Projekt z dnia 09.03.2009 USTAWA z dnia... '"....2009 r. o podpisach elektronicznych oraz o zmianie innych ustawi) Rozdział l Przepisy ogólne Art. LU stawa określa: l) rodzaje podpisów elektronicznych oraz certyfikatów służących do ich weryfikacji; 2) stosowanie podpisów elektronicznych oraz ich skutki prawne; 3) rodzaje usług certyfikacyjnych oraz zasady ich świadczenia; 4) zasady nadzoru nad kwalifikowanymi podmiotami świadczącymi usługi certyfikacyjne w zakresie podpisu elektronicznego. Rozdział 2 Rodzaje podpisów elektronicznych i certyfikatów Art. 2. l. Podpisem elektronicznym są dane w postaci elektronicznej dołączone do innych danych elektronicznych lub z nimi logicznie powiązane i służące jako metoda uwierzytelnienia. 2. Zaawansowany podpis elektroniczny jest to podpis elektroniczny: I) Niniejsza ustawa dokonuje w zakresie swojej regulacji wdrożenia Dyrektywy 1999/93/WE Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 f. W sprawie wspólnotowych ram w zakresie podpisów elektronicznych. (Dz. U. WE L 13 z 19.01.2000, str. 12-20; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 24), str. 239-248.
l) przyporządkowany wyłącznie podpisującemu; 2) umożliwiający identyfikację podpisującego; 3) utworzony za pomocą środków, które podpisujący może mieć pod wyłączną kontrolą; 4) powiązany z danymi, do których się odnosi, w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna. 3. Kwalifikowany podpis elektroniczny jest to zaawansowany podpis elektroniczny, weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu, złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego (podpis kwalifikowany). 4. Kwalifikowany podmiot świadczący usługi certyfikacyjne jest to podmiot świadczący usługi certyfikacyjne spełniający wymogi ustawy wpisany do rejestru podmiotów kwalifikowanych (podmiot kwalifikowany). 5. Podpis urzędowy jest to zaawansowany podpis elektroniczny składany przez podpisującego, będącego osobą fizyczną, przy pomocy danych służących do składania podpisu elektronicznego zawartych w dokumencie tożsamości, spełniający wymagania określone w odrębnych przepisach. 6. Pieczęć elektroniczna jest to zawansowany podpis elektroniczny składany przez podpisującego nie będącego osobą fizyczną za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego, weryfikowany przy pomocy ważnego certyfikatu. 7. Dane do składania podpisu elektronicznego są to niepowtarzalne i przyporządkowane podpisującemu dane, wykorzystywane przez podpisującego do składania podpisu elektronicznego. 8. Weryfikacja podpisu elektronicznego umożliwia identyfikację podpisującego i stwierdzenie, że podpis został złożony za pomocą danych, o których mowa w ust. 7 oraz że podpisane dane nie uległy zmianie po jego złożeniu. 9. Dane do weryfikacji podpisu elektronicznego są to niepowtarzalne przyporządkowane podpisującemu dane, które są wykorzystywane do weryfikacji podpisu elektronicznego. 2
10. Potwierdzenie ważności certyfikatu jest to pieczęć elektroniczna składana przez podmiot świadczący usługi certyfikacyjne, zawierająca informacje o ważności certyfikatu i czasie jego wystawienia, zgodnym z czasem urzędowym lub czasem UTC (PL). 11. Czas urzędowy i uniwersalny czas koordynowany UTC (PL) jest to główna polska realizacja międzynarodowego uniwersalnego czasu koordynowanego UTC, zwana w skrócie "czasem UTC(PL)", oraz wzajemne zależności tych czasów, są określane na podstawie przepisów o czasie urzędowym. 12. Czas zgodny z czasem urzędowym lub czasem UTC(PL) jest to czas, który w dowolnie wybranej chwili nie różni się od czasu urzędowego lub czasu UTC(PL) o więcej niż ustaloną wartość (dokładność synchronizacji). 13. Urządzenie do składania podpisu elektronicznego jest to skonfigurowany sprzęt lub oprogramowanie stosowane w celu składania podpisu elektronicznego. 14. Bezpieczne urządzenie do składania podpisu elektronicznego jest to urządzenie do składania podpisu elektronicznego, spełniąjące wymogi określone w niniejszej ustawie oraz przepisach wydanych na podstawie art. 26 usl. 3 oraz uznane za takie przez właściwe krajowe lub zagraniczne jednostki notyfikowane w oparciu o przepisy o systemie oceny zgodności (bezpieczne urządzenie). 15. Urządzenie do weryfikacji podpisu elektronicznego jest to skonfigurowany sprzęt lub oprogramowanie służące do weryfikacji podpisu elektronicznego przy wykorzystaniu danych do weryfikacji podpisu elektronicznego. 16. Produkt podpisu elektronicznego jest to oprogramowanie, sprzęt lub ich istotne składniki, które są używane przez podmioty świadczące usługi certyfikacyjne do udostępnienia usług podpisu elektronicznego lub do składania lub weryfikacji podpisów elektronicznych, spełniające wymogi ogólnie uznanych norm ustalonych na podstawie art. lo dyrektywy 1999/93/WE. 17. Podpisującym jest osoba albo jednostka organizacyjna me posiadająca osobowości prawnej, która działa w imieniu własnym albo w imieniu innych osób fizycznych, osób prawnych lub jednostek organizacyjnych nieposiadających 3
osobowości prawnej, posiadająca urządzenie do składania podpisu elektronicznego. Art. 3. l. Certyfikat jest to zaświadczenie elektroniczne, za pomocą którego dane do weryfikacji podpisu elektronicznego są przypisywane podpisującemu, umożliwiając jego identyfikację. 2. Jeżeli podpisującym jest osoba fizyczna certyfikat może zawierać jej dane biometryczne. 3. Certyfikat kwalifikowany jest to certyfikat podpisującego będącego osobą fizyczną, spełniający wymogi określone w ustawie, wydany przez podmiot kwalifikowany. 4. Certyfikat urzędowy jest to certyfikat wystawiony zgodnie z przepisami wydanymi na podstawie art. 28 ust. 2 i służący do weryfikacji podpisu urzędowego. 5. Certyfikat atrybutów stanowi zaświadczenie elektroniczne powiązane z certyfikatem określające, w szczególności uprawnienia i cechy osoby lub podmiotu wskazanego w certyfikacie. Art. 4. Certyfikaty wydawane jako kwalifikowane przez podmioty świadczące usługi certyfikacyjne, mające siedzibę w kraju nienależącym do EOG, uznaje się za certyfikaty kwalifikowane w rozumieniu ustawy, jeżeli: l) podmiot świadczący usługi certyfikacyjne, który wydał certyfikat spełnia wymogi dyrektywy 1999/93/WE i jest akredytowany w określonym w tej dyrektywie systemie akredytacji jednego z państw członkowskich Unii Europejskiej (UE) lub krajów EOG, albo 2) podmiot świadczący usługi certyfikacyjne, mający siedzibę na obszarze UE, spełniający wymogi dyrektywy l 999/93/WE, udzielił gwarancji na ten certyfikat, albo 3) certyfikat lub podmiot świadczący usługi certyfikacyjne, uznawane sąna 4
podstawie umowy dwustronnej lub wielostronnej, zawartej pomiędzy UE i państwami trzecimi albo pomiędzy UE organizacjami międzynarodowymi. Rozdział 3 Skutki prawne podpisu elektronicznego Art. 5. 1. Zaawansowany podpis elektroniczny (podpis zaawansowany) weryfikowany przy pomocy certyfikatu wywołuje skutek prawny, jeżeli został złożony w okresie ważności tego certyfikatu. W przypadku złożenia podpisu elektronicznego w okresie zawieszenia certyfikatu skutek prawny ustaje z chwilą unieważnienia certyfikatu. 2. Podpis zaawansowany zapewnia integralność danych opatrzonych tym podpisem w ten sposób, że rozpoznawalne są wszelkie ich zmiany oraz jednoznacznie wskazuje na certyfikat wykorzystywany do weryfikacji tego podpisu. 3. Dane w postaci elektronicznej opatrzone podpisem kwalifikowanym wywołują skutek prawny dokumentu z podpisem własnoręcznym. 4. Dane w postaci elektronicznej opatrzone podpisem urzędowym i skierowane do podmiotu realizującego zadania publiczne wywołują skutek prawny dokumentu z podpisem własnoręcznym. 5. Ilekroć przepisy przewidują złożenie podpisu elektronicznego innego niż podpis kwalifikowany, złożenie przez podpisującego podpisu kwalifikowanego jest równoznaczne ze złożeniem podpisu elektronicznego, o którym mowa w tych przepisach. Art. 6. l. Jeżeli podpis zaawansowany jest weryfikowany przy pomocy ważnego certyfikatu uznaje się, że został złożony przez podpisującego wskazanego w tym certyfikacie i w okresie jego ważności. 5
2. Nie można powołać się ze skutkiem prawnym, że podpis kwalifikowany nie został złożony za pomocą bezpiecznych urządzeń i danych, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny. Art. 7. l. Podpis elektroniczny może być znakowany czasem. Uznaje Się, że podpis elektroniczny znakowany czasem w okresie ważności certyfikatu został złożony w tym okresie. 2. Kwalifikowane znakowanie czasem wywołuje skutki prawne daty pewnej w rozumieniu art. 81 2 pkt 3 Kodeksu cywilnego, jeżeli zostało dokonane w okresie ważności certyfikatu służącego do jego weryfikacj i. 3. Znakowanie czasem stanowi dowód tego, że usługa została wykonana w określonym czasie. Skutki prawne znakowania czasem określają przepisy odrębne. Art. 8. Nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na tej podstawie, że istnieje w postaci elektronicznej lub że dane do weryfikacji tego podpisu nie mają kwalifikowanego certyfikatu, lub że podpis ten nie został złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego. Rozdział 4 Obowiązki podmiotów świadczących usługi certyfikacyjne Art. 9. 1. Podmiotem świadczącym usługi certyfikacyjne jest: l) przedsiębiorca w rozumieniu przepisów o swobodzie działalności gospodarczej, 2) inna osoba prawna, 3) Narodowy Bank Polski, 4) organ władzy publicznej, 5) jednostka organizacyjna nie posiadająca osobowości prawnej - jeżeli świadczą usługi certyfikacyjne. 6
2. Narodowy Bank Polski oraz organy władzy publicznej sprawujące nadzór nad świadczeniem usług certyfikacyjnych nie mogą świadczyć usługi wydawania certyfikatów kwalifikowanych. 3. Organy władzy publicznej oraz Narodowy Bank Polski świadczą usługi certyfikacyjne na zasadach niezarobkowych. 4. Podmiot kwalifikowany nie może wydawać certyfikatów kwalifikowanych w stosunkach prawnych, w których jest stroną, chyba że jest to niezbędne do wykonywania umowy z odbiorcą usług certyfikacyjnych. Art. 10. l. Odbiorcą usług certyfikacyjnych jest osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadającą osobowości prawnej, która: 1) zawarła z podmiotem świadczącym usługi certyfikacyjne umowę o świadczenie usług certyfikacyjnych lub 2) działa, w oparciu o certyfikat lub inne dane elektronicznie poświadczone przez podmiot świadczący usługi certyfikacyjne, w granicach określonych w polityce certyfikacji. 2. Odbiorca usług certyfikacyjnych, w okresie ważności certyfikatu służącego do weryfikacji podpisu elektronicznego, jest obowiązany przechowywać dane do składania tego podpisu w sposób zapewniający ich ochronę przed nieuprawnionym wykorzystaniem. Art. 11. l. Podmiot świadczący usługi certyfikacyjne jest obowiązany publikować dane, które umożliwiają sprawdzenie autentyczności i ważności certyfikatów oraz weryfikację pieczęci elektronicznych złożonych przez ten podmiot a także zapewnić nieodpłatny dostęp do tych danych odbiorcom usług certyfikacyjnych. 2. Podmiot kwalifikowany jest obowiązany publicznie udostępniać aktualne informacj e o stosowanych bezpiecznych urządzeniach do składania podpisu elektronicznego oraz o warunkach prawidłowej bezpiecznej weryfikacji podpisów elektronicznych. 3. Podmiot, o którym mowa w ust. l, jest obowiązany stosować produkty 7
podpisu elektronicznego. Art. 12. l. Podmiot świadczący usługi certyfikacyjne wydający certyfikaty zapewnia teclmiczne i organizacyjne zawieszania i unieważniania warunki wydawania, niezwłocznego certyfikatów oraz określania czasu dokonania tych czynności i niezwłocznej publikacji tych informacj i. 2. Podmiot świadczący usługi certyfikacyjne opracowuje oraz publikuje politykę certyfikacji, określającą szczegółowe rozwiązania teclmiczne i organizacyjne a także zakres, warunki bezpieczeństwa tworzenia i stosowania certyfikatów. 3. Podmiot świadczący usługi certyfikacyjne zapewnia środki przeciwdziałające fałszowaniu certyfikatów i innych danych poświadczanych elektronicznie, w szczególności poprzez ochronę urządzeń i danych wykorzystywanych do świadczenia usług certyfikacyjnych. 4. W przypadku, gdy podmiot, o którym mowa w ust. l, tworzy dane do składania podpisu elektronicznego, jest on obowiązany: l) zapewnić poufność procesu tworzenia tych danych; 2) zapewnić, by dane te z prawdopodobieństwem graniczącym z pewnością wystąpiły tylko raz; 3) nie przechowywać i nie kopiować tych danych ani danych, mogących służyć do ich odtworzenia oraz udostępniać te dane wyłącznie podpisującemu. 5. W przypadku, gdy podmiot, o którym mowa w ust. l, nie wytworzył danych do składania podpisu elektronicznego, jest on obowiązany potwierdzić, iż dane te odpowiadają danym do weryfikacji podpisu, dostarczonym przez osobę ubiegającą się o certyfikat. 6. W przypadku, gdy podmiot, o którym mowa w ust. l, zapewnia publiczny dostęp do certyfikatu, publikacja tego certyfikatu wymaga uprzedniej zgody osoby, której został wydany. 7. Podmiot świadczący usługi certyfikacyjne wydający certyfikaty kwalifikowane, 8
jest obowiązany: l) zawrzeć umowę o ubezpieczeniu odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych; 2) zapewnić ciągłość tego ubezpieczenia w okresie świadczenia usług certyfikacyjnych; 3) niezwłocznie przekazywać ministrowi właściwemu do spraw gospodarki dowód zawarcia każdej takiej umowy, nie później jednak niż 14 dni przed wygaśnięciem poprzedniej umowy. Art. 13. l. Rada Ministrów określi, w drodze rozporządzenia: l) szczegółowe warunki techniczne i organizacyjne, które muszą spełniać podmioty kwalifikowane, uwzględniając zakres stosowania wydawanych przez nie certyfikatów, wymagania ich ochrony oraz konieczność zapewnienia ochrony interesów odbiorców usług certyfikacyjnych; 2) warunki techniczne i organizacyjne znakowania czasem oraz wydawania certyfikatu atrybutów, uwzględniając konieczność zapewnienia ochrony interesów odbiorców usług certyfikacyjnych; 3) wymagania z zakresu synchronizacji do czasu urzędowego lub czasu UTC(PL), uwzględniając: a) wymogi dokładności synchronizacji, b) częstość i warunki technicme wykonywania ciągłej i okresowej weryfikacji dokładności synchronizacji, c) warunki techniczne konieczne do zapewnienia, że czas używany do usług certyfikacyjnych nie różni się od czasu urzędowego lub czasu UTC(PL) więcej niż o wymaganą dokładność synchronizacj i; 4) wymagania z zakresu ochrony fizycznej pomieszczeń, uwzględniając konieczność zapewnienia ochrony interesów odbiorców usług certyfikacyjnych oraz bezpieczeństwo przechowywania. 2. Minister właściwy do spraw instytucji finansowych, w porozumieniu z ministrem właściwym do spraw gospodarki, określi w drodze rozporządzenia, szczegółowy zakres ubezpieczenia obowiązkowego, o którym mowa w 9
art. 12 ust. 7 pkt I, termin objęcia ochroną ubezpieczeniową oraz minimalną sumę gwarancyjną, uwzględniając rodzaj świadczonych usług certyfikacyjnych oraz specyfikę tych usług. Art. 14. 1. Podmiot świadczący usługę znakowania czasem używa systemów do znakowania czasem, tworzenia i przechowywania pieczęci elektronicznych, w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom uprawnionym, a także zapewnia, że czas w nich określony jest czasem z chwili składania pieczęci elektronicznej. 2. Podmiot, o którym mowa w ust. 1, obowiązany jest stosować komponenty techniczne i procedury, które zapewnią, że czas używany w systemach do znakowania czasem jest zgodny, pośrednio lub bezpośrednio, z czasem urzędowym lub czasem UTC(PL) z wymaganą dokładnością synchronizacj i. 3. Zgodność bezpośrednia czasu z czasem urzędowym lub czasem UTC(PL) oznacza zgodność z wymaganą dokładnością synchronizacji weryfikowaną poprzez porównanie informacji o czasie bezpośrednio z podmiotem wyznaczającym czas urzędowy lub czas UTC(PL). Zgodność pośrednia czasu z czasem urzędowym lub czasem UTC(PL) oznacza zgodność z wymaganą dokładnością synchronizacji weryfikowaną poprzez porównanie informacji o czasie z podmiotem, który wyznacza czas zgodny z czasem urzędowym lub czasem UTC(PL) z o rząd wielkości lepszą dokładnością synchronizacji. 4. Podmiot kwalifikowany świadczący usługi certyfikacyjne polegające na kwalifikowanym znakowaniu czasem jest obowiązany zapewnić, że czas używany w systemach do znakowania czasem jest zgodny, pośrednio lub bezpośrednio, z czasem urzędowym lub czasem UTC(PL) z dokładnością do jednej sekundy. 10
Art. 15. 1. W przypadku złożenia wniosku o wydanie certyfikatu, podmiot świadczący usługi certyfikacyjne obowiązany jest zidentyfikować podmiot lub zweryfikować tożsamość osoby fizycznej ubiegającej się o certyfikat oraz inne informacje dotyczące tej osoby zawarte w certyfikacie, w sposób przewidziany w polityce certyfikacj i. 2. Potwierdzenie tożsamości może nastąpić w szczególności z wykorzystaniem danych biometrycznych osoby ubiegającej się o certyfikat. Art. 16. 1. Podmiot świadczący usługi certyfikacyjne jest obowiązany zapewnić, by osoba wykonująca czynności związane ze świadczeniem usług certyfikacyjnych: 1) posiadała pełną zdolność do czynności prawnych; 2) nie była skazana prawomocnym wyrokiem za przestępstwo przeciwko wiarygodności dokumentów, obrotowi gospodarczemu, obrotowi pieniędzmi i papierami wartościowymi, przestępstwo skarbowe lub przestępstwa, o których mowa w rozdziale 9; 3) posiadała niezbędną wiedzę i umiejętności w zakresie technologii tworzenia certyfikatów i świadczenia innych usług związanych z podpisem elektronicznym. 2. Minister właściwy do spraw gospodarki, w porozumieniu z ministrem właściwym do spraw informatyzacji oraz ministrem właściwym do spraw administracj i, może określić, w drodze rozporządzenia, warunki świadczenia innych usług związanych z podpisem elektronicznym, ze szczególnym uwzględnieniem czynności, które mogą wykonywać kwalifikowane podmioty świadczące usługi certyfikacyjne, mając na względzie zapewnienie bezpieczeństwa ich wykonywania i ochronę interesów odbiorców usług certyfikacyjnych. Art. 17. 1. Podmiot świadczący usługi certyfikacyjne kwalifikowanymi certyfikatami odpowiada związane z wydawanymi wobec odbiorców usług 11
certyfikacyjnych, z zastrzeżeniem ust. 4 i 5, za szkody spowodowane niewykonaniem lub nienależytym wykonaniem swych obowiązków w zakresie świadczenia tych usług. 2. Podmiot świadczący usługi certyfikacyjne nie ponosi odpowiedzialności, o której mowa w ust. l, jeżeli niewykonanie lub nienależyte wykonanie tych obowiązków jest następstwem okoliczności, za które me ponosi odpowiedzialności i którym nie mógł zapobiec mimo dołożenia należytej staranności. 3. Wyłączenie odpowiedzialności, przewidziane w ust. 2, nie dotyczy podmiotu świadczącego usługi certyfikacyjne, który udzielił gwarancji za certyfikat zagraniczny w odniesieniu do tego certyfikatu. 4. Podmiot świadczący usługi certyfikacyjne nie odpowiada wobec odbiorców usług certyfikacyjnych za szkody wynikające z użycia certyfikatu niezgodnie z zakresem określonym w polityce certyfikacji wskazanej w certyfikacie, w tym w szczególności za szkody wynikające z przekroczenia najwyższej wartości granicznej transakcji, jeżeli wartość ta została wskazana w certyfikacie. 5. Podmiot świadczący usługi certyfikacyjne nie odpowiada wobec odbiorców usług certyfikacyjnych za szkodę wynikłą z nieprawdziwości danych zawartych w certyfikacie wpisanych na wniosek osoby składającej podpis elektroniczny, chyba że szkoda była wynikiem niedołożenia należytej staranności wymaganej w obrocie profesjonalnym. 6. Podmiot świadczący usługi certyfikacyjne, który udzielił gwarancji za certyfikat zgodnie z art. 4 pkt 2, odpowiada wobec odbiorców usług certyfikacyjnych za wszelkie szkody spowodowane użyciem tego certyfikatu, chyba że szkoda wynikła z użycia certyfikatu poza zakresem określonym w polityce certyfikacji wskazanej w tym certyfikacie. Art. 18. 1. Informacje związane ze świadczeniem usług certyfikacyjnych, których nieuprawnione ujawnienie mogłoby narazić na szkodę podmiot świadczący usługi certyfikacyjne lub odbiorcę usług certyfikacyjnych, w szczególności 12
dane do składania podpisów elektronicznych, są objęte tajemnicą. Nie są objęte tajemnicą informacje o naruszeniu ustawy przez podmiot świadczący usługi certyfikacyjne. 2. Do zachowania tajemnicy, o której mowa w ust. l, są obowiązane: l) osoby pozostające w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze z podmiotem świadczącym usługi certyfikacyjne; 2) osoby pozostające w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze z podmiotami świadczącymi usługi na rzecz podmiotu świadczącego usługi certyfikacyjne; 3. Osoby, o których mowa w ust. 2, mają obowiązek udzielenia informacji, o których mowa w ust. l, z wyjątkiem danych do składania podpisów elektronicznych, wyłącznie na żądanie: l) sądu lub prokuratora - w związku z toczącym się postępowaniem; 2) ministra właściwego do spraw gospodarki - w związku ze sprawowaniem przez niego nadzoru nad działalnością podmiotów kwalifikowanych; 3) innych organów państwa, upoważnionych na podstawie ustaw odrębnych - w związku z prowadzonym przez te organy postępowaniem w sprawach dotyczących działalności podmiotów świadczących usługi certyfikacyjne. 4. Obowiązek zachowania tajemnicy, o której mowa w ust. l, z zastrzeżeniem ust. 5, trwa przez okres 10 lat od dnia ustania stosunku prawnego, o którym mowa w ust. 2. 5. Okres trwania obowiązku zachowania w tajemnicy danych do składania podpisu elektronicznego trwa bezterminowo. Art. 19. l. Podmiot świadczący usługi certyfikacyjne, z zastrzeżeniem ust. 4 oraz art. 12 ust. 4 pkt 3, przechowuje dokumenty dane w postaci elektronicznej związane ze świadczeniem usług certyfikacyjnych, w sposób zapewniający bezpieczeństwo przechowywanych dokumentów i danych. 13
2. Podmiot świadczący usługi certyfikacyjne jest obowiązany używać systemów do tworzenia, przechowywania lub określania ważności certyfikatów oraz systemów do tworzenia podpisów elektronicznych, w sposób zapewniający prawdziwość danych oraz możliwość wprowadzania zmiany tych danych jedynie osobom uprawnionym. 3. Podmiot kwalifikowany jest obowiązany przechowywać lub elektronicznie archiwizować dokumenty i dane, o których mowa w ust. l, przez okres 20 lat od dnia ich wytworzenia. 4. W przypadku, gdy podmiot kwalifikowany zaprzestał świadczenia usług certyfikacyjnych, dokumenty i dane, o których mowa w ust. l, przechowuje minister właściwy do spraw gospodarki albo wskazany przez niego podmiot, z zastrzeżeniem ust. 6. 5. Podmiot kwalifikowany, który zaprzestał świadczenia usług certyfikacyjnych uiszcza na rzecz ministra właściwego do spraw gospodarki opłatę za przechowywanie dokumentów i danych, o których mowa w ust. l, w wysokości nie wyższej niż równowartość w złotych l EUR za każdy wydany certyfikat, którego dokumentacja podlega przechowywaniu, liczoną według kursu średniego Narodowego Banku Polskiego z dnia zaprzestania świadczenia usług certyfikacyjnych. 6. Podmiot kwalifikowany, który zaprzestał świadczenia usług certyfikacyjnych z przyczyn innych niż likwidacja lub upadłość, może, po zawiadomieniu ministra właściwego do spraw gospodarki, przechowywać dane, o których mowa w ust. l, do końca okresu, o którym mowa w ust. 3. W takim przypadku ust. 5 nie stosuje się. 7. Opłatę, o której mowa w ust. 5, przeznacza Się na pokrycie kosztów przechowania dokumentów i danych, o których mowa w ust. l. 8. Minister właściwy do spraw gospodarki określi, w drodze rozporządzenia, tryb uiszczania i wysokość opłat, o których mowa w ust. 5, uwzględniając ilość oraz planowane koszty przechowywania dokumentów i danych, o których mowa 14
w ust. 1. 9. Podmiot kwalifikowany niszczy dane służące temu podmiotowi do składania pieczęci elektronicznej w sytuacji, gdy polityka certyfikacji me przewiduje dalszego wykorzystania tych danych oraz w przypadku zaprzestania działalności lub wykreślenia z rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne w zakresie podpisu elektronicznego (rejestr). Rozdział 5 Świadczenie usług certyfikacyjnych Art. 20. 1. Usługi certyfikacyjne polegają na wydawaniu certyfikatów, znakowaniu czasem, potwierdzaniu ważności certyfikatów oraz innych usługach związanych z podpisem elektronicznym. Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych nie wymaga uzyskania zezwolenia lub koncesji. 2. Podmiot kwalifikowany może świadczyć inne usługi związane z podpisem elektronicznym, jeżeli uwzględnia właściwe normy i standardy wspólnotowe lub międzynarodowe. Art.21. 1. Znakowanie czasem jest to usługa certyfikacyjna, polegająca na dołączaniu do danych logicznie powiązanych z podpisem elektronicznym lub innymi danymi w postaci elektronicznej informacji o czasie wykonania tej usługi, zgodnym z czasem urzędowym lub czasem UTC(PL) przy okresowej technicznej weryfikacji wymaganej dokładności synchronizacji do czasu urzędowego lub czasu UTC(PL) oraz opatrzeniu danych pieczęcią elektroniczną. 2. Kwalifikowane znakowanie czasem jest to znakowanie czasem przez podmiot kwalifikowany, z ciągłą techniczną weryfikacją wymaganej dokładności synchronizacji czasu w stosunku do czasu urzędowego lub czasu UTC(PL). 3. Okresowa techniczna weryfikacja wymaganej dokładności synchronizacji do czasu urzędowego lub czasu UTC(PL) oznacza porównanie wyznaczanej 15
infonnacji o czasie z infonnacją o czasie urzędowym lub czasie UTC(PL) przynajmniej przez okres l miesiąca w roku, a przy ciągłej technicznej weryfikacji wymaganej dokładności synchronizacji nie rzadziej niż raz na 7 dni, przy spełnieniu odnośnych wymagań określonych na podstawie Art. 13 ust. l. Art. 22. Potwierdzenie ważności certyfikatu jest to usługa, która stwierdza w szczególności ważność lub zawieszenie certyfikatu w czasie jej wykonania oraz zawiera infonnację o czasie jej wykonania. Art.23. l. Kwalifikowany certyfikat jest wydawany przez podmiot kwalifikowany na podstawie umowy. 2. Podmiot kwalifikowany przed zawarciem umowy, o której mowa w ust. l, jest obowiązany poinfonnować odbiorcę usług certyfikacyjnych na piśmie lub w fonnie dokumentu elektronicznego w rozumieniu przepisów ustawy o infonnatyzacji podmiotów realizujących zadania publiczne, w sposób jasny i powszechnie zrozumiały o: l) warunkach użycia tego certyfikatu i ograniczeniach jego stosowania; 2) skutkach prawnych składania podpisów elektronicznych weryfikowanych przy pomocy tego certyfikatu; 3) sposobie rozpatrywania sporów; 4) systemie rejestracji podmiotów kwalifikowanych oraz jego maczeniu. Art. 24. l. Umowa o wydanie certyfikatu kwalifikowanego powinna być stwierdzona pismem, a w przypadku zawarcia w dokumencie elektronicznym powinna zostać opatrzona podpisami kwalifikowanymi. 2. Niezachowanie fonny umowy o świadczenie usług certyfikacyjnych, o której mowa w ust. l, nie powoduje nieważności certyfikatu jeżeli przy jego wydaniu zostały spełnione wymogi określone wart. 23 ust. 2 oraz uzyskano zgodę, o której mowa wart. 12 ust. 6. 16
Art. 25. 1. Podmiot kwalifikowany świadczy usługi certyfikacyjne w oparciu o polityki certyfikacj i. 2. Dokumentem określającym szczegółowe rozwiązania techniczne i organizacyjne oraz zakres i warunki bezpieczeństwa tworzenia i stosowania certyfikatów jest polityka certyfikacji. 3. Polityka certyfikacji określa w szczególności: 1) zakres jej zastosowania; 2) opis sposobu tworzenia i przesyłania danych elektronicznych, które zostaną opatrzone pieczęcią elektroniczną podmiotu świadczącego usługi certyfikacyjne; 3) okresy ważności certyfikatów; 4) sposób potwierdzenia tożsamości osób, którym wydawane są certyfikaty; 5) sposób identyfikacji podmiotu świadczącego usługi certyfikacyjne; 6) metody i tryb tworzenia oraz udostępniania certyfikatów, list unieważnionych i zawieszonych certyfikatów oraz innych danych opatrzonych pieczęcią elektroniczną podmiotu świadczącego usługi certyfikacyjne; 7) opis elektronicznego zapisu struktur danych zawartych w certyfikatach oraz innych danych poświadczanych elektronicznie w związku ze świadczeniem usług certyfikacyjnych; 8) sposób zarządzania dokumentami związanymi ze świadczeniem usług certyfikacyjnych. 4. Rada Ministrów może określić, w drodze rozporządzenia, szczegółowe wymagania dotyczące polityk certyfikacji dla kwalifikowanych certyfikatów, uwzględniając zakres zastosowania tych certyfikatów oraz okresy ich ważności, konieczność zapewnienia współdziałania urządzeń do składania i weryfikacj i podpisów elektronicznych, zapewnienie bezpieczeństwa obrotu prawnego uwzględniając ogólnie uznane normy ustalone na podstawie art. 10 dyrektywy 1999/93/WE. 17
Art. 26. 1. Bezpieczne urządzenie do składania podpisu elektronicznego powmno, w szczególności: l) uniemożliwiać pozyskiwanie danych do składania podpisu elektronicznego; 2) nie zmieniać danych, które mają zostać podpisane elektronicznie oraz umożliwić, by dane te zostały przedstawione podpisującemu przed złożeniem podpisu; 3) zapewniać by złożenie kontynuacja OperaCji jest podpisu poprzedzało ostrzeżenie, że równoznaczna ze złożeniem podpisu elektronicznego; 4) zapewniać łatwe rozpoznawanie istotnych dla bezpieczeństwa zmian w urządzeniu do składania podpisu elektronicznego. 2. Weryfikacja kwalifikowanego podpisu elektronicznego zapewnia, że: l) dane używane do weryfikacji podpisu elektronicznego odpowiadają danym, które są prezentowane osobie weryfikującej ten podpis; 2) podpis elektroniczny jest weryfikowany rzetelnie, a wynik weryfikacji prawidłowo przedstawiany; 3) osoba weryfikująca może, w sposób niebudzący wątpliwości, ustalić zawartość podpisanych danych; 4) autentyczność i ważność certyfikatu danych podpisanych elektronicznie jest rzetelnie weryfikowana; 5) wynik potwierdzenia tożsamości podpisującego jest prezentowany w sposób jednoznaczny; 6) użycie pseudonimu jest jednoznacznie wskazane; 7) wszelkie zmiany wpływające na bezpieczeństwo są wykrywane. 3. Rada Ministrów określi, w drodze rozporządzenia, szczegółowe warunki techniczne, jakim powinny odpowiadać bezpieczne urządzenia do składania podpisów elektronicznych oraz wymogi jakie powinna spełniać bezpieczna weryfikacja podpisu elektronicznego, uwzględniając ogólnie uznane normy ustalone na podstawie art. 10 dyrektywy 1999/93/WE. 18
4. Badania zgodności urządzeń procesów, o których mowa w ust. I i 2, z wymogami UE następuje na zasadach określonych w odrębnych przepisach. Art.27. l. Certyfikat kwalifikowany zawiera w szczególności: I) numer certyfikatu; 2) wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany do stosowania zgodnie z określoną polityką certyfikacji; 3) określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę, oraz numer pozycji w rejestrze podmiotów kwalifikowanych; 4) imię i nazwisko lub pseudonim podpisującego, z zastrzeżeniem że użycie pseudonimu musi być wyraźnie zaznaczone; 5) dane do weryfikacji podpisu elektronicznego odpowiadają danym do składania podpisu elektronicznego pozostającym pod kontrolą podpisującego; 6) oznaczenie początku i końca okresu ważności certyfikatu; 7) ograniczenia zakresu ważności certyfikatu, jeżeli przewiduje to określona polityka certyfikacji; 8) ograniczenie najwyższej granicznej wartości transakcji, w której certyfikat może być wykorzystywany, jeżeli przewiduje to polityka certyfikacji lub umowa, o której mowa wart. 23 ust. I; 9) szczególne cechy podpisującego, jeżeli wymaga tego zastosowanie certyfikatu; 10) pieczęć elektroniczną kwalifikowanego podmiotu, wydającego dany certyfikat, pod wszystkimi danymi umieszczonymi w certyfikacie. 2. Na wniosek podpisującego podmiot świadczący usługi certyfikacyjne, wydając kwalifikowany certyfikat, jest obowiązany zawrzeć w tym certyfikacie inne dane, w szczególności wskazujące, że podpisujący działa: I) w imieniu własnym, albo 2) jako przedstawiciel innej osoby fizycznej, osoby prawnej albo jednostki 19
organizacyjnej nieposiadającej osobowości prawnej, albo 3) w charakterze członka organu albo organu osoby prawnej, albo jednostki organizacyjnej nieposiadającej osobowości prawnej, albo 4) jako organ władzy publicznej. 3. Podmiot kwalifikowany wydając kwalifikowany certyfikat powiadamia podpisującego o treści jego certyfikatu oraz informuje o możliwości unieważnienia certyfikatu na wniosek podpisującego. Art. 28. l. Certyfikaty urzędowe mogą być wydawane wraz z dokumentem tożsamości lub innymi dokumentami identyfikacyjnymi na zasadach określonych w przepisach odrębnych. 2. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, szczegółowe warunki techniczne i organizacyjne dla podmiotów wydających certyfikaty urzędowe, wymagania dla certyfikatów urzędowych, w tym okresy ich ważności oraz polityk certyfikacji dla tych certyfikatów, uwzględniając ochronę prywatności podpisujących, urzędowy charakter podpisu oraz bezpieczeństwo odbiorców usług certyfikacyjnych. Rozdział 6 Ważność certyfikatów Art. 29. Podmiot kwalifikowany wydąjąc certyfikat potwierdza prawdziwość danych zawartych w tym certyfikacie. Art. 30. 1. Certyfikat jest ważny w okresie w nim wskazanym. 2. Podmiot kwalifikowany unieważnia certyfikat przed upływem okresu jego ważności jeżeli: l) certyfikat ten został wydany na podstawie nieprawdziwych lub nieaktualnych danych; 2) podmiot kwalifikowany nie dopełnił obowiązków określonych w ustawie; 3) odbiorca usług certyfikacyjnych nie dopełnił obowiązków, o których mowa 20
wart. 10 ust. 2; 4) podmiot kwalifikowany zaprzestaje świadczenia usług certyfikacyjnych, a jego praw i obowiązków nie przejmie inny podmiot kwalifikowany; 5) zażąda tego podpisujący lub osoba trzecia wskazana w certyfikacie; 6) podpisujący utraci zdolność do czynności prawnych; 7) w związku z naruszeniem ustawy zażąda tego minister właściwy do spraw gospodarki. 3. Unieważnienie certyfikatu me wyłącza odpowiedzialności podmiotu świadczącego usługi certyfikacyjne za szkodę wyrządzoną podpisującemu. 4. W przypadku uzasadnionego podejrzenia, że zachodzą przesłanki, o których mowa w ust. 2 pkt 1-6, podmiot kwalifikowany niezwłocznie zawiesza certyfikat oraz podejmuje działania w celu wyjaśnienia tych podejrzeń. 5. Zawieszenie, o którym mowa w ust. 4, następuje na okres nie dłuższy niż 7 dni. 6. Podmiot kwalifikowany niezwłocznie unieważnia certyfikat, jeżeli w okresie, o którym mowa w ust. 5, uzasadnione podejrzenia nie zostały wyjaśnione. 7. Certyfikat, który został unieważniony, nie może być następnie uznany za ważny. 8, O unieważnieniu lub zawieszeniu certyfikatu podmiot kwalifikowany niezwłocznie zawiadamia podpisującego. Art.31. 1. Podmiot świadczący usługi certyfikacyjne publikuje listę zawieszonych i unieważnionych certyfikatów. 2. Informacje o zawieszeniu albo unieważnieniu certyfikatu umieszcza się na każdej liście zawieszonych i unieważnionych certyfikatów publikowanej przed dniem upływu okresu ważności certyfikatu oraz na pierwszej liście publikowanej po upływie tego okresu. 3. Lista zawieszonych unieważnionych kwalifikowanych certyfikatów zawiera w szczególności: l) numer kolejny listy; 2) datę i czas opublikowania listy z dokładnością określoną w polityce certyfikacji; 21
3) datę przewidywanego opublikowania kolejnej listy; 4) określenie podmiotu kwalifikowanego publikującego listę i państwa, w którym ma on siedzibę, oraz numeru wpisu w rejestrze podmiotów kwalifikowanych; 5) numer każdego zawieszonego lub unieważnionego certyfikatu oraz wskazanie, czy został on unieważniony, czy zawieszony; 6) datę i czas, z dokładnością określoną w polityce certyfikacji, zawieszenia albo unieważnienia każdego certyfikatu; 7) pieczęć elektroniczną kwalifikowanego podmiotu publikującego listę. 4. Publikacja listy, o której mowa w ust. l, następuje w sposób określony w polityce certyfikacji, jednak nie później niż w ciągu l godziny od unieważnienia lub zawieszenia certyfikatu. 5. Zawieszenie i unieważnienie certyfikatu wywołuje skutki prawne z chwilą, o której mowa w ust. 3 pkt 6, który nie może być wcześniej szy niż data i czas publikacji poprzedniej listy zawieszonych i unieważnionych certyfikatów. 6. Zawieszenie albo unieważnienie certyfikatu nie może następować z mocą wsteczną. Rozdział 7 Dokonywanie wpisu do rejestru podmiotów kwalifikowanych Art. 32. l. Minister właściwy do spraw gospodarki prowadzi rejestr podmiotów kwalifikowanych oraz publikuje, w postaci elektronicznej, listę podmiotów kwalifikowanych, które zostały wpisane do rejestru oraz certyfikaty służące do weryfikacji pieczęci podmiotów kwalifikowanych. 2. Wpis do rejestru podmiotów kwalifikowanych mogą uzyskać podmioty, które mają siedzibę lub główne miejsce wykonywania działalności gospodarczej w Polsce. 3. Minister właściwy do spraw gospodarki, na wniosek Prezesa Narodowego Banku Polskiego, może upoważnić Narodowy Bank Polski do wykonywania 22
czynności, o których mowa w ust. l i 2, lub powierzyć NBP prowadzenie rejestru, o którym mowa w ust. l. 4. Minister właściwy do spraw gospodarki wydaje podmiotom kwalifikowanym certyfikaty służące do weryfikowania pieczęci elektronicznych tych podmiotów. Art. 33. l. Wpis do rejestru podmiotów kwalifikowanych następuje na wniosek. 2. Wniosek, o którym mowa w ust. l, zawiera dane identyfikacyjne składającego wniosek. 3. Do wniosku dołącza się: l) polityki certyfikacji dla usług certyfikacyjnych, których wniosek dotyczy; 2) oświadczenie o braku wpisu w rejestrze dłużników niewypłacalnych; 3) informację z Krajowego Rejestru Karnego oraz oświadczenie kwalifikacjach wart. 16 ust. l; doświadczeniu zawodowym osób o których mowa 4) opis technicznych organizacyjnych warunków świadczenia usług certyfikacyjnych, przez składającego wniosek; 5) określenie sposobu zapobiegania ujawnianiu informacji, których wykorzystanie mogłoby naruszać interes odbiorców usług certyfikacyjnych; 6) dokumenty przedstawiające sytuację finansową i majątkową składającego wniosek albo aktualne sprawozdanie finansowe zweryfikowane przez biegłego rewidenta; 7) dowód zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych na okres nie krótszy niż rok od dnia dokonania wpisu do rejestru podmiotów kwalifikowanych; 8) dane do weryfikacj i pieczęci elektronicznej podmiotu świadczącego usługi certyfikacyjne składanej w ramach świadczonych przez ten podmiot usług certyfikacyjnych. 4. Jeżeli wniosek, o którym mowa w ust. l, nie spełnia wymagań określonych w ust. 2 i 3 minister właściwy do spraw gospodarki wzywa składającego wniosek do usunięcia braków w terminie 14 dni, z zastrzeżeniem, że nieusunięcie tych braków spowoduje pozostawienie wniosku bez rozpoznania. 23
5. Minister właściwy do spraw gospodarki określi, w drodze rozporządzenia, wzór i szczegółowy zakres wniosku o wpis do rejestru, uwzględniając potrzebę jednoznacznej identyfikacji składającego wniosek oraz możliwość elektronicznego przetwarzania danych zawartych w formularzach. 6. Jeżeli wniosek jest składany w formie elektronicznej wówczas dokumenty, o których mowa wart. 33 ust. 3 składane w formie elektronicznej są podpisane podpisem kwalifikowanym. Art. 34. l. Wpis do rejestru następuje w terminie dwóch miesięcy od dnia złożenia wniosku z zastrzeżeniem art. 33 ust. 4. 2. Odmowa wpisu do rejestru następuje w drodze decyzji. 3. Minister właściwy do spraw gospodarki odmawia dokonania wpisu do rejestru, jeżeli: l) istnieje uzasadnione przypuszczenie, że działalność składającego wniosek zagraża lub może zagrażać bezpieczeństwu publicznemu albo odbiorcom usług certyfikacyjnych; 2) wskazane we wniosku techniczne organizacyjne możliwości wykonywania czynności w zakresie świadczenia usług certyfikacyjnych nie spełniają wymogów określonych na podstawie ustawy; 3) składający wniosek jest umieszczony w rejestrze dłużników niewypłacalnych; 4) osoby, o których mowa wart. 16 ust. 1, me spełniają wymogów określonych w tym przepisie. Art. 35. 1. Wpis podmiotu kwalifikowanego do rejestru obejmuje: 1) imię i nazwisko lub nazwę (firmę) podmiotu kwalifikowanego; 2) sposób reprezentacji podmiotu kwalifikowanego oraz numer wpisu do rejestru przedsiębiorców i oznaczenie organu prowadzącego ten rejestr albo numer wpisu do ewidencji działalności gospodarczej i oznaczenie organu ewidencyjnego; 24
3) imiona i nazwiska osób reprezentujących podmiot kwalifikowany; 4) nazwę polityki certyfikacji, w ramach której podmiot kwalifikowany może wydawać kwalifikowane certyfikaty lub świadczyć inne usługi związane z podpisem elektronicznym; 5) informacje o umowie, o której mowa wart. 12 ust. 7, w szczególności o nazwie zakładu ubezpieczeń, sumie ubezpieczenia oraz okresie ochrony ubezpieczeniowej; 6) datę dokonania wpisu lub wydania decyzji o wykreśleniu wpisu. 2. Po uzyskaniu informacji, o których mowa wart. 12 ust. 7 pkt 3, minister właściwy do spraw gospodarki dokonuje aktualizacji wpisu w rejestrze. 3. W przypadku gdy, podmiot kwalifikowany nie wykona obowiązku, o którym mowa w art. 12 ust. 7, minister właściwy do spraw gospodarki w terminie 14 dni od dnia niewykonania tego obowiązku wydaje decyzję o wykreśleniu podmiotu kwalifikowanego z tego rejestru. Art. 36. l. Rejestr oraz lista podmiotów kwalifikowanych są jawne oraz udostępniane w postaci elektronicznej. 2. Minister właściwy do spraw gospodarki może określić, w drodze rozporządzenia, warunki techniczne i organizacyjne publikacji listy podmiotów kwalifikowanych z uwzględnieniem konieczności zapewnienia zgodności tych warunków z wymaganiami UE dla krąjów obowiązanych do stosowania dyrektywy l 999/93/WE. 3. Minister właściwy do spraw gospodarki określi, w drodze rozporządzenia, sposób prowadzenia rejestru oraz wzór tego rejestru, uwzględniając konieczność zapewnienia dostępu do rejestru osobom trzecim oraz zakres informacji o podmiotach kwalifikowanych, w tym informacji o likwidacji lub upadłości podmiotu kwalifikowanego. Art.37. l. Podmiot kwalifikowany niezwłocznie informuje ministra właściwego do spraw gospodarki o każdej zmianie danych wpisanych do rejestru. W takim 25
przypadku minister właściwy do spraw gospodarki dokonuje aktualizacji wpisu w tym rejestrze. 2. Podmiot kwalifikowany informuje ministra właściwego do spraw gospodarki o zamiarze zaprzestania świadczenia usług certyfikacyjnych, nie później niż na 3 miesiące przed planowanym dniem zaprzestania świadczenia tych usług. Art. 38. 1. W przypadku otwarcia likwidacji podmiotu kwalifikowanego minister właściwy do spraw gospodarki wydaje decyzję o wykreśleniu wpisu z rejestru. 2. W przypadku ogłoszenia upadłości podmiotu kwalifikowanego wykreślenie WpiSU Z rejestru następuje z mocy prawa. 3. Jeżeli odrębne przepisy nie przewidują likwidacji podmiotu kwalifikowanego, w przypadku zaprzestania przez ten podmiot prowadzenia działalności, minister właściwy do spraw gospodarki wydaje decyzję o wykreśleniu wpisu z rejestru. 4. W przypadkach, o których mowa w ust. 2 i 3, obowiązek informowania ministra właściwego do spraw gospodarki o ogłoszeniu upadłości lub zamknięciu likwidacj i, obciąża syndyka lub likwidatora. 5. W przypadku oddalenia wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. Prawo upadłościowe i naprawcze (Dz. U. Nr 60, poz. 535, z późno zm.2l) przepisy ust. 2 stosuje się odpowiednio. 6. Obowiązek poinformowania ministra właściwego do spraw gospodarki ciąży na członku organu osoby prawnej, komplementariuszach lub wspólnikach spółki jawnej. Rozdział 8 Nadzór nad działalnością podmiotów kwalifikowanych Art. 39. 1. Minister właściwy do spraw gospodarki sprawuje nadzór nad przestrzeganiem 2) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2003 r. Nr 217, poz. 2125, z 2004 r. Nr 91, poz. 870 i 871, Nr 96, poz. 959, Nr 121, poz. 1264, Nr 146, poz. 1546, Nr 173, poz. 1808 i Nr 210, poz. 2135, z 2005 r. Nr 94, poz. 785, Nr 183, poz. 1538 i Nr 184, poz. 1539, z 2006 r. Nr 47, poz. 347, Nr 133, poz. 935 i Nr 157, poz. 1119, z 2007 r. Nr 123, poz. 850, Nr 179 poz. 1279 oraz z 2008 r. Nr 96, poz. 606 i Nr 116, poz. 731. 26
przepisów ustawy przez podmioty kwalifikowane. 2. Nadzór, o którym mowa w ust. l, minister właściwy do spraw gospodarki realizuje w szczególności poprzez: l) prowadzenie rejestru oraz listy podmiotów kwalifikowanych; 2) kontrolę działalności podmiotów kwalifikowanych pod względem zgodności z ustawą; 3) nakładanie przewidzianych ustawą kar. Art. 40. 1. Podmiot kwalifikowany na żądanie ministra właściwego do spraw gospodarki udostępnia dokumenty oraz udziela informacji związanych z prowadzoną działalnością. 2. Podmiot kwalifikowany niezwłocznie przekazuje ministrowi właściwemu do spraw gospodarki, na jego żądanie informacje dotyczące na certyfikaty zagraniczne. gwarancj i udzielonych Art.41. l. Minister właściwy do spraw gospodarki wydaje decyzję o wykreśleniu wpisu z rejestru, jeżeli podmiot świadczący usługi certyfikacyjne: l) złoży wniosek o wykreślenie wpisu z rejestru lub 2) planuje zakończenie działalności i zawiadamia ministra właściwego do spraw gospodarki, zgodnie z art. 38 usl. 4 i 5 lub 2. Minister właściwy do spraw gospodarki może wydać decyzję o wykreśleniu wpisu z rejestru albo wezwać w drodze postanowienia podmiot kwalifikowany, aby w wyznaczonym terminie, usunął stwierdzone nieprawidłowości i doprowadził swoją działalność do stanu zgodnego z przepisami ustawy w przypadku, gdy: l) prowadzi działalność niezgodnie z przepisami ustawy lub 2) zagraża interesom odbiorców usług certyfikacyjnych. Art. 42. 1. W postanowieniu, o którym mowa w art. 41 usl. 2, minister właściwy spraw gospodarki może nałożyć na podmiot kwalifikowany karę pieniężną w do wysokości do 50.000 złotych. 27
2. Przy ustalaniu wysokości kary pieniężnej, o której mowa w ust. l, minister właściwy do spraw gospodarki uwzględnia rodzaj i wagę stwierdzonych nieprawidłowości. 3. Kara pieniężna podlega egzekucji w trybie przepisów o postępowaniu egzekucyjnym w administracji. Art. 43. l. W przypadku złożenia pieczęci elektronicznej podmiotu kwalifikowanego z rażącym naruszeniem obowiązujących przepisów, decyzja o wykreśleniu wpisu z rejestru podlega natychmiastowemu wykonaniu. 2. W przypadku, o którym mowa w ust. l, przepisu art. 61 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270, z późno zm. 3 )) nie stosuje się. Art. 44. Od dnia doręczenia decyzji o wykreśleniu wpisu z rejestru podmiot kwalifikowany nie może zawierać umów o świadczenie usług certyfikacyjnych w zakresie polityk certyfikacji, których dotyczy decyzja. Art. 45. 1. Kontrolę przeprowadzają pracowmcy urzędu zapewniającego obsługę ministra właściwego do spraw gospodarki, zwani dalej "kontrolerami", po okazaniu legitymacji służbowej oraz doręczeniu upoważnienia do przeprowadzenia kontroli. 2. Kontroler, przy wykonywaniu czynności kontrolnych, może korzystać z pomocy osoby niebędącej pracownikiem ministerstwa, o ile jest to niezbędne do przeprowadzenia kontroli. W takim przypadku imię i nazwisko tej osoby wskazane są w treści upoważnienia do przeprowadzenia kontroli. 3. Imienne upoważnienia do przeprowadzenia kontroli wydaje minister właściwy do spraw gospodarki albo z jego upoważnienia dyrektor właściwej komórki organizacyjnej urzędu zapewniającego obsługę ministra właściwego do spraw gospodarki. 4. Upoważnienie, o którym mowa w ust. l, zawiera w szczególności: 3) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2004 r. Nr 162, poz. 1692, z 2005 r. Nr 94, poz. 788 i Nr 168, poz. 1417, z 2006 r. Nr 208, poz. 1536 i Nr 217, poz. 1590 oraz z 2007 r. Nr 120, poz. 818 i Nr 121, poz. 831. 28
1) wskazanie podstawy prawnej; 2) oznaczenie organu kontroli; 3) datę i miej sce wystawienia; 4) imię i nazwisko pracownika upoważnionego do przeprowadzenia kontroli oraz numer jego legitymacji służbowej; 5) firmę lub nazwę przedsiębiorcy objętego kontrolą; 6) określenie zakresu przedmiotowego kontroli; 7) wskazanie daty rozpoczęcia i przewidywany termin zakończenia kontroli; 8) podpis osoby udzielającej upoważnienia; 9) pouczenie o prawach i obowiązkach kontrolowanego. 5. Na podstawie upoważnienia ministra właściwego do spraw gospodarki kontrolę, o której mowa w ust. 1, mogą przeprowadzić praco\\>nicy podmiotu, o którym mowa wart. 32 ust. 3. 6. W przypadku, o którym mowa w ust. 5, za przeprowadzenie kontroli należy się wynagrodzenie. 7. Minister właściwy do spraw gospodarki określi, w drodze rozporządzenia, zasady wynagradzania osób, o których mowa w ust. 5, za wykonywanie czynności kontrolnych, uwzględniając zakres i rodzaj kontroli oraz uzasadnione koszty jej przeprowadzenia. Art. 46. Minister właściwy do spraw gospodarki przeprowadza kontrolę: 1) z urzędu; 2) na żądanie prokuratora, sądu albo innych organów państwowych upoważnionych na podstawie ustaw, w związku z prowadzonymi postępowaniami w sprawach dotyczących działalności podmiotów świadczących usługi certyfikacyjne. Art. 47. l. Kontroler jest uprawniony do: 1) wstępu do obiektów pomieszczeń kontrolowanych podmiotów kwalifikowanych; 2) wglądu do dokumentów i danych, z wyjątkiem danych służących do składania podpisów elektronicznych lub pieczęci elektronicznych 29
podmiotu kwalifikowanego innych informacj i, które mogą służyć do odtworzenia danych, związanych z kontrolowaną działalnością, oraz zabezpieczania dokumentów i innych materiałów dowodowych, z zachowaniem przepisów o ochronie informacji prawnie chronionych; 3) przeprowadzania oględzin obiektów, innych składników majątkowych i przebiegu czynności związanych ze świadczeniem usług certyfikacyjnych; 4) żądania od pracowników kontrolowanych podmiotów kwalifikowanych udzielenia ustnych lub pisemnych wyjaśnień; 5) korzystania z pomocy biegłych i specjalistów. 2. Kierownik kontrolowanego podmiotu kwalifikowanego przedkłada, na żądanie kontrolera, dokumenty i materiały niezbędne do przygotowania i przeprowadzenia kontroli, z zastrzeżeniem przepisów o ochronie informacji prawnie chronionych. Art. 48. Minister właściwy do spraw gospodarki po zapoznaniu Się z protokołem i zastrzeżeniami oraz wyjaśnieniami zgłoszonymi przez kontrolowany podmiot świadczący usługi certyfikacyjne powiadamia ten podmiot o wynikach kontroli i w razie stwierdzenia nieprawidłowości wyznacza termin ich usunięcia, nie krótszy niż 14 dni. Art. 49. 1. Kontrolerzy oraz osoby, o których mowa wart. 45 ust. 5, są obowiązani do zachowania w tajemnicy informacji stanowiących tajemnicę przedsiębiorstwa. 2. Obowiązek zachowania tajemnicy trwa również po ustaniu zatrudnienia. Art. 50. Minister właściwy do spraw gospodarki rozpatruje skargi na podmioty świadczące usługi certyfikacyjne. Przepisy Kodeksu postępowania administracyjnego stosuje się odpowiednio. Art. 51. Kontrolerzy oraz osoby, o których mowa w art. 45 ust. 1 pkt 5, nie mogą wykonywać działalności gospodarczej, być wspólnikami albo akcjonariuszami ani 30