Rozdział 3 - Działalność dostawców usług zaufania - Usługi zaufania oraz identyfikacja elektroniczna.

Dziennik Ustaw

Dz.U.2024.422 t.j.

Akt obowiązujący
Wersja od: 20 marca 2024 r.

Rozdział  3

Działalność dostawców usług zaufania

Art.  13.  [Obowiązek zawarcia umowy ubezpieczenia OC]
1. 
Kwalifikowany dostawca usług zaufania jest obowiązany zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług zaufania powstałe w okresie świadczenia usług zaufania, w terminie 30 dni od dnia dokonania wpisu kwalifikowanej usługi zaufania do rejestru, nie później niż jeden dzień przed dniem rozpoczęcia świadczenia tej usługi.
2. 
Kwalifikowany dostawca usług zaufania jest obowiązany, w terminie 30 dni od dnia doręczenia decyzji o wpisie do rejestru, przekazać ministrowi właściwemu do spraw informatyzacji, drogą elektroniczną, kopię umowy, o której mowa w ust. 1.
3. 
Kwalifikowany dostawca usług zaufania jest obowiązany, w terminie 7 dni od dnia upływu okresu ubezpieczenia, przekazać ministrowi właściwemu do spraw informatyzacji, drogą elektroniczną, kopię kolejnej umowy ubezpieczenia.
4. 
Minister właściwy do spraw instytucji finansowych w porozumieniu z ministrem właściwym do spraw informatyzacji, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w drodze rozporządzenia, szczegółowy zakres ubezpieczenia, o którym mowa w ust. 1, oraz minimalną sumę gwarancyjną, uwzględniając specyfikę działalności prowadzonej przez kwalifikowanych dostawców usług zaufania.
Art.  14.  [Obowiązki przy wydawaniu kwalifikowanego certyfikatu podpisu elektronicznego]

Kwalifikowany dostawca usług zaufania, wydając kwalifikowany certyfikat podpisu elektronicznego, jest obowiązany:

1)
uzyskać od osoby ubiegającej się o certyfikat potwierdzenie przyporządkowania do niej danych służących do weryfikacji podpisu elektronicznego, które są zawarte w wydanym certyfikacie;
2)
poinformować osobę ubiegającą się o certyfikat o procedurze zgłaszania żądań unieważnienia kwalifikowanego certyfikatu.
Art.  15.  [Obowiązek zachowania tajemnicy]
1. 
Informacje i dane związane ze świadczeniem usług zaufania, których ujawnienie mogłoby narazić na szkodę dostawcę usług zaufania lub odbiorcę usług zaufania, w szczególności dane do składania podpisów elektronicznych lub pieczęci elektronicznych, są objęte tajemnicą.
2. 
Tajemnicą, o której mowa w ust. 1, nie są objęte informacje o naruszeniach przepisów o usługach zaufania przez dostawcę usług zaufania oraz informacje o naruszeniach bezpieczeństwa i utracie integralności, o których mowa w art. 19 ust. 2 rozporządzenia 910/2014.
3. 
Do zachowania tajemnicy, o której mowa w ust. 1, są obowiązane:
1)
osoby pozostające z dostawcą usług zaufania w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze;
2)
osoby pozostające z podmiotami świadczącymi usługi na rzecz dostawcy usług zaufania w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze.
4. 
Osoby, o których mowa w ust. 3, mają obowiązek udzielenia informacji i danych, o których mowa w ust. 1, z wyjątkiem danych do składania podpisów elektronicznych lub pieczęci elektronicznych, wyłącznie na żądanie:
1)
sądu lub prokuratora - w związku z toczącym się postępowaniem;
2)
ministra właściwego do spraw informatyzacji - w związku ze sprawowaniem przez niego nadzoru nad działalnością dostawców usług zaufania;
3)
innych upoważnionych organów - w związku z prowadzonym przez te organy postępowaniem.
5. 
Obowiązek zachowania tajemnicy, o której mowa w ust. 1, trwa przez 10 lat od dnia ustania stosunku prawnego, o którym mowa w ust. 3.
6. 
Obowiązek zachowania w tajemnicy danych do składania podpisu elektronicznego lub pieczęci elektronicznej jest nieograniczony w czasie.
Art.  16.  [Zaawansowany podpis elektroniczny i zaawansowana pieczęć elektroniczna]

Zaawansowany podpis elektroniczny lub zaawansowana pieczęć elektroniczna weryfikowane za pomocą certyfikatu dostawcy usług zaufania służą do opatrywania podpisem elektronicznym lub pieczęcią elektroniczną:

1)
certyfikatów kwalifikowanych, o których mowa w załączniku I lit. g, załączniku III lit. g oraz załączniku IV lit. h do rozporządzenia 910/2014;
2)
informacji o statusie certyfikatów kwalifikowanych, w tym listy zawieszonych lub unieważnionych certyfikatów;
3)
innych certyfikatów związanych ze świadczeniem kwalifikowanych usług zaufania.
Art.  17.  [Przechowywanie dokumentów i danych przez kwalifikowanego dostawcę usług zaufania]
1. 
Kwalifikowany dostawca usług zaufania przechowuje następujące dokumenty i dane związane ze świadczeniem usług zaufania:
1)
potwierdzenie, o którym mowa w art. 14 pkt 1,
2)
listy zawieszonych i unieważnionych kwalifikowanych certyfikatów,
3)
politykę świadczenia usługi,
4)
żądania unieważnienia kwalifikowanego certyfikatu,
5)
inne dokumenty, o ile polityka świadczenia usługi wymagała ich utworzenia i przechowywania

- w sposób umożliwiający odczytanie oraz zapewniający bezpieczeństwo przechowywanych dokumentów i danych.

2. 
Kwalifikowany dostawca usług zaufania jest obowiązany przechowywać dokumenty i dane, o których mowa w ust. 1, z wyłączeniem danych służących do składania podpisu elektronicznego lub pieczęci elektronicznej, przez 20 lat od dnia ich wytworzenia.
Art.  18.  [Ważność certyfikatu jako warunek wywołania skutków prawnych przez podpis elektroniczny lub pieczęć elektroniczną]
1. 
Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne, jeżeli zostały złożone w okresie ważności tego certyfikatu.
2. 
Podpis elektroniczny lub pieczęć elektroniczna złożone w okresie zawieszenia certyfikatu wykorzystywanego do jego weryfikacji nie wywołują skutków prawnych. Informacja o zawieszeniu certyfikatu jest udostępniana w ramach usługi informowania o statusie certyfikatu.
3. 
Po uchyleniu zawieszenia certyfikatu, skutek prawny podpisu elektronicznego lub pieczęci elektronicznej weryfikowanych tym certyfikatem złożonych w trakcie zawieszenia następuje z chwilą uchylenia tego zawieszenia.
Art.  19.  [Polityka świadczenia usługi; plan zakończenia działalności]
1. 
Dostawca usług zaufania jest obowiązany posiadać politykę świadczenia usługi.
2. 
Polityka świadczenia usługi stanowi nazwany zestaw reguł, w szczególności takich jak polityka certyfikacji, określający zasady świadczenia usługi, odpowiedzialność stron, zasady postępowania z danymi i mający zastosowanie do określonego kręgu podmiotów lub zastosowań, o wspólnych dla tego kręgu wymaganiach bezpieczeństwa, opracowywany na podstawie norm lub standardów określających wymagania dla polityk świadczenia usług.
3. 
Kwalifikowany dostawca usług zaufania jest obowiązany posiadać plan zakończenia działalności oraz zastosować ten plan do zakończenia działalności.
4. 
Kwalifikowany dostawca usług zaufania zapewnia możliwość całodobowego zgłaszania żądań unieważnienia kwalifikowanych certyfikatów.
Art.  20.  [Przekazanie ministrowi dokumentów i danych po utracie statusu kwalifikowanego dostawcy usług zaufania; obowiązek zniszczenia danych]
1. 
W przypadku gdy kwalifikowany dostawca usług zaufania utracił status kwalifikowany i żaden inny kwalifikowany dostawca usług zaufania nie przejął jego działalności w zakresie świadczenia usług zaufania, przekazuje on dokumenty i dane, o których mowa w art. 17 ust. 1, ministrowi właściwemu do spraw informatyzacji w terminie 30 dni od dnia utraty statusu kwalifikowanego.
2. 
Minister właściwy do spraw informatyzacji przechowuje dokumenty i dane, o których mowa w art. 17 ust. 1, do końca okresu, o którym mowa w art. 17 ust. 2.
3. 
Kwalifikowany dostawca usług zaufania niszczy niezwłocznie dane do składania przez niego zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej weryfikowanych za pomocą certyfikatu dostawcy usług zaufania, w przypadku gdy polityka świadczenia usługi nie przewiduje dalszego wykorzystania tych danych lub w przypadku unieważnienia certyfikatu dostawcy usług zaufania powiązanego z tymi danymi.
4. 
Kwalifikowany dostawca usług zaufania z czynności, o których mowa w ust. 3, sporządza protokół zniszczenia danych i przekazuje go ministrowi właściwemu do spraw informatyzacji w terminie 7 dni od wykonania tych czynności.
Art.  21.  [Ograniczenie odpowiedzialności dostawcy usług zaufania]

Dostawca usług zaufania nie odpowiada za szkody wynikające z nieprzestrzegania przez odbiorcę usług zaufania zasad określonych w polityce świadczenia usługi, w szczególności za szkody wynikające z:

1)
użycia certyfikatu niezgodnie z zakresem określonym w polityce świadczenia usługi wskazanej w certyfikacie, w tym za szkody wynikające z przekroczenia najwyższej wartości granicznej transakcji, jeżeli wartość ta została wskazana w certyfikacie;
2)
nieprawdziwości danych zawartych w certyfikacie, podanych przez odbiorcę usług zaufania używającego tego certyfikatu, chyba że szkoda była wynikiem niedołożenia należytej staranności przez dostawcę usług zaufania;
3)
przechowywania lub używania przez odbiorców usług zaufania danych do składania podpisu elektronicznego, pieczęci elektronicznej lub uwierzytelniania witryn internetowych w sposób niezapewniający ich ochrony przed nieuprawnionym wykorzystaniem.
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .