Dz.U.01.130.1450
2004.01.01 zm. Dz.U.02.153.1271 art. 83
zm. Dz.U.03.124.1152 art. 158
zm. Dz.U.03.217.2125 art. 6
2004.05.01 zm. Dz.U.04.96.959 art. 68
2005.07.21 zm. Dz.U.05.64.565 art. 45
2006.08.15 zm. Dz.U.06.145.1050 art. 2
USTAWA
z dnia 18 września 2001 r.
o podpisie elektronicznym.1)
(Dz. U. z dnia 15 listopada 2001 r.)
Rozdział I
Przepisy ogólne
Art. 1. Ustawa określa warunki stosowania podpisu elektronicznego, skutki prawne jego stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami świadczącymi te usługi.
Art. 2. Przepisy ustawy stosuje się do podmiotów świadczących usługi certyfikacyjne, mających siedzibę lub świadczących usługi na terytorium Rzeczypospolitej Polskiej.
Art. 3. Użyte w ustawie wyrażenia oznaczają:
1) podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny,
2) bezpieczny podpis elektroniczny - podpis elektroniczny, który:
a) jest przyporządkowany wyłącznie do osoby składającej ten podpis,
b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
c) jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna,
3) osoba składająca podpis elektroniczny - osobę fizyczną posiadającą urządzenie służące do składania podpisu elektronicznego, która działa w imieniu własnym albo w imieniu innej osoby fizycznej, prawnej albo jednostki organizacyjnej nieposiadającej osobowości prawnej,
4) dane służące do składania podpisu elektronicznego - niepowtarzalne i przyporządkowane osobie fizycznej dane, które są wykorzystywane przez tę osobę do składania podpisu elektronicznego,
5) dane służące do weryfikacji podpisu elektronicznego - niepowtarzalne i przyporządkowane osobie fizycznej dane, które są wykorzystywane do identyfikacji osoby składającej podpis elektroniczny,
6) urządzenie służące do składania podpisu elektronicznego - sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający złożenie podpisu lub poświadczenia elektronicznego przy wykorzystaniu danych służących do składania podpisu lub poświadczenia elektronicznego,
7) bezpieczne urządzenie służące do składania podpisu elektronicznego - urządzenie służące do składania podpisu elektronicznego spełniające wymagania określone w ustawie,
8) urządzenie służące do weryfikacji podpisu elektronicznego - sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający identyfikację osoby fizycznej, która złożyła podpis elektroniczny, przy wykorzystaniu danych służących do weryfikacji podpisu elektronicznego lub w sposób umożliwiający identyfikację podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne, przy wykorzystaniu danych służących do weryfikacji poświadczenia elektronicznego,
9) bezpieczne urządzenie służące do weryfikacji podpisu elektronicznego - urządzenie służące do weryfikacji podpisu elektronicznego spełniające wymagania określone w ustawie,
10) certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby,
11) zaświadczenie certyfikacyjne - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji poświadczenia elektronicznego są przyporządkowane do podmiotu świadczącego usługi certyfikacyjne lub organu, o którym mowa w art. 30 ust. 1, i które umożliwiają identyfikację tego podmiotu lub organu,
12) kwalifikowany certyfikat - certyfikat spełniający warunki określone w ustawie, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne, spełniający wymogi określone w ustawie,
13) usługi certyfikacyjne - wydawanie certyfikatów, znakowanie czasem lub inne usługi związane z podpisem elektronicznym,
14) podmiot świadczący usługi certyfikacyjne - przedsiębiorcę w rozumieniu przepisów ustawy z dnia 19 listopada 1999 r. - Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178, z 2000 r. Nr 86, poz. 958 i Nr 114, poz. 1193 oraz z 2001 r. Nr 49, poz. 509, Nr 67, poz. 679 i Nr 102, poz. 1115), Narodowy Bank Polski albo organ władzy publicznej, świadczący co najmniej jedną z usług, o których mowa w pkt 13,
15) kwalifikowany podmiot świadczący usługi certyfikacyjne - podmiot świadczący usługi certyfikacyjne, wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne,
16) znakowanie czasem - usługę polegającą na dołączaniu do danych w postaci elektronicznej logicznie powiązanych z danymi opatrzonymi podpisem lub poświadczeniem elektronicznym, oznaczenia czasu w chwili wykonania tej usługi oraz poświadczenia elektronicznego tak powstałych danych przez podmiot świadczący tę usługę,
17) polityka certyfikacji - szczegółowe rozwiązania, w tym techniczne i organizacyjne, wskazujące sposób, zakres oraz warunki bezpieczeństwa tworzenia i stosowania certyfikatów,
18) odbiorca usług certyfikacyjnych - osobę fizyczną, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, która:
a) zawarła z podmiotem świadczącym usługi certyfikacyjne umowę o świadczenie usług certyfikacyjnych lub
b) w granicach określonych w polityce certyfikacji może działać w oparciu o certyfikat lub inne dane elektronicznie poświadczone przez podmiot świadczący usługi certyfikacyjne,
19) poświadczenie elektroniczne - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub logicznie z nimi powiązane, umożliwiają identyfikację podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne, oraz spełniają następujące wymagania:
a) są sporządzane za pomocą podlegających wyłącznej kontroli podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenie certyfikacyjne bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania poświadczenia elektronicznego,
b) jakakolwiek zmiana danych poświadczonych jest rozpoznawalna,
20) dane służące do składania poświadczenia elektronicznego - niepowtarzalne i przyporządkowane do podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne dane, które są wykorzystywane przez ten podmiot lub organ do składania poświadczenia elektronicznego,
21) dane służące do weryfikacji poświadczenia elektronicznego - niepowtarzalne i przyporządkowane do podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne dane, które są wykorzystywane do identyfikacji podmiotu lub organu składającego poświadczenie elektroniczne,
22) weryfikacja bezpiecznego podpisu elektronicznego - czynności, które pozwalają na identyfikację osoby składającej podpis elektroniczny oraz pozwalają stwierdzić, że podpis został złożony za pomocą danych służących do składania podpisu elektronicznego przyporządkowanych do tej osoby, a także że dane opatrzone tym podpisem nie uległy zmianie po złożeniu podpisu elektronicznego.
Art. 4. Certyfikat wydany przez podmiot świadczący usługi certyfikacyjne, niemający siedziby na terytorium Rzeczypospolitej Polskiej i nieświadczący usług na jej terytorium, zrównuje się pod względem prawnym z kwalifikowanymi certyfikatami wydanymi przez kwalifikowany podmiot świadczący usługi certyfikacyjne, mający siedzibę lub świadczący usługi na terytorium Rzeczypospolitej Polskiej, jeżeli zostanie spełniona jedna z poniższych przesłanek:
1) podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne,
2) przewiduje to umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, o wzajemnym uznaniu certyfikatów,
3) podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, spełnia wymagania ustawy i została mu udzielona akredytacja w państwie członkowskim Unii Europejskiej,
4) podmiot świadczący usługi certyfikacyjne, mający siedzibę na terytorium Wspólnoty Europejskiej, spełniający wymogi ustawy, udzielił gwarancji za ten certyfikat,
5) certyfikat ten został uznany za kwalifikowany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowymi,
5a) (1) certyfikat ten został uznany za kwalifikowany w drodze umowy o Europejskim Obszarze Gospodarczym,
6) podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został uznany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowymi.
Rozdział II
Skutki prawne podpisu elektronicznego
Art. 5. 1. Bezpieczny podpis elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu. Bezpieczny podpis elektroniczny złożony w okresie zawieszenia kwalifikowanego certyfikatu wykorzystywanego do jego weryfikacji wywołuje skutki prawne z chwilą uchylenia tego zawieszenia.
2. Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.
3. Bezpieczny podpis elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu zapewnia integralność danych opatrzonych tym podpisem i jednoznaczne wskazanie kwalifikowanego certyfikatu, w ten sposób, że rozpoznawalne są wszelkie zmiany tych danych oraz zmiany wskazania kwalifikowanego certyfikatu wykorzystywanego do weryfikacji tego podpisu, dokonane po złożeniu podpisu.
Art. 6. 1. Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód tego, że został on złożony przez osobę określoną w tym certyfikacie jako składającą podpis elektroniczny.
2. Przepis ust. 1 nie odnosi się do certyfikatu po upływie terminu jego ważności lub od dnia jego unieważnienia oraz w okresie jego zawieszenia, chyba że zostanie udowodnione, że podpis został złożony przed upływem terminu ważności certyfikatu lub przed jego unieważnieniem albo zawieszeniem.
3. Nie można powoływać się, że podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu nie został złożony za pomocą bezpiecznych urządzeń i danych, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny.
Art. 7. 1. Podpis elektroniczny może być znakowany czasem.
2. Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów Kodeksu cywilnego.
3. Uważa się, że podpis elektroniczny znakowany czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne został złożony nie później niż w chwili dokonywania tej usługi. Domniemanie to istnieje do dnia utraty ważności zaświadczenia certyfikacyjnego wykorzystywanego do weryfikacji tego znakowania. Przedłużenie istnienia domniemania wymaga kolejnego znakowania czasem podpisu elektronicznego wraz z danymi służącymi do poprzedniej weryfikacji przez kwalifikowany podmiot świadczący tę usługę.
Art. 8. Nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji podpisu nie mają kwalifikowanego certyfikatu, lub nie został złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu elektronicznego.
Rozdział III
Obowiązki podmiotów świadczących usługi certyfikacyjne
Art. 9. 1. Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych nie wymaga uzyskania zezwolenia ani koncesji.
2. Organy władzy publicznej i Narodowy Bank Polski mogą świadczyć usługi certyfikacyjne, z zastrzeżeniem ust. 3, wyłącznie na użytek własny lub innych organów władzy publicznej.
3. Jednostka samorządu terytorialnego może świadczyć usługi certyfikacyjne na zasadach niezarobkowych także dla członków wspólnoty samorządowej.
Art. 10. 1. Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane certyfikaty jest obowiązany:
1) zapewnić techniczne i organizacyjne możliwości szybkiego i niezawodnego wydawania, zawieszania i unieważniania certyfikatów oraz określenia czasu dokonania tych czynności,
2) stwierdzić tożsamość osoby ubiegającej się o certyfikat,
3) zapewnić środki przeciwdziałające fałszerstwom certyfikatów i innych danych poświadczanych elektronicznie przez te podmioty, w szczególności przez ochronę urządzeń i danych wykorzystywanych przy świadczeniu usług certyfikacyjnych,
4) zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych,
5) poinformować osobę ubiegającą się o certyfikat, przed zawarciem z nią umowy, o warunkach uzyskania i używania certyfikatu, w tym o wszelkich ograniczeniach jego użycia,
6) używać systemów do tworzenia i przechowywania certyfikatów w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom uprawnionym,
7) jeżeli podmiot zapewnia publiczny dostęp do certyfikatów, to ich publikacja wymaga uprzedniej zgody osoby, której wydano ten certyfikat,
8) udostępniać odbiorcy usług certyfikacyjnych pełny wykaz bezpiecznych urządzeń do składania i weryfikacji podpisów elektronicznych i warunki techniczne, jakim te urządzenia powinny odpowiadać,
9) zapewnić, w razie tworzenia przez niego danych służących do składania podpisu elektronicznego, poufność procesu ich tworzenia, a także nie przechowywać i nie kopiować tych danych ani innych danych, które mogłyby służyć do ich odtworzenia, oraz nie udostępniać ich nikomu innemu poza osobą, która będzie składała za ich pomocą podpis elektroniczny,
10) zapewnić, w razie tworzenia przez niego danych służących do składania podpisu elektronicznego, aby dane te z prawdopodobieństwem graniczącym z pewnością wystąpiły tylko raz,
11) publikować dane, które umożliwią weryfikację, w tym również w sposób elektroniczny, autentyczności i ważności certyfikatów oraz innych danych poświadczanych elektronicznie przez ten podmiot oraz zapewnić nieodpłatny dostęp do tych danych odbiorcom usług certyfikacyjnych.
2. Kwalifikowany podmiot świadczący usługi certyfikacyjne polegające na znakowaniu czasem jest obowiązany spełnić wymogi, o których mowa w ust. 1 pkt 3, 4 i 8, oraz używać systemów do znakowania czasem, tworzenia i przechowywania zaświadczeń certyfikacyjnych, w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom uprawnionym, a także zapewnić, że czas w nich określony jest czasem z chwili składania poświadczenia elektronicznego i uniemożliwiają one oznaczenie czasem innym niż w chwili wykonania usługi znakowania czasem.
3. Osoba wykonująca czynności związane ze świadczeniem usług certyfikacyjnych powinna:
1) posiadać pełną zdolność do czynności prawnych,
2) nie być skazana prawomocnym wyrokiem za przestępstwo przeciwko wiarygodności dokumentów, obrotowi gospodarczemu, obrotowi pieniędzmi i papierami wartościowymi, przestępstwo skarbowe lub przestępstwa, o których mowa w rozdziale VIII ustawy,
3) posiadać niezbędną wiedzę i umiejętności w zakresie technologii tworzenia certyfikatów i świadczenia innych usług związanych z podpisem elektronicznym.
4. Rada Ministrów może określić, w drodze rozporządzenia, szczegółowe warunki techniczne i organizacyjne, które muszą spełniać kwalifikowane podmioty świadczące usługi certyfikacyjne, w tym wymagania z zakresu ochrony fizycznej pomieszczeń, w których znajdują się informacje, o których mowa w art. 12 ust. 1, uwzględniając zakres stosowania wydawanych przez nie certyfikatów, wymagania ich ochrony oraz konieczność zapewnienia ochrony interesów odbiorców usług certyfikacyjnych.
5. (2) Minister właściwy do spraw instytucji finansowych, w porozumieniu z ministrem właściwym do spraw gospodarki, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w drodze rozporządzenia, szczegółowy zakres ubezpieczenia obowiązkowego, o którym mowa w ust. 1 pkt 4, termin powstania obowiązku ubezpieczenia oraz minimalną sumę gwarancyjną, biorąc w szczególności pod uwagę specyfikę wykonywanego zawodu oraz zakres realizowanych zadań.
Art. 11. 1. Podmiot świadczący usługi certyfikacyjne odpowiada wobec odbiorców usług certyfikacyjnych, z zastrzeżeniem ust. 2 i 3, za wszelkie szkody spowodowane niewykonaniem lub nienależytym wykonaniem swych obowiązków w zakresie świadczonych usług, chyba że niewykonanie lub nienależyte wykonanie tych obowiązków jest następstwem okoliczności, za które podmiot świadczący usługi certyfikacyjne nie ponosi odpowiedzialności i którym nie mógł zapobiec mimo dołożenia należytej staranności.
2. ...
Pablus