarancji za ten certyfikat,
5)certyfikat ten został
uznany za kwalifikowany w drodze umowy międzynarodowej zawartej pomiędzy
Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowymi,
6)podmiot świadczący usługi
certyfikacyjne, który wydał ten certyfikat, został uznany w drodze umowy
międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub
organizacjami międzynarodowymi.
Rozdział II
Skutki prawne podpisu elektronicznego
Art. 5.
1.Bezpieczny podpis
elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu wywołuje
skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego
certyfikatu. Bezpieczny podpis elektroniczny złożony w okresie zawieszenia
kwalifikowanego certyfikatu wykorzystywanego do jego weryfikacji wywołuje
skutki prawne z chwilą uchylenia tego zawieszenia.
2.Dane w postaci
elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy
pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków
prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy
odrębne stanowią inaczej.
3.Bezpieczny podpis
elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu zapewnia
integralność danych opatrzonych tym podpisem i jednoznaczne wskazanie
kwalifikowanego certyfikatu, w ten sposób, że rozpoznawalne są wszelkie zmiany
tych danych oraz zmiany wskazania kwalifikowanego certyfikatu wykorzystywanego
do weryfikacji tego podpisu, dokonane po złożeniu podpisu.
Art. 6.
1.Bezpieczny podpis
elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu
stanowi dowód tego, że został on złożony przez osobę określoną w tym
certyfikacie jako składającą podpis elektroniczny.
2.Przepis ust. 1 nie odnosi
się do certyfikatu po upływie terminu jego ważności lub od dnia jego
unieważnienia oraz w okresie jego zawieszenia, chyba że zostanie udowodnione,
że podpis został złożony przed upływem terminu ważności certyfikatu lub przed
jego unieważnieniem albo zawieszeniem.
3.Nie można powoływać się,
że podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego
certyfikatu nie został złożony za pomocą bezpiecznych urządzeń i danych,
podlegających wyłącznej kontroli osoby składającej podpis elektroniczny.
Art. 7.
1.Podpis elektroniczny może
być znakowany czasem.
2.Znakowanie czasem przez
kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności
skutki prawne daty pewnej w rozumieniu przepisów Kodeksu cywilnego.
3.Uważa się, że podpis
elektroniczny znakowany czasem przez kwalifikowany podmiot świadczący usługi
certyfikacyjne został złożony nie później niż w chwili dokonywania tej usługi.
Domniemanie to istnieje do dnia utraty ważności zaświadczenia certyfikacyjnego
wykorzystywanego do weryfikacji tego znakowania. Przedłużenie istnienia
domniemania wymaga kolejnego znakowania czasem podpisu elektronicznego wraz z
danymi służącymi do poprzedniej weryfikacji przez kwalifikowany podmiot
świadczący tę usługę.
Art. 8. Nie można odmówić ważności i skuteczności podpisowi
elektronicznemu tylko na tej podstawie, że istnieje w postaci elektronicznej
lub dane służące do weryfikacji podpisu nie mają kwalifikowanego certyfikatu,
lub nie został złożony za pomocą bezpiecznego urządzenia służącego do składania
podpisu elektronicznego.
Rozdział III
Obowiązki podmiotów świadczących usługi certyfikacyjne
Art. 9.
1.Prowadzenie działalności w
zakresie świadczenia usług certyfikacyjnych nie wymaga uzyskania zezwolenia ani
koncesji.
2.Organy władzy publicznej i
Narodowy Bank Polski mogą świadczyć usługi certyfikacyjne, z zastrzeżeniem ust.
3, wyłącznie na użytek własny lub innych organów władzy publicznej.
3.Jednostka samorządu
terytorialnego może świadczyć usługi certyfikacyjne na zasadach niezarobkowych
także dla członków wspólnoty samorządowej.
Art. 10.
1.Kwalifikowany podmiot
świadczący usługi certyfikacyjne wydający kwalifikowane certyfikaty jest
obowiązany:
1)zapewnić techniczne i
organizacyjne możliwości szybkiego i niezawodnego wydawania, zawieszania i
unieważniania certyfikatów oraz określenia czasu dokonania tych czynności,
2)stwierdzić tożsamość osoby
ubiegającej się o certyfikat,
3)zapewnić środki
przeciwdziałające fałszerstwom certyfikatów i innych danych poświadczanych
elektronicznie przez te podmioty, w szczególności przez ochronę urządzeń i
danych wykorzystywanych przy świadczeniu usług certyfikacyjnych,
4)zawrzeć umowę
ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług
certyfikacyjnych,
5)poinformować osobę
ubiegającą się o certyfikat, przed zawarciem z nią umowy, o warunkach uzyskania
i używania certyfikatu, w tym o wszelkich ograniczeniach jego użycia,
6)używać systemów do
tworzenia i przechowywania certyfikatów w sposób zapewniający możliwość
wprowadzania i zmiany danych jedynie osobom uprawnionym,
7)jeżeli podmiot zapewnia
publiczny dostęp do certyfikatów, to ich publikacja wymaga uprzedniej zgody
osoby, której wydano ten certyfikat,
8)udostępniać odbiorcy usług
certyfikacyjnych pełny wykaz bezpiecznych urządzeń do składania i weryfikacji
podpisów elektronicznych i warunki techniczne, jakim te urządzenia powinny
odpowiadać,
9)zapewnić, w razie
tworzenia przez niego danych służących do składania podpisu elektronicznego,
poufność procesu ich tworzenia, a także nie przechowywać i nie kopiować tych
danych ani innych danych, które mogłyby służyć do ich odtworzenia, oraz nie
udostępniać ich nikomu innemu poza osobą, która będzie składała za ich pomocą
podpis elektroniczny,
10)zapewnić, w razie
tworzenia przez niego danych służących do składania podpisu elektronicznego,
aby dane te z prawdopodobieństwem graniczącym z pewnością wystąpiły tylko raz,
11)publikować dane, które
umożliwią weryfikację, w tym również w sposób elektroniczny, autentyczności i
ważności certyfikatów oraz innych danych poświadczanych elektronicznie przez
ten podmiot oraz zapewnić nieodpłatny dostęp do tych danych odbiorcom usług
certyfikacyjnych.
2.Kwalifikowany podmiot
świadczący usługi certyfikacyjne polegające na znakowaniu czasem jest
obowiązany spełnić wymogi, o których mowa w ust. 1 pkt 3, 4 i 8, oraz używać
systemów do znakowania czasem, tworzenia i przechowywania zaświadczeń
certyfikacyjnych, w sposób zapewniający możliwość wprowadzania i zmiany danych
jedynie osobom uprawnionym, a także zapewnić, że czas w nich określony jest
czasem z chwili składania poświadczenia elektronicznego i uniemożliwiają one
oznaczenie czasem innym niż w chwili wykonania usługi znakowania czasem.
3.Osoba wykonująca czynności
związane ze świadczeniem usług certyfikacyjnych powinna:
1)posiadać pełną zdolność do
czynności prawnych,
2)nie być skazana
prawomocnym wyrokiem za przestępstwo przeciwko wiarygodności dokumentów,
obrotowi gospodarczemu, obrotowi pieniędzmi i papierami wartościowymi,
przestępstwo skarbowe lub przestępstwa, o których mowa w rozdziale VIII ustawy,
3)posiadać niezbędną wiedzę
i umiejętności w zakresie technologii tworzenia certyfikatów i świadczenia
innych usług związanych z podpisem elektronicznym.
4.Rada Ministrów może
określić, w drodze rozporządzenia, szczegółowe warunki techniczne i
organizacyjne, które muszą spełniać kwalifikowane podmioty świadczące usługi
certyfikacyjne, w tym wymagania z zakresu ochrony fizycznej pomieszczeń, w
których znajdują się informacje, o których mowa w art. 12 ust. 1, uwzględniając
zakres stosowania wydawanych przez nie certyfikatów, wymagania ich ochrony oraz
konieczność zapewnienia ochrony interesów odbiorców usług certyfikacyjnych.
5.Minister właściwy do spraw
instytucji finansowych, w porozumieniu z ministrem właściwym do spraw
gospodarki, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w drodze
rozporządzenia, sposób i szczegółowe warunki spełnienia obowiązku
ubezpieczenia, o którym mowa w ust. 1 pkt 4, w tym w szczególności termin
powstania obowiązku zawarcia umowy ubezpieczenia oraz minimalne sumy
gwarancyjne, z uwzględnieniem konieczności zapewnienia gwarancji spełnienia
obowiązku zawarcia umowy ubezpieczenia.
Art. 11.
1.Podmiot świadczący usługi
certyfikacyjne odpowiada wobec odbiorców usług certyfikacyjnych, z
zastrzeżeniem ust. 2 i 3, za wszelkie szkody spowodowane niewykonaniem lub
nienależytym wykonaniem swych obowiązków w zakresie świadczonych usług, chyba
że niewykonanie lub nienależyte wykonanie tych obowiązków jest następstwem
okoliczności, za które podmiot świadczący usługi certyfikacyjne nie ponosi
odpowiedzialności i którym nie mógł zapobiec mimo dołożenia należytej
staranności.
2.Podmiot świadczący usługi
certyfikacyjne nie odpowiada wobec odbiorców usług certyfikacyjnych za szkody
wynikające z użycia certyfikatu poza zakresem określonym w polityce
certyfikacji, która została wskazana w certyfikacie, w tym w szczególności za
szkody wynikające z przekroczenia najwyższej wartości granicznej transakcji,
jeżeli wartość ta została ujawniona w certyfikacie.
3.Podmiot świadczący usługi
certyfikacyjne nie odpowiada wobec odbiorców usług certyfikacyjnych za szkodę
wynikłą z nieprawdziwości danych zawartych w certyfikacie, wpisanych na wniosek
osoby składającej podpis elektroniczny.
4.Podmiot świadczący usługi
certyfikacyjne, który udzielił gwarancji za certyfikat zgodnie z art. 4 pkt 4,
odpowiada wobec odbiorców usług certyfikacyjnych za wszelkie szkody spowodowane
użyciem tego certyfikatu, chyba że szkoda wynikła z użycia certyfikatu poza
zakresem określonym w polityce certyfikacji, która została wskazana w tym
certyfikacie.
Art. 12.
1.Informacje związane ze
świadczeniem usług certyfikacyjnych, których nieuprawnione ujawnienie mogłoby
narazić na szkodę podmiot świadczący usługi certyfikacyjne lub odbiorcę usług
certyfikacyjnych, a w szczególności dane służące do składania poświadczeń
elektronicznych, są objęte tajemnicą. Nie są objęte tajemnicą informacje o
naruszeniach ustawy przez podmiot świadczący usługi certyfikacyjne.
2.Do zachowania tajemnicy, o
której mowa w ust. 1, są obowiązane osoby:
1)reprezentujące podmiot
świadczący usługi certyfikacyjne,
2)pozostające z podmiotem
świadczącym usługi certyfikacyjne w stosunku pracy, w stosunku zlecenia lub
innym stosunku prawnym o podobnym charakterze,
3)pozostające w stosunku
pracy, w stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze z
podmiotami świadczącymi usługi na rzecz podmiotu świadczącego usługi
certyfikacyjne,
4)osoby i organy, które
weszły w jej posiadanie w trybie określonym w ust. 3.
3.Osoby, o których mowa w
ust. 2, mają obowiązek udzielenia informacji, o których mowa w ust. 1, z
wyjątkiem danych służących do składania poświadczeń elektronicznych, wyłącznie
na żądanie:
1)sądu lub prokuratora - w
związku z toczącym się postępowaniem,
2)ministra właściwego do
spraw gospodarki - w związku ze sprawowaniem przez niego nadzoru nad
działalnością podmiotów świadczących usługi certyfikacyjne, o którym mowa w
rozdziale VII,
3)innych organów państwowych
upoważnionych do tego na podstawie odrębnych ustaw - w związku z prowadzonymi
przez nie postępowaniami w sprawach dotyczących działalności podmiotów
świadczących usługi certyfikacyjne.
4.Obowiązek zachowania
tajemnicy, o której mowa w ust. 1, z zastrzeżeniem ust. 5, trwa przez okres 10
lat od ustania stosunków prawnych wymienionych w ust. 2.
5.Obowiązek zachowania
tajemnicy danych służących do składania poświadczeń elektronicznych trwa
bezterminowo.
Art. 13.
1.Podmiot świadczący usługi
certyfikacyjne, z zastrzeżeniem ust. 5 oraz art. 10 ust. 1 pkt 9, przechowuje i
archiwizuje dokumenty i dane w postaci elektronicznej bezpośrednio związane z
wykonywanymi usługami certyfikacyjnymi w sposób zapewniający bezpieczeństwo
przechowywanych dokumentów i danych.
2.W przypadku
kwalifikowanych podmiotów świadczących usługi certyfikacyjne obowiązek
przechowania dokumentów i danych, o których mowa w ust. 1, trwa przez okres 20
lat od chwili powstania danego dokumentu lub danych.
3.W przypadku zaprzestania
działalności przez kwalifikowany podmiot świadczący usługi certyfikacyjne,
dokumenty i dane, o których mowa w ust. 1, przechowuje minister właściwy do
spraw gospodarki albo wskazany przez niego podmiot. Za przechowywanie
dokumentów i danych, o których mowa w ust. 1, minister właściwy do spraw
gospodarki pobiera opłatę, nie wyższą jednak niż równowartość w złotych 1 euro
za każdy wydany certyfikat, którego dokumentacja podlega przechowywaniu,
obliczoną według kursu średniego ogłaszanego przez Narodowy Bank Polski,
obowiązującego w dniu zaprzestania działalności przez kwalifikowany podmiot
świadczący usługi certyfikacyjne. Opłata ta powinna być przeznaczona na
sfinansowanie czynności, o których mowa w zdaniu pierwszym.
4.Minister właściwy do spraw
gospodarki określi, w drodze rozporządzenia, tryb uiszczania i wysokość opłat,
o których mowa w ust. 3, uwzględniając ilość oraz planowane koszty
przechowywania dokumentów i danych, o których mowa w ust. 1.
5.Podmiot świadczący usługi
certyfikacyjne niszczy dane służące do składania poświadczeń elektronicznych
niezwłocznie po unieważnieniu lub po upływie okresu ważności zaświadczenia
certyfikacyjnego wykorzystywanego do weryfikacji tych poświadczeń.
Rozdział IV
Świadczenie usług certyfikacyjnych
Art. 14.
1.Podmiot świadczący usługi
certyfikacyjne wydaje certyfikat na podstawie umowy.
2.Podmiot świadczący usługi
certyfikacyjne przed zawarciem umowy, o której mowa w ust. 1, jest obowiązany
poinformować na piśmie lub za pomocą informacji trwale zapisanej na nośniku
elektronicznym, w sposób jasny i powszechnie zrozumiały, o dokładnych warunkach
użycia tego certyfikatu, w tym o sposobie rozpatrywania skarg i sporów, a w
szczególności o istotnych jego warunkach obejmujących:
1)zakres i ograniczenia jego
stosowania,
2)skutki prawne składania
podpisów elektronicznych weryfikowanych przy pomocy tego certyfikatu,
3)informację o systemie
dobrowolnej rejestracji podmiotów kwalifikowanych i ich znaczeniu.
3.W przypadku wydawania
certyfikatów niebędących certyfikatami kwalifikowanymi, informacja, o której
mowa w ust. 2, powinna również zawierać wskazanie, że podpis elektroniczny
weryfikowany przy pomocy tego certyfikatu nie wywołuje skutków prawnych
równorzędnych podpisowi własnoręcznemu.
4.Podmiot świadczący usługi
certyfikacyjne jest obowiązany udostępnić, na wniosek każdego, istotne elementy
informacji, o której mowa w ust. 2.
5.Podmiot świadczący usługi
certyfikacyjne jest obowiązany uzyskać pisemne potwierdzenie zapoznania się z
informacją, o której mowa w ust. 2, przed zawarciem umowy.
6.Podmiot świadczący usługi
certyfikacyjne, z zastrzeżeniem art. 10 ust. 1 pkt 2, może korzystać z
notarialnego potwierdzenia tożsamości odbiorców usług certyfikacyjnych, jeżeli
przewiduje to określona polityka certyfikacji.
7.Podmiot świadczący usługi
certyfikacyjne, wydając kwalifikowane certyfikaty, jest obowiązany stosować
takie procedury ich wydawania, aby uzyskać od osoby ubiegającej się o
certyfikat pisemną zgodę na stosowanie danych służących do weryfikacji jej
podpisu elektronicznego, które są zawarte w wydanym certyfikacie.
Art. 15. Odbiorca usług certyfikacyjnych jest obowiązany przechowywać
dane służące do składania podpisu elektronicznego w sposób zapewniający ich
ochronę przed nieuprawnionym wykorzystaniem w okresie ważności certyfikatu
służącego do weryfikacji tych podpisów.
Art. 16.
1.Umowa o świadczenie usług
certyfikacyjnych powinna być sporządzona w formie pisemnej pod rygorem
nieważności.
2.Nieważność umowy o
świadczenie usług certyfikacyjnych nie powoduje nieważności certyfikatu, jeżeli
przy jego wydaniu zostały spełnione wymogi określone w art. 14 ust. 2 i 5 oraz
uzyskano zgodę, o której mowa w art. 14 ust. 7.
Art. 17.
1.Kwalifikowany podmiot
świadczący usługi certyfikacyjne jest obowiązany do opracowania polityki
certyfikacji. Polityka certyfikacji obejmuje w szczególności:
1)zakres jej zastosowania,
2)opis sposobu tworzenia i
przesyłania danych elektronicznych, które zostaną opatrzone poświadczeniami
elektronicznymi przez podmiot świadczący usługi certyfikacyjne,
3)maksymalne okresy ważności
certyfikatów,
4)sposób identyfikacji i
uwierzytelnienia osób, którym wydawane są certyfikaty, i podmiotu świadczącego
usługi certyfikacyjne,
5)metody i tryb tworzenia
oraz udostępniania certyfikatów, list unieważnionych i zawieszonych
certyfikatów oraz innych poświadczonych elektronicznie danych,
6)opis elektronicznego
zapisu struktur danych zawartych w certyfikatach i innych danych poświadczanych
elektronicznie,
7)sposób zarządzania
dokumentami związanymi ze świadczeniem usług certyfikacyjnych.
2.Rada Ministrów określa, po
zasięgnięciu opinii Prezesa Narodowego Banku Polskiego, w drodze
rozporządzenia, podstawowe wymagania organizacyjne i techniczne dotyczące
polityk certyfikacji dla kwalifikowanych certyfikatów, uwzględniając zakres
zastosowania tych certyfikatów oraz okresy ich ważności, konieczność
zapewnienia współdziałania różnych urządzeń do składania i weryfikacji podpisów
elektronicznych, zapewnienie bezpieczeństwa obrotu prawnego oraz uwzględniając
standardy Unii Europejskiej.
Art. 18.
1.Bezpieczne urządzenie
służące do składania podpisu elektronicznego powinno co najmniej:
1)uniemożliwiać pozyskiwanie
danych służących do składania podpisu lub poświadczenia elektronicznego,
2)nie zmieniać danych, które
mają zostać podpisane lub poświadczone elektronicznie, oraz umożliwiać
przedstawienie tych danych osobie składającej podpis elektroniczny przed chwilą
jego złożenia,
3)gwarantować, że złożenie
podpisu będzie poprzedzone wyraźnym ostrzeżeniem, że kontynuacja operacji
będzie równoznaczna ze złożeniem podpisu elektronicznego,
4)zapewniać łatwe
rozpoznawanie istotnych dla bezpieczeństwa zmian w urządzeniu do składania
podpisu lub poświadczenia elektronicznego.
2.Bezpieczne urządzenie
służące do weryfikacji podpisu elektronicznego powinno spełniać następujące
wymagania:
1)dane używane do
weryfikacji podpisu elektronicznego odpowiadają danym, które są uwidaczniane
osobie weryfikującej ten podpis,
2)podpis elektroniczny jest
weryfikowany rzetelnie, a wynik weryfikacji prawidłowo wykazany,
3)osoba weryfikująca może w
sposób niebudzący wątpliwości ustalić zawartość podpisanych danych,
4)autentyczność i ważność
certyfikatów lub innych danych poświadczonych elektronicznie jest rzetelnie
weryfikowana,
5)wynik weryfikacji
identyfikacji osoby składającej podpis elektroniczny jest poprawnie i czytelnie
wykazywany,
6)użycie pseudonimu jest
jednoznacznie wskazane,
7)istotne dla bezpieczeństwa
zmiany w urządzeniu służącym do weryfikacji podpisu elektronicznego są
sygnalizowane.
3.Rada Ministrów określi, w
drodze rozporządzenia, szczegółowe warunki techniczne, jakim powinny odpowiadać
bezpieczne urządzenia do składania podpisów elektronicznych oraz bezpieczne
urządzenia do weryfikacji podpisów elektronicznych, uwzględniając potrzebę
zapewnienia nienaruszalności i poufności danych opatrzonych takim podpisem.
4.Badania zgodności
urządzeń, o których mowa w ust. 1 i 2, z wymaganiami ustawy odbywają się
zgodnie z odrębnymi przepisami. 5. Służby ochrony państwa, w rozumieniu
przepisów o ochronie informacji niejawnych, dokonują oceny przydatności
urządzeń, o których mowa w ust. 1 i 2, do ochrony informacji niejawnych i
wydają stosowne certyfikaty bezpieczeństwa.
Art. 19.
1.Za czynności, o których
mowa w art. 18 ust. 4 i 5, pobiera się opłatę.
2.Do opłat, o których mowa w
ust. 1, stosuje się przepisy, o których mowa w art. 18 ust. 4, oraz przepisy
ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr
11, poz. 95, z 2000 r. Nr 12, poz. 136 i Nr 39, poz. 462 oraz z 2001 r. Nr 22,
poz. 247, Nr 27, poz. 298, Nr 56, poz. 580, Nr 110, poz. 1189 i Nr 123, poz.
1353).
Art. 20.
1.Kwalifikowany certyfikat
zawiera co najmniej następujące dane:
1)numer certyfikatu,
2)wskazanie, że certyfikat
został wydany jako certyfikat kwalifikowany do stosowania zgodnie z określoną
polityką certyfikacji,
3)określenie podmiotu
świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma
on siedzibę, oraz numer pozycji w rejestrze kwalifikowanych podmiotów
świadczących usługi certyfikacyjne,
4)imię i nazwisko lub
pseudonim osoby składającej podpis elektroniczny; użycie pseudonimu musi być
wyraźnie zaznaczone,
5)dane służące do
weryfikacji podpisu elektronicznego,
6)oznaczenie początku i
końca okresu ważności certyfikatu,
7)poświadczenie
elektroniczne podmiotu świadczącego usługi certyfikacyjne, wydającego dany
certyfikat,
8)ograniczenia zakresu
ważności certyfikatu, jeżeli przewiduje to określona polityka certyfikacji,
9)ograniczenie najwyższej
wartości granicznej transakcji, w której certyfikat może być wykorzystywany,
jeżeli przewiduje to polityka certyfikacji lub umowa, o której mowa w art. 14
ust. 1.
2.Podmiot świadczący usługi
certyfikacyjne, wydając kwalifikowany certyfikat, jest obowiązany zawrzeć w tym
certyfikacie inne dane niż wymienione w ust. 1 na wniosek osoby składającej
podpis elektroniczny, a w szczególności wskazanie, czy osoba ta działa:
1)we własnym imieniu albo
2)jako przedstawiciel innej
osoby fizycznej, osoby prawnej albo jednostki organizacyjnej nieposiadającej
osobowości prawnej, albo
3)w charakterze członka
organu albo organu osoby prawnej, albo jednostki organizacyjnej nieposiadającej
osobowości prawnej, albo
4)jako organ władzy
publicznej. 3. Podmiot świadczący usługi certyfikacyjne, wydając kwalifikowany
certyfikat, potwierdza prawdziwość danych, o których mowa w ust. 2, i
powiadamia podmioty, o których mowa w ust. 2 pkt 2-4, o treści certyfikatu oraz
poucza o możliwości unieważnienia certyfikatu na ich wniosek.
Rozdział V
Ważność certyfikatów
Art. 21.
1.Certyfikat jest ważny w
okresie w nim wskazanym.
2.Podmiot świadczący usługi
certyfikacyjne unieważnia certyfikat kwalifikowany przed upływem okresu jego
ważności, jeżeli:
1)certyfikat ten został
wydany na podstawie nieprawdziwych lub nieaktualnych danych, o których mowa w
art. 20 ust. 1 pkt 4 i ust. 2,
2)nie dopełnił obowiązków
określonych w ustawie,
3)osoba składająca podpis
elektroniczny weryfikowany na podstawie tego certyfikatu nie dopełniła
obowiązków, o których mowa w art. 15,
4)podmiot świadczący usługi
certyfikacyjne zaprzestaje świadczenia usług certyfikacyjnych, a jego praw i
obowiązków nie przejmie inny kwalifikowany podmiot,
5)zażąda tego osoba
składająca podpis elektroniczny lub osoba trzecia wskazana w certyfikacie,
6)zażąda tego minister
właściwy do spraw gospodarki,
7)osoba składająca podpis
elektroniczny utraciła pełną zdolność do czynności prawnych.
3.Unieważnienie certyfikatu
zgodnie z ust. 2 pkt 2 nie wyłącza odpowiedzialności podmiotu świadczącego
usługi certyfikacyjne za szkodę względem osoby składającej podpis
elektroniczny.
4.W przypadku istnienia
uzasadnionego podejrzenia, że istnieją przesłanki do unieważnienia
kwalifikowanego certyfikatu, podmiot świadczący usługi certyfikacyjne jest
obowiązany niezwłocznie zawiesić certyfikat i podjąć działania niezbędne do
wyjaśnienia tych wątpliwości.
5.Zawieszenie
kwalifikowanego certyfikatu nie może trwać dłużej niż 7 dni.
6.Po upływie okresu
wymienionego w ust. 5, w przypadku niemożności wyjaśnienia wątpliwości, podmiot
świadczący usługi certyfikacyjne niezwłocznie unieważnia kwalifikowany
certyfikat.
7.Certyfikat, który został
zawieszony, może zostać następnie unieważniony lub jego zawieszenie może zostać
uchylone.
8.Certyfikat, który został
unieważniony, nie może być następnie uznany za ważny.
9.Minister właściwy do spraw
gospodarki składa żądanie, o którym mowa w ust. 2 pkt 6, jeżeli zachodzą
przesłanki określone w ust. 2 pkt 1-4 i pkt 7.
10.O unieważnieniu lub
zawieszeniu certyfikatu podmiot świadczący usługi certyfikacyjne zawiadamia
niezwłocznie osobę składającą podpis elektroniczny weryfikowany na jego
podstawie.
11.Zawieszenie lub
unieważnienie certyfikatu nie może następować z mocą wsteczną.
Art. 22.
1.Podmiot świadczący usługi
certyfikacyjne publikuje listę zawieszonych i unieważnionych certyfikatów.
2.Informacje o zawieszeniu
lub unieważnieniu certyfikatu umieszcza się na każdej liście zawieszonych i
unieważnionych certyfikatów publikowanej przed dniem upływu okresu ważności
certyfikatu oraz na pierwszej liście publikowanej po upływie tego okresu.
3.Lista zawieszonych i
unieważnionych kwalifikowanych certyfikatów powinna zawierać w szczególności:
1)numer kolejny listy i
wskazanie, że lista została opublikowana zgodnie z określoną polityką
certyfikacji i dotyczy certyfikatów wydanych zgodnie z tą polityką,
2)datę i czas opublikowania
listy z dokładnością określoną w polityce certyfikacji,
3)datę przewidywanego
opublikowania kolejnej listy,
4)określenie podmiotu
świadczącego usługi certyfikacyjne wydającego listę i państwa, w którym ma on
siedzibę, oraz numer wpisu w rejestrze kwalifikowanych podmiotów świadczących
usługi certyfikacyjne,
5)numer każdego zawieszonego
lub unieważnionego certyfikatu oraz wskazanie, czy został on unieważniony, czy
zawieszony,
6)datę i czas, z
dokładnością określoną w polityce certyfikacji, zawieszenia lub unieważnienia
każdego certyfikatu,
7)poświadczenie
elektroniczne podmiotu świadczącego usługi certyfikacyjne, publikującego listę.
4.Podmiot świadczący usługi
certyfikacyjne publikuje informacje o zawieszeniu i unieważnieniu certyfikatu
na liście, o której mowa w ust. 1, zgodnie z odpowiednią polityką certyfikacji,
jednak nie później niż w ciągu 1 godziny od unieważnienia lub zawieszenia
certyfikatu.
5.Zawieszenie i
unieważnienie certyfikatu wywołuje skutki prawne od momentu, o którym mowa w
ust. 3 pkt 6, który nie może być wcześniejszy niż data i czas publikacji
poprzedniej listy zawieszonych i unieważnionych certyfikatów.
Rozdział VI
Udzielanie akredytacji i dokonywanie wpisu do rejestru kwalifikowanych podmiotów
świadczących usługi certyfikacyjne
Art. 23.
1.Podmiot świadczący usługi
certyfikacyjne lub zamierzający podjąć taką działalność może wystąpić o wpis do
rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne.
2.Świadczenie usług
certyfikacyjnych w charakterze kwalifikowanego podmiotu świadczącego usługi
certyfikacyjne wymaga uzyskania wpisu do rejestru kwalifikowanych podmiotów
świadczących usługi certyfikacyjne i uzyskania zaświadczenia certyfikacyjnego
wykorzystywanego do weryfikowania poświadczeń elektronicznych tego podmiotu,
wydanego przez ministra właściwego do spraw gospodarki, z zastrzeżeniem ust. 4
i 5.
3.Minister właściwy do spraw
gospodarki publikuje, w postaci elektronicznej, listę wydanych zaświadczeń
certyfikacyjnych, o których mowa w ust. 2, oraz dane służące do weryfikacji
wydanych przez siebie zaświadczeń certyfikacyjnych.
4.Minister właściwy do spraw
gospodarki może, w trybie przepisów o zamówieniach publicznych, powierzyć
podmiotowi świadczącemu usługi certyfikacyjne wytwarzanie i wydawanie
zaświadczeń certyfikacyjnych, o których mowa w ust. 2, publikację listy, o
której mowa w ust. 3, oraz danych służących do weryfikacji wydanych zaświadczeń
certyfikacyjnych.
5.Minister właściwy do spraw
gospodarki, na wniosek Prezesa Narodowego Banku Polskiego, upoważnia Narodowy
Bank Polski lub wskazany we wniosku podmiot pozostający z Narodowym Bankiem
Polskim w stosunku zależności do wykonywania usług, o których mowa w ust. 4.
Upoważnienie dla podmiotu zależnego wygasa z mocy prawa w przypadku ustania
stosunku zależności od Narodowego Banku Polskiego.
6.Podmioty, o których mowa w
ust. 4 i 5, muszą spełniać wymagania ustawy dla kwalifikowanych podmiotów
świadczących usługi certyfikacyjne w zakresie bezpieczeństwa, wydawania,
przechowywania i unieważniania certyfikatów i nie mogą świadczyć usług
certyfikacyjnych polegających na wydawaniu certyfikatów.
7.W przypadkach, o których
mowa w ust. 4 i 5, minister właściwy do spraw gospodarki, dokonując wpisu do
rejestru, o którym mowa w ust. 1, wskazuje podmiotowi świadczącemu usługi
certyfikacyjne nazwę i siedzibę podmiotu upoważnionego do wytwarzania i
wydawania zaświadczeń certyfikacyjnych.
Art. 24.
1.Wpisu do rejestru
kwalifikowanych podmiotów świadczących usługi certyfikacyjne dokonuje się na
wniosek podmiotu, który zamierza świadczyć lub świadczy usługi certyfikacyjne.
2.Wniosek o dokonanie wpisu
do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne
powinien zawierać:
1)imię i nazwisko lub nazwę
(firmę) wnioskodawcy,
2)określenie polityki
certyfikacji, zgodnie z którą mają być tworzone i stosowane kwalifikowane
certyfikaty lub świadczone inne usługi związane z podpisem elektronicznym,
3)miejsce zamieszkania lub
siedzibę oraz adres wnioskodawcy,
4)aktualny wypis z rejestru
przedsiębiorców i rejestru dłużników niewypłacalnych,
5)imiona i nazwiska osób, o
których mowa w art. 10 ust. 3, które podmiot ten zatrudnia lub zamierza
zatrudnić,
6)informacje o
kwalifikacjach i doświadczeniu zawodowym oraz zaświadczenia o niekaralności
osób, o których mowa w art. 10 ust. 3,
7)wskazanie technicznych i
organizacyjnych możliwości wykonywania czynności w zakresie świadczenia usług
certyfikacyjnych,
8)określenie sposobu
zapobiegania ujawnianiu informacji, których wykorzystanie mogłoby naruszać
interes odbiorców usług certyfikacyjnych,
9)dokumenty przedstawiające
sytuację majątkową oraz plan organizacyjny i finansowy działalności
wnioskodawcy,
10)dowód uiszczenia opłaty
za rozpatrzenie wniosku o dokonanie wpisu do rejestru kwalifikowanych podmiotów
świadczących usługi certyfikacyjne,
11)dane służące do
weryfikacji poświadczeń elektronicznych składanych przez podmiot w ramach
świadczonych przez niego usług certyfikacyjnych,
12)numer identyfikacji
podatkowej wnioskodawcy,
13)numer identyfikacyjny
REGON wnioskodawcy.
3.Przepisów ust. 2 pkt 4, 9
i 13 nie stosuje się do wniosku składanego przez organ władzy publicznej lub
Narodowy Bank Polski.
4.W przypadku braków we
wniosku, minister właściwy do spraw gospodarki wzywa wnioskodawcę do jego
uzupełnienia, wyznaczając termin nie krótszy niż 7 dni.
5.Termin, o którym mowa w
ust. 4, może zostać przedłużony na umotywowany wniosek wnioskodawcy złożony
przed upływem tego terminu.
6.Nieuzupełnienie wniosku w
wyznaczonym terminie skutkuje odrzuceniem wniosku.
7.Za rozpatrzenie wniosku o
dokonanie wpisu do rejestru kwalifikowanych podmiotów świadczących usługi
certyfikacyjne pobiera się opłatę. Uiszczona opłata nie podlega zwrotowi.
8.Minister właściwy do spraw
gospodarki określi, w drodze rozporządzenia:
1)wzór i szczegółowy zakres
wniosku, uwzględniając możliwość elektronicznego przetwarzania danych zawartych
w formularzach,
2)szczegółowy tryb tworzenia
i wydawania zaświadczenia certyfikacyjnego, w tym przez podmioty upoważnione na
podstawie art. 23 ust. 4 lub 5, biorąc pod uwagę konieczność zapewnienia
poufności tworzenia i wydawania zaświadczenia certyfikacyjnego,
3)wysokość opłat za
rozpatrzenie wniosku o dokonanie wpisu do rejestru kwalifikowanych podmiotów
świadczących usługi certyfikacyjne, uwzględniając uzasadnione koszty ponoszone
w związku z postępowaniem rejestrowym i prowadzeniem rejestru.
Art. 25.
1.Minister właściwy do spraw
gospodarki, po przeprowadzeniu kontroli, dokonuje wpisu do rejestru
kwalifikowanych podmiotów świadczących usługi certyfikacyjne albo wydaje
decyzję o odmowie dokonania wpisu do rejestru kwalifikowanych podmiotów
świadczących usługi certyfikacyjne w terminie 2 miesięcy od dnia złożenia
wniosku spełniającego wymogi określone w art. 24 ust. 2.
2.Uzyskanie wpisu do
rejestru, o którym mowa w ust. 1, przez podmiot świadczący usługi
certyfikacyjne stanowi potwierdzenie, że jest on instytucją posiadającą
wystarczający potencjał merytoryczny i techniczny dla wystawcy kwalifikowanych
certyfikatów i spełnia wymagania określone w ustawie.
3.Decyzja o dokonaniu wpisu
powinna w szczególności określać nazwę polityki certyfikacji, w ramach której
dany podmiot może wydawać kwalifikowane certyfikaty lub świadczyć inne usługi
związane z podpisem elektronicznym. 4. Minister właściwy do spraw gospodarki
odmawia dokonania wpisu do rejestru, o którym mowa w ust. 1, jeżeli:
1)wniosek i dołączone do
niego dokumenty nie spełniają warunków określonych w ustawie,
2)w dokumentach
organizacyjnych podmiotu są zamieszczone postanowienia mogące zagrażać
bezpieczeństwu albo w inny sposób naruszać interes odbiorców usług
certyfikacyjnych,
3)podmiot został umieszczony
w rejestrze dłużników niewypłacalnych,
4)wskazane we wniosku
techniczne i organizacyjne możliwości wykonywania czynności w zakresie
świadczenia usług certyfikacyjnych nie spełniają warunków określonych na
podstawie art. 10 ust. 4, art. 17 ust. 2 i art. 18 ust. 3,
5)osoby, o których mowa w
art. 24 ust. 2 pkt 5, nie spełniają wymogów wymienionych w art. 10 ust. 3.
Art. 26.
1.Wpis kwalifikowanego
podmiotu świadczącego usługi certyfikacyjne do rejestru kwalifikowanych
podmiotów świadczących usługi certyfikacyjne obejmuje:
1)imię i nazwisko lub nazwę
(firmę) kwalifikowanego podmiotu świadczącego usługi certyfikacyjne,
2)sposób reprezentacji
kwalifikowanego podmiotu świadczącego usługi certyfikacyjne oraz numer wpisu do
rejestru przedsiębiorców i oznaczenie sądu prowadzącego ten rejestr,
3)imiona i nazwiska osób
reprezentujących kwalifikowany podmiot świadczący usługi certyfikacyjne,
4)nazwę polityki
certyfikacji, w ramach której dany podmiot może wydawać kwalifikowane
certyfikaty lub świadczyć inne usługi związane z podpisem elektronicznym,
5)informacje o sumie
ubezpieczenia i warunkach umowy, o której mowa w art. 10 ust. 1 pkt 4, oraz
nazwę zakładu ubezpieczeń,
6)datę dokonania wpisu lub
wydania decyzji o wykreśleniu wpisu.
2.Podmiot, który uzyskał
wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne,
ma obowiązek, w terminie 30 dni od dnia doręczenia decyzji o dokonaniu wpisu,
doręczyć dowód zawarcia umowy, o której mowa w art. 10 ust. 1 pkt 4, oraz
przedstawić informacje, o których mowa w ust. 1 pkt 5.
3.Minister właściwy do spraw
gospodarki niezwłocznie po uzyskaniu informacji, o których mowa w ust. 1 pkt 5,
uzupełnia o nie wpis do rejestru kwalifikowanych podmiotów świadczących usługi
certyfikacyjne.
4.Jeżeli podmiot, który
uzyskał wpis do rejestru kwalifikowanych podmiotów świadczących usługi
certyfikacyjne, nie wywiąże się w terminie z obowiązku, o którym mowa w ust. 2,
minister właściwy do spraw gospodarki wydaje decyzję o wykreśleniu wpisu w
rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne.
5.Po dokonaniu wpisu do
rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne minister
właściwy do spraw gospodarki niezwłocznie, jednak nie wcześniej niż w dniu
wywiązania się przez podmiot świadczący usługi certyfikacyjne z obowiązku, o
którym mowa w ust. 2, wydaje zaświadczenie certyfikacyjne, o którym mowa w art.
23 ust. 2.
Art. 27.
1.Rejestr kwalifikowanych
podmiotów świadczących usługi certyfikacyjne prowadzi minister właściwy do
spraw gospodarki.
2.Rejestr, o którym mowa w
ust. 1, i zaświadczenia certyfikacyjne, o których mowa w art. 23 ust. 2, są
jawne i publicznie dostępne, w tym również w formie elektronicznej.
3.Minister właściwy do spraw
gospodarki określi, w drodze rozporządzenia, sposób prowadzenia rejestru
kwalifikowanych podmiotów świadczących usługi certyfikacyjne, wzór tego
rejestru oraz szczegółowy tryb postępowania w sprawach o wpis do rejestru,
uwzględniając konieczność zapewnienia dostępu do rejestru osobom trzecim oraz
możliwość wpisywania wszystkich danych uzyskanych w toku postępowania w sprawie
dokonania wpisu do rejestru kwalifikowanych podmiotów świadczących usługi
certyfikacyjne, w tym informacji o likwidacji lub upadłości podmiotu
świadczącego usługi certyfikacyjne.
Art. 28.
1.Kwalifikowany podmiot
świadczący usługi certyfikacyjne jest obowiązany zawiadamiać niezwłocznie, nie
później niż w terminie 7 dni od zmiany stanu faktycznego lub prawnego, ministra
właściwego do spraw gospodarki o każdej zmianie danych zawartych we wniosku, o
którym mowa w art. 24 ust. 2.
2.Podmiot, o którym mowa w
ust. 1, jest obowiązany zawiadomić niezwłocznie ministra właściwego do spraw
gospodarki o terminie zaprzestania świadczenia usług certyfikacyjnych, nie
później jednak niż na 3 miesiące przed planowanym terminem zaprzestania tej
działalności.
Art. 29.
1.W przypadku otwarcia
likwidacji kwalifikowanego podmiotu świadczącego usługi certyfikacyjne minister
właściwy do spraw gospodarki wydaje decyzję o wykreśleniu wpisu w rejestrze
kwalifikowanych podmiotów świadczących usługi certyfikacyjne.
2.W przypadku ogłoszenia
upadłości kwalifikowanego podmiotu świadczącego usługi certyfikacyjne
wykreślenie wpisu w rejestrze kwalifikowanych podmiotów świadczących usługi
certyfikacyjne następuje z mocy prawa.
3.Jeżeli odrębne przepisy
nie przewidują likwidacji podmiotu świadczącego usługi certyfikacyjne, minister
właściwy do spraw gospodarki wydaje decyzję o wykreśleniu wpisu w rejestrze
kwalifikowanych podmiotów świadczących usługi certyfikacyjne w przypadku
zaprzestania działalności przez ten podmiot.
4.Obowiązek poinformowania
ministra właściwego do spraw gospodarki o ogłoszeniu upadłości lub zamknięciu
likwidacji ciąży na syndyku lub likwidatorze.
5.W przypadku oddalenia
wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 rozporządzenia
Prezydenta Rzeczypospolitej z dnia 24 października 1934 r. - Prawo upadłościowe
(Dz. U. z 1991 r. Nr 118, poz. 512, z 1994 r. Nr 1, poz. 1, z 1995 r. Nr 85,
poz. 426, z 1996 r. Nr 6, poz. 43, Nr 43, poz. 189, Nr 106, poz. 496 i Nr 149,
poz. 703, z 1997 r. Nr 28, poz. 153, Nr 54, poz. 349, Nr 117, poz. 751, Nr 121,
poz. 770 i Nr 140, poz. 940, z 1998 r. Nr 117, poz. 756, z 2000 r. Nr 26, poz.
306, Nr 84, poz. 948, Nr 94, poz. 1037 i Nr 114, poz. 1193 oraz z 2001 r. Nr 3,
poz. 18) ust. 2 stosuje się odpowiednio. Obowiązek poinformowania ministra
właściwego do spraw gospodarki ciąży na członkach organu osoby prawnej,
komplementariuszach osobowej spółki handlowej lub wspólnikach spółki jawnej.
Rozdział VII
Nadzór nad działalnością podmiotów świadczących usługi certyfikacyjne
Art. 30.
1.Minister właściwy do spraw
gospodarki sprawuje nadzór nad przestrzeganiem przepisów ustawy, zapewniając
ochronę interesów odbiorców usług certyfikacyjnych.
2.Zadanie, o którym mowa w
ust. 1, minister właściwy do spraw gospodarki realizuje w szczególności
poprzez:
1)prowadzenie rejestru
kwalifikowanych podmiotów świadczących usługi certyfikacyjne,
2)wydawanie i unieważnianie
zaświadczeń certyfikacyjnych, o których mowa w art. 23 ust. 2,
3)kontrolę działalności
podmiotów świadczących usługi certyfikacyjne pod względem zgodności z ustawą,
4)nakładanie kar
przewidzianych w ustawie.
3.Prowadzenie rejestru
kwalifikowanych podmiotów świadczących usługi certyfikacyjne minister właściwy
do spraw gospodarki może powierzyć podmiotom, o których mowa w art. 23 ust. 4 i
5, które spełniają wymagania ustawy dla kwalifikowanych podmiotów świadczących
usługi certyfikacyjne w zakresie bezpieczeństwa, wydawania, przechowywania i
unieważniania certyfikatów i nie świadczą usług certyfikacyjnych polegających
na wydawaniu certyfikatów.
Art. 31.
1.Minister właściwy do spraw
gospodarki wydaje decyzję o wykreśleniu wpisu w rejestrze kwalifikowanych
podmiotów świadczących usługi certyfikacyjne, jeżeli podmiot świadczący usługi
certyfikacyjne:
1)prowadzi działalność
niezgodnie z przepisami ustawy w sposób zagrażający interesom odbiorców usług
certyfikacyjnych lub
2)złoży wniosek o
wykreślenie wpisu w rejestrze, lub
3)planuje zakończenie
działalności i zawiadamia ministra właściwego do spraw gospodarki zgodnie z
art. 28 ust. 2, lub
4)odmówi poddania się
kontroli, o której mowa w art. 38.
2.W przypadku, o którym mowa
w ust. 1 pkt 1, minister właściwy do spraw gospodarki może, zamiast wydania
decyzji, wezwać podmiot świadczący usługi certyfikacyjne, aby w określonym
terminie usunął stwierdzone niezgodności i doprowadził swoją działalność do
stanu zgodnego z przepisami ustawy.
3.Wydając decyzję, o której
mowa w ust. 1, minister właściwy do spraw gospodarki może unieważnić
zaświadczenie certyfikacyjne, o którym mowa w art. 23 ust. 2, i umieścić je na
liście unieważnionych zaświadczeń certyfikacyjnych kwalifikowanych podmiotów
świadczących usługi certyfikacyjne. Przepisy dotyczące listy unieważnionych
certyfikatów, o której mowa w art. 22, stosuje się odpowiednio.
4.Unieważnienie
zaświadczenia certyfikacyjnego, o którym mowa w art. 23 ust. 2,
wykorzystywanego do weryfikacji poświadczeń elektronicznych składanych przez
kwalifikowane podmioty świadczące usługi certyfikacyjne, powoduje nieważność
tych poświadczeń, chyba że zostanie udowodnione, że poświadczenie zostało
złożone przed unieważnieniem zaświadczenia certyfikacyjnego.
5.Unieważnienie
poświadczenia elektronicznego, o którym mowa w ust. 4, wykorzystywanego do
weryfikacji ważności certyfikatów wydanych przez kwalifikowany podmiot
świadczący usługi certyfikacyjne, powoduje nieważność tych certyfikatów.
6.W przypadku unieważnienia
poświadczenia elektronicznego, o którym mowa w ust. 4, wykorzystywanego do
weryfikacji ważności usługi znakowania czasem świadczonej przez kwalifikowany
podmiot świadczący usługi certyfikacyjne, art. 7 ust. 2 i 3 nie stosuje się.
Art. 32.
1.Dokonując wezwania, o
którym mowa w art. 31 ust. 2, minister właściwy do spraw gospodarki może
nałożyć na podmiot świadczący usługi certyfikacyjne karę pieniężną do wysokości
50.000 złotych, jeżeli stwierdzone nieprawidłowości były szczególnie rażące.
2.W razie nieusunięcia
nieprawidłowości w wyznaczonym terminie, minister właściwy do spraw gospodarki
może nałożyć na podmiot świadczący usługi certyfikacyjne karę pieniężną do
wysokości 50.000 złotych.
3.Przy ustalaniu wysokości
kar pieniężnych, o których mowa w ust. 1 i 2, minister właściwy do spraw
gospodarki jest obowiązany uwzględnić rodzaj i wagę stwierdzonych
nieprawidłowości.
4.Kara pieniężna podlega
egzekucji w trybie przepisów o postępowaniu egzekucyjnym w administracji.
Art. 33.
1.W przypadku złożenia
poświadczenia elektronicznego z rażącym naruszeniem ustawy, decyzja o
wykreśleniu wpisu w rejestrze kwalifikowanych podmiotów świadczących usługi
certyfikacyjne jest natychmiast wykonalna.
2.W przypadku, o którym mowa
w ust. 1, przepisu art. 40 ustawy z dnia 11 maja 1995 r. o Naczelnym Sądzie
Administracyjnym (Dz. U. Nr 74, poz. 368 i Nr 104, poz. 515, z 1997 r. Nr 75,
poz. 471, Nr 106, poz. 679, Nr 114, poz. 739 i Nr 144, poz. 971, z 1998 r. Nr
162, poz. 1126, z 1999 r. Nr 75, poz. 853, z 2000 r. Nr 2, poz. 5, Nr 48, poz.
552, Nr 60, poz. 704 i Nr 91, poz. 1008 oraz z 2001 r. Nr 49, poz. 508 i 509,
Nr 98, poz. 1070 i Nr 101, poz. 1113) nie stosuje się.
Art. 34. Od dnia doręczenia decyzji o wykreśleniu wpisu w rejestrze
kwalifikowanych podmiotów świadczących usługi certyfikacyjne podmiot świadczący
usługi certyfikacyjne nie może zawierać umów o świadczenie usług
certyfikacyjnych w zakresie polityki certyfikacji, której dotyczy decyzja.
Art. 35.
1.Kontrolę przeprowadzają
pracownicy komórki organizacyjnej ministerstwa zapewniającego obsługę ministra
właściwego do spraw gospodarki, zwani dalej "kontrolerami", na podstawie dowodu
tożsamości i imiennego upoważnienia określającego kontrolowany podmiot
świadczący usługi certyfikacyjne, zakres i podstawę prawną podjęcia kontroli.
2.Imienne upoważnienia do
przeprowadzenia kontroli wydaje minister właściwy do spraw gospodarki albo z
jego upoważnienia dyrektor komórki organizacyjnej ministerstwa zapewniającego
obsługę ministra właściwego do spraw gospodarki.
3.Z upoważnienia ministra
właściwego do spraw gospodarki kontrolę, o której mowa w ust. 1, mogą
przeprowadzić również kontrolerzy, którzy są pracownikami podmiotu, o którym
mowa w art. 23 ust. 5, lub jednostki certyfikującej w rozumieniu przepisów, o
których mowa w art. 18 ust. 4.
4.W przypadku gdy kontrola
odbywa się na podstawie upoważnienia ministra właściwego do spraw gospodarki,
podmiotowi oraz jednostce certyfikującej, o których mowa w ust. 3, należy się
wynagrodzenie za przeprowadzoną kontrolę.
5.Minister właściwy do spraw
gospodarki określi, w drodze rozporządzenia, zasady wynagradzania za
przeprowadzenie kontroli, na podstawie upoważnienia ministra do kontroli,
uwzględniając zakres i rodzaj kontroli oraz uzasadnione koszty jej
przeprowadzenia.
Art. 36. Minister właściwy do spraw gospodarki przeprowadza kontrolę:
1)z urzędu,
2)na żądanie prokuratora lub
sądu, albo innych organów państwowych upoważnionych do tego na podstawie ustaw
w związku z prowadzonymi przez nie postępowaniami w sprawach dotyczących
działalności podmiotów świadczących usługi certyfikacyjne.
Art. 37. Kontrola ma na celu ustalenie, czy działalność podmiotu
świadczącego usługi certyfikacyjne jest zgodna z wymaganiami ustawy. Zakres
kontroli określa upoważnienie, o którym mowa w art. 35 ust. 1 lub ust. 3.
Art. 38. W celu prawidłowego przeprowadzenia kontroli:
1) kierownicy kontrolowanych podmiotów świadczących usługi certyfikacyjne mają
obowiązek przedkładać, na żądanie kontrolera, wszelkie dokumenty i materiały
niezbędne do przygotowania i przeprowadzenia kontroli, z zachowaniem przepisów
o ochronie informacji prawnie chronionych,
2) kontrolerzy mają prawo do:
a)wstępu do obiektów i
pomieszczeń kontrolowanych podmiotów świadczących usługi certyfikacyjne,
b)wglądu do dokumentów i
innych nośników informacji, z wyjątkiem danych służących do składania podpisów
i poświadczeń elektronicznych oraz innych informacji, które mogą służyć do
odtworzenia tych danych, bezpośrednio związanych z kontrolowaną działalnością,
oraz zabezpieczania dokumentów i innych materiałów dowodowych, z zachowaniem
przepisów o ochronie informacji prawnie chronionych,
c)przeprowadzania oględzin
obiektów, innych składników majątkowych i przebiegu czynności związanych ze
świadczeniem usług certyfikacyjnych,
d)żądania od pracowników
kontrolowanych podmiotów świadczących usługi certyfikacyjne udzielenia ustnych
lub pisemnych wyjaśnień,
e)korzystania z pomocy
biegłych i specjalistów.
Art. 39. Do postępowania kontrolnego stosuje się odpowiednio przepisy
art. 31, 32, 35-41, 53-55, 57 i 59 ustawy z dnia 23 grudnia 1994 r. o
Najwyższej Izbie Kontroli (Dz. U. z 2001 r. Nr 85, poz. 937), z tym że ilekroć
w tej ustawie mowa jest o:
1)Najwyższej Izbie Kontroli
- należy przez to rozumieć ministerstwo zapewniające obsługę ministra
właściwego do spraw gospodarki,
2)Prezesie Najwyższej Izbie
Kontroli - należy przez to rozumieć ministra właściwego do spraw gospodarki,
3)dyrektorze właściwej
jednostki kontrolnej - należy przez to rozumieć dyrektora właściwej komórki
organizacyjnej ministerstwa zapewniającego obsługę ministra właściwego do spraw
gospodarki, o której mowa w art. 35 ust. 1,
4)kontrolerze - należy przez
to rozumieć kontrolera, o którym mowa w art. 35 ust. 1 lub ust. 3.
Art. 40. Minister właściwy do spraw gospodarki po zapoznaniu się z
protokołem i zastrzeżeniami oraz wyjaśnieniami zgłoszonymi przez kontrolowany
podmiot świadczący usługi certyfikacyjne powiadamia ten podmiot o wynikach
kontroli i w razie stwierdzenia nieprawidłowości wyznacza termin ich usunięcia,
nie krótszy niż 14 dni.
Art. 41.
1.Kontroler jest obowiązany
zachować w tajemnicy informacje, które uzyskał w związku z wykonywaniem
czynności służbowych.
2.Obowiązek zachowania
tajemnicy trwa również po ustaniu zatrudnienia.
Art. 42. Minister właściwy do spraw gospodarki rozpatruje skargi na
podmioty świadczące usługi certyfikacyjne, stosując odpowiednio przepisy
Kodeksu postępowania administracyjnego.
Art. 43.
1.Pracownicy zatrudnieni w
komórkach organizacyjnych ministerstwa zapewniającego obsługę ministra
właściwego do spraw gospodarki wykonujący zadania określone w ustawie nie mogą
wykonywać działalności gospodarczej, być wspólnikami lub akcjonariuszami ani
wykonywać obowiązków osoby reprezentującej lub członka rady nadzorczej i
komisji rewizyjnej podmiotu świadczącego usługi certyfikacyjne, a także
pozostawać z podmiotem świadczącym usługi certyfikacyjne w stosunku pracy,
stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze.
2.Przepis ust. 1 nie narusza
przepisów o ograniczeniu prowadzenia działalności gospodarczej przez osoby
pełniące funkcje publiczne.
Art. 44. Pracownicy zatrudnieni w komórkach organizacyjnych ministerstwa
zapewniającego obsługę ministra właściwego do spraw gospodarki wykonujący
zadania określone w ustawie, a także osoby wykonujące określone w niej
czynności na rzecz tych komórek organizacyjnych na podstawie umowy zlecenia lub
innego stosunku prawnego o podobnym charakterze, są obowiązani do zachowania w
tajemnicy informacji uzyskanych w związku z wykonywaniem tych czynności.
Rozdział VIII
Przepisy karne
Art. 45. Kto świadczy usługi certyfikacyjne jako kwalifikowany podmiot
świadczący usługi certyfikacyjne bez uprzedniego zawarcia wymaganej umowy
ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom tych
usług, podlega grzywnie do 1.000.000 złotych.
Art. 46. Kto, świadcząc usługi certyfikacyjne, wbrew obowiązkowi
określonemu w ustawie nie informuje osoby ubiegającej się o certyfikat o
warunkach uzyskania i używania certyfikatu, podlega grzywnie do 30.000 złotych.
Art. 47. Kto składa bezpieczny podpis elektroniczny za pomocą danych
służących do składania podpisu elektronicznego, które zostały przyporządkowane
do innej osoby, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo
obu tym karom łącznie.
Art. 48. Kto, świadcząc usługi certyfikacyjne, kopiuje lub przechowuje
dane służące do składania bezpiecznego podpisu lub poświadczenia
elektronicznego lub inne dane, które mogłyby służyć do ich odtworzenia, podlega
grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.
Art. 49.
1.Kto, świadcząc usługi
certyfikacyjne, wydaje certyfikat zawierający nieprawdziwe dane, o których mowa
w art. 20 ust. 1, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo
obu tym karom łącznie.
2.Tej samej karze podlega
osoba, która w imieniu podmiotu świadczącego usługi certyfikacyjne umożliwia
wydanie certyfikatu, o którym mowa w ust. 1.
3.Tej samej karze podlega
osoba, która posługuje się certyfikatem, o którym mowa w ust. 1.
<
|
