Ustawa o usługach zaufania oraz identyfikacji elektronicznej stanowi w Polsce jeden z najważniejszych aktów normatywnych związanych z informatyzacją prawa. Uregulowano w nim krajową infrastrukturę zaufania, działalność dostawców usług zaufania (oferujących usługi m.in.: e-podpisu, e-pieczęci oraz e-doręczeń), nadzór nad tymi dostawcami, krajowy schemat identyfikacji elektronicznej, w tym nadzór nad tym schematem, a także zasady określania i wykorzystywania standardu usługi rejestrowanego doręczenia elektronicznego. W publikacji omówiono: • - krajową infrastrukturę zaufania obejmującą rejestr dostawców usług zaufania, listę zaufaną oraz narodowe centrum certyfikacji, • - procedurę wpisu do rejestru dostawców usług zaufania i wykreślenia z tego rejestru, • - działalność dostawców usług zaufania i nadzór nad nimi, • - krajowy schemat identyfikacji elektronicznej obejmujący węzeł krajowy z przyłączonymi do niego systemami identyfikacji elektronicznej, w których są wydawane środki identyfikacji elektronicznej oraz systemami teleinformatycznymi z udostępnionymi usługami online, a także węzeł transgraniczny, • - procedury przyłączenia systemu identyfikacji elektronicznej oraz systemu teleinformatycznego do węzła krajowego, • - nadzór nad krajowym schematem identyfikacji elektronicznej, • - warunki udostępniania standardu usługi rejestrowanego doręczania elektronicznego. Ponadto przedstawiono analizę przepisów karnych oraz o karach pieniężnych z obszaru usług zaufania oraz identyfikacji elektronicznej. Prezentowane poglądy i wnioski są wynikiem wieloletniego doświadczenia naukowego oraz zawodowego autorów, związanego ze stosowaniem prawa w ramach pracy w administracji publicznej i sektorze prywatnym. Komentarz jest skierowany przede wszystkim do pracowników administracji publicznej, adwokatów, radców prawnych i sędziów. Zainteresuje również pracowników naukowych oraz studentów kierunków prawniczych.
Wykaz skrótów .............................................................................. 13 Wstęp ............................................................................................. 21 Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej .............. 25 Rozdział 1. Przepisy ogólne ............................................................ 27 Art. 1. [Zakres stosowania ustawy; pojęcia usługi zaufaniai identyfikacji elektronicznej] ................ 27 Rozdział 2. Krajowa infrastruktura zaufania ................................. 43 Art. 2. [Krajowa infrastruktura zaufania; Rejestr, zaufana lista; NNCert] ......................... 43 Art. 3. [Rejestr dostawców usług zaufania] ......................... 48 Art. 4. [Wpis do Rejestru dostawcy usług zaufanialub kwalifikowanej usługi zaufania] ............ 53 Art. 5. [Skutki prawne decyzji o wpisie dostawcy usług zaufania do Rejestru] ...................... 65 Art. 6. [Zgłoszenie niekwalifikowanego dostawcy usług zaufania] ..................................... 67 Art. 7. [Obowiązki informacyjne dostawcy usług zaufania wobec ministra] ................................. 70 Art. 8. [Wykreślenie kwalifikowanego dostawcy usług zaufania lub kwalifikowanej usługi zaufania z Rejestru] ................................................................. 76 Art. 9. [Natychmiastowa wykonalność decyzji o wykreśleniuz Rejestru] .......................................... 81 Art. 10. [Zadania narodowego centrum certyfikacji] .............. 84 Art. 11. [Upoważnienie Narodowego Banku Polskiego] ......... 88 Art. 12. [Delegacja ustawowa] ............................................... 90 Rozdział 3. Działalność dostawców usług zaufania ..................... 93 Art. 13. [Obowiązki kwalifikowanego dostawcy usług zaufania związane z koniecznością zawarcia umowy odpowiedzialności cywilnej] ..................................... 93 Art. 14. [Obowiązki kwalifikowanego dostawcy usługzaufania związane z wydawaniem kwalifikowanego certyfikatu podpisu elektronicznego] ........................ 105 Art. 15. [Tajemnica informacji i danych związanychze świadczeniem usług zaufania] ........... 108 Art. 16. [Wykorzystanie przez dostawcę usług zaufaniazaawansowanego podpisu elektronicznego oraz zaawansowanej pieczęci elektronicznej] ................... 118 Art. 17. [Obowiązek przechowywania dokumentów i danychprzez kwalifikowanego dostawcę usług] .................. 121 Art. 18. [Skutki prawne złożenia podpisu elektronicznegoi pieczęci elektronicznej weryfikowanego za pomocą certyfikatu] ............................................................... 125 Art. 19. [Obowiązek posiadania polityki świadczenia usługi] .............. 131 Art. 20. [Utrata statusu kwalifikowanego dostawcy usług zaufania] ............... 137 Art. 21. [Zwolnienie dostawcy usług zaufania z odpowiedzialności za szkody] ................................ 142 Rozdział 4. Krajowy schemat identyfikacji elektronicznej ............ 146 Art. 21a. [Elementy krajowego schematu identyfikacji elektronicznej; zasady uwierzytelniania użytkownika systemu teleinformatycznego w celu realizacji usługionline] .............. 146 Art. 21b. [Przyłączenie systemu identyfikacji elektronicznejdo węzła krajowego] .......... 163 Art. 21c. [Ubezpieczenie odpowiedzialności cywilnej za szkodę] ........... 173 Art. 21ca. [Maksymalna wysokość kwoty przy ubezpieczeniuodpowiedzialności cywilnej za szkodę] ..................... 176 Art. 21d. [Upoważnienie do wydania rozporządzenia w sprawie odpowiedzialności cywilnej za szkodę] .... 178 Art. 21e. [Obowiązki osoby, której wydano środekidentyfikacji elektronicznej] ........ 181 Art. 21f. [Przypadek wyłączenia odpowiedzialności osoby,której wydano środek identyfikacji elektronicznej,za zobowiązania zaciągnięte z jego użyciem] ........... 183 Art. 21g. [Wniosek o przyłączenie systemu identyfikacjielektronicznej do węzła krajowego; kontrola korporacyjna] ............................................................ 184 Art. 21h. [Testy integracyjne potwierdzająceinteroperacyjność systemu identyfikacji elektronicznej] ...................... 204 Art. 21i. [Obowiązek informowania o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego oraz o zmianie polityki bezpieczeństwa węzłakrajowego] ........... 207 Art. 21j. [Odmowa przyłączenia systemu identyfikacji elektronicznej do węzła krajowego] ...... 209 Art. 21k. [Obowiązek podmiotu odpowiedzialnego za system identyfikacji elektronicznej przyłączony do węzła krajowego dostarczania określonych dokumentówministrowi] ................. 211 Art. 21l. [Ponowne złożenie wniosku o przyłączenie systemu identyfikacji elektronicznej do węzła krajowego] ...... 214 Art. 21m. [Przyłączenie systemu teleinformatycznego obsługującego publiczny system identyfikacji elektronicznej do węzła krajowego] .......................... 217 Art. 21n. [Rejestr systemów identyfikacji elektronicznej przyłączonych do węzła krajowego] .... 218 Art. 21o. [Tajemnica informacji dotyczących przyłączenia systemu identyfikacji elektronicznej do węzła krajowego] ............................................................... 223 Art. 21p. [Obowiązki podmiotu odpowiedzialnego za system identyfikacji przyłączony do węzła krajowego] ......... 227 Art. 21q. [Przetwarzanie danych osobowych przez podmiot odpowiedzialny za system identyfikacji elektronicznej] .......................................................... 241 Art. 21r. [Naruszenie bezpieczeństwa systemu identyfikacji elektronicznej] .......... 243 Art. 21s. [Obowiązek informacyjny podmiotu odpowiedzialnego za system identyfikacji elektronicznej] .......................................................... 247 Art. 21t. [Zgoda o przyłączeniu do węzła krajowego systemu teleinformatycznego z usługami online] ................... 254 Art. 21u. [Wniosek o przyłączenie do węzła krajowego systemu teleinformatycznego z usługami online] ..... 266 Art. 21v. [Testy integracyjne potwierdzające interoperacyjność systemu teleinformatycznego z węzłem krajowym] ................................................. 275 Art. 21w. [Obowiązek informowania ministra o zmianie danych zawartych w liście usług online] ................... 276 Art. 21x. [Udostępnianie informacji o przyłączonych do węzła krajowego systemach teleinformatycznych z usługami online] .................................................... 278 Art. 21y. [Decyzja o odmowie przyłączenia do węzła krajowego systemu teleinformatycznego z usługami online] ...................................................................... 279 Art. 21z. [Przyłączenie ePUAP do węzła krajowego] ................ 283 Art. 22. [Zapewnienie funkcjonowania węzła transgranicznego i notyfikacja systemu identyfikacji elektronicznej] .......................................................... 284 Art. 23. [Koordynacja działań w sprawie systemów identyfikacji elektronicznej na poziomie krajowym przez ministra] .......................................................... 288 Art. 24. [Wniosek o notyfikowanie systemu identyfikacji elektronicznej w Komisji Europejskiej] ..... 290 Art. 25. [Określenie poziomów bezpieczeństwa środków identyfikacji elektronicznej do realizacji usług online udostępnianych w systemie teleinformatycznym] ..... 296 Art. 26. [Obowiązki ministra oraz podmiotu odpowiedzialnego za system związane z naruszeniem bezpieczeństwa lub częściową kompromitacją notyfikowanego systemu identyfikacji elektronicznej] ....................................... 300 Rozdział 4a. Standard usługi rejestrowanego doręczenia elektronicznego ........... 302 Art. 26a. [Standard świadczenia publicznej usługi rejestrowanego doręczenia elektronicznego i kwalifikowanej usługi rejestrowanego doręczenia elektronicznego] ....... 302 Art. 26b. [Obowiązek stosowania Standardu przez kwalifikowanego dostawcę usług] .... 308 Art. 26c. [Obowiązek przekazania informacji o zmianie lokalizacji adresu do doręczeń elektronicznych] ........ 309 Rozdział 5. Nadzór nad dostawcami usług zaufania .................... 312 Art. 27. [Podmiot sprawujący nadzór i zakres nadzoru naddostawcami usług zaufania] ...... 312 Art. 28. [Obowiązki dostawcy usług zaufania w zakresie informacji i dokumentów] .... 331 Art. 29. [Unieważnienie certyfikatu dostawcy usług zaufania] ...... 335 Art. 30. [Kompetencje nadzorcze ministra] ............................ 340 Art. 31. [Podmioty przeprowadzające audyt] ......................... 347 Art. 32. [Upoważnienie do przeprowadzenia audytu] ........... 348 Art. 33. [Uprawnienia audytorów i obserwatorów] ............... 350 Art. 34. [Nałożenie obowiązku usunięcia stwierdzonych niezgodności] ....... 354 Art. 35. [Obowiązek bezterminowego zachowaniatajemnicy] ....... 362 Art. 36. [Przepisy stosowane do przeprowadzenia audytu dostawców usług zaufania w zakresie nieuregulowanym w ustawie] ................................... 368 Art. 37. [Wyznaczenie podmiotu do badania zgodności kwalifikowanych urządzeń do składania podpisów elektronicznych lub pieczęci elektronicznych z wymogami] ..... 370 Art. 38. [Wspólne dochodzenia z organami nadzoru z innychpaństw członkowskich Unii Europejskiej] .................. 372 Art. 39. [Sposób zgłaszania przypadków naruszenia bezpieczeństwa lub utraty integralności] ..... 373 Rozdział 5a. Nadzór nad krajowym schematem identyfikacji elektronicznej ...... 376 Art. 39a. [Minister sprawujący nadzór nad krajowym schematem identyfikacji elektronicznej] ... 376 Art. 39b. [Kompetencje ministra w ramach nadzoru] .............. 377 Art. 39c. [Naruszenie polityki bezpieczeństwa węzła krajowego lub niespełnienie wymagań dotyczących przyłączenia systemu identyfikacji elektronicznejdo węzła krajowego] ..... 384 Art. 39d. [Decyzja o odłączeniu systemu identyfikacjielektronicznej od węzła krajowego] .... 388 Art. 39e. [Wykreślenie systemu identyfikacji elektronicznej z Rejestru Systemów] ... 392 Art. 39f. [Obowiązek udzielenia informacji i udostępnienia dokumentów na żądanie Szefa ABW] ....................... 394 Art. 39g. [Zawieszenie możliwości uwierzytelnienia z użyciemwęzła krajowego w systemie teleinformatycznym z usługami online] .................................................... 399 Art. 39h. [Przesłanki wydania decyzji o odłączeniu systemuteleinformatycznego od węzła krajowego] ............... 404 Art. 39i. [Obowiązek udzielania informacji i udostępniania dokumentów bezpośrednio związanych z funkcjonowaniem systemu identyfikacji elektronicznej udostępniającego usługi online] ........ 411 Art. 39j. [Upoważnienie do przeprowadzenia kontroli orazuprawnienia osób dokonujących kontroli] ................ 417 Art. 39k. [Możliwość nałożenia przez ministra obowiązku usunięcia niezgodności stwierdzonych w wyniku kontroli] .................................................................... 424 Art. 39l. [Odesłanie do ustawy – Prawo przedsiębiorców w zakresie nieuregulowanym ustawą o usługach zaufania] ................................................................... 429 Rozdział 6. Przepisy karne .............................................................. 432 Art. 40. [Składanie kwalifikowanego podpisu bez uprawnień] ..................................... 432 Art. 40a. [Posługiwanie się cudzym środkiem identyfikacjielektronicznej] ..... 437 Art. 41. [Kopiowanie lub przechowywanie danych bezuprawnień] .... 442 Art. 41a. [Kopiowanie lub przechowywanie danych pozwalających na identyfikowanie się z wykorzystaniem środka identyfikacji elektronicznej bez uprawnień] ......... 443 Art. 42. [Wydanie certyfikatu zawierającego nieprawdziwe dane] .............. 444 Art. 43. [Ujawnienie informacji objętych tajemnicą] .............. 447 Art. 44. [Wydanie środka identyfikacji elektronicznej osobie nieuprawnionej] ..... 449 Art. 45. [Działanie w cudzym imieniu] ................................... 450 Rozdział 7. Przepisy o karach pieniężnych .................................... 451 Art. 46. [Znamiona czynów zagrożonych karą pieniężną] ...... 451 Art. 47. [Nakładanie kar pieniężnych] .................................... 453 Art. 47a. [Znamiona czynu zagrożonego karą pieniężną] ........ 465 Art. 47b. [Znamiona czynu zagrożonego karą pieniężną] ........ 466 Art. 48. [Dyrektywy wymiaru kary administracyjnej] .............. 467 Art. 49. [Odpowiednie stosowanie przepisów Ordynacji podatkowej] .... 471 Rozdział 8. Zmiany w przepisach ................................................... 480 Art. 50–130. (pominięte) .............................................................. 480 Rozdział 9. Przepisy przejściowe .................................................... 481 Art. 131. [Bezpieczny podpis elektroniczny weryfikowany za pomocą ważnego kwalifikowanego certyfikatu] ............................................................... 481 Art. 132. [Termin ważności zaświadczenia certyfikacyjnego, poświadczenia elektronicznego i certyfikatów] ......... 483 Art. 133. [Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne; elektroniczny znacznik czasu] ....................................................................... 486 Art. 134. [Zachowanie mocy upoważnienia dla NarodowegoBanku Polskiego] ...... 489 Art. 135. [Przejęcie określonych spraw w toku przez ministra właściwego do spraw informatyzacji] ....................... 489 Art. 136. [Obowiązek dostosowania statutów przez banki] ..... 491 Art. 137. [Warunki stosowania funkcji skrótu SHA-1] .............. 492 Art. 138. [Przepisy temporalne dotyczące umów ubezpieczenia odpowiedzialności cywilnej] .....499 Art. 139. [Utrzymanie w mocy przepisów wykonawczych] ...... 500 Art. 140. [Przeniesienie międzyministerialne wydatków budżetowych w drodze rozporządzenia Prezesa Rady Ministrów] ........................................................ 501 Rozdział 10. Przepisy końcowe ...................................................... 503 Art. 141. [Utrata mocy ustawy o podpisie elektronicznym] ..... 503 Art. 142. [Wejście w życie ustawy o usługach zaufania orazidentyfikacji elektronicznej] ...... 504 Literatura ........................................................................................ 505 Orzecznictwo ................................................................................. 513 Zagraniczne akty normatywne ..................................................... 517 Wykaz pozostałych źródeł ............................................................. 519 O Autorach ..................................................................................... 523