LegalizeObwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 14 listopada 2024 r. w sprawie ogłoszenia jednolitego tekstu ustawy o usługach zaufania oraz identyfikacji elektronicznej
Treść obwieszczenia
Na podstawie art. 16 ust. 1 zdanie pierwsze ustawy z dnia 20 lipca 2000 r. o ogłaszaniu aktów normatywnych i niektórych innych aktów prawnych ogłasza się w załączniku do niniejszego obwieszczenia jednolity tekst ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej , z uwzględnieniem zmian wprowadzonych ustawą z dnia 12 lipca 2024 r. - Przepisy wprowadzające ustawę - Prawo komunikacji elektronicznej oraz zmian wynikających z przepisów ogłoszonych przed dniem 7 listopada 2024 r.
Podany w załączniku do niniejszego obwieszczenia tekst jednolity ustawy nie obejmuje art. 106 i art. 124 ustawy z dnia 12 lipca 2024 r. - Przepisy wprowadzające ustawę - Prawo komunikacji elektronicznej , które stanowią:
Art. 106. Do postępowań dotyczących nałożenia kar pieniężnych, o których mowa w art. 46 pkt 8 ustawy zmienianej w art. 49, wszczętych i niezakończonych przed dniem wejścia w życie art. 49, stosuje się przepisy dotychczasowe.
Art. 124. Ustawa wchodzi w życie po upływie 3 miesięcy od dnia ogłoszenia, z wyjątkiem: 1) art. 1, art. 39 pkt 11 lit. b w zakresie art. 16a ust. 4 pkt 2c i 2d, art. 46 pkt 5, art. 52 pkt 1, art. 63, art. 68 ust. 2, art. 80 ust. 3 i 5-8 oraz art. 120, które wchodzą w życie z dniem następującym po dniu ogłoszenia; 2) art. 44 pkt 9 w zakresie art. 20 ust. 1 pkt 2 lit. b, który wchodzi w życie z dniem 1 grudnia 2024 r.; 3) art. 39 pkt 24 i 27, które wchodzą w życie z dniem 1 stycznia 2025 r.; 4) art. 39 pkt 31, który wchodzi w życie po upływie 14 dni od dnia ogłoszenia; 5) art. 49 i art. 106, które wchodzą w życie z dniem 18 października 2024 r.
Załącznik - Tekst jednolity ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej
Rozdział 1. Przepisy ogólne
Art. 1.
Ustawa określa:
1) krajową infrastrukturę zaufania;
2) działalność dostawców usług zaufania, w tym zawieszanie certyfikatów podpisów elektronicznych i pieczęci elektronicznych;
3) tryb notyfikacji krajowego systemu identyfikacji elektronicznej;
4) nadzór nad dostawcami usług zaufania;
5) krajowy schemat identyfikacji elektronicznej;
6) nadzór nad krajowym schematem identyfikacji elektronicznej;
7) zasady określania i wykorzystywania standardu usługi rejestrowanego doręczenia elektronicznego.
Przepisów ustawy nie stosuje się do identyfikacji elektronicznej lub świadczenia usług zaufania wykorzystywanych wyłącznie w zamkniętych systemach wynikających z przepisów prawa, porozumień lub umów zawartych przez określoną grupę uczestników.
Rozdział 2. Krajowa infrastruktura zaufania
Art. 2.
Minister właściwy do spraw informatyzacji zapewnia funkcjonowanie krajowej infrastruktury zaufania, która obejmuje:
1) rejestr dostawców usług zaufania, zwany dalej „rejestrem”;
2) zaufaną listę;
3) narodowe centrum certyfikacji.
Art. 3.
Rejestr jest prowadzony w postaci elektronicznej.
Rejestr jest jawny. Każdy ma prawo dostępu do danych zawartych w rejestrze.
Do rejestru wpisuje się dostawców usług zaufania, którzy mają siedzibę lub oddział na terytorium Rzeczypospolitej Polskiej, oraz usługi zaufania świadczone przez tych dostawców.
Do rejestru wpisuje się:
1) imię i nazwisko lub firmę (nazwę) dostawcy usług zaufania;
2) adres siedziby i miejsca wykonywania działalności;
3) numer w Krajowym Rejestrze Sądowym - w przypadku dostawców usług zaufania podlegających wpisowi do tego rejestru;
4) numer identyfikacji podatkowej;
5) nazwę polityki świadczenia usług;
6) rodzaj świadczonych usług zaufania;
7) datę rozpoczęcia świadczenia usługi zaufania;
8) datę zakończenia świadczenia usługi zaufania;
9) informację o wystawionych certyfikatach, o których mowa w art. 10 ust. 1 pkt 1;
10) nazwę i adres zakładu ubezpieczeń, z którym dostawca usług zaufania zawarł umowę ubezpieczenia, okres, na jaki umowa ta została zawarta, oraz sumę ubezpieczenia;
11) informacje o zamiarze zaprzestania prowadzenia działalności w zakresie świadczenia usług zaufania lub zamiarze ograniczenia zakresu świadczonych usług zaufania;
12) informacje o otwarciu likwidacji dostawcy usług zaufania oraz datę jego likwidacji;
13) informacje o ogłoszeniu upadłości dostawcy usług zaufania lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe oraz datę zakończenia postępowania upadłościowego;
14) datę wykreślenia z rejestru dostawcy usług zaufania.
Art. 4.
Wpis do rejestru:
1) dostawcy usług zaufania, który zamierza świadczyć kwalifikowane usługi zaufania, lub
2) kwalifikowanej usługi zaufania
- następuje na wniosek dostawcy usług zaufania.
Wniosek o wpis, o którym mowa w ust. 1, zawiera dane i informacje, o których mowa w art. 3 ust. 4 pkt 1-7.
Minister właściwy do spraw informatyzacji udostępnia w Biuletynie Informacji Publicznej formularz wniosku o wpis, o którym mowa w ust. 1.
Do wniosku o wpis, o którym mowa w ust. 1, dołącza się, w postaci elektronicznej:
1) raport z oceny zgodności, o którym mowa w art. 21 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE , zwanego dalej „rozporządzeniem 910/2014”, wydany przez jednostkę oceniającą zgodność;
2) politykę świadczenia usług objętych wnioskiem, zgodnie z którą mają być świadczone usługi zaufania;
3) plan zakończenia działalności, o którym mowa w art. 24 ust. 2 lit. i rozporządzenia 910/2014;
4) dane niezbędne do wystawienia certyfikatu, o którym mowa w art. 10 ust. 1 pkt 1.
Do wniosku o wpis, o którym mowa w ust. 1, można dołączyć kopie dokumentów, o których mowa w ust. 4 pkt 1-3.
Minister właściwy do spraw informatyzacji, po rozpatrzeniu wniosku, o którym mowa w ust. 1, wydaje decyzję o wpisie:
1) dostawcy usług zaufania i świadczonych przez niego usług zaufania do rejestru, jeżeli spełniają wymagania określone w przepisach o usługach zaufania;
2) kwalifikowanej usługi zaufania do rejestru, w przypadku gdy usługa spełnia wymagania określone w przepisach o usługach zaufania.
Decyzja o wpisie, o której mowa w ust. 6, zawiera informacje podlegające wpisowi do rejestru.
Art. 5.
Decyzja, o której mowa w art. 4 ust. 6, jest podstawą do wydania certyfikatu, o którym mowa w art. 10 ust. 1 pkt 1, oraz dokonania wpisu na zaufaną listę i oznacza nadanie statusu kwalifikowanego dostawcy usług zaufania lub świadczonej przez niego usłudze.
Minister właściwy do spraw informatyzacji prowadzi zaufaną listę.
Art. 6.
Wpis do rejestru:
1) niekwalifikowanego dostawcy usług zaufania lub
2) niekwalifikowanej usługi zaufania
- następuje na podstawie zgłoszenia przesłanego w postaci elektronicznej przez dostawcę usług zaufania.
Niekwalifikowany dostawca usług zaufania w zgłoszeniu, o którym mowa w ust. 1, zgłasza co najmniej informacje, o których mowa w art. 3 ust. 4 pkt 1-6.
Art. 7.
Dostawca usług zaufania wpisany do rejestru jest obowiązany informować ministra właściwego do spraw informatyzacji o:
1) każdej zmianie danych wpisanych do rejestru - w terminie 14 dni od zmiany tych danych;
2) zamiarze zaprzestania świadczenia kwalifikowanych usług zaufania, otwarciu jego likwidacji, ogłoszeniu jego upadłości lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe - niezwłocznie.
Art. 8.
Minister właściwy do spraw informatyzacji wykreśla kwalifikowanego dostawcę usług zaufania lub świadczoną przez niego kwalifikowaną usługę zaufania z rejestru w drodze decyzji.
Decyzja o wykreśleniu z rejestru kwalifikowanego dostawcy usług zaufania oznacza odebranie statusu kwalifikowanego temu dostawcy.
Decyzja o wykreśleniu z rejestru kwalifikowanej usługi zaufania oznacza odebranie tej usłudze statusu kwalifikowanego.
Minister właściwy do spraw informatyzacji wydaje decyzję o wykreśleniu z rejestru kwalifikowanego dostawcy usług zaufania lub świadczonej przez niego kwalifikowanej usługi zaufania w przypadku:
1) złożenia przez tego dostawcę wniosku o wykreślenie z rejestru;
2) wykorzystywania certyfikatów, o których mowa w art. 10 ust. 1 pkt 1, w sposób wykraczający poza zakres ich stosowania;
3) o którym mowa w art. 20 ust. 3 rozporządzenia 910/2014;
4) zaprzestania działalności przez kwalifikowanego dostawcę usług zaufania.
Decyzja o wykreśleniu, o której mowa w ust. 1, jest podstawą wykreślenia dostawcy usług zaufania z zaufanej listy oraz może być podstawą do unieważnienia certyfikatów, o których mowa w art. 10 ust. 1 pkt 1.
Minister właściwy do spraw informatyzacji wykreśla niekwalifikowanego dostawcę usług zaufania z rejestru w przypadku ustalenia, że zaprzestał on świadczenia usług zaufania.
Art. 9.
Decyzja o wykreśleniu kwalifikowanego dostawcy usług zaufania z rejestru oraz decyzja o wykreśleniu wpisu kwalifikowanej usługi zaufania z rejestru podlega natychmiastowemu wykonaniu. Przepisu art. 61 § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi nie stosuje się.
W przypadku wykreślenia dostawcy usług zaufania z rejestru w rejestrze pozostawia się informacje o dostawcy i świadczonych przez niego usługach.
Art. 10.
Narodowe centrum certyfikacji:
1) tworzy i wydaje kwalifikowanym dostawcom usług zaufania certyfikaty służące do weryfikacji zaawansowanych podpisów elektronicznych lub pieczęci elektronicznych, o których mowa w załączniku I lit. g, załączniku III lit. g i załączniku IV lit. h do rozporządzenia 910/2014, oraz certyfikatów służących do weryfikacji innych usług zaufania świadczonych przez kwalifikowanych dostawców, zwanych dalej „certyfikatami dostawcy usług zaufania”;
2) publikuje certyfikaty, o których mowa w pkt 1;
3) publikuje listy unieważnionych certyfikatów, o których mowa w pkt 1;
4) tworzy dane do opatrywania pieczęcią elektroniczną certyfikatów, o których mowa w pkt 1, oraz certyfikatów do weryfikacji tych pieczęci, zwanych dalej „certyfikatami narodowego centrum certyfikacji”.
Narodowe centrum certyfikacji realizuje zadania, o których mowa w ust. 1, zgodnie z polityką certyfikacji.
Art. 11.
Na wniosek Prezesa Narodowego Banku Polskiego, minister właściwy do spraw informatyzacji może upoważnić Narodowy Bank Polski do realizacji zadań, o których mowa w art. 10, jak również do prowadzenia rejestru i zaufanej listy.
W przypadku upoważnienia do realizacji zadań, o których mowa w art. 10, polityka certyfikacji narodowego centrum certyfikacji podlega uzgodnieniu z ministrem właściwym do spraw informatyzacji.
W przypadku upoważnienia do realizacji zadań, o których mowa w art. 10, minister właściwy do spraw informatyzacji przekazuje do Narodowego Banku Polskiego kopie dokumentów stanowiących podstawę wpisu do rejestru lub wykreślenia z rejestru albo zmian wpisów w rejestrze.
Art. 12.
Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia:
1) wymagania organizacyjno-techniczne krajowej infrastruktury zaufania,
2) szczegółową treść wpisów w rejestrze oraz sposób ich dokonywania,
3) tryb wydawania i unieważniania certyfikatów dostawcy usług zaufania oraz certyfikatów narodowego centrum certyfikacji,
4) wymagania dla polityki certyfikacji narodowego centrum certyfikacji,
5) wymagania bezpieczeństwa krajowej infrastruktury zaufania
- uwzględniając konieczność zapewnienia ochrony tajemnicy przedsiębiorstwa i interesów odbiorców usług zaufania oraz interoperacyjność systemów stosowanych przez dostawców usług zaufania oraz krajową infrastrukturę zaufania.
Rozdział 3. Działalność dostawców usług zaufania
Art. 13.
Kwalifikowany dostawca usług zaufania jest obowiązany zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług zaufania powstałe w okresie świadczenia usług zaufania, w terminie 30 dni od dnia dokonania wpisu kwalifikowanej usługi zaufania do rejestru, nie później niż jeden dzień przed dniem rozpoczęcia świadczenia tej usługi.
Kwalifikowany dostawca usług zaufania jest obowiązany, w terminie 30 dni od dnia doręczenia decyzji o wpisie do rejestru, przekazać ministrowi właściwemu do spraw informatyzacji, drogą elektroniczną, kopię umowy, o której mowa w ust. 1.
Kwalifikowany dostawca usług zaufania jest obowiązany, w terminie 7 dni od dnia upływu okresu ubezpieczenia, przekazać ministrowi właściwemu do spraw informatyzacji, drogą elektroniczną, kopię kolejnej umowy ubezpieczenia.
Minister właściwy do spraw instytucji finansowych w porozumieniu z ministrem właściwym do spraw informatyzacji, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w drodze rozporządzenia, szczegółowy zakres ubezpieczenia, o którym mowa w ust. 1, oraz minimalną sumę gwarancyjną, uwzględniając specyfikę działalności prowadzonej przez kwalifikowanych dostawców usług zaufania.
Art. 14.
Kwalifikowany dostawca usług zaufania, wydając kwalifikowany certyfikat podpisu elektronicznego, jest obowiązany:
1) uzyskać od osoby ubiegającej się o certyfikat potwierdzenie przyporządkowania do niej danych służących do weryfikacji podpisu elektronicznego, które są zawarte w wydanym certyfikacie;
2) poinformować osobę ubiegającą się o certyfikat o procedurze zgłaszania żądań unieważnienia kwalifikowanego certyfikatu.
Art. 15.
Informacje i dane związane ze świadczeniem usług zaufania, których ujawnienie mogłoby narazić na szkodę dostawcę usług zaufania lub odbiorcę usług zaufania, w szczególności dane do składania podpisów elektronicznych lub pieczęci elektronicznych, są objęte tajemnicą.
Tajemnicą, o której mowa w ust. 1, nie są objęte informacje o naruszeniach przepisów o usługach zaufania przez dostawcę usług zaufania oraz informacje o zdarzeniach powodujących naruszenia bezpieczeństwa lub utratę integralności, o których mowa w art. 20a ust. 2.
Do zachowania tajemnicy, o której mowa w ust. 1, są obowiązane:
1) osoby pozostające z dostawcą usług zaufania w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze;
2) osoby pozostające z podmiotami świadczącymi usługi na rzecz dostawcy usług zaufania w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze.
Osoby, o których mowa w ust. 3, mają obowiązek udzielenia informacji i danych, o których mowa w ust. 1, z wyjątkiem danych do składania podpisów elektronicznych lub pieczęci elektronicznych, wyłącznie na żądanie:
1) sądu lub prokuratora - w związku z toczącym się postępowaniem;
2) ministra właściwego do spraw informatyzacji - w związku ze sprawowaniem przez niego nadzoru nad działalnością dostawców usług zaufania;
3) innych upoważnionych organów - w związku z prowadzonym przez te organy postępowaniem.
Obowiązek zachowania tajemnicy, o której mowa w ust. 1, trwa przez 10 lat od dnia ustania stosunku prawnego, o którym mowa w ust. 3.
Obowiązek zachowania w tajemnicy danych do składania podpisu elektronicznego lub pieczęci elektronicznej jest nieograniczony w czasie.
Art. 16.
Zaawansowany podpis elektroniczny lub zaawansowana pieczęć elektroniczna weryfikowane za pomocą certyfikatu dostawcy usług zaufania służą do opatrywania podpisem elektronicznym lub pieczęcią elektroniczną:
⋯
Niniejszy dokument nie zastępuje oficjalnej publikacji w Dzienniku Ustaw Rzeczypospolitej Polskiej. Nie ponosimy odpowiedzialności za ewentualne nieścisłości wynikające z transkrypcji oryginału do tego formatu.