Rozdział 5 - Nadzór nad dostawcami usług zaufania - Usługi zaufania oraz identyfikacja elektroniczna.

Dziennik Ustaw

Dz.U.2024.422 t.j.

Akt obowiązujący
Wersja od: 20 marca 2024 r.

Rozdział  5

Nadzór nad dostawcami usług zaufania

Art.  27.  [Zadania i kompetencje ministra w zakresie nadzoru nad dostawcami usług zaufania]
1. 
Nadzór nad dostawcami usług zaufania sprawuje minister właściwy do spraw informatyzacji.
2. 
W zakresie nadzoru, o którym mowa w ust. 1, minister właściwy do spraw informatyzacji:
1)
wykonuje zadania określone w przepisach rozporządzenia 910/2014;
2)
wydaje certyfikaty dostawców usług zaufania;
3)
tworzy certyfikaty narodowego centrum certyfikacji;
4)
może unieważniać certyfikaty, o których mowa w pkt 2 i 3;
5)
w uzasadnionych przypadkach, w drodze decyzji, może żądać niezwłocznego unieważnienia kwalifikowanego certyfikatu przez kwalifikowanego dostawcę usług zaufania;
6)
bada zgodność polityki świadczenia usługi z przepisami o usługach zaufania;
7)
prowadzi rejestr dostawców usług zaufania;
8)
nakłada kary pieniężne;
9)
wykonuje inne zadania określone w przepisach prawa.
3. 
Decyzja, o której mowa w ust. 2 pkt 5, podlega natychmiastowemu wykonaniu. Przepisu art. 61 § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi nie stosuje się.
Art.  28.  [Obowiązek udzielania ministrowi informacji i udostępniania dokumentów]

Dostawca usługi zaufania, na żądanie ministra właściwego do spraw informatyzacji, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych, jest obowiązany udzielać informacji lub udostępniać dokumenty, które są bezpośrednio związane ze świadczonymi usługami zaufania lub mają wpływ na świadczone usługi zaufania, w tym dotyczą zarządzania incydentami związanymi z usługą zaufania.

Art.  29.  [Unieważnienie certyfikatów dostawcy usług zaufania]
1. 
W przypadku odebrania kwalifikowanemu dostawcy usług zaufania statusu kwalifikowanego lub statusu kwalifikowanego świadczonej przez niego usłudze zaufania minister właściwy do spraw informatyzacji, w drodze decyzji, może unieważnić odpowiednie certyfikaty dostawcy usług zaufania, wydane temu dostawcy.
2. 
Unieważniając certyfikaty dostawcy usług zaufania, minister właściwy do spraw informatyzacji bierze pod uwagę stopień zagrożenia bezpieczeństwa świadczenia usług zaufania, możliwość usunięcia tego zagrożenia w inny sposób oraz pewność obrotu.
Art.  30.  [Kompetencje ministra w przypadku prowadzenia przez kwalifikowanego dostawcę działalności niezgodnie z przepisami]

Minister właściwy do spraw informatyzacji w przypadku stwierdzenia, że kwalifikowany dostawca usług zaufania prowadzi działalność niezgodnie z przepisami o usługach zaufania, może:

1)
wezwać kwalifikowanego dostawcę usług zaufania, aby w wyznaczonym terminie:
a)
usunął stwierdzone nieprawidłowości i doprowadził swoją działalność do stanu zgodnego z przepisami o usługach zaufania,
b)
zmienił politykę świadczenia usług lub inne dokumenty związane ze świadczeniem usług zaufania,
c)
unieważnił kwalifikowane certyfikaty wydane z naruszeniem polityki świadczenia usług;
2)
wydać decyzję o odebraniu kwalifikowanemu dostawcy usług zaufania statusu kwalifikowanego lub statusu kwalifikowanego świadczonej przez niego usłudze zaufania.
Art.  31.  [Podmioty przeprowadzające audyt]

Audyt, o którym mowa w art. 20:

1)
ust. 2 rozporządzenia 910/2014 - jest przeprowadzany przez osoby upoważnione przez ministra właściwego do spraw informatyzacji, zwane dalej "audytorami organu nadzoru";
2)
ust. 1 lub 2 rozporządzenia 910/2014 - może być przeprowadzany przy udziale osób upoważnionych przez ministra właściwego do spraw informatyzacji, zwanych dalej "obserwatorami organu nadzoru", w przypadku gdy jest przeprowadzany przez jednostkę oceniającą zgodność.
Art.  32.  [Upoważnienie do przeprowadzenia audytu]
1. 
Audytorzy organu nadzoru oraz obserwatorzy organu nadzoru odpowiednio przeprowadzają audyt albo biorą udział w przeprowadzeniu audytu na podstawie imiennego upoważnienia wydanego przez ministra właściwego do spraw informatyzacji.
2. 
Audytorzy organu nadzoru i obserwatorzy organu nadzoru nie mogą prowadzić działalności gospodarczej w zakresie świadczenia usług zaufania, świadczyć usług zaufania, być wspólnikami albo akcjonariuszami dostawcy usług zaufania ani wykonywać obowiązków osoby reprezentującej lub członka rady nadzorczej albo komisji rewizyjnej tego dostawcy, a także pozostawać z tym dostawcą w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze.
Art.  33.  [Uprawnienia audytorów i obserwatorów]
1. 
Audytorzy organu nadzoru są uprawnieni do:
1)
wstępu do obiektów i pomieszczeń kwalifikowanych dostawców usług zaufania;
2)
wglądu do dokumentów i danych, z wyjątkiem danych do składania podpisów elektronicznych lub pieczęci elektronicznych dostawców usług zaufania i innych informacji, które mogą służyć do odtworzenia tych danych, związanych z działalnością w zakresie usług zaufania;
3)
przetwarzania danych osobowych w zakresie objętym przedmiotem audytu;
4)
przeprowadzania oględzin obiektów oraz innych składników majątkowych związanych ze świadczeniem usług zaufania, a także sprawdzenia przebiegu czynności związanych ze świadczeniem tych usług;
5)
żądania udzielenia ustnych lub pisemnych wyjaśnień od pracowników kwalifikowanych dostawców usług zaufania;
6)
zabezpieczania dokumentów i innych materiałów, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.
2. 
Upoważniony przedstawiciel audytowanego kwalifikowanego dostawcy usług zaufania udziela wyjaśnień lub przedkłada, na żądanie audytora organu nadzoru, dokumenty i inne materiały niezbędne do przeprowadzenia audytu.
3. 
Przepisy ust. 1 pkt 1-4 stosuje się do obserwatorów organu nadzoru.
Art.  34.  [Nałożenie obowiązku usunięcia stwierdzonych niezgodności]

W przypadku gdy wyniki audytu przeprowadzanego na podstawie art. 20 ust. 2 rozporządzenia 910/2014 wykażą niezgodność z przepisami o usługach zaufania, minister właściwy do spraw informatyzacji, po zapoznaniu się z zastrzeżeniami oraz wyjaśnieniami zgłoszonymi przez dostawcę usług zaufania, może wydać decyzję nakładającą na tego dostawcę obowiązek usunięcia stwierdzonych niezgodności w terminie nie krótszym niż 14 dni.

Art.  35.  [Obowiązek tajemnicy]

Audytorzy organu nadzoru i obserwatorzy organu nadzoru są obowiązani do bezterminowego zachowania w tajemnicy informacji uzyskanych w związku z przeprowadzanym audytem, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.

Art.  36.  [Przepisy stosowane do przeprowadzenia audytu dostawców usług zaufania w zakresie nieuregulowanym w ustawie]

W sprawach nieuregulowanych w ustawie, do przeprowadzenia audytu dostawców usług zaufania przez audytorów organu nadzoru stosuje się odpowiednio przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. z 2024 r. poz. 236), z wyłączeniem przepisu art. 55 ust. 1 tej ustawy.

Art.  37.  [Wyznaczenie podmiotu do badania zgodności kwalifikowanych urządzeń do składania podpisów elektronicznych lub pieczęci elektronicznych z wymogami]
1. 
Minister właściwy do spraw informatyzacji może wyznaczyć podmiot badający zgodność kwalifikowanych urządzeń do składania podpisu elektronicznego lub pieczęci elektronicznej z wymogami, o których mowa w załączniku II do rozporządzenia 910/2014.
2. 
Minister właściwy do spraw informatyzacji przekazuje Komisji Europejskiej nazwę i adres wyznaczonego podmiotu, o którym mowa w ust. 1.
Art.  38.  [Wspólne dochodzenia z organami nadzoru z innych państw członkowskich UE]

Minister właściwy do spraw informatyzacji może zawierać porozumienia z organami nadzoru innych państw członkowskich Unii Europejskiej w celu prowadzenia wspólnych postępowań, o których mowa w art. 18 ust. 3 rozporządzenia 910/2014.

Art.  39.  [Sposób zgłaszania przypadków naruszenia bezpieczeństwa lub utraty integralności]

Minister właściwy do spraw informatyzacji, w porozumieniu z innymi organami określonymi w art. 19 ust. 2 rozporządzenia 910/2014, ustala sposób zgłaszania drogą elektroniczną przypadków naruszenia bezpieczeństwa lub utraty integralności, które mają znaczący wpływ na świadczoną usługę zaufania lub przetwarzane w jej ramach dane osobowe.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .