AKT ARCHIWALNY - Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym

1. Podmiot świadczący usługi certyfikacyjne wydaje certyfikat na podstawie umowy.
2. Podmiot świadczący usługi certyfikacyjne przed zawarciem umowy, o której mowa w ust. 1, jest obowiązany poinformować na piśmie lub w formie dokumentu elektronicznego w rozumieniu przepisów ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2013 r. poz. 235), w sposób jasny i powszechnie zrozumiały, o dokładnych warunkach użycia tego certyfikatu, w tym o sposobie rozpatrywania skarg i sporów, a w szczególności o istotnych jego warunkach obejmujących:
1) zakres i ograniczenia jego stosowania;
2) skutki prawne składania podpisów elektronicznych weryfikowanych przy pomocy tego certyfikatu;
3) informację o systemie dobrowolnej rejestracji podmiotów kwalifikowanych i ich znaczeniu.
3. W przypadku wydawania certyfikatów niebędących certyfikatami kwalifikowanymi, informacja, o której mowa w ust. 2, powinna również zawierać wskazanie, że podpis elektroniczny weryfikowany przy pomocy tego certyfikatu nie wywołuje skutków prawnych równorzędnych podpisowi własnoręcznemu.
4. Podmiot świadczący usługi certyfikacyjne jest obowiązany udostępnić, na wniosek każdego, istotne elementy informacji, o której mowa w ust. 2.
5. Przed zawarciem umowy o świadczenie usług certyfikacyjnych, której przedmiotem jest wydawanie kwalifikowanego certyfikatu, kwalifikowany podmiot świadczący usługi certyfikacyjne jest obowiązany uzyskać potwierdzenie zapoznania się z informacją, o której mowa w ust. 2, w formie pisemnej lub za pomocą środków komunikacji elektronicznej w rozumieniu art. 2 objaśnienie pojęć ustawowych pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2013 r. poz. 1422).
6. Podmiot świadczący usługi certyfikacyjne, z zastrzeżeniem art. 10 obowiązki podmiotów wydających certyfikaty ust. 1 pkt 2, może korzystać z notarialnego potwierdzenia tożsamości odbiorców usług certyfikacyjnych, jeżeli przewiduje to określona polityka certyfikacji.
7. Podmiot świadczący usługi certyfikacyjne, wydając kwalifikowane certyfikaty, jest obowiązany stosować takie procedury ich wydawania, aby uzyskać od osoby ubiegającej się o certyfikat pisemną zgodę na stosowanie danych służących do weryfikacji jej podpisu elektronicznego, które są zawarte w wydanym certyfikacie.

Odbiorca usług certyfikacyjnych jest obowiązany przechowywać dane służące do składania podpisu elektronicznego w sposób zapewniający ich ochronę przed nieuprawnionym wykorzystaniem w okresie ważności certyfikatu służącego do weryfikacji tych podpisów.

1. Umowę o świadczenie usług certyfikacyjnych zawiera się w formie pisemnej.
1a. Umowę o świadczenie usług certyfikacyjnych, której przedmiotem jest wydawanie kwalifikowanego certyfikatu, zawiera się w formie pisemnej pod rygorem nieważności.
2. (uchylony).

1. Kwalifikowany podmiot świadczący usługi certyfikacyjne jest obowiązany do opracowania polityki certyfikacji. Polityka certyfikacji obejmuje w szczególności:
1) zakres jej zastosowania;
2) opis sposobu tworzenia i przesyłania danych elektronicznych, które zostaną opatrzone poświadczeniami elektronicznymi przez podmiot świadczący usługi certyfikacyjne;
3) maksymalne okresy ważności certyfikatów;
4) sposób identyfikacji i uwierzytelnienia osób, którym wydawane są certyfikaty, i podmiotu świadczącego usługi certyfikacyjne;
5) metody i tryb tworzenia oraz udostępniania certyfikatów, list unieważnionych i zawieszonych certyfikatów oraz innych poświadczonych elektronicznie danych;
6) opis elektronicznego zapisu struktur danych zawartych w certyfikatach i innych danych poświadczanych elektronicznie;
7) sposób zarządzania dokumentami związanymi ze świadczeniem usług certyfikacyjnych.
2. Rada Ministrów określa, po zasięgnięciu opinii Prezesa Narodowego Banku Polskiego, w drodze rozporządzenia, podstawowe wymagania organizacyjne i techniczne dotyczące polityk certyfikacji dla kwalifikowanych certyfikatów, uwzględniając zakres zastosowania tych certyfikatów oraz okresy ich ważności, konieczność zapewnienia współdziałania różnych urządzeń do składania i weryfikacji podpisów elektronicznych, zapewnienie bezpieczeństwa obrotu prawnego oraz uwzględniając standardy Unii Europejskiej.

1. Bezpieczne urządzenie służące do składania podpisu elektronicznego powinno co najmniej:
1) uniemożliwiać pozyskiwanie danych służących do składania podpisu lub poświadczenia elektronicznego;
2) nie zmieniać danych, które mają zostać podpisane lub poświadczone elektronicznie, oraz umożliwiać przedstawienie tych danych osobie składającej podpis elektroniczny przed chwilą jego złożenia;
3) gwarantować, że złożenie podpisu będzie poprzedzone wyraźnym ostrzeżeniem, że kontynuacja operacji będzie równoznaczna ze złożeniem podpisu elektronicznego;
4) zapewniać łatwe rozpoznawanie istotnych dla bezpieczeństwa zmian w urządzeniu do składania podpisu lub poświadczenia elektronicznego.
2. Bezpieczne urządzenie służące do weryfikacji podpisu elektronicznego powinno spełniać następujące wymagania:
1) dane używane do weryfikacji podpisu elektronicznego odpowiadają danym, które są uwidaczniane osobie weryfikującej ten podpis;
2) podpis elektroniczny jest weryfikowany rzetelnie, a wynik weryfikacji prawidłowo wykazany;
3) osoba weryfikująca może w sposób niebudzący wątpliwości ustalić zawartość podpisanych danych;
4) autentyczność i ważność certyfikatów lub innych danych poświadczonych elektronicznie jest rzetelnie weryfikowana;
5) wynik weryfikacji identyfikacji osoby składającej podpis elektroniczny jest poprawnie i czytelnie wykazywany;
6) użycie pseudonimu jest jednoznacznie wskazane;
7) istotne dla bezpieczeństwa zmiany w urządzeniu służącym do weryfikacji podpisu elektronicznego są sygnalizowane.
3. Rada Ministrów określi, w drodze rozporządzenia, szczegółowe warunki techniczne, jakim powinny odpowiadać bezpieczne urządzenia do składania podpisów elektronicznych oraz bezpieczne urządzenia do weryfikacji podpisów elektronicznych, uwzględniając potrzebę zapewnienia nienaruszalności i poufności danych opatrzonych takim podpisem.
4. Badania zgodności urządzeń, o których mowa w ust. 1 i 2, z wymaganiami ustawy odbywają się zgodnie z odrębnymi przepisami.
5. Agencja Bezpieczeństwa Wewnętrznego lub Służba Kontrwywiadu Wojskowego, zgodnie z właściwością określoną w przepisach o ochronie informacji niejawnych, dokonują oceny przydatności urządzeń, o których mowa w ust. 1 i 2, do ochrony informacji niejawnych i wydają stosowne certyfikaty bezpieczeństwa.

1. Za czynności, o których mowa w art. 18 bezpieczne urządzenie służące do składania podpisu, ust. 4 i 5, pobiera się opłatę.
2. Do opłat, o których mowa w ust. 1, stosuje się przepisy, o których mowa w art. 18 bezpieczne urządzenie służące do składania podpisu, ust. 4, oraz przepisy ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228)."

1. Kwalifikowany certyfikat zawiera co najmniej następujące dane:
1) numer certyfikatu;
2) wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany do stosowania zgodnie z określoną polityką certyfikacji;
3) określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę, oraz numer pozycji w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne;
4) imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny; użycie pseudonimu musi być wyraźnie zaznaczone;
5) dane służące do weryfikacji podpisu elektronicznego;
6) oznaczenie początku i końca okresu ważności certyfikatu;
7) poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne, wydającego dany certyfikat;
8) ograniczenia zakresu ważności certyfikatu, jeżeli przewiduje to określona polityka certyfikacji;
9) ograniczenie najwyższej wartości granicznej transakcji, w której certyfikat może być wykorzystywany, jeżeli przewiduje to polityka certyfikacji lub umowa, o której mowa w art. 14 wydanie certyfikatu i obowiązki podmiotu świadczącego usługi certyfikacyjne, ust. 1.
2. Podmiot świadczący usługi certyfikacyjne, wydając kwalifikowany certyfikat, jest obowiązany zawrzeć w tym certyfikacie inne dane niż wymienione w ust. 1 na wniosek osoby składającej podpis elektroniczny, a w szczególności wskazanie, czy osoba ta działa:
1) we własnym imieniu albo
2) jako przedstawiciel innej osoby fizycznej, osoby prawnej albo jednostki organizacyjnej nieposiadającej osobowości prawnej, albo
3) w charakterze członka organu albo organu osoby prawnej, albo jednostki organizacyjnej nieposiadającej osobowości prawnej, albo
4) jako organ władzy publicznej.
3. Podmiot świadczący usługi certyfikacyjne, wydając kwalifikowany certyfikat, potwierdza prawdziwość danych, o których mowa w ust. 2, i powiadamia podmioty, o których mowa w ust. 2 pkt 2-4, o treści certyfikatu oraz poucza o możliwości unieważnienia certyfikatu na ich wniosek.