Rozdział III
Obowiązki podmiotów świadczących usługi certyfikacyjne
Art. 9.
1. Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych nie
wymaga uzyskania
zezwolenia, ani koncesji.
2. Organy władzy publicznej i Narodowy Bank Polski mogą świadczyć usługi
certyfikacyjne, z
zastrzeżeniem ust. 3, wyłącznie na użytek własny lub innych organów władzy
publicznej.
3. Jednostka samorządu terytorialnego może świadczyć usługi certyfikacyjne na
zasadach
niezarobkowych także dla członków wspólnoty samorządowej.
Art. 10.
1. Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane
certyfikaty jest
obowiązany:
1) zapewnić techniczne i organizacyjne możliwości szybkiego i niezawodnego
wydawania,
zawieszania i unieważniania certyfikatów oraz określenia czasu dokonania tych
czynności,
2) stwierdzić tożsamość osoby ubiegającej się o certyfikat,
3) zapewnić środki przeciwdziałające fałszerstwom certyfikatów i innych danych
poświadczanych elektronicznie przez te podmioty, w szczególności przez ochronę
urządzeń i
danych wykorzystywanych przy świadczeniu usług certyfikacyjnych,
4) zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone
odbiorcom
usług certyfikacyjnych,
5) poinformować osobę ubiegającą się o certyfikat, przed zawarciem z nią umowy,
o warunkach
uzyskania i używania certyfikatu, w tym o wszelkich ograniczeniach jego użycia,
6) używać systemów do tworzenia i przechowywania certyfikatów, w sposób
zapewniający
możliwość wprowadzania i zmiany danych jedynie osobom uprawnionym,
7) jeżeli podmiot zapewnia publiczny dostęp do certyfikatów to ich publikacja
wymaga
uprzedniej zgody osoby, której wydano ten certyfikat,
8) udostępniać odbiorcy usług certyfikacyjnych pełny wykaz bezpiecznych urządzeń
do składania
i weryfikacji podpisów elektronicznych i warunki techniczne, jakim te urządzenia
powinny
odpowiadać,
9) zapewnić, w razie tworzenia przez niego danych służących do składania podpisu
elektronicznego, poufność procesu ich tworzenia, a także nie przechowywać i nie
kopiować
tych danych ani innych danych, które mogłyby służyć do ich odtworzenia, oraz nie
udostępniać ich nikomu innemu poza osobą, która będzie składała za ich pomocą
podpis
elektroniczny,
10) zapewnić, w razie tworzenia przez niego danych służących do składania
podpisu
elektronicznego, aby dane te z prawdopodobieństwem graniczącym z pewnością
wystąpiły
tylko raz,
11) publikować dane, które umożliwią weryfikację, w tym również w sposób
elektroniczny,
autentyczności i ważności certyfikatów oraz innych danych poświadczanych
elektronicznie
przez ten podmiot oraz zapewnić nieodpłatny dostęp do tych danych odbiorcom
usług
certyfikacyjnych.
2. Kwalifikowany podmiot świadczący usługi certyfikacyjne polegające na
znakowaniu czasem jest
obowiązany spełnić wymogi, o których mowa w ust. 1 pkt 3, 4 i 8, oraz używać
systemów do
znakowania czasem, tworzenia i przechowywania zaświadczeń certyfikacyjnych, w
sposób
zapewniający możliwość wprowadzania i zmiany danych jedynie osobom uprawnionym,
a także
zapewnić, że czas w nich określony jest czasem z chwili składania poświadczenia
elektronicznego
i uniemożliwiają one oznaczenie czasem innym niż w chwili wykonania usługi
znakowania
czasem.
3. Osoba wykonująca czynności związane ze świadczeniem usług certyfikacyjnych
powinna:
1) posiadać pełną zdolność do czynności prawnych,
2) nie być skazana prawomocnym wyrokiem za przestępstwo przeciwko wiarygodności
dokumentów, obrotowi gospodarczemu, obrotowi pieniędzmi i papierami
wartościowymi,
przestępstwo skarbowe lub przestępstwa, o których mowa w rozdziale VIII ustawy,
3) posiadać niezbędną wiedzę i umiejętności w zakresie technologii tworzenia
certyfikatów i
świadczenia innych usług związanych z podpisem elektronicznym.
4. Rada Ministrów może określić, w drodze rozporządzenia, szczegółowe warunki
techniczne i
organizacyjne, które muszą spełniać kwalifikowane podmioty świadczące usługi
certyfikacyjne, w
tym wymagania z zakresu ochrony fizycznej pomieszczeń, w których znajdują się
informacje, o
których mowa w art. 12 ust. 1, uwzględniając zakres stosowania wydawanych przez
nie
certyfikatów, wymagania ich ochrony oraz konieczność zapewnienia ochrony
interesów
odbiorców usług certyfikacyjnych.
5. Minister właściwy do spraw instytucji finansowych, w porozumieniu z ministrem
właściwym do
spraw gospodarki, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w
drodze
rozporządzenia, sposób i szczegółowe warunki spełnienia obowiązku ubezpieczenia,
o którym
mowa w ust. 1 pkt 4, w tym w szczególności termin powstania obowiązku zawarcia
umowy
ubezpieczenia oraz minimalne sumy gwarancyjne, z uwzględnieniem konieczności
zapewnienia
gwarancji spełnienia obowiązku zawarcia umowy ubezpieczenia.
Art. 11.
1. Podmiot świadczący usługi certyfikacyjne odpowiada wobec odbiorców usług
certyfikacyjnych, z
zastrzeżeniem ust. 2 i 3, za wszelkie szkody spowodowane niewykonaniem lub
nienależytym
wykonaniem swych obowiązków w zakresie świadczonych usług, chyba że niewykonanie
lub
nienależyte wykonanie tych obowiązków jest następstwem okoliczności, za które
podmiot
świadczący usługi certyfikacyjne nie ponosi odpowiedzialności i którym nie mógł
zapobiec mimo
dołożenia należytej staranności.
2. Podmiot świadczący usługi certyfikacyjne nie odpowiada wobec odbiorców usług
certyfikacyjnych
za szkody wynikające z użycia certyfikatu poza zakresem określonym w polityce
certyfikacji,
która została wskazana w certyfikacie, w tym w szczególności za szkody
wynikające z
przekroczenia najwyższej wartości granicznej transakcji, jeżeli wartość ta
została ujawniona w
certyfikacie.
3. Podmiot świadczący usługi certyfikacyjne nie odpowiada wobec odbiorców usług
certyfikacyjnych
za szkodę wynikłą z nieprawdziwości danych zawartych w certyfikacie, wpisanych
na wniosek
osoby składającej podpis elektroniczny.
4. Podmiot świadczący usługi certyfikacyjne, który udzielił gwarancji za
certyfikat zgodnie z art. 4
pkt 4, odpowiada wobec odbiorców usług certyfikacyjnych za wszelkie szkody
spowodowane
użyciem tego certyfikatu, chyba że szkoda wynikła z użycia certyfikatu poza
zakresem
określonym w polityce certyfikacji, która została wskazana w tym certyfikacie.
Art. 12.
1. Informacje związane ze świadczeniem usług certyfikacyjnych, których
nieuprawnione ujawnienie
mogłoby narazić na szkodę podmiot świadczący usługi certyfikacyjne lub odbiorcę
usług
certyfikacyjnych, a w szczególności dane służące do składania poświadczeń
elektronicznych; są
objęte tajemnicą. Nie są objęte tajemnicą informacje o naruszeniach ustawy przez
podmiot
świadczący usługi certyfikacyjne.
2. Do zachowania tajemnicy, o której mowa w ust. 1, są obowiązane osoby:
1) reprezentujące podmiot świadczący usługi certyfikacyjne,
2) pozostające z podmiotem świadczącym usługi certyfikacyjne w stosunku pracy, w
stosunku
zlecenia lub innym stosunku prawnym o podobnym charakterze,
3) pozostające w stosunku pracy, w stosunku zlecenia lub innym stosunku prawnym
o podobnym
charakterze z podmiotami świadczącymi usługi na rzecz podmiotu świadczącego
usługi
certyfikacyjne,
4) osoby i organy, które weszły w jej posiadanie w trybie określonym w ust. 3.
3. Osoby, o których mowa w ust. 2, mają obowiązek udzielenia informacji, o
których mowa w ust. 1,
z wyjątkiem danych służących do składania poświadczeń elektronicznych, wyłącznie
na żądanie:
1) sądu lub prokuratora - w związku z toczącym się postępowaniem,
2) ministra właściwego do spraw gospodarki - w związku ze sprawowaniem przez
niego nadzoru
nad działalnością podmiotów świadczących usługi certyfikacyjne, o którym mowa w
rozdziale VII,
3) innych organów państwowych upoważnionych do tego na podstawie odrębnych ustaw
- w
związku z prowadzonymi przez nie postępowaniami w sprawach dotyczących
działalności
podmiotów świadczących usługi certyfikacyjne.
4. Obowiązek zachowania tajemnicy, o której mowa w ust. 1, z zastrzeżeniem ust.
5, trwa przez okres
10 lat od ustania stosunków prawnych wymienionych w ust. 2.
5. Obowiązek zachowania tajemnicy danych służących do składania poświadczeń
elektronicznych
trwa bezterminowo.
Art. 13.
1. Podmiot świadczący usługi certyfikacyjne, z zastrzeżeniem ust. 5 oraz art. 10
ust. 1 pkt 9,
przechowuje i archiwizuje dokumenty i dane w postaci elektronicznej bezpośrednio
związane z
wykonywanymi usługami certyfikacyjnymi w sposób zapewniający bezpieczeństwo
przechowywanych dokumentów i danych.
2. W przypadku kwalifikowanych podmiotów świadczących usługi certyfikacyjne
obowiązek
przechowania dokumentów i danych, o których mowa w ust. 1, trwa przez okres 20
lat od chwili
powstania danego dokumentu lub danych.
3. W przypadku zaprzestania działalności przez kwalifikowany podmiot świadczący
usługi
certyfikacyjne, dokumenty i dane, o których mowa w ust. 1, przechowuje minister
właściwy do
spraw gospodarki albo wskazany przez niego podmiot. Za przechowywanie dokumentów
i danych,
o których mowa w ust. 1, minister właściwy do spraw gospodarki pobiera opłatę,
nie wyższą
jednak niż równowartość w złotych 1 EURO za każdy wydany certyfikat, którego
dokumentacja
podlega przechowywaniu, obliczoną według kursu średniego ogłaszanego przez
Narodowy Bank
Polski, obowiązującego w dniu zaprzestania działalności przez kwalifikowany
podmiot
świadczący usługi certyfikacyjne. Opłata ta powinna być przeznaczona na
sfinansowanie
czynności, o których mowa w zdaniu pierwszym.
4. Minister właściwy do spraw gospodarki określi, w drodze rozporządzenia, tryb
uiszczania i
wysokość opłat, o których mowa w ust. 3, uwzględniając ilość oraz planowane
koszty
przechowywania dokumentów i danych, o których mowa w ust. 1.
5. Podmiot świadczący usługi certyfikacyjne niszczy dane służące do składania
poświadczeń
elektronicznych niezwłocznie po unieważnieniu lub po upływie okresu ważności
zaświadczenia
certyfikacyjnego wykorzystywanego do weryfikacji tych poświadczeń.