1. Nadzór nad dostawcami usług zaufania sprawuje minister właściwy do spraw informatyzacji.
2. W zakresie nadzoru, o którym mowa w ust. 1, minister właściwy do spraw informatyzacji:
1) wykonuje zadania określone w przepisach rozporządzenia 910/2014;
2) wydaje certyfikaty dostawców usług zaufania;
3) tworzy certyfikaty narodowego centrum certyfikacji;
4) może unieważniać certyfikaty, o których mowa w pkt 2 i 3;
5) w uzasadnionych przypadkach, w drodze decyzji, może żądać niezwłocznego unieważnienia kwalifikowanego certyfikatu przez kwalifikowanego dostawcę usług zaufania;
6) bada zgodność polityki świadczenia usługi z przepisami o usługach zaufania;
7) prowadzi rejestr dostawców usług zaufania;
8) nakłada kary pieniężne;
9) wykonuje inne zadania określone w przepisach prawa.
3. Decyzja, o której mowa w ust. 2 pkt 5, podlega natychmiastowemu wykonaniu. Przepisu art. 61 skarga a wykonywanie aktu lub czynności § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi nie stosuje się.
Dostawca usługi zaufania, na żądanie ministra właściwego do spraw informatyzacji, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych, jest obowiązany udzielać informacji lub udostępniać dokumenty, które są bezpośrednio związane ze świadczonymi usługami zaufania lub mają wpływ na świadczone usługi zaufania, w tym dotyczą zarządzania incydentami związanymi z usługą zaufania.
1. W przypadku odebrania kwalifikowanemu dostawcy usług zaufania statusu kwalifikowanego lub statusu kwalifikowanego świadczonej przez niego usłudze zaufania minister właściwy do spraw informatyzacji, w drodze decyzji, może unieważnić odpowiednie certyfikaty dostawcy usług zaufania, wydane temu dostawcy.
2. Unieważniając certyfikaty dostawcy usług zaufania, minister właściwy do spraw informatyzacji bierze pod uwagę stopień zagrożenia bezpieczeństwa świadczenia usług zaufania, możliwość usunięcia tego zagrożenia w inny sposób oraz pewność obrotu.
Minister właściwy do spraw informatyzacji w przypadku stwierdzenia, że kwalifikowany dostawca usług zaufania prowadzi działalność niezgodnie z przepisami o usługach zaufania, może:
1) wezwać kwalifikowanego dostawcę usług zaufania, aby w wyznaczonym terminie:
a) usunął stwierdzone nieprawidłowości i doprowadził swoją działalność do stanu zgodnego z przepisami o usługach zaufania,
b) zmienił politykę świadczenia usług lub inne dokumenty związane ze świadczeniem usług zaufania,
c) unieważnił kwalifikowane certyfikaty wydane z naruszeniem polityki świadczenia usług;
2) wydać decyzję o odebraniu kwalifikowanemu dostawcy usług zaufania statusu kwalifikowanego lub statusu kwalifikowanego świadczonej przez niego usłudze zaufania.
Minister właściwy do spraw informatyzacji może podać do wiadomości publicznej informacje o zdarzeniu, o którym mowa w art. 20a zarządzanie ryzykiem przez dostawców usług zaufania ust. 2, w przypadku gdy uzna, że jego ujawnienie jest konieczne dla zapewnienia ochrony interesów innych dostawców usług zaufania oraz użytkowników tych usług.
Audyt, o którym mowa w art. 20 :
1) ust. 2 rozporządzenia 910/2014 – jest przeprowadzany przez osoby upoważnione przez ministra właściwego do spraw informatyzacji, zwane dalej „audytorami organu nadzoru”;
2) ust. 1 lub 2 rozporządzenia 910/2014 – może być przeprowadzany przy udziale osób upoważnionych przez ministra właściwego do spraw informatyzacji, zwanych dalej „obserwatorami organu nadzoru”, w przypadku gdy jest przeprowadzany przez jednostkę oceniającą zgodność.
1. Audytorzy organu nadzoru oraz obserwatorzy organu nadzoru odpowiednio przeprowadzają audyt albo biorą udział w przeprowadzeniu audytu na podstawie imiennego upoważnienia wydanego przez ministra właściwego do spraw informatyzacji.
2. Audytorzy organu nadzoru i obserwatorzy organu nadzoru nie mogą prowadzić działalności gospodarczej w zakresie świadczenia usług zaufania, świadczyć usług zaufania, być wspólnikami albo akcjonariuszami dostawcy usług zaufania ani wykonywać obowiązków osoby reprezentującej lub członka rady nadzorczej albo komisji rewizyjnej tego dostawcy, a także pozostawać z tym dostawcą w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze.
1. Audytorzy organu nadzoru są uprawnieni do:
1) wstępu do obiektów i pomieszczeń kwalifikowanych dostawców usług zaufania;
2) wglądu do dokumentów i danych, z wyjątkiem danych do składania podpisów elektronicznych lub pieczęci elektronicznych dostawców usług zaufania i innych informacji, które mogą służyć do odtworzenia tych danych, związanych z działalnością w zakresie usług zaufania;
3) przetwarzania danych osobowych w zakresie objętym przedmiotem audytu;
4) przeprowadzania oględzin obiektów oraz innych składników majątkowych związanych ze świadczeniem usług zaufania, a także sprawdzenia przebiegu czynności związanych ze świadczeniem tych usług;
5) żądania udzielenia ustnych lub pisemnych wyjaśnień od pracowników kwalifikowanych dostawców usług zaufania;
6) zabezpieczania dokumentów i innych materiałów, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.
2. Upoważniony przedstawiciel audytowanego kwalifikowanego dostawcy usług zaufania udziela wyjaśnień lub przedkłada, na żądanie audytora organu nadzoru, dokumenty i inne materiały niezbędne do przeprowadzenia audytu.
3. Przepisy ust. 1 pkt 1–4 stosuje się do obserwatorów organu nadzoru.
W przypadku gdy wyniki audytu przeprowadzanego na podstawie art. 20 ust. 2 rozporządzenia 910/2014 wykażą niezgodność z przepisami o usługach zaufania, minister właściwy do spraw informatyzacji, po zapoznaniu się z zastrzeżeniami oraz wyjaśnieniami zgłoszonymi przez dostawcę usług zaufania, może wydać decyzję nakładającą na tego dostawcę obowiązek usunięcia stwierdzonych niezgodności w terminie nie krótszym niż 14 dni.
Audytorzy organu nadzoru i obserwatorzy organu nadzoru są obowiązani do bezterminowego zachowania w tajemnicy informacji uzyskanych w związku z przeprowadzanym audytem, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.
W sprawach nieuregulowanych w ustawie, do przeprowadzenia audytu dostawców usług zaufania przez audytorów organu nadzoru stosuje się odpowiednio przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U.z 2024 r. poz. 236 i 1222), z wyłączeniem przepisu art. 55 czas trwania kontroli przedsiębiorcy w jednym roku kalendarzowym ust. 1 tej ustawy.
1. Minister właściwy do spraw informatyzacji może wyznaczyć podmiot badający zgodność kwalifikowanych urządzeń do składania podpisu elektronicznego lub pieczęci elektronicznej z wymogami, o których mowa w załączniku II do rozporządzenia 910/2014.
2. Minister właściwy do spraw informatyzacji przekazuje Komisji Europejskiej nazwę i adres wyznaczonego podmiotu, o którym mowa w ust. 1.
Minister właściwy do spraw informatyzacji może zawierać porozumienia z organami nadzoru innych państw członkowskich Unii Europejskiej w celu prowadzenia wspólnych postępowań, o których mowa w art. 18 ust. 3 rozporządzenia 910/2014.
Minister właściwy do spraw informatyzacji ustala sposób zgłaszania drogą elektroniczną zdarzenia, o którym mowa w art. 20a zarządzanie ryzykiem przez dostawców usług zaufania ust. 2, które ma znaczący wpływ na świadczoną usługę zaufania lub przetwarzane w jej ramach dane osobowe.
