Ustawa o usługach zaufania oraz identyfikacji elektronicznej stanowi w Polsce jeden z najważniejszych aktów normatywnych związanych z informatyzacją prawa. Uregulowano w nim krajową infrastrukturę zaufania, działalność dostawców usług zaufania (oferujących usługi m.in.: e-podpisu, e-pieczęci oraz e-doręczeń), nadzór nad tymi dostawcami, krajowy schemat identyfikacji elektronicznej, w tym nadzór nad tym schematem, a także zasady określania i wykorzystywania standardu usługi rejestrowanego doręczenia elektronicznego.
W publikacji omówiono:
- krajową infrastrukturę zaufania obejmującą rejestr dostawców usług zaufania, listę zaufaną oraz narodowe centrum certyfikacji,
- procedurę wpisu do rejestru dostawców usług zaufania i wykreślenia z tego rejestru,
- działalność dostawców usług zaufania i nadzór nad nimi,
- krajowy schemat identyfikacji elektronicznej obejmujący węzeł krajowy z przyłączonymi do niego systemami identyfikacji elektronicznej, w których są wydawane środki identyfikacji elektronicznej oraz systemami teleinformatycznymi z udostępnionymi usługami online, a także węzeł transgraniczny,
- procedury przyłączenia systemu identyfikacji elektronicznej oraz systemu teleinformatycznego do węzła krajowego,
- nadzór nad krajowym schematem identyfikacji elektronicznej,
- warunki udostępniania standardu usługi rejestrowanego doręczania elektronicznego.
Ponadto przedstawiono analizę przepisów karnych oraz o karach pieniężnych z obszaru usług zaufania oraz identyfikacji elektronicznej.
Prezentowane poglądy i wnioski są wynikiem wieloletniego doświadczenia naukowego oraz zawodowego autorów, związanego ze stosowaniem prawa w ramach pracy w administracji publicznej i sektorze prywatnym.
Komentarz jest skierowany przede wszystkim do pracowników administracji publicznej, adwokatów, radców prawnych i sędziów. Zainteresuje również pracowników naukowych oraz studentów kierunków prawniczych.
Wykaz skrótów
..............................................................................
13
Wstęp
.............................................................................................
21
Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz
identyfikacji elektronicznej .............. 25
Rozdział 1. Przepisy ogólne
............................................................ 27
Art. 1. [Zakres stosowania ustawy; pojęcia usługi zaufaniai
identyfikacji elektronicznej] ................ 27
Rozdział 2. Krajowa infrastruktura zaufania
................................. 43
Art. 2. [Krajowa infrastruktura zaufania; Rejestr, zaufana
lista; NNCert] ......................... 43
Art. 3. [Rejestr dostawców usług zaufania]
......................... 48
Art. 4. [Wpis do Rejestru dostawcy usług zaufanialub
kwalifikowanej usługi zaufania] ............ 53
Art. 5. [Skutki prawne decyzji o wpisie dostawcy usług
zaufania do Rejestru] ...................... 65
Art. 6. [Zgłoszenie niekwalifikowanego dostawcy usług
zaufania] ..................................... 67
Art. 7. [Obowiązki informacyjne dostawcy usług zaufania
wobec ministra] ................................. 70
Art. 8. [Wykreślenie kwalifikowanego dostawcy usług
zaufania lub kwalifikowanej usługi zaufania
z Rejestru]
.................................................................
76
Art. 9. [Natychmiastowa wykonalność decyzji o wykreśleniuz
Rejestru] .......................................... 81
Art. 10. [Zadania narodowego centrum certyfikacji]
.............. 84
Art. 11. [Upoważnienie Narodowego Banku Polskiego]
......... 88
Art. 12. [Delegacja ustawowa]
............................................... 90
Rozdział 3. Działalność dostawców usług zaufania
..................... 93
Art. 13. [Obowiązki kwalifikowanego dostawcy usług zaufania
związane z koniecznością zawarcia umowy odpowiedzialności
cywilnej] ..................................... 93
Art. 14. [Obowiązki kwalifikowanego dostawcy usługzaufania
związane z wydawaniem kwalifikowanego certyfikatu podpisu
elektronicznego] ........................ 105
Art. 15. [Tajemnica informacji i danych związanychze
świadczeniem usług zaufania] ........... 108
Art. 16. [Wykorzystanie przez dostawcę usług
zaufaniazaawansowanego podpisu elektronicznego oraz zaawansowanej
pieczęci elektronicznej] ................... 118
Art. 17. [Obowiązek przechowywania dokumentów i danychprzez
kwalifikowanego dostawcę usług] .................. 121
Art. 18. [Skutki prawne złożenia podpisu elektronicznegoi
pieczęci elektronicznej weryfikowanego za pomocą certyfikatu]
...............................................................
125
Art. 19. [Obowiązek posiadania polityki świadczenia usługi]
.............. 131
Art. 20. [Utrata statusu kwalifikowanego dostawcy usług
zaufania] ............... 137
Art. 21. [Zwolnienie dostawcy usług zaufania z
odpowiedzialności za szkody] ................................ 142
Rozdział 4. Krajowy schemat identyfikacji
elektronicznej ............ 146
Art. 21a. [Elementy krajowego schematu identyfikacji
elektronicznej; zasady uwierzytelniania użytkownika systemu
teleinformatycznego w celu realizacji usługionline]
.............. 146
Art. 21b. [Przyłączenie systemu identyfikacji
elektronicznejdo węzła krajowego] .......... 163
Art. 21c. [Ubezpieczenie odpowiedzialności cywilnej za
szkodę] ........... 173
Art. 21ca. [Maksymalna wysokość kwoty przy
ubezpieczeniuodpowiedzialności cywilnej za szkodę]
..................... 176
Art. 21d. [Upoważnienie do wydania rozporządzenia w sprawie
odpowiedzialności cywilnej za szkodę] .... 178
Art. 21e. [Obowiązki osoby, której wydano
środekidentyfikacji elektronicznej] ........ 181
Art. 21f. [Przypadek wyłączenia odpowiedzialności
osoby,której wydano środek identyfikacji elektronicznej,za
zobowiązania zaciągnięte z jego użyciem] ........... 183
Art. 21g. [Wniosek o przyłączenie systemu
identyfikacjielektronicznej do węzła krajowego; kontrola
korporacyjna]
............................................................ 184
Art. 21h. [Testy integracyjne
potwierdzająceinteroperacyjność systemu identyfikacji
elektronicznej] ...................... 204
Art. 21i. [Obowiązek informowania o przyłączeniu systemu
identyfikacji elektronicznej do węzła krajowego oraz o zmianie
polityki bezpieczeństwa węzłakrajowego] ........... 207
Art. 21j. [Odmowa przyłączenia systemu identyfikacji
elektronicznej do węzła krajowego] ...... 209
Art. 21k. [Obowiązek podmiotu odpowiedzialnego za system
identyfikacji elektronicznej przyłączony do węzła krajowego
dostarczania określonych dokumentówministrowi] .................
211
Art. 21l. [Ponowne złożenie wniosku o przyłączenie systemu
identyfikacji elektronicznej do węzła krajowego] ...... 214
Art. 21m. [Przyłączenie systemu teleinformatycznego
obsługującego publiczny system identyfikacji
elektronicznej do węzła krajowego] .......................... 217
Art. 21n. [Rejestr systemów identyfikacji elektronicznej
przyłączonych do węzła krajowego] .... 218
Art. 21o. [Tajemnica informacji dotyczących przyłączenia
systemu identyfikacji elektronicznej do węzła krajowego]
...............................................................
223
Art. 21p. [Obowiązki podmiotu odpowiedzialnego za system
identyfikacji przyłączony do węzła krajowego] ......... 227
Art. 21q. [Przetwarzanie danych osobowych przez podmiot
odpowiedzialny za system identyfikacji
elektronicznej]
.......................................................... 241
Art. 21r. [Naruszenie bezpieczeństwa systemu identyfikacji
elektronicznej] .......... 243
Art. 21s. [Obowiązek informacyjny podmiotu odpowiedzialnego
za system identyfikacji
elektronicznej]
.......................................................... 247
Art. 21t. [Zgoda o przyłączeniu do węzła krajowego systemu
teleinformatycznego z usługami online] ................... 254
Art. 21u. [Wniosek o przyłączenie do węzła krajowego
systemu teleinformatycznego z usługami online] ..... 266
Art. 21v. [Testy integracyjne potwierdzające
interoperacyjność systemu teleinformatycznego
z węzłem krajowym]
................................................. 275
Art. 21w. [Obowiązek informowania ministra o zmianie danych
zawartych w liście usług online] ................... 276
Art. 21x. [Udostępnianie informacji o przyłączonych do
węzła krajowego systemach teleinformatycznych z usługami online]
.................................................... 278
Art. 21y. [Decyzja o odmowie przyłączenia do węzła
krajowego systemu teleinformatycznego z usługami online]
......................................................................
279
Art. 21z. [Przyłączenie ePUAP do węzła krajowego]
................ 283
Art. 22. [Zapewnienie funkcjonowania węzła transgranicznego
i notyfikacja systemu identyfikacji
elektronicznej]
.......................................................... 284
Art. 23. [Koordynacja działań w sprawie systemów
identyfikacji elektronicznej na poziomie krajowym
przez ministra]
.......................................................... 288
Art. 24. [Wniosek o notyfikowanie systemu identyfikacji
elektronicznej w Komisji Europejskiej] ..... 290
Art. 25. [Określenie poziomów bezpieczeństwa środków
identyfikacji elektronicznej do realizacji usług online
udostępnianych w systemie teleinformatycznym] ..... 296
Art. 26. [Obowiązki ministra oraz podmiotu odpowiedzialnego
za system związane
z naruszeniem bezpieczeństwa lub częściową kompromitacją
notyfikowanego systemu
identyfikacji elektronicznej]
....................................... 300
Rozdział 4a. Standard usługi rejestrowanego doręczenia
elektronicznego ........... 302
Art. 26a. [Standard świadczenia publicznej usługi
rejestrowanego doręczenia elektronicznego
i kwalifikowanej usługi rejestrowanego doręczenia
elektronicznego] ....... 302
Art. 26b. [Obowiązek stosowania Standardu przez
kwalifikowanego dostawcę usług] .... 308
Art. 26c. [Obowiązek przekazania informacji o zmianie
lokalizacji adresu do doręczeń elektronicznych] ........ 309
Rozdział 5. Nadzór nad dostawcami usług zaufania
.................... 312
Art. 27. [Podmiot sprawujący nadzór i zakres nadzoru
naddostawcami usług zaufania] ...... 312
Art. 28. [Obowiązki dostawcy usług zaufania w zakresie
informacji i dokumentów] .... 331
Art. 29. [Unieważnienie certyfikatu dostawcy usług
zaufania] ...... 335
Art. 30. [Kompetencje nadzorcze ministra]
............................ 340
Art. 31. [Podmioty przeprowadzające audyt]
......................... 347
Art. 32. [Upoważnienie do przeprowadzenia audytu]
........... 348
Art. 33. [Uprawnienia audytorów i obserwatorów]
............... 350
Art. 34. [Nałożenie obowiązku usunięcia stwierdzonych
niezgodności] ....... 354
Art. 35. [Obowiązek bezterminowego zachowaniatajemnicy]
....... 362
Art. 36. [Przepisy stosowane do przeprowadzenia audytu
dostawców usług zaufania w zakresie
nieuregulowanym w ustawie] ...................................
368
Art. 37. [Wyznaczenie podmiotu do badania zgodności
kwalifikowanych urządzeń do składania podpisów elektronicznych
lub pieczęci elektronicznych z wymogami] ..... 370
Art. 38. [Wspólne dochodzenia z organami nadzoru z
innychpaństw członkowskich Unii Europejskiej] ..................
372
Art. 39. [Sposób zgłaszania przypadków naruszenia
bezpieczeństwa lub utraty integralności] ..... 373
Rozdział 5a. Nadzór nad krajowym schematem identyfikacji
elektronicznej ...... 376
Art. 39a. [Minister sprawujący nadzór nad krajowym
schematem identyfikacji elektronicznej] ... 376
Art. 39b. [Kompetencje ministra w ramach nadzoru]
.............. 377
Art. 39c. [Naruszenie polityki bezpieczeństwa węzła
krajowego lub niespełnienie wymagań dotyczących przyłączenia
systemu identyfikacji elektronicznejdo węzła krajowego] ..... 384
Art. 39d. [Decyzja o odłączeniu systemu
identyfikacjielektronicznej od węzła krajowego] .... 388
Art. 39e. [Wykreślenie systemu identyfikacji elektronicznej
z Rejestru Systemów] ... 392
Art. 39f. [Obowiązek udzielenia informacji i udostępnienia
dokumentów na żądanie Szefa ABW] ....................... 394
Art. 39g. [Zawieszenie możliwości uwierzytelnienia z
użyciemwęzła krajowego w systemie teleinformatycznym z usługami
online] .................................................... 399
Art. 39h. [Przesłanki wydania decyzji o odłączeniu
systemuteleinformatycznego od węzła krajowego] ...............
404
Art. 39i. [Obowiązek udzielania informacji i udostępniania
dokumentów bezpośrednio związanych
z funkcjonowaniem systemu identyfikacji elektronicznej
udostępniającego usługi online] ........ 411
Art. 39j. [Upoważnienie do przeprowadzenia kontroli
orazuprawnienia osób dokonujących kontroli] ................ 417
Art. 39k. [Możliwość nałożenia przez ministra obowiązku
usunięcia niezgodności stwierdzonych w wyniku kontroli]
....................................................................
424
Art. 39l. [Odesłanie do ustawy – Prawo przedsiębiorców w
zakresie nieuregulowanym ustawą o usługach zaufania]
...................................................................
429
Rozdział 6. Przepisy karne
..............................................................
432
Art. 40. [Składanie kwalifikowanego podpisu bez uprawnień]
..................................... 432
Art. 40a. [Posługiwanie się cudzym środkiem
identyfikacjielektronicznej] ..... 437
Art. 41. [Kopiowanie lub przechowywanie danych
bezuprawnień] .... 442
Art. 41a. [Kopiowanie lub przechowywanie danych
pozwalających na identyfikowanie się
z wykorzystaniem środka identyfikacji elektronicznej bez
uprawnień] ......... 443
Art. 42. [Wydanie certyfikatu zawierającego nieprawdziwe
dane] .............. 444
Art. 43. [Ujawnienie informacji objętych tajemnicą]
.............. 447
Art. 44. [Wydanie środka identyfikacji elektronicznej
osobie nieuprawnionej] ..... 449
Art. 45. [Działanie w cudzym imieniu]
................................... 450
Rozdział 7. Przepisy o karach pieniężnych
.................................... 451
Art. 46. [Znamiona czynów zagrożonych karą pieniężną]
...... 451
Art. 47. [Nakładanie kar pieniężnych]
.................................... 453
Art. 47a. [Znamiona czynu zagrożonego karą pieniężną]
........ 465
Art. 47b. [Znamiona czynu zagrożonego karą pieniężną]
........ 466
Art. 48. [Dyrektywy wymiaru kary administracyjnej]
.............. 467
Art. 49. [Odpowiednie stosowanie przepisów Ordynacji
podatkowej] .... 471
Rozdział 8. Zmiany w przepisach
................................................... 480
Art. 50–130. (pominięte)
..............................................................
480
Rozdział 9. Przepisy przejściowe
.................................................... 481
Art. 131. [Bezpieczny podpis elektroniczny weryfikowany za
pomocą ważnego kwalifikowanego
certyfikatu]
...............................................................
481
Art. 132. [Termin ważności zaświadczenia certyfikacyjnego,
poświadczenia elektronicznego i certyfikatów] ......... 483
Art. 133. [Rejestr kwalifikowanych podmiotów świadczących
usługi certyfikacyjne; elektroniczny znacznik czasu]
.......................................................................
486
Art. 134. [Zachowanie mocy upoważnienia dla NarodowegoBanku
Polskiego] ...... 489
Art. 135. [Przejęcie określonych spraw w toku przez
ministra właściwego do spraw informatyzacji]
....................... 489
Art. 136. [Obowiązek dostosowania statutów przez banki]
..... 491
Art. 137. [Warunki stosowania funkcji skrótu SHA-1]
.............. 492
Art. 138. [Przepisy temporalne dotyczące umów ubezpieczenia
odpowiedzialności cywilnej] .....499
Art. 139. [Utrzymanie w mocy przepisów wykonawczych] ......
500
Art. 140. [Przeniesienie międzyministerialne wydatków
budżetowych w drodze rozporządzenia Prezesa Rady Ministrów]
........................................................ 501
Rozdział 10. Przepisy końcowe
...................................................... 503
Art. 141. [Utrata mocy ustawy o podpisie elektronicznym]
..... 503
Art. 142. [Wejście w życie ustawy o usługach zaufania
orazidentyfikacji elektronicznej] ...... 504
Literatura
........................................................................................
505
Orzecznictwo
.................................................................................
513
Zagraniczne akty normatywne
..................................................... 517
Wykaz pozostałych źródeł
............................................................. 519
O Autorach
.....................................................................................
523