Usługi zaufania oraz identyfikacja elektroniczna.

USTAWA
z dnia 5 września 2016 r.
o usługach zaufania oraz identyfikacji elektronicznej 1

Rozdział  1

Przepisy ogólne

Art.  1.  [Przedmiot ustawy]
1. 
Ustawa określa:
1)
krajową infrastrukturę zaufania;
2)
działalność dostawców usług zaufania, w tym zawieszanie certyfikatów podpisów elektronicznych i pieczęci elektronicznych;
3)
tryb notyfikacji krajowego systemu identyfikacji elektronicznej;
4)
nadzór nad dostawcami usług zaufania;
5)
krajowy schemat identyfikacji elektronicznej;
6)
nadzór nad krajowym schematem identyfikacji elektronicznej;
7)
zasady określania i wykorzystywania standardu usługi rejestrowanego doręczenia elektronicznego.
2. 
Przepisów ustawy nie stosuje się do identyfikacji elektronicznej lub świadczenia usług zaufania wykorzystywanych wyłącznie w zamkniętych systemach wynikających z przepisów prawa, porozumień lub umów zawartych przez określoną grupę uczestników.

Rozdział  2

Krajowa infrastruktura zaufania

Art.  2.  [Zadania ministra]

Minister właściwy do spraw informatyzacji zapewnia funkcjonowanie krajowej infrastruktury zaufania, która obejmuje:

1)
rejestr dostawców usług zaufania, zwany dalej "rejestrem";
2)
zaufaną listę;
3)
narodowe centrum certyfikacji.
Art.  3.  [Rejestr dostawców usług zaufania]
1. 
Rejestr jest prowadzony w postaci elektronicznej.
2. 
Rejestr jest jawny. Każdy ma prawo dostępu do danych zawartych w rejestrze.
3. 
Do rejestru wpisuje się dostawców usług zaufania, którzy mają siedzibę lub oddział na terytorium Rzeczypospolitej Polskiej, oraz usługi zaufania świadczone przez tych dostawców.
4. 
Do rejestru wpisuje się:
1)
imię i nazwisko lub firmę (nazwę) dostawcy usług zaufania;
2)
adres siedziby i miejsca wykonywania działalności;
3)
numer w Krajowym Rejestrze Sądowym - w przypadku dostawców usług zaufania podlegających wpisowi do tego rejestru;
4)
numer identyfikacji podatkowej;
5)
nazwę polityki świadczenia usług;
6)
rodzaj świadczonych usług zaufania;
7)
datę rozpoczęcia świadczenia usługi zaufania;
8)
datę zakończenia świadczenia usługi zaufania;
9)
informację o wystawionych certyfikatach, o których mowa w art. 10 ust. 1 pkt 1;
10)
nazwę i adres zakładu ubezpieczeń, z którym dostawca usług zaufania zawarł umowę ubezpieczenia, okres, na jaki umowa ta została zawarta, oraz sumę ubezpieczenia;
11)
informacje o zamiarze zaprzestania prowadzenia działalności w zakresie świadczenia usług zaufania lub zamiarze ograniczenia zakresu świadczonych usług zaufania;
12)
informacje o otwarciu likwidacji dostawcy usług zaufania oraz datę jego likwidacji;
13)
informacje o ogłoszeniu upadłości dostawcy usług zaufania lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe (Dz. U. z 2022 r. poz. 1520 oraz z 2023 r. poz. 825, 1723, 1843 i 1860) oraz datę zakończenia postępowania upadłościowego;
14)
datę wykreślenia z rejestru dostawcy usług zaufania.
Art.  4.  [Wpis do rejestru]
1. 
Wpis do rejestru:
1)
dostawcy usług zaufania, który zamierza świadczyć kwalifikowane usługi zaufania, lub
2)
kwalifikowanej usługi zaufania

- następuje na wniosek dostawcy usług zaufania.

2. 
Wniosek o wpis, o którym mowa w ust. 1, zawiera dane i informacje, o których mowa w art. 3 ust. 4 pkt 1-7.
3. 
Minister właściwy do spraw informatyzacji udostępnia w Biuletynie Informacji Publicznej formularz wniosku o wpis, o którym mowa w ust. 1.
4. 
Do wniosku o wpis, o którym mowa w ust. 1, dołącza się, w postaci elektronicznej:
1)
raport z oceny zgodności, o którym mowa w art. 21 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, str. 73), zwanego dalej "rozporządzeniem 910/2014", wydany przez jednostkę oceniającą zgodność;
2)
politykę świadczenia usług objętych wnioskiem, zgodnie z którą mają być świadczone usługi zaufania;
3)
plan zakończenia działalności, o którym mowa w art. 24 ust. 2 lit. i rozporządzenia 910/2014;
4)
dane niezbędne do wystawienia certyfikatu, o którym mowa w art. 10 ust. 1 pkt 1.
5. 
Do wniosku o wpis, o którym mowa w ust. 1, można dołączyć kopie dokumentów, o których mowa w ust. 4 pkt 1-3.
6. 
Minister właściwy do spraw informatyzacji, po rozpatrzeniu wniosku, o którym mowa w ust. 1, wydaje decyzję o wpisie:
1)
dostawcy usług zaufania i świadczonych przez niego usług zaufania do rejestru, jeżeli spełniają wymagania określone w przepisach o usługach zaufania;
2)
kwalifikowanej usługi zaufania do rejestru, w przypadku gdy usługa spełnia wymagania określone w przepisach o usługach zaufania.
7. 
Decyzja o wpisie, o której mowa w ust. 6, zawiera informacje podlegające wpisowi do rejestru.
Art.  5.  [Skutki wydania decyzji o wpisie do rejestru]
1. 
Decyzja, o której mowa w art. 4 ust. 6, jest podstawą do wydania certyfikatu, o którym mowa w art. 10 ust. 1 pkt 1, oraz dokonania wpisu na zaufaną listę i oznacza nadanie statusu kwalifikowanego dostawcy usług zaufania lub świadczonej przez niego usłudze.
2. 
Minister właściwy do spraw informatyzacji prowadzi zaufaną listę.
Art.  6.  [Wpis do rejestru w przypadku niekwalifikowanego dostawcy lub niekwalifikowanej usługi]
1. 
Wpis do rejestru:
1)
niekwalifikowanego dostawcy usług zaufania lub
2)
niekwalifikowanej usługi zaufania

- następuje na podstawie zgłoszenia przesłanego w postaci elektronicznej przez dostawcę usług zaufania.

2. 
Niekwalifikowany dostawca usług zaufania w zgłoszeniu, o którym mowa w ust. 1, zgłasza co najmniej informacje, o których mowa w art. 3 ust. 4 pkt 1-6.
Art.  7.  [Obowiązki informacyjne dostawcy usług zaufania wobec ministra]

Dostawca usług zaufania wpisany do rejestru jest obowiązany informować ministra właściwego do spraw informatyzacji o:

1)
każdej zmianie danych wpisanych do rejestru - w terminie 14 dni od zmiany tych danych;
2)
zamiarze zaprzestania świadczenia kwalifikowanych usług zaufania, otwarciu jego likwidacji, ogłoszeniu jego upadłości lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe - niezwłocznie.
Art.  8.  [Wykreślenie z rejestru dostawcy usług zaufania lub usługi zaufania]
1. 
Minister właściwy do spraw informatyzacji wykreśla kwalifikowanego dostawcę usług zaufania lub świadczoną przez niego kwalifikowaną usługę zaufania z rejestru w drodze decyzji.
2. 
Decyzja o wykreśleniu z rejestru kwalifikowanego dostawcy usług zaufania oznacza odebranie statusu kwalifikowanego temu dostawcy.
3. 
Decyzja o wykreśleniu z rejestru kwalifikowanej usługi zaufania oznacza odebranie tej usłudze statusu kwalifikowanego.
4. 
Minister właściwy do spraw informatyzacji wydaje decyzję o wykreśleniu z rejestru kwalifikowanego dostawcy usług zaufania lub świadczonej przez niego kwalifikowanej usługi zaufania w przypadku:
1)
złożenia przez tego dostawcę wniosku o wykreślenie z rejestru;
2)
wykorzystywania certyfikatów, o których mowa w art. 10 ust. 1 pkt 1, w sposób wykraczający poza zakres ich stosowania;
3)
o którym mowa w art. 20 ust. 3 rozporządzenia 910/2014;
4)
zaprzestania działalności przez kwalifikowanego dostawcę usług zaufania.
5. 
Decyzja o wykreśleniu, o której mowa w ust. 1, jest podstawą wykreślenia dostawcy usług zaufania z zaufanej listy oraz może być podstawą do unieważnienia certyfikatów, o których mowa w art. 10 ust. 1 pkt 1.
6. 
Minister właściwy do spraw informatyzacji wykreśla niekwalifikowanego dostawcę usług zaufania z rejestru w przypadku ustalenia, że zaprzestał on świadczenia usług zaufania.
Art.  9.  [Natychmiastowa wykonalność decyzji o wykreśleniu z rejestru]
1. 
Decyzja o wykreśleniu kwalifikowanego dostawcy usług zaufania z rejestru oraz decyzja o wykreśleniu wpisu kwalifikowanej usługi zaufania z rejestru podlega natychmiastowemu wykonaniu. Przepisu art. 61 § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634, 1705 i 1860) nie stosuje się.
2. 
W przypadku wykreślenia dostawcy usług zaufania z rejestru w rejestrze pozostawia się informacje o dostawcy i świadczonych przez niego usługach.
Art.  10.  [Zadania narodowego centrum certyfikacji]
1. 
Narodowe centrum certyfikacji:
1)
tworzy i wydaje kwalifikowanym dostawcom usług zaufania certyfikaty służące do weryfikacji zaawansowanych podpisów elektronicznych lub pieczęci elektronicznych, o których mowa w załączniku I lit. g, załączniku III lit. g i załączniku IV lit. h do rozporządzenia 910/2014, oraz certyfikatów służących do weryfikacji innych usług zaufania świadczonych przez kwalifikowanych dostawców, zwanych dalej "certyfikatami dostawcy usług zaufania";
2)
publikuje certyfikaty, o których mowa w pkt 1;
3)
publikuje listy unieważnionych certyfikatów, o których mowa w pkt 1;
4)
tworzy dane do opatrywania pieczęcią elektroniczną certyfikatów, o których mowa w pkt 1, oraz certyfikatów do weryfikacji tych pieczęci, zwanych dalej "certyfikatami narodowego centrum certyfikacji".
2. 
Narodowe centrum certyfikacji realizuje zadania, o których mowa w ust. 1, zgodnie z polityką certyfikacji.
Art.  11.  [Upoważnienie NBP do realizacji zadań narodowego centrum certyfikacji, prowadzenia rejestru i zaufanej listy]
1. 
Na wniosek Prezesa Narodowego Banku Polskiego, minister właściwy do spraw informatyzacji może upoważnić Narodowy Bank Polski do realizacji zadań, o których mowa w art. 10, jak również do prowadzenia rejestru i zaufanej listy.
2. 
W przypadku upoważnienia do realizacji zadań, o których mowa w art. 10, polityka certyfikacji narodowego centrum certyfikacji podlega uzgodnieniu z ministrem właściwym do spraw informatyzacji.
3. 
W przypadku upoważnienia do realizacji zadań, o których mowa w art. 10, minister właściwy do spraw informatyzacji przekazuje do Narodowego Banku Polskiego kopie dokumentów stanowiących podstawę wpisu do rejestru lub wykreślenia z rejestru albo zmian wpisów w rejestrze.
Art.  12.  [Delegacja ustawowa]

Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia:

1)
wymagania organizacyjno-techniczne krajowej infrastruktury zaufania,
2)
szczegółową treść wpisów w rejestrze oraz sposób ich dokonywania,
3)
tryb wydawania i unieważniania certyfikatów dostawcy usług zaufania oraz certyfikatów narodowego centrum certyfikacji,
4)
wymagania dla polityki certyfikacji narodowego centrum certyfikacji,
5)
wymagania bezpieczeństwa krajowej infrastruktury zaufania

- uwzględniając konieczność zapewnienia ochrony tajemnicy przedsiębiorstwa i interesów odbiorców usług zaufania oraz interoperacyjność systemów stosowanych przez dostawców usług zaufania oraz krajową infrastrukturę zaufania.

Rozdział  3

Działalność dostawców usług zaufania

Art.  13.  [Obowiązek zawarcia umowy ubezpieczenia OC]
1. 
Kwalifikowany dostawca usług zaufania jest obowiązany zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług zaufania powstałe w okresie świadczenia usług zaufania, w terminie 30 dni od dnia dokonania wpisu kwalifikowanej usługi zaufania do rejestru, nie później niż jeden dzień przed dniem rozpoczęcia świadczenia tej usługi.
2. 
Kwalifikowany dostawca usług zaufania jest obowiązany, w terminie 30 dni od dnia doręczenia decyzji o wpisie do rejestru, przekazać ministrowi właściwemu do spraw informatyzacji, drogą elektroniczną, kopię umowy, o której mowa w ust. 1.
3. 
Kwalifikowany dostawca usług zaufania jest obowiązany, w terminie 7 dni od dnia upływu okresu ubezpieczenia, przekazać ministrowi właściwemu do spraw informatyzacji, drogą elektroniczną, kopię kolejnej umowy ubezpieczenia.
4. 
Minister właściwy do spraw instytucji finansowych w porozumieniu z ministrem właściwym do spraw informatyzacji, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w drodze rozporządzenia, szczegółowy zakres ubezpieczenia, o którym mowa w ust. 1, oraz minimalną sumę gwarancyjną, uwzględniając specyfikę działalności prowadzonej przez kwalifikowanych dostawców usług zaufania.
Art.  14.  [Obowiązki przy wydawaniu kwalifikowanego certyfikatu podpisu elektronicznego]

Kwalifikowany dostawca usług zaufania, wydając kwalifikowany certyfikat podpisu elektronicznego, jest obowiązany:

1)
uzyskać od osoby ubiegającej się o certyfikat potwierdzenie przyporządkowania do niej danych służących do weryfikacji podpisu elektronicznego, które są zawarte w wydanym certyfikacie;
2)
poinformować osobę ubiegającą się o certyfikat o procedurze zgłaszania żądań unieważnienia kwalifikowanego certyfikatu.
Art.  15.  [Obowiązek zachowania tajemnicy]
1. 
Informacje i dane związane ze świadczeniem usług zaufania, których ujawnienie mogłoby narazić na szkodę dostawcę usług zaufania lub odbiorcę usług zaufania, w szczególności dane do składania podpisów elektronicznych lub pieczęci elektronicznych, są objęte tajemnicą.
2.  2
 Tajemnicą, o której mowa w ust. 1, nie są objęte informacje o naruszeniach przepisów o usługach zaufania przez dostawcę usług zaufania oraz informacje o zdarzeniach powodujących naruszenia bezpieczeństwa lub utratę integralności, o których mowa w art. 20a ust. 2.
3. 
Do zachowania tajemnicy, o której mowa w ust. 1, są obowiązane:
1)
osoby pozostające z dostawcą usług zaufania w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze;
2)
osoby pozostające z podmiotami świadczącymi usługi na rzecz dostawcy usług zaufania w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze.
4. 
Osoby, o których mowa w ust. 3, mają obowiązek udzielenia informacji i danych, o których mowa w ust. 1, z wyjątkiem danych do składania podpisów elektronicznych lub pieczęci elektronicznych, wyłącznie na żądanie:
1)
sądu lub prokuratora - w związku z toczącym się postępowaniem;
2)
ministra właściwego do spraw informatyzacji - w związku ze sprawowaniem przez niego nadzoru nad działalnością dostawców usług zaufania;
3)
innych upoważnionych organów - w związku z prowadzonym przez te organy postępowaniem.
5. 
Obowiązek zachowania tajemnicy, o której mowa w ust. 1, trwa przez 10 lat od dnia ustania stosunku prawnego, o którym mowa w ust. 3.
6. 
Obowiązek zachowania w tajemnicy danych do składania podpisu elektronicznego lub pieczęci elektronicznej jest nieograniczony w czasie.
Art.  16.  [Zaawansowany podpis elektroniczny i zaawansowana pieczęć elektroniczna]

Zaawansowany podpis elektroniczny lub zaawansowana pieczęć elektroniczna weryfikowane za pomocą certyfikatu dostawcy usług zaufania służą do opatrywania podpisem elektronicznym lub pieczęcią elektroniczną:

1)
certyfikatów kwalifikowanych, o których mowa w załączniku I lit. g, załączniku III lit. g oraz załączniku IV lit. h do rozporządzenia 910/2014;
2)
informacji o statusie certyfikatów kwalifikowanych, w tym listy zawieszonych lub unieważnionych certyfikatów;
3)
innych certyfikatów związanych ze świadczeniem kwalifikowanych usług zaufania.
Art.  17.  [Przechowywanie dokumentów i danych przez kwalifikowanego dostawcę usług zaufania]
1. 
Kwalifikowany dostawca usług zaufania przechowuje następujące dokumenty i dane związane ze świadczeniem usług zaufania:
1)
potwierdzenie, o którym mowa w art. 14 pkt 1,
2)
listy zawieszonych i unieważnionych kwalifikowanych certyfikatów,
3)
politykę świadczenia usługi,
4)
żądania unieważnienia kwalifikowanego certyfikatu,
5)
inne dokumenty, o ile polityka świadczenia usługi wymagała ich utworzenia i przechowywania

- w sposób umożliwiający odczytanie oraz zapewniający bezpieczeństwo przechowywanych dokumentów i danych.

2. 
Kwalifikowany dostawca usług zaufania jest obowiązany przechowywać dokumenty i dane, o których mowa w ust. 1, z wyłączeniem danych służących do składania podpisu elektronicznego lub pieczęci elektronicznej, przez 20 lat od dnia ich wytworzenia.
Art.  18.  [Ważność certyfikatu jako warunek wywołania skutków prawnych przez podpis elektroniczny lub pieczęć elektroniczną]
1. 
Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne, jeżeli zostały złożone w okresie ważności tego certyfikatu.
2. 
Podpis elektroniczny lub pieczęć elektroniczna złożone w okresie zawieszenia certyfikatu wykorzystywanego do jego weryfikacji nie wywołują skutków prawnych. Informacja o zawieszeniu certyfikatu jest udostępniana w ramach usługi informowania o statusie certyfikatu.
3. 
Po uchyleniu zawieszenia certyfikatu, skutek prawny podpisu elektronicznego lub pieczęci elektronicznej weryfikowanych tym certyfikatem złożonych w trakcie zawieszenia następuje z chwilą uchylenia tego zawieszenia.
Art.  19.  [Polityka świadczenia usługi; plan zakończenia działalności]
1. 
Dostawca usług zaufania jest obowiązany posiadać politykę świadczenia usługi.
2. 
Polityka świadczenia usługi stanowi nazwany zestaw reguł, w szczególności takich jak polityka certyfikacji, określający zasady świadczenia usługi, odpowiedzialność stron, zasady postępowania z danymi i mający zastosowanie do określonego kręgu podmiotów lub zastosowań, o wspólnych dla tego kręgu wymaganiach bezpieczeństwa, opracowywany na podstawie norm lub standardów określających wymagania dla polityk świadczenia usług.
3. 
Kwalifikowany dostawca usług zaufania jest obowiązany posiadać plan zakończenia działalności oraz zastosować ten plan do zakończenia działalności.
4. 
Kwalifikowany dostawca usług zaufania zapewnia możliwość całodobowego zgłaszania żądań unieważnienia kwalifikowanych certyfikatów.
Art.  20.  [Przekazanie ministrowi dokumentów i danych po utracie statusu kwalifikowanego dostawcy usług zaufania; obowiązek zniszczenia danych]
1. 
W przypadku gdy kwalifikowany dostawca usług zaufania utracił status kwalifikowany i żaden inny kwalifikowany dostawca usług zaufania nie przejął jego działalności w zakresie świadczenia usług zaufania, przekazuje on dokumenty i dane, o których mowa w art. 17 ust. 1, ministrowi właściwemu do spraw informatyzacji w terminie 30 dni od dnia utraty statusu kwalifikowanego.
2. 
Minister właściwy do spraw informatyzacji przechowuje dokumenty i dane, o których mowa w art. 17 ust. 1, do końca okresu, o którym mowa w art. 17 ust. 2.
3. 
Kwalifikowany dostawca usług zaufania niszczy niezwłocznie dane do składania przez niego zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej weryfikowanych za pomocą certyfikatu dostawcy usług zaufania, w przypadku gdy polityka świadczenia usługi nie przewiduje dalszego wykorzystania tych danych lub w przypadku unieważnienia certyfikatu dostawcy usług zaufania powiązanego z tymi danymi.
4. 
Kwalifikowany dostawca usług zaufania z czynności, o których mowa w ust. 3, sporządza protokół zniszczenia danych i przekazuje go ministrowi właściwemu do spraw informatyzacji w terminie 7 dni od wykonania tych czynności.
Art.  20a.  3 [Zarządzanie ryzykiem; zawiadamianie o zdarzeniach powodujących naruszenie bezpieczeństwa lub utratę integralności]
1. 
Dostawcy usług zaufania podejmują odpowiednie środki techniczne i organizacyjne w celu zarządzania ryzykiem, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług zaufania, w szczególności środki zapobiegające zdarzeniom powodującym naruszenie bezpieczeństwa lub utratę integralności, związanym z usługami zaufania lub minimalizujące wpływ tych zdarzeń. W ramach zadania, o którym mowa w zdaniu pierwszym, dostawcy usług zaufania uwzględniają najnowsze osiągnięcia w dziedzinie cyberbezpieczeństwa.
2. 
Dostawca usług zaufania zawiadamia ministra właściwego do spraw informatyzacji o zdarzeniu powodującym naruszenie bezpieczeństwa lub utratę integralności, które mają znaczący wpływ na świadczoną usługę zaufania lub przetwarzane w jej ramach dane osobowe, niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia.
3. 
W przypadku gdy prawdopodobne jest, że zdarzenie, o którym mowa w ust. 2, niekorzystnie wpłynie na osobę fizyczną lub prawną, na rzecz której świadczona była usługa zaufania, dostawca usług zaufania bez zbędnej zwłoki zawiadamia także tę osobę fizyczną lub prawną o tym zdarzeniu i jego potencjalnych skutkach.
Art.  21.  [Ograniczenie odpowiedzialności dostawcy usług zaufania]

Dostawca usług zaufania nie odpowiada za szkody wynikające z nieprzestrzegania przez odbiorcę usług zaufania zasad określonych w polityce świadczenia usługi, w szczególności za szkody wynikające z:

1)
użycia certyfikatu niezgodnie z zakresem określonym w polityce świadczenia usługi wskazanej w certyfikacie, w tym za szkody wynikające z przekroczenia najwyższej wartości granicznej transakcji, jeżeli wartość ta została wskazana w certyfikacie;
2)
nieprawdziwości danych zawartych w certyfikacie, podanych przez odbiorcę usług zaufania używającego tego certyfikatu, chyba że szkoda była wynikiem niedołożenia należytej staranności przez dostawcę usług zaufania;
3)
przechowywania lub używania przez odbiorców usług zaufania danych do składania podpisu elektronicznego, pieczęci elektronicznej lub uwierzytelniania witryn internetowych w sposób niezapewniający ich ochrony przed nieuprawnionym wykorzystaniem.

Rozdział  4

Krajowy schemat identyfikacji elektronicznej 

Art.  21a.  [Elementy krajowego schematu identyfikacji elektronicznej; zasady uwierzytelniania użytkownika systemu teleinformatycznego w celu realizacji usługi online]
1. 
Krajowy schemat identyfikacji elektronicznej obejmuje:
1)
węzeł krajowy identyfikacji elektronicznej, zwany dalej "węzłem krajowym";
2)
przyłączone do węzła krajowego:
a)
systemy identyfikacji elektronicznej, w których wydawane są środki identyfikacji elektronicznej,
b)
systemy teleinformatyczne, w których udostępniane są usługi online;
3)
węzeł wykorzystywany w procesie transgranicznego uwierzytelniania osób, o którym mowa w przepisach wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014, zwany dalej "węzłem transgranicznym".
2. 
Węzeł krajowy jest rozwiązaniem organizacyjno-technicznym umożliwiającym uwierzytelnianie użytkownika systemu teleinformatycznego, korzystającego z usługi online, z wykorzystaniem środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej przyłączonym do tego węzła bezpośrednio albo za pośrednictwem węzła transgranicznego.
3. 
Wykorzystywanie środka identyfikacji elektronicznej do uwierzytelnienia użytkownika systemu teleinformatycznego w celu realizacji usługi online świadczonej przez podmiot, o którym mowa w art. 2 i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2023 r. poz. 57, 1123, 1234 i 1703), lub podmiot sektora publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014, jest nieodpłatne.
4. 
Uwierzytelnienie użytkownika systemu teleinformatycznego w celu realizacji usługi online wymaga użycia środka identyfikacji elektronicznej na poziomie bezpieczeństwa określonym przez podmiot świadczący tę usługę.
5. 
Funkcjonowanie węzła krajowego zapewnia minister właściwy do spraw informatyzacji.
6. 
Minister właściwy do spraw informatyzacji przetwarza dane osobowe osób, którym wydano środki identyfikacji elektronicznej, obejmujące:
1)
imię (imiona),
2)
nazwisko,
3)
nazwisko rodowe,
4)
numer PESEL lub niepowtarzalny identyfikator środka identyfikacji elektronicznej, o którym mowa w przepisach wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014,
5)
datę urodzenia,
6)
miejsce urodzenia,
7)
płeć,
8)
adres zamieszkania

- w celu uwierzytelnienia z wykorzystaniem węzła krajowego.

Art.  21b.  [Przyłączenie systemu identyfikacji elektronicznej do węzła krajowego]
1. 
Minister właściwy do spraw informatyzacji wydaje decyzję o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego podmiotowi odpowiedzialnemu za ten system posiadającemu siedzibę na terenie jednego z państw członkowskich Unii Europejskiej po:
1)
potwierdzeniu spełnienia przez ten system wymagań dla zadeklarowanych poziomów bezpieczeństwa środków identyfikacji elektronicznej wydawanych w tym systemie, określonych w przepisach wydanych na podstawie art. 8 ust. 3 rozporządzenia 910/2014;
2)
przeprowadzeniu testów integracyjnych zakończonych wynikiem pozytywnym, potwierdzających interoperacyjność systemów identyfikacji elektronicznej, z uwzględnieniem przepisów wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014;
3)
zapewnieniu przez podmiot odpowiedzialny za ten system opracowania, ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
4)
przedstawieniu przez podmiot odpowiedzialny za ten system dokumentu zawierającego przyrzeczenie zakładu ubezpieczeń zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej wnioskodawcy;
5)
przedstawieniu przez podmiot odpowiedzialny za ten system oświadczenia o działaniu tego podmiotu zgodnie z przepisami o ochronie danych osobowych;
6)
uzyskaniu pozytywnej opinii Szefa Agencji Bezpieczeństwa Wewnętrznego w przypadku, o którym mowa w art. 21g ust. 6.
2. 
Przyłączenie systemu identyfikacji elektronicznej do węzła krajowego następuje pod warunkiem dostarczenia ministrowi właściwemu do spraw informatyzacji przez podmiot odpowiedzialny za system identyfikacji elektronicznej, w terminie wskazanym przez tego ministra, nie krótszym niż 30 dni, kopii umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej wnioskodawcy.
3. 
Po spełnieniu warunku, o którym mowa w ust. 2, przyłączenie systemu identyfikacji elektronicznej do węzła krajowego następuje bez zbędnej zwłoki.
Art.  21c.  [Ubezpieczenie odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej]
1. 
Ubezpieczeniem, o którym mowa w art. 21b ust. 2, jest objęta odpowiedzialność cywilna podmiotu odpowiedzialnego za system identyfikacji elektronicznej za szkodę wynikającą z działania lub zaniechania, wyrządzoną w związku z wykorzystaniem środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej, w usłudze online świadczonej przez podmiot, o którym mowa w art. 2 i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, lub podmiot sektora publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014, spowodowaną przez awarię, przerwę lub błąd systemu lub przez zaciągnięcie zobowiązania w wyniku nieuprawnionego wykorzystania tego środka identyfikacji elektronicznej.
2. 
Ubezpieczenie, o którym mowa w art. 21b ust. 2, nie obejmuje szkód:
1)
wyrządzonych przez ubezpieczonego po dniu wydania ostatecznej decyzji o odłączeniu systemu identyfikacji elektronicznej od węzła krajowego, chyba że szkoda jest następstwem działania lub zaniechania, które miało miejsce w okresie przyłączenia do węzła krajowego,
2)
polegających na zapłacie kar umownych,
3)
powstałych wskutek siły wyższej

- chyba że w umowie ubezpieczenia zakres ochrony ubezpieczeniowej zostanie rozszerzony również o szkody wynikające ze zdarzeń wskazanych w pkt 1-3.

3. 
Ubezpieczenie, o którym mowa w art. 21b ust. 2, obejmuje wszystkie szkody w zakresie, o którym mowa w ust. 1 i 2, bez możliwości umownego ograniczenia odpowiedzialności przez zakład ubezpieczeń.
Art.  21ca.  [Odpowiedzialność cywilna podmiotu odpowiedzialnego za system identyfikacji elektronicznej]
1. 
Podmiot odpowiedzialny za system identyfikacji elektronicznej ponosi odpowiedzialność cywilną za szkodę wynikającą z działania lub zaniechania, wyrządzoną w związku z wykorzystaniem środka identyfikacji elektronicznej, w celu uwierzytelnienia użytkowników systemów określonych w art. 21a ust. 1 pkt 2 lit. b, korzystających z usługi online świadczonej przez podmiot, o którym mowa w art. 2 i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, lub podmiot sektora publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014, spowodowaną przez awarię, przerwę lub błąd systemu lub przez zaciągnięcie zobowiązania w wyniku nieuprawnionego wykorzystania tego środka identyfikacji elektronicznej do wysokości 2 000 000 euro w odniesieniu do wszystkich zdarzeń w danym roku.
2. 
Ograniczenia odpowiedzialności do wysokości wskazanej w ust. 1 nie stosuje się w przypadku transgranicznego uwierzytelniania osób, o którym mowa w przepisach wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014.
Art.  21d.  [Delegacja ustawowa - minimalna suma gwarancyjna ubezpieczenia, wysokość kwot odpowiedzialności podmiotu odpowiedzialnego za system identyfikacji elektronicznej za szkody]
1. 
Minister właściwy do spraw instytucji finansowych w porozumieniu z ministrem właściwym do spraw informatyzacji, po zasięgnięciu opinii Polskiej Izby Ubezpieczeń, określi, w drodze rozporządzenia, minimalną sumę gwarancyjną ubezpieczenia, o którym mowa w art. 21b ust. 2, za szkody wynikające z działania lub zaniechania, wyrządzone w związku z wykorzystaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej, w usługach online świadczonych przez podmioty, o których mowa w art. 2 lub art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, lub podmioty sektora publicznego, o których mowa w art. 3 pkt 7 rozporządzenia 910/2014, spowodowane przez awarie, przerwy lub błędy systemu lub przez zaciągnięcie zobowiązań w wyniku nieuprawnionego wykorzystania środka identyfikacji elektronicznej, uwzględniając specyfikę działalności prowadzonej przez podmioty odpowiedzialne za systemy identyfikacji elektronicznej.
2. 
Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wysokość kwot odpowiedzialności podmiotu odpowiedzialnego za system identyfikacji elektronicznej, o której mowa w art. 21ca ust. 1, w odniesieniu do jednego zdarzenia, w zależności od poziomu bezpieczeństwa środków identyfikacji elektronicznej wydawanych w tym systemie, kierując się potrzebą zapewnienia zaufania do uwierzytelnienia z wykorzystaniem środków identyfikacji elektronicznej.
Art.  21e.  [Obowiązki osoby, której wydano środek identyfikacji elektronicznej w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego]
1. 
Osoba, której wydano środek identyfikacji elektronicznej w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego, jest obowiązana:
1)
korzystać ze środka identyfikacji elektronicznej zgodnie z warunkami określonymi przez podmiot odpowiedzialny za system identyfikacji elektronicznej, w którym został wydany ten środek;
2)
zgłaszać niezwłocznie podmiotowi odpowiedzialnemu za system identyfikacji elektronicznej, w którym został wydany ten środek, utratę, kradzież, przywłaszczenie środka identyfikacji elektronicznej lub utratę wyłącznej kontroli nad danymi umożliwiającymi identyfikację przy użyciu tego środka albo stwierdzenie nieuprawnionego użycia środka identyfikacji elektronicznej.
2. 
W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, osoba, której wydano środek identyfikacji elektronicznej w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego, z chwilą wydania tego środka podejmuje niezbędne działania służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego środka lub danych umożliwiających identyfikację przy użyciu tego środka.
Art.  21f.  [Wyłączenie odpowiedzialności po zgłoszeniu utraty, kradzieży, przywłaszczenia środka identyfikacji elektronicznej lub utraty kontroli nad danymi umożliwiającymi identyfikację]

W przypadku zgłoszenia, o którym mowa w art. 21e ust. 1 pkt 2, osoba, której wydano środek identyfikacji elektronicznej w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego, po dokonaniu zgłoszenia nie ponosi odpowiedzialności za zobowiązanie zaciągnięte z wykorzystaniem środka identyfikacji elektronicznej.

Art.  21g.  [Wniosek o przyłączenie systemu identyfikacji elektronicznej do węzła krajowego]
1. 
Przyłączenie systemu identyfikacji elektronicznej do węzła krajowego następuje na wniosek podmiotu odpowiedzialnego za system identyfikacji elektronicznej.
2. 
Wniosek zawiera:
1)
imię i nazwisko lub firmę (nazwę), adres siedziby i miejsca wykonywania działalności, numer w Krajowym Rejestrze Sądowym, a w przypadku gdy podmiot nie posiada numeru w Krajowym Rejestrze Sądowym, wskazanie organu, któremu działalność podmiotu została zgłoszona, lub właściwego rejestru oraz podanie numeru identyfikacyjnego, jeżeli został on nadany, podmiotu odpowiedzialnego za system identyfikacji elektronicznej;
2)
imię i nazwisko lub firmę (nazwę), adres siedziby i miejsca wykonywania działalności, numer w Krajowym Rejestrze Sądowym, a w przypadku gdy podmiot nie posiada numeru w Krajowym Rejestrze Sądowym, wskazanie organu, któremu działalność podmiotu została zgłoszona, lub właściwego rejestru oraz podanie numeru identyfikacyjnego, jeżeli został on nadany, każdego podmiotu:
a)
potwierdzającego tożsamość oraz weryfikującego dane identyfikujące osoby ubiegającej się o wydanie środka identyfikacji elektronicznej,
b)
wydającego środki identyfikacji elektronicznej,
c)
zapewniającego funkcjonalność pozwalającą na uwierzytelnienie osób, którym wydano środek identyfikacji elektronicznej

- w przypadku gdy czynności tych nie wykonuje podmiot odpowiedzialny za system identyfikacji elektronicznej;

3)
nazwę i szczegółowy opis systemu identyfikacji elektronicznej, w tym opis środków identyfikacji elektronicznej wydawanych w tym systemie z określeniem ich poziomu bezpieczeństwa, o którym mowa w art. 8 ust. 2 rozporządzenia 910/2014, oraz informacje techniczne i organizacyjne dotyczące wykorzystania tych środków.
3. 
Do wniosku dołącza się:
1)
dokument potwierdzający spełnianie wymagań dla zadeklarowanych poziomów bezpieczeństwa środków identyfikacji elektronicznej, określonych w przepisach wydanych na podstawie art. 8 ust. 3 rozporządzenia 910/2014, w szczególności:
a)
pozytywny wynik audytu systemu zarządzania bezpieczeństwem informacji obejmującego swym zakresem system identyfikacji elektronicznej, którego dotyczy wniosek, albo
b)
pozytywny wynik audytu, o którym mowa w przepisach wydanych na podstawie art. 8 ust. 3 rozporządzenia 910/2014

- adekwatnie do poziomu bezpieczeństwa środków identyfikacji elektronicznej wydawanych w tym systemie;

2)
dokument zawierający przyrzeczenie zakładu ubezpieczeń zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej wnioskodawcy;
3)
oświadczenie o zapewnieniu stosowania polityki bezpieczeństwa, o której mowa w art. 39b ust. 1 pkt 3;
4)
oświadczenie o działaniu podmiotu zgodnie z przepisami o ochronie danych osobowych.
4. 
Wniosek oraz dokumenty, o których mowa w ust. 3, składa się w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym.
5. 
Minister właściwy do spraw informatyzacji informuje Szefa Agencji Bezpieczeństwa Wewnętrznego o wpłynięciu wniosku, o którym mowa w ust. 1, w celu umożliwienia Szefowi Agencji Bezpieczeństwa Wewnętrznego dokonania oceny, czy podmiot odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2, znajdują się pod kontrolą korporacyjną, w tym faktycznym wpływem innego państwa, jego podmiotu lub obywatela tego państwa, a w przypadku znajdowania się pod taką kontrolą, w celu ustalenia, czy może zagrażać bezpieczeństwu państwa, w tym bezpieczeństwu ekonomicznemu państwa.
6. 
Szef Agencji Bezpieczeństwa Wewnętrznego może przeprowadzić postępowanie w celu dokonania oceny, o której mowa w ust. 5, o czym informuje ministra właściwego do spraw informatyzacji w terminie 7 dni od dnia otrzymania informacji o wpłynięciu wniosku.
7. 
Kontrolą korporacyjną, o której mowa w ust. 5, są wszelkie formy bezpośredniego lub pośredniego uzyskania przez podmiot uprawnień, które osobno albo łącznie, przy uwzględnieniu wszystkich okoliczności prawnych i faktycznych, umożliwiają wywieranie decydującego wpływu na podmiot odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2, a w szczególności w przypadku:
1)
dysponowania bezpośrednio lub pośrednio większością głosów na zgromadzeniu wspólników albo na walnym zgromadzeniu, także jako zastawnik albo użytkownik, bądź w zarządzie innego podmiotu (podmiotu zależnego), także na podstawie porozumień z innymi osobami;
2)
uprawnienia do powoływania lub odwoływania większości członków zarządu lub rady nadzorczej innego podmiotu (podmiotu zależnego), także na podstawie porozumień z innymi osobami;
3)
gdy członkowie jego zarządu lub rady nadzorczej stanowią więcej niż połowę członków zarządu innego podmiotu (podmiotu zależnego);
4)
dysponowania bezpośrednio lub pośrednio większością głosów w spółce osobowej zależnej albo na walnym zgromadzeniu spółdzielni zależnej, także na podstawie porozumień z innymi osobami;
5)
dysponowania prawem do całego albo do części mienia innego podmiotu (podmiotu zależnego);
6)
umów przewidujących zarządzanie innym podmiotem (podmiotem zależnym) lub przekazywanie zysku przez taki podmiot.
8. 
W przypadku wszczęcia przez Szefa Agencji Bezpieczeństwa Wewnętrznego postępowania w celu dokonania oceny, o której mowa w ust. 5, minister właściwy do spraw informatyzacji wzywa podmiot odpowiedzialny za system identyfikacji elektronicznej do przekazania danych niezbędnych do przeprowadzenia postępowania w stosunku do tego podmiotu lub podmiotu, o którym mowa w ust. 2 pkt 2.
9. 
Podmiot odpowiedzialny za system identyfikacji elektronicznej na żądanie ministra właściwego do spraw informatyzacji obowiązany jest przekazać dane i dokumenty niezbędne do przeprowadzenia postępowania w celu dokonania oceny, o której mowa w ust. 5.
10. 
Agencja Bezpieczeństwa Wewnętrznego po przeprowadzeniu postępowania w celu dokonania oceny, o której mowa w ust. 5, wydaje pozytywną opinię, jeżeli podmiot odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2:
1)
nie znajduje się pod kontrolą korporacyjną innego państwa, jego podmiotu lub obywatela tego państwa, albo
2)
znajduje się pod kontrolą korporacyjną innego państwa, jego podmiotu lub obywatela tego państwa, ale kontrola ta nie zagraża bezpieczeństwu państwa, w tym bezpieczeństwu ekonomicznemu państwa.
11. 
Szef Agencji Bezpieczeństwa Wewnętrznego wydaje negatywną opinię w przypadku niespełnienia odpowiednio przez podmiot odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2, warunków, o których mowa w ust. 10.
12. 
Opinia Szefa Agencji Bezpieczeństwa Wewnętrznego zawiera oddzielnie stanowisko w stosunku do każdego z ocenianych podmiotów.
13. 
Rada Ministrów określi, w drodze rozporządzenia, zakres danych i dokumentów niezbędnych do przeprowadzenia postępowania w celu dokonania oceny, o której mowa w ust. 5, mając na uwadze potrzebę zapewnienia kompletności danych i dokumentów niezbędnych do wydania opinii oraz zapewnienie sprawności postępowania.
14. 
Termin postępowania w sprawie przeprowadzenia oceny, o której mowa w ust. 5, wynosi 30 dni od otrzymania danych i dokumentów niezbędnych do przeprowadzenia postępowania i może zostać wydłużony o kolejne 30 dni w przypadkach szczególnie uzasadnionych. Okresu przeprowadzenia postępowania nie wlicza się do terminów przewidzianych na wydanie decyzji, o której mowa w art. 21b ust. 1.
Art.  21h.  [Testy integracyjne]

Minister właściwy do spraw informatyzacji po dokonaniu oceny wniosku oraz dokumentów załączonych do wniosku wyznacza termin przeprowadzenia testów integracyjnych, o których mowa w art. 21b ust. 1 pkt 2, i przeprowadza testy zgodnie z procedurą udostępnioną w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.

Art.  21i.  [Informowanie o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego oraz o zmianie polityki bezpieczeństwa węzła krajowego]

Minister właściwy do spraw informatyzacji informuje podmiot odpowiedzialny za system identyfikacji elektronicznej na piśmie, w postaci papierowej albo elektronicznej, o:

1)
przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego;
2)
każdej zmianie polityki bezpieczeństwa, o której mowa w art. 39b ust. 1 pkt 3.
Art.  21j.  [Odmowa przyłączenia systemu identyfikacji elektronicznej do węzła krajowego]

W przypadku niespełniania wymagań, o których mowa w art. 21b ust. 1, minister właściwy do spraw informatyzacji wydaje decyzję o odmowie przyłączenia systemu identyfikacji elektronicznej do węzła krajowego.

Art.  21k.  [Obowiązek podmiotu odpowiedzialnego za system identyfikacji elektronicznej przyłączony do węzła krajowego dostarczania określonych dokumentów ministrowi]

Podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego dostarcza ministrowi właściwemu do spraw informatyzacji:

1)
dokumenty potwierdzające spełnianie aktualnych wymagań dla wskazanych we wniosku poziomów bezpieczeństwa środków identyfikacji elektronicznej, o których mowa w art. 21g ust. 3 pkt 1, w przypadku zmiany przepisów wydanych na podstawie art. 8 ust. 3 rozporządzenia 910/2014, w terminie 14 dni od dnia wejścia w życie zmiany tych przepisów;
2)
kopię kolejnej umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej wnioskodawcy, w terminie 14 dni od dnia jej zawarcia.
Art.  21l.  [Ponowny wniosek o przyłączenie systemu identyfikacji elektronicznej do węzła krajowego]
1. 
Ponowne złożenie wniosku, o którym mowa w art. 21g ust. 1, wymagane jest w przypadku:
1)
zmiany poziomu bezpieczeństwa środka identyfikacji elektronicznej, wydawanego w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego;
2)
uruchomienia w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego środka identyfikacji elektronicznej nieobjętego zakresem wniosku, na podstawie którego została wydana decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego;
3)
wydania przez Szefa Agencji Bezpieczeństwa Wewnętrznego negatywnej opinii w przypadku, o którym mowa w art. 21s ust. 3.
2. 
Umożliwienie korzystania za pośrednictwem węzła krajowego ze środków identyfikacji elektronicznej, o których mowa w ust. 1, następuje po pozytywnym rozpatrzeniu wniosku i przeprowadzeniu testów integracyjnych.
Art.  21m.  [Przyłączenie systemu teleinformatycznego obsługującego publiczny system identyfikacji elektronicznej do węzła krajowego]

Do węzła krajowego przyłącza się system teleinformatyczny zapewniający obsługę publicznego systemu identyfikacji elektronicznej, o którym mowa w art. 20aa pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.

Art.  21n.  [Rejestr systemów identyfikacji elektronicznej przyłączonych do węzła krajowego]
1. 
Minister właściwy do spraw informatyzacji prowadzi rejestr systemów identyfikacji elektronicznej przyłączonych do węzła krajowego, zwany dalej "rejestrem systemów".
2. 
Rejestr systemów jest jawny.
3. 
Podstawą do wpisania systemu identyfikacji elektronicznej do rejestru systemów jest decyzja, o której mowa w art. 21b ust. 1. Wpis jest czynnością materialno-techniczną.
4. 
Do rejestru systemów wpisuje się:
1)
informacje zawarte we wniosku, o którym mowa w art. 21g ust. 1;
2)
datę przyłączenia systemu identyfikacji elektronicznej do węzła krajowego;
3)
informacje o zamiarze zaprzestania świadczenia usług związanych ze środkami identyfikacji elektronicznej wydawanymi w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego;
4)
informacje o otwarciu likwidacji podmiotu odpowiedzialnego za system identyfikacji elektronicznej oraz datę jego likwidacji;
5)
informacje o ogłoszeniu upadłości podmiotu odpowiedzialnego za system identyfikacji elektronicznej lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe oraz datę zakończenia postępowania upadłościowego;
6)
informacje o zawieszeniu możliwości korzystania z systemu identyfikacji elektronicznej lub uwierzytelniania z wykorzystaniem środków identyfikacji elektronicznej wydanych w tym systemie;
7)
informacje o przywróceniu możliwości korzystania z systemu identyfikacji elektronicznej lub uwierzytelniania z wykorzystaniem środków identyfikacji elektronicznej wydanych w tym systemie;
8)
informację o tym, czy system identyfikacji elektronicznej został przyłączony do węzła transgranicznego;
9)
datę wykreślenia z rejestru systemów podmiotu odpowiedzialnego za system identyfikacji elektronicznej.
Art.  21o.  [Informacje i dane objęte tajemnicą]
1. 
Informacje i dane zawarte w dokumentach potwierdzających spełnianie wymagań, o których mowa w art. 21b ust. 1, których ujawnienie mogłoby narazić na szkodę podmiot odpowiedzialny za system identyfikacji elektronicznej, objęte są tajemnicą.
2. 
Informacje i dane objęte tajemnicą udostępnia się wyłącznie na żądanie:
1)
sądu lub prokuratora - w związku z toczącym się postępowaniem;
2)
innych upoważnionych organów - w związku z prowadzonym przez te organy postępowaniem;
3)
Szefa Agencji Bezpieczeństwa Wewnętrznego.
Art.  21p.  [Kompetencje i obowiązki podmiotu odpowiedzialnego za system identyfikacji elektronicznej przyłączony do węzła krajowego]
1. 
Podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego:
1)
zarządza systemem identyfikacji elektronicznej oraz ponosi koszty jego utrzymania i rozwoju;
2)
potwierdza tożsamość oraz weryfikuje dane identyfikujące osoby ubiegającej się o wydanie środka identyfikacji elektronicznej w sposób adekwatny do poziomu bezpieczeństwa danego środka identyfikacji elektronicznej, zgodnie z wymaganiami określonymi w przepisach wydanych na podstawie art. 8 ust. 3 rozporządzenia 910/2014;
3)
wydaje, zawiesza i unieważnia środki identyfikacji elektronicznej;
4)
zapewnia funkcjonalność pozwalającą na uwierzytelnienie osoby, której wydano środek identyfikacji elektronicznej, z wykorzystaniem tego środka;
5)
zapisuje i zachowuje informacje związane z wydawaniem, zawieszaniem i unieważnianiem środków identyfikacji elektronicznej oraz zapewnieniem rozliczalności i niezaprzeczalności działań użytkowników korzystających z tych środków;
6)
stosuje politykę bezpieczeństwa węzła krajowego, o której mowa w art. 39b ust. 1 pkt 3;
7)
unieważnia środki identyfikacji elektronicznej wydane przez podmiot, w stosunku do którego Szef Agencji Bezpieczeństwa Wewnętrznego wydał negatywną opinię w przypadku, o którym mowa w art. 21s ust. 3.
2. 
Czynności, o których mowa w ust. 1 pkt 2-5 i 7, mogą wykonywać podmioty inne niż podmiot odpowiedzialny za system identyfikacji elektronicznej, spełniające wymogi określone w art. 21b ust. 1 pkt 1, 3 i 5, o ile posiadają siedzibę na terenie jednego z państw członkowskich Unii Europejskiej. Odpowiedzialność za czynności wykonywane przez podmioty inne niż podmiot odpowiedzialny za system identyfikacji elektronicznej ponosi podmiot odpowiedzialny za system identyfikacji elektronicznej.
3. 
Podmioty inne niż podmiot odpowiedzialny za system identyfikacji elektronicznej stosują politykę bezpieczeństwa węzła krajowego, o której mowa w art. 39b ust. 1 pkt 3.
Art.  21q.  [Dane osobowe przetwarzane przez podmiot odpowiedzialny za system identyfikacji elektronicznej]
1. 
Podmiot odpowiedzialny za system identyfikacji elektronicznej przetwarza dane osobowe osób, którym w tym systemie wydano środki identyfikacji elektronicznej, obejmujące:
1)
imię (imiona),
2)
nazwisko,
3)
nazwisko rodowe,
4)
numer PESEL lub niepowtarzalny identyfikator środka identyfikacji elektronicznej, o którym mowa w przepisach wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014,
5)
datę urodzenia,
6)
miejsce urodzenia,
7)
płeć,
8)
adres zamieszkania

- w celu realizacji zadań, o których mowa w art. 21p ust. 1 pkt 1-5 i 7.

2. 
Podmiot, o którym mowa w art. 21p, inny niż podmiot wskazany w art. 2 i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne lub podmiot sektora publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014, zapewniając możliwość uwierzytelniania w usługach online, nie może pozyskiwać, przechowywać oraz przetwarzać danych dotyczących realizacji tych usług, innych niż dane niezbędne do zrealizowania procesu uwierzytelnienia.
Art.  21r.  [Zawieszenie możliwości uwierzytelniania z wykorzystaniem środków identyfikacji elektronicznej w przypadku naruszenia bezpieczeństwa systemu identyfikacji elektronicznej]
1. 
W przypadku gdy nastąpi naruszenie bezpieczeństwa systemu identyfikacji elektronicznej przyłączonego do węzła krajowego lub części środków identyfikacji elektronicznej wydanych w tym systemie, mogące mieć wpływ na rozliczalność i niezaprzeczalność działań wykonywanych z wykorzystaniem tego systemu lub części środków identyfikacji elektronicznej wydanych w tym systemie, podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego niezwłocznie zawiesza możliwość uwierzytelniania z wykorzystaniem środków identyfikacji elektronicznej, których dotyczy naruszenie bezpieczeństwa.
2. 
Po usunięciu naruszenia bezpieczeństwa systemu identyfikacji elektronicznej lub zawieszonej części środków identyfikacji elektronicznej podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego przywraca możliwość uwierzytelniania za pomocą środków identyfikacji elektronicznej, których dotyczyło zawieszenie.
Art.  21s.  [Informacje przekazywane ministrowi oraz Szefowi ABW; postępowanie w sprawie struktury właścicielskiej podmiotu odpowiedzialnego za system identyfikacji elektronicznej]
1. 
Podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego informuje ministra właściwego do spraw informatyzacji o:
1)
każdej zmianie dotyczącej systemu identyfikacji elektronicznej przyłączonego do węzła krajowego mającej wpływ na aktualność danych wpisanych do rejestru systemów - w terminie 14 dni od dnia zmiany tych danych;
2)
zamiarze zaprzestania świadczenia usług związanych ze środkami identyfikacji elektronicznej wydawanymi w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego - w terminie 12 miesięcy przed planowanym zaprzestaniem świadczenia tych usług;
3)
otwarciu jego likwidacji, ogłoszeniu jego upadłości lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe - niezwłocznie;
4)
zawieszeniu możliwości uwierzytelniania z powodu naruszenia bezpieczeństwa, o którym mowa w art. 21r ust. 1, oraz przywróceniu możliwości uwierzytelniania po usunięciu naruszenia bezpieczeństwa, o którym mowa w art. 21r ust. 2 - niezwłocznie, nie później niż w ciągu 24 godzin od momentu odpowiednio wykrycia naruszenia bezpieczeństwa oraz usunięcia naruszenia bezpieczeństwa.
2. 
Minister właściwy do spraw informatyzacji po otrzymaniu danych, o których mowa w ust. 1, przekazuje je Szefowi Agencji Bezpieczeństwa Wewnętrznego, jeżeli istnieją uzasadnione przesłanki pozwalające wnioskować, iż zmiany tych danych mogą mieć wpływ na bezpieczeństwo publiczne, bezpieczeństwo państwa lub zagrażają w sposób bezpośredni bezpieczeństwu systemów teleinformatycznych państwa.
3. 
Szef Agencji Bezpieczeństwa Wewnętrznego, w przypadku powzięcia informacji o okolicznościach prawnych lub faktycznych dotyczących struktury właścicielskiej podmiotu odpowiedzialnego za system identyfikacji elektronicznej lub podmiotu, o którym mowa w art. 21g ust. 2 pkt 2, które mogą zagrozić bezpieczeństwu państwa, w tym bezpieczeństwu ekonomicznemu państwa, przeprowadza postępowanie w tej sprawie. Do postępowania stosuje się odpowiednio przepisy art. 21g ust. 5-13.
4. 
Szef Agencji Bezpieczeństwa Wewnętrznego przeprowadza postępowanie, o którym mowa w ust. 3, również na polecenie Prezesa Rady Ministrów lub ministra członka Rady Ministrów właściwego do spraw koordynowania działalności służb specjalnych.
5. 
Szef Agencji Bezpieczeństwa Wewnętrznego po przeprowadzeniu postępowania przekazuje opinię ministrowi właściwemu do spraw informatyzacji.
6. 
Minister właściwy do spraw informatyzacji przekazuje opinię podmiotowi odpowiedzialnemu za system identyfikacji elektronicznej.
Art.  21t.  [Przyłączenie do węzła krajowego systemu teleinformatycznego, w którym udostępniane są usługi online]
1. 
Minister właściwy do spraw informatyzacji wydaje zgodę o przyłączeniu do węzła krajowego systemu teleinformatycznego, w którym udostępniane są usługi online, po:
1)
zapewnieniu przez podmiot odpowiedzialny za ten system opracowania, ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
2)
przeprowadzeniu testów integracyjnych zakończonych wynikiem pozytywnym, potwierdzających interoperacyjność tego systemu z węzłem krajowym;
3)
przedstawieniu przez podmiot odpowiedzialny za ten system oświadczenia o działaniu tego podmiotu zgodnie z przepisami o ochronie danych osobowych;
4)
wskazaniu interesu faktycznego w uwierzytelnianiu z wykorzystaniem węzła krajowego - w przypadku podmiotu innego niż podmiot wskazany w art. 2 i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne lub podmiot sektora publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014.
2. 
Ocena interesu faktycznego dokonywana jest z uwzględnieniem jego wpływu na bezpieczeństwo i interes publiczny.
3. 
Wyrażenie zgody, o której mowa w ust. 1, stanowi czynność materialno-techniczną.
Art.  21u.  [Wniosek o przyłączenie do węzła krajowego systemu teleinformatycznego, w którym udostępniane są usługi online]
1. 
Przyłączenie systemu, o którym mowa w art. 21t ust. 1, do węzła krajowego następuje na wniosek podmiotu odpowiedzialnego za ten system.
2. 
Wniosek zawiera nazwę podmiotu odpowiedzialnego za system albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania.
3. 
Do wniosku dołącza się:
1)
oświadczenie o zapewnieniu przez podmiot odpowiedzialny za ten system opracowania, ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
2)
oświadczenie o zapewnieniu stosowania polityki bezpieczeństwa, o której mowa w art. 39b ust. 1 pkt 3;
3)
listę usług online udostępnianych w tym systemie wraz z określeniem dla każdej z tych usług wymaganych poziomów bezpieczeństwa środków identyfikacji elektronicznej, o których mowa w art. 8 ust. 2 rozporządzenia 910/2014, niezbędnych dla realizacji tych usług;
4)
oświadczenie o działaniu podmiotu zgodnie z przepisami o ochronie danych osobowych;
5)
uzasadnienie interesu faktycznego w uwierzytelnianiu z wykorzystaniem węzła krajowego - w przypadku podmiotu innego niż podmiot, o których mowa w art. 2 i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, lub podmiot sektora publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014.;
6)
raport z testów integracyjnych zakończonych wynikiem pozytywnym, potwierdzających interoperacyjność tego systemu z węzłem krajowym.
4. 
Wniosek oraz dokumenty, o których mowa w ust. 3, składa się w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym.
Art.  21v.  [Testy integracyjne]

Testy integracyjne, o których mowa w art. 21t ust. 1 pkt 2, przeprowadza się zgodnie z procedurą udostępnioną w Biuletynie Informacji Publicznej na stronie podmiotowej ministra właściwego do spraw informatyzacji.

Art.  21w.  [Obowiązek informowania ministra o zmianie danych zawartych w liście usług online udostępnianych w systemie teleinformatycznym udostępniającym usługi online]

Podmiot odpowiedzialny za system teleinformatyczny, w którym udostępniane są usługi online, przyłączony do węzła krajowego, niezwłocznie informuje ministra właściwego do spraw informatyzacji o każdej zmianie danych zawartych w liście usług, o której mowa w art. 21u ust. 3 pkt 3.

Art.  21x.  [Informacja o przyłączonych do węzła krajowego systemach teleinformatycznych, w którym udostępniane są usługi online]

Minister właściwy do spraw informatyzacji udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej informację o przyłączonych do węzła krajowego systemach teleinformatycznych, w którym udostępniane są usługi online.

Art.  21y.  [Odmowa przyłączenia do węzła krajowego systemu teleinformatycznego, w którym udostępniane są usługi online]

W przypadku niespełniania wymagań, o których mowa w art. 21t ust. 1, minister właściwy do spraw informatyzacji wydaje decyzję o odmowie przyłączenia systemu teleinformatycznego, w którym udostępniane są usługi online, do węzła krajowego.

Art.  21z.  [Przyłączenie ePUAP do węzła krajowego]

Do węzła krajowego przyłącza się elektroniczną platformę usług administracji publicznej.

Art.  22.  [Funkcjonowanie węzła transgranicznego]
1. 
Minister właściwy do spraw informatyzacji zapewnia funkcjonowanie węzła transgranicznego, zgodnie z rozporządzeniem 910/2014.
2. 
(uchylony).
3. 
Do notyfikacji, o której mowa w art. 9 rozporządzenia 910/2014, mogą być zgłaszane wyłącznie systemy identyfikacji elektronicznej przyłączone do węzła krajowego, jeżeli zostało potwierdzone spełnienie warunków, o których mowa w art. 7 tego rozporządzenia.
4. 
Notyfikowany system identyfikacji elektronicznej jest przyłączany do węzła transgranicznego za pośrednictwem węzła krajowego.
Art.  23.  [Działania koordynowane przez ministra]

Minister właściwy do spraw informatyzacji koordynuje działania na poziomie krajowym na rzecz współpracy z państwami członkowskimi Unii Europejskiej w sprawach dotyczących systemów identyfikacji elektronicznej, prowadzonej zgodnie z art. 12 ust. 5 i 6 rozporządzenia 910/2014, w szczególności zapewniając obsługę pojedynczego punktu kontaktowego, o którym mowa w przepisach wykonawczych wydanych na podstawie art. 12 ust. 7 tego rozporządzenia.

Art.  24.  [Notyfikacja systemu identyfikacji elektronicznej]
1. 
Wniosek o notyfikowanie systemu identyfikacji elektronicznej w Komisji Europejskiej składa do ministra właściwego do spraw informatyzacji podmiot odpowiedzialny za ten system.
2. 
Do wniosku, o którym mowa w ust. 1, załącza się formularz notyfikacji systemu identyfikacji elektronicznej zgodny ze wzorem określonym w przepisach wykonawczych wydanych na podstawie art. 9 ust. 5 rozporządzenia 910/2014.
3. 
Minister właściwy do spraw informatyzacji może zgłosić system identyfikacji elektronicznej do przeprowadzenia wzajemnej oceny, o której mowa w art. 12 ust. 6 lit. c rozporządzenia 910/2014, po pozytywnym zweryfikowaniu wniosku, o którym mowa w ust. 1, biorąc pod uwagę warunki kwalifikowania się systemu do notyfikowania wskazane w art. 7 tego rozporządzenia oraz politykę państwa w zakresie identyfikacji elektronicznej.
4. 
Minister właściwy do spraw informatyzacji zgłasza system identyfikacji elektronicznej do notyfikacji, o której mowa w art. 9 rozporządzenia 910/2014, biorąc pod uwagę wynik wzajemnej oceny, o której mowa w przepisach wykonawczych wydanych na podstawie art. 12 ust. 7 tego rozporządzenia.
5. 
Minister właściwy do spraw informatyzacji może powierzyć wykonywanie zadań, o których mowa w ust. 3 i 4, podmiotowi publicznemu w rozumieniu art. 2 ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
Art.  25.  [Poziomy bezpieczeństwa systemów identyfikacji elektronicznej]

Podmioty odpowiedzialne za systemy teleinformatyczne, w których udostępniane są usługi online, przyłączane do węzła krajowego określają wymagane poziomy bezpieczeństwa środków identyfikacji elektronicznej, o których mowa w art. 8 ust. 2 rozporządzenia 910/2014, niezbędne dla realizacji tych usług.

Art.  26.  [Naruszenie bezpieczeństwa]
1. 
Obowiązki, o których mowa w art. 10 rozporządzenia 910/2014, wykonuje minister właściwy do spraw informatyzacji.
2. 
Informacje dotyczące naruszenia bezpieczeństwa notyfikowanego systemu identyfikacji elektronicznej albo uwierzytelnienia, o którym mowa w art. 10 rozporządzenia 910/2014, podmiot odpowiedzialny za ten system przekazuje niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia naruszenia, drogą elektroniczną, ministrowi właściwemu do spraw informatyzacji.

Rozdział  4a 

Standard usługi rejestrowanego doręczenia elektronicznego

Art.  26a.  [Określenie standardu usługi rejestrowanego doręczenia elektronicznego.]

Minister właściwy do spraw informatyzacji określi i udostępni w Biuletynie Informacji Publicznej na swojej stronie podmiotowej standard publicznej usługi rejestrowanego doręczenia elektronicznego świadczonej przez operatora wyznaczonego i kwalifikowanych dostawców usług zaufania świadczących kwalifikowane usługi rejestrowanego doręczenia elektronicznego w zakresie współpracy z publiczną usługą rejestrowanego doręczenia elektronicznego oraz skrzynki doręczeń, obejmujący:

1)
wymagania techniczne przekazywania dokumentów elektronicznych w ramach publicznej usługi rejestrowanego doręczenia elektronicznego,
2)
sposób identyfikacji nadawcy i adresata danych w ramach publicznej usługi rejestrowanego doręczenia elektronicznego,
3)
strukturę dowodów wysłania i dowodów otrzymania w ramach publicznej usługi rejestrowanego doręczenia elektronicznego,
4)
formę i sposób:
a)
wystawiania dowodu wysłania,
b)
wystawiania dowodu otrzymania,
c)
utrwalania dowodów wysłania i dowodów otrzymania

- w ramach publicznej usługi rejestrowanego doręczenia elektronicznego,

5)
zakres i strukturę danych dotyczących komunikacji pomiędzy adresami do doręczeń elektronicznych,
6)
wymagania funkcjonowania skrzynki doręczeń, o której mowa w art. 2 pkt 9 ustawy z dnia 18 listopada 2020 r. o doręczeniach elektronicznych (Dz. U. z 2023 r. poz. 285, 1860 i 2699)

- uwzględniając konieczność zapewnienia interoperacyjności i bezpieczeństwa wymiany danych, w tym możliwość transgranicznej wymiany danych, biorąc pod uwagę normy i wytyczne dotyczące procedur wysyłania i otrzymywania danych opracowane przez Europejski Instytut Norm Telekomunikacyjnych lub normy wskazane przez Komisję Europejską w drodze aktów wykonawczych, o których mowa w art. 44 ust. 2 rozporządzenia 910/2014.

Art.  26b.  [Wymóg świadczenia kwalifikowanej usługi rejestrowanego doręczenia elektronicznego zgodnie z określonym standardem]

Kwalifikowany dostawca usług zaufania świadczy kwalifikowaną usługę rejestrowanego doręczenia elektronicznego zgodnie ze standardem określonym w art. 26a.

Art.  26c.  [Informowanie ministra o zmianie lokalizacji adresu do doręczeń elektronicznych w przypadku przeniesienia go do innego dostawcy]

Kwalifikowany dostawca usług zaufania świadczący kwalifikowaną usługę rejestrowanego doręczenia elektronicznego zgłasza do ministra właściwego do spraw informatyzacji za pomocą systemu teleinformatycznego, o którym mowa w art. 58 ust. 1 ustawy z dnia 18 listopada 2020 r. o doręczeniach elektronicznych, informację o zmianie lokalizacji adresu do doręczeń elektronicznych w przypadku przeniesienia go do innego dostawcy.

Rozdział  5

Nadzór nad dostawcami usług zaufania

Art.  27.  [Zadania i kompetencje ministra w zakresie nadzoru nad dostawcami usług zaufania]
1. 
Nadzór nad dostawcami usług zaufania sprawuje minister właściwy do spraw informatyzacji.
2. 
W zakresie nadzoru, o którym mowa w ust. 1, minister właściwy do spraw informatyzacji:
1)
wykonuje zadania określone w przepisach rozporządzenia 910/2014;
2)
wydaje certyfikaty dostawców usług zaufania;
3)
tworzy certyfikaty narodowego centrum certyfikacji;
4)
może unieważniać certyfikaty, o których mowa w pkt 2 i 3;
5)
w uzasadnionych przypadkach, w drodze decyzji, może żądać niezwłocznego unieważnienia kwalifikowanego certyfikatu przez kwalifikowanego dostawcę usług zaufania;
6)
bada zgodność polityki świadczenia usługi z przepisami o usługach zaufania;
7)
prowadzi rejestr dostawców usług zaufania;
8)
nakłada kary pieniężne;
9)
wykonuje inne zadania określone w przepisach prawa.
3. 
Decyzja, o której mowa w ust. 2 pkt 5, podlega natychmiastowemu wykonaniu. Przepisu art. 61 § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi nie stosuje się.
Art.  28.  [Obowiązek udzielania ministrowi informacji i udostępniania dokumentów]

Dostawca usługi zaufania, na żądanie ministra właściwego do spraw informatyzacji, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych, jest obowiązany udzielać informacji lub udostępniać dokumenty, które są bezpośrednio związane ze świadczonymi usługami zaufania lub mają wpływ na świadczone usługi zaufania, w tym dotyczą zarządzania incydentami związanymi z usługą zaufania.

Art.  29.  [Unieważnienie certyfikatów dostawcy usług zaufania]
1. 
W przypadku odebrania kwalifikowanemu dostawcy usług zaufania statusu kwalifikowanego lub statusu kwalifikowanego świadczonej przez niego usłudze zaufania minister właściwy do spraw informatyzacji, w drodze decyzji, może unieważnić odpowiednie certyfikaty dostawcy usług zaufania, wydane temu dostawcy.
2. 
Unieważniając certyfikaty dostawcy usług zaufania, minister właściwy do spraw informatyzacji bierze pod uwagę stopień zagrożenia bezpieczeństwa świadczenia usług zaufania, możliwość usunięcia tego zagrożenia w inny sposób oraz pewność obrotu.
Art.  30.  [Kompetencje ministra w przypadku prowadzenia przez kwalifikowanego dostawcę działalności niezgodnie z przepisami]

Minister właściwy do spraw informatyzacji w przypadku stwierdzenia, że kwalifikowany dostawca usług zaufania prowadzi działalność niezgodnie z przepisami o usługach zaufania, może:

1)
wezwać kwalifikowanego dostawcę usług zaufania, aby w wyznaczonym terminie:
a)
usunął stwierdzone nieprawidłowości i doprowadził swoją działalność do stanu zgodnego z przepisami o usługach zaufania,
b)
zmienił politykę świadczenia usług lub inne dokumenty związane ze świadczeniem usług zaufania,
c)
unieważnił kwalifikowane certyfikaty wydane z naruszeniem polityki świadczenia usług;
2)
wydać decyzję o odebraniu kwalifikowanemu dostawcy usług zaufania statusu kwalifikowanego lub statusu kwalifikowanego świadczonej przez niego usłudze zaufania.
Art.  30a.  4 [Podanie do publicznej wiadomości informacji o zdarzeniu powodującym naruszenie bezpieczeństwa lub utratę integralności]

 Minister właściwy do spraw informatyzacji może podać do wiadomości publicznej informacje o zdarzeniu, o którym mowa w art. 20a ust. 2, w przypadku gdy uzna, że jego ujawnienie jest konieczne dla zapewnienia ochrony interesów innych dostawców usług zaufania oraz użytkowników tych usług.

Art.  31.  [Podmioty przeprowadzające audyt]

Audyt, o którym mowa w art. 20:

1)
ust. 2 rozporządzenia 910/2014 - jest przeprowadzany przez osoby upoważnione przez ministra właściwego do spraw informatyzacji, zwane dalej "audytorami organu nadzoru";
2)
ust. 1 lub 2 rozporządzenia 910/2014 - może być przeprowadzany przy udziale osób upoważnionych przez ministra właściwego do spraw informatyzacji, zwanych dalej "obserwatorami organu nadzoru", w przypadku gdy jest przeprowadzany przez jednostkę oceniającą zgodność.
Art.  32.  [Upoważnienie do przeprowadzenia audytu]
1. 
Audytorzy organu nadzoru oraz obserwatorzy organu nadzoru odpowiednio przeprowadzają audyt albo biorą udział w przeprowadzeniu audytu na podstawie imiennego upoważnienia wydanego przez ministra właściwego do spraw informatyzacji.
2. 
Audytorzy organu nadzoru i obserwatorzy organu nadzoru nie mogą prowadzić działalności gospodarczej w zakresie świadczenia usług zaufania, świadczyć usług zaufania, być wspólnikami albo akcjonariuszami dostawcy usług zaufania ani wykonywać obowiązków osoby reprezentującej lub członka rady nadzorczej albo komisji rewizyjnej tego dostawcy, a także pozostawać z tym dostawcą w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze.
Art.  33.  [Uprawnienia audytorów i obserwatorów]
1. 
Audytorzy organu nadzoru są uprawnieni do:
1)
wstępu do obiektów i pomieszczeń kwalifikowanych dostawców usług zaufania;
2)
wglądu do dokumentów i danych, z wyjątkiem danych do składania podpisów elektronicznych lub pieczęci elektronicznych dostawców usług zaufania i innych informacji, które mogą służyć do odtworzenia tych danych, związanych z działalnością w zakresie usług zaufania;
3)
przetwarzania danych osobowych w zakresie objętym przedmiotem audytu;
4)
przeprowadzania oględzin obiektów oraz innych składników majątkowych związanych ze świadczeniem usług zaufania, a także sprawdzenia przebiegu czynności związanych ze świadczeniem tych usług;
5)
żądania udzielenia ustnych lub pisemnych wyjaśnień od pracowników kwalifikowanych dostawców usług zaufania;
6)
zabezpieczania dokumentów i innych materiałów, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.
2. 
Upoważniony przedstawiciel audytowanego kwalifikowanego dostawcy usług zaufania udziela wyjaśnień lub przedkłada, na żądanie audytora organu nadzoru, dokumenty i inne materiały niezbędne do przeprowadzenia audytu.
3. 
Przepisy ust. 1 pkt 1-4 stosuje się do obserwatorów organu nadzoru.
Art.  34.  [Nałożenie obowiązku usunięcia stwierdzonych niezgodności]

W przypadku gdy wyniki audytu przeprowadzanego na podstawie art. 20 ust. 2 rozporządzenia 910/2014 wykażą niezgodność z przepisami o usługach zaufania, minister właściwy do spraw informatyzacji, po zapoznaniu się z zastrzeżeniami oraz wyjaśnieniami zgłoszonymi przez dostawcę usług zaufania, może wydać decyzję nakładającą na tego dostawcę obowiązek usunięcia stwierdzonych niezgodności w terminie nie krótszym niż 14 dni.

Art.  35.  [Obowiązek tajemnicy]

Audytorzy organu nadzoru i obserwatorzy organu nadzoru są obowiązani do bezterminowego zachowania w tajemnicy informacji uzyskanych w związku z przeprowadzanym audytem, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.

Art.  36.  [Przepisy stosowane do przeprowadzenia audytu dostawców usług zaufania w zakresie nieuregulowanym w ustawie]

W sprawach nieuregulowanych w ustawie, do przeprowadzenia audytu dostawców usług zaufania przez audytorów organu nadzoru stosuje się odpowiednio przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. z 2024 r. poz. 236), z wyłączeniem przepisu art. 55 ust. 1 tej ustawy.

Art.  37.  [Wyznaczenie podmiotu do badania zgodności kwalifikowanych urządzeń do składania podpisów elektronicznych lub pieczęci elektronicznych z wymogami]
1. 
Minister właściwy do spraw informatyzacji może wyznaczyć podmiot badający zgodność kwalifikowanych urządzeń do składania podpisu elektronicznego lub pieczęci elektronicznej z wymogami, o których mowa w załączniku II do rozporządzenia 910/2014.
2. 
Minister właściwy do spraw informatyzacji przekazuje Komisji Europejskiej nazwę i adres wyznaczonego podmiotu, o którym mowa w ust. 1.
Art.  38.  [Wspólne dochodzenia z organami nadzoru z innych państw członkowskich UE]

Minister właściwy do spraw informatyzacji może zawierać porozumienia z organami nadzoru innych państw członkowskich Unii Europejskiej w celu prowadzenia wspólnych postępowań, o których mowa w art. 18 ust. 3 rozporządzenia 910/2014.

Art.  39.  5 [Sposób zgłaszania zdarzeń powodujących naruszenie bezpieczeństwa lub utratę integralności]

 Minister właściwy do spraw informatyzacji ustala sposób zgłaszania drogą elektroniczną zdarzenia, o którym mowa w art. 20a ust. 2, które ma znaczący wpływ na świadczoną usługę zaufania lub przetwarzane w jej ramach dane osobowe.

Rozdział  5a 

Nadzór nad krajowym schematem identyfikacji elektronicznej

Art.  39a.  [Minister sprawujący nadzór]

Nadzór nad krajowym schematem identyfikacji elektronicznej sprawuje minister właściwy do spraw informatyzacji.

Art.  39b.  [Kompetencje ministra w ramach nadzoru]
1. 
W ramach nadzoru minister właściwy do spraw informatyzacji:
1)
prowadzi kontrole:
a)
spełniania przez systemy identyfikacji elektronicznej przyłączone do węzła krajowego wymagań, o których mowa w art. 21b ust. 1,
b)
spełniania przez systemy teleinformatyczne, w których udostępniane są usługi online, przyłączone do węzła krajowego wymagań, o których mowa w art. 21t ust. 1;
2)
prowadzi działania zapobiegające naruszeniom bezpieczeństwa w krajowym schemacie identyfikacji elektronicznej, w szczególności dokonuje systematycznego szacowania ryzyka wystąpienia incydentów w krajowym schemacie identyfikacji elektronicznej;
3)
określa i udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej politykę bezpieczeństwa węzła krajowego;
4)
uczestniczy w inicjatywach krajowych i międzynarodowych mających na celu podnoszenie bezpieczeństwa węzła krajowego, węzła transgranicznego oraz systemów identyfikacji elektronicznej;
5)
współpracuje z organem właściwym do spraw ochrony danych osobowych.
2. 
W ramach działań zapobiegających naruszeniom bezpieczeństwa w krajowym schemacie identyfikacji elektronicznej minister właściwy do spraw informatyzacji:
1)
prowadzi systematyczne szacowanie ryzyka wystąpienia incydentów, przez które rozumie się każde zdarzenie, które ma lub może mieć niekorzystny wpływ na poufność danych albo rozliczalność działań dokonywanych w ramach świadczonych usług w krajowym schemacie identyfikacji elektronicznej, w tym za pośrednictwem węzła krajowego;
2)
wdraża, rozwija i upowszechnia stosowanie środków technicznych i organizacyjnych uwzględniających najnowszy stan wiedzy, odpowiednich i proporcjonalnych do zidentyfikowanych ryzyk, zapewniających bezpieczeństwo systemów teleinformatycznych wykorzystywanych do świadczenia usług za pośrednictwem węzła krajowego;
3)
po dostrzeżeniu podatności lub zagrożeń naruszających lub mogących naruszać poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemach teleinformatycznych działających w ramach krajowego schematu identyfikacji elektronicznej niezwłocznie podejmuje działania zaradcze.
Art.  39c.  [Środki podejmowane przez ministra w razie naruszenia polityki bezpieczeństwa węzła krajowego lub niespełniania wymagań dotyczących systemu identyfikacji elektronicznej przyłączonego do węzła krajowego]
1. 
W przypadku naruszenia polityki bezpieczeństwa węzła krajowego lub niespełniania wymagań, o których mowa w art. 21b ust. 1, dotyczących systemu identyfikacji elektronicznej przyłączonego do węzła krajowego, w zakresie mającym wpływ na wiarygodność uwierzytelnienia z wykorzystaniem środków identyfikacji elektronicznej wydanych w tym systemie, minister właściwy do spraw informatyzacji wydaje decyzję o zawieszeniu:
1)
możliwości korzystania z tego systemu, jeżeli naruszenie dotyczy całego systemu, albo
2)
możliwości korzystania z części środków identyfikacji elektronicznej wydanych w tym systemie, jeżeli naruszenie dotyczy części środków identyfikacji elektronicznej i zawieszenie takie jest możliwe technicznie.
2. 
Minister właściwy do spraw informatyzacji wydaje decyzję o przywróceniu możliwości korzystania z systemu identyfikacji elektronicznej lub zawieszonej części środków identyfikacji elektronicznej niezwłocznie po otrzymaniu od podmiotu odpowiedzialnego za system identyfikacji elektronicznej potwierdzenia usunięcia naruszenia, które było podstawą do zawieszenia, o którym mowa w ust. 1.
3. 
Decyzja, o której mowa w ust. 1, podlega natychmiastowemu wykonaniu. Przepisu art. 61 § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi nie stosuje się.
Art.  39d.  [Odłączenie systemu identyfikacji elektronicznej od węzła krajowego]

Minister właściwy do spraw informatyzacji wydaje decyzję o odłączeniu systemu identyfikacji elektronicznej od węzła krajowego i odłącza ten system od węzła krajowego w przypadku:

1)
złożenia przez podmiot odpowiedzialny za system identyfikacji elektronicznej wniosku o odłączenie od węzła krajowego;
2)
zaprzestania prowadzenia działalności przez podmiot odpowiedzialny za system identyfikacji elektronicznej;
3)
nieusunięcia przyczyny zawieszenia możliwości uwierzytelniania, o której mowa w art. 21r ust. 1, lub możliwości korzystania z systemu, o której mowa w art. 39c ust. 1, w terminie 3 miesięcy od dnia jego zawieszenia;
4)
nieprzedstawienia kolejnej umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej;
5)
wydania przez Szefa Agencji Bezpieczeństwa Wewnętrznego negatywnej opinii w przypadku, o którym mowa w art. 21s ust. 3, w stosunku do podmiotu odpowiedzialnego za system identyfikacji elektronicznej.
Art.  39e.  [Wykreślenie systemu z rejestru systemów]
1. 
Decyzja o odłączeniu systemu identyfikacji elektronicznej od węzła krajowego jest podstawą do wykreślenia tego systemu z rejestru systemów.
2. 
Decyzja podlega natychmiastowemu wykonaniu. Przepisu art. 61 § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi nie stosuje się.
Art.  39f.  [Obowiązek udzielania informacji i udostępniania dokumentów związanych z funkcjonowaniem systemu identyfikacji elektronicznej]

Podmiot odpowiedzialny za system identyfikacji elektronicznej, na żądanie ministra właściwego do spraw informatyzacji oraz Szefa Agencji Bezpieczeństwa Wewnętrznego, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych, jest obowiązany udzielać informacji oraz udostępniać dokumenty, które są bezpośrednio związane z funkcjonowaniem systemu identyfikacji elektronicznej, w tym dotyczą naruszeń, o których mowa w art. 21r ust. 1 lub art. 39c ust. 1.

Art.  39g.  [Zawieszenie możliwości uwierzytelnienia w systemie udostępniającym usługi online]
1. 
W przypadku naruszenia polityki bezpieczeństwa, o której mowa w art. 39b ust. 1 pkt 3, lub niespełniania wymagań, o których mowa w art. 21t ust. 1, dotyczących systemu teleinformatycznego, w którym udostępniane są usługi online, przyłączonego do węzła krajowego, w zakresie mającym wpływ na bezpieczeństwo uwierzytelnienia z wykorzystaniem węzła krajowego, minister właściwy do spraw informatyzacji zawiesza w tym systemie możliwość uwierzytelniania z wykorzystaniem węzła krajowego.
2. 
Minister właściwy do spraw informatyzacji przywraca możliwość uwierzytelniania z wykorzystaniem węzła krajowego w systemie teleinformatycznym, w którym udostępniane są usługi online, niezwłocznie po otrzymaniu od podmiotu odpowiedzialnego za ten system potwierdzenia usunięcia naruszenia, które było podstawą do zawieszenia, o którym mowa w ust. 1.
Art.  39h.  [Odłączenie od węzła krajowego systemu udostępniającego usługi online]

Minister właściwy do spraw informatyzacji wydaje decyzję o odłączeniu systemu teleinformatycznego, w którym udostępniane są usługi online, i odłącza ten system od węzła krajowego w przypadku:

1)
złożenia przez podmiot odpowiedzialny za ten system wniosku o odłączenie systemu od węzła krajowego;
2)
zaprzestania udostępniania usług online w tym systemie;
3)
nieusunięcia przyczyny zawieszenia tego systemu, o której mowa w art. 39g ust. 1, w terminie 3 miesięcy od dnia jego zawieszenia.
Art.  39i.  [Obowiązek udzielania informacji i udostępniania dokumentów związanych z funkcjonowaniem systemu identyfikacji elektronicznej udostępniającego usługi online]

Podmiot odpowiedzialny za system teleinformatyczny, w którym udostępniane są usługi online, na żądanie ministra właściwego do spraw informatyzacji oraz Szefa Agencji Bezpieczeństwa Wewnętrznego, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych, jest obowiązany udzielać informacji oraz udostępniać dokumenty, które są bezpośrednio związane z funkcjonowaniem tego systemu, w tym dotyczą naruszeń, o których mowa w art. 39g ust. 1.

Art.  39j.  [Uprawnienia osób upoważnionych do kontroli]
1. 
Kontrola, o której mowa w art. 39b ust. 1 pkt 1, jest przeprowadzana przez osoby upoważnione przez ministra właściwego do spraw informatyzacji.
2. 
Osoby, o których mowa w ust. 1, są uprawnione do:
1)
wstępu do obiektów i pomieszczeń podmiotu odpowiedzialnego za system identyfikacji elektronicznej lub podmiotu wydającego środek identyfikacji elektronicznej w tym systemie;
2)
wglądu do dokumentów zawierających dane dotyczące funkcjonowania systemu identyfikacji elektronicznej oraz wydanych w tym systemie środków identyfikacji elektronicznej;
3)
przetwarzania danych osobowych w zakresie objętym przedmiotem kontroli;
4)
przeprowadzania oględzin obiektów oraz innych składników majątkowych związanych z funkcjonowaniem systemu identyfikacji elektronicznej, a także sprawdzania przebiegu czynności związanych z wydawaniem środków identyfikacji elektronicznej oraz oceny technicznej środków identyfikacji elektronicznej;
5)
żądania udzielenia ustnych lub pisemnych wyjaśnień od pracowników podmiotu odpowiedzialnego za system identyfikacji elektronicznej, podmiotu wydającego środek identyfikacji elektronicznej oraz przeprowadzającego procedurę uwierzytelniania w tym systemie;
6)
zabezpieczania dokumentów i innych materiałów, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.
Art.  39k.  [Nałożenie obowiązku usunięcia niezgodności stwierdzonych w wyniku kontroli]

W przypadku gdy wyniki kontroli wykażą niezgodność z przepisami ustawy, minister właściwy do spraw informatyzacji, po zapoznaniu się z zastrzeżeniami oraz wyjaśnieniami zgłoszonymi przez podmiot kontrolowany, może wydać decyzję nakładającą obowiązek usunięcia stwierdzonych niezgodności w terminie nie krótszym niż 14 dni.

Art.  39l.  [Przeprowadzenie kontroli - przepisy stosowane w zakresie nieuregulowanym w ustawie]

W sprawach nieuregulowanych w ustawie, do przeprowadzenia kontroli, o której mowa w art. 39b ust. 1 pkt 1, stosuje się odpowiednio przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców.

Rozdział  6

Przepisy karne

Art.  40.  [Wykorzystywanie cudzego podpisu elektronicznego]
1. 
Kto składa kwalifikowany podpis elektroniczny lub zaawansowany podpis elektroniczny z wykorzystaniem danych do składania podpisu elektronicznego przyporządkowanych do innej osoby,

podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

2. 
Tej samej karze podlega, kto składa kwalifikowaną pieczęć elektroniczną lub zaawansowaną pieczęć elektroniczną, nie będąc do tego uprawnionym.
Art.  40a.  [Wykorzystywanie cudzego środka identyfikacji elektronicznej]

Kto posługuje się cudzym środkiem identyfikacji elektronicznej, wydawanym w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego, w celu uzyskania nieuprawnionego dostępu do usługi online,

podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art.  41.  [Niedozwolone przechowywanie i kopiowanie danych do składania zaawansowanego podpisu elektronicznego lub pieczęci elektronicznej]

Kto bez uprawnienia kopiuje lub przechowuje nieprzyporządkowane do niego dane do składania zaawansowanego podpisu elektronicznego lub pieczęci elektronicznej lub inne dane, które mogłyby służyć do ich odtworzenia,

podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art.  41a.  [Nieuprawnione kopiowanie lub przechowywanie cudzych danych pozwalających na identyfikowanie się z wykorzystaniem środka identyfikacji elektronicznej]

Kto bez uprawnienia kopiuje lub przechowuje nieprzyporządkowane do niego dane pozwalające na identyfikowanie się z wykorzystaniem środka identyfikacji elektronicznej, wydawanym w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego,

podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art.  42.  [Wydanie fałszywego certyfikatu]
1. 
Kto, świadcząc usługi zaufania, wydaje certyfikat zawierający nieprawdziwe dane w celu popełnienia czynu zabronionego,

podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

2. 
Tej samej karze podlega, kto składa podpis elektroniczny lub pieczęć elektroniczną weryfikowane certyfikatem, o którym mowa w ust. 1, w celu popełnienia czynu zabronionego.
Art.  43.  [Ujawnienie informacji objętych tajemnicą]
1. 
Kto, będąc obowiązanym do zachowania tajemnicy związanej ze świadczeniem usług zaufania, ujawnia lub wykorzystuje, wbrew warunkom określonym w przepisach o usługach zaufania, informacje objęte tą tajemnicą,

podlega grzywnie.

2. 
Jeżeli sprawca dopuszcza się czynu określonego w ust. 1 jako kwalifikowany dostawca usług zaufania albo w celu osiągnięcia korzyści majątkowej lub osobistej,

podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art.  44.  [Wydanie środka identyfikacji elektronicznej nieuprawnionej osobie]

Kto wydaje środek identyfikacji elektronicznej w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego osobie nieuprawnionej,

podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art.  45.  [Karalność działań osób działających w imieniu lub interesie innych podmiotów]

Karom określonym w art. 40-44 podlega także, kto dopuszcza się czynów, o których mowa w tych przepisach, działając w imieniu lub w interesie innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej.

Rozdział  7

Przepisy o karach pieniężnych

Art.  46.  [Przesłanki nałożenia kary pieniężnej]

Karze pieniężnej podlega kwalifikowany dostawca usług zaufania, który:

1)
nie wykonuje obowiązku wynikającego z art. 24 ust. 1 rozporządzenia 910/2014;
2)
nie usunął w terminie określonym w wezwaniu, o którym mowa w art. 30 pkt 1 lit. a, stwierdzonych nieprawidłowości w prowadzonej przez siebie działalności;
3)
stosuje politykę świadczenia usługi lub przyjmuje inne dokumenty związane ze świadczeniem usługi zaufania niezgodne z przepisami o usługach zaufania;
4)
nie unieważnia kwalifikowanych certyfikatów mimo wezwania ministra właściwego do spraw informatyzacji, o którym mowa w art. 30 pkt 1 lit. c;
5)
wydaje certyfikaty niezgodnie z polityką świadczenia usługi;
6)
nie udziela informacji lub nie udostępnia dokumentów w przypadku, o którym mowa w art. 28;
7)
nie poinformował ministra właściwego do spraw informatyzacji o zmianie danych podlegających wpisowi do rejestru lub danych dotyczących technicznych możliwości prowadzenia działalności w zakresie świadczenia usług zaufania wskazanych we wniosku o wpis do rejestru;
8) 6
 nie wykonuje obowiązków informacyjnych, o których mowa w art. 19 ust. 2 rozporządzenia 910/2014;
9)
uniemożliwia lub utrudnia audytorowi organu nadzoru wykonywanie czynności audytowych;
10)
nie posiada planu zakończenia działalności lub nie stosuje go do zakończenia działalności;
11)
nie wykona obowiązku, o którym mowa w art. 20 ust. 3 lub 4;
12)
nie wykona obowiązku, o którym mowa w art. 13 ust. 1.
Art.  47.  [Nałożenie i wysokość kary pieniężnej]
1. 
Kary pieniężne, o których mowa w art. 46, art. 47a i art. 47b, nakłada, w drodze decyzji, minister właściwy do spraw informatyzacji.
2. 
Wysokość kary pieniężnej, o której mowa w art. 46:
1)
pkt 1-9 i 12, wynosi do 50 000 zł;
2)
pkt 10, wynosi do 10 000 zł;
3)
pkt 11, wynosi do 100 000 zł.
Art.  47a.  [Kara pieniężna za nieuprawnione gromadzenie, przetwarzanie lub powielanie danych dotyczących wykorzystania środka identyfikacji elektronicznej]

Kto w sposób nieuprawniony gromadzi, przetwarza lub powiela dane dotyczące wykorzystania środka identyfikacji elektronicznej, wydanego w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego,

podlega karze pieniężnej w wysokości do 1 000 000 zł.

Art.  47b.  [Kara pieniężna za dopuszczenie do uwierzytelnienia z wykorzystaniem środka identyfikacji elektronicznej niepozostającego pod wyłączną kontrolą osoby, której ten środek wydano]

Podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła krajowego, który w wyniku świadomego działania lub zaniechania dopuścił w swoim systemie identyfikacji elektronicznej do uwierzytelnienia z wykorzystaniem środka identyfikacji elektronicznej, co do którego posiada wiedzę, że nie pozostaje on pod wyłączną kontrolą osoby, której ten środek wydano,

podlega karze pieniężnej w wysokości do 1 000 000 zł.

Art.  48.  [Ustalanie wysokości kary pieniężnej]

Przy ustalaniu wysokości kary pieniężnej, o której mowa w art. 46, minister właściwy do spraw informatyzacji uwzględnia zakres, czas trwania i skutki naruszenia wymagań, o których mowa w przepisach o usługach zaufania.

Art.  49.  [Stosowanie do kar pieniężnych przepisów o zobowiązaniach podatkowych i postępowaniu podatkowym]

Do kar pieniężnych stosuje się odpowiednio przepisy działu III i IV ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2023 r. poz. 2383 i 2760).

Rozdział  8

Zmiany w przepisach

Art.  50. 

W ustawie z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2016 r. poz. 23, 868 i 996) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  51. 

W ustawie z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2016 r. poz. 380 i 585) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  52. 

W ustawie z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz. U. z 2014 r. poz. 101, z późn. zm.) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  53. 

W ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2016 r. poz. 599, 868, 1228 i 1244) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  54. 

W ustawie z dnia 26 maja 1982 r. - Prawo o adwokaturze (Dz. U. z 2015 r. poz. 615, 1064, 1224, 1255 i 1311) w art. 37b ust. 2 otrzymuje brzmienie: (zmiany pominięte).

Art.  55. 

W ustawie z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2016 r. poz. 233) w art. 229 ust. 2 otrzymuje brzmienie: (zmiany pominięte).

Art.  56. 

W ustawie z dnia 15 listopada 1984 r. o podatku rolnym (Dz. U. z 2016 r. poz. 617) w art. 6a w ust. 13 pkt 3 otrzymuje brzmienie: (zmiany pominięte).

Art.  57. 

W ustawie z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2016 r. poz. 446) w art. 68 ust. 1d otrzymuje brzmienie: (zmiany pominięte).

Art.  58. 

W ustawie z dnia 12 stycznia 1991 r. o podatkach i opłatach lokalnych (Dz. U. z 2016 r. poz. 716) w art. 6 w ust. 15 pkt 3 otrzymuje brzmienie: (zmiany pominięte).

Art.  59. 

W ustawie z dnia 14 lutego 1991 r. - Prawo o notariacie (Dz. U. z 2014 r. poz. 164, z późn. zm.) wprowadza się następujące zmiany:(zmiany pominięte).

Art.  60. 

W ustawie z dnia 6 grudnia 1996 r. o zastawie rejestrowym i rejestrze zastawów (Dz. U. z 2016 r. poz. 297) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  61. 

W ustawie z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z 2016 r. poz. 687 i 996) w art. 19 w ust. 2b zdanie pierwsze otrzymuje brzmienie: (zmiany pominięte).

Art.  62. 

W ustawie z dnia 21 sierpnia 1997 r. o gospodarce nieruchomościami (Dz. U. z 2015 r. poz. 1774 i 1777 oraz z 2016 r. poz. 65, 1250 i 1271) w art. 158 ust. 2 otrzymuje brzmienie: (zmiany pominięte).

Art.  63. 

W ustawie z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2015 r. poz. 613, z późn. zm.) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  64. 

W ustawie z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2015 r. poz. 128, z późn. zm.) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  65. 

W ustawie z dnia 4 września 1997 r. o działach administracji rządowej (Dz. U. z 2016 r. poz. 543, 749, 1020 i 1250) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  66. 

W ustawie z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2016 r. poz. 814) w art. 68 ust. 5 otrzymuje brzmienie: (zmiany pominięte).

Art.  67. 

W ustawie z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2016 r. poz. 963 i 1247) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  68. 

W ustawie z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2016 r. poz. 372, 960 i 1265) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  69. 

W ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2015 r. poz. 1036 i 1629 oraz z 2016 r. poz. 862) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  70. 

W ustawie z dnia 20 lipca 2000 r. o ogłaszaniu aktów normatywnych i niektórych innych aktów prawnych (Dz. U. z 2016 r. poz. 296) w art. 15: (zmiany pominięte).

Art.  71. 

W ustawie z dnia 15 września 2000 r. - Kodeks spółek handlowych (Dz. U. z 2016 r. poz. 1578) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  72. 

W ustawie z dnia 29 listopada 2000 r. - Prawo atomowe (Dz. U. z 2014 r. poz. 1512, z 2015 r. poz. 1505 i 1893 oraz z 2016 r. poz. 266 i 1343) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  73. 

W ustawie z dnia 11 kwietnia 2001 r. o rzecznikach patentowych (Dz. U. z 2016 r. poz. 221) w art. 17a ust. 2 i 3 otrzymują brzmienie: (zmiany pominięte).

Art.  74. 

W ustawie z dnia 22 czerwca 2001 r. o wykonywaniu działalności gospodarczej w zakresie wytwarzania i obrotu materiałami wybuchowymi, bronią, amunicją oraz wyrobami i technologią o przeznaczeniu wojskowym lub policyjnym (Dz. U. z 2012 r. poz. 1017, z 2013 r. poz. 1650, z 2015 r. poz. 1893 oraz z 2016 r. poz. 544) w art. 30 ust. 4 otrzymuje brzmienie: (zmiany pominięte).

Art.  75. 

W ustawie z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych (Dz. U. z 2015 r. poz. 133, z późn. zm.) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  76. 

W ustawie z dnia 27 lipca 2001 r. o diagnostyce laboratoryjnej (Dz. U. z 2014 r. poz. 1384, z późn. zm.) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  77. 

W ustawie z dnia 6 września 2001 r. o transporcie drogowym (Dz. U. z 2013 r. poz. 1414, z późn. zm.) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  78. 

W ustawie z dnia 6 września 2001 r. - Prawo farmaceutyczne (Dz. U. z 2008 r. poz. 271, z późn. zm.) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  79. 

W ustawie z dnia 21 czerwca 2002 r. o materiałach wybuchowych przeznaczonych do użytku cywilnego (Dz. U. z 2015 r. poz. 1100 i 1893 oraz z 2016 r. poz. 544 i 1250) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  80. 

W ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2016 r. poz. 1030) w art. 7 w pkt 1 lit. b otrzymuje brzmienie: (zmiany pominięte).

Art.  81. 

W ustawie z dnia 30 października 2002 r. o podatku leśnym (Dz. U. z 2016 r. poz. 374) w art. 6 w ust. 11 pkt 3 otrzymuje brzmienie: (zmiany pominięte).

Art.  82. 

W ustawie z dnia 28 lutego 2003 r. - Prawo upadłościowe (Dz. U. z 2015 r. poz. 233, z późn. zm.) w art. 216a ust. 1 otrzymuje brzmienie: (zmiany pominięte).

Art.  83. 

W ustawie z dnia 27 marca 2003 r. o planowaniu i zagospodarowaniu przestrzennym (Dz. U. z 2016 r. poz. 778, 903, 961 i 1250) w art. 18 ust. 3 otrzymuje brzmienie: (zmiany pominięte).

Art.  84. 

W ustawie z dnia 11 kwietnia 2003 r. o kształtowaniu ustroju rolnego (Dz. U. z 2012 r. poz. 803 oraz z 2016 r. poz. 585 i 1159) w art. 3a w ust. 2 pkt 1 otrzymuje brzmienie: (zmiany pominięte).

Art.  85. 

W ustawie z dnia 28 listopada 2003 r. o świadczeniach rodzinnych (Dz. U. z 2016 r. poz. 1518) w art. 23: (zmiany pominięte).

Art.  86. 

W ustawie z dnia 28 listopada 2003 r. o wspieraniu rozwoju obszarów wiejskich ze środków pochodzących z Sekcji Gwarancji Europejskiego Funduszu Orientacji i Gwarancji Rolnej (Dz. U. z 2014 r. poz. 1613) w art. 5 ust. 4c otrzymuje brzmienie: (zmiany pominięte).

Art.  87. 

W ustawie z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych (Dz. U. z 2015 r. poz. 2164 oraz z 2016 r. poz. 831, 996, 1020, 1250 i 1265) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  88. 

W ustawie z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz. U. z 2016 r. poz. 710, 846, 960, 1052, 1206 i 1228) w art. 106m w ust. 5 pkt 1 otrzymuje brzmienie: (zmiany pominięte).

Art.  89. 

W ustawie z dnia 19 marca 2004 r. - Prawo celne (Dz. U. z 2015 r. poz. 858, 1649, 1844 i 1893 oraz z 2016 r. poz. 65 i 1228) art. 10b otrzymuje brzmienie: (zmiany pominięte).

Art.  90. 

W ustawie z dnia 20 kwietnia 2004 r. o organizacji rynku mleka i przetworów mlecznych (Dz. U. z 2016 r. poz. 155) w art. 48a ust. 4 otrzymuje brzmienie: (zmiany pominięte).

Art.  91. 

W ustawie z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (Dz. U. z 2016 r. poz. 645, 691, 868 i 1265) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  92. 

W ustawie z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2015 r. poz. 584, z późn. zm.) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  93. 

W ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2016 r. poz. 1489) w art. 60b w ust. 3 w pkt 2 lit. b otrzymuje brzmienie: (zmiany pominięte).

Art.  94. 

W ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. z 2015 r. poz. 581, z późn. zm.) w art. 56 w ust. 1 pkt 2 otrzymuje brzmienie: (zmiany pominięte).

Art.  95. 

W ustawie z dnia 25 listopada 2004 r. o zawodzie tłumacza przysięgłego (Dz. U. z 2016 r. poz. 1222) w art. 18 ust. 1a otrzymuje brzmienie: (zmiany pominięte).

Art.  96. 

W ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114 oraz z 2016 r. poz. 352) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  97. 

W ustawie z dnia 8 lipca 2005 r. o Prokuratorii Generalnej Skarbu Państwa (Dz. U. z 2016 r. poz. 1313) w art. 17a ust. 2 i 3 otrzymują brzmienie: (zmiany pominięte).

Art.  98. 

W ustawie z dnia 29 lipca 2005 r. o systemie tachografów cyfrowych (Dz. U. poz. 1494, z 2007 r. poz. 661, z 2011 r. poz. 622 i 1016 oraz z 2015 r. poz. 1893) w art. 21 ust. 2 otrzymuje brzmienie: (zmiany pominięte).

Art.  99. 

W ustawie z dnia 25 sierpnia 2006 r. o bezpieczeństwie żywności i żywienia (Dz. U. z 2015 r. poz. 594 i 1893 oraz z 2016 r. poz. 65 i 1228) w art. 29 ust. 5 i 6 otrzymują brzmienie: (zmiany pominięte).

Art.  100. 

W ustawie z dnia 7 marca 2007 r. o wspieraniu rozwoju obszarów wiejskich z udziałem środków Europejskiego Funduszu Rolnego na rzecz Rozwoju Obszarów Wiejskich w ramach Programu Rozwoju Obszarów Wiejskich na lata 2007-2013 (Dz. U. z 2016 r. poz. 1387) w art. 24 ust. 3 otrzymuje brzmienie: (zmiany pominięte).

Art.  101. 

W ustawie z dnia 7 września 2007 r. o pomocy osobom uprawnionym do alimentów (Dz. U. z 2016 r. poz. 169 i 195) w art. 15: (zmiany pominięte).

Art.  102. 

W ustawie z dnia 10 lipca 2008 r. o odpadach wydobywczych (Dz. U. z 2013 r. poz. 1136 oraz z 2014 r. poz. 1101) w art. 15a w ust. 3 pkt 3 otrzymuje brzmienie: (zmiany pominięte).

Art.  103. 

W ustawie z dnia 3 października 2008 r. o udostępnianiu informacji o środowisku i jego ochronie, udziale społeczeństwa w ochronie środowiska oraz o ocenach oddziaływania na środowisko (Dz. U. z 2016 r. poz. 353, 831, 961 i 1250) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  104. 

W ustawie z dnia 25 czerwca 2009 r. o rolnictwie ekologicznym (Dz. U. z 2015 r. poz. 497 oraz z 2016 r. poz. 1001) w art. 17 w ust. 1 pkt 1 otrzymuje brzmienie: (zmiany pominięte).

Art.  105. 

W ustawie z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U. z 2013 r. poz. 1450, z późn. zm.) w art. 28 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu: (zmiany pominięte).

Art.  106. 

W ustawie z dnia 20 maja 2010 r. o wyrobach medycznych (Dz. U. z 2015 r. poz. 876 i 1918 oraz z 2016 r. poz. 542 i 1228) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  107. 

W ustawie z dnia 6 sierpnia 2010 r. o dowodach osobistych (Dz. U. z 2016 r. poz. 391 i 862) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  108. 

W ustawie z dnia 5 stycznia 2011 r. o kierujących pojazdami (Dz. U. z 2016 r. poz. 627, 904 i 1241) w art. 27 ust. 6 otrzymuje brzmienie: (zmiany pominięte).

Art.  109. 

W ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2016 r. poz. 1535) w art. 17 w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie: (zmiany pominięte).

Art.  110. 

W ustawie z dnia 12 maja 2011 r. o refundacji leków, środków spożywczych specjalnego przeznaczenia żywieniowego oraz wyrobów medycznych (Dz. U. z 2016 r. poz. 1536) w art. 38: (zmiany pominięte).

Art.  111. 

W ustawie z dnia 14 grudnia 2012 r. o odpadach (Dz. U. z 2013 r. poz. 21, z późn. zm.) w art. 65 ust. 2 otrzymuje brzmienie: (zmiany pominięte).

Art.  112. 

W ustawie z dnia 10 stycznia 2014 r. o zmianie ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne oraz niektórych innych ustaw (Dz. U. poz. 183 oraz z 2015 r. poz. 1311) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  113. 

W ustawie z dnia 14 marca 2014 r. o zasadach prowadzenia zbiórek publicznych (Dz. U. poz. 498) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  114. 

W ustawie z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020 (Dz. U. z 2016 r. poz. 217) w art. 70 ust. 1 otrzymuje brzmienie: (zmiany pominięte).

Art.  115. 

W ustawie z dnia 11 lipca 2014 r. o petycjach (Dz. U. poz. 1195) w art. 4 ust. 5 otrzymuje brzmienie: (zmiany pominięte).

Art.  116. 

W ustawie z dnia 28 listopada 2014 r. - Prawo o aktach stanu cywilnego (Dz. U. poz. 1741, z późn. zm.) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  117. 

W ustawie z dnia 5 grudnia 2014 r. o Karcie Dużej Rodziny (Dz. U. z 2016 r. poz. 785) w art. 10 ust. 10-12 otrzymują brzmienie: (zmiany pominięte).

Art.  118. 

W ustawie z dnia 5 lutego 2015 r. o płatnościach w ramach systemów wsparcia bezpośredniego (Dz. U. poz. 1551 oraz z 2016 r. poz. 337) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  119. 

W ustawie z dnia 20 lutego 2015 r. o wspieraniu rozwoju obszarów wiejskich z udziałem środków Europejskiego Funduszu Rolnego na rzecz Rozwoju Obszarów Wiejskich w ramach Programu Rozwoju Obszarów Wiejskich na lata 2014-2020 (Dz. U. poz. 349 i 1888 oraz z 2016 r. poz. 337) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  120. 

W ustawie z dnia 20 lutego 2015 r. o odnawialnych źródłach energii (Dz. U. poz. 478 i 2365 oraz z 2016 r. poz. 925) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  121. 

W ustawie z dnia 15 maja 2015 r. o substancjach zubożających warstwę ozonową oraz o niektórych fluorowanych gazach cieplarnianych (Dz. U. poz. 881) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  122. 

W ustawie z dnia 15 maja 2015 r. - Prawo restrukturyzacyjne (Dz. U. z 2016 r. poz. 1574) w art. 203 ust. 2 otrzymuje brzmienie: (zmiany pominięte).

Art.  123. 

W ustawie z dnia 12 czerwca 2015 r. o systemie handlu uprawnieniami do emisji gazów cieplarnianych (Dz. U. poz. 1223 oraz z 2016 r. poz. 266 i 542) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  124. 

W ustawie z dnia 25 czerwca 2015 r. - Prawo konsularne (Dz. U. poz. 1274) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  125. 

W ustawie z dnia 9 października 2015 r. o wykonywaniu Umowy między Rządem Rzeczypospolitej Polskiej a Rządem Stanów Zjednoczonych Ameryki w sprawie poprawy wypełniania międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA (Dz. U. poz. 1712) w art. 8 w ust. 11 pkt 9 otrzymuje brzmienie: (zmiany pominięte).

Art.  126. 

W ustawie z dnia 9 października 2015 r. o zmianie ustawy o systemie informacji w ochronie zdrowia oraz niektórych innych ustaw (Dz. U. poz. 1991 oraz z 2016 r. poz. 65, 580, 652 i 832) wprowadza się następujące zmiany: (zmiany pominięte).

Art.  127. 

W ustawie z dnia 28 stycznia 2016 r. - Prawo o prokuraturze (Dz. U. poz. 177) w art. 68 § 2 otrzymuje brzmienie: (zmiany pominięte).

Art.  128. 

W ustawie z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz. U. poz. 195) w art. 13: (zmiany pominięte).

Art.  129. 

W ustawie z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. poz. 542 i 1228) w art. 23 ust. 4 otrzymuje brzmienie: (zmiany pominięte).

Art.  130. 

W ustawie z dnia 22 czerwca 2016 r. o zmianie ustawy - Prawo zamówień publicznych oraz niektórych innych ustaw (Dz. U. poz. 1020) w art. 18 pkt 4 otrzymuje brzmienie: (zmiany pominięte).

Rozdział  9

Przepisy przejściowe

Art.  131.  [Bezpieczny podpis elektroniczny weryfikowany za pomocą ważnego kwalifikowanego certyfikatu]

Bezpieczny podpis elektroniczny weryfikowany za pomocą ważnego kwalifikowanego certyfikatu w rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z 2013 r. poz. 262, z 2014 r. poz. 1662 oraz z 2015 r. poz. 1893) jest kwalifikowanym podpisem elektronicznym w rozumieniu niniejszej ustawy.

Art.  132.  [Utrzymanie w mocy zaświadczeń, poświadczeń i certyfikatów wydanych przed wejściem w życie ustawy]
1. 
Zaświadczenia certyfikacyjne, poświadczenia elektroniczne i certyfikaty wydane zgodnie z przepisami ustawy z dnia 18 września 2001 r. o podpisie elektronicznym zachowują ważność przez okres w nich wskazany, o ile nie zostaną unieważnione.
2. 
Do zaświadczeń certyfikacyjnych, poświadczeń elektronicznych i certyfikatów, o których mowa w ust. 1, stosuje się odpowiednio przepisy dotyczące certyfikatów krajowych dostawców usług zaufania oraz narodowego centrum certyfikacji.
Art.  133.  [Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne; usługa znakowania czasem]
1. 
Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne, o którym mowa w art. 23 ust. 1 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym, staje się rejestrem dostawców usług zaufania w rozumieniu niniejszej ustawy.
2. 
Usługę znakowania czasem, o której mowa w art. 3 pkt 16 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym, wpisaną do rejestru, o którym mowa w art. 23 ust. 1 tej ustawy, uznaje się za usługę elektronicznego znacznika czasu.
3. 
Elektroniczny znacznik czasu, o którym mowa w ust. 2, wywołuje skutki prawne określone w art. 7 ust. 2 i 3 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym.
Art.  134.  [Utrzymanie w mocy upoważnienia NBP do wytwarzania i wydawania zaświadczeń certyfikacyjnych]

Upoważnienie udzielone Narodowemu Bankowi Polskiemu przez ministra właściwego do spraw gospodarki na podstawie art. 23 ust. 5 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym zachowuje moc do chwili odwołania przez ministra właściwego do spraw informatyzacji.

Art.  135.  [Przepis przejściowy]
1. 
Postępowania wszczęte i prowadzone przed dniem wejścia w życie niniejszej ustawy przed ministrem właściwym do spraw gospodarki w sprawach, w których właściwy na mocy przepisów niniejszej ustawy staje się minister właściwy do spraw informatyzacji, są prowadzone na podstawie przepisów dotychczasowych przez ministra właściwego do spraw informatyzacji.
2. 
Minister właściwy do spraw gospodarki, w terminie 14 dni od dnia wejścia w życie niniejszej ustawy, przekaże ministrowi właściwemu do spraw informatyzacji dokumentację w zakresie przejętych przez niego spraw.
3. 
Z dniem wejścia w życie niniejszej ustawy stroną udzielonych upoważnień lub umów zawartych przez ministra właściwego do spraw gospodarki w zakresie spraw przekazanych na podstawie niniejszej ustawy staje się minister właściwy do spraw informatyzacji.
Art.  136.  [Obowiązek dostosowania statutów banków do przepisów ustawy]

Banki wykonujące czynności, o których mowa w art. 6 ust. 1 pkt 6a ustawy zmienianej w art. 64, w brzmieniu dotychczasowym, są obowiązane dostosować statuty do przepisów ustawy zmienianej w art. 64, w brzmieniu nadanym niniejszą ustawą, w terminie 12 miesięcy od dnia wejścia w życie niniejszej ustawy.

Art.  137.  [Przepis przejściowy w zakresie składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych]
1. 
Do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych można stosować funkcję skrótu SHA-1, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji skrótu.
2. 
Dostawcy usług zaufania, producenci oprogramowania oraz podmioty publiczne obowiązani są do odpowiedniego dostosowania oprogramowania oraz systemów teleinformatycznych do zmian i terminu określonych w ust. 1.
Art.  138.  [Umowy ubezpieczenia OC zawarte przed wejściem w życie ustawy]

Do umów ubezpieczenia odpowiedzialności cywilnej, o których mowa w art. 10 ust. 1 pkt 4 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym, zawartych przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy dotychczasowe.

Art.  139.  [Utrzymanie w mocy przepisów wykonawczych]

Dotychczasowe przepisy wykonawcze wydane na podstawie art. 10 ust. 5 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 13 ust. 4, jednak nie dłużej niż 3 miesiące od dnia wejścia w życie niniejszej ustawy.

Art.  140.  [Przeniesienie dochodów i wydatków budżetowych]

Prezes Rady Ministrów dokona, w drodze rozporządzenia, przeniesienia planowanych dochodów i wydatków budżetowych, w tym wynagrodzeń oraz limitów zatrudnienia, między częścią budżetu państwa, której dysponentem jest minister właściwy do spraw gospodarki, a częścią, której dysponentem jest minister właściwy do spraw informatyzacji, z zachowaniem przeznaczenia środków publicznych wynikających z ustawy budżetowej.

Rozdział  10

Przepisy końcowe

Art.  141.  [Przepis derogacyjny]

Traci moc ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z 2013 r. poz. 262, z 2014 r. poz. 1662 oraz z 2015 r. poz. 1893).

Art.  142.  [Wejście w życie ustawy]

Ustawa wchodzi w życie po upływie 7 dni od dnia ogłoszenia, z wyjątkiem art. 22 oraz art. 24-26, które wchodzą w życie z dniem 29 września 2018 r.

1 Niniejsza ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, str. 73).
2 Art. 15 ust. 2 zmieniony przez art. 49 pkt 1 ustawy z dnia 12 lipca 2024 r. (Dz.U.2024.1222) zmieniającej nin. ustawę z dniem 18 października 2024 r.
3 Art. 20a dodany przez art. 49 pkt 2 ustawy z dnia 12 lipca 2024 r. (Dz.U.2024.1222) zmieniającej nin. ustawę z dniem 18 października 2024 r.
4 Art. 30a dodany przez art. 49 pkt 3 ustawy z dnia 12 lipca 2024 r. (Dz.U.2024.1222) zmieniającej nin. ustawę z dniem 18 października 2024 r.
5 Art. 39 zmieniony przez art. 49 pkt 4 ustawy z dnia 12 lipca 2024 r. (Dz.U.2024.1222) zmieniającej nin. ustawę z dniem 18 października 2024 r.
6 Art. 46 pkt 8 zmieniony przez art. 49 pkt 5 ustawy z dnia 12 lipca 2024 r. (Dz.U.2024.1222) zmieniającej nin. ustawę z dniem 18 października 2024 r.

Zmiany w prawie

Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Nowy urlop dla rodziców wcześniaków coraz bliżej - rząd przyjął projekt ustawy

Rada Ministrów przyjęła we wtorek przygotowany w Ministerstwie Rodziny, Pracy i Polityki Społecznej projekt ustawy wprowadzający nowe uprawnienie – uzupełniający urlop macierzyński dla rodziców wcześniaków i rodziców dzieci urodzonych w terminie, ale wymagających dłuższej hospitalizacji po urodzeniu. Wymiar uzupełniającego urlopu macierzyńskiego będzie wynosił odpowiednio do 8 albo do 15 tygodni.

Grażyna J. Leśniak 29.10.2024
Na zwolnieniu w jednej pracy, w drugiej - w pełni sił i... płacy

Przebywanie na zwolnieniu lekarskim w jednej pracy nie wykluczy już możliwości wykonywania pracy i pobierania za nią wynagrodzenia w innej firmie czy firmach. Ministerstwo Rodziny, Pracy i Polityki Społecznej przygotowało właśnie projekt ustawy, który ma wprowadzić też m.in. definicję pracy zarobkowej - nie będzie nią podpisanie w czasie choroby firmowych dokumentów i nie spowoduje to utraty świadczeń. Zwolnienie lekarskie będzie mogło przewidywać miejsce pobytu w innym państwie. To rewolucyjne zmiany. Zdaniem prawników, te propozycje mają sens, nawet jeśli znajdą się tacy, którzy będą chcieli nadużywać nowych przepisów.

Beata Dązbłaż 29.10.2024
Bez kary za brak lekarza w karetce do połowy przyszłego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz trzeci czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa medycznego. Ostatnio termin wyznaczono na koniec tego roku, teraz ma to być czerwiec 2025 r.

Beata Dązbłaż 23.09.2024
Darowizny dla ofiar powodzi z zerową stawką VAT

Można już stosować zerową stawkę VAT na darowizny dla ofiar powodzi - rozporządzenie w tej sprawie obowiązuje od 18 września, ale z możliwością stosowania go do darowizn towarów i nieodpłatnych usług przekazanych począwszy od 12 września do 31 grudnia 2024 r. Stawka 0 proc. będzie stosowana do darowizn wszelkiego rodzaju towarów lub usług niezbędnych do wsparcia poszkodowanych.

Monika Sewastianowicz 18.09.2024
Lewiatan: Za reformę płacy minimalnej będą musieli zapłacić pracodawcy

Projekt ustawy o minimalnym wynagrodzeniu jest słaby legislacyjnie. Nie tylko nie realizuje celów zawartych w unijnej dyrektywie, ale może przyczynić się do pogłębienia problemów firm i spadku zatrudnienia. Nie poprawi też jakości pracy w naszym kraju. Utrwala zwiększanie presji płacowej – uważa Konfederacja Lewiatan.

Grażyna J. Leśniak 10.09.2024