Art. 1.

1. Ustawa określa warunki stosowania podpisu elektronicznego jako równorzędnego pod względem skutków prawnych podpisowi własnoręcznemu.
2. Ustawa określa zasady świadczenia akredytowanych usług związanych z podpisem elektronicznym oraz nadzoru nad podmiotami świadczącymi te usługi.

Art. 3.

1. "podpis elektroniczny" - dane w formie elektronicznej, które wraz z innymi danymi służą do potwierdzenia tożsamości osoby fizycznej składającej podpis, które spełniają następujące wymogi:

1. określają jednoznacznie osobę fizyczną składającą podpis, b) umożliwiają identyfikację osoby składającej podpis;
2. są sporządzone za pomocą środków technicznych i informacji, które składający podpis ma pod swoją wyłączną kontrolą,
3. jakakolwiek zmiana danych podpisanych jest rozpoznawana,

1. "osoba składająca podpis elektroniczny"- osoba fizyczna której tożsamość potwierdzana jest za pomocą złożonego przez nią podpisu elektronicznego,
2. "dane służące do złożenia podpisu elektronicznego"- niepowtarzalne dane, które są wykorzystywane przez osobę składającą podpis do złożenia podpisu elektronicznego,
3. "urządzenie do składania podpisu elektronicznego" - skonfigurowane urządzenia lub oprogramowanie stosowane do użycia danych umożliwiających złożenie podpisu elektronicznego, spełniające wymogi określone w ustawie,
4. "urządzenie do weryfikacji podpisu elektronicznego" - skonfigurowane urządzenia lub oprogramowanie stosowane do użycia danych umożliwiających potwierdzenie tożsamości osoby składającej podpis elektroniczny, spełniające wymogi określone w ustawie,
5. "certyfikat" - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do określonej osoby składającej podpis elektroniczny i potwierdzają tożsamość tej osoby,
6. "kwalifikowany certyfikat" - certyfikat wydawany przez podmiot świadczący akredytowane usługi certyfikacyjne,
7. “podmiot świadczący usługi certyfikacyjne” – osoba fizyczna, osoba prawna lub jednostka organizacyjna nie posiadająca osobowości prawnej, który wystawia certyfikaty lub świadczy inne usługi związane z podpisem elektronicznym,
8. “akredytacja” – zezwolenie udzielane podmiotowi świadczącemu usługi certyfikacyjne umożliwiające wystawianie kwalifikowanych certyfikatów lub znakowanie czasem,
9. “podmiot świadczący akredytowane usługi certyfikacyjne” – podmiot świadczący usługi certyfikacyjne posiadający akredytację,
10. "znakowanie czasem" - jedna z usług związanych z podpisem elektronicznym, polegająca na dołączaniu do danych oznaczenia czasu rzeczywistego oraz wskazaniu podmiotu świadczącego tę usługę i poświadczeniu elektronicznie tak powstałej wiadomości przez świadczącego usługę,
11. "polityka certyfikacji" - zbiór szczegółowych zasad, w tym rozwiązań technicznych i organizacyjnych, wskazujących zakres zastosowania certyfikatu w warunkach charakteryzujących się wspólnymi wymaganiami bezpieczeństwa,
12. "odbiorca akredytowanych usług certyfikacyjnych" - osoba fizyczna, osoba prawna lub jednostka organizacyjna nie posiadająca osobowości prawnej, która zawarła z dostawcą akredytowanych usług certyfikacyjnych umowę o świadczenie usług lub która w granicach określonych w polityce certyfikacji może ufać kwalifikowanemu certyfikatowi.

1. Podpis elektroniczny złożony na podstawie kwalifikowanego certyfikatu zapewnia integralność danych i jednoznaczne wskazanie polityki certyfikacji, w ramach której został złożony, w ten sposób, że rozpoznawane są wszelkie próby zmiany tych danych lub oznaczenia polityki certyfikacji.

3. Podpis elektroniczny może być znakowany czasem.

1. Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych, z zastrzeżeniem ust. 2, nie wymaga zezwolenia.
2. Wystawianie kwalifikowanych certyfikatów wymaga uzyskania akredytacji ministra właściwego do spraw wewnętrznych.
3. Podmioty świadczące akredytowane usługi certyfikacyjne zobowiązane są do:

1) zapewnienia technicznych i organizacyjnych możliwości szybkiego i niezawodnego wystawiania, zawieszania i unieważniania certyfikatów oraz określenia chwili dokonania tych czynności,

2) sprawdzenia tożsamości osoby ubiegającej się o uzyskanie certyfikatu oraz dodatkowych informacji zawartych w certyfikacie,

3) zatrudnienia osób posiadających niezbędną wiedzę, doświadczenie i kwalifikacje, 4) podejmowania środków przeciwdziałających fałszerstwom certyfikatów,

5) zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom akredytowanych usług certyfikacyjnych,

6) zapewnienia zainteresowanym dostępu do informacji o warunkach uzyskania i używania certyfikatu, w tym o wszelkich ograniczeniach jego użycia,

7) używania systemów do tworzenia i przechowywania certyfikatów w sposób zapewniający -możliwość wprowadzania i zmiany danych jedynie osobom upoważnionym oraz publiczny dostęp do certyfikatów, co do których uzyskano zgodę ich posiadaczy,

8) udostępniania, na wniosek odbiorcy akredytowanych usług certyfikacyjnych, informacji o urządzeniach do składania i weryfikacji podpisów elektronicznych,

9} zapewnienia, w przypadku tworzenia przez nich danych wykorzystywanych przy składaniu podpisu elektronicznego, poufności procesu ich tworzenia oraz nie przechowywania i nie kopiowania tych danych, a także nie udostępnienia ich nikomu poza osobą, która będzie składała za ich pomocą podpis elektroniczny,

10) zapewnienia weryfikacji, w tym również w sposób elektroniczny, autentyczności i ważności certyfikatów.

4. Minister właściwy do spraw wewnętrznych, kierując się zasadą ochrony interesów odbiorców usług certyfikacyjnych, może określić, w drodze rozporządzenia, szczególne warunki które muszą spełniać podmioty świadczące akredytowane usługi certyfikacyjne wykorzystywane do ochrony informacji prawnie chronionych lub wymagających zachowania szczególnych warunków bezpieczeństwa obrotu prawnego.

Przepisy niniejszej ustawy stosuje się do podmiotów świadczących usługi certyfikacyjne, mających siedzibę lub świadczących usługi na terytorium Rzeczypospolitej Polskiej.

Minister właściwy do spraw wewnętrznych może, na podstawie dwustronnych lub wielostronnych umów międzynarodowych o wzajemnym uznaniu certyfikatów, uznać certyfikaty wystawiane przez podmiot świadczący usługi certyfikacyjne nie mający siedziby lub nie świadczący usług na terytorium Rzeczypospolitej Pospolitej za zrównane pod względem prawnym z certyfikatami wystawianymi przez podmiot świadczący akredytowane usługi certyfikacyjne mający siedzibę lub świadczący usługi na terytorium Rzeczypospolitej Polskiej.

1. Osobą upoważnioną do reprezentowania podmiotu świadczącego akredytowane usługi certyfikacyjne, może być osoba fizyczna, która spełnia następujące wymogi:

1. posiada pełną zdolność do czynności prawnych,
2. nie była skazana prawomocnym wyrokiem za przestępstwo przeciwko mieniu, wiarygodności dokumentów, obrotowi gospodarczemu, obrotowi pieniędzmi i papierami wartościowymi, przestępstwo skarbowe lub przestępstwo, o którym mowa w niniejszej ustawie,
3. posiada wyższe wykształcenie,
4. legitymuje się stażem pracy nie krótszym niż 7 lat,
5. daje rękojmię należytego wykonywania obowiązków określonych w ustawie.

2. Jeżeli wymogi określone w ust. 1 nie są spełnione w związku z utratą przez określoną osobę prawa reprezentowania podmiotu świadczącego akredytowane usługi certyfikacyjne podmiot ten jest obowiązany niezwłocznie, nie później jednak niż w terminie 3 miesięcy, dostosować swoją działalność do wymogów określonych w ustawie.

Podmiot świadczący akredytowane usługi certyfikacyjne odpowiada wobec odbiorców akredytowanych usług certyfikacyjnych za wszelkie szkody spowodowane niewykonaniem lub nienależytym wykonaniem swych obowiązków w zakresie świadczonych usług i jego reprezentacji, chyba że niewykonanie lub nienależyte wykonanie tych obowiązków jest spowodowane okolicznościami, za które podmiot świadczący akredytowane usługi certyfikacyjne nie ponosi odpowiedzialności i którym nie mógł zapobiec mimo dołożenia najwyższej staranności.

1. Do zachowania tajemnic prawnie chronionych dotyczących działalności podmiotu świadczącego akredytowane usługi certyfikacyjne obowiązani są:

1) osoby reprezentujące podmiot świadczący akredytowane usługi certyfikacyjne,

2) osoby pozostające z podmiotem świadczącym akredytowane usługi certyfikacyjne w stosunku pracy,

3) osoby pozostające z podmiotem świadczącym akredytowane usługi certyfikacyjne w stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze,

4) pracownicy podmiotów pozostających z podmiotem świadczącym akredytowane usługi certyfikacyjne w stosunku, o którym mowa w pkt 3.

2. Tajemnica prawnie chroniona, w rozumieniu ust. 1, obejmuje informacje związane z akredytowaną działalnością podmiotu świadczącego akredytowane usługi certyfikacyjne.
3. Przepisu ust. 1 nie stosuje się w przypadku udostępnienia informacji objętej tajemnicą prawnie chronioną prokuratorowi, w związku z powzięciem podejrzenia o popełnienie przestępstwa, albo na żądanie prokuratora lub sądu, albo innych właściwych organów państwowych, w związku z toczącymi się postępowaniami w sprawach dotyczących działalności podmiotu świadczącego akredytowane usługi certyfikacyjne, w tym także na żądanie ministra właściwego do spraw wewnętrznych, w związku ze sprawowaniem przez niego nadzoru nad działalnością podmiotów świadczących akredytowane usługi certyfikacyjne.

1. Podmiot świadczący usługi certyfikacyjne przechowuje i archiwizuje dokumenty i inne nośniki informacji wytworzone w związku z prowadzoną działalnością.
2. Obowiązek przechowania trwa przez pięćdziesiąt lat od chwili powstania danego dokumentu.
3. W przypadku likwidacji podmiotu świadczącego akredytowane usługi certyfikacyjne, dokumenty i inne nośniki informacji, o których mowa w ust. i, przechowuje likwidator tego podmiotu.
4. Przepis art. 460 § 2 Kodeksu handlowego stosuje się odpowiednio. Właściwy sąd niezwłocznie zawiadamia ministra właściwego do spraw wewnętrznych o wyznaczonym przechowawcy.

1. Podmiot świadczący akredytowane usługi certyfikacyjne wystawia certyfikat na wniosek osoby zainteresowanej składaniem podpisów elektronicznych.
2. Podstawą do wystawienia certyfikatu jest umowa określająca co najmniej:

1. zakres stosowania certyfikatu,
2. okres ważności certyfikatu,
3. ograniczenia w stosowaniu certyfikatu,
4. zakres świadczonych usług certyfikacyjnych,
5. koszty świadczonych usług certyfikacyjnych.

3. Dane osobowe uzyskane w związku z rozpatrzeniem wniosku, o którym mowa w ust. 1 podlegają ochronie przewidzianej w przepisach o ochronie danych osobowych.
4. Osoba składająca podpis elektroniczny, na podstawie kwalifikowanego certyfikatu, w umowie o której mowa w ust.2, zobowiązuje się do:

1. przechowywania urządzenia i danych służących do składania podpisów elektronicznych oraz urządzenia do weryfikacji podpisów elektronicznych w sposób zapewniający ich ochronę przez nieuprawnionym wykorzystaniem,
2. niezwłocznego powiadomienia podmiotu świadczącego akredytowane usługi certyfikacyjne o próbach nieuprawnionego wykorzystania urządzeń i danych wymienionych w pkt. l.

5. Minister właściwy do spraw wewnętrznych, kierując się zasadą, że kwalifikowane certyfikaty powinny być stosowane tylko w zakresie w nim określonym, może określić w drodze rozporządzenia, dodatkowe obowiązki osób posługujących się kwalifikowanymi certyfikatami wykorzystywanymi do ochrony informacji prawnie chronionych lub wymagających zachowania szczególnych warunków bezpieczeństwa obrotu prawnego.

1. Minister właściwy do spraw wewnętrznych określa, w drodze rozporządzenia, polityki certyfikacji, w ramach których będą tworzone i wykorzystywane kwalifikowane certyfikaty, uwzględniając rodzaje i zakres czynności prawnych do których będą wykorzystywane kwalifikowane certyfikaty.
2. Kwalifikowane certyfikaty wykorzystywane do ochrony informacji prawnie chronionych powinny być wydawane w ramach polityk certyfikacji uzgodnionych z podmiotami, które na podstawie ustaw mają obowiązek kontroli ochrony takich informacji oraz kontroli przestrzegania przepisów wydanych w tym zakresie.

1. Wraz z wystawieniem kwalifikowanego certyfikatu, podmiot świadczący akredytowane usługi certyfikacyjne zobowiązany jest, na wniosek osoby składającej podpis elektroniczny, udostępnić jej standardy lub warunki techniczne jakim powinny odpowiadać urządzenia do składania oraz do weryfikacji podpisów elektronicznych.
2. Minister właściwy do spraw wewnętrznych, określi w drodze rozporządzenia, warunki techniczne, jakim powinny odpowiadać urządzenia do składania podpisów elektronicznych oraz urządzenia do weryfikacji podpisów elektronicznych uwzględniając Polskie Normy oraz potrzebę zapewnienia nienaruszalności danych podpisanych takim podpisem.
3. Minister właściwy do spraw wewnętrznych, ocenia zgodność urządzeń, o których mowa w ust.2, z obowiązującymi przepisami.
4. Służby ochrony państwa dokonują oceny przydatności urządzeń, o których mowa w ust. 2, do ochrony informacji niejawnych.

1. numer certyfikatu,
2. wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany zgodnie z daną polityką certyfikacji,
3. określenie podmiotu świadczącego akredytowane usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę oraz numer akredytacji,
4. imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny,
5. dane służące do weryfikacji podpisu elektronicznego,
6. oznaczenie początku i końca okresu ważności certyfikatu,
7. poświadczenie elektroniczne podmiotu świadczącego akredytowane usługi certyfikacyjne, wydającego certyfikat,
8. ograniczenia zakresu ważności certyfikatu jeśli przewiduje to dana polityka certyfikacji,
9. ograniczenia wartości transakcji w których certyfikat może być wykorzystywany jeśli przewiduje to dana polityka certyfikacji.

1. Podpis elektroniczny wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności certyfikatu.
2. Podpis elektroniczny złożony na podstawie ważnego kwalifikowanego certyfikatu, z zastrzeżeniem ust.3, jest ważny tak długo jak certyfikat na podstawie którego został złożony.
3. Podpis elektroniczny złożony na podstawie ważnego kwalifikowanego certyfikatu oznaczony czasem, przez akredytowany podmiot świadczący usługę znakowania czasem, jest ważny bez względu na późniejszą utratę ważności certyfikatu na podstawie którego został złożony oraz utratę ważności akredytacji i certyfikatu podmiotu świadczącego usługi certyfikacyjne.
4. Certyfikat jest ważny w okresie w nim wskazanym.
5. Certyfikat może zostać zawieszony przez podmiot świadczący usługi certyfikacyjne jeżeli:

1. osoba składająca podpisy elektroniczne weryfikowane na jego podstawie nie wywiązuje się z obowiązków określonych w umowie, o której mowa w art. 14 ust.2, lub obowiązujących przepisach,
2. na wniosek osoby, o której mowa w pkt I .

6. Certyfikat może zostać unieważniony przez podmiot świadczący usługi certyfikacyjne przed upływem jego ważności jeżeli:

1. Podmiot świadczący akredytowane usługi certyfikacyjne ogłasza listę zawieszonych i unieważnionych certyfikatów osób składających podpis elektronicznych z których zawarł umowę, o której mowa w art. 14

4. Unieważnione certyfikaty umieszcza się na każdej liście zawieszonych i unieważnionych certyfikatów ogłaszanej przed dniem upływu określonego w nim okresu ważności certyfikatu oraz na pierwszej liście ogłaszanej po upływie tego okresu.

5. Certyfikat, zawieszony może zostać następnie unieważniony lub jego ważność może zostać przywrócona.

3) datę przewidywanego wydania kolejnej listy,

1. Prowadzenie akredytowanej działalności certyfikacyjnej wymaga uzyskania akredytacji ministra właściwego do spraw wewnętrznych, wpisania do rejestru podmiotów świadczących akredytowane usługi certyfikacyjne i uzyskania certyfikatu, wykorzystywanego do weryfikowania poświadczeń elektronicznych podmiotu w ramach prowadzonych przez niego akredytowanych usług certyfikacyjnych, wydanego przez ministra właściwego do spraw wewnętrznych.

3. Wniosek o udzielenie akredytacji powinien zawierać:

1. imię i nazwisko lub nazwę (firmy) wnioskodawcy
2. wskazanie polityki certyfikacyjnej, w ramach której mają być wystawiane kwalifikowane certyfikaty lub świadczone inne usługi,
3. miejsce zamieszkania lub siedzibę oraz adres wnioskodawcy,
4. aktualny wypis z krajowego rejestru handlowego
5. dane osobowe reprezentujących wnioskodawcę oraz osób zatrudnionych przez wnioskodawcę lub osób, które podmiot ten zamierza zatrudnić, mających istotny wpływ na świadczenie akredytowanych usług certyfikacyjnych,
6. informacje o kwalifikacjach i doświadczeniu zawodowym oraz zaświadczenia o niekaralności osób, o których mowa w pkt 5,
7. wskazanie technicznych i organizacyjnych możliwości wykonywania obowiązków w zakresie świadczenia akredytowanych usług certyfikacyjnych
8. zobowiązanie do nie używania danych służących do złożenia poświadczeń elektronicznych, do wystawiania certyfikatów innym podmiotom świadczącym usługi certyfikacyjne, za wyjątkiem certyfikatu dla ministra właściwego do spraw wewnętrznych,
9. regulamin organizacyjny określający, w szczególności, sposób zapobiegania ujawnianiu informacji, których wykorzystanie mogłoby naruszać interes odbiorców akredytowanych usług certyfikacyjnych,
10. dokumenty przedstawiające sytuację finansową wnioskodawcy w okresie ostatnich 3 lat poprzedzających datę złożenia wniosku, w tym dokumenty potwierdzające brak zaległości podatkowych; jeśli wnioskodawca istnieje krócej niż 3 lata, należy przedstawić dokumenty potwierdzające brak zaległości podatkowych przez cały okres istnienia wnioskodawcy,
11. plan organizacyjny i finansowy działalności wnioskodawcy na 3 lata,
12. dowód uiszczenia opłaty za udzielenie akredytacji i wpis do rejestru.

6. Nie uzupełnienie wniosku w wyznaczonym terminie powoduje pozostawienie wniosku bez rozpoznania.

1. wniosek i dołączone do niego dokumenty nie spełniają warunków określonych w ustawie,
2. w dokumentach organizacyjnych podmiotu są zamieszczone postanowienia mogące zagrażać bezpieczeństwu albo w inny sposób naruszać interes odbiorców akredytowanych usług certyfikacyjnych,
3. przedstawiony przez podmiot plan organizacyjny i finansowy działalności na 3 lata nie zabezpiecza w należyty sposób interesów odbiorców akredytowanych usług certyfikacyjnych,
4. z dokumentów przedstawiających sytuację finansową za ostatnie 3 lata wynika, że podmiot posiada lub posiadał zaległości podatkowe,
5. wskazane we wniosku techniczne i organizacyjne możliwości wykonywania obowiązków w zakresie świadczenia akredytowanych usług certyfikacyjnych nie zabezpieczają należycie interesów odbiorców akredytowanych usług certyfikacyjnych,
6. osoby, o których mowa w art. 21 ust. 3 pkt 5, nie dają rękojmi należytego wykonywania powierzonych obowiązków.

3. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, sposób prowadzenia rejestru podmiotów świadczących akredytowane usługi certyfikacyjne, wzór tego rejestru oraz szczegółowy tryb postępowania w sprawach o wpis do rejestru, uwzględniając dane uzyskane w toku postępowania w sprawie udzielenia akredytacji oraz zapewnienie dostępności do rejestru osób trzecich.

Podmiot świadczący akredytowane usługi certyfikacyjne jest obowiązany zawiadamiać niezwłocznie ministra właściwego do spraw wewnętrznych o każdej zmianie danych zawartych we wniosku o udzielenie akredytacji.

4. Cofając akredytację lub dokonując wezwania, o którym mowa w ust. 2, minister właściwy do spraw wewnętrznych może unieważnić certyfikat, o którym mowa w art. 21 ust. 1 i umieścić go na liście unieważnionych certyfikatów podmiotów świadczących akredytowane usługi certyfikacyjne. Przepisy dotyczące listy zawieszonych i unieważnionych certyfikatów użytkowników, o której mowa w art. 19 stosuje się odpowiednio.

5. Umieszczenie certyfikatu, o którym mowa w art. 21 ust. 1 na liście unieważnionych certyfikatów podmiotów świadczących akredytowane usługi certyfikacyjne unieważnia wszystkie certyfikaty wystawione przez ten akredytowany podmiot.

1. Nadzór nad działalnością podmiotów świadczących akredytowane usługi certyfikacyjne sprawuje minister właściwy do spraw wewnętrznych zapewniając ochronę interesów odbiorców akredytowanych usług certyfikacyjnych.

3) wystawianie i unieważnianie certyfikatów, o których mowa w art. 21 ust. 1,

10) podejmowanie innych działań przewidzianych przepisami niniejszej ustawy.

1. Wpływy z opłat za akredytację, wpis do rejestru podmiotów świadczących akredytowane usługi certyfikacyjne prowadzonego przez ministra właściwego do spraw wewnętrznych i dokonywanie ocen, o których mowa w art. 16 ust. 2 oraz połowy kar pieniężnych nakładanych na podstawie ustawy, stanowią dochód środka specjalnego ministerstwa zapewniającego obsługę ministra właściwego do spraw wewnętrznych, z przeznaczeniem na usprawnienie pracy komórek organizacyjnych wykonujących zadania określone w ustawie, podnoszenie kwalifikacji zawodowych i premie dla pracowników zatrudnionych w tych komórkach organizacyjnych.

6. W razie nie usunięcia nieprawidłowości w wyznaczonym terminie, minister właściwy do spraw wewnętrznych może nałożyć na kontrolowany podmiot karę pieniężną w wysokości do 250.000 zł. W przypadku stwierdzenia rażących nieprawidłowości, minister właściwy do spraw wewnętrznych może nałożyć karę pieniężną bezpośrednio po ich stwierdzeniu.

1. Pracownicy zatrudnieni w komórkach organizacyjnych ministerstwa zapewniającego obsługę ministra właściwego do spraw wewnętrznych wykonujący zadania określone w ustawie nie mogą prowadzić działalności gospodarczej, być wspólnikami, akcjonariuszami, udziałowcami ani wykonywać obowiązków osoby reprezentującej lub członka rady nadzorczej i komisji rewizyjnej podmiotu świadczącego usługi certyfikacyjne, a także pozostawać z podmiotem świadczącym usługi certyfikacyjne w stosunku pracy, stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze.

2. Przepis ust. l nie narusza przepisów o ograniczeniu prowadzenia działalności gospodarczej przez osoby pełniące funkcje publiczne.

1. Zamiar połączenia podmiotów świadczących akredytowane usługi certyfikacyjne lub zamiar przejęcia usług świadczonych przez inny podmiot świadczący akredytowane usługi certyfikacyjne podlega zgłoszeniu Prezesowi Urzędu Ochrony Konkurencji i Konsumentów, jeżeli łączna wartość usług świadczonych w następstwie zamierzonego połączenia lub przejęcia świadczenia usług przekroczyłaby, w którymkolwiek z miesięcy przypadających w roku poprzedzającym rok zgłoszenia takiego zamiaru, 33% łącznej wartości usług netto wszystkich podmiotów świadczących akredytowane usługi certyfikacyjne.

Kto narusza obowiązki określone w art. 6 ust 3, 12 ust. 1- 3, ust. 1, 20 ust.1, 25,39 ustawy podlega karze do 1.000.000

podlega grzywnie do 1.000.000 zł lub karze pozbawienia wolności do lat 3.

"8) akredytacji podmiotów świadczących usługi certyfikacyjne w rozumieniu przepisów o podpisie elektronicznym.".

Ustawa o podpisie elektronicznym jest kolejnym aktem dostosowującym polskie ustawodawstwo do wymogów prawa Unii Europejskiej.

Podstawowe wytyczne do sformułowania przepisów ustawy określa dyrektywa Parlamentu Europejskiego i Rady nr ł999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych warunków ramowych dotyczących podpisu elektronicznego. Przygotowując projekt starano się nie naruszyć ducha dyrektywy i uszanować utrwalone zasady tworzenia prawa wewnętrznego.

W zakresie nie uregulowanym w ustawie, skutki prawne stosowania podpisu elektronicznego będą takie same jak określone , w szczególności w kodeksie cywilnym skutki prawne podpisów własnoręcznych. Podpis elektroniczny złożony na podstawie kwalifikowanego certyfikatu zapewnia integralność danych i jednoznaczne wskazanie polityki certyfikacji, w ramach której został złożony, w ten sposób, że rozpoznawane są wszelkie próby zmiany tych danych lub oznaczenia polityki certyfikacji.

Dokument opatrzony podpisem elektronicznym złożonym na podstawie ważnego kwalifikowanego certyfikatu jest równoważny pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi. Podpis elektroniczny wywołuje skutki prawne określone ustawą , jeżeli został złożony w okresie ważności certyfikatu. Podpis elektroniczny złożony na podstawie ważnego kwalifikowanego certyfikatu, jest ważny tak długo jak certyfikat na podstawie którego został złożony. Jedynie podpis elektroniczny złożony na podstawie ważnego kwalifikowanego certyfikatu oznaczony czasem, przez akredytowany podmiot świadczący usługę znakowania czasem, jest ważny bez względu na późniejszą utratę ważności certyfikatu na podstawie którego został złożony oraz utratę ważności akredytacji i certyfikatu podmiotu świadczącego usługi certyfikacyjne. Rozwiązanie takie zapewni pewność obrotu gospodarczego, w którym szczególnie ważne jest, aby strony umów zawieranych za pomocą podpisów składanych w formie elektronicznej miały pewność ważności podpisu swojego kontrahenta.

Certyfikaty wydawane są w ramach tzw. polityk certyfikacji. Są to zbiory szczegółowych zasad określanych przez ministra właściwego do spraw wewnętrznych, w tym rozwiązań technicznych i organizacyjnych, wskazujących zakres zastosowania certyfikatu w warunkach charakteryzujących się wspólnymi wymaganiami bezpieczeństwa. Inne bowiem wymogi bezpieczeństwa musi spełniać podpis składany na potrzeby drobnego handlu a inne podpis składany w sprawach chronionych na podstawie przepisów o ochronie informacji niejawnych.

Podmioty ubiegające się o akredytację zobowiązane będą do:

1. zapewnienia technicznych i organizacyjnych możliwości szybkiego i niezawodnego wystawienia i unieważniania certyfikatów oraz określenia chwili dokonania tych czynności,
2. sprawdzenia tożsamość osoby ubiegającej się o uzyskanie certyfikatu oraz, dodatkowych informacji zawartych w certyfikacie,
3. zapewnienia technicznych i organizacyjnych możliwości określenia chwili wystawienia, unieważnienia lub zawieszenia certyfikatu,
4. zatrudnienia osób posiadających niezbędną wiedzę, doświadczenia i kwalifikacje
5. podejmowania środków przeciwdziałających fałszerstwom certyfikatów,
6. zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcą akredytowanych usług certyfikacyjnych
7. zapewnienia zainteresowanych dostępu do informacji o warunkach uzyskania i używania certyfikatu, w tym o wszelkich ograniczeniach jego użycia
8. używania systemów tworzenia i przechowywania certyfikatów w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom upoważnionym oraz publiczny dostęp do certyfikatów , co do których uzyskano zgodę ich posiadaczy
9. udostępnienia, na wniosek odbiorcy akredytowanych usług certyfikacyjnych, informacji o urządzeniach do składania i weryfikacji podpisów elektronicznych,
10. zapewnienia, w przypadku tworzenia przez niech danych wykorzystywanych przy składaniu podpisu elektronicznego, poufności procesu ich tworzenia, oraz nie przechowywania i nie kopiowania tych danych a także nie udostępniania ich nikomu poza osobą, która będzie składała za ich pomocą podpis elektroniczny,
11. zapewnienia weryfikacji autentyczności i ważności certyfikatów.

Podmiot świadczący akredytowane usługi certyfikacyjne odpowiadać powinien wobec odbiorców akredytowanych usług certyfikacyjnych za wszelkie szkody spowodowane niewykonaniem lub nienależytym wykonaniem swych obowiązków w zakresie świadczonych usług i jego reprezentacji, chyba że niewykonanie lub nienależyte wykonanie tych obowiązków jest spowodowane okolicznościami, za które podmiot świadczący akredytowane usługi certyfikacyjne nie ponosi odpowiedzialności- i którym nie mógł zapobiec mimo dołożenia najwyższej staranności.

Treść kwalifikowanego certyfikatu ustawa określiła analogicznie do treści określonej w dyrektywie numer certyfikatu. Certyfikat zawierał będzie wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany zgodnie z daną polityką certyfikacji, określenie podmiotu świadczącego akredytowane usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę oraz numer akredytacji, imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny, dane służące do weryfikacji podpisu elektronicznego, oznaczenie początku i końca okresu ważności certyfikatu, podpis elektroniczny osoby upoważnionej do składania oświadczeni woli w imieniu podmiotu świadczącego akredytowane usługi certyfikacyjne, wydającego certyfikat, ograniczenia zakresu ważności certyfikatu jeśli przewiduje to dana polityka certyfikacji, ograniczenia wartości transakcji w których certyfikat może być wykorzystywany jeśli przewiduje to dana polityka certyfikacji. Certyfikat jest ważny w okresie w nim wskazanym, może być jednak wcześniej zawieszony a nawet unieważniony, co skutkuje nieważnością złożonych na jego podstawie podpisów , z wyjątkiem podpisów oznaczonych czasem w okresie , kiedy certyfikat był jeszcze ważny.

Ustawa tworzy Akredytacyjny Komitet Doradczy ministra właściwego do spraw wewnętrznych, jako organ doradczy i opiniodawczy w sprawach związanych z działalnością podmiotów świadczących usługi certyfikacyjne. Do zadani Komitetu Doradczego należy opiniowanie projektów aktów normatywnych dotyczących działalności podmiotów świadczących usługi certyfikacyjne, opiniowanie sprawozdań ministra właściwego do spraw wewnętrznych z działalności akredytacyjnej, przedstawianie opinii w sprawach związanych z działalnością podmiotów świadczących usługi certyfikacyjne. Komitet Doradczy składa się z 10 osób powoływanych przez ministra właściwego do spraw wewnętrznych spośród osób posiadających wiedzę i doświadczenie w sprawach związanych z zadaniami określonymi w ustawie. Przynajmniej dwóch członków Komitetu Doradczego powołuje się spośród osób rekomendowanych przez służby ochrony państwa i przynajmniej jednego spośród osób rekomendowanych przez Prezesa Narodowego Banku Polskiego.