Usługi zaufania oraz identyfikacja elektroniczna. Komentarz - ebook

Ustawa o usługach zaufania oraz identyfikacji elektronicznej stanowi w Polsce jeden z najważniejszych aktów normatywnych związanych z informatyzacją prawa. Uregulowano w nim krajową infrastrukturę zaufania, działalność dostawców usług zaufania (oferujących usługi m.in.: e-podpisu, e-pieczęci oraz e-doręczeń), nadzór nad tymi dostawcami, krajowy schemat identyfikacji elektronicznej, w tym nadzór nad tym schematem, a także zasady określania i wykorzystywania standardu usługi rejestrowanego doręczenia elektronicznego.

W publikacji omówiono:
- krajową infrastrukturę zaufania obejmującą rejestr dostawców usług zaufania, listę zaufaną oraz narodowe centrum certyfikacji,
- procedurę wpisu do rejestru dostawców usług zaufania i wykreślenia z tego rejestru,
- działalność dostawców usług zaufania i nadzór nad nimi,
- krajowy schemat identyfikacji elektronicznej obejmujący węzeł krajowy z przyłączonymi do niego systemami identyfikacji elektronicznej, w których są wydawane środki identyfikacji elektronicznej oraz systemami teleinformatycznymi z udostępnionymi usługami online, a także węzeł transgraniczny,
- procedury przyłączenia systemu identyfikacji elektronicznej oraz systemu teleinformatycznego do węzła krajowego,
- nadzór nad krajowym schematem identyfikacji elektronicznej,
- warunki udostępniania standardu usługi rejestrowanego doręczania elektronicznego.

Ponadto przedstawiono analizę przepisów karnych oraz o karach pieniężnych z obszaru usług zaufania oraz identyfikacji elektronicznej.

Prezentowane poglądy i wnioski są wynikiem wieloletniego doświadczenia naukowego oraz zawodowego autorów, związanego ze stosowaniem prawa w ramach pracy w administracji publicznej i sektorze prywatnym.

Komentarz jest skierowany przede wszystkim do pracowników administracji publicznej, adwokatów, radców prawnych i sędziów. Zainteresuje również pracowników naukowych oraz studentów kierunków prawniczych.

Wykaz skrótów  .............................................................................. 13

Wstęp  ............................................................................................. 21

Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej .............. 25

Rozdział 1. Przepisy ogólne ............................................................ 27

Art.  1. [Zakres stosowania ustawy; pojęcia usługi zaufaniai identyfikacji elektronicznej] ................ 27

Rozdział 2. Krajowa infrastruktura zaufania ................................. 43

Art.  2. [Krajowa infrastruktura zaufania; Rejestr, zaufana lista; NNCert] ......................... 43

Art.  3. [Rejestr dostawców usług zaufania] ......................... 48

Art.  4. [Wpis do Rejestru dostawcy usług zaufanialub kwalifikowanej usługi zaufania] ............ 53

Art.  5. [Skutki prawne decyzji o wpisie dostawcy usług zaufania do Rejestru] ...................... 65

Art.  6. [Zgłoszenie niekwalifikowanego dostawcy usług zaufania] ..................................... 67

Art.  7. [Obowiązki informacyjne dostawcy usług zaufania wobec ministra] ................................. 70

Art.  8. [Wykreślenie kwalifikowanego dostawcy usług zaufania lub kwalifikowanej usługi zaufania

z Rejestru] ................................................................. 76

Art.  9. [Natychmiastowa wykonalność decyzji o wykreśleniuz Rejestru] .......................................... 81

Art.  10. [Zadania narodowego centrum certyfikacji] .............. 84

Art.  11. [Upoważnienie Narodowego Banku Polskiego] ......... 88

Art.  12. [Delegacja ustawowa] ............................................... 90

Rozdział 3. Działalność dostawców usług zaufania ..................... 93

Art.  13. [Obowiązki kwalifikowanego dostawcy usług zaufania związane z koniecznością zawarcia umowy odpowiedzialności cywilnej] ..................................... 93

Art.  14. [Obowiązki kwalifikowanego dostawcy usługzaufania związane z wydawaniem kwalifikowanego certyfikatu podpisu elektronicznego] ........................ 105

Art.  15. [Tajemnica informacji i danych związanychze świadczeniem usług zaufania] ........... 108

Art.  16. [Wykorzystanie przez dostawcę usług zaufaniazaawansowanego podpisu elektronicznego oraz zaawansowanej pieczęci elektronicznej] ................... 118

Art.  17. [Obowiązek przechowywania dokumentów i danychprzez kwalifikowanego dostawcę usług] .................. 121

Art.  18. [Skutki prawne złożenia podpisu elektronicznegoi pieczęci elektronicznej weryfikowanego za pomocą certyfikatu] ............................................................... 125

Art.  19. [Obowiązek posiadania polityki świadczenia usługi] .............. 131

Art.  20. [Utrata statusu kwalifikowanego dostawcy usług zaufania] ............... 137

Art.  21. [Zwolnienie dostawcy usług zaufania z odpowiedzialności za szkody] ................................ 142

Rozdział 4. Krajowy schemat identyfikacji elektronicznej ............ 146

Art.  21a. [Elementy krajowego schematu identyfikacji elektronicznej; zasady uwierzytelniania użytkownika systemu teleinformatycznego w celu realizacji usługionline] .............. 146

Art.  21b. [Przyłączenie systemu identyfikacji elektronicznejdo węzła krajowego] .......... 163

Art.  21c. [Ubezpieczenie odpowiedzialności cywilnej za szkodę] ........... 173

Art.  21ca. [Maksymalna wysokość kwoty przy ubezpieczeniuodpowiedzialności cywilnej za szkodę] ..................... 176

Art.  21d. [Upoważnienie do wydania rozporządzenia w sprawie odpowiedzialności cywilnej za szkodę] .... 178

Art.  21e. [Obowiązki osoby, której wydano środekidentyfikacji elektronicznej] ........ 181

Art.  21f. [Przypadek wyłączenia odpowiedzialności osoby,której wydano środek identyfikacji elektronicznej,za zobowiązania zaciągnięte z jego użyciem] ........... 183

Art.  21g. [Wniosek o przyłączenie systemu identyfikacjielektronicznej do węzła krajowego; kontrola

korporacyjna] ............................................................ 184

Art.  21h. [Testy integracyjne potwierdzająceinteroperacyjność systemu identyfikacji elektronicznej] ...................... 204

Art.  21i. [Obowiązek informowania o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego oraz o zmianie polityki bezpieczeństwa węzłakrajowego] ........... 207

Art.  21j. [Odmowa przyłączenia systemu identyfikacji elektronicznej do węzła krajowego] ...... 209

Art.  21k. [Obowiązek podmiotu odpowiedzialnego za system identyfikacji elektronicznej przyłączony do węzła krajowego dostarczania określonych dokumentówministrowi] ................. 211

Art.  21l. [Ponowne złożenie wniosku o przyłączenie systemu identyfikacji elektronicznej do węzła krajowego] ...... 214

Art.  21m. [Przyłączenie systemu teleinformatycznego obsługującego publiczny system identyfikacji

elektronicznej do węzła krajowego] .......................... 217

Art.  21n. [Rejestr systemów identyfikacji elektronicznej przyłączonych do węzła krajowego] .... 218

Art.  21o. [Tajemnica informacji dotyczących przyłączenia systemu identyfikacji elektronicznej do węzła krajowego] ............................................................... 223

Art.  21p. [Obowiązki podmiotu odpowiedzialnego za system identyfikacji przyłączony do węzła krajowego] ......... 227

Art.  21q. [Przetwarzanie danych osobowych przez podmiot odpowiedzialny za system identyfikacji

elektronicznej] .......................................................... 241

Art.  21r. [Naruszenie bezpieczeństwa systemu identyfikacji elektronicznej] .......... 243

Art.  21s. [Obowiązek informacyjny podmiotu odpowiedzialnego za system identyfikacji

elektronicznej] .......................................................... 247

Art.  21t. [Zgoda o przyłączeniu do węzła krajowego systemu teleinformatycznego z usługami online] ................... 254

Art.  21u. [Wniosek o przyłączenie do węzła krajowego systemu teleinformatycznego z usługami online] ..... 266

Art.  21v. [Testy integracyjne potwierdzające interoperacyjność systemu teleinformatycznego

z węzłem krajowym] ................................................. 275

Art.  21w. [Obowiązek informowania ministra o zmianie danych zawartych w liście usług online] ................... 276

Art.  21x. [Udostępnianie informacji o przyłączonych do węzła krajowego systemach teleinformatycznych z usługami online] .................................................... 278

Art.  21y. [Decyzja o odmowie przyłączenia do węzła krajowego systemu teleinformatycznego z usługami online] ...................................................................... 279

Art.  21z. [Przyłączenie ePUAP do węzła krajowego] ................ 283

Art.  22. [Zapewnienie funkcjonowania węzła transgranicznego i notyfikacja systemu identyfikacji

elektronicznej] .......................................................... 284

Art.  23. [Koordynacja działań w sprawie systemów identyfikacji elektronicznej na poziomie krajowym

przez ministra] .......................................................... 288

Art.  24. [Wniosek o notyfikowanie systemu identyfikacji elektronicznej w Komisji Europejskiej]  ..... 290

Art.  25. [Określenie poziomów bezpieczeństwa środków identyfikacji elektronicznej do realizacji usług online udostępnianych w systemie teleinformatycznym] ..... 296

Art.  26. [Obowiązki ministra oraz podmiotu odpowiedzialnego za system związane

z naruszeniem bezpieczeństwa lub częściową kompromitacją notyfikowanego systemu

identyfikacji elektronicznej] ....................................... 300

Rozdział 4a. Standard usługi rejestrowanego doręczenia elektronicznego ........... 302

Art.  26a. [Standard świadczenia publicznej usługi rejestrowanego doręczenia elektronicznego

i kwalifikowanej usługi rejestrowanego doręczenia elektronicznego] ....... 302

Art.  26b. [Obowiązek stosowania Standardu przez kwalifikowanego dostawcę usług] .... 308

Art.  26c. [Obowiązek przekazania informacji o zmianie lokalizacji adresu do doręczeń elektronicznych] ........ 309

Rozdział 5. Nadzór nad dostawcami usług zaufania .................... 312

Art.  27. [Podmiot sprawujący nadzór i zakres nadzoru naddostawcami usług zaufania] ...... 312

Art.  28. [Obowiązki dostawcy usług zaufania w zakresie informacji i dokumentów] .... 331

Art.  29. [Unieważnienie certyfikatu dostawcy usług zaufania] ...... 335

Art.  30. [Kompetencje nadzorcze ministra] ............................ 340

Art.  31. [Podmioty przeprowadzające audyt] ......................... 347

Art.  32. [Upoważnienie do przeprowadzenia audytu] ........... 348

Art.  33. [Uprawnienia audytorów i obserwatorów] ............... 350

Art.  34. [Nałożenie obowiązku usunięcia stwierdzonych niezgodności] ....... 354

Art.  35. [Obowiązek bezterminowego zachowaniatajemnicy] ....... 362

Art.  36. [Przepisy stosowane do przeprowadzenia audytu dostawców usług zaufania w zakresie

nieuregulowanym w ustawie] ................................... 368

Art.  37. [Wyznaczenie podmiotu do badania zgodności kwalifikowanych urządzeń do składania podpisów elektronicznych lub pieczęci elektronicznych z wymogami] ..... 370

Art.  38. [Wspólne dochodzenia z organami nadzoru z innychpaństw członkowskich Unii Europejskiej] .................. 372

Art.  39. [Sposób zgłaszania przypadków naruszenia bezpieczeństwa lub utraty integralności] ..... 373

Rozdział 5a. Nadzór nad krajowym schematem identyfikacji elektronicznej ...... 376

Art.  39a. [Minister sprawujący nadzór nad krajowym schematem identyfikacji elektronicznej] ... 376

Art.  39b. [Kompetencje ministra w ramach nadzoru] .............. 377

Art.  39c. [Naruszenie polityki bezpieczeństwa węzła krajowego lub niespełnienie wymagań dotyczących przyłączenia systemu identyfikacji elektronicznejdo węzła krajowego] ..... 384

Art.  39d. [Decyzja o odłączeniu systemu identyfikacjielektronicznej od węzła krajowego] .... 388

Art.  39e. [Wykreślenie systemu identyfikacji elektronicznej z Rejestru Systemów] ... 392

Art.  39f. [Obowiązek udzielenia informacji i udostępnienia dokumentów na żądanie Szefa ABW] ....................... 394

Art.  39g. [Zawieszenie możliwości uwierzytelnienia z użyciemwęzła krajowego w systemie teleinformatycznym z usługami online] .................................................... 399

Art.  39h. [Przesłanki wydania decyzji o odłączeniu systemuteleinformatycznego od węzła krajowego] ............... 404

Art.  39i. [Obowiązek udzielania informacji i udostępniania dokumentów bezpośrednio związanych

z funkcjonowaniem systemu identyfikacji elektronicznej udostępniającego usługi online] ........ 411

Art.  39j. [Upoważnienie do przeprowadzenia kontroli orazuprawnienia osób dokonujących kontroli] ................ 417

Art.  39k. [Możliwość nałożenia przez ministra obowiązku usunięcia niezgodności stwierdzonych w wyniku kontroli] .................................................................... 424

Art.  39l. [Odesłanie do ustawy – Prawo przedsiębiorców w zakresie nieuregulowanym ustawą o usługach zaufania] ................................................................... 429

Rozdział 6. Przepisy karne .............................................................. 432

Art.  40. [Składanie kwalifikowanego podpisu bez uprawnień] ..................................... 432

Art.  40a. [Posługiwanie się cudzym środkiem identyfikacjielektronicznej] ..... 437

Art.  41. [Kopiowanie lub przechowywanie danych bezuprawnień] .... 442

Art.  41a. [Kopiowanie lub przechowywanie danych pozwalających na identyfikowanie się

z wykorzystaniem środka identyfikacji elektronicznej bez uprawnień] ......... 443

Art.  42. [Wydanie certyfikatu zawierającego nieprawdziwe dane] .............. 444

Art.  43. [Ujawnienie informacji objętych tajemnicą] .............. 447

Art.  44. [Wydanie środka identyfikacji elektronicznej osobie nieuprawnionej] ..... 449

Art.  45. [Działanie w cudzym imieniu] ................................... 450

Rozdział 7. Przepisy o karach pieniężnych .................................... 451

Art.  46. [Znamiona czynów zagrożonych karą pieniężną] ...... 451

Art.  47. [Nakładanie kar pieniężnych] .................................... 453

Art.  47a. [Znamiona czynu zagrożonego karą pieniężną] ........ 465

Art.  47b. [Znamiona czynu zagrożonego karą pieniężną] ........ 466

Art.  48. [Dyrektywy wymiaru kary administracyjnej] .............. 467

Art.  49. [Odpowiednie stosowanie przepisów Ordynacji podatkowej] .... 471

Rozdział 8. Zmiany w przepisach ................................................... 480

Art.  50–130. (pominięte) .............................................................. 480

Rozdział 9. Przepisy przejściowe .................................................... 481

Art.  131. [Bezpieczny podpis elektroniczny weryfikowany za pomocą ważnego kwalifikowanego

certyfikatu] ............................................................... 481

Art.  132. [Termin ważności zaświadczenia certyfikacyjnego, poświadczenia elektronicznego i certyfikatów] ......... 483

Art.  133. [Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne; elektroniczny znacznik czasu] ....................................................................... 486

Art.  134. [Zachowanie mocy upoważnienia dla NarodowegoBanku Polskiego] ...... 489

Art.  135. [Przejęcie określonych spraw w toku przez ministra właściwego do spraw informatyzacji] ....................... 489

Art.  136. [Obowiązek dostosowania statutów przez banki] ..... 491

Art.  137. [Warunki stosowania funkcji skrótu SHA-1] .............. 492

Art.  138. [Przepisy temporalne dotyczące umów ubezpieczenia odpowiedzialności cywilnej] .....499

Art.  139. [Utrzymanie w mocy przepisów wykonawczych] ...... 500

Art.  140. [Przeniesienie międzyministerialne wydatków budżetowych w drodze rozporządzenia Prezesa Rady Ministrów] ........................................................ 501

Rozdział 10. Przepisy końcowe ...................................................... 503

Art.  141. [Utrata mocy ustawy o podpisie elektronicznym] ..... 503

Art.  142. [Wejście w życie ustawy o usługach zaufania orazidentyfikacji elektronicznej] ...... 504

Literatura  ........................................................................................ 505

Orzecznictwo  ................................................................................. 513

Zagraniczne akty normatywne  ..................................................... 517

Wykaz pozostałych źródeł  ............................................................. 519

O Autorach  ..................................................................................... 523