Ustawa. z dnia r. o zmianie ustawy o podpisie elektronicznym. (Dz. U. z dnia 19 lipca 2004 r.)

Transkrypt

1 Projekt z dnia 23 VII 2007 r. Ustawa z dnia r. o zmianie ustawy o podpisie elektronicznym (Dz. U. z dnia 19 lipca 2004 r.) Art. 1. W ustawie z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późn. zm. 1 ) wprowadza się następujące zmiany: 1) art. 2 otrzymuje brzmienie: Art. 2. Przepisy ustawy stosuje się do podmiotów świadczących usługi certyfikacyjne, mających siedzibę na terytorium Rzeczypospolitej Polskiej. 2) w art. 3: a) pkt 1 i 2 otrzymują brzmienie: 1) podpis elektroniczny dane w postaci elektronicznej, które służą do stwierdzania autentyczności innych danych elektronicznych, do których są dołączone lub z którym są logicznie powiązane, 2) zaawansowany podpis elektroniczny - podpis elektroniczny, który: a) jest przyporządkowany wyłącznie do podpisującego, b) umożliwia identyfikację podpisującego, c) jest utworzony za pomocą środków podlegających wyłącznej kontroli podpisującego, d) jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna, b) po pkt 2 dodaje się pkt 2a - 2f w brzmieniu: 2a) bezpieczny podpis elektroniczny zaawansowany podpis elektroniczny składany przez osobę fizyczną za pomocą bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego, 2b) elektroniczne potwierdzenie danych zawansowany podpis elektroniczny składany automatycznie za pomocą bezpiecznych urządzeń i danych do składania podpisu przyporządkowanych do podmiotu podmiot, który złożył podpis, 2c) podmiot osoba prawna albo jednostka organizacyjna nie posiadająca osobowości prawnej, 2d) znacznik czasu elektroniczne potwierdzenie danych zawierające czas wykonania potwierdzenia w czasie urzędowym, 1 Zmiany wynienionej ustawy zostały ogłoszone w Dz. U r. Nr 153, poz. 1271, z 2003 r. Nr 124, poz i Nr 217, poz. 2125, z 2004 r. Nr 96, poz. 959, z 2005 r. Nr 64, poz. 565 oraz z 2006 r. Nr 145 poz

2 2e) potwierdzanie ważności certyfikatu elektroniczne potwierdzenie danych wykonywane przez podmiot świadczący usługi certyfikacyjne, zawierające informacje o ważności certyfikatu i czasie urzędowym jego wystawienia, 2f) czas urzędowy czas określany i rozpowszechniany na podstawie przepisów ustawy z dnia 10 grudnia 2003 r. o czasie urzędowym na obszarze Rzeczypospolitej Polskiej (Dz.U r. nr 16, poz.144), c) pkt 3 6 otrzymuje brzmienie: 3) podpisujący osoba fizyczna, która działa w imieniu własnym albo w imieniu innej osoby fizycznej lub podmiotu albo podmiot świadczący usługi certyfikacyjne posiadającą urządzenie służące do składania podpisu elektronicznego, 4) dane służące do składania podpisu elektronicznego niepowtarzalne i przyporządkowane podpisującemu dane, które są wykorzystywane przez podpisującego do składania podpisu elektronicznego, 5) dane służące do weryfikacji podpisu elektronicznego niepowtarzalne i przyporządkowane podpisującemu dane, które są wykorzystywane do weryfikacji podpisu elektronicznego, 6) urządzenie służące do składania podpisu elektronicznego skonfigurowany sprzęt lub oprogramowanie zastosowane w celu użycia danych służących do składania podpisu elektronicznego, d) pkt 8 otrzymuje brzmienie: 8) urządzenie służące do weryfikacji podpisu elektronicznego skonfigurowany sprzęt lub oprogramowanie umożliwiające weryfikację podpisu elektronicznego przy wykorzystaniu danych do weryfikacji podpisu elektronicznego,, e) pkt 9 uchyla się, f) pkt 10 otrzymuje brzmienie: 10) certyfikat elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do podpisującego i które umożliwiają jego identyfikację,, g) pkt 11 uchyla się, h) pkt 13 otrzymuje brzmienie: 13) usługi certyfikacyjne - wydawanie certyfikatów lub inne usługi związane z podpisem elektronicznym, i) pkt 16 uchyla się, j) pkt uchyla się, k) pkt 22 otrzymuje brzmienie: 22) weryfikacja zaawansowanego podpisu elektronicznego - czynności, które pozwalają na identyfikację podpisującego oraz pozwalają stwierdzić, że podpis został złożony za pomocą danych służących do składania podpisu elektronicznego 2

3 przyporządkowanych do podpisującego, a także że dane opatrzone tym podpisem nie uległy zmianie po złożeniu podpisu elektronicznego. 3) w art. 4 pkt. 4 otrzymuje brzmienie: 4) podmiot uznany w rozumieniu właściwego prawa państwa członkowskiego Unii Europejskiej za kwalifikowany podmiot świadczący usługi certyfikacyjne udzielił gwarancji za ten certyfikat, 4) art. 5 otrzymuje brzmienie: Art Zaawansowany podpis elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu. Zaawansowany podpis elektroniczny złożony w okresie zawieszenia kwalifikowanego certyfikatu wykorzystywanego do jego weryfikacji wywołuje skutki prawne z chwilą uchylenia tego zawieszenia. 2. Dane w postaci elektronicznej opatrzone zaawansowanym bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej. 3. Zaawansowany podpis elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu zapewnia integralność danych opatrzonych tym podpisem i jednoznaczne wskazanie kwalifikowanego certyfikatu, w ten sposób, że rozpoznawalne są wszelkie zmiany tych danych oraz zmiany wskazania kwalifikowanego certyfikatu wykorzystywanego do weryfikacji tego podpisu, dokonane po złożeniu podpisu., 5) w art. 6: a) po ust. 1 dodaje się ust. 1a w brzmieniu: 1a. Elektroniczne potwierdzenie danych weryfikowane przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód na to, że zostało one złożone przez podmiot określony w tym certyfikacie. b) ust 3 otrzymuje brzmienie: 3. Nie można skutecznie powoływać się, że podpis elektroniczny weryfikowany za pomocą ważnego kwalifikowanego certyfikatu nie został złożony za pomocą bezpiecznych urządzeń i danych do składania, podlegającej podlegających wyłącznej kontroli podpisującego osoby składającej podpis za wyjątkiem przypadków, gdy zostanie udowodnione, że nastąpiło to w okolicznościach zabronionych przez ustawę. 6) art. 7 otrzymuje brzmienie: 1. Znacznik czasu stanowi dowód tego, że usługa certyfikacyjna została wykonana w czasie w nim określonym. 2. Potwierdzanie ważności certyfikatu stanowi dowód ważności certyfikatu i czasu dokonania tego potwierdzenia. Potwierdzenie ważności certyfikatu zawierające informacje, że certyfikat jest ważny stanowi potwierdzenie, że w momencie wystawiania potwierdzenia certyfikat nie znajdował się na opublikowanej liście unieważnionych certyfikatów. 3

4 3. Minister właściwy do spraw informatyzacji określi w drodze rozporządzenia warunki techniczno organizacyjne świadczenia usług certyfikacyjnych przez podmioty świadczące usługi certyfikacyjne oraz organy administracji publicznej a także szczegółowe warunki które winny być spełnione dla świadczenia usług o których mowa w ust 1 i 2 kierując się możliwością wykorzystywania ich w procedurach prawnych z wykorzystywaniem elektronicznych środków komunikacji., 7) w art. 9: a) ust. 2 otrzymuje brzmienie: 3. Organy władzy publicznej i Narodowy Bank Polski mogą świadczyć usługi certyfikacyjne na potrzeby związane z wykonywaniem określonych ustawami zadań publicznych a w szczególności dotyczących prowadzenia procedur z wykorzystaniem elektronicznych środków komunikacji za wyjątkiem wydawania certyfikatów kwalifikowanych. b) po ust. 3 dodaje się ust. 4 w brzmieniu: 4. Kwalifikowany podmiot świadczący usługi certyfikacyjne nie może wydawać certyfikatów kwalifikowanych w stosunkach prawnych, w których jest stroną, chyba że jest to niezbędne do wykonywania umowy z odbiorcą usług certyfikacyjnych. 8) w art. 10: a) ust. 1 pkt 1 i 2 otrzymuje brzmienie: 1) zapewnić techniczne i organizacyjne możliwości wydawania, niezwłocznego zawieszania i unieważniania certyfikatów oraz określenia czasu dokonania tych czynności oraz niezwłocznej publikacji powyższych informacji, 2) stwierdzić tożsamość osoby ubiegającej się o certyfikat lub potwierdzić autentyczność i prawo podmiotu do posługiwania się elektronicznym potwierdzeniem danych, b) ust. 1 pkt 6 otrzymuje brzmienie: 6) używać systemów do tworzenia, przechowywania oraz określania ważności certyfikatów lub systemów do tworzenia podpisów elektronicznych, w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom uprawnionym,, c) w ust. 1 pkt 8 otrzymuje brzmienie: 8) udostępnić odbiorcy usług certyfikacyjnych informacje o bezpiecznych urządzeniach do składania podpisu oraz o warunkach prawidłowej i bezpiecznej weryfikacji podpisów elektronicznych, d) po ust. 1 pkt 9 dodaje się pkt 9a w brzmieniu: 9a) stwierdzić posiadanie przez osobę lub podmiot ubiegającą się o certyfikat danych do składania podpisu elektronicznego odpowiadających danym do weryfikacji podpisu elektronicznego dostarczonym przez tę osobę lub podmiot we wniosku o certyfikat, o ile sam tych danych do składania podpisu nie wygenerował, e) ust. 1 pkt 11 otrzymuje brzmienie: 4

5 11) publikować dane, które umożliwią sprawdzenie autentyczności i ważności certyfikatów oraz weryfikację podpisów elektronicznych złożonych przez ten podmiot oraz zapewnić nieodpłatny dostęp do tych danych odbiorcom usług certyfikacyjnych,, f) ust. 2 otrzymuje brzmienie: 2. Kwalifikowany podmiot świadczący usługi certyfikacyjne może świadczyć inne, poza wydawaniem i zarządzaniem certyfikatami, usługi stosując odpowiednio wymogi określone w ust. 1 oraz normy, specyfikacje techniczne i standardy Unii Europejskiej powszechnie przyjęte praktyki, a w szczególności usługi związane z prowadzeniem procedur prawnych z organami państwa z wykorzystaniem drogi elektronicznej., g)po ust. 2 dodaje się ust. 2a w brzmieniu: 2a. Minister właściwy do spraw informatyzacji na wniosek właściwego ministra może określić w drodze rozporządzenia rodzaje czynności, które mogą wykonywać kwalifikowane podmioty świadczące usługi certyfikacyjne na rzecz organów administracji publicznej w związku z prowadzeniem postępowań z wykorzystaniem elektronicznych środków komunikacji oraz warunki techniczne i organizacyjne ich wykonywania a także wpisywania do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne mając na względzie zapewnienie bezpieczeństwa ich wykonywania, ochronę interesów uczestników postępowania oraz usprawnienie prowadzenia spraw za pomocą środków komunikacji elektronicznej. h) ust. 4 otrzymuje brzmienie: 4. Rada Ministrów może określić, w drodze rozporządzenia, szczegółowe warunki techniczne i organizacyjne, które muszą spełniać kwalifikowane podmioty świadczące usługi certyfikacyjne, w tym wymagania z zakresu ochrony fizycznej pomieszczeń, w których znajdują się informacje, o których mowa w art. 12 ust. 1, uwzględniając konieczność zapewnienia ochrony interesów odbiorców usług certyfikacyjnych., 10) w art. 11: a) ust. 1 otrzymuje brzmienie: 1. Podmiot świadczący usługi certyfikacyjne związane z wydawanymi kwalifikowanymi certyfikatami odpowiada wobec odbiorców usług certyfikacyjnych, z zastrzeżeniem ust. 2 i 3, za wszelkie szkody spowodowane niewykonaniem lub nienależytym wykonaniem swych obowiązków w zakresie tych usług, chyba że niewykonanie lub nienależyte wykonanie tych obowiązków jest następstwem okoliczności, za które podmiot świadczący usługi certyfikacyjne nie ponosi odpowiedzialności i którym nie mógł zapobiec mimo dołożenia należytej staranności., b) ust.3 otrzymuje brzmienie: 3. Podmiot świadczący usługi certyfikacyjne nie odpowiada wobec odbiorców usług certyfikacyjnych za szkodę wynikłą z nieprawdziwości danych zawartych w certyfikacie, wpisanych na wniosek osoby składającej podpis elektroniczny, chyba że szkoda była wynikiem niedołożenia należytej staranności wymaganej w obrocie profesjonalnym., c) po ust. 4 dodaje się ust. 5 w brzmieniu: 5

6 5. Zasady odpowiedzialności określone w ust. 1-3 stosuje się także w przypadku udzielenia gwarancji przez podmiot świadczący kwalifikowane usługi certyfikacyjne na terytorium Rzeczypospolitej Polskiej innemu podmiotowi świadczącemu usługi certyfikacyjne na terytorium Rzeczypospolitej Polskiej. Odpowiedzialność za szkody obydwu podmiotów jest solidarna., 11) w art. 12 ust. 1, 3 i 5 wyraz poświadczeń zastępuje się wyrazem podpisów, a) ust. 1 otrzymuje brzmienie:. 1. Informacje związane ze świadczeniem usług certyfikacyjnych, których nieuprawnione ujawnienie mogłoby narazić na szkodę podmiot świadczący usługi certyfikacyjne lub odbiorcę usług certyfikacyjnych, a w szczególności dane służące do składania podpisów elektronicznych, są objęte tajemnicą. Nie są objęte tajemnicą informacje o naruszeniach ustawy przez podmiot świadczący usługi certyfikacyjne. b) ust. 3 otrzymuje brzmienie: 3. Osoby, o których mowa w ust. 2, mają obowiązek udzielenia informacji, o których mowa w ust. 1, z wyjątkiem danych służących do składania podpisów elektronicznych, wyłącznie na żądanie: ( ) c) ust. 5 otrzymuje brzmienie: 5. Obowiązek zachowania tajemnicy danych służących do składania podpisów elektronicznych trwa bezterminowo., 12) w art. 13 ust. 5 otrzymuje brzmienie: 5. Podmiot świadczący usługi certyfikacyjne niszczy dane służące mu do składania podpisów elektronicznych w sytuacji, gdy polityka certyfikacji nie przewiduje dalszego wykorzystania tych danych oraz w przypadku zaprzestania działalności lub wykreślenia z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne., 13) w art. 14 ust. 2 pkt 3 skreśla się wyraz dobrowolnej. 14) art. 16 otrzymuje brzmienie: Art Umowa o świadczenie usług certyfikacyjnych związanych z wydawaniem certyfikatów kwalifikowanych powinna być sporządzona w formie pisemnej pod rygorem nieważności. 2. Niezachowanie formy pisemnej umowy o świadczenie usług certyfikacyjnych, o których mowa w ust. 1, nie powoduje nieważności certyfikatu, jeżeli przy jego wydaniu zostały spełnione wymogi określone w art. 14 ust. 2 i 5 oraz uzyskano zgodę, o której mowa w art. 14 ust. 7., 15) w art. 17: a) w ust. 1 pkt wyrazy opracowania polityki certyfikacji zastępuje się wyrazami świadczenia usług certyfikacyjnych w oparciu o polityki certyfikacji, b) w ust. 1 pkt 2 wyraz poświadczeniami zastąpić wyrazem podpisami, 6

7 c) ust. 2 otrzymuje brzmienie: 2. Rada Ministrów określa w drodze rozporządzenia, po zasięgnięciu opinii Prezesa Narodowego Banku Polskiego, podstawowe wymagania dotyczące polityk certyfikacji dla kwalifikowanych certyfikatów, uwzględniając konieczność zapewnienia współdziałania różnych urządzeń do składania i weryfikacji podpisów elektronicznych a w szczególności bezpiecznego podpisu elektronicznego oraz elektronicznego potwierdzenia danych, zapewnienie bezpieczeństwa obrotu prawnego oraz uwzględniając standardy Unii Europejskiej., d) po ust. 2 dodaje się ust. 3 w brzmieniu: 3. Rada Ministrów może określić w drodze rozporządzenia wymagania dotyczące innych certyfikatów niż określone w ust. 2, oraz warunki organizacyjne i techniczne, które muszą spełnić podmioty je wydające a także warunki ich wydawania i stosowania podpisów elektronicznych przez organy administracji publicznej lub uczestników postępowań administracyjnych z wykorzystaniem środków komunikacji elektronicznej uwzględniając standardy Unii Europejskiej i organizacji międzynarodowych oraz bezpieczeństwo obrotu prawnego a także koszty ich stosowania., 16) art. 18 otrzymuje brzmienie: Art Bezpieczne urządzenie służące do składania podpisu elektronicznego powinno co najmniej: 1) uniemożliwiać pozyskiwanie danych służących do składania podpisu elektronicznego, 2) nie zmieniać danych, które mają zostać podpisane elektronicznie, oraz umożliwiać przedstawienie tych danych osobie składającej podpis elektroniczny przed chwilą jego złożenia, 3) gwarantować, że złożenie podpisu będzie poprzedzone wyraźnym ostrzeżeniem, że kontynuacja operacji będzie równoznaczna ze złożeniem podpisu elektronicznego, 4) zapewniać łatwe rozpoznawanie istotnych dla bezpieczeństwa zmian w urządzeniu do składania podpisu elektronicznego. 2. Weryfikacja bezpiecznego podpisu elektronicznego powinna zapewniać, że: 1) dane używane do weryfikacji podpisu elektronicznego odpowiadają danym, które są uwidaczniane osobie weryfikującej ten podpis, 2) podpis elektroniczny jest weryfikowany rzetelnie, a wynik weryfikacji prawidłowo wykazany, 3) osoba weryfikująca może w sposób niebudzący wątpliwości ustalić zawartość podpisanych danych, 4) autentyczność i ważność certyfikatów lub innych danych podpisanych elektronicznie jest rzetelnie weryfikowana, 5) wynik weryfikacji identyfikacji osoby składającej podpis elektroniczny jest poprawnie i czytelnie wykazywany, 6) użycie pseudonimu jest jednoznacznie wskazane, 7) istotne dla bezpieczeństwa zmiany w procesie weryfikacji podpisu elektronicznego są sygnalizowane. 3. Rada Ministrów określi, w drodze rozporządzenia, szczegółowe warunki techniczne, jakim powinny odpowiadać bezpieczne urządzenia do składania podpisów elektronicznych oraz wymagania, jakie musi spełniać weryfikacja bezpiecznych podpisów elektronicznych uwzględniając rodzaje zaawansowanych podpisów oraz postęp technologiczny w tym zakresie oraz dorobek Unii Europejskiej i międzynarodowych organizacji standaryzacyjnych. 7

8 4. Badania zgodności urządzeń i procesów, o których mowa w ust. 1 i 2, z wymaganiami ustawy odbywają się zgodnie z odrębnymi przepisami. 5. Służby ochrony państwa, w rozumieniu przepisów o ochronie informacji niejawnych, dokonują oceny przydatności urządzeń, o których mowa w ust. 1, do ochrony informacji niejawnych i wydają stosowne certyfikaty bezpieczeństwa., 17) w art. 20: a) w ust. 1: - skreśla się wyrazy następujące dane, - pkt 4 i 5 otrzymują brzmienie: 4) imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny; użycie pseudonimu musi być wyraźnie zaznaczone lub nazwę podmiotu, 5) dane służące do weryfikacji podpisu elektronicznego odpowiadające danym do składania podpisu elektronicznego posiadanym przez osobę lub podmiot, o której mowa w pkt 4, - pkt 7 otrzymuje brzmienie: 7) zaawansowany podpis elektroniczny podmiotu świadczącego usługi certyfikacyjne, wydającego dany certyfikat, pod wszystkimi danymi umieszczonymi w certyfikacie,, - w pkt 9 kropkę zastępuje się przecinkiem w miejsce kropki wstawia się przecinek i dodaje pkt 10 w brzmieniu: 10) miejsce na umieszczenie danych osoby składającej podpis elektroniczny, o których mowa w ust. 2, jeżeli wymaga tego szczególne zastosowanie certyfikatu. b) po ust. 2 dodaje się ust. 2a w brzmieniu: 2a. Podmiot wydający kwalifikowany certyfikat służący do weryfikacji elektronicznego potwierdzenia danych jest obowiązany sprawdzić prawdziwość danych dotyczących tego podmiotu oraz osoby uprawnionej do zawarcia, w imieniu tego podmiotu, umowy o świadczeniu usług certyfikacyjnych., c) ust. 3 otrzymuje brzmienie: 3. Podmiot świadczący usługi certyfikacyjne, wydając kwalifikowany certyfikat, potwierdza prawdziwość danych, o których mowa w ust. 2 2a i powiadamia podmioty, o których mowa w ust. 2 pkt 2-4, o treści certyfikatu oraz poucza o możliwości unieważnienia certyfikatu na ich wniosek., 18) w art. 22 ust. 3: a) pkt 1 otrzymuje brzmienie: 1) numer kolejny listy,, b) pkt 7 otrzymuje brzmienie: 8

9 7) zaawansowany podpis elektroniczny podmiotu świadczącego usługi certyfikacyjne, publikującego listę pod wszystkimi danymi zawartymi na liście., c) po ust. 5 dodaje się ust. 6 w brzmieniu: 6. Podmiot świadczący usługi certyfikacyjne, niezależnie od obowiązku publikowania listy certyfikatów unieważnionych, wykonuje usługę potwierdzenia ważności wydawanych certyfikatów kwalifikowanych. Potwierdzenie ważności kwalifikowanych certyfikatów zawiera datę i czas wygenerowania potwierdzenia oraz informacje o ważności lub zawieszeniu albo unieważnieniu certyfikatu., 19) tytuł rozdziału VI otrzymuje brzmienie: Dokonywanie wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, 20) w art. 23: a) ust. 2-3 otrzymują brzmienie: 2. Świadczenie usług certyfikacyjnych w charakterze kwalifikowanego podmiotu świadczącego usługi certyfikacyjne wymaga uzyskania wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne. 3. Minister właściwy do spraw informatyzacji publikuje, w postaci elektronicznej, listę zaufanych wystawców i certyfikaty kwalifikowane podmiotów świadczących usługi kwalifikacyjne na stronie Biuletynu Informacji Publicznej., b) dodaje się ust. 4 w brzmieniu: 4. Minister właściwy do spraw informatyzacji określi w drodze rozporządzenia warunki publikacji i zakres danych publikowanych certyfikatów kwalifikowanych podmiotów świadczących usługi kwalifikowane. c) ust 3 do 7 uchyla się, 21) w art. 24: a) w ust. 2: - pkt 2 otrzymuje brzmienie: 2) określenie polityk certyfikacji, zgodnie, z którymi mają być tworzone i stosowane kwalifikowane certyfikaty lub świadczone inne usługi związane z podpisem elektronicznym, - pkt 9 otrzymuje brzmienie: 9) dokumenty przedstawiające sytuację majątkową bilansem zweryfikowanym przez biegłego rewidenta za ubiegły rok oraz zaświadczenia z organu podatkowego o niezaleganiu z zobowiązaniami podatkowymi wnioskodawcy, b) w ust. 8 pkt 2 uchyla się, 22) w art. 25: a) ust. 1 otrzymuje brzmienie: 9

10 1. Minister właściwy do spraw informatyzacji dokonuje wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne albo wydaje decyzję o odmowie dokonania wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne w terminie 2 miesięcy od dnia złożenia wniosku spełniającego wymogi określone w art. 24 ust. 2., b) ust. 3 otrzymuje brzmienie: 3. Decyzja o dokonaniu wpisu powinna w szczególności określać nazwę polityk certyfikacji, w ramach których dany podmiot może wydawać kwalifikowane certyfikaty lub świadczyć inne usługi związane z podpisem elektronicznym., c) 23) w art. 25 ust. 4 pkt. 2 otrzymuje brzmienie: 2) istnieje uzasadnione przypuszczenie, że działalność podmiotu mogłaby zagrażać bezpieczeństwu publicznemu albo odbiorcom usług certyfikacyjnych poprzez prowadzenie działalności przestępczej,, 23) art. 26 ust. 1 pkt. 4 otrzymuje brzmienie: 4) nazwę polityk certyfikacji, w ramach których dany podmiot może wydawać kwalifikowane certyfikaty lub świadczyć inne usługi związane z podpisem elektronicznym,, 24) w art. 26 ust. 5 uchyla się skreśla się, 25) w art. 27 ust. 2 3 otrzymują brzmienie: 2. Rejestr, o którym mowa w ust. 1, jest jawny i publicznie dostępny, w tym również w formie elektronicznej. 3. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, wzór tego rejestru oraz szczegółowy tryb postępowania w sprawach o wpis do rejestru, w tym informacji o likwidacji lub upadłości podmiotu świadczącego usługi certyfikacyjne. 26) w art. 29 ust 5 otrzymuje brzmienie: 5) W przypadku oddalenia wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. Prawo upadłościowe i naprawcze (Dz.U. Nr 60, poz. 535 z późn. zm. 2 ) ust. 2 stosuje się odpowiednio. Obowiązek poinformowania ministra właściwego do spraw informatyzacji ciąży na członku organu osoby prawnej, komplementariuszach osobowej spółki handlowej lub wspólnikach spółki jawnej., 27) w art. 30 ust. 2 pkt 2 i ust. 3 uchyla się, 28) w art. 31 ust. 3-6 uchyla się, 29) w art. 33 ust. 1 otrzymuje brzmienie: 2 Zmiany wynienionej ustawy zostały ogłoszone w Dz. U. Dz.U.2003 Nr.217 poz. 125, z.2004 Nr 91 poz.870, Nr.91 poz. 871, Nr.96 poz 959. Nr.96 poz.959, Nr 121 poz.1264, Nr 146 poz Nr 173 poz.1808, Nr z 2005, Nr 94 poz.785, Nr 183 poz.1538, Nr 184 poz.1539, Z 2006 Nr 47 poz.347 Nr 133 poz.935 oraz Nr poz

11 1. W przypadku złożenia zaawansowanego podpisu elektronicznego przez kwalifikowany podmiot świadczący usługi certyfikacyjne z rażącym naruszeniem ustawy, decyzja o wykreśleniu wpisu w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne jest natychmiast wykonalna., 30) art. 34 otrzymuje brzmienie: Art. 34. Od dnia doręczenia decyzji o wykreśleniu wpisu w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne podmiot świadczący usługi certyfikacyjne nie może zawierać umów o świadczenie usług certyfikacyjnych w zakresie polityk certyfikacji, których dotyczy decyzja., 31) w art. 35: a) ust. 3 4 otrzymują brzmienie: 3. Z upoważnienia ministra właściwego do spraw informatyzacji kontrolę, o której mowa w ust. 1, mogą przeprowadzić również kontrolerzy, którzy są pracownikami jednostki certyfikującej w rozumieniu przepisów, o których mowa w art. 18 ust W przypadku gdy kontrola odbywa się na podstawie upoważnienia ministra właściwego do spraw informatyzacji, jednostce certyfikującej, o której mowa w ust. 3, należy się wynagrodzenie za przeprowadzoną kontrolę., b) po ustępie 3 dodaje się ust. 3a w brzmieniu: 3a. Minister właściwy do spraw informatyzacji może też zlecić przeprowadzenie kontroli, o której mowa w ust. 1, podmiotowi gospodarczemu w trybie przepisów o zamówieniach publicznych. Podmiot, któremu zlecono przeprowadzenie kontroli powinien w szczególności: 1) udokumentować własną sytuację i niezależność finansową gwarantującą możliwość obiektywnego przeprowadzenia kontroli, 2) udokumentować doświadczenie i wiedzę, w zakresie zagadnień technicznych wymienionych w art. 10 ust. 3, w zakresie zagadnień prawnych związanych z podpisem elektronicznym, oraz możliwości organizacyjne przeprowadzenia kontroli, w tym zdolności do nadzoru nad czynnościami kontrolnymi, 3) udokumentować, że działający w jego imieniu kontrolerzy spełniają wymagania wymienione w art. 10 ust. 3., 32) w art. 38 ust. 2 lit b otrzymuje brzmienie: b) wglądu do dokumentów i innych nośników informacji, z wyjątkiem danych służących do składania podpisów elektronicznych oraz innych informacji, które mogą służyć do odtworzenia tych danych, bezpośrednio związanych z kontrolowaną działalnością, oraz zabezpieczania dokumentów i innych materiałów dowodowych, z zachowaniem przepisów o ochronie informacji prawnie chronionych,, 33) w art. 39 pkt 4 otrzymuje brzmienie: 4) kontrolerze - należy przez to rozumieć kontrolera, o którym mowa w art. 35., 34) w art. 43 ust.1 otrzymuje brzmienie: 1. Pracownicy zatrudnieni w komórkach organizacyjnych ministerstwa zapewniającego obsługę ministra właściwego do spraw informatyzacji wykonujący zadania określone w 11

12 ustawie oraz kontrolerzy wymienieni w art. 35 nie mogą wykonywać działalności gospodarczej, być wspólnikami lub akcjonariuszami ani wykonywać obowiązków osoby reprezentującej lub członka rady nadzorczej i komisji rewizyjnej podmiotu świadczącego usługi certyfikacyjne, a także pozostawać z podmiotem świadczącym usługi certyfikacyjne w stosunku pracy, stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze., 35) art. 47 oznaczyć jako ustęp 1 i nadać mu brzmienie: Kto składa zaawansowany podpis elektroniczny za pomocą danych służących do składania podpisu elektronicznego, które zostały przyporządkowane do innej osoby, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie. oraz dodać ust. 2 w brzmieniu: 2. Tej samej karze podlega, kto składa podpis elektroniczny za pomocą danych przyporządkowanych do podmiotu świadczącego usługi certyfikacyjne nie będąc uprawniony przez ten podmiot., 36) art. 48 otrzymuje brzmienie: Art. 48. Kto, świadcząc usługi certyfikacyjne, kopiuje lub przechowuje nie przyporządkowane do niego dane służące do składania zaawansowanego podpisu elektronicznego lub inne dane, które mogłyby służyć do ich odtworzenia, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie. 37) w art. 58: a) ust. 2 otrzymuje brzmienie: 2. W terminie roku od wejścia w życie ustawy organy władzy publicznej zobowiązane są do umożliwienia odbiorcom usług certyfikacyjnych wnoszenia pism w postaci dokumentów postaci dokumentów elektronicznych., a) po ust. 2 dodaje się ust. 2a w brzmieniu: 2a. W przypadkach gdy przepisy prawa nie przewidują wnoszenia pism w formie dokumentów elektronicznych według określonego wzoru lub w określonej formie, minister właściwy do spraw informatyzacji może określić w formie rozporządzenia zasady tworzenia wzorów tych pism przez organy władzy publicznej i ich powszechnego udostępniania za pomocą środków komunikacji elektronicznej uwzględniając potrzebę zapewnienia interoperacyjności w załatwianiu spraw oraz wymagania związane z procesami sporządzania dokumentów wynikającymi ze standardów instytucji Unii Europejskiej. Art. 2. W ustawie z dnia 4 września 1997 r. o działach administracji rządowej (Dz.U. z 2003r. Nr 159, poz. 1548) 3 wprowadza się następujące zmiany: 3 Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2003 r. Nr 162, poz i Nr 190, poz. 1864, z 2004 r. Nr 19, poz. 177, Nr 69, poz. 624, Nr 91, poz. 873, Nr 96, poz. 959, Nr 116, poz. 1206, Nr 238, poz i Nr 273, poz. 2702, z 2005 r. Nr 17, poz. 141, Nr 33, poz. 288, Nr 155, poz. 1298, Nr 169, poz i 1417 i Nr 267, poz oraz z 2006 r. Nr 45, poz. 319, Nr 75, poz. 519, Nr 104, poz. 708, Nr 143, poz i Nr 144, poz

13 1) art. 9 ust. 2 pkt 5 uchyla się, 2) w art. 12a w pkt 7 kropkę zastępuje się średnikiem i dodaje pkt 7 kropkę na końcu frazy zastępuje się średnikiem i dodaje się pkt 8 w brzmieniu: 8) nadzoru nad świadczeniem usług związanych z podpisem elektronicznym w rozumieniu przepisów o podpisie elektronicznym.. Art. 3. Ustawa wchodzi w życie po upływie 6 miesięcy od dnia ogłoszenia za wyjątkiem art. 1 pkt 28, który wchodzi w życie po upływie 2 lat od dnia wejścia w życie ustawy. 13

14 Uzasadnienie Nowelizacja ustawy ma za zadanie utworzyć nową, lepszą jakość w tematyce podpisu elektronicznego stanowiącego podwaliny nowoczesnej administracji i gospodarki elektronicznej. Przeniesienie nadzoru nad świadczeniem usług związanych z podpisem elektronicznym z właściwości ministra do spraw gospodarki do właściwości ministra do spraw informatyzacji jest spowodowane tym, iż zastosowanie podpisu to nie tylko sfera gospodarki, ale przede wszystkim e-administracji. Zmiana brzmienia art. 2 ustawy ma na celu implementację zapisów Dyrektywy Parlamentu Europejskiego i Rady z dnia r. w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego (99/93/WE) (zwaną dalej Dyrektywą). Zgodnie z tą dyrektywą polskie regulacje prawne nie mają zastosowania od momentu przystąpienia Polski do Unii Europejskiej w stosunku do podmiotów świadczących usługi certyfikacyjne z siedzibą poza granicami Polski. Nowe definicje podpisu elektronicznego oraz zaawansowanego i bezpiecznego podpisu elektronicznego usuwają niezgodność dotychczasowych definicji z zapisami zawartymi w art. 2 ust. 1 i 2 Dyrektywy. Wprowadzenie do art. 3 definicji zaawansowanego podpisu elektronicznego (advanced electronic signature) oraz zmiana definicji bezpiecznego podpisu elektronicznego pozwolą zrezygnować z definicji poświadczenie elektroniczne i zaświadczenie elektroniczne nieznanych innym uregulowaniom i Dyrektywie, a także pozwolą odróżnić kwalifikowane formy podpisu elektronicznego podmiotu i osoby fizycznej. Wprowadzenie nowej definicji podpisu elektronicznego również usprawni obrót gospodarczy oraz pracę administracji publicznej. Zmiany definicji elektronicznego potwierdzenia danych i podmiotu (art. 3 pkt 2b i 2c) mają na celu wprowadzenie nowej instytucji prawnej podpisu elektronicznego podmiotu, a nie osoby fizycznej jako rodzaju podpisu zawansowanego. Proponuje się nazwać go elektronicznym potwierdzeniem danych (ang. data stamping - dosł. stemplowanie danych). Dodana definicja znaczniku czasu (art. 3 pkt 2d) jednoznacznie definiuje pojecie czasu urzędowego stosowanego w ustawie i wiąże go z obowiązującym systemem prawnym. Wprowadzone pojęcie podpisującego (art. 3 pkt 3) wynika z nowej definicji podpisu elektronicznego i obejmuje zarówno osoby fizyczne jak i inne podmioty w tym podmioty świadczące usługi certyfikacyjne. Natomiast zmiana znaczenia danych służących do 14

15 składania podpisu elektronicznego (art. 3 pkt 4) jest konsekwencją wprowadzenia tego nowego pojęcia. Powyższe poprawki mają na celu usunięcie dotychczasowych wątpliwości i nadanie przepisom art. 3 brzmienia zgodnego z Dyrektywą, oraz dostosowanie architektury i terminologii infrastruktury klucza publicznego do standardów międzynarodowych. Zmiana w definicji danych służących do weryfikacji podpisu elektronicznego (art. 3 pkt 5) nadaje jej znaczenie zgodne z Dyrektywą i odzwierciedlające realia technologiczne, iż dane do weryfikacji podpisu elektronicznego pozwalają, oprócz identyfikacji podpisującego, zweryfikować inne istotne cechy podpisu (np. powiązanie podpisu z danymi, do których został dołączony). Dotychczasowa definicja urządzenia służącego do składania podpisu elektronicznego (art. 3 pkt 6) nie rozciągała rygorów mających zapewnić bezpieczeństwo na wszystkie elementy systemu, które mają dostęp do danych do składania podpisu elektronicznego. Ponadto była niezgodna z dyrektywą, która wyraźnie stanowi alternatywę sprzęt lub oprogramowanie. Ponieważ bezpieczeństwo podpisów elektronicznych zależy od bezpieczeństwa tych danych, należy ze szczególną uwagą podejść do ich ochrony. Dotychczasowa definicja zawierała błąd koncepcyjny i ograniczała tę ochronę do urządzeń, które służą do wygenerowania podpisu. Koncepcja przyjęta przez Dyrektywę zmierza do określenia urządzenia do składania podpisu elektronicznego, jako tego urządzenia, które implementuje klucze, a zatem ma jakikolwiek dostęp do tych kluczy związany z wykonywanymi funkcjami. Funkcją taką może być na przykład przechowywanie kluczy. Zarazem, definicja Dyrektywy wyłącza spod pojęcia urządzenia do składania podpisu elektronicznego te składniki systemu, które w trakcie generowania podpisu nie mają styczności z danymi do składania podpisu. Wyłączenie to spowodowane jest realizmem technologicznym: przy przyjętych wymaganiach, co do urządzenia, zazwyczaj stosowane systemy operacyjne nie mogą być składnikami urządzenia. Z tego też względu, dotychczasowa polska definicja obejmująca swym zasięgiem również system operacyjny nakłada obowiązek stosowania niestandardowych urządzeń, co w konsekwencji stanowi barierę ekonomiczną do stosowania podpisów elektronicznych. Poprawka nadaje pojęciu urządzenia do składania podpisu elektronicznego sens zgodny z Dyrektywą. Dyrektywa mówiąc o urządzeniach nie wymienia w ogóle bezpiecznych urządzeń do weryfikacji podpisu elektronicznego (art. 3 pkt 9) odnosząc sformułowanie bezpieczne urządzenia jedynie do urządzeń generujących podpisy. Takie rozłożenie akcentów wynika 15

16 z technologii procesów generowania i weryfikacji i jest rozwiązaniem przyjętym z pełnym rozmysłem. Dyrektywa mówiąc o urządzeniach wyraźnie odnosi to do dwóch odrębnych kategorii oprogramowania lub sprzętu, nie łącząc ich. Poprawka dotycząca art.3 pkt 8 nadaje pojęciu urządzenie do weryfikacji podpisu sens technologiczny zgodny z Dyrektywą. Definicja z pkt 9 art. 3 nie występuje w Dyrektywie UE i zamieszczenie jej w ustawie jest zbędne. Zmiana brzmienia definicji certyfikatu jest konsekwencją nowelizacji art. 3 pkt 3. Definicja zaświadczenia certyfikacyjnego (art. 3 pkt 11) nie występuje w Dyrektywie UE i zamieszczenie jej w ustawie jest zbędne. Pojęcie certyfikatu obejmuje w krajach europejskich zarówno certyfikat wydawany podpisującym jak i zaświadczenie certyfikacyjne. W sensie wymogów technicznych oba pojęcia są tożsame. Używane w polskiej ustawie o podpisie elektronicznym pojęcie zaświadczenia certyfikacyjnego było ewenementem w skali światowej. Powodowało, że terminologia ustawy koliduje z najbardziej rozpowszechnionymi standardami PKI, gdzie również w odniesieniu do podmiotów świadczących usługi certyfikacyjne używa się pojęcia certyfikatu. Poza tym, wprowadzenie pojęcia zaświadczenia certyfikacyjnego powodowało nieczytelność i liczne błędy technologiczne w treści ustawy (np., zapomina się o wielu wymogach dotyczących zaświadczeń certyfikacyjnych, czy o zdefiniowaniu weryfikacji zaświadczenia elektronicznego). Pośrednio wprowadzona poprawkami możliwość budowy tzw. ścieżek zaufania bez udziału w nich zaświadczeń certyfikacyjnych wydanych przez ministra właściwego do spraw gospodarki zwiększa bezpieczeństwo systemu, gdyż minister ten lub reprezentujący go podmiot de facto prowadziłby działalność certyfikacyjną. Jednocześnie nie byłby odpowiedzialny (finansowo) wobec odbiorców usług certyfikacyjnych, lub też odpowiedzialność spadałaby na państwo polskie, stanowiąc obciążenie budżetu. Ponadto, umieszczenie na ścieżkach zaufania podmiotu o niejasnej odpowiedzialności finansowej mogłoby stanowić barierę do uznawania za granicą certyfikatów wydanych w Polsce. Zgodnie z dotychczasową treścią art. 3 pkt 16 znakowanie czasem nie dotyczyłoby samego podpisu elektronicznego. Uzyskane doświadczenia rynkowe wskazują, że z usługi tej należy w ogóle zrezygnować, gdyż jej kształt wskazuje, że stała się bytem, na który nie ma zapotrzebowania w uregulowanym kształcie. Inne sposoby oznaczania czasem dla celów dowodowych powinny zostać uregulowane w przepisach dot. informatyzacji podmiotów 16

17 publicznych i/lub e-procedur tj. kpa, ordynacji podatkowej, procedur szczególnych i odrębnych etc. Wykreślenie z art. 3 pkt oraz modyfikacja pkt. 22 jest konsekwencją nowej definicji podpisu elektronicznego, zgodnie z którą pojęcia poświadczenia elektronicznego i zaświadczenia elektronicznego straciły rację bytu. Wprowadzona zmiana brzmienia art. 4 pkt. 4 precyzuje warunki jakie spełnione zostać muszą dla zrównania pod względem prawnym certyfikatów wydawanych przez podmiot zagraniczny z certyfikatami polskimi i zamyka możliwości obejścia wymagań ustawy. Wprowadzenie modyfikacji treści art. 6 ust.1 jest związane z innymi skutkami, które przypisywane są elektronicznemu potwierdzaniu danych. Nowa treść ustępu 3 eliminuje spory w piśmiennictwie co do dopuszczalności i zakresu kontrdowodu. Modyfikacja zapisów dotyczących znakowania czasem (art. 7) jest konsekwencją wprowadzenia nowych definicji w art. 3 pkt. 2d, 2e oraz określa skutki prawne nowych instytucji tj. znacznika czasu i potwierdzenia ważności certyfikatu Dodanie ust. 4 do art. 9 wynika z tego, że kwalifikowany podmiot świadczący usługi certyfikacyjne pełni rolę tzw. zaufanej strony trzeciej, a zatem nie powinien świadczyć usług certyfikacyjnych w sprawach, w których jest stroną. Wyjątek dotyczy czynności związanych z realizacją umowy o świadczenie usług certyfikacyjnych np. zamawiania nowego certyfikatu kwalifikowanego on line z użyciem starego. Zapis art. 10 ust. 1 pkt 1 dostosowano do treści Załącznika II lit. (a) i (b) do Dyrektywy 1999/93/EC Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999r w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego, ponieważ poprzedni zapis tego art. błędnie formułował wymagania (nie ma powodów, by wydawanie certyfikatów musiało być szybkie, jak żąda ustawa). Nowe brzmienie ust. 3 wynika z potrzeby dopuszczenia organów publicznych do udziału w postępowaniach w których wykorzystywane są środki teleinformatyczne do wykonywania usług publicznych za pomocą środków komunikacji elektronicznej np. prowadzenia spraw za pomocą środków komunikacji elektronicznej np. przyjmowania deklaracji, podań, wniosków etc. np. e-daklaracji podatkowych. Istnieje konieczność potwierdzania czasu wnoszenia tych dokumentów za pomocą usług certyfikacyjnych oraz potwierdzania ważności certyfikatów. Usługi te będą mogły być też świadczone na potrzeby wewnątrz administracyjne np. zorganizowania wewnętrznego obiegu dokumentów elektronicznych. Projektowane rozwiązanie pozwoli na wykorzystanie istniejących centrów certyfikacyjnych np. CEPiK do szerszych zadań i na obniżenie kosztów 17

18 działalności administracji. Niedopuszczalne jest natomiast wydawanie certyfikatów kwalifikowanych przez o.a.p albowiem stanowiłoby to niedopuszczalną konkurencje państwa w przyjęty model rynkowy podpisu elektronicznego. Nowy zapis art. 10 ust. 1 pkt 6 rozciąga stawiane wymagania na wszystkie kluczowe systemy wykorzystywane do świadczenia usług certyfikacyjnych. Błędem poprzedniego sformułowania było na przykład nie objęcie nim tworzenia list certyfikatów unieważnionych gdzie szczególnie powinno się dbać o ograniczenie dostępu wyłącznie do osób uprawnionych. Wymóg udostępniana wykazu bezpiecznych urządzeń do weryfikacji przewidziany w dotychczasowym art. 10 ust. 1 pkt 8 nie znajdował pokrycia w Dyrektywie, natomiast należy informować o sposobie dokonywania bezpiecznej weryfikacji. Dodany pkt 9a do art. 10 ust. 9 wynika z zapisu dyrektywy Parlamentu Europejskiego i Rady z dnia r., w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego (99/93/WE) (art. 6 ust. 1b), który stanowi, iż kwalifikowany podmiot świadczący usługi certyfikacyjne odpowiada za fakt, iż osoba której wystawiono certyfikat posiada dane do składania podpisu odpowiadające danym do weryfikacji podpisu umieszczonym w certyfikacie. Dotychczasowe brzmienie art. 10 ust. 1 pkt 11 błędnie sugerowało, że weryfikacja ma charakter nieelektroniczny, zaś elektroniczna weryfikacja jest tylko dodatkową możliwością. Zmiana art. 10 ust. 2 oraz dodanie ust. 2a otwiera możliwość świadczenia innych niż przewidziane w ustawie usług certyfikacyjnych stosownie do rozwoju technologii i rynku bez konieczności oczekiwania na uprzednią regulację prawną. Przepis zapewnia zwiększenie konkurencyjności podmiotów, do których ma zastosowanie prawo polskie. Zmiana otwiera także możliwość zlecania innych nienazwanych usług certyfikacyjnych kwalifikowanym podmiotom poprzez określenie ich rodzajów oraz warunków techniczno organizacyjnych ich prowadzenia w formie rozporządzenia Rady Ministrów. Wykreślenie z art. 10 ust. 4 stanowiącego delegację ustawową do wydania rozporządzenia zapisu dotyczącego zakresu stosowania wydawanych przez nie certyfikatów, wymagania ich ochrony, wynika z faktu, że ustawa nie wprowadza zróżnicowania certyfikatów kwalifikowanych na klasy, w związku z tym nie ma więc podstawy, aby podział taki był narzucany w drodze rozporządzenia. Nowelizacja art. 11 ust. 1 ma za zadanie ograniczenie bardzo szerokiego zakresu odpowiedzialności podmiotów świadczących usługi certyfikacyjne do tych usług, co do których obowiązki podmiotów zostały zdefiniowane w ustawie. Dotychczasowe brzmienie używało bardzo szerokiego pojęcia usług certyfikacyjnych, obejmującego zgodnie z definicją 18

19 z art. 3 wszelkie usługi związane z podpisem elektronicznym. Istnienie takiego zapisu w praktyce powoduje bardzo wysokie ryzyko działalności w takich obszarach i jest nieuzasadnione ekonomicznie. Ponadto, poprawka ustala zakres odpowiedzialności w sposób zgodny z brzmieniem Dyrektywy. Zaproponowany zapis art. 11 ust. 3 ma na celu zaostrzenie odpowiedzialności kwalifikowanych podmiotów za szkody związane z weryfikacją danych ubiegających się o wydanie certyfikatu. Sprzyja to zapewnieniu pewności obrotu z użyciem podpisu elektronicznego. Proponowana w ust. 5 poprawka reguluje zasady odpowiedzialności za szkody w przypadku udzielenia gwarancji za certyfikaty pomiędzy polskimi podmiotami (odpowiedzialność w przypadku certyfikacji wzajemnej cross certification ). Zmiana wyrazu poświadczeń na podpisów jest konsekwencją nowego brzmienia art. 3 pkt 19. Nowelizacja art. 13 ust. 5 usuwa pojęcia zaświadczenia certyfikacyjnego i utożsamia go z pojęciem certyfikatu, umożliwia sytuację, zgodnie z ogólnie przyjętą praktyką, iż podmiot świadczący usługi certyfikacyjne uzyskuje certyfikaty od innych podmiotów świadczących usługi certyfikacyjne (certyfikacja wzajemna). Nie należy wówczas wymagać, aby podmiot niszczył dane do składania poświadczenia elektronicznego tylko z tego powodu, że upłynął okres ważności jednego z certyfikatów, w których te dane są umieszczone, lub też z powodu unieważnienia takiego certyfikatu przez inny podmiot. Ostatnia ewentualność mogłaby być legalną drogą do paraliżowania działania konkurencyjnych podmiotów. Wykreślenie z art. 14 ust. 2 pkt 3 wyrazu dobrowolnej dostosowuje brzmienie art. 14 do wymogów stawianych przez ustawę, w której uzyskanie wpisu do rejestru nie jest dobrowolne, lecz jest obowiązkiem stawianym przed kwalifikowanymi podmiotami świadczącymi usługi certyfikacyjne. Dobrowolna akredytacja powinna odbywać się na zasadach określonych przepisami o certyfikacji dokonywanej przez uprawnione laboratoria certyfikacyjne. Zgodnie z dotychczasowym zapisem art. 16 każda umowa o świadczenie usług certyfikacyjnych musiała być zawarta na piśmie. Wymaganie to było zasadne w przypadku certyfikatów kwalifikowanych, natomiast jeśli chodzi certyfikaty zwykłe ograniczało ono w sposób nadmierny możność świadczenia usług uniemożliwia np. zawarcie umowy poprzez Internet. W ust 2. sprostowano oczywistą omyłkę ustawodawcy i błąd logiczny, w którym nieważna umowa powodowała wszystkie skutki ważnej umowy. Oprócz opracowania polityki certyfikacji istotne jest również jej przestrzeganie, do czego nie obligowała poprzednia treść zapisu. Poza tym wskazane jest, zgodnie z przyjętą 19

20 praktyką, aby certyfikaty o różnym przeznaczeniu wystawiane były w oparciu o różne polityki certyfikacji. Dlatego proponuje się usunięcie ograniczenia tylko do jednej polityki certyfikacji. Natomiast zmiana art. 17 ust. 1 pkt 2, art. 18 ust. 1 pkt 1 i 4, ust. 2 pkt 4 jest konsekwencją zmiany art. 3 pkt 19. Nowe brzmienie art. 17 ust. 2 lepiej określa zakres upoważnienia ustawowego do wydania rozporządzenia, usuwając m.in. niezrozumiały zapis, z którego wynikać by mogło, że polityki certyfikacji posiadają wymagania organizacyjne i techniczne, podczas gdy takie wymagania mają one określać. Podobnie polityka certyfikacji może ograniczać zakres zastosowania wydanych na jej podstawie certyfikatów, natomiast rozporządzenie nie powinno samo ustalać w sposób stanowczy tych zakresów. Nowy zapis pierwszego zdania art. 18 ust. 2 jest konsekwencją poprawki modyfikującej pojęcie bezpiecznego urządzenia do weryfikacji podpisu elektronicznego. Natomiast nowelizacja art. 18 ust. 2 pkt 7 wynika z usunięcia pojęcia bezpiecznego urządzenia do weryfikacji podpisu elektronicznego, wynikającego z przesłanek technologicznych i zapewnienia zgodności z Dyrektywą (Dyrektywa UE zawiera wymagania dotyczące procesu weryfikacji bezpiecznego podpisu elektronicznego. W konsekwencja poprawki usuwającej pojęcie bezpiecznych urządzeń do weryfikacji podpisów elektronicznych należało zmienić zapis art. 18 ust Ponadto usunięto się wyrazy uwzględniając potrzebę zapewnienia nienaruszalności i poufności danych opatrzonych takim podpisem będące nieporozumieniem technologicznym, jeśli chodzi o realizację weryfikacji dodano także wytyczne ustawowe do wydania rozporządzenia. Zaproponowany zapis art. 20 ust. 1 pkt 5 stanowi uzupełnienie do pełnego brzmienia Załącznika I lit. (e) do Dyrektywy UE. Nowy przepis art. 20 ust. 1 w pkt 4 uzupełnienia dane o nazwę podmiotu dla certyfikatów związanych z elektronicznym potwierdzeniem danych, natomiast nowelizacja pkt 7 jest konsekwencją poprawki do art. 3 pkt 19. Dotychczasowy zapis nie precyzował jakie dane należy poświadczyć, a jest to kluczowa informacja dla wiarygodności (i weryfikacji) certyfikatów. W szczególności, mogły powstać wątpliwość, czy dane wymienione w punktach 8 i 9 również powinny być poświadczane przedmiotowa zmiana rozwiewa te wątpliwości zgodnie ze stanem technologii i praktyką. Dodanie pkt 2a wynika z wprowadzenia instytucji elektronicznego potwierdzania danych. Znowelizowany przepis art. 20 ust. 1 w pkt 9 i dodanie pkt. 10 stanowi uzupełnienie do pełnego brzmienia Załącznika I lit. (d) do Dyrektywy UE i ma na celu zapewnienie zgodności certyfikatów tworzonych w Polsce i w Unii Europejskiej. 20

21 Nowelizacja art. 22 w ust. 3 w pkt 1 wynika z tego, iż standard X.509 nie umożliwia wskazania polityki certyfikacji, której dotyczy dana lista certyfikatów unieważnionych. Dołączenie do listy unieważnionych certyfikatów informacji o polityce certyfikacji jest rozszerzeniem krytycznym, które może nie być obsługiwane przez większość urządzeń do weryfikacji podpisu elektronicznego, jego zastosowanie w ogóle nie jest wskazane, gdyż uniemożliwi ono interpretację listy certyfikatów zawieszonych i unieważnionych przez niektóre urządzenia do weryfikacji podpisu elektronicznego. Zmiana art. 22. ust. 3 pkt 6 i 7 jest konsekwencją zmiany do art. 3 pkt 19. Poprzedni zapis art. 22 ust. 6 nie precyzował jakie dane należy poświadczyć, a jest to kluczowa informacja dla wiarygodności (i możliwości weryfikacji autentyczności) listy. Obecnie umożliwia on świadczenie usługi pozwalającej na sprawdzeniu ważności certyfikatu w momencie podpisywania. Jest to kluczowa usługa dla zapewnienia bezpieczeństwa stosowania podpisu elektronicznego i archiwizowania podpisanych dokumentów. Zmiana tytułu rozdziału IV jest poprawką redakcyjną dostosowującą treść rozdziału do braku zapisów o udzielaniu akredytacji. Sformułowanie zawarte w art. 23 ust. 2 przed przedmiotowa nowelizacją wymagało, aby istniał podmiot wydający zaświadczenia certyfikacyjne dla podmiotów kwalifikowanych, czyli Urząd Root CA na poziomie krajowym, co skutkowało stworzeniem krajowej Infrastruktury Klucza publicznego do zarządzania certyfikatami kwalifikowanymi. Taki obowiązek nie wynika z wymagań Dyrektywy UE, a budowa i utrzymanie takiej infrastruktury znacznie opóźniałoby wydawanie certyfikatów kwalifikowanych, a także mogło pociągać za sobą istotne koszty. Dyrektywa wymaga prowadzenia rejestru podmiotów kwalifikowanych i podawania go do publicznej wiadomości. Może być on np. publikowany np. w Monitorze, a certyfikaty samopodpisane mogą być weryfikowane na podstawie skrótu, opublikowanego w postaci tekstowej przez wiarygodne źródło. Konsekwencją powyższego było skreślenie w art. 23 ust. 4 7 jako bezprzedmiotowych. Pierwotny zapis ust. 3 art. 23 przewidywał, że lista może być publikowana tylko w postaci elektronicznej, przedmiotowa nowelizacja umożliwia publikowanie listy również w innej postaci. Minister właściwy ds. informatyzacji sporządzi listę zaufanych wystawców i opublikuje ją na stronie BIP. Zadaniem nowelizacji art. 24 ust. 2 pkt 2 jest wyeliminowanie konieczności uzyskiwania odrębnego wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne w przypadku, gdyby chciał świadczyć te usługi według więcej niż jednej polityki Przechodzenie wówczas całej procedury związanej z wpisem jest nieuzasadnione i 21