Rozdział IV
Świadczenie usług certyfikacyjnych

Art. 14.

1. Podmiot świadczący usługi certyfikacyjne wydaje certyfikat na podstawie umowy
2. Podmiot świadczący usługi certyfikacyjne przed zawarciem umowy, o której mowa w ust. 1, jest obowiązany poinformować na piśmie lub za pomocą informacji trwale zapisanej na nośniku elektronicznym, w sposób jasny i powszechnie zrozumiały, o dokładnych warunkach użycia tego
certyfikatu, w tym o sposobie rozpatrywania skarg i sporów, a w szczególności o istotnych jego warunkach obejmujących:
1) zakres i ograniczenia jego stosowania,
2) skutki prawne składania podpisów elektronicznych weryfikowanych przy pomocy tego certyfikatu,
3) informację o systemie dobrowolnej rejestracji podmiotów kwalifikowanych i ich znaczeniu.
3. W przypadku wydawania certyfikatów niebędących certyfikatami kwalifikowanymi, informacja, o której mowa w ust. 2, powinna również zawierać wskazanie, że podpis elektroniczny weryfikowany przy pomocy tego certyfikatu nie wywołuje skutków prawnych równorzędnych podpisowi własnoręcznemu.
4. Podmiot świadczący usługi certyfikacyjne jest obowiązany udostępnić, na wniosek każdego, istotne elementy informacji, o której mowa w ust. 2.
5. Podmiot świadczący usługi certyfikacyjne jest obowiązany uzyskać pisemne potwierdzenie zapoznania się z informacją, o której mowa w ust. 2, przed zawarciem umowy.
6. Podmiot świadczący usługi certyfikacyjne, z zastrzeżeniem art. 10 ust. 1 pkt 2, może korzystać z notarialnego potwierdzenia tożsamości odbiorców usług certyfikacyjnych, jeżeli przewiduje to określona polityka certyfikacji.
7. Podmiot świadczący usługi certyfikacyjne, wydając kwalifikowane certyfikaty, jest obowiązany stosować takie procedury ich wydawania, aby uzyskać od osoby ubiegającej się o certyfikat pisemną zgodę na stosowanie danych służących do weryfikacji jej podpisu elektronicznego, które są zawarte w wydanym certyfikacie.

Art.15.

Odbiorca usług certyfikacyjnych jest obowiązany przechowywać dane służące do składania podpisu elektronicznego w sposób zapewniający ich ochronę przed nieuprawnionym wykorzystaniem w okresie ważności certyfikatu służącego do weryfikacji tych podpisów.

Art. 16.

1. Umowa o świadczenie usług certyfikacyjnych powinna być sporządzona w formie pisemnej pod rygorem nieważności.
2. Nieważność umowy o świadczenie usług certyfikacyjnych nie powoduje nieważności certyfikatu, jeżeli przy jego wydaniu zostały spełnione wymogi określone w art. 14 ust. 2 i 5 oraz uzyskano zgodę, o której mowa w art. 14 ust. 7.

Art. 17.

1. Kwalifikowany podmiot świadczący usługi certyfikacyjne jest obowiązany do opracowania polityki certyfikacji. Polityka certyfikacji obejmuje w szczególności:
1) zakres jej zastosowania,
2) opis sposobu tworzenia i przesyłania danych elektronicznych, które zostaną opatrzone poświadczeniami elektronicznymi przez podmiot świadczący usługi certyfikacyjne,
3) maksymalne okresy ważności certyfikatów,
4) sposób identyfikacji i uwierzytelnienia osób, którym wydawane są certyfikaty i podmiotu świadczącego usługi certyfikacyjne,
5) metody i tryb tworzenia oraz udostępniania certyfikatów, list unieważnionych i zawieszanych certyfikatów oraz innych poświadczonych elektronicznie danych,
6) opis elektronicznego zapisu struktur danych zawartych w certyfikatach i innych danych poświadczanych elektronicznie,
7) sposób zarządzania dokumentami związanymi ze świadczeniem usług certyfikacyjnych.
2. Rada Ministrów określa, po zasięgnięciu opinii Prezesa Narodowego Banku Polskiego, w drodze rozporządzenia, podstawowe wymagania organizacyjne i techniczne dotyczące polityk certyfikacji dla kwalifikowanych certyfikatów, uwzględniając zakres zastosowania tych certyfikatów oraz
okresy ich ważności, konieczność zapewnienia współdziałania różnych urządzeń do składania i weryfikacji podpisów elektronicznych, zapewnienie bezpieczeństwa obrotu prawnego oraz uwzględniając standardy Unii Europejskiej.

Art. 18.

1. Bezpieczne urządzenie służące do składania podpisu elektronicznego powinna co najmniej:
1) uniemożliwiać pozyskiwanie danych służących do składania podpisu lub poświadczenia elektronicznego,
2) nie zmieniać danych, które mają zostać podpisane lub poświadczone elektronicznie oraz umożliwiać przedstawienie tych danych osobie składającej podpis elektroniczny przed chwilą jego złożenia,
3) gwarantować, że złożenie podpisu będzie poprzedzone wyraźnym ostrzeżeniem, że kontynuacja operacji będzie równoznaczna ze złożeniem podpisu elektronicznego,
4) zapewniać łatwe rozpoznawanie istotnych dla bezpieczeństwa zmian w urządzeniu do składania podpisu lub poświadczenia elektronicznego.
2. Bezpieczne urządzenie służące do weryfikacji podpisu elektronicznego powinno spełniać następujące wymagania:
1) dane używane do weryfikacji podpisu elektronicznego odpowiadają danym, które są uwidaczniane osobie weryfikującej ten podpis,
2) podpis elektroniczny jest weryfikowany rzetelnie, a wynik weryfikacji prawidłowo wykazany,
3) osoba weryfikująca może w sposób nie budzący wątpliwości ustalić zawartość podpisanych danych,
4) autentyczność i ważność certyfikatów lub innych danych poświadczonych elektronicznie jest rzetelnie weryfikowana,
5) wynik weryfikacji identyfikacji osoby składającej podpis elektroniczny jest poprawnie i czytelnie wykazywany,
6) użycie pseudonimu jest jednoznacznie wskazane,
7) istotne dla bezpieczeństwa zmiany w urządzeniu służącym do weryfikacji podpisu elektronicznego są sygnalizowane.
3. Rada Ministrów, określi, w drodze rozporządzenia, szczegółowe warunki techniczne, jakim powinny odpowiadać bezpieczne urządzenia do składania podpisów elektronicznych oraz bezpieczne urządzenia do weryfikacji podpisów elektronicznych, uwzględniając potrzebę zapewnienia nienaruszalności i poufności danych opatrzonych takim podpisem.
4. Badania zgodności urządzeń, o których mowa w ust. 1 i 2, z wymaganiami ustawy odbywają się zgodnie z odrębnymi przepisami.
5. Służby ochrony państwa, w rozumieniu przepisów o ochronie informacji niejawnych, dokonują oceny przydatności urządzeń, o których mowa w ust. 1 i 2, do ochrony informacji niejawnych i wydają stosowne certyfikaty bezpieczeństwa.

Art.19.

1. Za czynności, o których mowa w art. 18 ust. 4 i 5, pobiera się opłatę.
2. Do opłat, o których mowa w ust. 1, stosuje się przepisy, o których mowa w art. 18 ust. 4 oraz przepisy ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz.U. Nr 11, poz.. 95, z 2000 r. Nr 12, poz.. 136 i Nr 39, poz.. 462 oraz z 2001 r. Nr 22, poz.. 247, Nr 27, poz.. 298 i Nr 56, poz.. 580).

Art. 20.

1. Kwalifikowany certyfikat zawiera co najmniej następujące dane:
1) numer certyfikatu,
2) wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany do stosowania zgodnie z określoną polityką certyfikacji,
3) określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę oraz numer pozycji w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne,
4) imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny; użycie pseudonimu musi być wyraźnie zaznaczone,
5) dane służące do weryfikacji podpisu elektronicznego,
6) oznaczenie początku i końca okresu ważności certyfikatu,
7) poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne, wydającego dany certyfikat,
8) ograniczenia zakresu ważności certyfikatu, jeżeli przewiduje to określona polityka certyfikacji,
9) ograniczenie najwyższej wartości granicznej transakcji, w której certyfikat może być wykorzystywany, jeżeli przewiduje to polityka certyfikacji lub umowa, o której mowa w art. 14 ust. 1.
2. Podmiot świadczący usługi certyfikacyjne, wydając kwalifikowany certyfikat, jest obowiązany zawrzeć w tym certyfikacie inne dane niż wymienione w ust. 1 na wniosek osoby składającej podpis elektroniczny, a w szczególności wskazanie czy osoba ta działa:
1) we własnym imieniu, albo
2) jako przedstawiciel innej osoby fizycznej, osoby prawnej albo jednostki organizacyjnej nieposiadającej osobowości prawnej, albo
3) w charakterze członka organu albo organu osoby prawnej albo jednostki organizacyjnej nieposiadającej osobowości prawnej, albo
4) jako organ władzy publicznej.
3. Podmiot świadczący usługi certyfikacyjne, wydając kwalifikowany certyfikat, potwierdza prawdziwość danych, o których mowa w ust. 2, i powiadamia podmioty, o których mowa w ust. 2 pkt 2-4, o treści certyfikatu oraz poucza o możliwości unieważnienia certyfikatu na ich wniosek.