z dnia 18 września 2001 r. (Dz. U. z dnia 15 listopada 2001 r.) - Ustawa o podpisie elektronicznym - strona nr 4
Obowiązki podmiotów świadczących usługi certyfikacyjne
Art.9.
1. Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych nie wymaga uzyskania zezwolenia ani koncesji.
2. Organy władzy publicznej i Narodowy Bank Polski mogą świadczyć usługi certyfikacyjne, z zastrzeżeniem ust. 3, wyłącznie na użytek własny lub innych organów władzy publicznej.
3. Jednostka samorządu terytorialnego może świadczyć usługi certyfikacyjne na zasadach niezarobkowych także dla członków wspólnoty samorządowej.
Art.10.
1. Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane certyfikaty jest obowiązany:
1) zapewnić techniczne i organizacyjne możliwości szybkiego i niezawodnego wydawania, zawieszania i unieważniania certyfikatów oraz określenia czasu dokonania tych czynności,
2) stwierdzić tożsamość osoby ubiegającej się o certyfikat,
3) zapewnić środki przeciwdziałające fałszerstwom certyfikatów i innych danych poświadczanych elektronicznie przez te podmioty, w szczególności przez ochronę urządzeń i danych wykorzystywanych przy świadczeniu usług certyfikacyjnych,
4) zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych,
5) poinformować osobę ubiegającą się o certyfikat, przed zawarciem z nią umowy, o warunkach uzyskania i używania certyfikatu, w tym o wszelkich ograniczeniach jego użycia,
6) używać systemów do tworzenia i przechowywania certyfikatów w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom uprawnionym,
7) jeżeli podmiot zapewnia publiczny dostęp do certyfikatów, to ich publikacja wymaga uprzedniej zgody osoby, której wydano ten certyfikat,
8) udostępniać odbiorcy usług certyfikacyjnych pełny wykaz bezpiecznych urządzeń do składania i weryfikacji podpisów elektronicznych i warunki techniczne, jakim te urządzenia powinny odpowiadać,
9) zapewnić, w razie tworzenia przez niego danych służących do składania podpisu elektronicznego, poufność procesu ich tworzenia, a także nie przechowywać i nie kopiować tych danych ani innych danych, które mogłyby służyć do ich odtworzenia, oraz nie udostępniać ich nikomu innemu poza osobą, która będzie składała za ich pomocą podpis elektroniczny,
10) zapewnić, w razie tworzenia przez niego danych służących do składania podpisu elektronicznego, aby dane te z prawdopodobieństwem graniczącym z pewnością wystąpiły tylko raz,
11) publikować dane, które umożliwią weryfikację, w tym również w sposób elektroniczny, autentyczności i ważności certyfikatów oraz innych danych poświadczanych elektronicznie przez ten podmiot oraz zapewnić nieodpłatny dostęp do tych danych odbiorcom usług certyfikacyjnych.
2. Kwalifikowany podmiot świadczący usługi certyfikacyjne polegające na znakowaniu czasem jest obowiązany spełnić wymogi, o których mowa w ust. 1 pkt 3, 4 i 8, oraz używać systemów do znakowania czasem, tworzenia i przechowywania zaświadczeń certyfikacyjnych, w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom uprawnionym, a także zapewnić, że czas w nich określony jest czasem z chwili składania poświadczenia elektronicznego i uniemożliwiają one oznaczenie czasem innym niż w chwili wykonania usługi znakowania czasem.
3. Osoba wykonująca czynności związane ze świadczeniem usług certyfikacyjnych powinna:
1) posiadać pełną zdolność do czynności prawnych,
2) nie być skazana prawomocnym wyrokiem za przestępstwo przeciwko wiarygodności dokumentów, obrotowi gospodarczemu, obrotowi pieniędzmi i papierami wartościowymi, przestępstwo skarbowe lub przestępstwa, o których mowa w rozdziale VIII ustawy,
3) posiadać niezbędną wiedzę i umiejętności w zakresie technologii tworzenia certyfikatów i świadczenia innych usług związanych z podpisem elektronicznym.
4. Rada Ministrów może określić, w drodze rozporządzenia, szczegółowe warunki techniczne i organizacyjne, które muszą spełniać kwalifikowane podmioty świadczące usługi certyfikacyjne, w tym wymagania z zakresu ochrony fizycznej pomieszczeń, w których znajdują się informacje, o których mowa w art. 12 ust. 1, uwzględniając zakres stosowania wydawanych przez nie certyfikatów, wymagania ich ochrony oraz konieczność zapewnienia ochrony interesów odbiorców usług certyfikacyjnych.
5. (2) Minister właściwy do spraw instytucji finansowych, w porozumieniu z ministrem właściwym do spraw gospodarki, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w drodze rozporządzenia, szczegółowy zakres ubezpieczenia obowiązkowego, o którym mowa w ust. 1 pkt 4, termin powstania obowiązku ubezpieczenia oraz minimalną sumę gwarancyjną, biorąc w szczególności pod uwagę specyfikę wykonywanego zawodu oraz zakres realizowanych zadań.
Art.11.
1. Podmiot świadczący usługi certyfikacyjne odpowiada wobec odbiorców usług certyfikacyjnych, z zastrzeżeniem ust. 2 i 3, za wszelkie szkody spowodowane niewykonaniem lub nienależytym wykonaniem swych obowiązków w zakresie świadczonych usług, chyba że niewykonanie lub nienależyte wykonanie tych obowiązków jest następstwem okoliczności, za które podmiot świadczący usługi certyfikacyjne nie ponosi odpowiedzialności i którym nie mógł zapobiec mimo dołożenia należytej staranności.
2. Podmiot świadczący usługi certyfikacyjne nie odpowiada wobec odbiorców usług certyfikacyjnych za szkody wynikające z użycia certyfikatu poza zakresem określonym w polityce certyfikacji, która została wskazana w certyfikacie, w tym w szczególności za szkody wynikające z przekroczenia najwyższej wartości granicznej transakcji, jeżeli wartość ta została ujawniona w certyfikacie.
3. Podmiot świadczący usługi certyfikacyjne nie odpowiada wobec odbiorców usług certyfikacyjnych za szkodę wynikłą z nieprawdziwości danych zawartych w certyfikacie, wpisanych na wniosek osoby składającej podpis elektroniczny.
4. Podmiot świadczący usługi certyfikacyjne, który udzielił gwarancji za certyfikat zgodnie z art. 4 pkt 4, odpowiada wobec odbiorców usług certyfikacyjnych za wszelkie szkody spowodowane użyciem tego certyfikatu, chyba że szkoda wynikła z użycia certyfikatu poza zakresem określonym w polityce certyfikacji, która została wskazana w tym certyfikacie.
Art.12.
1. Informacje związane ze świadczeniem usług certyfikacyjnych, których nieuprawnione ujawnienie mogłoby narazić na szkodę podmiot świadczący usługi certyfikacyjne lub odbiorcę usług certyfikacyjnych, a w szczególności dane służące do składania poświadczeń elektronicznych, są objęte tajemnicą. Nie są objęte tajemnicą informacje o naruszeniach ustawy przez podmiot świadczący usługi certyfikacyjne.
2. Do zachowania tajemnicy, o której mowa w ust. 1, są obowiązane osoby:
1) reprezentujące podmiot świadczący usługi certyfikacyjne,
2) pozostające z podmiotem świadczącym usługi certyfikacyjne w stosunku pracy, w stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze,
3) pozostające w stosunku pracy, w stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze z podmiotami świadczącymi usługi na rzecz podmiotu świadczącego usługi certyfikacyjne,
4) osoby i organy, które weszły w jej posiadanie w trybie określonym w ust. 3.
3. Osoby, o których mowa w ust. 2, mają obowiązek udzielenia informacji, o których mowa w ust. 1, z wyjątkiem danych służących do składania poświadczeń elektronicznych, wyłącznie na żądanie:
1) sądu lub prokuratora - w związku z toczącym się postępowaniem,
2) ministra właściwego do spraw gospodarki - w związku ze sprawowaniem przez niego nadzoru nad działalnością podmiotów świadczących usługi certyfikacyjne, o którym mowa w rozdziale VII,
3) innych organów państwowych upoważnionych do tego na podstawie odrębnych ustaw - w związku z prowadzonymi przez nie postępowaniami w sprawach dotyczących działalności podmiotów świadczących usługi certyfikacyjne.
4. Obowiązek zachowania tajemnicy, o której mowa w ust. 1, z zastrzeżeniem ust. 5, trwa przez okres 10 lat od ustania stosunków prawnych wymienionych w ust. 2.
5. Obowiązek zachowania tajemnicy danych służących do składania poświadczeń elektronicznych trwa bezterminowo.
Art.13.
1. Podmiot świadczący usługi certyfikacyjne, z zastrzeżeniem ust. 5 oraz art. 10 ust. 1 pkt 9, przechowuje i archiwizuje dokumenty i dane w postaci elektronicznej bezpośrednio związane z wykonywanymi usługami certyfikacyjnymi w sposób zapewniający bezpieczeństwo przechowywanych dokumentów i danych.
2. W przypadku kwalifikowanych podmiotów świadczących usługi certyfikacyjne obowiązek przechowania dokumentów i danych, o których mowa w ust. 1, trwa przez okres 20 lat od chwili powstania danego dokumentu lub danych.
3. W przypadku zaprzestania działalności przez kwalifikowany podmiot świadczący usługi certyfikacyjne, dokumenty i dane, o których mowa w ust. 1, przechowuje minister właściwy do spraw gospodarki albo wskazany przez niego podmiot. Za przechowywanie dokumentów i danych, o których mowa w ust. 1, minister właściwy do spraw gospodarki pobiera opłatę, nie wyższą jednak niż równowartość w złotych 1 euro za każdy wydany certyfikat, którego dokumentacja podlega przechowywaniu, obliczoną według kursu średniego ogłaszanego przez Narodowy Bank Polski, obowiązującego w dniu zaprzestania działalności przez kwalifikowany podmiot świadczący usługi certyfikacyjne. Opłata ta powinna być przeznaczona na sfinansowanie czynności, o których mowa w zdaniu pierwszym.
4. Minister właściwy do spraw gospodarki określi, w drodze rozporządzenia, tryb uiszczania i wysokość opłat, o których mowa w ust. 3, uwzględniając ilość oraz planowane koszty przechowywania dokumentów i danych, o których mowa w ust. 1.
5. Podmiot świadczący usługi certyfikacyjne niszczy dane służące do składania poświadczeń elektronicznych niezwłocznie po unieważnieniu lub po upływie okresu ważności zaświadczenia certyfikacyjnego wykorzystywanego do weryfikacji tych poświadczeń.