Projekt z dnia 12 lutego 2001 r.

Ustawa 
!
o podpisie elektronicznym

 

ROZDZIAŁ I

PRZEPISY OGÓLNE

Art. 1.

Ustawa określa warunki i skutki prawne stosowania podpisu elektronicznego, zasady świadczenia usług związanych z podpisem elektronicznym i nadzoru nad podmiotami świadczącymi te usługi.

Art. 2.

Przepisy niniejszej ustawy stosuje się do podmiotów świadczących usługi certyfikacyjne, mających siedzibę lub świadczących usługi na terytorium Rzeczypospolitej Polskiej.

Art. 3.

Certyfikaty! wydane przez podmiot świadczący usługi certyfikacyjne nie mający siedziby na terytorium Rzeczypospolitej Polskiej i nie świadczący usług na jej terytorium zrównuje się pod względem prawnym z kwalifikowanymi certyfikatami wydanymi przez akredytowany lub kwalifikowany podmiot świadczący usługi certyfikacyjne mający siedzibę lub świadczący usługi na terytorium Rzeczypospolitej Polskiej, jeżeli:

1) podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, spełnia wymagania niniejszej ustawy i została mu udzielona akredytacja,

2) podmiot świadczący usługi certyfikacyjne mający siedzibę na terytorium Rzeczypospolitej Polskiej lub świadczący usługi na jej terytorium udzieli gwarancji za ten certyfikat,

3) przewiduje to umowa międzynarodowa o wzajemnym uznaniu certyfikatów,

4) podmiot świadczący u! sługi certyfikacyjne, który wydał ten certyfikat, spełnia wymagania niniejszej ustawy i została mu udzielona akredytacja w państwie członkowskim Unii Europejskiej,

5) podmiot świadczący usługi certyfikacyjne mający siedzibę na terytorium Wspólnoty Europejskiej spełniający wymogi niniejszej ustawy udzieli gwarancji za ten certyfikat,

6) certyfikat ten został uznany za kwalifikowany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowymi lub

7) podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został uznany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowymi.

Art. 4.

Użyte w niniejszej ustawie wyraże! nia oznaczają:

1) "podpis elektroniczny" - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub logicznie z nimi powiązane, umożliwiają identyfikację osoby fizycznej składającej podpis, oraz spełniają następujące wymagania:

a) są przyporządkowane wyłącznie do osoby fizycznej składającej podpis,

b) pozwalają stwierdzić, czy osoba fizyczna składająca podpis działa:

* we własnym imieniu,

* jako przedstawiciel innej określonej osoby fizycznej lub prawnej albo jednostki organizacyjnej nie posiadającej osobowości prawnej,

* w charakterze członka organu lub organu określonej osoby prawnej lub jednostki organizacyjnej nie posiadającej osobowości prawnej albo

* jako określony organ władzy publicznej,

c) są sporządzane za pomocą urządzeń i danych, podlegających wyłącznej kontroli osoby fizycznej składającej podpis,

d) jakakolwiek zmiana danych podpisanych jest rozpoznawalna,

2) "osoba składająca podpis elektroniczny" - osoba fizyczna, której tożsamość jest określana za pomocą złożonego podpisu elektronicznego,

3) "dane służące do składania podpisu elektronicznego"- niepowtarzalne i przyporządkowane określonej osobie fizycznej dane, które są wykorzystywane przez tę osobę do złożenia podpisu elektronicznego,

4) "dane służące do weryfikacji podpisu elektronicznego"- niepowtarzalne i przyporządkowane określonej osobie fizycznej dane, które są wykorzystywane do po! twierdzenia tożsamości osoby składającej podpis elektroniczny,

5) "urządzenie do składania podpisu elektronicznego" - sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający złożenie podpisu elektronicznego przy wykorzystaniu danych służących do składania podpisu elektronicznego,

6) "bezpieczne urządzenie do składania podpisu elektronicznego" - urządzenie do składania podpisu elektronicznego, spełniające wymagania określone w niniejszej ustawie,

7) "urządzenie do weryfikacji podpisu elektronicznego" - sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający potwierdzenie, przy wykorzystaniu danych służących do weryfikacji podpisu elektronicznego, tożsamości osoby fizycznej, która złożyła podpis elektroniczny,

8) "bezpieczne urządzenie do weryfikacji podpisu! elektronicznego" - urządzenie do weryfikacji podpisu elektronicznego, spełniające wymagania określone w niniejszej ustawie,

9) "certyfikat" - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do określonej osoby składającej podpis elektroniczny i które umożliwiają potwierdzenie tożsamości tej osoby,

10) "zaświadczenie certyfikacyjne" - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji poświadczenia elektronicznego są przyporządkowane do określonego podmiotu świadczącego usługi certyfikacyjne i które umożliwiają potwierdzenie tożsamości tego podmiotu,

11) "kwalifikowany certyfikat" - certyfikat spełniający warunki, określone w art. 19 niniejszej ustawy i wydany przez akredytowany lub kwalifikowany podmiot świadczący us! ługi certyfikacyjne,

12) "usługi certyfikacyjne" - wydawanie certyfikatów, znakowanie czasem lub inne usługi związane z podpisem elektronicznym,

13) "podmiot świadczący usługi certyfikacyjne" - przedsiębiorca w rozumieniu przepisów o działalności gospodarczej albo organ władzy publicznej, świadczący usługi, o których mowa w pkt 12,

14) "akredytacja" - decyzja administracyjna potwierdzająca, iż podmiot świadczący usługi certyfikacyjne spełnia wymagania określone w niniejszej ustawie,

15) "akredytowany podmiot świadczący usługi certyfikacyjne" - podmiot świadczący usługi certyfikacyjne posiadający akredytację,

16) "kwalifikowany podmiot świadczący usługi certyfikacyjne" - podmiot świadczący usługi certyfikacyjne! wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne,

17) "znakowanie czasem" - usługa polegająca na dołączaniu do danych w postaci elektronicznej logicznie powiązanych z danymi opatrzonymi podpisem i poświadczeniem elektronicznym, oznaczenia rzeczywistego czasu wykonania tej usługi oraz poświadczenia elektronicznego tak powstałych danych przez podmiot świadczący tę usługę,

18) "polityka certyfikacji" - szczegółowe rozwiązania, w tym techniczne i organizacyjne, wskazujące sposób tworzenia oraz zakres i sposób stosowania certyfikatu w warunkach jednolitych wymagań bezpieczeństwa,

19) "odbiorca usług certyfikacyjnych" - osoba fizyczna, osoba prawna lub jednostka organizacyjna nie posiadająca osobowości prawnej, która zawarła z podmiotem świadczącym usługi certyfikacyjne umowę o świadczenie! usług certyfikacyjnych lub która w granicach określonych w polityce certyfikacji może działać w oparciu o certyfikat lub inne dane, elektronicznie poświadczone przez podmiot świadczący usługi certyfikacyjne,

20) "jednostki sektora publicznego" - jednostki organizacyjne, o których mowa w art. 4 ust. 1 ustawy z dnia 10 czerwca 1994 r. o zamówieniach publicznych (Dz. U. z 1998 r. Nr 119, poz. 773, z 1999 r. Nr 45, poz. 437 oraz z 2000 r. Nr 12, poz. 136 i Nr 93, poz. 1027),

21) "poświadczenie elektroniczne" - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub logicznie z nimi powiązane, umożliwiają identyfikację podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne, oraz spełniają następujące wymagania:

a) są sporządzane za pomocą urządzeń i danyc! h podlegających wyłącznej kontroli podmiotu dokonującego poświadczenia elektronicznego,

b) jakakolwiek zmiana danych poświadczonych jest rozpoznawalna.

 

ROZDZIAŁ II

SKUTKI PRAWNE PODPISU ELEKTRONICZNEGO

Art. 5.

1. Podpis elektroniczny weryfikowany przy pomocy certyfikatu wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu. Podpis elektroniczny złożony w okresie zawieszenia certyfikatu wykorzystywanego do jego weryfikacji wywołuje skutki prawne z chwilą uchylenia tego zawieszenia.

2. Dane w postaci elektronicznej opatrzone podpisem elektronicznym weryfikowanym na podstawie ważnego kwalifikowanego certyfikatu! są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi.

3. Podpis elektroniczny weryfikowany na podstawie kwalifikowanego certyfikatu zapewnia integralność danych opatrzonych podpisem i jednoznaczne wskazanie kwalifikowanego certyfikatu, w ten sposób, że rozpoznawalne są wszelkie próby zmiany tych danych lub zmiany wskazania kwalifikowanego certyfikatu wykorzystywanego do weryfikacji tego podpisu.

4. Domniemywa się, że podpis elektroniczny weryfikowany na podstawie ważnego kwalifikowanego certyfikatu został złożony przez osobę określoną w tym certyfikacie jako osoba składająca podpis elektroniczny.

5. Po upływie terminu ważności certyfikatu lub od dnia jego unieważnienia oraz w okresie jego zawieszenia domniemanie, o którym mowa w ust. 4, nie istnieje, chyba że zostanie udowodnione, że podpis został złożony p! rzed upływem terminu ważności certyfikatu lub przed dniem jego unieważnienia albo zawieszenia.

6. Spełnienie wymogu, o którym mowa w art. 4 pkt 1 lit. c), domniemywa się.

7. Podpis elektroniczny może być znakowany czasem.

8. Domniemywa się, że podpis elektroniczny znakowany czasem przez akredytowany lub kwalifikowany podmiot został złożony nie później niż w czasie rzeczywistym wskazanym za pomocą tej usługi. Domniemanie to istnieje do dnia utraty ważności certyfikatu wykorzystywanego do weryfikacji tego znakowania. Przedłużenia istnienia domniemania wymagają kolejnego znakowania czasem podpisu elektronicznego wraz z danymi służącymi do poprzedniej weryfikacji, przez akredytowany lub kwalifikowany podmiot świadczący tę usługę.

9. Nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko ! na tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji podpisu nie mają kwalifikowanego certyfikatu lub kwalifikowanego certyfikatu wydanego przez akredytowany podmiot świadczący usługi certyfikacyjne, lub nie został złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego.

Art. 6.

Do skutków prawnych podpisu elektronicznego, w zakresie nie uregulowanym w niniejszej ustawie, stosuje się przepisy dotyczące podpisów własnoręcznych.

Art. 7.

1. Strony stosunku prawnego mogą, w drodze umowy, uznać za prawnie skuteczny podpis elektroniczny weryfikowany na podstawie certyfikatu wydanego przez podmiot nie mający siedziby na terytorium Rzeczypospolitej Polskiej i nie świadczący usług na jej terytorium.

2. Przepisu ! ust. 1 nie stosuje się do podpisu elektronicznego weryfikowanego na podstawie certyfikatu wydanego przez podmiot świadczący usługi certyfikacyjne mający siedzibę na terytorium Państw Członkowskich Unii Europejskiej i pod względem prawnym zrównanego z certyfikatami wydawanymi przez podmiot świadczący usługi certyfikacyjne mający siedzibę na terytorium Rzeczypospolitej Polskiej.

 

ROZDZIAŁ III

OBOWIĄZKI PODMIOTÓW ŚWIADCZĄCYCH USŁUGI CERTYFIKACYJNE

Art. 8.

1. Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych, z zastrzeżeniem ust. 2, nie wymaga zezwolenia.

2. Świadczenie usług certyfikacyjnych na rzecz lub przez organy władzy publicznej i jednostki sektora publicznego, z wyłączeniem Narodowego Banku Polskiego, wymaga! akredytacji udzielonej przez ministra właściwego do spraw wewnętrznych.

Art. 9.

1. Podmioty świadczące usługi certyfikacyjne są obowiązane:

1) zapewnić techniczne i organizacyjne możliwości szybkiego i niezawodnego wydawania, zawieszania i unieważniania certyfikatów oraz określenia czasu dokonania tych czynności,

2) stwierdzić tożsamość osoby ubiegającej się o uzyskanie certyfikatu, w sposób określony w polityce certyfikacji,

3) uzyskać dodatkowe dane, które mają być zawarte w certyfikacie,

1) 4) zapewnić środki przeciwdziałające fałszerstwom certyfikatów i innych poświadczanych elektronicznie przez nich danych, w szczególności przez ochronę urządzeń i danych wykorzystywanych przy świadczeniu usług certyfikacyjnych! ,

5) zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych, w przypadku gdy usługi są świadczone przez akredytowane lub kwalifikowane podmioty świadczące usługi certyfikacyjne,

6) poinformować osobę, która występuje o certyfikat, przed zawarciem z nią umowy o warunkach uzyskania i używania certyfikatu, w tym o wszelkich ograniczeniach jego użycia oraz - w przypadku gdy podmiot nie posiada akredytacji - również o istnieniu możliwości uzyskania certyfikatu od podmiotu akredytowanego,

7) używać systemów do znakowania czasem, tworzenia i przechowywania certyfikatów, w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom upoważnionym oraz gwarantujący publiczny dostęp do certyfikatów, jeżeli osoby, którym wydano te certyfikaty wyraziły zgodę na taki dostęp,

8) udostępniać, na wniosek odbiorcy usług certyfikacyjnych, wykaz bezpiecznych urządzeń do składania i weryfikacji podpisów elektronicznych,

9) zapewnić, w razie tworzenia przez nie danych służących do składania podpisu elektronicznego, poufność procesu ich tworzenia, a także nie przechowywać i nie kopiować tych danych oraz nie udostępniać ich nikomu innemu poza osobą, która będzie składała za ich pomocą podpis elektroniczny,

10) zapewnić za pomocą środków technicznych, aby dane służące do składania podpisów elektronicznych, po zakończeniu procesu ich tworzenia, wystąpiły tylko raz,

11) zapewnić weryfikację, w tym również w sposób elektroniczny, autentyczność i ważność certyfikatów oraz innych poświadczanych elektronicznie przez nich danych.

2. Osoba wykonująca czynności związ! ane ze świadczeniem usług certyfikacyjnych powinna:

1) posiadać pełną zdolność do czynności prawnych,

2) nie być skazana prawomocnym wyrokiem za przestępstwo przeciwko wiarygodności dokumentów, obrotowi gospodarczemu, obrotowi pieniędzmi i papierami wartościowymi, przestępstwo skarbowe lub przestępstwo, o którym mowa w niniejszej ustawie,

3) posiadać wyższe wykształcenie,

4) posiadać niezbędną wiedzę w zakresie technologii tworzenia certyfikatów i świadczenia innych usług związanych z podpisem elektronicznym.

2. 3. Minister właściwy do spraw wewnętrznych może określić, w drodze rozporządzenia, szczegółowe warunki techniczne i organizacyjne, które muszą spełniać akredytowane lub kwalifikowane podmioty świadczące usługi certyfikacyjne wykorzystywane do ochrony ! informacji prawnie chronionych, uwzględniając konieczność zapewnienia ochrony interesów odbiorców usług certyfikacyjnych.

4. Minister właściwy do spraw instytucji finansowych, w porozumieniu z ministrem właściwym do spraw wewnętrznych, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w drodze rozporządzenia, sposób i szczegółowe warunki spełnienia obowiązku ubezpieczenia, o którym mowa w ust. 1 pkt 5, w tym w szczególności termin powstania obowiązku zawarcia umowy ubezpieczenia oraz minimalne sumy gwarancyjne. Minister właściwy do spraw instytucji finansowych, wydając rozporządzenie, uwzględnia konieczność zapewnienia gwarancji spełnienia obowiązku zawarcia umowy ubezpieczenia.

Art. 10.

1. Podmiot świadczący usługi certyfikacyjne odpowiada wobec odbiorców usług certyfikacyjnych, z zastrzeżeniem ust. 2, za wszelkie szkody spowodowane ni! ewykonaniem lub nienależytym wykonaniem swych obowiązków w zakresie świadczonych usług, chyba że niewykonanie lub nienależyte wykonanie tych obowiązków jest następstwem okoliczności, za które podmiot świadczący usługi certyfikacyjne nie ponosi odpowiedzialności i którym nie mógł zapobiec mimo dołożenia należytej staranności.

2. Podmiot świadczący usługi certyfikacyjne nie odpowiada wobec odbiorców usług certyfikacyjnych za szkody wynikające z użycia certyfikatu poza zakresem określonym w polityce certyfikacji, która została wskazana w certyfikacie, w tym w szczególności za szkody wynikające z przekroczenia najwyższej wartości granicznej transakcji, jeżeli wartość ta została ujawniona w certyfikacie.

3. Podmiot świadczący usługi certyfikacyjne, który udzielił gwarancji za certyfikat, odpowiada wobec odbiorców usług certyfikacyjnych za wszelkie szkody spowodowane użyciem tego certyfikatu.

Art. 11.

1. Informacje dotyczące działalności podmiotu świadczącego usługi certyfikacyjne, których nieuprawnione ujawnienie mogłoby narazić na szkodę interes tego podmiotu lub odbiorców usług certyfikacyjnych, a w szczególności dane służące do składania poświadczeń elektronicznych i dane osobowe osób, które złożyły wniosek o wydanie certyfikatu, są objęte tajemnicą.

2. Zakazane jest ujawnianie informacji, o których mowa w ust. 1.

3. Do zachowania tajemnicy, o której mowa w ust. 1, są obowiązani:

1) osoby reprezentujące podmiot świadczący usługi certyfikacyjne,

2) osoby pozostające z podmiotem świadczącym usługi certyfikacyjne w stosunku pracy, w stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze,

3) pracownicy, osoby pozostające w stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze z podmiotami świadczącymi usługi na rzecz podmiotu świadczącego usługi certyfikacyjne.

4. Osoby, o których mowa w ust. 3, mają obowiązek udzielenia informacji, o których mowa w ust. 1, wyłącznie na żądanie:

1) sądu lub prokuratora w związku z toczącym się postępowaniem karnym lub karnym skarbowym,

2) ministra właściwego do spraw wewnętrznych w związku ze sprawowaniem przez niego nadzoru nad działalnością podmiotów świadczących usługi certyfikacyjne,

3) innych organów państwowych upoważnionych do tego na podstawie ustaw w związku z prowadzonymi przez nie postępowaniami w sprawach dotyczących działalności podmiotów świadczących usługi certyfikacyjne.

5. Obowiązek zachowania tajemnicy, o której mowa w ust. 1, trwa przez okres 5 lat od ustania stosunków prawnych określonych w ust. 3.

Art. 12.

1. Podmiot świadczący usługi certyfikacyjne, z zastrzeżeniem art. 9 ust. 1 pkt 9, przechowuje i archiwizuje dokumenty i dane w postaci elektronicznej bezpośrednio związane z wykonywanymi usługami certyfikacyjnymi w sposób zapewniający bezpieczeństwo przechowywanych danych.

2. Obowiązek przechowania trwa przez okres 50 lat od chwili powstania danego dokumentu.

3. W przypadku likwidacji podmiotu świadczącego usługi certyfikacyjne, dokumenty i dane w postaci elektronicznej, o których mowa w ust. 1, przechowuje likwidator tego podmiotu lub jeden ze wspólników spółki cywilnej.

4. Przepis art.! 476 § 3 Kodeksu spółek handlowych stosuje się odpowiednio. Właściwy sąd niezwłocznie zawiadamia ministra właściwego do spraw wewnętrznych o wyznaczonym przechowawcy.

5. Minister właściwy do spraw wewnętrznych może określić, w drodze rozporządzenia, krótszy minimalny okres przechowywania, o którym mowa w ust. 2, jednak nie krótszy niż 20 lat, uwzględniając konieczność zapewnienia ochrony interesów odbiorców usług certyfikacyjnych.

 

ROZDZIAŁ IV

ŚWIADCZENIE USŁUG CERTYFIKACYJNYCH

Art. 13.

1. Podmiot świadczący usługi certyfikacyjne wydaje certyfikat na wniosek osoby zainteresowanej składaniem podpisów elektronicznych i na podstawie umowy określającej co najmniej:

1) zakres stosowania certyfikatu,

2) okres ważności certyfikatu,

3) zakres świadczonych usług certyfikacyjnych,

4) koszty świadczonych usług certyfikacyjnych.

2. Podmiot świadczący usługi certyfikacyjne przed zawarciem umowy, o której mowa w ust. 1, powinien uzyskać pisemne potwierdzenie zapoznania się przez osobę zainteresowaną z warunkami uzyskania i używania certyfikatu, o których mowa w art. 9 ust. 1 pkt 6.

3. Podmioty, które wydają certyfikaty inne niż kwalifikowane, określają w załączniku do umowy, o której mowa w ust. 1, politykę certyfikacji wskazaną w wydanym certyfikacie.

Art. 14.

Odbiorca usług certyfikacyjnych jest obowiązany:

1) przechowywać dane służące do składania podpisów elektronicznych w sposób zapewniający ich ochronę przed nieuprawnionym wykorzystaniem przez okres ważności certyfikatu,

2) niezwłocznie powiadamiać podmiot świadczący usługi certyfikacyjne o niebezpieczeństwie lub próbach nieuprawnionego wykorzystania urządzeń służących do składania lub weryfikacji podpisów elektronicznych i danych, o których mowa w pkt 1.

1.

Art. 15.

1. Umowy o świadczenie usług certyfikacyjnych powinny być sporządzane w formie pisemnej pod rygorem nieważności.

2. Nieważność umowy o świadczenie usług certyfikacyjnych nie powoduje nieważności certyfikatu, jeżeli został on wydany na wniosek osoby zainteresowanej i spełnia pozostałe wymogi określone niniejszą ustawą.

Art. 16.

1. W celu zapewnienia interesów odbiorców usług certyfikacyjnych i umożliwienia współdziałania różnych urządzeń do składania i weryfikacji podpisów elektronicznych rozwiązania zawarte w polityce certyfikacji obejmują w szczególności:

1) zakres zastosowania danej polityki certyfikacji,

2) szczegóły dotyczące sposobu tworzenia i przesyłania danych elektronicznych, które zostaną opatrzone poświadczeniami elektronicznymi przez podmiot świadczący usługi certyfikacyjne,

3) maksymalne okresy ważności certyfikatów,

4) sposób identyfikacji i uwierzytelnienia osób, którym wydano certyfikat i podmiotów świadczących usługi certyfikacyjne,

5) wymagania w zakresie metod i trybu tworzen! ia oraz udostępniania certyfikatów, list unieważnionych i zawieszonych certyfikatów oraz innych poświadczonych elektronicznie danych,

6) wymagania z zakresu ochrony fizycznej pomieszczeń, w których znajdują się informacje, o których mowa w art. 11 ust. 1,

7) szczegóły elektronicznego zapisu struktur danych zawartych w certyfikatach i innych poświadczanych elektronicznie danych,

8) wymagania w zakresie zarządzania dokumentami związanymi z wykonywaniem usług certyfikacyjnych.

2. Minister właściwy do spraw wewnętrznych, z zastrzeżeniem ust. 3-4, określa, w drodze rozporządzenia, polityki certyfikacji, dotyczące kwalifikowanych certyfikatów, uwzględniając w szczególności rodzaje i zakres czynności prawnych, przy których dokonywaniu będą wykorzystywane kwalifikowane certyfikaty.

3. Rada Ministrów określa, w drodze rozporządzenia, polityki certyfikacji wykorzystywane do ochrony informacji niejawnych i innych informacji prawnie chronionych, uwzględniając rodzaj informacji i konieczność zapewnienia skutecznej ochrony tych informacji.

3. 4. Rozporządzenia określające polityki certyfikacji, o których mowa w ust. 2, wykorzystywane przy dokonywaniu czynności, o których mowa w art. 5 i 6 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. Nr 140, poz. 939, z 1998 r. Nr 160, poz. 1063 i Nr 162, poz. 1118, z 1999 r. nr 11, poz. 95 i nr 40, poz. 399 oraz z 2000 r. nr 94, poz. 1037) przez banki, a także przez inne pomioty w związku z tymi czynnościami, są wydawane w porozumieniu z Prezesem Narodowego Banku Polskiego.

Art. 17.

1. Wraz z wydaniem kwalifikowanego certyfikatu, podmiot świadczący usługi certyfikacy! jne jest obowiązany, na wniosek osoby składającej podpis elektroniczny, udostępnić jej warunki techniczne jakim powinny odpowiadać bezpieczne urządzenia do składania oraz do weryfikacji podpisów elektronicznych.

2. Bezpieczne urządzenia do składania podpisów elektronicznych powinny co najmniej:

1) uniemożliwiać pozyskiwanie danych służących do składania podpisów elektronicznych przez osoby trzecie,

2) nie zmieniać danych, które mają zostać podpisane oraz umożliwiać przedstawienie tych danych osobie składającej podpis elektroniczny przed momentem jego złożenia,

3) gwarantować, że złożenie podpisu będzie poprzedzone wyraźnym ostrzeżeniem, że kontynuacja operacji będzie równoznaczna ze złożeniem podpisu elektronicznego,

4) zapewniać łatwe rozpoznawanie istotnych! dla bezpieczeństwa zmian w urządzeniu do składania podpisu elektronicznego.

3. Bezpieczne urządzenia służące do weryfikacji podpisu elektronicznego powinny spełniać następujące wymagania:

1) dane używane do weryfikacji podpisu elektronicznego muszą odpowiadać danym, które są uwidaczniane osobie weryfikującej ten podpis,

2) podpis elektroniczny jest weryfikowany rzetelnie, a wynik weryfikacji prawidłowo wykazany,

3) osoba weryfikująca może w sposób nie budzący wątpliwości ustalić zawartość podpisanych danych,

4) autentyczność i ważność certyfikatów lub innych danych poświadczonych elektronicznie jest rzetelnie weryfikowana,

5) wynik weryfikacji i tożsamość osoby składającej podpis elektroniczny są poprawnie uwidaczn! iane,

6) użycie pseudonimu jest jednoznacznie wskazane,

7) istotne dla bezpieczeństwa zmiany w urządzeniu do weryfikacji podpisu elektronicznego są łatwo rozpoznawalne.

4. Minister właściwy do spraw wewnętrznych, z zastrzeżeniem ust. 5, określi, w drodze rozporządzenia, szczegółowe warunki techniczne, jakim powinny odpowiadać bezpieczne urządzenia do składania podpisów elektronicznych oraz bezpieczne urządzenia do weryfikacji podpisów elektronicznych, uwzględniając potrzebę zapewnienia nienaruszalności i poufności danych opatrzonych takim podpisem.

5. Prezes Rady Ministrów może określić, w drodze rozporządzenia, szczegółowe warunki techniczne, jakim powinny odpowiadać bezpieczne urządzenia do składania podpisów elektronicznych oraz bezpieczne urządzenia do weryfikacji podpisów elektronicznych służące d! o ochrony informacji niejawnych, uwzględniając potrzebę zapewnienia nienaruszalności i poufności danych opatrzonych takim podpisem.

6. Minister właściwy do spraw wewnętrznych, z zastrzeżeniem ust. 7, ocenia zgodność danego typu urządzeń, o których mowa w ust.2 i 3, z obowiązującymi przepisami.

7. Służby ochrony państwa, w rozumieniu przepisów o ochronie informacji niejawnych, dokonują oceny przydatności urządzeń, o których mowa w ust. 2 i 3, do ochrony informacji niejawnych i wydają stosowne certyfikaty bezpieczeństwa.

Art. 18.

1. Za czynności, o których mowa w art. 17 ust. 6 i 7, pobiera się opłatę.

2. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, wysokość opłat za czynności, o których mowa w art. 17 ust. 6, uwzględniając uzasadni! one koszty ponoszone w związku z ich wykonaniem.

Art. 19.

1. Kwalifikowane certyfikaty muszą zawierać następujące dane:

1) numer certyfikatu,

2) wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany do stosowania zgodnie z daną polityką certyfikacji,

3) określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę oraz numer akredytacji lub pozycji w odpowiednim rejestrze akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne,

4) imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny; użycie pseudonimu musi być wyraźnie zaznaczone,

5) wskazanie czy osoba składająca podpi! s elektroniczny działa:

a) we własnym imieniu,

b) jako przedstawiciel innej określonej osoby fizycznej lub prawnej albo jednostki organizacyjnej nie posiadającej osobowości prawnej,

c) w charakterze członka organu lub organu określonej osoby prawnej lub jednostki organizacyjnej nie posiadającej osobowości prawnej,

d) jako określony organ władzy publicznej,

6) dane służące do weryfikacji podpisu elektronicznego,

7) oznaczenie początku i końca okresu ważności certyfikatu,

8) poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne, wydającego dany certyfikat,

9) ograniczenia zakresu ważności certyfikatu, jeśli przewi! duje to dana polityka certyfikacji,

10) ograniczenie najwyższej wartości granicznej transakcji, w której certyfikat może być wykorzystywany jeśli przewiduje to dana polityka certyfikacji lub umowa, o której mowa w art. 13 ust. 1.

2. Jeżeli polityka certyfikacji nie przewiduje ograniczenia najwyższej wartości granicznej transakcji, przepisu ust. 1 pkt 10 nie stosuje się.

3. Minister właściwy do spraw wewnętrznych, może określić, w drodze rozporządzenia, szczegółowe warunki ochrony kwalifikowanych certyfikatów wykorzystywanych do ochrony informacji prawnie chronionych, uwzględniając konieczność zapewnienia bezpieczeństwa tych informacji oraz biorąc pod uwagę zmiany wynikające z postępu technicznego.

 

ROZDZIAŁ V

WAŻNOŚĆ CERTYFIKATÓW

Art. 20.

1. Certyfikat jest ważny w okresie w nim wskazanym.

2. Certyfikat może zostać zawieszony przez podmiot świadczący usługi certyfikacyjne, jeżeli osoba składająca podpisy elektroniczne weryfikowane na jego podstawie nie wywiązuje się z obowiązków określonych w umowie, o której mowa w art. 13 ust.1, lub w przepisach niniejszej ustawy.

3. Podmiot świadczący usługi certyfikacyjne zawiesza certyfikat na wniosek osoby składającej podpis elektroniczny lub podmiotu upoważnionego przez tę osobę w umowie, o której mowa w art. 13 ust. 1.

4. Podmiot świadczący usługi certyfikacyjne może zawiesić certyfikat także w przypadkach innych niż wskazane w ust. 2 i 3, w szczególności jeżeli nie dopełnił obowiązków nałożonych na niego niniejszą ustawą lub umową, o której mow! a w art. 13 ust. 1. Art. 10 ust. 1 stosuje się odpowiednio.

4. 5. Certyfikat może zostać unieważniony przez podmiot świadczący usługi certyfikacyjne przed upływem jego ważności, jeżeli mimo wcześniejszego zawieszenia certyfikatu, osoba składająca podpisy elektroniczne weryfikowane na jego podstawie nadal nie wywiązuje się z obowiązków określonych w umowie, o której mowa w art. 13 ust.1, lub w przepisach niniejszej ustawy.

6. Podmiot świadczący usługi certyfikacyjne unieważnia certyfikat przed upływem jego ważności:

1) na wniosek osoby składającej podpis elektroniczny weryfikowany na podstawie tego certyfikatu,

2) na wniosek podmiotu upoważnionego przez osobę, o której mowa w pkt 1, w umowie, o której mowa w art. 13 ust.1,

3) jeżeli został wydany na podstawie ! danych, o których mowa w art. 9 ust. 1 pkt 2 i 3, a które okazały się nieprawdziwe lub stały się nieaktualne.

7. Certyfikat, który został zawieszony, może zostać następnie unieważniony lub jego zawieszenie może zostać uchylone.

8. Certyfikat, który został unieważniony, nie może być następnie uznany za ważny.

9. W przypadku unieważniania lub zawieszania certyfikatu, podmiot świadczący usługi certyfikacyjne zawiadamia niezwłocznie osobę składającą podpisy elektroniczne weryfikowane na jego podstawie.

10. Zawieszenie lub unieważnienie certyfikatu nie może następować z mocą wsteczną.

Art. 21.

1. Podmiot świadczący usługi certyfikacyjne publikuje listę zawieszonych i unieważnionych certyfikatów osób składających podpis e! lektroniczny, z którymi zawarł umowę, o której mowa w art. 13 ust. 1.

2. Zawieszone lub unieważnione certyfikaty umieszcza się na każdej liście zawieszonych i unieważnionych certyfikatów publikowanej przed dniem upływu okresu ważności certyfikatu oraz na pierwszej liście publikowanej po upływie tego okresu.

2. 2. 3. Lista zawieszonych i unieważnionych kwalifikowanych certyfikatów powinna zawierać w szczególności:

1) numer kolejny listy i wskazanie, że lista została opublikowana zgodnie z daną polityką certyfikacji i dotyczy certyfikatów wydanych zgodnie z tą polityką,

2) datę i czas opublikowania listy z dokładnością określoną w polityce certyfikacji,

3) datę przewidywanego opublikowania kolejnej listy,

4) określeni! e podmiotu świadczącego usługi certyfikacyjne wydającego listę i państwa, w którym ma on siedzibę, oraz w przypadku akredytowanego podmiotu świadczącego usługi certyfikacyjne - numer akredytacji, a w przypadku kwalifikowanego podmiotu świadczącego usługi certyfikacyjne - numer wpisu w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne,

5) numer każdego zawieszonego lub unieważnionego certyfikatu oraz wskazanie, czy został on unieważniony czy zawieszony,

6) datę i czas, z dokładnością określoną w polityce certyfikacji, zawieszenia lub unieważnienia poszczególnego certyfikatu,

7) poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne, publikującego listę.

 

ROZDZIAŁ VI

! UDZIELANIE AREDYTACJI I DOKONYWANIE WPISU DO REJESTRU AKREDYTOWANYCH LUB KWALIFIKOWANYCH PODMIOTÓW ŚWIADCZĄCYCH USŁUGI CERTYFIKACYJNE

Art. 22.

1. Podmiot świadczący usługi certyfikacyjne może wystąpić o udzielenie akredytacji lub o wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne.

2. Świadczenie usług certyfikacyjnych w charakterze akredytowanego podmiotu świadczącego usługi certyfikacyjne wymaga akredytacji udzielonej przez ministra właściwego do spraw wewnętrznych, wpisania do rejestru akredytowanych podmiotów świadczących usługi certyfikacyjne i uzyskania zaświadczenia certyfikacyjnego wykorzystywanego do weryfikowania poświadczeń elektronicznych tego podmiotu wydanego przez ministra właściwego do spraw wewnętrznych, z zastrzeżeniem ust. 4.

3. Świadczenie usług ce! rtyfikacyjnych w charakterze kwalifikowanego podmiotu świadczącego usługi certyfikacyjne wymaga uzyskania wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne i uzyskania zaświadczenia certyfikacyjnego wykorzystywanego do weryfikowania poświadczeń elektronicznych tego podmiotu wydanego przez ministra właściwego do spraw wewnętrznych, z zastrzeżeniem ust. 4.

4. Minister właściwy do spraw wewnętrznych może upoważnić określony podmiot, w tym Narodowy Bank Polski, na jego wniosek, do wytwarzania i wydawania zaświadczeń certyfikacyjnych, o których mowa w ust. 2 i 3.

5. W wypadku, o którym mowa w ust. 4, minister właściwy do spraw wewnętrznych, udzielając akredytacji lub dokonując wpisu do rejestru, o którym mowa w ust. 1, wskazuje podmiotowi świadczącemu usługi certyfikacyjne nazwę i siedzibę podmiotu upoważnionego do wytwarzania i wydawania zaświadczeń certyfikacyjny! ch.

Art. 23.

1. Akredytacji udziela się a wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne dokonuje się na wniosek podmiotu, który zamierza świadczyć usługi certyfikacyjne.

2. Wniosek o udzielenie akredytacji lub o dokonanie wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne powinien zawierać:

1) imię i nazwisko lub nazwę (firmę) wnioskodawcy,

2) wskazanie polityki certyfikacji, zgodnie z którą mają być tworzone i stosowane kwalifikowane certyfikaty lub świadczone inne usługi związane z podpisem elektronicznym,

3) miejsce zamieszkania lub siedzibę oraz adres wnioskodawcy,

4) aktualny wypis z krajowego rejestru sądow! ego,

5) imię i nazwisko osób, o których mowa w art. 9 ust. 2, które podmiot ten zatrudnia lub zamierza zatrudnić,

6) informacje o kwalifikacjach i doświadczeniu zawodowym oraz zaświadczenia o niekaralności osób, o których mowa w pkt 5,

7) wskazanie technicznych i organizacyjnych możliwości wykonywania obowiązków w zakresie świadczenia usług certyfikacyjnych,

8) zobowiązanie do nieużywania danych służących do składania poświadczeń elektronicznych do wydawania zaświadczeń certyfikacyjnych innym podmiotom świadczącym usługi certyfikacyjne,

9) regulamin organizacyjny określający, w szczególności, sposób zapobiegania ujawnianiu informacji, których wykorzystanie mogłoby naruszać interes odbiorców usług certyfikacyjnych,

1! 0) dokumenty przedstawiające sytuację finansową wnioskodawcy w okresie ostatnich 3 lat poprzedzających datę złożenia wniosku, w tym dokumenty potwierdzające brak zaległości podatkowych i brak zaległości w odprowadzaniu składek na ubezpieczenie społeczne; jeśli wnioskodawca istnieje krócej niż 3 lata, należy przedstawić dokumenty przedstawiające sytuację finansową wnioskodawcy przez cały okres istnienia wnioskodawcy,

11) plan organizacyjny i finansowy działalności wnioskodawcy na 3 lata,

12) dowód uiszczenia opłaty za rozpatrzenie wniosku o udzielenie akredytacji lub o dokonanie wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne,

13) dane służące do weryfikacji poświadczeń elektronicznych składanych przez podmiot w ramach świadczonych przez niego usług certyfikacyjnych,

14) n! umer identyfikacji podatkowej wnioskodawcy,

15) numer identyfikacyjny REGON wnioskodawcy.

3. Przepisu ust. 2 pkt 4, 10, 11 i 15 nie stosuje się do wniosku składanego przez organ władzy publicznej.

4. W przypadku braków we wniosku, minister właściwy do spraw wewnętrznych wzywa wnioskodawcę do jego uzupełnienia, wyznaczając termin nie krótszy niż 7 dni.

5. Termin, o którym mowa w ust. 4, może zostać przedłużony na umotywowany wniosek wnioskodawcy złożony przed upływem tego terminu.

6. Nie uzupełnienie wniosku w wyznaczonym terminie skutkuje odrzuceniem wniosku.

7. Za rozpatrzenie wniosku o udzielenie akredytacji lub o dokonanie wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne pobiera się ! opłatę. Uiszczona opłata nie podlega zwrotowi.

8. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia:

1) wzór i szczegółowy zakres wniosku, uwzględniając możliwość elektronicznego przetwarzania danych zawartych w formularzach,

2) szczegółowy tryb tworzenia i wydawania zaświadczenia certyfikacyjnego, w tym przez podmioty upoważnione na podstawie art. 22 ust. 4, biorąc pod uwagę konieczność zapewnienia poufności tworzenia i wydawania zaświadczenia certyfikacyjnego,

3) wysokość opłat za udzielenie akredytacji oraz dokonania wpisu do rejestru akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne, uwzględniając uzasadnione koszty ponoszone w związku z postępowaniem akredytacyjnym i prowadzeniem rejestrów.

Art. 24.

1. Minister właściwy do spraw wewnętrznych wydaje decyzję o udzieleniu bądź odmowie

udzielenia akredytacji w terminie 2 miesięcy od dnia złożenia kompletnego wniosku.

2. Decyzja o udzieleniu akredytacji powinna w szczególności określać nazwę polityki certyfikacji, w ramach której dany podmiot może wydawać kwalifikowane certyfikaty lub świadczyć inne usługi związane z podpisem elektronicznym.

3. Minister właściwy do spraw wewnętrznych dokonuje wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne lub wydaje decyzję o odmowie dokonania wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne w terminie 1 miesiąca od dnia złożenia kompletnego wniosku.

4. Minister właściwy do spraw wewnętrznych odmawia udzielenia akred! ytacji, jeżeli:

1) wniosek i dołączone do niego dokumenty nie spełniają warunków określonych w ustawie,

2) w dokumentach organizacyjnych podmiotu są zamieszczone postanowienia mogące zagrażać bezpieczeństwu albo w inny sposób naruszać interes odbiorców usług certyfikacyjnych,

3) przedstawiony przez podmiot plan organizacyjny i finansowy działalności na 3 lata nie zabezpiecza w należyty sposób interesów odbiorców usług certyfikacyjnych,

4) z dokumentów, o których mowa w art. 23 ust. 2 pkt 10, wynika, że podmiot posiada zaległości podatkowe lub zaległości w odprowadzaniu składek na ubezpieczenie społeczne,

5) wskazane we wniosku techniczne i organizacyjne możliwości wykonywania obowiązków w zakresie świadczenia usług certyfikacyjnych nie zabezpieczają należycie! interesów odbiorców usług certyfikacyjnych,

6) osoby, o których mowa w art. 23 ust. 2 pkt 5, nie dają rękojmi należytego wykonywania powierzonych obowiązków.

5. Minister właściwy do spraw wewnętrznych wydaje decyzję o odmowie dokonania wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, jeżeli wniosek i dołączone do niego dokumenty nie spełniają formalnych warunków określonych w ustawie.

Art. 25.

1. Po udzieleniu akredytacji, minister właściwy do spraw wewnętrznych niezwłocznie wpisuje podmiot świadczący usługi certyfikacyjne do rejestru akredytowanych podmiotów świadczących usługi certyfikacyjne.

2. Wpis do rejestru akredytowanych podmiotów świadczących usługi certyfikacyjne obejmuje:

1! ) imię i nazwisko lub nazwę (firmę) podmiotu świadczącego akredytowane usługi certyfikacyjne,

2) sposób reprezentacji akredytowanego podmiotu świadczącego usługi certyfikacyjne oraz numer wpisu do krajowego rejestru sądowego i oznaczenie sądu prowadzącego ten rejestr,

3) imiona i nazwiska osób reprezentujących akredytowany podmiot świadczący usługi certyfikacyjne,

4) nazwę polityki certyfikacji, w ramach której dany podmiot może wydawać kwalifikowane certyfikaty lub świadczyć inne usługi związane z podpisem elektronicznym,

5) numer i datę wydania decyzji o udzieleniu akredytacji lub o cofnięciu akredytacji,

6) informacje o sumie ubezpieczenia i warunkach umowy, o której mowa w art. 9 ust. 1 pkt 5, oraz nazwę ubezpieczyciela.

3. Wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne obejmuje:

1) imię i nazwisko lub nazwę (firmę) podmiotu świadczącego kwalifikowane usługi certyfikacyjne,

2) sposób reprezentacji kwalifikowanego podmiotu świadczącego usługi certyfikacyjne oraz numer wpisu do krajowego rejestru sądowego i oznaczenie sądu prowadzącego ten rejestr,

3) imiona i nazwiska osób reprezentujących kwalifikowany podmiot świadczący usługi certyfikacyjne,

4) nazwę polityki certyfikacji, w ramach której dany podmiot może wydawać kwalifikowane certyfikaty lub świadczyć inne usługi związane z podpisem elektronicznym,

5) informacje o sumie ubezpieczenia i warunkach umowy, o której mowa w art. 9 ust. 1 pkt 5, oraz nazwę ubezpieczyciela,

6) datę dokonania wpisu lub wydania decyzji o wykreśleniu wpisu.

4. Podmiot, któremu akredytacja została udzielona lub który uzyskał wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, ma obowiązek, w terminie 30 dni od dnia doręczenia decyzji o udzieleniu akredytacji lub zawiadomieniu o dokonaniu wpisu, doręczyć dowód zawarcia umowy, o której mowa w art. 9 ust. 1 pkt 5, oraz przedstawić informacje, o których mowa w ust. 2 pkt 6 i ust. 3 pkt 5. Minister właściwy do spraw wewnętrznych niezwłocznie po uzyskaniu informacji, o których mowa w ust. 2 pkt 6 i ust. 3 pkt 5, uzupełnia o nie wpis do rejestru akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne.

5. Jeżeli podmiot, któremu akredytacja została udzielona lub który uzyskał wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, nie ! wywiąże się w terminie z obowiązku, o którym mowa w ust. 4, minister właściwy do spraw wewnętrznych wydaje decyzję o cofnięciu akredytacji lub o skreśleniu wpisu z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne.

6. Po dokonaniu wpisu do rejestru akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne minister właściwy do spraw wewnętrznych niezwłocznie, jednak nie wcześniej niż w dniu wywiązania się przez podmiot świadczący usługi certyfikacyjne z obowiązku, o którym mowa w ust. 4, wydaje zaświadczenie certyfikacyjne, o którym mowa w art. 22 ust. 2 i 3.

Art. 26.

1. Rejestry akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne prowadzi minister właściwy do spraw wewnętrznych.

2. Rejestry, o których mowa w ust. 1, i zaświadczenia c! ertyfikacyjne, o których mowa w art. 22 ust. 2 i 3, są jawne i dostępne dla osób trzecich.

3. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, sposób prowadzenia rejestrów akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne, wzór tych rejestrów oraz szczegółowy tryb postępowania w sprawach o wpis do rejestru, uwzględniając konieczność zapewnienia dostępności do rejestrów osób trzecich oraz możliwość wpisywania wszystkich danych uzyskanych w toku postępowania w sprawie udzielenia akredytacji lub dokonania wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, w tym informacji o likwidacji lub upadłości podmiotu świadczącego usługi certyfikacyjne.

Art. 27.

Akredytowany lub kwalifikowany podmiot świadczący usługi certyfikacyjne jest obowiązany zawiadamiać niezwłocznie min! istra właściwego do spraw wewnętrznych o każdej zmianie danych zawartych we wniosku, o którym mowa w art. 23 ust. 2.

Art. 28.

1. W przypadku otwarcia likwidacji akredytowanego lub kwalifikowanego podmiotu świadczącego usługi certyfikacyjne minister właściwy do spraw wewnętrznych wydaje decyzję o cofnięciu akredytacji lub skreśleniu wpisu z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Decyzja staje się wykonalna z dniem zakończenia likwidacji.

2. W przypadku ogłoszenia upadłości akredytowanego lub kwalifikowanego podmiotu świadczącego usługi certyfikacyjne cofnięcie akredytacji lub skreślenie wpisu z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne następuje z mocy prawa.

3. Jeżeli odrębne przepisy nie przewidują likwidacji podmiotu świadczącego usługi cert! yfikacyjne, minister właściwy do spraw wewnętrznych wydaje decyzję o cofnięciu akredytacji lub wykreśleniu wpisu w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne w przypadku zaprzestania działalności przez ten podmiot.

4. Obowiązek poinformowania ministra właściwego do spraw wewnętrznych o ogłoszeniu upadłości lub zamknięciu likwidacji ciąży na syndyku lub likwidatorze.

5. W przypadku oddalenia wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy - Prawo upadłościowe (Dz. U. z 1991 r. Nr 118, poz. 512, z 1994 r. Nr 1, poz. 1, z 1995 r. Nr 85, poz. 426, z 1996 r. Nr 6, poz. 43, Nr 43, poz. 189, Nr 106, poz. 496 i Nr 149, poz. 703, z 1997 r. Nr 28, poz. 153, Nr 54, poz. 349, Nr 121, poz. 770, Nr 117, poz. 751 i Nr 140, poz. 940, z 1998 Nr 117, poz. 756 oraz z 2000 r. Nr 20, poz. 306, Nr 84, poz. 948 i Nr 94, poz. 1037) ust. 2 stosuje się odpowiednio.! Obowiązek poinformowania ministra właściwego do spraw wewnętrznych ciąży na członkach organu osoby prawnej, komplementariuszach spółki osobowej prawa handlowego lub wspólnikach spółki jawnej.

 

ROZDZIAŁ VII

NADZÓR NAD DZIAŁALNOŚCIĄ PODMIOTÓW ŚWIADCZĄCYCH USŁUGI CERTYFIKACYJNE

Art. 29.

1. Minister właściwy do spraw wewnętrznych sprawuje nadzór nad przestrzeganiem przepisów ustawy, zapewniając ochronę interesów odbiorców usług certyfikacyjnych.

2. Zadanie, o którym mowa w ust. 1, minister właściwy do spraw wewnętrznych realizuje poprzez:

1) akredytację podmiotów świadczących usługi certyfikacyjne,

2) prowadzenie rejestrów akredytowanych lub kwalifi! kowanych podmiotów świadczących usługi certyfikacyjne,

3) wydawanie i unieważnianie zaświadczeń certyfikacyjnych, o których mowa w art. 22 ust. 2 i 3,

4) kontrolę działalności podmiotów świadczących usługi certyfikacyjne pod względem zgodności z niniejszą ustawą,

5) nakładanie kar przewidzianych w ustawie,

6) podejmowanie innych działań przewidzianych przepisami niniejszej ustawy.

Art. 30.

1. Minister właściwy do spraw wewnętrznych wydaje decyzję o cofnięciu akredytacji lub wykreśleniu wpisu z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, jeżeli stwierdzi, że podmiot prowadzi działalność niezgodnie z przepisami ustawy w sposób zagrażający interesom odbiorców usług certyfikacyjnych. Wydanie d! ecyzji o cofnięciu akredytacji skutkuje wykreśleniem wpisu z rejestru akredytowanych podmiotów świadczących usługi certyfikacyjne.

2. Przed wydaniem decyzji, o której mowa w ust. 1, minister właściwy do spraw wewnętrznych może wezwać podmiot, aby w określonym terminie usunął niezgodności stwierdzone przez ministra właściwego do spraw wewnętrznych i doprowadził swoją działalność do stanu zgodnego z przepisami ustawy.

3. Wydając decyzję, o której mowa w ust. 1, lub dokonując wezwania, o którym mowa w ust. 2, minister właściwy do spraw wewnętrznych może unieważnić zaświadczenie certyfikacyjne, o którym mowa w art. 22 ust. 2 lub ust. 3, i umieścić je na liście unieważnionych certyfikatów akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Przepisy dotyczące listy unieważnionych certyfikatów użytkowników, o której mowa w art. 21, stosuje się odpowiednio.

!

4. Unieważnienie zaświadczenia certyfikacyjnego, o którym mowa w art. 22 ust. 2 lub ust. 3, wykorzystywanego do weryfikacji poświadczeń elektronicznych składanych odpowiednio przez akredytowane lub kwalifikowane podmioty świadczące usługi certyfikacyjne, powoduje nieważność tych poświadczeń, chyba, że zostanie udowodnione, że poświadczenie zostało złożone przed unieważnieniem zaświadczenia certyfikacyjnego.

5. Unieważnienie poświadczenia elektronicznego, o którym mowa w ust. 4, wykorzystywanego do weryfikacji ważności certyfikatów wydanych przez akredytowany lub kwalifikowany podmiot świadczący usługi certyfikacyjne, powoduje nieważność tych certyfikatów.

6. Unieważnienie poświadczenia elektronicznego, o którym mowa w ust. 4, wykorzystywanego do weryfikacji ważności usługi znakowania czasem świadczonej przez akredytowany lub kwalifikowany podmiot świadczą! cy usługi certyfikacyjne pozbawia skutków prawnych tę usługę.

Art. 31.

1. Wydając decyzję, o której mowa w art. 30 ust. 1 lub dokonując wezwania, o którym mowa w art. 30 ust. 2, minister właściwy do spraw wewnętrznych może nałożyć na podmiot karę pieniężną do wysokości 250.000 złotych, jeżeli stwierdzone nieprawidłowości były szczególnie rażące.

2. W razie nie usunięcia nieprawidłowości, o których mowa w art. 54, w wyznaczonym terminie, minister właściwy do spraw wewnętrznych może nałożyć na kontrolowany podmiot karę pieniężną w wysokości do 250.000 złotych.

3. Przy ustalaniu wysokości kar pieniężnych, o których mowa w ust. 1 i 2, minister właściwy do spraw wewnętrznych jest obowiązany uwzględniać stopień szkodliwości czynu oraz rodzaj i wagę stwierdzonych nieprawidłowości.

4. Kara pieniężna podlega egzekucji w trybie przepisów o postępowaniu egzekucyjnym w administracji.

Art. 32.

1. Decyzja o cofnięciu akredytacji lub wykreśleniu wpisu w rejestrze akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne jest natychmiast wykonalna.

2. Jeżeli jest to uzasadnione koniecznością zapewnienia ochrony interesów odbiorców usług certyfikacyjnych, minister właściwy do spraw wewnętrznych może wstrzymać natychmiastowe wykonanie decyzji o cofnięciu akredytacji lub skreśleniu wpisu z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, jednak na okres nie dłuższy niż 1 miesiąc.

3. Wniesienie skargi do Naczelnego Sądu Administracyjnego nie wstrzymuje wykonalności decyzji, o której mowa w ust. 1. Przepisu art. 40 ustawy z dnia 11 m! aja 1995 r. o Naczelnym Sądzie Administracyjnym (Dz. U. Nr 74, poz. 368 i Nr 104, poz. 515, z 1997 r. Nr 75, poz. 471, Nr 106, poz. 679, Nr 114, poz. 739 i Nr 144, poz. 971, z 1998 r. Nr 162, poz. 1126, z 1999 r. Nr 75, poz. 853 oraz z 2000 r. Nr 2, poz. 5, Nr 48, poz. 552, Nr 60, poz. 704 i Nr 91, poz. 1008) nie stosuje się.

Art. 33.

Od dnia doręczenia decyzji o cofnięciu akredytacji lub wykreśleniu wpisu z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne podmiot nie może zawierać umów o świadczenie usług certyfikacyjnych.

Art. 34.

Jeżeli decyzja o cofnięciu akredytacji lub skreśleniu wpisu z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, zostanie zaskarżona do Naczelnego Sądu Administracyjnego, rozpoznanie skargi powinno nastąpić w terminie 2 miesięcy od d! aty jej wniesienia.

Art. 35.

W przypadku jakiejkolwiek zmiany danych zawartych we wniosku, o którym mowa w art. 23 ust. 1, minister właściwy do spraw wewnętrznych może przeprowadzić kontrolę akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne pod względem spełniania wymagań niezbędnych do uzyskania akredytacji lub wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne.

Art. 36.

Minister właściwy do spraw wewnętrznych kontroluje zgodność działalności podmiotów świadczących usługi certyfikacyjne z wymaganiami niniejszej ustawy.

Art. 37.

1. Kontrolę przeprowadzają pracownicy komórki organizacyjnej ministerstwa obsługującego ministra właściwego do spraw wewnętrznych w ! zakresie akredytacji podmiotów świadczących usługi certyfikacyjne, zwani dalej "kontrolerami", na podstawie legitymacji służbowej i imiennego upoważnienia określającego jednostkę kontrolowaną i podstawę prawną do podjęcia kontroli.

2. Imienne upoważnienia do przeprowadzenia kontroli wydają: minister właściwy do spraw wewnętrznych oraz z jego upoważnienia dyrektor komórki organizacyjnej ministerstwa obsługującego ministra właściwego do spraw wewnętrznych w zakresie akredytacji podmiotów świadczących usługi certyfikacyjne, zwanej dalej "komórką kontrolującą".

3. Kontrolę materiałów zawierających informacje niejawne przeprowadza się z zachowaniem przepisów o ochronie informacji niejawnych na podstawie legitymacji służbowej i odrębnego upoważnienia wydanego przez ministra właściwego do spraw wewnętrznych.

4. Minister właściwy do ! spraw wewnętrznych określi, w drodze rozporządzenia, wzór legitymacji służbowej kontrolera oraz ustali zasady ich wydawania i wymiany, uwzględniając konieczność zapewnienia jednoznacznej identyfikacji kontrolera oraz sprawności funkcjonowania komórki kontrolującej.

Art. 38.

Minister właściwy do spraw wewnętrznych przeprowadza kontrolę podmiotów świadczących usługi certyfikacyjne:

1) z urzędu, nie rzadziej jednak niż raz na rok,

2) na żądanie prokuratora lub sądu, albo innych organów państwowych upoważnionych do tego na podstawie ustaw w związku z prowadzonymi przez nie postępowaniami w sprawach dotyczących działalności podmiotów świadczących usługi certyfikacyjne.

Art. 39.

Kontrola ma na celu ustalenie, czy działaln! ość podmiotu świadczącego usługi certyfikacyjne jest zgodna z wymaganiami niniejszej ustawy. Zakres kontroli określa upoważnienie, o którym mowa w art. 37 ust. 1.

Art. 40.

W celu prawidłowego przeprowadzenia kontroli:

1) kierownicy jednostek podlegających kontroli mają obowiązek przedkładać na żądanie kontrolera wszelkie dokumenty i materiały niezbędne do przygotowania i przeprowadzenia kontroli, z zachowaniem przepisów o tajemnicy ustawowo chronionej,

2) kontrolerzy mają prawo do:

a) swobodnego wstępu do obiektów i pomieszczeń jednostek kontrolowanych,

b) wglądu do wszelkich dokumentów i innych nośników informacji, bezpośrednio związanych z kontrolowaną działalnością oraz zabezpieczania dokumentów i innych materiał! ów dowodowych, z zachowaniem przepisów o tajemnicy ustawowo chronionej,

c) przeprowadzania oględzin obiektów, składników majątkowych i przebiegu określonych czynności,

d) wzywania i przesłuchiwania świadków,

e) żądania od pracowników jednostek kontrolowanych udzielania ustnych i pisemnych wyjaśnień,

f) korzystania z pomocy biegłych i specjalistów.

Art. 41.

1. Kontroler podlega wyłączeniu, na wniosek lub z urzędu, z postępowania kontrolnego, jeżeli wyniki kontroli mogłyby oddziaływać na jego prawa lub obowiązki, na prawa lub obowiązki jego małżonka albo osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnych i powinowatych do drugiego stopnia bądź osób związanych z nim z tytułu przysposobienia, opieki lub k! urateli. Powody wyłączenia kontrolera trwają także po ustaniu małżeństwa, przysposobienia, opieki lub kurateli.

2. Kontroler może być wyłączony, na wniosek lub z urzędu, z postępowania kontrolnego w każdym czasie, jeżeli zachodzą uzasadnione wątpliwości co do jego bezstronności.

3. O przyczynach powodujących wyłączenie kontroler lub kierownik jednostki kontrolowanej niezwłocznie zawiadamia dyrektora jednostki kontrolującej.

4. O wyłączeniu postanawia minister właściwy do spraw wewnętrznych; postanowienie ministra jest ostateczne.

5. Do czasu wydania postanowienia, o którym mowa w ust. 4, kontroler podejmuje jedynie czynności nie cierpiące zwłoki.

Art. 42.

Postępowanie kontrolne jest prowadzone w siedzibie jednostki ! kontrolowanej oraz w miejscach i czasie wykonywania jej zadań, a jeżeli tego wymaga dobro kontroli - również w dniach wolnych od pracy i poza godzinami pracy.

Art. 43.

1. Kontroler ustala stan faktyczny na podstawie zebranych w toku postępowania dowodów.

2. Dowodami są w szczególności dokumenty, zabezpieczone rzeczy, wyniki oględzin, zeznania świadków, opinie biegłych oraz pisemne wyjaśnienia i oświadczenia.

Art. 44.

1. Kontroler może sporządzać, a w razie potrzeby może zażądać od kierownika jednostki kontrolowanej sporządzenia niezbędnych dla kontroli odpisów lub wyciągów z dokumentów, jak również zestawień i obliczeń na podstawie dokumentów.

2. Zgodność odpisów i wyciągów oraz zestawień i obliczeń z oryginalnymi d! okumentami potwierdza kierownik komórki organizacyjnej, w której dokumenty się znajdują, lub osoba do tego upoważniona.

Art. 45.

1. Kontroler dokonuje pobrania rzeczy w obecności kierownika komórki organizacyjnej, w której rzecz się znajduje, a w razie jego nieobecności - pracownika wyznaczonego przez kierownika jednostki kontrolowanej. Pobrana rzecz powinna być zaopatrzona przez uczestników pobrania w trwałe cechy lub znaki uniemożliwiające zastąpienie jej inną.

2. Z pobrania rzeczy sporządza się protokół, który podpisuje kontroler i osoba uczestnicząca w pobraniu.

Art. 46.

1. W razie potrzeby ustalenia stanu faktycznego obiektów lub innych składników majątkowych albo przebiegu określonych czynności, kontroler może przeprowadzić oględziny.

2. Oględziny przeprowadza się w obecności kierownika komórki organizacyjnej, odpowiedzialnego za przedmiot lub czynności poddane oględzinom, a w razie jego nieobecności - pracownika wyznaczonego przez kierownika jednostki kontrolowanej.

3. Z przebiegu i wyniku oględzin sporządza się niezwłocznie protokół, który podpisuje kontroler i osoba wymieniona w ust. 2.

4. Przebieg i wyniki oględzin mogą być ponadto utrwalone:

1) przez sporządzenie stenogramu; stenogram przekłada się na pismo zwykłe z zaznaczeniem zastosowanego systemu stenografii, dołączając pierwopis stenogramu do protokołu,

2) za pomocą aparatury i środków technicznych służących do utrwalania obrazu lub dźwięku; utrwalony obraz lub dźwięk stanowi załącznik do protokołu.

Art.! 47.

1. Kontroler może żądać od pracowników jednostki kontrolowanej udzielenia mu, w terminie przez niego wyznaczonym, ustnych i pisemnych wyjaśnień w sprawach dotyczących przedmiotu kontroli.

2. Odmowa udzielenia wyjaśnień może nastąpić jedynie w przypadkach, gdy wyjaśnienia mają dotyczyć:

1) tajemnicy ustawowo chronionej innej niż tajemnica służbowa, a kontroler nie posiada właściwego upoważnienia,

2) faktów i okoliczności, których ujawnienie mogłoby narazić na odpowiedzialność karną lub majątkową wezwanego do złożenia wyjaśnień, a także jego małżonka albo osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnych i powinowatych do drugiego stopnia bądź osób związanych z nim z tytułu przysposobienia, opieki lub kurateli.

3. Prawo odmowy udzielenia wy! jaśnień w przypadkach, o których mowa w ust. 2 pkt 2, trwa mimo ustania małżeństwa lub przysposobienia.

4. Udzielający wyjaśnień może uchylić się od odpowiedzi na pytania, jeżeli zachodzą okoliczności, o których mowa w ust. 2.

Art. 48.

1. Każdy może złożyć kontrolerowi ustne lub pisemne oświadczenie dotyczące przedmiotu kontroli.

2. Kontroler nie może odmówić przyjęcia oświadczenia, jeżeli ma ono związek z przedmiotem kontroli.

Art. 49.

1. Wyniki przeprowadzonej kontroli kontroler przedstawia w protokole kontroli.

2. Protokół kontroli zawiera opis stanu faktycznego stwierdzonego w toku kontroli działalności jednostki kontrolowanej, w tym ustalonych nieprawidłowości, z uwzg! lędnieniem przyczyn powstania, zakresu i skutków tych nieprawidłowości oraz osób za nie odpowiedzialnych.

Art. 50.

Protokół kontroli podpisują kontroler i kierownik jednostki kontrolowanej, a w razie jego nieobecności osoba pełniąca jego obowiązki.

Art. 51.

1. Kierownikowi jednostki kontrolowanej lub osobie pełniącej jego obowiązki przysługuje prawo zgłoszenia, przed podpisaniem protokołu kontroli, umotywowanych zastrzeżeń, co do ustaleń zawartych w protokole.

2. Zastrzeżenia należy zgłosić na piśmie w terminie 14 dni od dnia otrzymania protokołu kontroli. W szczególnych przypadkach dyrektor jednostki kontrolującej może przedłużyć ten termin.

3. W razie zgłoszenia zastrzeżeń, o których mowa w ust. 1, kontroler jest ! obowiązany dokonać ich analizy i w miarę potrzeby podjąć dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienić lub uzupełnić odpowiednią część protokołu kontroli.

4. W razie nieuwzględnienia zastrzeżeń w całości lub w części kontroler przekazuje na piśmie swoje stanowisko zgłaszającemu zastrzeżenia.

Art. 52.

1. Kierownik jednostki kontrolowanej lub osoba pełniąca jego obowiązki może odmówić podpisania protokołu kontroli, składając w terminie 7 dni od dnia jego otrzymania pisemne wyjaśnienie tej odmowy.

2. W razie zgłoszenia zastrzeżeń termin do złożenia wyjaśnienia o odmowie podpisania protokołu liczy się od dnia otrzymania ostatecznej uchwały w sprawie rozpatrzenia tych zastrzeżeń.

3. O odmowie podpisania protokołu kontroli ! i złożeniu wyjaśnienia kontroler czyni wzmiankę w protokole.

4. Odmowa podpisania protokołu kontroli przez osobę wymienioną w ust. 1 nie stanowi przeszkody do podpisania protokołu przez kontrolera i realizacji ustaleń kontroli.

Art. 53.

1. Przed sporządzeniem przez kontrolera wystąpienia pokontrolnego kontroler może zwrócić się do kierownika jednostki kontrolowanej lub osoby pełniącej jego obowiązki o złożenie w wyznaczonym terminie dodatkowych wyjaśnień na piśmie dotyczących przyczyn i okoliczności powstania nieprawidłowości przedstawionych w protokole kontroli.

2. Kierownik jednostki kontrolowanej lub osoba pełniąca jego obowiązki może z własnej inicjatywy złożyć kontrolerowi w terminie z nim uzgodnionym pisemne wyjaśnienia, o których mowa w ust. 1.

Art. 54! .

Minister właściwy do spraw wewnętrznych po zapoznaniu się z protokołem i zastrzeżeniami, o których mowa w art. 51 ust. 1, oraz wyjaśnieniami, o których mowa w art. 53 ust. 1, powiadamia kontrolowany podmiot o wynikach kontroli i w razie stwierdzenia nieprawidłowości wyznacza termin ich usunięcia, nie krótszy niż 14 dni. W przypadku stwierdzenia rażących nieprawidłowości, minister właściwy do spraw wewnętrznych może nałożyć karę pieniężną bezpośrednio po ich stwierdzeniu.

Art. 55.

Do obowiązków kontrolera należy w szczególności:

1) należyte, bezstronne i terminowe wykonywanie zadań,

2) obiektywne ustalanie i rzetelne dokumentowanie wyników kontroli,

3) przestrzeganie tajemnicy ustawowo chronionej,

4) godne zachowanie się.

Art. 56.

1. Pracownik komórki kontrolnej jest obowiązany zachować w tajemnicy informacje, które uzyskał w związku z wykonywaniem obowiązków służbowych.

2. Obowiązek zachowania tajemnicy trwa również po ustaniu zatrudnienia.

Art. 57.

Minister właściwy do spraw wewnętrznych rozpatruje skargi na podmioty świadczące usługi certyfikacyjne, stosując odpowiednio przepisy Kodeksu postępowania administracyjnego.

Art. 58.

1. Pracownicy zatrudnieni w komórkach organizacyjnych ministerstwa zapewniającego obsługę ministra właściwego do spraw wewnętrznych wykonujący zadania określone w ustawie nie mogą prowadzić działalności gospodarcz! ej, być wspólnikami lub akcjonariuszami, ani wykonywać obowiązków osoby reprezentującej lub członka rady nadzorczej i komisji rewizyjnej podmiotu świadczącego usługi certyfikacyjne, a także pozostawać z podmiotem świadczącym usługi certyfikacyjne w stosunku pracy, stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze.

2. Przepis ust. 1 nie narusza przepisów o ograniczeniu prowadzenia działalności gospodarczej przez osoby pełniące funkcje publiczne.

Art. 59.

Pracownicy zatrudnieni w komórkach organizacyjnych ministerstwa zapewniającego obsługę ministra właściwego do spraw wewnętrznych wykonujący zadania określone w ustawie, a także osoby wykonujące czynności określone w ustawie na rzecz tych komórek organizacyjnych na podstawie umowy zlecenia lub innego stosunku prawnego o podobnym charakterze, są obowiązani do zachowania w tajemnic! y informacji uzyskanych w związku z wykonywaniem tych czynności.

 

ROZDZIAŁ VIII

RADA AKREDYTACYJNA

Art. 60.

1. Tworzy się Radę Akredytacyjną przy ministrze właściwym do spraw wewnętrznych, jako organ doradczy i opiniodawczy w sprawach związanych z działalnością podmiotów świadczących usługi certyfikacyjne.

2. Do zadań Rady Akredytacyjnej należy:

1) opiniowanie projektów aktów normatywnych dotyczących działalności podmiotów świadczących usługi certyfikacyjne,

2) opiniowanie sprawozdań ministra właściwego do spraw wewnętrznych z działalności akredytacyjnej,

3) przedsta! wianie opinii w sprawach związanych z działalnością podmiotów świadczących usługi certyfikacyjne.

Art. 61.

1. Rada Akredytacyjna składa się z 12 osób.

2. Członków Rady Akredytacyjnej, w tym przewodniczącego i wiceprzewodniczącego, powołuje minister właściwy do spraw wewnętrznych spośród osób posiadających wiedzę i doświadczenie w sprawach związanych z zadaniami określonymi w ustawie, z tym że dwóch spośród osób reprezentujących podmioty świadczące usługi certyfikacyjne oraz po jednej osobie rekomendowanej przez:

1) ministra właściwego do spraw łączności,

2) ministra właściwego do spraw instytucji finansowych,

3) ministra właściwego do spraw gospodarki,

4) Szefa Urzędu Ochr! ony Państwa,

5) Szefa Wojskowych Służb Informacyjnych,

6) Prezesa Narodowego Banku Polskiego,

7) Przewodniczącego Komisji Papierów Wartościowych i Giełd.

3. Kadencja członków Rady Akredytacyjnej trwa 6 lat, licząc od dnia powołania, z tym że co 3 lata kończy się kadencja połowy członków. Członkowie Rady Akredytacyjnej pełnią swoje funkcje do czasu powołania ich następców.

4. Powołanie przewodniczącego i wiceprzewodniczącego Rady Akredytacyjnej następuje na 3 lata.

5. Powołanie sześciu członków pierwszej Rady Akredytacyjnej następuje na 3 lata.

6. Do członków Rady Akredytacyjnej stosuje się odpowiednio przepisy dotyczące obowiązku zachowania tajemnic prawnie chronionych.

7. Minister właściwy do spraw wewnętrznych określa, w drodze rozporządzenia, wysokość i zasady wynagradzania członków Rady Akredytacyjnej, uwzględniając wysokość przeciętnego wynagrodzenia miesięcznego w gospodarce narodowej.

Art. 62.

Zasady i tryb działania Rady Akredytacyjnej określa regulamin uchwalany przez Radę Akredytacyjną i zatwierdzany przez ministra właściwego do spraw wewnętrznych.

 

ROZDZIAŁ IX

ŁĄCZENIE PODMIOTÓW ŚWIADCZĄCYCH USŁUGI CERTYFIKACYJNE

Art. 63.

1. Połączenie podmiotów świadczących usługi certyfikacyjne, z których przynajmniej jeden jest podmiotem akredytowanym lub kwalifikowanym, wymaga ze! zwolenia ministra właściwego do spraw wewnętrznych.

2. Wniosek o wydanie zezwolenia, o którym mowa w ust. 1, składa każdy z łączących się podmiotów świadczących usługi certyfikacyjne.

3. Wniosek o wydanie zezwolenia, o którym mowa w ust. 1, powinien zawierać:

1) imię i nazwisko lub nazwę (firmę) wnioskodawcy,

2) wskazanie polityki certyfikacji, w ramach której wnioskodawca wydaje kwalifikowane certyfikaty lub świadczy inne usługi związane z podpisem elektronicznym,

3) wskazanie polityki certyfikacji, zgodnie z którą podmiot przejmujący lub mający powstać w wyniku połączenia ma tworzyć kwalifikowane certyfikaty lub świadczyć inne usługi związane z podpisem elektronicznym,

4) miejsce zamieszkania lub siedzibę oraz adr! es wnioskodawcy,

5) aktualny wypis z krajowego rejestru sądowego,

5) 6) dane osobowe osób, o których mowa w art. 9 ust. 2, które taki podmiot zatrudnia lub zamierza zatrudnić,

7) informacje o kwalifikacjach i doświadczeniu zawodowym oraz zaświadczenia o niekaralności osób, o których mowa w pkt 6,

8) wskazanie technicznych i organizacyjnych możliwości wykonywania obowiązków w zakresie świadczenia usług certyfikacyjnych przez podmiot przejmujący lub mający powstać w wyniku połączenia,

9) zobowiązanie do nie używania, przez podmiot przejmujący lub mający powstać w wyniku połączenia, danych służących do składania poświadczeń elektronicznych do wydawania zaświadczeń certyfikacyjnych innym podmiotom świadczącym usługi certyfikacyjne,

10) regulamin organizacyjny podmiotu przejmującego lub mającego powstać w wyniku połączenia określający, w szczególności, sposób zapobiegania ujawnianiu informacji, których wykorzystanie mogłoby naruszać interes odbiorców usług certyfikacyjnych,

11) plan organizacyjny i finansowy działalności podmiotu przejmującego lub mającego powstać w wyniku połączenia na 3 lata,

12) numer identyfikacji podatkowej wnioskodawcy,

13) numer identyfikacyjny REGON wnioskodawcy.

4. Zezwolenie, o którym mowa w ust. 2, powinno określać nazwę polityki lub polityk certyfikacji, w ramach których podmiot przejmujący lub mający powstać w wyniku połączenia ma wydawać kwalifikowane certyfikaty lub świadczyć inne usługi związane z podpisem elektronicznym. Zezwolenie może określać jedynie polityki certyfikacji, w ramach! których podmioty składające wnioski, o których mowa w ust. 3, świadczyły usługi jako akredytowane lub kwalifikowane podmioty świadczące usługi certyfikacyjne .

5. Jeśli zezwolenie, o którym mowa w ust. 2, nie zawiera nazwy polityki certyfikacji, w ramach której podmioty składające wnioski, o których mowa w ust. 3, świadczyły usługi jako akredytowane lub kwalifikowane podmioty świadczące usługi certyfikacyjne, to w przypadku połączenia jest to równoznaczne z wydaniem decyzji o cofnięciu akredytacji lub skreśleniu wpisu z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne w ramach tej polityki. Przepisy o wydaniu decyzji o cofnięciu akredytacji lub skreśleniu wpisu z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne stosuje się odpowiednio.

Art. 64.

1. Treść zezwolenia ministra właściwego do spraw wewnętrzny! ch na połączenie podmiotów, z których przynajmniej jeden jest akredytowanym lub kwalifikowanym podmiotem świadczącym usługi certyfikacyjne, podmioty składające wniosek, o którym mowa w art. 64 ust. 2, ogłaszają niezwłocznie w dzienniku o zasięgu krajowym.

2. O treści ogłoszenia, o którym mowa w ust. 1, podmioty składające wniosek, o którym mowa w art. 64 ust. 2, zawiadamiają niezwłocznie ministra właściwego do spraw wewnętrznych.

Art. 65.

Zamiar połączenia podmiotów świadczących usługi certyfikacyjne, z których przynajmniej jeden jest akredytowanym lub kwalifikowanym podmiotem świadczącym usługi certyfikacyjne podlega zgłoszeniu Prezesowi Urzędu Ochrony Konkurencji i Konsumentów jeżeli łączna wartość usług świadczonych w następstwie zamierzonego połączenia przekroczyłaby, w którymkolwiek z miesięcy przypadających w roku poprzedzającym rok zgłosz! enia takiego zamiaru, 33% łącznej wartości usług netto wszystkich podmiotów świadczących usługi certyfikacyjne.

Art. 66.

W zakresie nieuregulowanym niniejszą ustawą stosuje się przepisy ustawy z dnia 15 grudnia 2000 r. o ochronie konkurencji i konsumentów (Dz. U. Nr 122, poz. 1319).

 

ROZDZIAŁ X

PRZEPISY KARNE

Art. 67.

1. Kto świadczy usługi certyfikacyjne bez wymaganej akredytacji, podlega grzywnie do 5.000.000 złotych lub karze pozbawienia wolności do lat 5 albo obu tym karom łącznie.

2. Tej samej karze podlega, kto świadczy usługi certyfikacyjne w charakterze kwalifikowanego podmiotu świadczącego taki usługi! bez wymaganego wpisu do właściwego rejestru.

Art. 68.

1. Kto świadczy usługi certyfikacyjne bez uprzedniego zawarcia wymaganej umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom tych usług, podlega grzywnie do 1.000.000 złotych.

2. Tej samej karze podlega, kto świadcząc usługi certyfikacyjne, wbrew warunkom określonym w ustawie nie udostępnia osobie uprawnionej warunków technicznych, jakim powinny odpowiadać bezpieczne urządzenia do składania oraz weryfikacji podpisów elektronicznych, lub nie ogłasza listy zawieszonych i unieważnionych certyfikatów osób składających podpis elektroniczny.

3. Grzywnie określonej w ust. 1 podlega również świadczący usługi certyfikacyjne oraz likwidator podmiotu świadczącego takie usługi, który nie przechowuje lub nie archiwizuje, w sposób okreś! lony w ustawie, bezpośrednio związanych z tym dokumentów i danych.

Art. 69.

Kto, świadcząc usługi certyfikacyjne, wbrew obowiązkowi określonemu w ustawie nie informuje osoby występującej o certyfikat o warunkach uzyskania i używania certyfikatu podlega grzywnie.

Art. 70.

1. Kto, będąc obowiązany do zachowania tajemnicy związanej ze świadczeniem usług certyfikacyjnych, ujawnia lub wykorzystuje wbrew warunkom określonym w ustawie, informacje objęte ta tajemnicą, podlega grzywnie do 1.000.000 złotych lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.

2. Jeżeli sprawca dopuszcza się czynu określonego w ust. 1 jako świadczący usługi certyfikacyjne albo w celu osiągnięcia korzyści majątkowej lub osobistej, podlega grzywnie do 5.000.000 złotych lub ! karze pozbawienia wolności do lat 5 albo obu tym karom łącznie.

Art. 71.

Karom określonym w art. 67-69 podlega także ten, kto dopuszcza się czynu, o którym mowa w tych przepisach, działając w imieniu lub w interesie innej osoby fizycznej, osoby prawnej lub jednostki organizacyjne nie mającej osobowości prawnej.

 

ROZDZIAŁ XI

PRZEPISY PRZEJŚCIOWE I KOŃCOWE

Art. 72.

W ustawie z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. Nr 16, poz. 93, z 1971 r. Nr 27, poz. 252, z 1976 r. Nr 19, poz. 122, z 1982 r. Nr 11, poz. 81, Nr 19, poz. 147 i Nr 30, poz. 210, z 1984 r. Nr 45, poz. 242, z 1985 r. Nr 22, poz. 99, z 1989 r. Nr 3, poz. 11, z 1990 r. Nr 34, poz. 19! 8, Nr 55, poz. 321 i Nr 79, poz. 464, z 1991 r. Nr 107, poz. 464 i Nr 115, poz. 496, z 1993 r. Nr 17, poz. 78, z 1994 r. Nr 27, poz. 96, Nr 85, poz. 388 i Nr 105, poz. 509, z 1995 r. Nr 83, poz. 417, z 1996 r. Nr 114, poz. 542, Nr 139, poz. 646 i Nr 149, poz. 703, z 1997 r. Nr 43, poz. 272, Nr 115, poz. 741, Nr 117, poz. 751 i Nr 157, poz. 1040, z 1998 r. Nr 106, poz. 668 i Nr 117, poz. 758, z 1999 r. Nr 52, poz. 532 oraz z 2000 r. Nr 22, poz. 271 i Nr 74, poz. 855 i 857) wprowadza się następujące zmiany:

1) art. 60 otrzymuje brzmienie:

"Art. 60. Z zastrzeżeniem wyjątków w ustawie przewidzianych, wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli na elektronicznym nośniku informatycznym (oświadczenie woli).";

2) art. 78 otrzymuje brzmienie:

"Art. 78. § 1. Do zachowania pisemnej formy czynności prawnej wystarcza złożenie własnoręcznego podpisu na dokumencie obejmującym treść oświadczenia woli. Do zawarcia umowy wystarcza wymiana dokumentów obejmujących treść oświadczeń woli, z których każdy jest podpisany przez jedną ze stron lub dokumentów, z których każdy obejmuje treść oświadczenia woli jednej ze stron i jest przez nią podpisany.

§ 2. Forma pisemna zachowana jest również w razie, gdy oświadczenie woli złożone na elektronicznym nośniku informatycznym zostało dostatecznie utrwalone i zabezpieczone oraz gdy dołączono lub powiązano jego treść z podpisem elektronicznym w sposób umożliwiający ustalenie tożsamości składającego oświadczenie i stwierdzenie, że oświadczenie to po dołączeniu podpisu elektronicznego nie zostało zmienione.".

Art. 7! 3.

W ustawie z dnia 4 września 1997 r. o działach administracji rządowej (Dz. U. z 1999 r. Nr 82, poz. 928 oraz z 2000 r. Nr 12 , poz. 136, Nr 43, poz. 489, Nr 48 , poz. 550, Nr 62, poz. 718, Nr 70, poz. 816, Nr 73, poz. 852, Nr 109, poz. 1158 i Nr 122, poz. 1314) w art. 29 w ust. 1 po pkt 7 dodaje się pkt 7a w brzmieniu:

"7a) akredytacji podmiotów świadczących usługi certyfikacyjne w rozumieniu przepisów o podpisie elektronicznym.".

Art. 74.

Do dnia 31 grudnia 2003 r. wnioski, o których mowa w art. 23 ust. 2 i art. 64 ust. 2, zamiast aktualnego wypisu z krajowego rejestru sądowego mogą zawierać wypis z działalności ewidencji gospodarczej.

Art. 75.

Banki, organy władzy publicznej i jednostki sektora public! znego, do dnia 1 lipca 2002 r., dostosują swoją działalność w zakresie świadczenia usług związanych z podpisem elektronicznym oraz wykorzystania systemów teleinformatycznych związanych ze świadczeniem tych usług do wymogów niniejszej ustawy.

Art. 76.

1. Ustawa wchodzi w życie z dniem 1 lipca 2001 r., z wyjątkiem art. 3 ust. 1 pkt 4-7 oraz art. 7 ust. 2, które wchodzą w życie z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej.

2. Art. 3 pkt 1-3 tracą moc z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej.

 

UZASADNIENIE

Ustawa o podpisie elektronicznym jest kolejnym aktem dostosowującym polskie ustawodawstwo do wymogów prawa Unii Europejskiej. Jednocze! śnie w związku z rozwojem techniki, powszechnym dostępem do Internetu i poczty elektronicznej i związanym z tym procesem handlu elektronicznego zaistniała konieczność stworzenia warunków prawnych pozwalających na skuteczne i bezpieczne wskazanie tożsamości podmiotów uczestniczących w elektronicznym obrocie prawnym tj. tworzenia i weryfikacji podpisów elektronicznych. Na podkreślenie zasługuje fakt, iż wiele państw posiada już właściwe regulacje w tym zakresie np. Niemcy, Austria, Czechy, Belgia, Francja, Finlandia, Słowenia, Słowacja.

Prezentowany projekt reguluje dziedzinę w prawie polskim zupełnie nową, technicznie zaawansowaną i regulowaną specyficznym wysoce technicznie wyspecjalizowanym językiem informatycznym.

Rodziło to wiele praktycznych trudności w sformułowaniu przepisów w sposób zgodny z wymogami języka techniki a jednocześnie w sposób zrozumiały dla przeciętnego odbiorcy prawa! - zgodnie z zasadami techniki prawodawczej.

Podstawowe wytyczne do sformułowania przepisów ustawy określa dyrektywa Parlamentu Europejskiego i Rady nr 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych warunków ramowych dotyczących podpisu elektronicznego. Przygotowując projekt starano się nie naruszyć ducha dyrektywy i uszanować utrwalone zasady tworzenia prawa wewnętrznego.

Projekt jest wyrazem kompromisu pomiędzy oczekiwaniami profesjonalistów i potrzebami nieprofesjonalnych odbiorców pragnących używać podpisu elektronicznego w sprawach życia codziennego.

Ponadto w związku z postępem technologicznym ustawa nie wskazuje jednoznacznych środków za pomocą, których będą składane podpisy elektroniczne oraz środków bezpieczeństwa, które muszą zostać przedsięwzięte zarówno przez odbiorców usług certyfikacyjnych, jak i przez podmioty świadc! zące te usługi. Pod tym względem ustawa wskazuje jedynie jakie wymagania muszą spełniać odpowiednie urządzenia. Jest bowiem pewne, że rozwój techniki stworzy w przyszłości doskonalsze systemy zabezpieczeń.

Ustawa określiła warunki i skutki prawne stosowania podpisu elektronicznego, a także zasady świadczenia usług związanych z podpisem elektronicznym oraz nadzoru nad podmiotami świadczącymi te usługi.

W zakresie nie uregulowanym w ustawie, skutki prawne stosowania podpisu elektronicznego będą takie same jak określone, w szczególności w kodeksie cywilnym, skutki prawne podpisów własnoręcznych.

Wprowadzono następujące domniemania (art. 5):

1) podpis elektroniczny weryfikowany na podstawie ważnego kwalifikowanego certyfikatu pochodzi od osoby określonej w tym certyfikacie jako osoba składająca podpis elek! troniczny,

2) podpis elektroniczny spełnia wymóg, o którym mowa w art. 4 pkt 1 lit. c), tzn. że został złożony za pomocą urządzeń i danych, które osoba fizyczna składająca podpis ma pod swoją wyłączną kontrolą,

3) podpis elektroniczny znakowany czasem przez akredytowany lub kwalifikowany podmiot został złożony nie później niż w czasie rzeczywistym wskazanym za pomocą tej usługi; domniemanie to przysługuje do dnia utraty ważności certyfikatu wykorzystywanego do weryfikacji tego znakowania.

Domniemanie, o którym mowa w pkt 1) nie przysługuje po upływie terminu ważności certyfikatu lub od dnia jego unieważnienia oraz w okresie jego zawieszenia, chyba, że zostanie udowodnione, że podpis został złożony przed upływem terminu ważności certyfikatu lub przed dniem jego unieważnienia albo zawieszenia.

Dokument o! patrzony podpisem elektronicznym złożonym na podstawie ważnego kwalifikowanego certyfikatu jest równoważny pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi i spełnia wymogi w zakresie zachowania formy pisemnej, także gdy została zastrzeżona pod rygorem nieważności (art. 73 ustawy zmieniający art. 78 Kodeks Cywilny). Jednocześnie projekt nie uchyla innych norm ustaw szczególnych w zakresie spełnienia wymogu formy pisemnej (art. 74 ustawy zmieniający ustawę o publicznym obrocie papierami wartościowymi).

Należy również wskazać, że zgodnie z Dyrektywą UE wprowadzono do ustawy normę, na podstawie której nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji podpisu nie mają kwalifikowanego certyfikatu lub nie został złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego.

!

Podpis elektroniczny weryfikowany przy pomocy certyfikatu wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu. Podpis elektroniczny złożony w okresie zawieszenia certyfikatu wykorzystywanego do jego weryfikacji wywołuje skutki prawne z chwilą uchylenia tego zawieszenia. Rozwiązanie takie zapewni pewność obrotu gospodarczego, w którym szczególnie ważne jest, aby strony umów zawieranych za pomocą podpisów składanych w formie elektronicznej miały pewność skuteczności podpisu swojego kontrahenta.

Mając na względzie zasadę swobody umów, ustawa przewiduje, że strony stosunku prawnego mogą, w drodze umowy, uznać za prawnie skuteczny, podpis elektroniczny weryfikowany na podstawie certyfikatu wydanego przez podmiot świadczący usługi certyfikacyjne nie mający siedziby na terytorium Rzeczypospolitej Polskiej i nie świadczący usług na jej terytorium. Przepisu teg! o nie będzie się stosować do podpisu elektronicznego weryfikowanego na podstawie certyfikatu wydanego przez podmiot świadczący usługi certyfikacyjne mający siedzibę na terytorium państw członkowskich Unii Europejskiej. Certyfikaty wydawane przez te podmioty zrównane będą bowiem pod względem prawnym z certyfikatami wydawanymi przez podmioty mające siedzibę na terytorium RP. Te szczególne uregulowania dotyczące podmiotów "unijnych" wejdą w życie z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej.

Polska ustawa bazuje na postanowieniach dyrektywy, szczególnie w warstwie definicji. Dotyczy to zarówno definicji samego podpisu elektronicznego, jak i osoby składającej podpis elektroniczny i potwierdzają tożsamość tej osoby i jego formy kwalifikowanej oraz akredytacji, czyli zezwolenia udzielanego podmiotowi świadczącemu usługi certyfikacyjne umożliwiającego wydawanie kwalifikowanych certyfikatów lub zn! akowanie czasem.

Pojęciami podstawowymi dla zrozumienia materii ustawy są pojęcie certyfikatu rozumianego jako elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do określonej osoby składającej podpis elektroniczny i potwierdzają tożsamość tej osoby i jego formy kwalifikowanej, oraz akredytowanego i kwalifikowanego podmiotu świadczącego usługi certyfikacyjne na rzecz lub przez organy władzy publicznej i jednostki sektora publicznego, z wyłączeniem Narodowego Banku Polskiego.

Certyfikat, zgodnie z art. 13 ust. 1, jest wydawany na podstawie umowy o świadczenie usług certyfikacyjnych, która winna być, pod rygorem nieważności, sporządzona w formie pisemnej (art. 15 ust. 1). Jednocześnie ustawa wskazuje, iż nieważność umowy o świadczenie usług certyfikacyjnych nie powoduje nieważności certyfikatu, jeżeli został on wydany na wn! iosek osoby zainteresowanej i spełnia pozostałe wymogi określone niniejszą ustawą (art. 15 ust. 2). Norma taka jest podyktowana koniecznością zapewnienia pewności obrotu gospodarczego, w szczególności służy ona ochronie odbiorców usług certyfikacyjnych działających w zaufaniu do wydanego i wykorzystywanego certyfikatu. Umowa o świadczenie usług certyfikacyjnych kształtuje jedynie stosunki prawne między stronami tej umowy tzn. między podmiotem świadczącym usługi certyfikacyjne a osobą składającą podpisy elektroniczne. Umowa ta nie musi być znana pozostałym odbiorcom usług certyfikacyjnych, w szczególności osoby te nie muszą mieć świadomości, czy umowa ta jest ważna czy też nie, co nie może wpływać negatywnie na ich prawa wynikłe z zawartych z osobą składającą podpis elektroniczny umów w formie elektronicznej.

W sposób szczególny wyróżniono także jedną z usług związanych z podpisem elektronicznym polegającą na dołączaniu do danych w ! postaci elektronicznej, logicznie powiązanych z danymi opatrzonymi podpisem lub poświadczeniem elektronicznym, oznaczenia rzeczywistego czasu znakowania oraz poświadczenia elektronicznego tak powstałych danych przez świadczącego usługę. Usługa ta ma zasadnicze znaczenie dla pewności obrotu i ważności podpisów elektronicznych.

Certyfikaty wydawane są w ramach tzw. polityk certyfikacji. Są to szczegółowe rozwiązania, w tym techniczne i organizacyjne, wskazujące sposób tworzenia oraz zakres i sposób stosowania certyfikatu w warunkach jednolitych wymagań bezpieczeństwa. Inne bowiem wymagania bezpieczeństwa musi spełniać podpis składany na potrzeby drobnego handlu a inne podpis składany w sprawach chronionych na podstawie przepisów o ochronie informacji niejawnych.

Zasadą jest swoboda wykonywania działalności gospodarczej w zakresie świadczenia usług certyfikacyjnych. Jednak świadczenie usług ! certyfikacyjnych na rzecz lub przez organy władzy publicznej i jednostki sektora publicznego, z wyłączeniem Narodowego Banku Polskiego, wymaga akredytacji i wpisania do rejestru akredytowanych podmiotów świadczących usługi certyfikacyjne.

Podmioty świadczące usługi certyfikacyjne zobowiązane będą do:

1) zapewnienia technicznych i organizacyjnych możliwości szybkiego i niezawodnego wydawania, zawieszania i unieważniania certyfikatów oraz określenia czasu dokonania tych czynności,

2) stwierdzenia tożsamości osoby ubiegającej się o uzyskanie certyfikatu, w sposób określony w polityce certyfikacji,

3) uzyskania dodatkowych danych, które mają być zawarte w certyfikacie,

4) zatrudnienia osób posiadających niezbędne doświadczenie i kwalifikacje,

5) zapewnienia środków przeciwdziałających fałszerstwom certyfikatów i innych poświadczanych elektronicznie przez nich danych,

6) zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych, w przypadku gdy usługi są świadczone przez akredytowane lub kwalifikowane podmioty świadczące usługi certyfikacyjne,

7) poinformowania osoby, która występuje o certyfikat, przed zawarciem z nią umowy o warunkach uzyskania i używania certyfikatu o wszelkich ograniczeniach jego użycia oraz - w przypadku gdy podmiot nie posiada akredytacji - również o istnieniu możliwości uzyskania certyfikatu od podmiotu akredytowanego,

8) używania systemów do znakowania czasem, tworzenia i przechowywania certyfikatów, w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom upoważnion! ym oraz gwarantującym publiczny dostęp do certyfikatów, jeżeli osoby, którym wydano te certyfikaty wyraziły zgodę na taki dostęp,

9) udostępnienia, na wniosek odbiorcy usług certyfikacyjnych, wykazu bezpiecznych urządzeń do składania i weryfikacji podpisów elektronicznych,

10) zapewnienia, w razie tworzenia przez nie danych służących do składania podpisu elektronicznego, poufności procesu ich tworzenia, a także nie przechowywania i nie kopiowania tych danych oraz nie udostępniania ich nikomu innemu poza osobą, która będzie składała za ich pomocą podpis elektroniczny,

11) zapewnienia za pomocą środków technicznych, aby dane służące do składania podpisów mogły, po zakończeniu procesu ich tworzenia, wystąpić tylko raz,

12) zapewnienia weryfikacji autentyczności i ważności certyfikatów oraz innych poświadc! zanych przez nich elektronicznie danych.

Podmiot świadczący usługi certyfikacyjne odpowiadać powinien wobec odbiorców usług certyfikacyjnych za wszelkie szkody spowodowane niewykonaniem lub nienależytym wykonaniem swych obowiązków w zakresie świadczonych usług, chyba że niewykonanie lub nienależyte wykonanie tych obowiązków jest następstwem okolicznościami, za które podmiot świadczący usługi certyfikacyjne nie ponosi odpowiedzialności i którym nie mógł zapobiec mimo dołożenia należytej staranności.

Ponieważ ustawa zgodnie z Dyrektywą Unii Europejskiej przewiduje instytucje udzielania gwarancji za certyfikat wydany przez podmiot świadczący usługi poza granicami Rzeczypospolitej Polskiej, podmiot świadczący usługi certyfikacyjne, który udzielił gwarancji za certyfikat, odpowiada wobec odbiorców usług certyfikacyjnych za wszelkie szkody spowodowane użyciem tego certyfikatu.

Podmiot świadczący usługi certyfikacyjne nie odpowiada wobec odbiorców usług certyfikacyjnych za szkody wynikające z użycia certyfikatu poza zakresem określonym w polityce certyfikacji, której identyfikator został wskazany w certyfikacie.

Podmiot świadczący usługi certyfikacyjne wydaje certyfikat na wniosek osoby zainteresowanej składaniem podpisów elektronicznych. Podstawą do wydania certyfikatu jest umowa określająca zakres stosowania certyfikatu, okres ważności certyfikatu, zakres świadczonych usług certyfikacyjnych oraz koszty świadczonych usług certyfikacyjnych.

Jednocześnie ze względu na fakt, iż umowa o świadczenie usług certyfikacyjnych wiąże tylko jej strony, natomiast umowy zawierane za pomocą podpisu elektronicznego będą wiązać osoby trzecie, które nie będą miały możliwości dowiedzenia się, czy certyfikat został wydany w sposób właściwy, projekt zakła! da obowiązek jednoznacznego wskazania certyfikatu przez osobę składającą podpis elektroniczny.

Treść kwalifikowanego certyfikatu ustawa określiła analogicznie do treści określonej w dyrektywie. Certyfikat zawierał będzie numer certyfikatu, wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany zgodnie z daną polityką certyfikacji, określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę oraz numer akredytacji lub pozycji w odpowiednim rejestrze akredytowanych podmiotów, imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny, wskazanie w jakim charakterze lub w czyim imieniu działa osoba składająca podpis elektroniczny, oznaczenie początku i końca okresu ważności certyfikatu, poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne, wydającego dany certyfikat, ograniczenia zakresu ważności certyfikatu jeśli przewiduje to dana polityka c! ertyfikacji, ograniczenia maksymalnej wartości transakcji, w której certyfikat może być wykorzystywany.

Certyfikat jest ważny w okresie w nim wskazanym, może być jednak wcześniej zawieszony a nawet unieważniony.

Zasadniczą częścią ustawy są rozdziały dotyczące trybu udzielania akredytacji i dokonywania wpisu do rejestru akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne oraz sprawowania nad nimi nadzoru.

Określono tryb i zasady składania i rozpatrywania wniosków o udzielenie akredytacji lub dokonanie wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne oraz tryby kontroli podmiotów świadczących usługi certyfikacyjne.

Minister właściwy do spraw wewnętrznych wskazany został jako organ właściwy do spraw związanych z podpisem elektronicznym realizujący! m swoje zadania poprzez:

1) akredytację podmiotów świadczących usługi certyfikacyjne,

2) prowadzenie rejestrów akredytowanych lub kwalifikowanych podmiotów świadczących usługi certyfikacyjne,

3) wydawanie i unieważnianie zaświadczeń certyfikacyjnych, o których mowa w art. 22 ust. 2 i 3,

4) kontrolę legalności działalności podmiotów świadczących usługi certyfikacyjne,

5) nakładanie kar przewidzianych w ustawie,

6) podejmowanie innych działań przewidzianych przepisami niniejszej ustawy.

Ustawa tworzy Radę Akredytacyjną ministra właściwego do spraw wewnętrznych, jako organ doradczy i opiniodawczy w sprawach związanych z działalnością podmiotów świadczących usługi certyfikacyj! ne. Do zadań Rady należy opiniowanie projektów aktów normatywnych dotyczących działalności podmiotów świadczących usługi certyfikacyjne, opiniowanie sprawozdań ministra właściwego do spraw wewnętrznych z działalności akredytacyjnej, przedstawianie opinii w sprawach związanych z działalnością podmiotów świadczących usługi certyfikacyjne. Rada składa się z 12 osób powoływanych przez ministra właściwego do spraw wewnętrznych spośród osób posiadających wiedzę i doświadczenie w sprawach związanych z zadaniami określonymi w ustawie. Dwóch członków Rady powołuje się spośród osób reprezentujących podmioty świadczące usługi certyfikacyjne oraz siedmiu (po 1 osobie) spośród osób rekomendowanych przez ministra właściwego do spraw łączności, ministra właściwego do spraw instytucji finansowych, ministra właściwego do spraw gospodarki, Szefa Urzędu Ochrony Państwa, Szefa Wojskowych Służb Informacyjnych, Prezesa Narodowego Banku Polskiego, Komisję Papierów Wartościowych i Giełd.

!

Egzekucję przepisów ustawy zapewniają przepisy karne penalizujące istotne jej naruszenia.

Ze względu na nowatorski charakter regulowanej problematyki niezbędna staje się nowelizacja ustawy z dnia 4 września 1997 r. o działach administracji rządowej (Dz. U. z 1999 r. Nr 82, poz. 928 oraz z 2000 r. Nr 12, poz. 136 i Nr 48, poz. 55) dodająca do zadań działu sprawy wewnętrzne sprawy z zakresu akredytacji podmiotów świadczących usługi certyfikacyjne w rozumieniu przepisów o podpisie elektronicznym.

Proponuje się, aby ustawa weszła w życie z dniem 1 lipca 2001 r. z wyjątkiem art. 3 pkt 4-7 oraz art. 7 ust. 2, które wejdą w życie z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej. Jednocześnie przepisy art. 3 pkt 1-3 utracą moc z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej.

Wejście w życie ustawy stworzy warunki do bezpiecznego dla konsumentów stosowania podpisu elektronicznego. Ożywi obrót gospodarczy za pośrednictwem mediów elektronicznych oraz dostosuje kolejną dziedzinę życia do standardów europejskich.

Ze względu na fakt, że znaczna część podmiotów, które w myśl przepisów ustawy (art. 8) muszą uzyskać akredytacje ministra właściwego do spraw wewnętrznych, świadczy tego typu usługi w dniu dzisiejszym, ustawa pozwala, aby banki, organy władzy publicznej i jednostki sektora publicznego, do dnia 1 lipca 2002 r., dostosowały swoją działalność w zakresie świadczenia usług związanych z podpisem elektronicznym oraz wykorzystywały systemów teleinformatycznych związanych ze świadczeniem tych usług do wymogów niniejszej ustawy.

Koszty związane z wejściem w życie ustawy związane będą z koniecznością utworzenia aparatu niezbędnego do wszczęcia postępow! ania akredytacyjnego. Środki na ten cel zostały przewidziane w budżecie Ministerstwa Spraw Wewnętrznych i Administracji na rok 2001.