Usługi zaufania oraz identyfikacja
elektroniczna.
Dz.U.2019.162 t.j. z dnia 2019.01.28
Status: Akt obowiązujący
Wersja od: 28 stycznia 2019r.
tekst jednolity
-
Wejście
w życie:
7
października 2016 r.,29 września 2018 r.
zobacz:
art.
142
Art.
142. [Wejście w życie ustawy]
Ustawa
wchodzi w życie po upływie 7 dni od dnia ogłoszenia, z
wyjątkiem art. 22 oraz art. 24-26, które wchodzą w
życie z dniem 29 września 2018 r.
USTAWA
z
dnia 5 września 2016 r.
o
usługach zaufania oraz identyfikacji elektronicznej 1
Rozdział
1
Przepisy
ogólne
Art.
1. [Przedmiot ustawy]
1.
Ustawa określa:
1)
krajową infrastrukturę zaufania;
2)
działalność dostawców usług zaufania, w
tym zawieszanie certyfikatów podpisów elektronicznych i
pieczęci elektronicznych;
3)
tryb notyfikacji krajowego systemu identyfikacji elektronicznej;
4)
nadzór nad dostawcami usług zaufania;
5)
krajowy schemat identyfikacji elektronicznej;
6)
nadzór nad krajowym schematem identyfikacji elektronicznej.
2.
Przepisów ustawy nie stosuje się do identyfikacji
elektronicznej lub świadczenia usług zaufania
wykorzystywanych wyłącznie w zamkniętych systemach
wynikających z przepisów prawa, porozumień lub umów
zawartych przez określoną grupę uczestników.
Rozdział
2
Krajowa
infrastruktura zaufania
Art.
2. [Zadania ministra]
Minister
właściwy do spraw informatyzacji zapewnia funkcjonowanie
krajowej infrastruktury zaufania, która obejmuje:
1)
rejestr dostawców usług zaufania, zwany dalej
"rejestrem";
2)
zaufaną listę;
3)
narodowe centrum certyfikacji.
Art.
3. [Rejestr dostawców usług zaufania]
1.
Rejestr jest prowadzony w postaci elektronicznej.
2.
Rejestr jest jawny. Każdy ma prawo dostępu do danych
zawartych w rejestrze.
3.
Do rejestru wpisuje się dostawców usług zaufania,
którzy mają siedzibę lub oddział na terytorium
Rzeczypospolitej Polskiej, oraz usługi zaufania świadczone
przez tych dostawców.
4.
Do rejestru wpisuje się:
1)
imię i nazwisko lub firmę (nazwę) dostawcy usług
zaufania;
2)
adres siedziby i miejsca wykonywania działalności;
3)
numer w Krajowym Rejestrze Sądowym - w przypadku dostawców
usług zaufania podlegających wpisowi do tego rejestru;
4)
numer identyfikacji podatkowej;
5)
nazwę polityki świadczenia usług;
6)
rodzaj świadczonych usług zaufania;
7)
datę rozpoczęcia świadczenia usługi zaufania;
8)
datę zakończenia świadczenia usługi zaufania;
9)
informację o wystawionych certyfikatach, o których mowa w
art. 10 ust. 1 pkt 1;
10)
nazwę i adres zakładu ubezpieczeń, z którym
dostawca usług zaufania zawarł umowę ubezpieczenia,
okres, na jaki umowa ta została zawarta, oraz sumę
ubezpieczenia;
11)
informacje o zamiarze zaprzestania prowadzenia działalności
w zakresie świadczenia usług zaufania lub zamiarze
ograniczenia zakresu świadczonych usług zaufania;
12)
informacje o otwarciu likwidacji dostawcy usług zaufania oraz
datę jego likwidacji;
13)
informacje o ogłoszeniu upadłości dostawcy usług
zaufania lub oddaleniu wniosku o ogłoszenie upadłości
z przyczyn wskazanych w art.
13
ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe (Dz.
U. z 2017 r. poz. 2344 i 2491 oraz z 2018 r. poz. 398, 685, 1544 i
1629) oraz datę zakończenia postępowania
upadłościowego;
14)
datę wykreślenia z rejestru dostawcy usług zaufania.
Art.
4. [Wpis do rejestru]
1.
Wpis do rejestru:
1)
dostawcy usług zaufania, który zamierza świadczyć
kwalifikowane usługi zaufania, lub
2)
kwalifikowanej usługi zaufania
-
następuje na wniosek dostawcy usług zaufania.
2.
Wniosek o wpis, o którym mowa w ust. 1, zawiera dane i
informacje, o których mowa w art. 3 ust. 4 pkt 1-7.
3.
Minister właściwy do spraw informatyzacji udostępnia w
Biuletynie Informacji Publicznej formularz wniosku o wpis, o którym
mowa w ust. 1.
4.
Do wniosku o wpis, o którym mowa w ust. 1, dołącza
się, w postaci elektronicznej:
1)
raport z oceny zgodności, o którym mowa w art.
21
rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014
z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i
usług zaufania w odniesieniu do transakcji elektronicznych na
rynku wewnętrznym oraz uchylającego dyrektywę
1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, str. 73), zwanego dalej
"rozporządzeniem 910/2014", wydany przez jednostkę
oceniającą zgodność;
2)
politykę świadczenia usług objętych wnioskiem,
zgodnie z którą mają być świadczone usługi
zaufania;
3)
plan zakończenia działalności, o którym mowa w
art.
24 ust. 2 lit. i
rozporządzenia 910/2014;
4)
dane niezbędne do wystawienia certyfikatu, o którym mowa
w art. 10 ust. 1 pkt 1.
5.
Do wniosku o wpis, o którym mowa w ust. 1, można dołączyć
kopie dokumentów, o których mowa w ust. 4 pkt 1-3.
6.
Minister właściwy do spraw informatyzacji, po rozpatrzeniu
wniosku, o którym mowa w ust. 1, wydaje decyzję o wpisie:
1)
dostawcy usług zaufania i świadczonych przez niego usług
zaufania do rejestru, jeżeli spełniają wymagania
określone w przepisach o usługach zaufania;
2)
kwalifikowanej usługi zaufania do rejestru, w przypadku gdy
usługa spełnia wymagania określone w przepisach o
usługach zaufania.
7.
Decyzja o wpisie, o której mowa w ust. 6, zawiera informacje
podlegające wpisowi do rejestru.
Art.
5. [Skutki wydania decyzji o wpisie do rejestru]
1.
Decyzja, o której mowa w art. 4 ust. 6, jest podstawą do
wydania certyfikatu, o którym mowa w art. 10 ust. 1 pkt 1,
oraz dokonania wpisu na zaufaną listę i oznacza nadanie
statusu kwalifikowanego dostawcy usług zaufania lub świadczonej
przez niego usłudze.
2.
Minister właściwy do spraw informatyzacji prowadzi zaufaną
listę.
Art.
6. [Wpis do rejestru w przypadku niekwalifikowanego dostawcy
lub niekwalifikowanej usługi]
1.
Wpis do rejestru:
1)
niekwalifikowanego dostawcy usług zaufania lub
2)
niekwalifikowanej usługi zaufania
-
następuje na podstawie zgłoszenia przesłanego w
postaci elektronicznej przez dostawcę usług zaufania.
2.
Niekwalifikowany dostawca usług zaufania w zgłoszeniu, o
którym mowa w ust. 1, zgłasza co najmniej informacje, o
których mowa w art. 3 ust. 4 pkt 1-6.
Art.
7. [Obowiązki informacyjne dostawcy usług zaufania
wobec ministra]
Dostawca
usług zaufania wpisany do rejestru jest obowiązany
informować ministra właściwego do spraw informatyzacji
o:
1)
każdej zmianie danych wpisanych do rejestru - w terminie 14 dni
od zmiany tych danych;
2)
zamiarze zaprzestania świadczenia kwalifikowanych usług
zaufania, otwarciu jego likwidacji, ogłoszeniu jego upadłości
lub oddaleniu wniosku o ogłoszenie upadłości z
przyczyn wskazanych w art.
13
ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe -
niezwłocznie.
Art.
8. [Wykreślenie z rejestru dostawcy usług zaufania
lub usługi zaufania]
1.
Minister właściwy do spraw informatyzacji wykreśla
kwalifikowanego dostawcę usług zaufania lub świadczoną
przez niego kwalifikowaną usługę zaufania z rejestru w
drodze decyzji.
2.
Decyzja o wykreśleniu z rejestru kwalifikowanego dostawcy usług
zaufania oznacza odebranie statusu kwalifikowanego temu dostawcy.
3.
Decyzja o wykreśleniu z rejestru kwalifikowanej usługi
zaufania oznacza odebranie tej usłudze statusu kwalifikowanego.
4.
Minister właściwy do spraw informatyzacji wydaje decyzję
o wykreśleniu z rejestru kwalifikowanego dostawcy usług
zaufania lub świadczonej przez niego kwalifikowanej usługi
zaufania w przypadku:
1)
złożenia przez tego dostawcę wniosku o wykreślenie
z rejestru;
2)
wykorzystywania certyfikatów, o których mowa w art. 10
ust. 1 pkt 1, w sposób wykraczający poza zakres ich
stosowania;
3)
o którym mowa w art.
20 ust. 3
rozporządzenia 910/2014;
4)
zaprzestania działalności przez kwalifikowanego dostawcę
usług zaufania.
5.
Decyzja o wykreśleniu, o której mowa w ust. 1, jest
podstawą wykreślenia dostawcy usług zaufania z
zaufanej listy oraz może być podstawą do unieważnienia
certyfikatów, o których mowa w art. 10 ust. 1 pkt 1.
6.
Minister właściwy do spraw informatyzacji wykreśla
niekwalifikowanego dostawcę usług zaufania z rejestru w
przypadku ustalenia, że zaprzestał on świadczenia
usług zaufania.
Art.
9. [Natychmiastowa wykonalność decyzji o wykreśleniu
z rejestru]
1.
Decyzja o wykreśleniu kwalifikowanego dostawcy usług
zaufania z rejestru oraz decyzja o wykreśleniu wpisu
kwalifikowanej usługi zaufania z rejestru podlega
natychmiastowemu wykonaniu. Przepisu art.
61 § 2 pkt 1
ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed
sądami administracyjnymi (Dz. U. z 2018 r. poz. 1302, 1467, 1544
i 1629) nie stosuje się.
2.
W przypadku wykreślenia dostawcy usług zaufania z rejestru
w rejestrze pozostawia się informacje o dostawcy i świadczonych
przez niego usługach.
Art.
10. [Zadania narodowego centrum certyfikacji]
1.
Narodowe centrum certyfikacji:
1)
tworzy i wydaje kwalifikowanym dostawcom usług zaufania
certyfikaty służące do weryfikacji zaawansowanych
podpisów elektronicznych lub pieczęci elektronicznych, o
których mowa w załączniku
I
lit. g, załączniku
III
lit. g i załączniku
IV
lit. h do rozporządzenia 910/2014, oraz certyfikatów
służących do weryfikacji innych usług zaufania
świadczonych przez kwalifikowanych dostawców, zwanych
dalej "certyfikatami dostawcy usług zaufania";
2)
publikuje certyfikaty, o których mowa w pkt 1;
3)
publikuje listy unieważnionych certyfikatów, o których
mowa w pkt 1;
4)
tworzy dane do opatrywania pieczęcią elektroniczną
certyfikatów, o których mowa w pkt 1, oraz certyfikatów
do weryfikacji tych pieczęci, zwanych dalej "certyfikatami
narodowego centrum certyfikacji".
2.
Narodowe centrum certyfikacji realizuje zadania, o których
mowa w ust. 1, zgodnie z polityką certyfikacji.
Art.
11. [Upoważnienie NBP do realizacji zadań narodowego
centrum certyfikacji, prowadzenia rejestru i zaufanej listy]
1.
Na wniosek Prezesa Narodowego Banku Polskiego, minister właściwy
do spraw informatyzacji może upoważnić Narodowy Bank
Polski do realizacji zadań, o których mowa w art. 10, jak
również do prowadzenia rejestru i zaufanej listy.
2.
W przypadku upoważnienia do realizacji zadań, o których
mowa w art. 10, polityka certyfikacji narodowego centrum certyfikacji
podlega uzgodnieniu z ministrem właściwym do spraw
informatyzacji.
3.
W przypadku upoważnienia do realizacji zadań, o których
mowa w art. 10, minister właściwy do spraw informatyzacji
przekazuje do Narodowego Banku Polskiego kopie dokumentów
stanowiących podstawę wpisu do rejestru lub wykreślenia
z rejestru albo zmian wpisów w rejestrze.
Art.
12. [Delegacja ustawowa]
Minister
właściwy do spraw informatyzacji określi, w drodze
rozporządzenia:
1)
wymagania organizacyjno-techniczne krajowej infrastruktury zaufania,
2)
szczegółową treść wpisów w
rejestrze oraz sposób ich dokonywania,
3)
tryb wydawania i unieważniania certyfikatów dostawcy
usług zaufania oraz certyfikatów narodowego centrum
certyfikacji,
4)
wymagania dla polityki certyfikacji narodowego centrum certyfikacji,
5)
wymagania bezpieczeństwa krajowej infrastruktury zaufania
-
uwzględniając konieczność zapewnienia ochrony
tajemnicy przedsiębiorstwa i interesów odbiorców
usług zaufania oraz interoperacyjność systemów
stosowanych przez dostawców usług zaufania oraz krajową
infrastrukturę zaufania.
Rozdział
3
Działalność
dostawców usług zaufania
Art.
13. [Obowiązek zawarcia umowy ubezpieczenia OC]
1.
Kwalifikowany dostawca usług zaufania jest obowiązany
zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej
za szkody wyrządzone odbiorcom usług zaufania powstałe
w okresie świadczenia usług zaufania, w terminie 30 dni od
dnia dokonania wpisu kwalifikowanej usługi zaufania do rejestru,
nie później niż jeden dzień przed dniem
rozpoczęcia świadczenia tej usługi.
2.
Kwalifikowany dostawca usług zaufania jest obowiązany, w
terminie 30 dni od dnia doręczenia decyzji o wpisie do rejestru,
przekazać ministrowi właściwemu do spraw
informatyzacji, drogą elektroniczną, kopię umowy, o
której mowa w ust. 1.
3.
Kwalifikowany dostawca usług zaufania jest obowiązany, w
terminie 7 dni od dnia upływu okresu ubezpieczenia, przekazać
ministrowi właściwemu do spraw informatyzacji, drogą
elektroniczną, kopię kolejnej umowy ubezpieczenia.
4.
Minister właściwy do spraw instytucji finansowych w
porozumieniu z ministrem właściwym do spraw informatyzacji,
po zasięgnięciu opinii Polskiej Izby Ubezpieczeń,
określi, w drodze rozporządzenia, szczegółowy
zakres ubezpieczenia, o którym mowa w ust. 1, oraz minimalną
sumę gwarancyjną, uwzględniając specyfikę
działalności prowadzonej przez kwalifikowanych dostawców
usług zaufania.
Art.
14. [Obowiązki przy wydawaniu kwalifikowanego certyfikatu
podpisu elektronicznego]
Kwalifikowany
dostawca usług zaufania, wydając kwalifikowany certyfikat
podpisu elektronicznego, jest obowiązany:
1)
uzyskać od osoby ubiegającej się o certyfikat
potwierdzenie przyporządkowania do niej danych służących
do weryfikacji podpisu elektronicznego, które są zawarte
w wydanym certyfikacie;
2)
poinformować osobę ubiegającą się o
certyfikat o procedurze zgłaszania żądań
unieważnienia kwalifikowanego certyfikatu.
Art.
15. [Obowiązek zachowania tajemnicy]
1.
Informacje i dane związane ze świadczeniem usług
zaufania, których ujawnienie mogłoby narazić na
szkodę dostawcę usług zaufania lub odbiorcę usług
zaufania, w szczególności dane do składania podpisów
elektronicznych lub pieczęci elektronicznych, są objęte
tajemnicą.
2.
Tajemnicą, o której mowa w ust. 1, nie są objęte
informacje o naruszeniach przepisów o usługach zaufania
przez dostawcę usług zaufania oraz informacje o
naruszeniach bezpieczeństwa i utracie integralności, o
których mowa w art.
19 ust. 2
rozporządzenia 910/2014.
3.
Do zachowania tajemnicy, o której mowa w ust. 1, są
obowiązane:
1)
osoby pozostające z dostawcą usług zaufania w stosunku
pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze;
2)
osoby pozostające z podmiotami świadczącymi usługi
na rzecz dostawcy usług zaufania w stosunku pracy, zlecenia lub
innym stosunku prawnym o podobnym charakterze.
4.
Osoby, o których mowa w ust. 3, mają obowiązek
udzielenia informacji i danych, o których mowa w ust. 1, z
wyjątkiem danych do składania podpisów
elektronicznych lub pieczęci elektronicznych, wyłącznie
na żądanie:
1)
sądu lub prokuratora - w związku z toczącym się
postępowaniem;
2)
ministra właściwego do spraw informatyzacji - w związku
ze sprawowaniem przez niego nadzoru nad działalnością
dostawców usług zaufania;
3)
innych upoważnionych organów - w związku z
prowadzonym przez te organy postępowaniem.
5.
Obowiązek zachowania tajemnicy, o której mowa w ust. 1,
trwa przez 10 lat od dnia ustania stosunku prawnego, o którym
mowa w ust. 3.
6.
Obowiązek zachowania w tajemnicy danych do składania
podpisu elektronicznego lub pieczęci elektronicznej jest
nieograniczony w czasie.
Art.
16. [Zaawansowany podpis elektroniczny i zaawansowana pieczęć
elektroniczna]
Zaawansowany
podpis elektroniczny lub zaawansowana pieczęć elektroniczna
weryfikowane za pomocą certyfikatu dostawcy usług zaufania
służą do opatrywania podpisem elektronicznym lub
pieczęcią elektroniczną:
1)
certyfikatów kwalifikowanych, o których mowa w
załączniku
I
lit. g, załączniku
III
lit. g oraz załączniku
IV
lit. h do rozporządzenia 910/2014;
2)
informacji o statusie certyfikatów kwalifikowanych, w tym
listy zawieszonych lub unieważnionych certyfikatów;
3)
innych certyfikatów związanych ze świadczeniem
kwalifikowanych usług zaufania.
Art.
17. [Przechowywanie dokumentów i danych przez
kwalifikowanego dostawcę usług zaufania]
1.
Kwalifikowany dostawca usług zaufania przechowuje następujące
dokumenty i dane związane ze świadczeniem usług
zaufania:
1)
potwierdzenie, o którym mowa w art. 14 pkt 1,
2)
listy zawieszonych i unieważnionych kwalifikowanych
certyfikatów,
3)
politykę świadczenia usługi,
4)
żądania unieważnienia kwalifikowanego certyfikatu,
5)
inne dokumenty, o ile polityka świadczenia usługi wymagała
ich utworzenia i przechowywania
-
w sposób umożliwiający odczytanie oraz zapewniający
bezpieczeństwo przechowywanych dokumentów i danych.
2.
Kwalifikowany dostawca usług zaufania jest obowiązany
przechowywać dokumenty i dane, o których mowa w ust. 1, z
wyłączeniem danych służących do składania
podpisu elektronicznego lub pieczęci elektronicznej, przez 20
lat od dnia ich wytworzenia.
Art.
18. [Ważność certyfikatu jako warunek wywołania
skutków prawnych przez podpis elektroniczny lub pieczęć
elektroniczną]
1.
Podpis elektroniczny lub pieczęć elektroniczna weryfikowane
za pomocą certyfikatu wywołują skutki prawne, jeżeli
zostały złożone w okresie ważności tego
certyfikatu.
2.
Podpis elektroniczny lub pieczęć elektroniczna złożone
w okresie zawieszenia certyfikatu wykorzystywanego do jego
weryfikacji nie wywołują skutków prawnych.
Informacja o zawieszeniu certyfikatu jest udostępniana w ramach
usługi informowania o statusie certyfikatu.
3.
Po uchyleniu zawieszenia certyfikatu, skutek prawny podpisu
elektronicznego lub pieczęci elektronicznej weryfikowanych tym
certyfikatem złożonych w trakcie zawieszenia następuje
z chwilą uchylenia tego zawieszenia.
Art.
19. [Polityka świadczenia usługi; plan zakończenia
działalności]
1.
Dostawca usług zaufania jest obowiązany posiadać
politykę świadczenia usługi.
2.
Polityka świadczenia usługi stanowi nazwany zestaw reguł,
w szczególności takich jak polityka certyfikacji,
określający zasady świadczenia usługi,
odpowiedzialność stron, zasady postępowania z danymi i
mający zastosowanie do określonego kręgu podmiotów
lub zastosowań, o wspólnych dla tego kręgu
wymaganiach bezpieczeństwa, opracowywany na podstawie norm lub
standardów określających wymagania dla polityk
świadczenia usług.
3.
Kwalifikowany dostawca usług zaufania jest obowiązany
posiadać plan zakończenia działalności oraz
zastosować ten plan do zakończenia działalności.
4.
Kwalifikowany dostawca usług zaufania zapewnia możliwość
całodobowego zgłaszania żądań unieważnienia
kwalifikowanych certyfikatów.
Art.
20. [Przekazanie ministrowi dokumentów i danych po
utracie statusu kwalifikowanego dostawcy usług zaufania;
obowiązek zniszczenia danych]
1.
W przypadku gdy kwalifikowany dostawca usług zaufania utracił
status kwalifikowany i żaden inny kwalifikowany dostawca usług
zaufania nie przejął jego działalności w zakresie
świadczenia usług zaufania, przekazuje on dokumenty i dane,
o których mowa w art. 17 ust. 1, ministrowi właściwemu
do spraw informatyzacji w terminie 30 dni od dnia utraty statusu
kwalifikowanego.
2.
Minister właściwy do spraw informatyzacji przechowuje
dokumenty i dane, o których mowa w art. 17 ust. 1, do końca
okresu, o którym mowa w art. 17 ust. 2.
3.
Kwalifikowany dostawca usług zaufania niszczy niezwłocznie
dane do składania przez niego zaawansowanego podpisu
elektronicznego lub zaawansowanej pieczęci elektronicznej
weryfikowanych za pomocą certyfikatu dostawcy usług
zaufania, w przypadku gdy polityka świadczenia usługi nie
przewiduje dalszego wykorzystania tych danych lub w przypadku
unieważnienia certyfikatu dostawcy usług zaufania
powiązanego z tymi danymi.
4.
Kwalifikowany dostawca usług zaufania z czynności, o
których mowa w ust. 3, sporządza protokół
zniszczenia danych i przekazuje go ministrowi właściwemu do
spraw informatyzacji w terminie 7 dni od wykonania tych czynności.
Art.
21. [Ograniczenie odpowiedzialności dostawcy usług
zaufania]
Dostawca
usług zaufania nie odpowiada za szkody wynikające z
nieprzestrzegania przez odbiorcę usług zaufania zasad
określonych w polityce świadczenia usługi, w
szczególności za szkody wynikające z:
1)
użycia certyfikatu niezgodnie z zakresem określonym w
polityce świadczenia usługi wskazanej w certyfikacie, w tym
za szkody wynikające z przekroczenia najwyższej wartości
granicznej transakcji, jeżeli wartość ta została
wskazana w certyfikacie;
2)
nieprawdziwości danych zawartych w certyfikacie, podanych przez
odbiorcę usług zaufania używającego tego
certyfikatu, chyba że szkoda była wynikiem niedołożenia
należytej staranności przez dostawcę usług
zaufania;
3)
przechowywania lub używania przez odbiorców usług
zaufania danych do składania podpisu elektronicznego, pieczęci
elektronicznej lub uwierzytelniania witryn internetowych w sposób
niezapewniający ich ochrony przed nieuprawnionym wykorzystaniem.
Rozdział
4
Krajowy
schemat identyfikacji elektronicznej
Art.
21a. [Elementy krajowego schematu identyfikacji elektronicznej;
zasady uwierzytelniania użytkownika systemu teleinformatycznego
w celu realizacji usługi online]
1.
Krajowy schemat identyfikacji elektronicznej obejmuje:
1)
węzeł krajowy identyfikacji elektronicznej, zwany dalej
"węzłem krajowym";
2)
przyłączone do węzła krajowego:
a)
systemy identyfikacji elektronicznej, w których wydawane są
środki identyfikacji elektronicznej,
b)
systemy teleinformatyczne, w których udostępniane są
usługi online;
3)
węzeł wykorzystywany w procesie transgranicznego
uwierzytelniania osób, o którym mowa w przepisach
wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014,
zwany dalej "węzłem transgranicznym".
2.
Węzeł krajowy jest rozwiązaniem
organizacyjno-technicznym umożliwiającym uwierzytelnianie
użytkownika systemu teleinformatycznego, korzystającego z
usługi online, z wykorzystaniem środka identyfikacji
elektronicznej wydanego w systemie identyfikacji elektronicznej
przyłączonym do tego węzła bezpośrednio albo
za pośrednictwem węzła transgranicznego.
3.
Wykorzystywanie środka identyfikacji elektronicznej do
uwierzytelnienia użytkownika systemu teleinformatycznego w celu
realizacji usługi online świadczonej przez podmiot, o
którym mowa w art.
2
i art.
19c ust. 1
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne (Dz. U. z 2017
r. poz. 570 oraz z 2018 r. poz. 1000, 1544 i 1669), lub podmiot
sektora publicznego, o którym mowa w art.
3 pkt 7
rozporządzenia 910/2014, jest nieodpłatne.
4.
Uwierzytelnienie użytkownika systemu teleinformatycznego w celu
realizacji usługi online wymaga użycia środka
identyfikacji elektronicznej na poziomie bezpieczeństwa
określonym przez podmiot świadczący tę usługę.
5.
Funkcjonowanie węzła krajowego zapewnia minister właściwy
do spraw informatyzacji.
6.
Minister właściwy do spraw informatyzacji przetwarza dane
osobowe osób, którym wydano środki identyfikacji
elektronicznej, obejmujące:
1)
imię (imiona),
2)
nazwisko,
3)
nazwisko rodowe,
4)
numer PESEL lub niepowtarzalny identyfikator środka
identyfikacji elektronicznej, o którym mowa w przepisach
wydanych na podstawie art.
12 ust. 8
rozporządzenia 910/2014,
5)
datę urodzenia,
6)
miejsce urodzenia,
7)
płeć,
8)
adres zamieszkania
-
w celu uwierzytelnienia z wykorzystaniem węzła krajowego.
Art.
21b. [Przyłączenie systemu identyfikacji
elektronicznej do węzła krajowego]
1.
Minister właściwy do spraw informatyzacji wydaje decyzję
o przyłączeniu systemu identyfikacji elektronicznej do
węzła krajowego podmiotowi odpowiedzialnemu za ten system
posiadającemu siedzibę na terenie jednego z państw
członkowskich Unii Europejskiej po:
1)
potwierdzeniu spełnienia przez ten system wymagań dla
zadeklarowanych poziomów bezpieczeństwa środków
identyfikacji elektronicznej wydawanych w tym systemie, określonych
w przepisach wydanych na podstawie art.
8 ust. 3
rozporządzenia 910/2014;
2)
przeprowadzeniu testów integracyjnych zakończonych
wynikiem pozytywnym, potwierdzających interoperacyjność
systemów identyfikacji elektronicznej, z uwzględnieniem
przepisów wydanych na podstawie art.
12 ust. 8
rozporządzenia 910/2014;
3)
zapewnieniu przez podmiot odpowiedzialny za ten system opracowania,
ustanawiania, wdrażania, eksploatowania, monitorowania,
przeglądania, utrzymywania i doskonalenia systemu zarządzania
bezpieczeństwem informacji zgodnie z wymogami określonymi w
przepisach wydanych na podstawie art.
18
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne;
4)
przedstawieniu przez podmiot odpowiedzialny za ten system dokumentu
zawierającego przyrzeczenie zakładu ubezpieczeń
zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za
szkody wyrządzone w związku z wykorzystywaniem środków
identyfikacji elektronicznej wydanych w systemie identyfikacji
elektronicznej wnioskodawcy;
5)
przedstawieniu przez podmiot odpowiedzialny za ten system
oświadczenia o działaniu tego podmiotu zgodnie z przepisami
o ochronie danych osobowych;
6)
uzyskaniu pozytywnej opinii Szefa Agencji Bezpieczeństwa
Wewnętrznego w przypadku, o którym mowa w art. 21g ust.
6.
2.
Przyłączenie systemu identyfikacji elektronicznej do węzła
krajowego następuje pod warunkiem dostarczenia ministrowi
właściwemu do spraw informatyzacji przez podmiot
odpowiedzialny za system identyfikacji elektronicznej, w terminie
wskazanym przez tego ministra, nie krótszym niż 30 dni,
kopii umowy ubezpieczenia odpowiedzialności cywilnej za szkody
wyrządzone w związku z wykorzystywaniem środków
identyfikacji elektronicznej wydanych w systemie identyfikacji
elektronicznej wnioskodawcy.
3.
Po spełnieniu warunku, o którym mowa w ust. 2,
przyłączenie systemu identyfikacji elektronicznej do węzła
krajowego następuje bez zbędnej zwłoki.
Art.
21c. [Ubezpieczenie odpowiedzialności cywilnej za szkody
wyrządzone w związku z wykorzystywaniem środków
identyfikacji elektronicznej wydanych w systemie identyfikacji
elektronicznej]
1.
Ubezpieczeniem, o którym mowa w art. 21b ust. 2, jest objęta
odpowiedzialność cywilna podmiotu odpowiedzialnego za
system identyfikacji elektronicznej za szkodę wynikającą
z działania lub zaniechania, wyrządzoną w związku
z wykorzystaniem środka identyfikacji elektronicznej wydanego w
systemie identyfikacji elektronicznej, w usłudze online
świadczonej przez podmiot, o którym mowa w art.
2
i art.
19c ust. 1
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne, lub podmiot
sektora publicznego, o którym mowa w art.
3 pkt 7
rozporządzenia 910/2014, spowodowaną przez awarię,
przerwę lub błąd systemu lub przez zaciągnięcie
zobowiązania w wyniku nieuprawnionego wykorzystania tego środka
identyfikacji elektronicznej.
2.
Ubezpieczenie, o którym mowa w art. 21b ust. 2, nie obejmuje
szkód:
1)
wyrządzonych przez ubezpieczonego po dniu wydania ostatecznej
decyzji o odłączeniu systemu identyfikacji elektronicznej
od węzła krajowego, chyba że szkoda jest następstwem
działania lub zaniechania, które miało miejsce w
okresie przyłączenia do węzła krajowego,
2)
polegających na zapłacie kar umownych,
3)
powstałych wskutek siły wyższej
-
chyba że w umowie ubezpieczenia zakres ochrony ubezpieczeniowej
zostanie rozszerzony również o szkody wynikające ze
zdarzeń wskazanych w pkt 1-3.
3.
Ubezpieczenie, o którym mowa w art. 21b ust. 2, obejmuje
wszystkie szkody w zakresie, o którym mowa w ust. 1 i 2, bez
możliwości umownego ograniczenia odpowiedzialności
przez zakład ubezpieczeń.
Art.
21d. [Delegacja ustawowa - minimalna suma gwarancyjna
ubezpieczenia, wysokość kwot odpowiedzialności
podmiotu odpowiedzialnego za system identyfikacji elektronicznej za
szkody]
1.
Minister właściwy do spraw instytucji finansowych w
porozumieniu z ministrem właściwym do spraw informatyzacji,
po zasięgnięciu opinii Polskiej Izby Ubezpieczeń,
określi, w drodze rozporządzenia, minimalną sumę
gwarancyjną ubezpieczenia, o którym mowa w art. 21b ust.
2, za szkody wynikające z działania lub zaniechania,
wyrządzone w związku z wykorzystaniem środków
identyfikacji elektronicznej wydanych w systemie identyfikacji
elektronicznej, w usługach online świadczonych przez
podmioty, o których mowa w art.
2
lub art.
19c ust. 1
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne, lub podmioty
sektora publicznego, o których mowa w art.
3 pkt 7
rozporządzenia 910/2014, spowodowane przez awarie, przerwy lub
błędy systemu lub przez zaciągnięcie zobowiązań
w wyniku nieuprawnionego wykorzystania środka identyfikacji
elektronicznej, uwzględniając specyfikę działalności
prowadzonej przez podmioty odpowiedzialne za systemy identyfikacji
elektronicznej.
2.
Minister właściwy do spraw instytucji finansowych w
porozumieniu z ministrem właściwym do spraw informatyzacji
określi, w drodze rozporządzenia, wysokość kwot
odpowiedzialności podmiotu odpowiedzialnego za system
identyfikacji elektronicznej za szkody wynikające z działania
lub zaniechania, wyrządzone w związku z wykorzystaniem
środków identyfikacji elektronicznej wydanych w systemie
identyfikacji elektronicznej, w usługach online świadczonych
przez podmioty, o których mowa w art.
2
lub art.
19c ust. 1
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne, lub podmioty
sektora publicznego, o których mowa w art.
3 pkt 7
rozporządzenia 910/2014, spowodowane przez awarie, przerwy lub
błędy systemu lub za zobowiązanie zaciągnięte
w wyniku nieuprawnionego wykorzystania środka identyfikacji
elektronicznej, w zależności od poziomu bezpieczeństwa
środków identyfikacji elektronicznej wydawanych w tym
systemie.
Art.
21e. [Obowiązki osoby, której wydano środek
identyfikacji elektronicznej w systemie identyfikacji elektronicznej
przyłączonym do węzła krajowego]
1.
Osoba, której wydano środek identyfikacji elektronicznej
w systemie identyfikacji elektronicznej przyłączonym do
węzła krajowego, jest obowiązana:
1)
korzystać ze środka identyfikacji elektronicznej zgodnie z
warunkami określonymi przez podmiot odpowiedzialny za system
identyfikacji elektronicznej, w którym został wydany ten
środek;
2)
zgłaszać niezwłocznie podmiotowi odpowiedzialnemu za
system identyfikacji elektronicznej, w którym został
wydany ten środek, utratę, kradzież, przywłaszczenie
środka identyfikacji elektronicznej lub utratę wyłącznej
kontroli nad danymi umożliwiającymi identyfikację przy
użyciu tego środka albo stwierdzenie nieuprawnionego użycia
środka identyfikacji elektronicznej.
2.
W celu spełnienia obowiązku, o którym mowa w ust. 1
pkt 1, osoba, której wydano środek identyfikacji
elektronicznej w systemie identyfikacji elektronicznej przyłączonym
do węzła krajowego, z chwilą wydania tego środka
podejmuje niezbędne działania służące
zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego
środka lub danych umożliwiających identyfikację
przy użyciu tego środka.
Art.
21f. [Wyłączenie odpowiedzialności po zgłoszeniu
utraty, kradzieży, przywłaszczenia środka
identyfikacji elektronicznej lub utraty kontroli nad danymi
umożliwiającymi identyfikację]
W
przypadku zgłoszenia, o którym mowa w art. 21e ust. 1 pkt
2, osoba, której wydano środek identyfikacji
elektronicznej w systemie identyfikacji elektronicznej przyłączonym
do węzła krajowego, po dokonaniu zgłoszenia nie ponosi
odpowiedzialności za zobowiązanie zaciągnięte z
wykorzystaniem środka identyfikacji elektronicznej.
Art.
21g. [Wniosek o przyłączenie systemu identyfikacji
elektronicznej do węzła krajowego]
1.
Przyłączenie systemu identyfikacji elektronicznej do węzła
krajowego następuje na wniosek podmiotu odpowiedzialnego za
system identyfikacji elektronicznej.
2.
Wniosek zawiera:
1)
imię i nazwisko lub firmę (nazwę), adres siedziby i
miejsca wykonywania działalności, numer w Krajowym
Rejestrze Sądowym, a w przypadku gdy podmiot nie posiada numeru
w Krajowym Rejestrze Sądowym, wskazanie organu, któremu
działalność podmiotu została zgłoszona, lub
właściwego rejestru oraz podanie numeru identyfikacyjnego,
jeżeli został on nadany, podmiotu odpowiedzialnego za
system identyfikacji elektronicznej;
2)
imię i nazwisko lub firmę (nazwę), adres siedziby i
miejsca wykonywania działalności, numer w Krajowym
Rejestrze Sądowym, a w przypadku gdy podmiot nie posiada numeru
w Krajowym Rejestrze Sądowym, wskazanie organu, któremu
działalność podmiotu została zgłoszona, lub
właściwego rejestru oraz podanie numeru identyfikacyjnego,
jeżeli został on nadany, każdego podmiotu:
a)
potwierdzającego tożsamość oraz weryfikującego
dane identyfikujące osoby ubiegającej się o wydanie
środka identyfikacji elektronicznej,
b)
wydającego środki identyfikacji elektronicznej,
c)
zapewniającego funkcjonalność pozwalającą na
uwierzytelnienie osób, którym wydano środek
identyfikacji elektronicznej
-
w przypadku gdy czynności tych nie wykonuje podmiot
odpowiedzialny za system identyfikacji elektronicznej;
3)
nazwę i szczegółowy opis systemu identyfikacji
elektronicznej, w tym opis środków identyfikacji
elektronicznej wydawanych w tym systemie z określeniem ich
poziomu bezpieczeństwa, o którym mowa w art. 8 ust. 2
rozporządzenia 910/2014, oraz informacje techniczne i
organizacyjne dotyczące wykorzystania tych środków.
3.
Do wniosku dołącza się:
1)
dokument potwierdzający spełnianie wymagań dla
zadeklarowanych poziomów bezpieczeństwa środków
identyfikacji elektronicznej, określonych w przepisach wydanych
na podstawie art.
8 ust. 3
rozporządzenia 910/2014, w szczególności:
a)
pozytywny wynik audytu systemu zarządzania bezpieczeństwem
informacji obejmującego swym zakresem system identyfikacji
elektronicznej, którego dotyczy wniosek, albo
b)
pozytywny wynik audytu, o którym mowa w przepisach wydanych na
podstawie art.
8 ust. 3
rozporządzenia 910/2014
-
adekwatnie do poziomu bezpieczeństwa środków
identyfikacji elektronicznej wydawanych w tym systemie;
2)
dokument zawierający przyrzeczenie zakładu ubezpieczeń
zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za
szkody wyrządzone w związku z wykorzystywaniem środków
identyfikacji elektronicznej wydanych w systemie identyfikacji
elektronicznej wnioskodawcy;
3)
oświadczenie o zapewnieniu stosowania polityki bezpieczeństwa,
o której mowa w art. 39b ust. 1 pkt 3;
4)
oświadczenie o działaniu podmiotu zgodnie z przepisami o
ochronie danych osobowych.
4.
Wniosek oraz dokumenty, o których mowa w ust. 3, składa
się w postaci elektronicznej opatrzone kwalifikowanym podpisem
elektronicznym.
5.
Minister właściwy do spraw informatyzacji informuje Szefa
Agencji Bezpieczeństwa Wewnętrznego o wpłynięciu
wniosku, o którym mowa w ust. 1, w celu umożliwienia
Szefowi Agencji Bezpieczeństwa Wewnętrznego dokonania
oceny, czy podmiot odpowiedzialny za system identyfikacji
elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2,
znajdują się pod kontrolą korporacyjną, w tym
faktycznym wpływem innego państwa, jego podmiotu lub
obywatela tego państwa, a w przypadku znajdowania się pod
taką kontrolą, w celu ustalenia, czy może zagrażać
bezpieczeństwu państwa, w tym bezpieczeństwu
ekonomicznemu państwa.
6.
Szef Agencji Bezpieczeństwa Wewnętrznego może
przeprowadzić postępowanie w celu dokonania oceny, o której
mowa w ust. 5, o czym informuje ministra właściwego do
spraw informatyzacji w terminie 7 dni od dnia otrzymania informacji o
wpłynięciu wniosku.
7.
Kontrolą korporacyjną, o której mowa w ust. 5, są
wszelkie formy bezpośredniego lub pośredniego uzyskania
przez podmiot uprawnień, które osobno albo łącznie,
przy uwzględnieniu wszystkich okoliczności prawnych i
faktycznych, umożliwiają wywieranie decydującego
wpływu na podmiot odpowiedzialny za system identyfikacji
elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2, a w
szczególności w przypadku:
1)
dysponowania bezpośrednio lub pośrednio większością
głosów na zgromadzeniu wspólników albo na
walnym zgromadzeniu, także jako zastawnik albo użytkownik,
bądź w zarządzie innego podmiotu (podmiotu zależnego),
także na podstawie porozumień z innymi osobami;
2)
uprawnienia do powoływania lub odwoływania większości
członków zarządu lub rady nadzorczej innego podmiotu
(podmiotu zależnego), także na podstawie porozumień z
innymi osobami;
3)
gdy członkowie jego zarządu lub rady nadzorczej stanowią
więcej niż połowę członków zarządu
innego podmiotu (podmiotu zależnego);
4)
dysponowania bezpośrednio lub pośrednio większością
głosów w spółce osobowej zależnej albo
na walnym zgromadzeniu spółdzielni zależnej, także
na podstawie porozumień z innymi osobami;
5)
dysponowania prawem do całego albo do części mienia
innego podmiotu (podmiotu zależnego);
6)
umów przewidujących zarządzanie innym podmiotem
(podmiotem zależnym) lub przekazywanie zysku przez taki podmiot.
8.
W przypadku wszczęcia przez Szefa Agencji Bezpieczeństwa
Wewnętrznego postępowania w celu dokonania oceny, o której
mowa w ust. 5, minister właściwy do spraw informatyzacji
wzywa podmiot odpowiedzialny za system identyfikacji elektronicznej
do przekazania danych niezbędnych do przeprowadzenia
postępowania w stosunku do tego podmiotu lub podmiotu, o którym
mowa w ust. 2 pkt 2.
9.
Podmiot odpowiedzialny za system identyfikacji elektronicznej na
żądanie ministra właściwego do spraw
informatyzacji obowiązany jest przekazać dane i dokumenty
niezbędne do przeprowadzenia postępowania w celu dokonania
oceny, o której mowa w ust. 5.
10.
Agencja Bezpieczeństwa Wewnętrznego po przeprowadzeniu
postępowania w celu dokonania oceny, o której mowa w ust.
5, wydaje pozytywną opinię, jeżeli podmiot
odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o
którym mowa w ust. 2 pkt 2:
1)
nie znajduje się pod kontrolą korporacyjną innego
państwa, jego podmiotu lub obywatela tego państwa, albo
2)
znajduje się pod kontrolą korporacyjną innego państwa,
jego podmiotu lub obywatela tego państwa, ale kontrola ta nie
zagraża bezpieczeństwu państwa, w tym bezpieczeństwu
ekonomicznemu państwa.
11.
Szef Agencji Bezpieczeństwa Wewnętrznego wydaje negatywną
opinię w przypadku niespełnienia odpowiednio przez podmiot
odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o
którym mowa w ust. 2 pkt 2, warunków, o których
mowa w ust. 10.
12.
Opinia Szefa Agencji Bezpieczeństwa Wewnętrznego zawiera
oddzielnie stanowisko w stosunku do każdego z ocenianych
podmiotów.
13.
Rada Ministrów określi, w drodze rozporządzenia,
zakres danych i dokumentów niezbędnych do przeprowadzenia
postępowania w celu dokonania oceny, o której mowa w ust.
5, mając na uwadze potrzebę zapewnienia kompletności
danych i dokumentów niezbędnych do wydania opinii oraz
zapewnienie sprawności postępowania.
14.
Termin postępowania w sprawie przeprowadzenia oceny, o której
mowa w ust. 5, wynosi 30 dni od otrzymania danych i dokumentów
niezbędnych do przeprowadzenia postępowania i może
zostać wydłużony o kolejne 30 dni w przypadkach
szczególnie uzasadnionych. Okresu przeprowadzenia postępowania
nie wlicza się do terminów przewidzianych na wydanie
decyzji, o której mowa w art. 21b ust. 1.
Art.
21h. [Testy integracyjne]
Minister
właściwy do spraw informatyzacji po dokonaniu oceny wniosku
oraz dokumentów załączonych do wniosku wyznacza
termin przeprowadzenia testów integracyjnych, o których
mowa w art. 21b ust. 1 pkt 2, i przeprowadza testy zgodnie z
procedurą udostępnioną w Biuletynie Informacji
Publicznej na swojej stronie podmiotowej.
Art.
21i. [Informowanie o przyłączeniu systemu
identyfikacji elektronicznej do węzła krajowego oraz o
zmianie polityki bezpieczeństwa węzła krajowego]
Minister
właściwy do spraw informatyzacji informuje podmiot
odpowiedzialny za system identyfikacji elektronicznej na piśmie,
w postaci papierowej albo elektronicznej, o:
1)
przyłączeniu systemu identyfikacji elektronicznej do węzła
krajowego;
2)
każdej zmianie polityki bezpieczeństwa, o której
mowa w art. 39b ust. 1 pkt 3.
Art.
21j. [Odmowa przyłączenia systemu identyfikacji
elektronicznej do węzła krajowego]
W
przypadku niespełniania wymagań, o których mowa w
art. 21b ust. 1, minister właściwy do spraw informatyzacji
wydaje decyzję o odmowie przyłączenia systemu
identyfikacji elektronicznej do węzła krajowego.
Art.
21k. [Obowiązek podmiotu odpowiedzialnego za system
identyfikacji elektronicznej przyłączony do węzła
krajowego dostarczania określonych dokumentów ministrowi]
Podmiot
odpowiedzialny za system identyfikacji elektronicznej przyłączony
do węzła krajowego dostarcza ministrowi właściwemu
do spraw informatyzacji:
1)
dokumenty potwierdzające spełnianie aktualnych wymagań
dla wskazanych we wniosku poziomów bezpieczeństwa środków
identyfikacji elektronicznej, o których mowa w art. 21g ust. 3
pkt 1, w przypadku zmiany przepisów wydanych na podstawie art.
8 ust. 3
rozporządzenia 910/2014, w terminie 14 dni od dnia wejścia
w życie zmiany tych przepisów;
2)
kopię kolejnej umowy ubezpieczenia odpowiedzialności
cywilnej za szkody wyrządzone w związku z wykorzystywaniem
środków identyfikacji elektronicznej wydanych w systemie
identyfikacji elektronicznej wnioskodawcy, w terminie 14 dni od dnia
jej zawarcia.
Art.
21l. [Ponowny wniosek o przyłączenie systemu
identyfikacji elektronicznej do węzła krajowego]
1.
Ponowne złożenie wniosku, o którym mowa w art. 21g
ust. 1, wymagane jest w przypadku:
1)
zmiany poziomu bezpieczeństwa środka identyfikacji
elektronicznej, wydawanego w systemie identyfikacji elektronicznej
przyłączonym do węzła krajowego;
2)
uruchomienia w systemie identyfikacji elektronicznej przyłączonym
do węzła krajowego środka identyfikacji elektronicznej
nieobjętego zakresem wniosku, na podstawie którego
została wydana decyzja o przyłączeniu systemu
identyfikacji elektronicznej do węzła krajowego;
3)
wydania przez Szefa Agencji Bezpieczeństwa Wewnętrznego
negatywnej opinii w przypadku, o którym mowa w art. 21s ust.
3.
2.
Umożliwienie korzystania za pośrednictwem węzła
krajowego ze środków identyfikacji elektronicznej, o
których mowa w ust. 1, następuje po pozytywnym
rozpatrzeniu wniosku i przeprowadzeniu testów integracyjnych.
Art.
21m. [Przyłączenie systemu teleinformatycznego
obsługującego publiczny system identyfikacji elektronicznej
do węzła krajowego]
Do
węzła krajowego przyłącza się system
teleinformatyczny zapewniający obsługę publicznego
systemu identyfikacji elektronicznej, o którym mowa w art.
20aa pkt 1
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne.
Art.
21n. [Rejestr systemów identyfikacji elektronicznej
przyłączonych do węzła krajowego]
1.
Minister właściwy do spraw informatyzacji prowadzi rejestr
systemów identyfikacji elektronicznej przyłączonych
do węzła krajowego, zwany dalej "rejestrem systemów".
2.
Rejestr systemów jest jawny.
3.
Podstawą do wpisania systemu identyfikacji elektronicznej do
rejestru systemów jest decyzja, o której mowa w art.
21b ust. 1. Wpis jest czynnością materialno-techniczną.
4.
Do rejestru systemów wpisuje się:
1)
informacje zawarte we wniosku, o którym mowa w art. 21g ust.
1;
2)
datę przyłączenia systemu identyfikacji elektronicznej
do węzła krajowego;
3)
informacje o zamiarze zaprzestania świadczenia usług
związanych ze środkami identyfikacji elektronicznej
wydawanymi w systemie identyfikacji elektronicznej przyłączonym
do węzła krajowego;
4)
informacje o otwarciu likwidacji podmiotu odpowiedzialnego za system
identyfikacji elektronicznej oraz datę jego likwidacji;
5)
informacje o ogłoszeniu upadłości podmiotu
odpowiedzialnego za system identyfikacji elektronicznej lub oddaleniu
wniosku o ogłoszenie upadłości z przyczyn wskazanych w
art.
13
ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe oraz
datę zakończenia postępowania upadłościowego;
6)
informacje o zawieszeniu możliwości korzystania z systemu
identyfikacji elektronicznej lub uwierzytelniania z wykorzystaniem
środków identyfikacji elektronicznej wydanych w tym
systemie;
7)
informacje o przywróceniu możliwości korzystania z
systemu identyfikacji elektronicznej lub uwierzytelniania z
wykorzystaniem środków identyfikacji elektronicznej
wydanych w tym systemie;
8)
informację o tym, czy system identyfikacji elektronicznej został
przyłączony do węzła transgranicznego;
9)
datę wykreślenia z rejestru systemów podmiotu
odpowiedzialnego za system identyfikacji elektronicznej.
Art.
21o. [Informacje i dane objęte tajemnicą]
1.
Informacje i dane zawarte w dokumentach potwierdzających
spełnianie wymagań, o których mowa w art. 21b ust.
1, których ujawnienie mogłoby narazić na szkodę
podmiot odpowiedzialny za system identyfikacji elektronicznej, objęte
są tajemnicą.
2.
Informacje i dane objęte tajemnicą udostępnia się
wyłącznie na żądanie:
1)
sądu lub prokuratora - w związku z toczącym się
postępowaniem;
2)
innych upoważnionych organów - w związku z
prowadzonym przez te organy postępowaniem;
3)
Szefa Agencji Bezpieczeństwa Wewnętrznego.
Art.
21p. [Kompetencje i obowiązki podmiotu odpowiedzialnego za
system identyfikacji elektronicznej przyłączony do węzła
krajowego]
1.
Podmiot odpowiedzialny za system identyfikacji elektronicznej
przyłączony do węzła krajowego:
1)
zarządza systemem identyfikacji elektronicznej oraz ponosi
koszty jego utrzymania i rozwoju;
2)
potwierdza tożsamość oraz weryfikuje dane
identyfikujące osoby ubiegającej się o wydanie środka
identyfikacji elektronicznej w sposób adekwatny do poziomu
bezpieczeństwa danego środka identyfikacji elektronicznej,
zgodnie z wymaganiami określonymi w przepisach wydanych na
podstawie art.
8 ust. 3
rozporządzenia 910/2014;
3)
wydaje, zawiesza i unieważnia środki identyfikacji
elektronicznej;
4)
zapewnia funkcjonalność pozwalającą na
uwierzytelnienie osoby, której wydano środek
identyfikacji elektronicznej, z wykorzystaniem tego środka;
5)
zapisuje i zachowuje informacje związane z wydawaniem,
zawieszaniem i unieważnianiem środków identyfikacji
elektronicznej oraz zapewnieniem rozliczalności i
niezaprzeczalności działań użytkowników
korzystających z tych środków;
6)
stosuje politykę bezpieczeństwa węzła krajowego,
o której mowa w art. 39b ust. 1 pkt 3;
7)
unieważnia środki identyfikacji elektronicznej wydane przez
podmiot, w stosunku do którego Szef Agencji Bezpieczeństwa
Wewnętrznego wydał negatywną opinię w przypadku,
o którym mowa w art. 21s ust. 3.
2.
Czynności, o których mowa w ust. 1 pkt 2-5 i 7, mogą
wykonywać podmioty inne niż podmiot odpowiedzialny za
system identyfikacji elektronicznej, spełniające wymogi
określone w art. 21b ust. 1 pkt 1, 3 i 5, o ile posiadają
siedzibę na terenie jednego z państw członkowskich
Unii Europejskiej. Odpowiedzialność za czynności
wykonywane przez podmioty inne niż podmiot odpowiedzialny za
system identyfikacji elektronicznej ponosi podmiot odpowiedzialny za
system identyfikacji elektronicznej.
3.
Podmioty inne niż podmiot odpowiedzialny za system identyfikacji
elektronicznej stosują politykę bezpieczeństwa węzła
krajowego, o której mowa w art. 39b ust. 1 pkt 3.
Art.
21q. [Dane osobowe przetwarzane przez podmiot odpowiedzialny za
system identyfikacji elektronicznej]
1.
Podmiot odpowiedzialny za system identyfikacji elektronicznej
przetwarza dane osobowe osób, którym w tym systemie
wydano środki identyfikacji elektronicznej, obejmujące:
1)
imię (imiona),
2)
nazwisko,
3)
nazwisko rodowe,
4)
numer PESEL lub niepowtarzalny identyfikator środka
identyfikacji elektronicznej, o którym mowa w przepisach
wydanych na podstawie art.
12 ust. 8
rozporządzenia 910/2014,
5)
datę urodzenia,
6)
miejsce urodzenia,
7)
płeć,
8)
adres zamieszkania
-
w celu realizacji zadań, o których mowa w art. 21p ust. 1
pkt 1-5 i 7.
2.
Podmiot, o którym mowa w art. 21p, inny niż podmiot
wskazany w art.
2
i art.
19c ust. 1
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne lub podmiot
sektora publicznego, o którym mowa w art.
3 pkt 7
rozporządzenia 910/2014, zapewniając możliwość
uwierzytelniania w usługach online, nie może pozyskiwać,
przechowywać oraz przetwarzać danych dotyczących
realizacji tych usług, innych niż dane niezbędne do
zrealizowania procesu uwierzytelnienia.
Art.
21r. [Zawieszenie możliwości uwierzytelniania z
wykorzystaniem środków identyfikacji elektronicznej w
przypadku naruszenia bezpieczeństwa systemu identyfikacji
elektronicznej]
1.
W przypadku gdy nastąpi naruszenie bezpieczeństwa systemu
identyfikacji elektronicznej przyłączonego do węzła
krajowego lub części środków identyfikacji
elektronicznej wydanych w tym systemie, mogące mieć wpływ
na rozliczalność i niezaprzeczalność działań
wykonywanych z wykorzystaniem tego systemu lub części
środków identyfikacji elektronicznej wydanych w tym
systemie, podmiot odpowiedzialny za system identyfikacji
elektronicznej przyłączony do węzła krajowego
niezwłocznie zawiesza możliwość uwierzytelniania
z wykorzystaniem środków identyfikacji elektronicznej,
których dotyczy naruszenie bezpieczeństwa.
2.
Po usunięciu naruszenia bezpieczeństwa systemu
identyfikacji elektronicznej lub zawieszonej części środków
identyfikacji elektronicznej podmiot odpowiedzialny za system
identyfikacji elektronicznej przyłączony do węzła
krajowego przywraca możliwość uwierzytelniania za
pomocą środków identyfikacji elektronicznej, których
dotyczyło zawieszenie.
Art.
21s. [Informacje przekazywane ministrowi oraz Szefowi ABW;
postępowanie w sprawie struktury właścicielskiej
podmiotu odpowiedzialnego za system identyfikacji elektronicznej]
1.
Podmiot odpowiedzialny za system identyfikacji elektronicznej
przyłączony do węzła krajowego informuje ministra
właściwego do spraw informatyzacji o:
1)
każdej zmianie dotyczącej systemu identyfikacji
elektronicznej przyłączonego do węzła krajowego
mającej wpływ na aktualność danych wpisanych do
rejestru systemów - w terminie 14 dni od dnia zmiany tych
danych;
2)
zamiarze zaprzestania świadczenia usług związanych ze
środkami identyfikacji elektronicznej wydawanymi w systemie
identyfikacji elektronicznej przyłączonym do węzła
krajowego - w terminie 12 miesięcy przed planowanym
zaprzestaniem świadczenia tych usług;
3)
otwarciu jego likwidacji, ogłoszeniu jego upadłości
lub oddaleniu wniosku o ogłoszenie upadłości z
przyczyn wskazanych w art.
13
ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe -
niezwłocznie;
4)
zawieszeniu możliwości uwierzytelniania z powodu naruszenia
bezpieczeństwa, o którym mowa w art. 21r ust. 1, oraz
przywróceniu możliwości uwierzytelniania po
usunięciu naruszenia bezpieczeństwa, o którym mowa w
art. 21r ust. 2 - niezwłocznie, nie później niż
w ciągu 24 godzin od momentu odpowiednio wykrycia naruszenia
bezpieczeństwa oraz usunięcia naruszenia bezpieczeństwa.
2.
Minister właściwy do spraw informatyzacji po otrzymaniu
danych, o których mowa w ust. 1, przekazuje je Szefowi Agencji
Bezpieczeństwa Wewnętrznego, jeżeli istnieją
uzasadnione przesłanki pozwalające wnioskować, iż
zmiany tych danych mogą mieć wpływ na bezpieczeństwo
publiczne, bezpieczeństwo państwa lub zagrażają w
sposób bezpośredni bezpieczeństwu systemów
teleinformatycznych państwa.
3.
Szef Agencji Bezpieczeństwa Wewnętrznego, w przypadku
powzięcia informacji o okolicznościach prawnych lub
faktycznych dotyczących struktury właścicielskiej
podmiotu odpowiedzialnego za system identyfikacji elektronicznej lub
podmiotu, o którym mowa w art. 21g ust. 2 pkt 2, które
mogą zagrozić bezpieczeństwu państwa, w tym
bezpieczeństwu ekonomicznemu państwa, przeprowadza
postępowanie w tej sprawie. Do postępowania stosuje się
odpowiednio przepisy art. 21g ust. 5-13.
4.
Szef Agencji Bezpieczeństwa Wewnętrznego przeprowadza
postępowanie, o którym mowa w ust. 3, również
na polecenie Prezesa Rady Ministrów lub ministra członka
Rady Ministrów właściwego do spraw koordynowania
działalności służb specjalnych.
5.
Szef Agencji Bezpieczeństwa Wewnętrznego po przeprowadzeniu
postępowania przekazuje opinię ministrowi właściwemu
do spraw informatyzacji.
6.
Minister właściwy do spraw informatyzacji przekazuje opinię
podmiotowi odpowiedzialnemu za system identyfikacji elektronicznej.
Art.
21t. [Przyłączenie do węzła krajowego
systemu teleinformatycznego, w którym udostępniane są
usługi online]
1.
Minister właściwy do spraw informatyzacji wydaje decyzję
o przyłączeniu do węzła krajowego systemu
teleinformatycznego, w którym udostępniane są usługi
online, po:
1)
zapewnieniu przez podmiot odpowiedzialny za ten system opracowania,
ustanawiania, wdrażania, eksploatowania, monitorowania,
przeglądania, utrzymywania i doskonalenia systemu zarządzania
bezpieczeństwem informacji zgodnie z wymogami określonymi w
przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005
r. o informatyzacji działalności podmiotów
realizujących zadania publiczne;
2)
przeprowadzeniu testów integracyjnych zakończonych
wynikiem pozytywnym, potwierdzających interoperacyjność
tego systemu z węzłem krajowym;
3)
przedstawieniu przez podmiot odpowiedzialny za ten system
oświadczenia o działaniu tego podmiotu zgodnie z przepisami
o ochronie danych osobowych;
4)
wskazaniu interesu faktycznego w uwierzytelnianiu z wykorzystaniem
węzła krajowego - w przypadku podmiotu innego niż
podmiot wskazany w art.
2
i art.
19c ust. 1
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne lub podmiot
sektora publicznego, o którym mowa w art.
3 pkt 7
rozporządzenia 910/2014.
2.
Ocena interesu faktycznego dokonywana jest z uwzględnieniem jego
wpływu na bezpieczeństwo i interes publiczny.
Art.
21u. [Wniosek o przyłączenie do węzła
krajowego systemu teleinformatycznego, w którym udostępniane
są usługi online]
1.
Przyłączenie systemu, o którym mowa w art. 21t ust.
1, do węzła krajowego następuje na wniosek podmiotu
odpowiedzialnego za ten system.
2.
Wniosek zawiera nazwę podmiotu odpowiedzialnego za system albo
jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu
miejsca prowadzenia działalności gospodarczej albo adresu
zamieszkania.
3.
Do wniosku dołącza się:
1)
oświadczenie o zapewnieniu przez podmiot odpowiedzialny za ten
system opracowania, ustanawiania, wdrażania, eksploatowania,
monitorowania, przeglądania, utrzymywania i doskonalenia systemu
zarządzania bezpieczeństwem informacji zgodnie z wymogami
określonymi w przepisach wydanych na podstawie art.
18
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne;
2)
oświadczenie o zapewnieniu stosowania polityki bezpieczeństwa,
o której mowa w art. 39b ust. 1 pkt 3;
3)
listę usług online udostępnianych w tym systemie wraz
z określeniem dla każdej z tych usług wymaganych
poziomów bezpieczeństwa środków identyfikacji
elektronicznej, o których mowa w art.
8 ust. 2
rozporządzenia 910/2014, niezbędnych dla realizacji tych
usług;
4)
oświadczenie o działaniu podmiotu zgodnie z przepisami o
ochronie danych osobowych;
5)
uzasadnienie interesu faktycznego w uwierzytelnianiu z wykorzystaniem
węzła krajowego - w przypadku podmiotu innego niż
podmiot, o których mowa w art.
2
i art.
19c ust. 1
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne, lub podmiot
sektora publicznego, o którym mowa w art.
3 pkt 7
rozporządzenia 910/2014.
4.
Wniosek oraz dokumenty, o których mowa w ust. 3, składa
się w postaci elektronicznej opatrzone kwalifikowanym podpisem
elektronicznym.
Art.
21v. [Testy integracyjne]
Minister
właściwy do spraw informatyzacji po dokonaniu oceny wniosku
oraz dokumentów załączonych do wniosku wyznacza
termin przeprowadzenia testów integracyjnych, o których
mowa w art. 21t ust. 1 pkt 2, i przeprowadza testy zgodnie z
procedurą udostępnioną w Biuletynie Informacji
Publicznej na swojej stronie podmiotowej.
Art.
21w. [Obowiązek informowania ministra o zmianie danych
zawartych w liście usług online udostępnianych w
systemie teleinformatycznym udostępniającym usługi
online]
Podmiot
odpowiedzialny za system teleinformatyczny, w którym
udostępniane są usługi online, przyłączony
do węzła krajowego, niezwłocznie informuje ministra
właściwego do spraw informatyzacji o każdej zmianie
danych zawartych w liście usług, o której mowa w
art. 21u ust. 3 pkt 3.
Art.
21x. [Informacja o przyłączonych do węzła
krajowego systemach teleinformatycznych, w którym udostępniane
są usługi online]
Minister
właściwy do spraw informatyzacji udostępnia w
Biuletynie Informacji Publicznej na swojej stronie podmiotowej
informację o przyłączonych do węzła
krajowego systemach teleinformatycznych, w którym udostępniane
są usługi online.
Art.
21y. [Odmowa przyłączenia do węzła
krajowego systemu teleinformatycznego, w którym udostępniane
są usługi online]
W
przypadku niespełniania wymagań, o których mowa w
art. 21t ust. 1, minister właściwy do spraw informatyzacji
wydaje decyzję o odmowie przyłączenia systemu
teleinformatycznego, w którym udostępniane są usługi
online, do węzła krajowego.
Art.
21z. [Przyłączenie ePUAP do węzła
krajowego]
Do
węzła krajowego przyłącza się elektroniczną
platformę usług administracji publicznej.
Art.
22. [Funkcjonowanie węzła transgranicznego]
1.
Minister właściwy do spraw informatyzacji zapewnia
funkcjonowanie węzła transgranicznego, zgodnie z
rozporządzeniem
910/2014.
2.
(uchylony).
3.
Do notyfikacji, o której mowa w art.
9
rozporządzenia 910/2014, mogą być zgłaszane
wyłącznie systemy identyfikacji elektronicznej przyłączone
do węzła krajowego, jeżeli zostało potwierdzone
spełnienie warunków, o których mowa w art. 7 tego
rozporządzenia.
4.
Notyfikowany system identyfikacji elektronicznej jest przyłączany
do węzła transgranicznego za pośrednictwem węzła
krajowego.
Art.
23. [Działania koordynowane przez ministra]
Minister
właściwy do spraw informatyzacji koordynuje działania
na poziomie krajowym na rzecz współpracy z państwami
członkowskimi Unii Europejskiej w sprawach dotyczących
systemów identyfikacji elektronicznej, prowadzonej zgodnie z
art.
12 ust. 5
i 6
rozporządzenia 910/2014, w szczególności zapewniając
obsługę pojedynczego punktu kontaktowego, o którym
mowa w przepisach wykonawczych wydanych na podstawie art.
12 ust. 7
tego rozporządzenia.
Art.
24. [Notyfikacja systemu identyfikacji elektronicznej]
1.
Wniosek o notyfikowanie systemu identyfikacji elektronicznej w
Komisji Europejskiej składa do ministra właściwego do
spraw informatyzacji podmiot odpowiedzialny za ten system.
2.
Do wniosku, o którym mowa w ust. 1, załącza się
formularz notyfikacji systemu identyfikacji elektronicznej zgodny ze
wzorem określonym w przepisach wykonawczych wydanych na
podstawie art.
9 ust. 5
rozporządzenia 910/2014.
3.
Minister właściwy do spraw informatyzacji może zgłosić
system identyfikacji elektronicznej do przeprowadzenia wzajemnej
oceny, o której mowa w art.
12 ust. 6 lit. c
rozporządzenia 910/2014, po pozytywnym zweryfikowaniu wniosku, o
którym mowa w ust. 1, biorąc pod uwagę warunki
kwalifikowania się systemu do notyfikowania wskazane w art. 7
tego rozporządzenia oraz politykę państwa w zakresie
identyfikacji elektronicznej.
4.
Minister właściwy do spraw informatyzacji zgłasza
system identyfikacji elektronicznej do notyfikacji, o której
mowa w art.
9
rozporządzenia 910/2014, biorąc pod uwagę wynik
wzajemnej oceny, o której mowa w przepisach wykonawczych
wydanych na podstawie art.
12 ust. 7
tego rozporządzenia.
5.
Minister właściwy do spraw informatyzacji może
powierzyć wykonywanie zadań, o których mowa w ust. 3
i 4, podmiotowi publicznemu w rozumieniu art.
2 ust. 1
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne.
Art.
25. [Poziomy bezpieczeństwa systemów identyfikacji
elektronicznej]
Podmioty
odpowiedzialne za systemy teleinformatyczne, w których
udostępniane są usługi online, przyłączane
do węzła krajowego określają wymagane poziomy
bezpieczeństwa środków identyfikacji elektronicznej,
o których mowa w art.
8 ust. 2
rozporządzenia 910/2014, niezbędne dla realizacji tych
usług.
Art.
26. [Naruszenie bezpieczeństwa]
1.
Obowiązki, o których mowa w art.
10
rozporządzenia 910/2014, wykonuje minister właściwy do
spraw informatyzacji.
2.
Informacje dotyczące naruszenia bezpieczeństwa
notyfikowanego systemu identyfikacji elektronicznej albo
uwierzytelnienia, o którym mowa w art.
10
rozporządzenia 910/2014, podmiot odpowiedzialny za ten system
przekazuje niezwłocznie, nie później niż w
ciągu 24 godzin od momentu wykrycia naruszenia, drogą
elektroniczną, ministrowi właściwemu do spraw
informatyzacji.
Rozdział
5
Nadzór
nad dostawcami usług zaufania
Art.
27. [Zadania i kompetencje ministra w zakresie nadzoru nad
dostawcami usług zaufania]
1.
Nadzór nad dostawcami usług zaufania sprawuje minister
właściwy do spraw informatyzacji.
2.
W zakresie nadzoru, o którym mowa w ust. 1, minister właściwy
do spraw informatyzacji:
1)
wykonuje zadania określone w przepisach rozporządzenia
910/2014;
2)
wydaje certyfikaty dostawców usług zaufania;
3)
tworzy certyfikaty narodowego centrum certyfikacji;
4)
może unieważniać certyfikaty, o których mowa w
pkt 2 i 3;
5)
w uzasadnionych przypadkach, w drodze decyzji, może żądać
niezwłocznego unieważnienia kwalifikowanego certyfikatu
przez kwalifikowanego dostawcę usług zaufania;
6)
bada zgodność polityki świadczenia usługi z
przepisami o usługach zaufania;
7)
prowadzi rejestr dostawców usług zaufania;
8)
nakłada kary pieniężne;
9)
wykonuje inne zadania określone w przepisach prawa.
3.
Decyzja, o której mowa w ust. 2 pkt 5, podlega
natychmiastowemu wykonaniu. Przepisu art.
61 § 2 pkt 1
ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed
sądami administracyjnymi nie stosuje się.
Art.
28. [Obowiązek udzielania ministrowi informacji i
udostępniania dokumentów]
Dostawca
usługi zaufania, na żądanie ministra właściwego
do spraw informatyzacji, z zachowaniem przepisów o ochronie
informacji niejawnych i innych informacji prawnie chronionych, jest
obowiązany udzielać informacji lub udostępniać
dokumenty, które są bezpośrednio związane ze
świadczonymi usługami zaufania lub mają wpływ na
świadczone usługi zaufania, w tym dotyczą zarządzania
incydentami związanymi z usługą zaufania.
Art.
29. [Unieważnienie certyfikatów dostawcy usług
zaufania]
1.
W przypadku odebrania kwalifikowanemu dostawcy usług zaufania
statusu kwalifikowanego lub statusu kwalifikowanego świadczonej
przez niego usłudze zaufania minister właściwy do
spraw informatyzacji, w drodze decyzji, może unieważnić
odpowiednie certyfikaty dostawcy usług zaufania, wydane temu
dostawcy.
2.
Unieważniając certyfikaty dostawcy usług zaufania,
minister właściwy do spraw informatyzacji bierze pod uwagę
stopień zagrożenia bezpieczeństwa świadczenia
usług zaufania, możliwość usunięcia tego
zagrożenia w inny sposób oraz pewność obrotu.
Art.
30. [Kompetencje ministra w przypadku prowadzenia przez
kwalifikowanego dostawcę działalności niezgodnie z
przepisami]
Minister
właściwy do spraw informatyzacji w przypadku stwierdzenia,
że kwalifikowany dostawca usług zaufania prowadzi
działalność niezgodnie z przepisami o usługach
zaufania, może:
1)
wezwać kwalifikowanego dostawcę usług zaufania, aby w
wyznaczonym terminie:
a)
usunął stwierdzone nieprawidłowości i doprowadził
swoją działalność do stanu zgodnego z przepisami
o usługach zaufania,
b)
zmienił politykę świadczenia usług lub inne
dokumenty związane ze świadczeniem usług zaufania,
c)
unieważnił kwalifikowane certyfikaty wydane z naruszeniem
polityki świadczenia usług;
2)
wydać decyzję o odebraniu kwalifikowanemu dostawcy usług
zaufania statusu kwalifikowanego lub statusu kwalifikowanego
świadczonej przez niego usłudze zaufania.
Art.
31. [Podmioty przeprowadzające audyt]
Audyt,
o którym mowa w art.
20:
1)
ust. 2 rozporządzenia
910/2014 - jest przeprowadzany przez osoby upoważnione przez
ministra właściwego do spraw informatyzacji, zwane dalej
"audytorami organu nadzoru";
2)
ust. 1 lub 2 rozporządzenia
910/2014 - może być przeprowadzany przy udziale osób
upoważnionych przez ministra właściwego do spraw
informatyzacji, zwanych dalej "obserwatorami organu nadzoru",
w przypadku gdy jest przeprowadzany przez jednostkę oceniającą
zgodność.
Art.
32. [Upoważnienie do przeprowadzenia audytu]
1.
Audytorzy organu nadzoru oraz obserwatorzy organu nadzoru odpowiednio
przeprowadzają audyt albo biorą udział w
przeprowadzeniu audytu na podstawie imiennego upoważnienia
wydanego przez ministra właściwego do spraw informatyzacji.
2.
Audytorzy organu nadzoru i obserwatorzy organu nadzoru nie mogą
prowadzić działalności gospodarczej w zakresie
świadczenia usług zaufania, świadczyć usług
zaufania, być wspólnikami albo akcjonariuszami dostawcy
usług zaufania ani wykonywać obowiązków osoby
reprezentującej lub członka rady nadzorczej albo komisji
rewizyjnej tego dostawcy, a także pozostawać z tym dostawcą
w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym
charakterze.
Art.
33. [Uprawnienia audytorów i obserwatorów]
1.
Audytorzy organu nadzoru są uprawnieni do:
1)
wstępu do obiektów i pomieszczeń kwalifikowanych
dostawców usług zaufania;
2)
wglądu do dokumentów i danych, z wyjątkiem danych do
składania podpisów elektronicznych lub pieczęci
elektronicznych dostawców usług zaufania i innych
informacji, które mogą służyć do
odtworzenia tych danych, związanych z działalnością
w zakresie usług zaufania;
3)
przetwarzania danych osobowych w zakresie objętym przedmiotem
audytu;
4)
przeprowadzania oględzin obiektów oraz innych składników
majątkowych związanych ze świadczeniem usług
zaufania, a także sprawdzenia przebiegu czynności
związanych ze świadczeniem tych usług;
5)
żądania udzielenia ustnych lub pisemnych wyjaśnień
od pracowników kwalifikowanych dostawców usług
zaufania;
6)
zabezpieczania dokumentów i innych materiałów, z
zachowaniem przepisów o ochronie informacji niejawnych i
innych informacji prawnie chronionych.
2.
Upoważniony przedstawiciel audytowanego kwalifikowanego dostawcy
usług zaufania udziela wyjaśnień lub przedkłada,
na żądanie audytora organu nadzoru, dokumenty i inne
materiały niezbędne do przeprowadzenia audytu.
3.
Przepisy ust. 1 pkt 1-4 stosuje się do obserwatorów
organu nadzoru.
Art.
34. [Nałożenie obowiązku usunięcia
stwierdzonych niezgodności]
W
przypadku gdy wyniki audytu przeprowadzanego na podstawie art.
20 ust. 2
rozporządzenia 910/2014 wykażą niezgodność z
przepisami o usługach zaufania, minister właściwy do
spraw informatyzacji, po zapoznaniu się z zastrzeżeniami
oraz wyjaśnieniami zgłoszonymi przez dostawcę usług
zaufania, może wydać decyzję nakładającą
na tego dostawcę obowiązek usunięcia stwierdzonych
niezgodności w terminie nie krótszym niż 14 dni.
Art.
35. [Obowiązek tajemnicy]
Audytorzy
organu nadzoru i obserwatorzy organu nadzoru są obowiązani
do bezterminowego zachowania w tajemnicy informacji uzyskanych w
związku z przeprowadzanym audytem, z zachowaniem przepisów
o ochronie informacji niejawnych i innych informacji prawnie
chronionych.
Art.
36. [Przepisy stosowane do przeprowadzenia audytu dostawców
usług zaufania w zakresie nieuregulowanym w ustawie]
W
sprawach nieuregulowanych w ustawie, do przeprowadzenia audytu
dostawców usług zaufania przez audytorów organu
nadzoru stosuje się odpowiednio przepisy rozdziału 5 ustawy
z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U.
poz. 646, 1479, 1629, 1633 i 2212), z wyłączeniem przepisu
art.
55 ust. 1
tej ustawy.
Art.
37. [Wyznaczenie podmiotu do badania zgodności
kwalifikowanych urządzeń do składania podpisów
elektronicznych lub pieczęci elektronicznych z wymogami]
1.
Minister właściwy do spraw informatyzacji może
wyznaczyć podmiot badający zgodność
kwalifikowanych urządzeń do składania podpisu
elektronicznego lub pieczęci elektronicznej z wymogami, o
których mowa w załączniku
II
do rozporządzenia 910/2014.
2.
Minister właściwy do spraw informatyzacji przekazuje
Komisji Europejskiej nazwę i adres wyznaczonego podmiotu, o
którym mowa w ust. 1.
Art.
38. [Wspólne dochodzenia z organami nadzoru z innych
państw członkowskich UE]
Minister
właściwy do spraw informatyzacji może zawierać
porozumienia z organami nadzoru innych państw członkowskich
Unii Europejskiej w celu prowadzenia wspólnych postępowań,
o których mowa w art.
18 ust. 3
rozporządzenia 910/2014.
Art.
39. [Sposób zgłaszania przypadków naruszenia
bezpieczeństwa lub utraty integralności]
Minister
właściwy do spraw informatyzacji, w porozumieniu z innymi
organami określonymi w art.
19 ust. 2
rozporządzenia 910/2014, ustala sposób zgłaszania
drogą elektroniczną przypadków naruszenia
bezpieczeństwa lub utraty integralności, które mają
znaczący wpływ na świadczoną usługę
zaufania lub przetwarzane w jej ramach dane osobowe.
Rozdział
5a
Nadzór
nad krajowym schematem identyfikacji elektronicznej
Art.
39a. [Minister sprawujący nadzór]
Nadzór
nad krajowym schematem identyfikacji elektronicznej sprawuje minister
właściwy do spraw informatyzacji.
Art.
39b. [Kompetencje ministra w ramach nadzoru]
1.
W ramach nadzoru minister właściwy do spraw informatyzacji:
1)
prowadzi kontrole:
a)
spełniania przez systemy identyfikacji elektronicznej
przyłączone do węzła krajowego wymagań, o
których mowa w art. 21b ust. 1,
b)
spełniania przez systemy teleinformatyczne, w których
udostępniane są usługi online, przyłączone
do węzła krajowego wymagań, o których mowa w
art. 21t ust. 1;
2)
prowadzi działania zapobiegające naruszeniom bezpieczeństwa
w krajowym schemacie identyfikacji elektronicznej, w szczególności
dokonuje systematycznego szacowania ryzyka wystąpienia
incydentów w krajowym schemacie identyfikacji elektronicznej;
3)
określa i udostępnia w Biuletynie Informacji Publicznej na
swojej stronie podmiotowej politykę bezpieczeństwa węzła
krajowego;
4)
uczestniczy w inicjatywach krajowych i międzynarodowych mających
na celu podnoszenie bezpieczeństwa węzła krajowego,
węzła transgranicznego oraz systemów identyfikacji
elektronicznej;
5)
współpracuje z organem właściwym do spraw
ochrony danych osobowych.
2.
W ramach działań zapobiegających naruszeniom
bezpieczeństwa w krajowym schemacie identyfikacji elektronicznej
minister właściwy do spraw informatyzacji:
1)
prowadzi systematyczne szacowanie ryzyka wystąpienia incydentów,
przez które rozumie się każde zdarzenie, które
ma lub może mieć niekorzystny wpływ na poufność
danych albo rozliczalność działań dokonywanych w
ramach świadczonych usług w krajowym schemacie
identyfikacji elektronicznej, w tym za pośrednictwem węzła
krajowego;
2)
wdraża, rozwija i upowszechnia stosowanie środków
technicznych i organizacyjnych uwzględniających najnowszy
stan wiedzy, odpowiednich i proporcjonalnych do zidentyfikowanych
ryzyk, zapewniających bezpieczeństwo systemów
teleinformatycznych wykorzystywanych do świadczenia usług
za pośrednictwem węzła krajowego;
3)
po dostrzeżeniu podatności lub zagrożeń
naruszających lub mogących naruszać poufność,
integralność, dostępność i autentyczność
danych przetwarzanych w systemach teleinformatycznych działających
w ramach krajowego schematu identyfikacji elektronicznej niezwłocznie
podejmuje działania zaradcze.
Art.
39c. [Środki podejmowane przez ministra w razie naruszenia
polityki bezpieczeństwa węzła krajowego lub
niespełniania wymagań dotyczących systemu
identyfikacji elektronicznej przyłączonego do węzła
krajowego]
1.
W przypadku naruszenia polityki bezpieczeństwa węzła
krajowego lub niespełniania wymagań, o których mowa
w art. 21b ust. 1, dotyczących systemu identyfikacji
elektronicznej przyłączonego do węzła krajowego,
w zakresie mającym wpływ na wiarygodność
uwierzytelnienia z wykorzystaniem środków identyfikacji
elektronicznej wydanych w tym systemie, minister właściwy
do spraw informatyzacji wydaje decyzję o zawieszeniu:
1)
możliwości korzystania z tego systemu, jeżeli
naruszenie dotyczy całego systemu, albo
2)
możliwości korzystania z części środków
identyfikacji elektronicznej wydanych w tym systemie, jeżeli
naruszenie dotyczy części środków identyfikacji
elektronicznej i zawieszenie takie jest możliwe technicznie.
2.
Minister właściwy do spraw informatyzacji wydaje decyzję
o przywróceniu możliwości korzystania z systemu
identyfikacji elektronicznej lub zawieszonej części środków
identyfikacji elektronicznej niezwłocznie po otrzymaniu od
podmiotu odpowiedzialnego za system identyfikacji elektronicznej
potwierdzenia usunięcia naruszenia, które było
podstawą do zawieszenia, o którym mowa w ust. 1.
3.
Decyzja, o której mowa w ust. 1, podlega natychmiastowemu
wykonaniu. Przepisu art.
61 § 2 pkt 1
ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed
sądami administracyjnymi nie stosuje się.
Art.
39d. [Odłączenie systemu identyfikacji elektronicznej
od węzła krajowego]
Minister
właściwy do spraw informatyzacji wydaje decyzję o
odłączeniu systemu identyfikacji elektronicznej od węzła
krajowego i odłącza ten system od węzła krajowego
w przypadku:
1)
złożenia przez podmiot odpowiedzialny za system
identyfikacji elektronicznej wniosku o odłączenie od węzła
krajowego;
2)
zaprzestania prowadzenia działalności przez podmiot
odpowiedzialny za system identyfikacji elektronicznej;
3)
nieusunięcia przyczyny zawieszenia możliwości
uwierzytelniania, o której mowa w art. 21r ust. 1, lub
możliwości korzystania z systemu, o której mowa w
art. 39c ust. 1, w terminie 3 miesięcy od dnia jego zawieszenia;
4)
nieprzedstawienia kolejnej umowy ubezpieczenia odpowiedzialności
cywilnej za szkody wyrządzone w związku z wykorzystywaniem
środków identyfikacji elektronicznej wydanych w systemie
identyfikacji elektronicznej;
5)
wydania przez Szefa Agencji Bezpieczeństwa Wewnętrznego
negatywnej opinii w przypadku, o którym mowa w art. 21s ust.
3, w stosunku do podmiotu odpowiedzialnego za system identyfikacji
elektronicznej.
Art.
39e. [Wykreślenie systemu z rejestru systemów]
1.
Decyzja o odłączeniu systemu identyfikacji elektronicznej
od węzła krajowego jest podstawą do wykreślenia
tego systemu z rejestru systemów.
2.
Decyzja podlega natychmiastowemu wykonaniu. Przepisu art.
61 § 2 pkt 1
ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed
sądami administracyjnymi nie stosuje się.
Art.
39f. [Obowiązek udzielania informacji i udostępniania
dokumentów związanych z funkcjonowaniem systemu
identyfikacji elektronicznej]
Podmiot
odpowiedzialny za system identyfikacji elektronicznej, na żądanie
ministra właściwego do spraw informatyzacji oraz Szefa
Agencji Bezpieczeństwa Wewnętrznego, z zachowaniem
przepisów o ochronie informacji niejawnych i innych informacji
prawnie chronionych, jest obowiązany udzielać informacji
oraz udostępniać dokumenty, które są
bezpośrednio związane z funkcjonowaniem systemu
identyfikacji elektronicznej, w tym dotyczą naruszeń, o
których mowa w art. 21r ust. 1 lub art. 39c ust. 1.
Art.
39g. [Zawieszenie możliwości uwierzytelnienia w
systemie udostępniającym usługi online]
1.
W przypadku naruszenia polityki bezpieczeństwa, o której
mowa w art. 39b ust. 1 pkt 3, lub niespełniania wymagań, o
których mowa w art. 21t ust. 1, dotyczących systemu
teleinformatycznego, w którym udostępniane są usługi
online, przyłączonego do węzła krajowego, w
zakresie mającym wpływ na bezpieczeństwo
uwierzytelnienia z wykorzystaniem węzła krajowego, minister
właściwy do spraw informatyzacji zawiesza w tym systemie
możliwość uwierzytelniania z wykorzystaniem węzła
krajowego.
2.
Minister właściwy do spraw informatyzacji przywraca
możliwość uwierzytelniania z wykorzystaniem węzła
krajowego w systemie teleinformatycznym, w którym udostępniane
są usługi online, niezwłocznie po otrzymaniu od
podmiotu odpowiedzialnego za ten system potwierdzenia usunięcia
naruszenia, które było podstawą do zawieszenia, o
którym mowa w ust. 1.
Art.
39h. [Odłączenie od węzła krajowego systemu
udostępniającego usługi online]
Minister
właściwy do spraw informatyzacji wydaje decyzję o
odłączeniu systemu teleinformatycznego, w którym
udostępniane są usługi online, i odłącza ten
system od węzła krajowego w przypadku:
1)
złożenia przez podmiot odpowiedzialny za ten system wniosku
o odłączenie systemu od węzła krajowego;
2)
zaprzestania udostępniania usług online w tym systemie;
3)
nieusunięcia przyczyny zawieszenia tego systemu, o której
mowa w art. 39g ust. 1, w terminie 3 miesięcy od dnia jego
zawieszenia.
Art.
39i. [Obowiązek udzielania informacji i udostępniania
dokumentów związanych z funkcjonowaniem systemu
identyfikacji elektronicznej udostępniającego usługi
online]
Podmiot
odpowiedzialny za system teleinformatyczny, w którym
udostępniane są usługi online, na żądanie
ministra właściwego do spraw informatyzacji oraz Szefa
Agencji Bezpieczeństwa Wewnętrznego, z zachowaniem
przepisów o ochronie informacji niejawnych i innych informacji
prawnie chronionych, jest obowiązany udzielać informacji
oraz udostępniać dokumenty, które są
bezpośrednio związane z funkcjonowaniem tego systemu, w tym
dotyczą naruszeń, o których mowa w art. 39g ust. 1.
Art.
39j. [Uprawnienia osób upoważnionych do kontroli]
1.
Kontrola, o której mowa w art. 39b ust. 1 pkt 1, jest
przeprowadzana przez osoby upoważnione przez ministra właściwego
do spraw informatyzacji.
2.
Osoby, o których mowa w ust. 1, są uprawnione do:
1)
wstępu do obiektów i pomieszczeń podmiotu
odpowiedzialnego za system identyfikacji elektronicznej lub podmiotu
wydającego środek identyfikacji elektronicznej w tym
systemie;
2)
wglądu do dokumentów zawierających dane dotyczące
funkcjonowania systemu identyfikacji elektronicznej oraz wydanych w
tym systemie środków identyfikacji elektronicznej;
3)
przetwarzania danych osobowych w zakresie objętym przedmiotem
kontroli;
4)
przeprowadzania oględzin obiektów oraz innych składników
majątkowych związanych z funkcjonowaniem systemu
identyfikacji elektronicznej, a także sprawdzania przebiegu
czynności związanych z wydawaniem środków
identyfikacji elektronicznej oraz oceny technicznej środków
identyfikacji elektronicznej;
5)
żądania udzielenia ustnych lub pisemnych wyjaśnień
od pracowników podmiotu odpowiedzialnego za system
identyfikacji elektronicznej, podmiotu wydającego środek
identyfikacji elektronicznej oraz przeprowadzającego procedurę
uwierzytelniania w tym systemie;
6)
zabezpieczania dokumentów i innych materiałów, z
zachowaniem przepisów o ochronie informacji niejawnych i
innych informacji prawnie chronionych.
Art.
39k. [Nałożenie obowiązku usunięcia
niezgodności stwierdzonych w wyniku kontroli]
W
przypadku gdy wyniki kontroli wykażą niezgodność
z przepisami ustawy, minister właściwy do spraw
informatyzacji, po zapoznaniu się z zastrzeżeniami oraz
wyjaśnieniami zgłoszonymi przez podmiot kontrolowany, może
wydać decyzję nakładającą obowiązek
usunięcia stwierdzonych niezgodności w terminie nie
krótszym niż 14 dni.
Art.
39l. [Przeprowadzenie kontroli - przepisy stosowane w zakresie
nieuregulowanym w ustawie]
W
sprawach nieuregulowanych w ustawie, do przeprowadzenia kontroli, o
której mowa w art. 39b ust. 1 pkt 1, stosuje się
odpowiednio przepisy rozdziału 5 ustawy
z dnia 6 marca 2018 r. - Prawo przedsiębiorców.
Rozdział
6
Przepisy
karne
Art.
40. [Wykorzystywanie cudzego podpisu elektronicznego]
1.
Kto składa kwalifikowany podpis elektroniczny lub zaawansowany
podpis elektroniczny z wykorzystaniem danych do składania
podpisu elektronicznego przyporządkowanych do innej osoby,
podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 3.
2.
Tej samej karze podlega, kto składa kwalifikowaną pieczęć
elektroniczną lub zaawansowaną pieczęć
elektroniczną, nie będąc do tego uprawnionym.
Art.
40a. [Wykorzystywanie cudzego środka identyfikacji
elektronicznej]
Kto
posługuje się cudzym środkiem identyfikacji
elektronicznej, wydawanym w systemie identyfikacji elektronicznej
przyłączonym do węzła krajowego, w celu uzyskania
nieuprawnionego dostępu do usługi online,
podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 3.
Art.
41. [Niedozwolone przechowywanie i kopiowanie danych do
składania zaawansowanego podpisu elektronicznego lub pieczęci
elektronicznej]
Kto
bez uprawnienia kopiuje lub przechowuje nieprzyporządkowane do
niego dane do składania zaawansowanego podpisu elektronicznego
lub pieczęci elektronicznej lub inne dane, które mogłyby
służyć do ich odtworzenia,
podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 3.
Art.
41a. [Nieuprawnione kopiowanie lub przechowywanie cudzych
danych pozwalających na identyfikowanie się z
wykorzystaniem środka identyfikacji elektronicznej]
Kto
bez uprawnienia kopiuje lub przechowuje nieprzyporządkowane do
niego dane pozwalające na identyfikowanie się z
wykorzystaniem środka identyfikacji elektronicznej, wydawanym w
systemie identyfikacji elektronicznej przyłączonym do węzła
krajowego,
podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 3.
Art.
42. [Wydanie fałszywego certyfikatu]
1.
Kto, świadcząc usługi zaufania, wydaje certyfikat
zawierający nieprawdziwe dane w celu popełnienia czynu
zabronionego,
podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 3.
2.
Tej samej karze podlega, kto składa podpis elektroniczny lub
pieczęć elektroniczną weryfikowane certyfikatem, o
którym mowa w ust. 1, w celu popełnienia czynu
zabronionego.
Art.
43. [Ujawnienie informacji objętych tajemnicą]
1.
Kto, będąc obowiązanym do zachowania tajemnicy
związanej ze świadczeniem usług zaufania, ujawnia lub
wykorzystuje, wbrew warunkom określonym w przepisach o usługach
zaufania, informacje objęte tą tajemnicą,
podlega
grzywnie.
2.
Jeżeli sprawca dopuszcza się czynu określonego w ust.
1 jako kwalifikowany dostawca usług zaufania albo w celu
osiągnięcia korzyści majątkowej lub osobistej,
podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 3.
Art.
44. [Wydanie środka identyfikacji elektronicznej
nieuprawnionej osobie]
Kto
wydaje środek identyfikacji elektronicznej w systemie
identyfikacji elektronicznej przyłączonym do węzła
krajowego osobie nieuprawnionej,
podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 3.
Art.
45. [Karalność działań osób
działających w imieniu lub interesie innych podmiotów]
Karom
określonym w art. 40-44 podlega także, kto dopuszcza się
czynów, o których mowa w tych przepisach, działając
w imieniu lub w interesie innej osoby fizycznej, osoby prawnej lub
jednostki organizacyjnej nieposiadającej osobowości
prawnej.
Rozdział
7
Przepisy
o karach pieniężnych
Art.
46. [Przesłanki nałożenia kary pieniężnej]
Karze
pieniężnej podlega kwalifikowany dostawca usług
zaufania, który:
1)
nie wykonuje obowiązku wynikającego z art.
24 ust. 1
rozporządzenia 910/2014;
2)
nie usunął w terminie określonym w wezwaniu, o którym
mowa w art. 30 pkt 1 lit. a, stwierdzonych nieprawidłowości
w prowadzonej przez siebie działalności;
3)
stosuje politykę świadczenia usługi lub przyjmuje inne
dokumenty związane ze świadczeniem usługi zaufania
niezgodne z przepisami o usługach zaufania;
4)
nie unieważnia kwalifikowanych certyfikatów mimo wezwania
ministra właściwego do spraw informatyzacji, o którym
mowa w art. 30 pkt 1 lit. c;
5)
wydaje certyfikaty niezgodnie z polityką świadczenia
usługi;
6)
nie udziela informacji lub nie udostępnia dokumentów w
przypadku, o którym mowa w art. 28;
7)
nie poinformował ministra właściwego do spraw
informatyzacji o zmianie danych podlegających wpisowi do
rejestru lub danych dotyczących technicznych możliwości
prowadzenia działalności w zakresie świadczenia usług
zaufania wskazanych we wniosku o wpis do rejestru;
8)
nie wykonuje obowiązków informacyjnych, o których
mowa w art.
19 ust. 2
rozporządzenia 910/2014;
9)
uniemożliwia lub utrudnia audytorowi organu nadzoru wykonywanie
czynności audytowych;
10)
nie posiada planu zakończenia działalności lub nie
stosuje go do zakończenia działalności;
11)
nie wykona obowiązku, o którym mowa w art. 20 ust. 3 lub
4;
12)
nie wykona obowiązku, o którym mowa w art. 13 ust. 1.
Art.
47. [Nałożenie i wysokość kary pieniężnej]
1.
Kary pieniężne, o których mowa w art. 46, art. 47a i
art. 47b, nakłada, w drodze decyzji, minister właściwy
do spraw informatyzacji.
2.
Wysokość kary pieniężnej, o której mowa w
art. 46:
1)
pkt 1-9 i 12, wynosi do 50 000 zł;
2)
pkt 10, wynosi do 10 000 zł;
3)
pkt 11, wynosi do 100 000 zł.
Art.
47a. [Kara pieniężna za nieuprawnione gromadzenie,
przetwarzanie lub powielanie danych dotyczących wykorzystania
środka identyfikacji elektronicznej]
Kto
w sposób nieuprawniony gromadzi, przetwarza lub powiela dane
dotyczące wykorzystania środka identyfikacji
elektronicznej, wydanego w systemie identyfikacji elektronicznej
przyłączonym do węzła krajowego,
podlega
karze pieniężnej w wysokości do 1 000 000
zł.
Art.
47b. [Kara pieniężna za dopuszczenie do
uwierzytelnienia z wykorzystaniem środka identyfikacji
elektronicznej niepozostającego pod wyłączną
kontrolą osoby, której ten środek wydano]
Podmiot
odpowiedzialny za system identyfikacji elektronicznej przyłączony
do węzła krajowego, który w wyniku świadomego
działania lub zaniechania dopuścił w swoim systemie
identyfikacji elektronicznej do uwierzytelnienia z wykorzystaniem
środka identyfikacji elektronicznej, co do którego
posiada wiedzę, że nie pozostaje on pod wyłączną
kontrolą osoby, której ten środek wydano,
podlega
karze pieniężnej w wysokości do 1 000 000
zł.
Art.
48. [Ustalanie wysokości kary pieniężnej]
Przy
ustalaniu wysokości kary pieniężnej, o której
mowa w art. 46, minister właściwy do spraw informatyzacji
uwzględnia zakres, czas trwania i skutki naruszenia wymagań,
o których mowa w przepisach o usługach zaufania.
Art.
49. [Stosowanie do kar pieniężnych przepisów o
zobowiązaniach podatkowych i postępowaniu podatkowym]
Do
kar pieniężnych stosuje się odpowiednio przepisy
działu
III
i IV
ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z
2018 r. poz. 800, z późn. zm.).
Rozdział
8
Zmiany
w przepisach
Art.
50.
W
ustawie
z dnia 14 czerwca 1960 r. - Kodeks postępowania
administracyjnego (Dz. U. z 2016 r. poz. 23, 868 i 996) wprowadza się
następujące zmiany: (zmiany pominięte).
Art.
51.
W
ustawie
z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2016 r. poz.
380 i 585) wprowadza się następujące zmiany: (zmiany
pominięte).
Art.
52.
W
ustawie
z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz.
U. z 2014 r. poz. 101, z późn. zm.) wprowadza się
następujące zmiany: (zmiany pominięte).
Art.
53.
W
ustawie
z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w
administracji (Dz. U. z 2016 r. poz. 599, 868, 1228 i 1244) wprowadza
się następujące zmiany: (zmiany pominięte).
Art.
54.
W
ustawie
z dnia 26 maja 1982 r. - Prawo o adwokaturze (Dz. U. z 2015 r. poz.
615, 1064, 1224, 1255 i 1311) w art.
37b
ust. 2 otrzymuje brzmienie: (zmiany pominięte).
Art.
55.
W
ustawie
z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2016 r. poz. 233)
w art.
229
ust. 2 otrzymuje brzmienie: (zmiany pominięte).
Art.
56.
W
ustawie
z dnia 15 listopada 1984 r. o podatku rolnym (Dz. U. z 2016 r. poz.
617) w art.
6a
w ust. 13 pkt 3 otrzymuje brzmienie: (zmiany pominięte).
Art.
57.
W
ustawie
z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2016 r.
poz. 446) w art.
68
ust. 1d otrzymuje brzmienie: (zmiany pominięte).
Art.
58.
W
ustawie
z dnia 12 stycznia 1991 r. o podatkach i opłatach lokalnych (Dz.
U. z 2016 r. poz. 716) w art.
6
w ust. 15 pkt 3 otrzymuje brzmienie: (zmiany pominięte).
Art.
59.
W
ustawie
z dnia 14 lutego 1991 r. - Prawo o notariacie (Dz. U. z 2014 r. poz.
164, z późn. zm.) wprowadza się następujące
zmiany:(zmiany pominięte).
Art.
60.
W
ustawie
z dnia 6 grudnia 1996 r. o zastawie rejestrowym i rejestrze zastawów
(Dz. U. z 2016 r. poz. 297) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
61.
W
ustawie
z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U.
z 2016 r. poz. 687 i 996) w art.
19
w ust. 2b zdanie pierwsze otrzymuje brzmienie: (zmiany pominięte).
Art.
62.
W
ustawie
z dnia 21 sierpnia 1997 r. o gospodarce nieruchomościami (Dz. U.
z 2015 r. poz. 1774 i 1777 oraz z 2016 r. poz. 65, 1250 i 1271) w
art.
158
ust. 2 otrzymuje brzmienie: (zmiany pominięte).
Art.
63.
W
ustawie
z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2015 r.
poz. 613, z późn. zm.) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
64.
W
ustawie
z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2015 r. poz.
128, z późn. zm.) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
65.
W
ustawie
z dnia 4 września 1997 r. o działach administracji rządowej
(Dz. U. z 2016 r. poz. 543, 749, 1020 i 1250) wprowadza się
następujące zmiany: (zmiany pominięte).
Art.
66.
W
ustawie
z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2016
r. poz. 814) w art.
68
ust. 5 otrzymuje brzmienie: (zmiany pominięte).
Art.
67.
W
ustawie
z dnia 13 października 1998 r. o systemie ubezpieczeń
społecznych (Dz. U. z 2016 r. poz. 963 i 1247) wprowadza się
następujące zmiany: (zmiany pominięte).
Art.
68.
W
ustawie
z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych
z ubezpieczenia społecznego w razie choroby i macierzyństwa
(Dz. U. z 2016 r. poz. 372, 960 i 1265) wprowadza się
następujące zmiany: (zmiany pominięte).
Art.
69.
W
ustawie
z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2015 r.
poz. 1036 i 1629 oraz z 2016 r. poz. 862) wprowadza się
następujące zmiany: (zmiany pominięte).
Art.
70.
W
ustawie
z dnia 20 lipca 2000 r. o ogłaszaniu aktów normatywnych i
niektórych innych aktów prawnych (Dz. U. z 2016 r. poz.
296) w art.
15:
(zmiany pominięte).
Art.
71.
W
ustawie
z dnia 15 września 2000 r. - Kodeks spółek
handlowych (Dz. U. z 2016 r. poz. 1578) wprowadza się
następujące zmiany: (zmiany pominięte).
Art.
72.
W
ustawie
z dnia 29 listopada 2000 r. - Prawo atomowe (Dz. U. z 2014 r. poz.
1512, z 2015 r. poz. 1505 i 1893 oraz z 2016 r. poz. 266 i 1343)
wprowadza się następujące zmiany: (zmiany pominięte).
Art.
73.
W
ustawie
z dnia 11 kwietnia 2001 r. o rzecznikach patentowych (Dz. U. z 2016
r. poz. 221) w art.
17a
ust. 2 i 3 otrzymują brzmienie: (zmiany pominięte).
Art.
74.
W
ustawie
z dnia 22 czerwca 2001 r. o wykonywaniu działalności
gospodarczej w zakresie wytwarzania i obrotu materiałami
wybuchowymi, bronią, amunicją oraz wyrobami i technologią
o przeznaczeniu wojskowym lub policyjnym (Dz. U. z 2012 r. poz. 1017,
z 2013 r. poz. 1650, z 2015 r. poz. 1893 oraz z 2016 r. poz. 544) w
art.
30
ust. 4 otrzymuje brzmienie: (zmiany pominięte).
Art.
75.
W
ustawie
z dnia 27 lipca 2001 r. - Prawo o ustroju sądów
powszechnych (Dz. U. z 2015 r. poz. 133, z późn. zm.)
wprowadza się następujące zmiany: (zmiany pominięte).
Art.
76.
W
ustawie
z dnia 27 lipca 2001 r. o diagnostyce laboratoryjnej (Dz. U. z 2014
r. poz. 1384, z późn. zm.) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
77.
W
ustawie
z dnia 6 września 2001 r. o transporcie drogowym (Dz. U. z 2013
r. poz. 1414, z późn. zm.) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
78.
W
ustawie
z dnia 6 września 2001 r. - Prawo farmaceutyczne (Dz. U. z 2008
r. poz. 271, z późn. zm.) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
79.
W
ustawie
z dnia 21 czerwca 2002 r. o materiałach wybuchowych
przeznaczonych do użytku cywilnego (Dz. U. z 2015 r. poz. 1100 i
1893 oraz z 2016 r. poz. 544 i 1250) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
80.
W
ustawie
z dnia 18 lipca 2002 r. o świadczeniu usług drogą
elektroniczną (Dz. U. z 2016 r. poz. 1030) w art.
7
w pkt 1 lit. b otrzymuje brzmienie: (zmiany pominięte).
Art.
81.
W
ustawie
z dnia 30 października 2002 r. o podatku leśnym (Dz. U. z
2016 r. poz. 374) w art.
6
w ust. 11 pkt 3 otrzymuje brzmienie: (zmiany pominięte).
Art.
82.
W
ustawie
z dnia 28 lutego 2003 r. - Prawo upadłościowe (Dz. U. z
2015 r. poz. 233, z późn. zm.) w art.
216a
ust. 1 otrzymuje brzmienie: (zmiany pominięte).
Art.
83.
W
ustawie
z dnia 27 marca 2003 r. o planowaniu i zagospodarowaniu przestrzennym
(Dz. U. z 2016 r. poz. 778, 903, 961 i 1250) w art.
18
ust. 3 otrzymuje brzmienie: (zmiany pominięte).
Art.
84.
W
ustawie
z dnia 11 kwietnia 2003 r. o kształtowaniu ustroju rolnego (Dz.
U. z 2012 r. poz. 803 oraz z 2016 r. poz. 585 i 1159) w art.
3a
w ust. 2 pkt 1 otrzymuje brzmienie: (zmiany pominięte).
Art.
85.
W
ustawie
z dnia 28 listopada 2003 r. o świadczeniach rodzinnych (Dz. U. z
2016 r. poz. 1518) w art.
23:
(zmiany pominięte).
Art.
86.
W
ustawie
z dnia 28 listopada 2003 r. o wspieraniu rozwoju obszarów
wiejskich ze środków pochodzących z Sekcji Gwarancji
Europejskiego Funduszu Orientacji i Gwarancji Rolnej (Dz. U. z 2014
r. poz. 1613) w art.
5
ust. 4c otrzymuje brzmienie: (zmiany pominięte).
Art.
87.
W
ustawie
z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych
(Dz. U. z 2015 r. poz. 2164 oraz z 2016 r. poz. 831, 996, 1020, 1250
i 1265) wprowadza się następujące zmiany: (zmiany
pominięte).
Art.
88.
W
ustawie
z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.
U. z 2016 r. poz. 710, 846, 960, 1052, 1206 i 1228) w art.
106m
w ust. 5 pkt 1 otrzymuje brzmienie: (zmiany pominięte).
Art.
89.
W
ustawie
z dnia 19 marca 2004 r. - Prawo celne (Dz. U. z 2015 r. poz. 858,
1649, 1844 i 1893 oraz z 2016 r. poz. 65 i 1228) art.
10b
otrzymuje brzmienie: (zmiany pominięte).
Art.
90.
W
ustawie
z dnia 20 kwietnia 2004 r. o organizacji rynku mleka i przetworów
mlecznych (Dz. U. z 2016 r. poz. 155) w art.
48a
ust. 4 otrzymuje brzmienie: (zmiany pominięte).
Art.
91.
W
ustawie
z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach
rynku pracy (Dz. U. z 2016 r. poz. 645, 691, 868 i 1265) wprowadza
się następujące zmiany: (zmiany pominięte).
Art.
92.
W
ustawie
z dnia 2 lipca 2004 r. o swobodzie działalności
gospodarczej (Dz. U. z 2015 r. poz. 584, z późn. zm.)
wprowadza się następujące zmiany: (zmiany pominięte).
Art.
93.
W
ustawie
z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2016 r.
poz. 1489) w art.
60b
w ust. 3 w pkt 2 lit. b otrzymuje brzmienie: (zmiany pominięte).
Art.
94.
W
ustawie
z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej
finansowanych ze środków publicznych (Dz. U. z 2015 r.
poz. 581, z późn. zm.) w art.
56
w ust. 1 pkt 2 otrzymuje brzmienie: (zmiany pominięte).
Art.
95.
W
ustawie
z dnia 25 listopada 2004 r. o zawodzie tłumacza przysięgłego
(Dz. U. z 2016 r. poz. 1222) w art.
18
ust. 1a otrzymuje brzmienie: (zmiany pominięte).
Art.
96.
W
ustawie
z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne (Dz. U. z 2014
r. poz. 1114 oraz z 2016 r. poz. 352) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
97.
W
ustawie
z dnia 8 lipca 2005 r. o Prokuratorii Generalnej Skarbu Państwa
(Dz. U. z 2016 r. poz. 1313) w art.
17a
ust. 2 i 3 otrzymują brzmienie: (zmiany pominięte).
Art.
98.
W
ustawie
z dnia 29 lipca 2005 r. o systemie tachografów cyfrowych (Dz.
U. poz. 1494, z 2007 r. poz. 661, z 2011 r. poz. 622 i 1016 oraz z
2015 r. poz. 1893) w art.
21
ust. 2 otrzymuje brzmienie: (zmiany pominięte).
Art.
99.
W
ustawie
z dnia 25 sierpnia 2006 r. o bezpieczeństwie żywności
i żywienia (Dz. U. z 2015 r. poz. 594 i 1893 oraz z 2016 r. poz.
65 i 1228) w art.
29
ust. 5 i 6 otrzymują brzmienie: (zmiany pominięte).
Art.
100.
W
ustawie
z dnia 7 marca 2007 r. o wspieraniu rozwoju obszarów wiejskich
z udziałem środków Europejskiego Funduszu Rolnego na
rzecz Rozwoju Obszarów Wiejskich w ramach Programu Rozwoju
Obszarów Wiejskich na lata 2007-2013 (Dz. U. z 2016 r. poz.
1387) w art.
24
ust. 3 otrzymuje brzmienie: (zmiany pominięte).
Art.
101.
W
ustawie
z dnia 7 września 2007 r. o pomocy osobom uprawnionym do
alimentów (Dz. U. z 2016 r. poz. 169 i 195) w art.
15:
(zmiany pominięte).
Art.
102.
W
ustawie
z dnia 10 lipca 2008 r. o odpadach wydobywczych (Dz. U. z 2013 r.
poz. 1136 oraz z 2014 r. poz. 1101) w art.
15a
w ust. 3 pkt 3 otrzymuje brzmienie: (zmiany pominięte).
Art.
103.
W
ustawie
z dnia 3 października 2008 r. o udostępnianiu informacji o
środowisku i jego ochronie, udziale społeczeństwa w
ochronie środowiska oraz o ocenach oddziaływania na
środowisko (Dz. U. z 2016 r. poz. 353, 831, 961 i 1250)
wprowadza się następujące zmiany: (zmiany pominięte).
Art.
104.
W
ustawie
z dnia 25 czerwca 2009 r. o rolnictwie ekologicznym (Dz. U. z 2015 r.
poz. 497 oraz z 2016 r. poz. 1001) w art.
17
w ust. 1 pkt 1 otrzymuje brzmienie: (zmiany pominięte).
Art.
105.
W
ustawie
z dnia 5 listopada 2009 r. o spółdzielczych kasach
oszczędnościowo-kredytowych (Dz. U. z 2013 r. poz. 1450, z
późn. zm.) w art.
28
dotychczasową treść oznacza się jako ust. 1 i
dodaje się ust. 2 w brzmieniu: (zmiany pominięte).
Art.
106.
W
ustawie
z dnia 20 maja 2010 r. o wyrobach medycznych (Dz. U. z 2015 r. poz.
876 i 1918 oraz z 2016 r. poz. 542 i 1228) wprowadza się
następujące zmiany: (zmiany pominięte).
Art.
107.
W
ustawie
z dnia 6 sierpnia 2010 r. o dowodach osobistych (Dz. U. z 2016 r.
poz. 391 i 862) wprowadza się następujące zmiany:
(zmiany pominięte).
Art.
108.
W
ustawie
z dnia 5 stycznia 2011 r. o kierujących pojazdami (Dz. U. z 2016
r. poz. 627, 904 i 1241) w art.
27
ust. 6 otrzymuje brzmienie: (zmiany pominięte).
Art.
109.
W
ustawie
z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia
(Dz. U. z 2016 r. poz. 1535) w art.
17
w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie: (zmiany
pominięte).
Art.
110.
W
ustawie
z dnia 12 maja 2011 r. o refundacji leków, środków
spożywczych specjalnego przeznaczenia żywieniowego oraz
wyrobów medycznych (Dz. U. z 2016 r. poz. 1536) w art.
38:
(zmiany pominięte).
Art.
111.
W
ustawie
z dnia 14 grudnia 2012 r. o odpadach (Dz. U. z 2013 r. poz. 21, z
późn. zm.) w art.
65
ust. 2 otrzymuje brzmienie: (zmiany pominięte).
Art.
112.
W
ustawie
z dnia 10 stycznia 2014 r. o zmianie ustawy o informatyzacji
działalności podmiotów realizujących zadania
publiczne oraz niektórych innych ustaw (Dz. U. poz. 183 oraz z
2015 r. poz. 1311) wprowadza się następujące zmiany:
(zmiany pominięte).
Art.
113.
W
ustawie
z dnia 14 marca 2014 r. o zasadach prowadzenia zbiórek
publicznych (Dz. U. poz. 498) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
114.
W
ustawie
z dnia 11 lipca 2014 r. o zasadach realizacji programów w
zakresie polityki spójności finansowanych w perspektywie
finansowej 2014-2020 (Dz. U. z 2016 r. poz. 217) w art.
70
ust. 1 otrzymuje brzmienie: (zmiany pominięte).
Art.
115.
W
ustawie
z dnia 11 lipca 2014 r. o petycjach (Dz. U. poz. 1195) w art.
4
ust. 5 otrzymuje brzmienie: (zmiany pominięte).
Art.
116.
W
ustawie
z dnia 28 listopada 2014 r. - Prawo o aktach stanu cywilnego (Dz. U.
poz. 1741, z późn. zm.) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
117.
W
ustawie
z dnia 5 grudnia 2014 r. o Karcie Dużej Rodziny (Dz. U. z 2016
r. poz. 785) w art.
10
ust. 10-12 otrzymują brzmienie: (zmiany pominięte).
Art.
118.
W
ustawie
z dnia 5 lutego 2015 r. o płatnościach w ramach systemów
wsparcia bezpośredniego (Dz. U. poz. 1551 oraz z 2016 r. poz.
337) wprowadza się następujące zmiany: (zmiany
pominięte).
Art.
119.
W
ustawie
z dnia 20 lutego 2015 r. o wspieraniu rozwoju obszarów
wiejskich z udziałem środków Europejskiego Funduszu
Rolnego na rzecz Rozwoju Obszarów Wiejskich w ramach Programu
Rozwoju Obszarów Wiejskich na lata 2014-2020 (Dz. U. poz. 349
i 1888 oraz z 2016 r. poz. 337) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
120.
W
ustawie
z dnia 20 lutego 2015 r. o odnawialnych źródłach
energii (Dz. U. poz. 478 i 2365 oraz z 2016 r. poz. 925) wprowadza
się następujące zmiany: (zmiany pominięte).
Art.
121.
W
ustawie
z dnia 15 maja 2015 r. o substancjach zubożających warstwę
ozonową oraz o niektórych fluorowanych gazach
cieplarnianych (Dz. U. poz. 881) wprowadza się następujące
zmiany: (zmiany pominięte).
Art.
122.
W
ustawie
z dnia 15 maja 2015 r. - Prawo restrukturyzacyjne (Dz. U. z 2016 r.
poz. 1574) w art.
203
ust. 2 otrzymuje brzmienie: (zmiany pominięte).
Art.
123.
W
ustawie
z dnia 12 czerwca 2015 r. o systemie handlu uprawnieniami do emisji
gazów cieplarnianych (Dz. U. poz. 1223 oraz z 2016 r. poz. 266
i 542) wprowadza się następujące zmiany: (zmiany
pominięte).
Art.
124.
W
ustawie
z dnia 25 czerwca 2015 r. - Prawo konsularne (Dz. U. poz. 1274)
wprowadza się następujące zmiany: (zmiany pominięte).
Art.
125.
W
ustawie
z dnia 9 października 2015 r. o wykonywaniu Umowy między
Rządem Rzeczypospolitej Polskiej a Rządem Stanów
Zjednoczonych Ameryki w sprawie poprawy wypełniania
międzynarodowych obowiązków podatkowych oraz
wdrożenia ustawodawstwa FATCA (Dz. U. poz. 1712) w art.
8
w ust. 11 pkt 9 otrzymuje brzmienie: (zmiany pominięte).
Art.
126.
W
ustawie
z dnia 9 października 2015 r. o zmianie ustawy o systemie
informacji w ochronie zdrowia oraz niektórych innych ustaw
(Dz. U. poz. 1991 oraz z 2016 r. poz. 65, 580, 652 i 832) wprowadza
się następujące zmiany: (zmiany pominięte).
Art.
127.
W
ustawie
z dnia 28 stycznia 2016 r. - Prawo o prokuraturze (Dz. U. poz. 177) w
art.
68
§ 2 otrzymuje brzmienie: (zmiany pominięte).
Art.
128.
W
ustawie
z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci
(Dz. U. poz. 195) w art.
13:
(zmiany pominięte).
Art.
129.
W
ustawie
z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru
rynku (Dz. U. poz. 542 i 1228) w art.
23
ust. 4 otrzymuje brzmienie: (zmiany pominięte).
Art.
130.
W
ustawie
z dnia 22 czerwca 2016 r. o zmianie ustawy - Prawo zamówień
publicznych oraz niektórych innych ustaw (Dz. U. poz. 1020) w
art.
18
pkt 4 otrzymuje brzmienie: (zmiany pominięte).
Rozdział
9
Przepisy
przejściowe
Art.
131. [Bezpieczny podpis elektroniczny weryfikowany za pomocą
ważnego kwalifikowanego certyfikatu]
Bezpieczny
podpis elektroniczny weryfikowany za pomocą ważnego
kwalifikowanego certyfikatu w rozumieniu ustawy
z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z
2013 r. poz. 262, z 2014 r. poz. 1662 oraz z 2015 r. poz. 1893) jest
kwalifikowanym podpisem elektronicznym w rozumieniu niniejszej
ustawy.
Art.
132. [Utrzymanie w mocy zaświadczeń, poświadczeń
i certyfikatów wydanych przed wejściem w życie
ustawy]
1.
Zaświadczenia certyfikacyjne, poświadczenia elektroniczne i
certyfikaty wydane zgodnie z przepisami ustawy
z dnia 18 września 2001 r. o podpisie elektronicznym zachowują
ważność przez okres w nich wskazany, o ile nie zostaną
unieważnione.
2.
Do zaświadczeń certyfikacyjnych, poświadczeń
elektronicznych i certyfikatów, o których mowa w ust.
1, stosuje się odpowiednio przepisy dotyczące certyfikatów
krajowych dostawców usług zaufania oraz narodowego
centrum certyfikacji.
Art.
133. [Rejestr kwalifikowanych podmiotów świadczących
usługi certyfikacyjne; usługa znakowania czasem]
1.
Rejestr kwalifikowanych podmiotów świadczących
usługi certyfikacyjne, o którym mowa w art.
23 ust. 1
ustawy z dnia 18 września 2001 r. o podpisie elektronicznym,
staje się rejestrem dostawców usług zaufania w
rozumieniu niniejszej ustawy.
2.
Usługę znakowania czasem, o której mowa w art.
3 pkt 16
ustawy z dnia 18 września 2001 r. o podpisie elektronicznym,
wpisaną do rejestru, o którym mowa w art.
23 ust. 1
tej ustawy, uznaje się za usługę elektronicznego
znacznika czasu.
3.
Elektroniczny znacznik czasu, o którym mowa w ust. 2, wywołuje
skutki prawne określone w art.
7 ust. 2
i 3
ustawy z dnia 18 września 2001 r. o podpisie elektronicznym.
Art.
134. [Utrzymanie w mocy upoważnienia NBP do wytwarzania i
wydawania zaświadczeń certyfikacyjnych]
Upoważnienie
udzielone Narodowemu Bankowi Polskiemu przez ministra właściwego
do spraw gospodarki na podstawie art.
23 ust. 5
ustawy z dnia 18 września 2001 r. o podpisie elektronicznym
zachowuje moc do chwili odwołania przez ministra właściwego
do spraw informatyzacji.
Art.
135. [Przepis przejściowy]
1.
Postępowania wszczęte i prowadzone przed dniem wejścia
w życie niniejszej ustawy przed ministrem właściwym do
spraw gospodarki w sprawach, w których właściwy na
mocy przepisów niniejszej ustawy staje się minister
właściwy do spraw informatyzacji, są prowadzone na
podstawie przepisów dotychczasowych przez ministra właściwego
do spraw informatyzacji.
2.
Minister właściwy do spraw gospodarki, w terminie 14 dni od
dnia wejścia w życie niniejszej ustawy, przekaże
ministrowi właściwemu do spraw informatyzacji dokumentację
w zakresie przejętych przez niego spraw.
3.
Z dniem wejścia w życie niniejszej ustawy stroną
udzielonych upoważnień lub umów zawartych przez
ministra właściwego do spraw gospodarki w zakresie spraw
przekazanych na podstawie niniejszej ustawy staje się minister
właściwy do spraw informatyzacji.
Art.
136. [Obowiązek dostosowania statutów banków
do przepisów ustawy]
Banki
wykonujące czynności, o których mowa w art.
6 ust. 1 pkt 6a
ustawy zmienianej w art. 64, w brzmieniu dotychczasowym, są
obowiązane dostosować statuty do przepisów ustawy
zmienianej w art. 64, w brzmieniu nadanym niniejszą ustawą,
w terminie 12 miesięcy od dnia wejścia w życie
niniejszej ustawy.
Art.
137. [Przepis przejściowy w zakresie składania
zaawansowanych podpisów elektronicznych lub zaawansowanych
pieczęci elektronicznych]
1.
Do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów
elektronicznych lub zaawansowanych pieczęci elektronicznych
można stosować funkcję skrótu SHA-1, chyba że
wymagania techniczne wynikające z aktów wykonawczych
wydanych na podstawie rozporządzenia
910/2014 wyłączą możliwość stosowania
tej funkcji skrótu.
2.
Dostawcy usług zaufania, producenci oprogramowania oraz podmioty
publiczne obowiązani są do odpowiedniego dostosowania
oprogramowania oraz systemów teleinformatycznych do zmian i
terminu określonych w ust. 1.
Art.
138. [Umowy ubezpieczenia OC zawarte przed wejściem w
życie ustawy]
Do
umów ubezpieczenia odpowiedzialności cywilnej, o których
mowa w art.
10 ust. 1 pkt 4
ustawy z dnia 18 września 2001 r. o podpisie elektronicznym,
zawartych przed dniem wejścia w życie niniejszej ustawy
stosuje się przepisy dotychczasowe.
Art.
139. [Utrzymanie w mocy przepisów wykonawczych]
Dotychczasowe
przepisy wykonawcze wydane na podstawie art.
10 ust. 5
ustawy z dnia 18 września 2001 r. o podpisie elektronicznym
zachowują moc do dnia wejścia w życie przepisów
wykonawczych wydanych na podstawie art. 13 ust. 4, jednak nie dłużej
niż 3 miesiące od dnia wejścia w życie niniejszej
ustawy.
Art.
140. [Przeniesienie dochodów i wydatków
budżetowych]
Prezes
Rady Ministrów dokona, w drodze rozporządzenia,
przeniesienia planowanych dochodów i wydatków
budżetowych, w tym wynagrodzeń oraz limitów
zatrudnienia, między częścią budżetu
państwa, której dysponentem jest minister właściwy
do spraw gospodarki, a częścią, której
dysponentem jest minister właściwy do spraw informatyzacji,
z zachowaniem przeznaczenia środków publicznych
wynikających z ustawy budżetowej.
Rozdział
10
Przepisy
końcowe
Art.
141. [Przepis derogacyjny]
Traci
moc ustawa
z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z
2013 r. poz. 262, z 2014 r. poz. 1662 oraz z 2015 r. poz. 1893).
Art.
142. [Wejście w życie ustawy]
Ustawa
wchodzi w życie po upływie 7 dni od dnia ogłoszenia, z
wyjątkiem art. 22 oraz art. 24-26, które wchodzą w
życie z dniem 29 września 2018 r.
1 Niniejsza
ustawa służy stosowaniu rozporządzenia
Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014
r. w sprawie identyfikacji elektronicznej i usług zaufania w
odniesieniu do transakcji elektronicznych na rynku wewnętrznym
oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z
28.08.2014, str. 73).