• Посилання скопійовано
Документ підготовлено в системі iplex

Про електронні довірчі послуги

Верховна Рада України  | Закон від 05.10.2017 № 2155-VIII
ЗАКОН УКРАЇНИ
Про електронні довірчі послуги
(Відомості Верховної Ради (ВВР), 2017, № 45, ст.400)( Із змінами, внесеними згідно із Законами № 440-IX від 14.01.2020, ВВР, 2020, № 28, ст.188 № 1089-IX від 16.12.2020 № 1591-IX від 30.06.2021 - вводиться в дію з 01.08.2022 № 2801-IX від 01.12.2022 )( Зміни по Закону № 1909-IX від 18.11.2021, що вводяться в дію з 01.01.2024, не внесені )
Цей Закон визначає правові та організаційні засади надання електронних довірчих послуг, у тому числі транскордонних, права та обов’язки суб’єктів правових відносин у сфері електронних довірчих послуг, порядок здійснення державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг, а також правові та організаційні засади здійснення електронної ідентифікації.
Метою цього Закону є врегулювання відносин у сферах надання електронних довірчих послуг та електронної ідентифікації.
Розділ I
ЗАГАЛЬНІ ПОЛОЖЕННЯ
Стаття 1. Визначення термінів
1. У цьому Законі терміни вживаються в такому значенні:
1) автентифікація - електронна процедура, яка дає змогу підтвердити електронну ідентифікацію фізичної, юридичної особи, інформаційної або інформаційно-комунікаційної системи та/або походження та цілісність електронних даних;
( Пункт 1 частини першої статті 1 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
2) блокування сертифіката відкритого ключа - тимчасове зупинення чинності сертифіката відкритого ключа;
3) веб-сайт - сукупність програмних засобів, розміщених за унікальною адресою в обчислювальній мережі, у тому числі в мережі Інтернет, разом з інформаційними ресурсами, що перебувають у розпорядженні певних суб’єктів і забезпечують доступ юридичних та фізичних осіб до цих інформаційних ресурсів та інших інформаційних послуг через обчислювальну мережу;
4) відкритий ключ - параметр алгоритму асиметричного криптографічного перетворення, який використовується як електронні дані для перевірки електронного підпису чи печатки, а також у цілях, визначених стандартами для кваліфікованих сертифікатів відкритих ключів;
5) відокремлений пункт реєстрації - представництво (філія, підрозділ, територіальний орган) надавача електронних довірчих послуг або юридична чи фізична особа, яка на підставі наказу надавача електронних довірчих послуг (його керівника) або договору, укладеного з ним, здійснює реєстрацію підписувачів з дотриманням вимог цього Закону та законодавства у сфері захисту інформації;
6) Довірчий список - перелік кваліфікованих надавачів електронних довірчих послуг та інформації про послуги, що ними надаються;
7) електронна довірча послуга - послуга, яка надається для забезпечення електронної взаємодії двох або більше суб’єктів, які довіряють надавачу електронних довірчих послуг щодо надання такої послуги;
8) електронна ідентифікація - процедура використання ідентифікаційних даних особи в електронній формі, які однозначно визначають фізичну, юридичну особу або представника юридичної особи;
9) електронна печатка - електронні дані, які додаються створювачем електронної печатки до інших електронних даних або логічно з ними пов’язуються і використовуються для визначення походження та перевірки цілісності пов’язаних електронних даних;
10) електронна позначка часу - електронні дані, які пов’язують інші електронні дані з конкретним моментом часу для засвідчення наявності цих електронних даних на цей момент часу;
11) електронна послуга - будь-яка послуга, що надається через інформаційно-комунікаційну систему;
( Пункт 11 частини першої статті 1 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
12) електронний підпис - електронні дані, які додаються підписувачем до інших електронних даних або логічно з ними пов’язуються і використовуються ним як підпис;
13) електронні дані - будь-яка інформація в електронній формі;
14) засвідчення чинності відкритого ключа - процедура формування сертифіката відкритого ключа;
15) засіб електронного підпису чи печатки - апаратно-програмний або апаратний пристрій чи програмне забезпечення, які використовуються для створення та/або перевірки електронного підпису чи печатки;
16) засіб електронної ідентифікації - носій інформації, який містить ідентифікаційні дані особи і використовується для автентифікації особи під час надання та/або отримання електронних послуг;
17) засіб кваліфікованого електронного підпису чи печатки - апаратно-програмний або апаратний пристрій чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення кваліфікованого електронного підпису чи печатки, та/або перевірки кваліфікованого електронного підпису чи печатки, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки, який відповідає вимогам цього Закону;
18) засіб удосконаленого електронного підпису чи печатки - апаратно-програмний або апаратний пристрій чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення удосконаленого електронного підпису чи печатки, та/або перевірки удосконаленого електронного підпису чи печатки, та/або зберігання особистого ключа удосконаленого електронного підпису чи печатки;
19) ідентифікаційні дані особи - унікальний набір даних, який дає змогу однозначно встановити фізичну, юридичну особу або представника юридичної особи;
20) ідентифікація особи - процедура використання ідентифікаційних даних особи з документів, створених на матеріальних носіях, та/або електронних даних, в результаті виконання якої забезпечується однозначне встановлення фізичної, юридичної особи або представника юридичної особи;
21) інтероперабельність - технологічна сумісність технічних рішень, що використовуються під час надання електронних послуг, та їх здатність взаємодіяти між собою;
22) кваліфікована електронна печатка - удосконалена електронна печатка, яка створюється з використанням засобу кваліфікованої електронної печатки і базується на кваліфікованому сертифікаті електронної печатки;
23) кваліфікований електронний підпис - удосконалений електронний підпис, який створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті відкритого ключа;
24) кваліфікований надавач електронних довірчих послуг - юридична особа незалежно від організаційно-правової форми та форми власності, фізична особа - підприємець, яка надає одну або більше електронних довірчих послуг, діяльність якої відповідає вимогам цього Закону та відомості про яку внесені до Довірчого списку;
25) кваліфікований сертифікат відкритого ключа - сертифікат відкритого ключа, який видається кваліфікованим надавачем електронних довірчих послуг, засвідчувальним центром або центральним засвідчувальним органом і відповідає вимогам цього Закону;
26) компрометація особистого ключа - будь-яка подія, що призвела або може призвести до несанкціонованого доступу до особистого ключа;
27) користувачі електронних довірчих послуг - підписувачі, створювачі електронних печаток, відправники та отримувачі електронних даних, інші фізичні та юридичні особи, які отримують електронні довірчі послуги у надавачів таких послуг відповідно до вимог цього Закону;
28) надавач електронних довірчих послуг - юридична особа незалежно від організаційно-правової форми та форми власності, фізична особа - підприємець, яка надає одну або більше електронних довірчих послуг;
29) особистий ключ - параметр алгоритму асиметричного криптографічного перетворення, який використовується як унікальні електронні дані для створення електронного підпису чи печатки, доступний тільки підписувачу чи створювачу електронної печатки, а також у цілях, визначених стандартами для кваліфікованих сертифікатів відкритих ключів;
30) пара ключів - особистий та відповідний йому відкритий ключі, що є взаємопов’язаними параметрами алгоритму асиметричного криптографічного перетворення;
31) перевірка - процес засвідчення справжності і підтвердження того, що електронний підпис чи печатка є дійсними;
32) підписувач - фізична особа, яка створює електронний підпис;
33) поновлення сертифіката відкритого ключа - відновлення чинності попередньо заблокованого сертифіката відкритого ключа;
34) програмно-технічний комплекс, що використовується під час надання електронних довірчих послуг (далі - програмно-технічний комплекс), - апаратні, апаратно-програмні та програмні засоби, що забезпечують виконання функцій, пов’язаних з наданням електронних довірчих послуг;
35) реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів - електронна база даних, в якій містяться відомості про сертифікати відкритих ключів, сформовані надавачем електронних довірчих послуг, засвідчувальним центром або центральним засвідчувальним органом, їх статус та списки відкликаних сертифікатів відкритих ключів;
36) реєстрована електронна доставка - послуга, яка дає змогу передавати електронні дані між третіми сторонами за допомогою електронних засобів, засвідчувати обробку переданих електронних даних, у тому числі підтверджувати відправлення та отримання електронних даних, та захистити відправлені електронні дані від втрати, крадіжки, пошкодження або несанкціонованих змін;
37) самопідписаний сертифікат відкритого ключа - сертифікат відкритого ключа, який формується центральним засвідчувальним органом або засвідчувальним центром з використанням особистого ключа центрального засвідчувального органу або засвідчувального центру;
38) сертифікат відкритого ключа - електронний документ, який засвідчує належність відкритого ключа фізичній або юридичній особі, підтверджує її ідентифікаційні дані та/або надає можливість здійснити автентифікацію веб-сайту;
39) скасування сертифіката відкритого ключа - зупинення чинності сертифіката відкритого ключа;
40) створювач електронної печатки - юридична особа, яка створює електронну печатку;
41) схема електронної ідентифікації - система електронної ідентифікації, в якій засоби електронної ідентифікації видаються фізичним, юридичним особам та представникам юридичних осіб;
42) технологічна нейтральність національних технічних рішень - невтручання органів, що здійснюють державне регулювання у сфері електронних довірчих послуг, у процес розроблення програмно-технічних комплексів, засобів електронного підпису чи печатки та засобів криптографічного захисту інформації, який не перешкоджатиме досягненню інтероперабельності між ними;
43) удосконалена електронна печатка - електронна печатка, створена за результатом криптографічного перетворення електронних даних, з якими пов’язана ця електронна печатка, з використанням засобу удосконаленої електронної печатки та особистого ключа, однозначно пов’язаного із створювачем електронної печатки, і який дає змогу здійснити електронну ідентифікацію створювача електронної печатки та виявити порушення цілісності електронних даних, з якими пов’язана ця електронна печатка;
44) удосконалений електронний підпис - електронний підпис, створений за результатом криптографічного перетворення електронних даних, з якими пов’язаний цей електронний підпис, з використанням засобу удосконаленого електронного підпису та особистого ключа, однозначно пов’язаного з підписувачем, і який дає змогу здійснити електронну ідентифікацію підписувача та виявити порушення цілісності електронних даних, з якими пов’язаний цей електронний підпис.
( Частина друга статті 1 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
Стаття 2. Сфера дії Закону
1. Цей Закон регулює відносини, що виникають між юридичними, фізичними особами, суб’єктами владних повноважень у процесі надання, отримання електронних довірчих послуг, процедури надання цих послуг, нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг, а також основні організаційно-правові засади електронної ідентифікації.
2. Законами України можуть встановлюватися особливості правового регулювання надання електронних довірчих послуг та електронної ідентифікації в певних сферах суспільних відносин.
Стаття 3. Законодавство у сферах електронних довірчих послуг та електронної ідентифікації
1. Відносини, пов’язані з наданням електронних довірчих послуг та електронною ідентифікацією, регулюються Конституцією України, Цивільним кодексом України, законами України "Про інформацію", "Про захист інформації в інформаційно-комунікаційних системах", "Про електронні документи та електронний документообіг", "Про захист персональних даних", цим Законом, а також іншими нормативно-правовими актами.
( Частина перша статті 3 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
Стаття 4. Основні принципи державного регулювання у сферах електронних довірчих послуг та електронної ідентифікації
1. Державне регулювання та управління у сферах електронних довірчих послуг та електронної ідентифікації здійснюється на засадах:
забезпечення принципу верховенства права у процесі надання і отримання електронних довірчих послуг та електронної ідентифікації;
створення сприятливих та конкурентних умов для розвитку та функціонування сфер електронних довірчих послуг та електронної ідентифікації;
вільного обігу електронних довірчих послуг в Україні, а також можливості вільного надання електронних довірчих послуг надавачами електронних довірчих послуг, розташованими в інших державах, діяльність яких відповідає вимогам цього Закону;
забезпечення захисту прав і законних інтересів користувачів електронних довірчих послуг;
гарантування доступності та можливостей використання електронних довірчих послуг для людей з обмеженими фізичними можливостями;
відповідності вимог до надання електронних довірчих послуг та електронної ідентифікації європейським та міжнародним стандартам;
забезпечення функціональної сумісності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації;
забезпечення захисту персональних даних, що обробляються під час надання електронних довірчих послуг та електронної ідентифікації.
2. Метою здійснення державного регулювання та управління у сферах електронних довірчих послуг та електронної ідентифікації є:
проведення єдиної та ефективної державної політики у сферах електронних довірчих послуг та електронної ідентифікації;
створення сприятливих умов для розвитку та функціонування сфер електронних довірчих послуг та електронної ідентифікації;
забезпечення функціональної сумісності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації;
забезпечення рівних можливостей для доступу до електронних довірчих послуг та захисту прав їхніх суб’єктів;
запобігання монополізації та створення умов для розвитку добросовісної конкуренції у сфері електронних довірчих послуг;
забезпечення захисту персональних даних відповідно до законодавства у сфері захисту персональних даних;
проведення заходів з популяризації електронних довірчих послуг та електронної ідентифікації серед населення та юридичних осіб;
здійснення контролю за прозорістю та відкритістю у сферах електронних довірчих послуг та електронної ідентифікації;
сприяння інтеграції України у світовий електронний інформаційний простір.
3. Державне регулювання та управління у сферах електронних довірчих послуг та електронної ідентифікації здійснюється шляхом:
нормативно-правового регулювання у сферах електронних довірчих послуг та електронної ідентифікації;
нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг;
міжнародного співробітництва у сферах електронних довірчих послуг та електронної ідентифікації;
проведення інших заходів державного регулювання у сферах електронних довірчих послуг та електронної ідентифікації, передбачених законодавством.
Розділ II
СУБ’ЄКТИ ВІДНОСИН У СФЕРІ ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ ТА ОРГАНИ, ЩО ЗДІЙСНЮЮТЬ ДЕРЖАВНЕ РЕГУЛЮВАННЯ У СФЕРАХ ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ ТА ЕЛЕКТРОННОЇ ІДЕНТИФІКАЦІЇ
Стаття 5. Система органів, що здійснюють державне регулювання у сферах електронних довірчих послуг та електронної ідентифікації
1. Державне регулювання у сферах електронних довірчих послуг та електронної ідентифікації здійснюють:
Кабінет Міністрів України;
головний орган у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг;
спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв’язку та захисту інформації;
центральний орган виконавчої влади, що реалізує державну політику у сфері інформатизації, електронного урядування, формування і використання національних електронних інформаційних ресурсів, розвитку інформаційного суспільства;
Національний банк України (щодо банків, інших осіб, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторів платіжних систем та/або учасників платіжних систем, технологічних операторів платіжних послуг).
( Абзац шостий частини першої статті 5 в редакції Закону № 1591-IX від 30.06.2021 - вводиться в дію з 01.08.2022 )
Стаття 6. Повноваження Кабінету Міністрів України у сферах електронних довірчих послуг та електронної ідентифікації
1. До повноважень Кабінету Міністрів України у сферах електронних довірчих послуг та електронної ідентифікації належить забезпечення:
здійснення державної політики у сферах електронних довірчих послуг та електронної ідентифікації;
визначення пріоритетних напрямів розвитку сфер електронних довірчих послуг та електронної ідентифікації;
координації діяльності органів, що здійснюють державне регулювання у сферах електронних довірчих послуг та електронної ідентифікації, крім Національного банку України;
прийняття у межах своїх повноважень нормативно-правових актів у сферах електронних довірчих послуг та електронної ідентифікації;
державної підтримки розвитку сфер електронних довірчих послуг та електронної ідентифікації;
організації міжнародного співробітництва у сферах електронних довірчих послуг та електронної ідентифікації;
здійснення інших повноважень у сферах електронних довірчих послуг та електронної ідентифікації, визначених законом.
2. Забезпечення державного регулювання сфер електронних довірчих послуг та електронної ідентифікації здійснюється Кабінетом Міністрів України з урахуванням вимог національних, міжнародних та європейських стандартів.
Стаття 7. Повноваження головного органу у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг
1. Головний орган у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг, щодо юридичних осіб, фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, виконує функції центрального засвідчувального органу шляхом внесення відомостей про них до Довірчого списку відповідно до вимог цього Закону.
2. До повноважень головного органу у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг, належить забезпечення:
розроблення нормативно-правових актів у сфері електронних довірчих послуг;
розроблення норм, стандартів у сфері електронних довірчих послуг;
надання адміністративної послуги шляхом внесення юридичних осіб та фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, до Довірчого списку;
функціонування програмно-технічного комплексу центрального засвідчувального органу та захисту інформації, що в ньому обробляється, відповідно до вимог законодавства;
функціонування веб-сайту центрального засвідчувального органу;
ведення Довірчого списку;
ведення реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів;
генерації пари ключів та створення самопідписаних кваліфікованих сертифікатів електронної печатки центрального засвідчувального органу;
надання кваліфікованих електронних довірчих послуг надавачам електронних довірчих послуг з використанням самопідписаного сертифіката електронної печатки центрального засвідчувального органу, що призначений для надання таких послуг;
надання послуги постачання передачі сигналів точного часу, синхронізованого з Державним еталоном одиниць часу і частоти;
погодження розроблених постачальниками електронних довірчих послуг порядків синхронізації часу із Всесвітнім координованим часом (UTC);
погодження планів припинення діяльності кваліфікованих постачальників електронних довірчих послуг;
приймання та зберігання документованої інформації, сформованих кваліфікованих сертифікатів відкритих ключів, реєстру чинних, блокованих та скасованих кваліфікованих сертифікатів відкритих ключів у разі припинення діяльності кваліфікованого постачальника електронних довірчих послуг;
розгляду пропозицій (зауважень) суб’єктів відносин у сфері електронних довірчих послуг щодо удосконалення державного регулювання сфери електронних довірчих послуг;
надання суб’єктам відносин у сфері електронних довірчих послуг консультацій з питань, пов’язаних з наданням електронних довірчих послуг;
інформування контролюючого органу про обставини, які перешкоджають діяльності центрального засвідчувального органу;
взаємного визнання українських та іноземних сертифікатів відкритих ключів та електронних підписів, що використовуються під час надання юридично значущих електронних послуг;
цілодобового доступу до реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів та до інформації про статус сертифікатів відкритих ключів через електронні комунікаційні мережі;
( Абзац дев'ятнадцятий частини другої статті 7 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
скасування, блокування та поновлення кваліфікованих сертифікатів відкритих ключів у випадках, передбачених цим Законом;
інтероперабельності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації;
проведення оцінки стану розвитку сфери електронних довірчих послуг за результатами проведення аналізу інформації про діяльність постачальників електронних довірчих послуг та засвідчувального центру, наданої в порядку, встановленому головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг;
державного регулювання з питань електронної ідентифікації з використанням електронних довірчих послуг в межах своєї компетенції відповідно до цього Закону;
здійснення інших повноважень у сферах електронних довірчих послуг та електронної ідентифікації, визначених законом.
3. Технічне та технологічне забезпечення виконання функцій центрального засвідчувального органу здійснюється адміністратором інформаційно-комунікаційної системи центрального засвідчувального органу - державним підприємством, яке належить до сфери управління головного органу у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг.
( Частина третя статті 7 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
Стаття 8. Повноваження спеціально уповноваженого центрального органу виконавчої влади з питань організації спеціального зв’язку та захисту інформації у сферах електронних довірчих послуг та електронної ідентифікації
1. Спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв’язку та захисту інформації виконує функції контролюючого органу у сфері електронних довірчих послуг.
2. До повноважень спеціально уповноваженого центрального органу виконавчої влади з питань організації спеціального зв’язку та захисту інформації у сферах електронних довірчих послуг та електронної ідентифікації належить забезпечення:
державного контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг;
встановлення вимог з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації;
погодження регламентів роботи центрального засвідчувального органу, засвідчувального центру та юридичних осіб, фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги;
взаємодії з центральним засвідчувальним органом, засвідчувальним центром та органами з оцінки відповідності з питань державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг;
співпраці з органами з питань захисту персональних даних шляхом інформування про порушення законодавства у сфері захисту персональних даних, виявлені під час проведення контролюючим органом перевірок кваліфікованих надавачів електронних довірчих послуг;
аналізу документів про відповідність за результатами проведення процедур оцінки відповідності кваліфікованих надавачів електронних довірчих послуг;
видання приписів щодо усунення порушень вимог законодавства у сфері електронних довірчих послуг;
накладення адміністративних штрафів за порушення вимог законодавства у сфері електронних довірчих послуг;
державного регулювання з питань електронної ідентифікації з використанням електронних довірчих послуг у межах своєї компетенції відповідно до цього Закону;
визначення стандартів, що застосовуються при наданні довірчих послуг у сфері спеціального зв’язку;
здійснення інших повноважень у сферах електронних довірчих послуг та електронної ідентифікації, визначених законом.
Стаття 9. Повноваження Національного банку України у сферах електронних довірчих послуг та електронної ідентифікації
1. Національний банк України створює засвідчувальний центр для забезпечення внесення кваліфікованих надавачів електронних довірчих послуг (банків, інших осіб, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторів платіжних систем та/або учасників платіжних систем, технологічних операторів платіжних послуг) до Довірчого списку відповідно до вимог цього Закону.
( Абзац перший частини першої статті 9 в редакції Закону № 1591-IX від 30.06.2021 - вводиться в дію з 01.08.2022 )
Засвідчувальний центр надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки кваліфікованим надавачам електронних довірчих послуг з використанням самопідписаного сертифіката відкритого ключа засвідчувального центру.
2. Засвідчувальний центр та кваліфіковані надавачі електронних довірчих послуг, стосовно яких засвідчувальним центром прийнято рішення про внесення відомостей про них до Довірчого списку, мають такі самі взаємні права та обов’язки, як і центральний засвідчувальний орган та кваліфіковані надавачі електронних довірчих послуг, стосовно яких центральним засвідчувальним органом прийнято рішення про внесення відомостей про них до Довірчого списку.
3. До повноважень Національного банку України у сферах електронних довірчих послуг та електронної ідентифікації належить:
встановлення вимог, яким повинні відповідати кваліфіковані надавачі електронних довірчих послуг, внесені до Довірчого списку за поданням засвідчувального центру, у тому числі вимог до їхніх програмно-технічних комплексів;
встановлення порядку надання та використання електронних довірчих послуг банками, іншими особами, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторами платіжних систем та/або учасниками платіжних систем, технологічними операторами платіжних послуг;
( Абзац третій частини третьої статті 9 в редакції Закону № 1591-IX від 30.06.2021 - вводиться в дію з 01.08.2022 )
встановлення порядку надання послуги постачання передачі сигналів точного часу засвідчувальним центром кваліфікованим надавачам електронних довірчих послуг, внесеним до Довірчого списку за поданням засвідчувального центру, та визначення джерела синхронізації часу;
державне регулювання з питань електронної ідентифікації у банківській системі України;
здійснення інших повноважень у сферах електронних довірчих послуг та електронної ідентифікації у банківській системі України, визначених законом.
4. Засвідчувальний центр під час надання електронних довірчих послуг зобов’язаний виконувати вимоги, встановлені для кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру.
5. Програмно-технічний комплекс засвідчувального центру, що використовується ним для надання електронних довірчих послуг, повинен відповідати вимогам, встановленим для програмно-технічного комплексу кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру.
6. Організаційно-методологічні, технічні та технологічні умови діяльності засвідчувального центру під час надання ним кваліфікованих електронних довірчих послуг, порядок взаємодії кваліфікованих надавачів електронних довірчих послуг із засвідчувальним центром у процесі надання ним кваліфікованих електронних довірчих послуг встановлюються регламентом роботи засвідчувального центру.
Регламент роботи засвідчувального центру затверджується та погоджується відповідно до вимог законодавства.
Стаття 10. Повноваження центрального органу виконавчої влади, що реалізує державну політику у сфері інформатизації, електронного урядування, формування і використання національних електронних інформаційних ресурсів, розвитку інформаційного суспільства
1. До повноважень центрального органу виконавчої влади, що реалізує державну політику у сфері інформатизації, електронного урядування, формування і використання національних електронних інформаційних ресурсів, розвитку інформаційного суспільства, належить:
участь у розробленні норм, стандартів у сфері електронної ідентифікації;
встановлення вимог до засобів електронної ідентифікації, рівнів довіри до засобів електронної ідентифікації для їх використання у сфері електронного урядування;
здійснення інших повноважень у сфері електронної ідентифікації, визначених законом.
Стаття 11. Суб’єкти відносин у сфері електронних довірчих послуг
1. Суб’єктами відносин у сфері електронних довірчих послуг є:
користувачі електронних довірчих послуг;
надавачі електронних довірчих послуг;
органи з оцінки відповідності;
засвідчувальний центр;
центральний засвідчувальний орган;
контролюючий орган.
Стаття 12. Права та обов’язки користувачів електронних довірчих послуг
1. Користувачі електронних довірчих послуг мають право на:
отримання електронних довірчих послуг;
вільний вибір надавача електронних довірчих послуг;
оскарження у судовому порядку дій чи бездіяльності надавачів електронних довірчих послуг та органів, що здійснюють державне регулювання у сфері електронних довірчих послуг;
відшкодування завданої їм шкоди та захист своїх прав і законних інтересів;
звернення із заявою про скасування, блокування та поновлення свого сертифіката відкритого ключа.
2. Користувачі електронних довірчих послуг зобов’язані:
забезпечувати конфіденційність та неможливість доступу інших осіб до особистого ключа;
невідкладно повідомляти надавача електронних довірчих послуг про підозру або факт компрометації особистого ключа;
надавати достовірну інформацію, необхідну для отримання електронних довірчих послуг;
своєчасно здійснювати оплату за електронні довірчі послуги, якщо така оплата передбачена договором між надавачем та користувачем електронних довірчих послуг;
своєчасно надавати надавачу електронних довірчих послуг інформацію про зміну ідентифікаційних даних, які містить сертифікат відкритого ключа;
не використовувати особистий ключ у разі його компрометації, а також у разі скасування або блокування сертифіката відкритого ключа.
3. Захист прав користувачів електронних довірчих послуг, а також механізм реалізації захисту цих прав регулюються цим Законом та Законом України "Про захист прав споживачів".
Стаття 13. Права та обов’язки кваліфікованих надавачів електронних довірчих послуг
1. Кваліфіковані надавачі електронних довірчих послуг мають право:
надавати електронні довірчі послуги з дотриманням вимог цього Закону;
отримувати документи, необхідні для ідентифікації особи, ідентифікаційні дані якої міститимуться у сертифікаті відкритого ключа;
отримувати консультації від центрального засвідчувального органу або засвідчувального центру з питань, пов’язаних з наданням електронних довірчих послуг;
звертатися до органів з оцінки відповідності для отримання документів про відповідність;
звертатися із заявою про скасування, блокування або поновлення сформованих у центральному засвідчувальному органі або засвідчувальному центрі кваліфікованих сертифікатів відкритих ключів;
самостійно обирати, які саме стандарти будуть ними застосовуватися при наданні довірчих послуг з переліку стандартів, визначеного Кабінетом Міністрів України, крім сфери спеціального зв’язку.
2. Кваліфіковані надавачі електронних довірчих послуг зобов’язані забезпечити:
захист персональних даних користувачів електронних довірчих послуг відповідно до вимог законодавства;
функціонування програмно-технічного комплексу, що ними використовується, та захист інформації, що в ньому обробляється, відповідно до вимог законодавства;
створення та функціонування свого веб-сайту;
впровадження, підтримання в актуальному стані та публікацію на своєму веб-сайті реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів;
можливість цілодобового доступу до реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів та до інформації про статус сертифікатів відкритих ключів через електронні комунікаційні мережі;
( Абзац шостий частини другої статті 13 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
цілодобовий прийом та перевірку заяв підписувачів та створювачів електронних печаток про скасування, блокування та поновлення їхніх сертифікатів відкритих ключів;
скасування, блокування та поновлення сертифікатів відкритих ключів відповідно до вимог цього Закону;
встановлення під час формування сертифіката відкритого ключа належності відкритого ключа та відповідного йому особистого ключа підписувачу чи створювачу електронної печатки;
внесення ідентифікаційних даних підписувача чи створювача електронної печатки до відповідного сертифіката відкритого ключа;
інформування контролюючого органу про порушення конфіденційності та/або цілісності інформації, що впливають на надання електронних довірчих послуг або стосуються персональних даних користувачів електронних довірчих послуг, не пізніше 24 годин з моменту, коли їм стало відомо про таке порушення;
інформування користувачів електронних довірчих послуг про порушення конфіденційності та/або цілісності інформації, що впливають на надання їм електронних довірчих послуг або стосуються їхніх персональних даних, не пізніше двох годин з моменту, коли їм стало відомо про такі порушення;
унеможливлення використання особистого ключа у разі його компрометації;
постійне зберігання всіх виданих кваліфікованих сертифікатів відкритих ключів;
внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхування цивільно-правової відповідальності для забезпечення відшкодування шкоди, яка може бути заподіяна користувачам таких послуг чи третім особам внаслідок неналежного виконання кваліфікованим надавачем електронних довірчих послуг своїх зобов’язань, у розмірі, визначеному частиною третьою статті 16 цього Закону;
наймання працівників, які володіють необхідними для надання кваліфікованих електронних довірчих послуг знаннями, досвідом і кваліфікацією, у тому числі у сферах інформаційних технологій та захисту інформації;
використання під час надання електронних довірчих послуг виключно кваліфікованих сертифікатів, засвідчених у центральному засвідчувальному органі чи засвідчувальному центрі;
зберігання документів, поданих користувачами для отримання електронних довірчих послуг;
інформування контролюючого органу та центрального засвідчувального органу або засвідчувального центру про будь-які зміни у процедурі надання електронних довірчих послуг протягом 48 годин з моменту настання таких змін;
передачу центральному засвідчувальному органу або засвідчувальному центру документованої інформації в разі припинення діяльності з надання електронних довірчих послуг.
3. Обов’язкові вимоги до кваліфікованих надавачів електронних довірчих послуг, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
Розділ III
ЕЛЕКТРОННА ІДЕНТИФІКАЦІЯ
Стаття 14. Засоби електронної ідентифікації
1. Електронна ідентифікація здійснюється за допомогою засобів електронної ідентифікації, що підпадають під схему електронної ідентифікації, затверджену Кабінетом Міністрів України.
2. Міжнародні договори України щодо електронних довірчих послуг повинні передбачати порядок подання повідомлень та визнання схем електронної ідентифікації (із зазначенням рівня довіри для засобів електронної ідентифікації).
Стаття 15. Схеми електронної ідентифікації
1. Схема електронної ідентифікації повинна встановлювати високий, середній або низький рівні довіри до засобів електронної ідентифікації, що використовуються в них. Схема електронної ідентифікації визначається Кабінетом Міністрів України.
2. Низький, середній та високий рівні довіри до засобів електронної ідентифікації повинні відповідати таким критеріям:
низький рівень довіри до засобів електронної ідентифікації повинен характеризувати засоби електронної ідентифікації в контексті схеми електронної ідентифікації, яка забезпечує обмежений ступінь довіри до заявлених або затверджених ідентифікаційних даних і описується з посиланням на технічні специфікації, стандарти і процедури, що до неї відносяться, включаючи технічні засоби контролю, призначенням яких є зниження ризику зловживання або спростування ідентичності;
середній рівень довіри до засобів електронної ідентифікації повинен характеризувати засоби електронної ідентифікації в контексті схеми електронної ідентифікації, яка забезпечує суттєвий ступінь довіри до заявлених або затверджених ідентифікаційних даних і описується з посиланням на технічні специфікації, стандарти і процедури, що до неї відносяться, включаючи технічні засоби контролю, призначенням яких є істотне зниження ризику зловживання або спростування ідентичності;
високий рівень довіри до засобів електронної ідентифікації повинен характеризувати засоби електронної ідентифікації в контексті схеми електронної ідентифікації, яка забезпечує найвищий ступінь довіри до заявлених ідентифікаційних даних особи і описується з посиланням на технічні специфікації, стандарти і процедури, що до неї відносяться, включаючи технічні засоби контролю, призначенням яких є запобігання зловживанню повноваженнями або підміні особи.
3. Використання кваліфікованих електронних підписів та печаток забезпечує високий рівень довіри до схем електронної ідентифікації.
Використання удосконалених електронних підписів та печаток забезпечує середній рівень довіри до схем електронної ідентифікації.
Розділ IV
ЕЛЕКТРОННІ ДОВІРЧІ ПОСЛУГИ
Стаття 16. Вимоги до електронних довірчих послуг
1. Електронні довірчі послуги надаються, як правило, на договірних засадах надавачами електронних довірчих послуг.
2. До складу електронних довірчих послуг входять:
створення, перевірка та підтвердження удосконаленого електронного підпису чи печатки;
формування, перевірка та підтвердження чинності сертифіката електронного підпису чи печатки;
формування, перевірка та підтвердження чинності сертифіката автентифікації веб-сайту;
формування, перевірка та підтвердження електронної позначки часу;
реєстрована електронна доставка;
зберігання удосконалених електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з цими послугами.
Кожна послуга, що входить до складу електронних довірчих послуг, може надаватися як окремо, так і в сукупності.
3. Діяльність кваліфікованих надавачів електронних довірчих послуг здійснюється за умови внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхування цивільно-правової відповідальності для забезпечення відшкодування шкоди, яка може бути завдана користувачам таких послуг чи третім особам. Розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми не може становити менш як 1000 мінімальних розмірів заробітної плати.
4. Розподіл ризиків збитків, що можуть бути заподіяні користувачам електронних довірчих послуг та третім особам фізичними або юридичними особами, не внесеними центральним засвідчувальним органом до Довірчого списку, визначається суб’єктами правових відносин на договірних засадах.
Стаття 17. Використання електронних довірчих послуг
1. Електронна взаємодія фізичних та юридичних осіб, яка потребує відправлення, отримання, використання та постійного зберігання за участю третіх осіб електронних даних, аналоги яких на паперових носіях не повинні містити власноручний підпис відповідно до законодавства, а також автентифікація в інформаційних системах, в яких здійснюється обробка таких електронних даних, можуть здійснюватися з використанням електронних довірчих послуг або без отримання таких послуг, за умови попередньої домовленості між учасниками взаємодії щодо порядку електронної ідентифікації учасників таких правових відносин.
2. Електронна взаємодія фізичних та юридичних осіб, яка потребує відправлення, отримання, використання та постійного зберігання за участю третіх осіб електронних даних, аналоги яких на паперових носіях повинні містити власноручний підпис відповідно до законодавства, а також автентифікація в складових частинах інформаційних систем, в яких здійснюється обробка таких електронних даних та володільцями інформації в яких є органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, повинні здійснюватися з використанням кваліфікованих електронних довірчих послуг.
Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, державні реєстратори, нотаріуси та інші суб’єкти, уповноважені державою на здійснення функцій державного реєстратора, для засвідчення чинності відкритого ключа використовують лише кваліфікований сертифікат відкритого ключа, а для реалізації повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов’язків фізичної або юридичної особи відповідно до закону, застосовують виключно засоби кваліфікованого електронного підпису чи печатки, які мають вбудовані апаратно-програмні засоби, що забезпечують захист записаних на них даних від несанкціонованого доступу, від безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання.
4. Нотаріальні дії з використанням кваліфікованого електронного підпису чи печатки або інших засобів електронної ідентифікації вчиняються в порядку, визначеному головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері нотаріату.
5. Здійснення правосуддя з використанням кваліфікованого електронного підпису чи печатки або інших засобів електронної ідентифікації вчиняється в порядку, встановленому законом.
6. Використання електронних довірчих послуг не змінює порядку вчинення правочинів, встановленого законом.
Правочини, що підлягають нотаріальному посвідченню та/або державній реєстрації у випадках, встановлених законом, вчиняються в електронній формі виключно із застосуванням кваліфікованих електронних довірчих послуг та у встановленому порядку.
7. Результати надання кваліфікованих електронних довірчих послуг повинні визнаватися в усіх державних установах та іншими користувачами цих послуг.
Стаття 18. Кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки
1. Кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки надається кваліфікованим постачальником електронних довірчих послуг та включає:
надання користувачам електронних довірчих послуг засобів кваліфікованого електронного підпису чи печатки для генерації пар ключів та/або створення кваліфікованих електронних підписів чи печаток, та/або перевірки кваліфікованих електронних підписів чи печаток, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки;
технічну підтримку та обслуговування наданих засобів кваліфікованого електронного підпису чи печатки.
2. Кваліфікований електронний підпис чи печатка вважається таким, що пройшов перевірку та отримав підтвердження, якщо:
перевірку кваліфікованого електронного підпису чи печатки проведено засобом кваліфікованого електронного підпису чи печатки;
перевіркою встановлено, що відповідно до вимог цього Закону на момент створення кваліфікованого електронного підпису чи печатки був чинним кваліфікований сертифікат електронного підпису чи печатки підписувача чи створювача електронної печатки;
за допомогою кваліфікованого сертифіката електронного підпису чи печатки здійснено ідентифікацію підписувача чи створювача електронної печатки;
під час перевірки за допомогою кваліфікованого сертифіката електронного підпису чи печатки отримано підтвердження того, що особистий ключ, який належить підписувачу чи створювачу електронної печатки, зберігається в засобі кваліфікованого електронного підпису чи печатки;
під час перевірки підтверджено цілісність електронних даних в електронній формі, з якими пов’язаний цей кваліфікований електронний підпис чи печатка.