5. Керівник надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру повинен вжити заходів до усунення недоліків та порушень, зазначених у приписі про усунення порушень, протягом визначеного у приписі строку.
6. Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг, центральний засвідчувальний орган або засвідчувальний центр зобов’язаний у визначений у приписі про усунення порушень строк письмово подати до контролюючого органу інформацію про усунення порушень разом з підтвердними документами.
( Закон доповнено статтею 34-8 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34-9. Рішення про блокування, скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, зміну статусу послуги кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру
1. Рішення про блокування, скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг приймається контролюючим органом та має містити:
1) найменування контролюючого органу;
2) дату прийняття та порядковий номер;
3) посадовий та персональний склад комісії з перевірки;
4) найменування (прізвище, ім’я, по батькові (за наявності) кваліфікованого надавача електронних довірчих послуг;
5) місцезнаходження кваліфікованого надавача електронних довірчих послуг;
6) прізвище, ім’я та по батькові (за наявності) керівника кваліфікованого надавача електронних довірчих послуг;
7) обставини, за яких виявлені порушення (вид, строк перевірки, номер та дата акта перевірки або посилання на інше джерело інформації);
8) обґрунтовані підстави для прийняття рішення про блокування кваліфікованого сертифіката відкритого ключа надавача електронних довірчих послуг;
9) вимогу щодо блокування кваліфікованого сертифіката відкритого ключа надавача електронних довірчих послуг;
10) підпис керівника контролюючого органу або його заступника відповідно до розподілу функціональних обов’язків.
2. Рішення про зміну статусу послуги кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру приймається контролюючим органом та має містити:
1) найменування контролюючого органу;
2) дату прийняття та порядковий номер;
3) посадовий та персональний склад комісії з перевірки;
4) найменування (прізвище, ім’я, по батькові (за наявності) кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
5) місцезнаходження кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
6) прізвище, ім’я та по батькові (за наявності) керівника кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
7) обставини, за яких виявлені порушення (вид, строк перевірки, номер та дата акта перевірки або посилання на інше джерело інформації);
8) обґрунтовані підстави для прийняття рішення про зміну статусу послуги кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
9) підпис керівника контролюючого органу або його заступника відповідно до розподілу функціональних обов’язків.
3. Центральний засвідчувальний орган або засвідчувальний центр на підставі рішення контролюючого органу про блокування чи скасування зобов’язаний змінити статус кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг на заблокований або скасований відповідно.
4. Подання про зміну статусу послуги кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру у Довірчому списку готується контролюючим органом та в день його підписання керівником контролюючого органу або його заступником відповідно до розподілу функціональних обов’язків надсилається до центрального засвідчувального органу.
5. Подання про зміну статусу послуги кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру у Довірчому списку має містити:
1) найменування контролюючого органу;
2) найменування (прізвище, ім’я, по батькові (за наявності) кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
3) місцезнаходження або місце проживання (місце реєстрації) кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
4) прізвище, ім’я та по батькові (за наявності) керівника кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
5) обставини, за яких виявлені порушення (вид, строк перевірки, номер та дата акта перевірки або посилання на інше джерело інформації);
6) обґрунтовані підстави для прийняття рішення про зміну статусу послуги кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру у Довірчому списку;
7) найменування послуги та вимогу щодо зміни статусу послуги кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру у Довірчому списку;
8) дату підписання;
9) підпис керівника контролюючого органу або його заступника відповідно до розподілу функціональних обов’язків.
( Закон доповнено статтею 34-9 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34-10. Припинення та скасування використання схеми електронної ідентифікації
1. У разі компрометації схеми електронної ідентифікації, її складових та/або порушення процедур, визначених у рамках схеми електронної ідентифікації, що впливає на достовірність автентифікації або становить загрозу порушення цілісності ідентифікаційних даних користувачів, контролюючий орган приймає рішення та вносить до центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, подання про припинення використання такої схеми електронної ідентифікації.
Рішення про припинення використання схеми електронної ідентифікації приймається контролюючим органом та має містити:
1) найменування контролюючого органу;
2) дату прийняття та порядковий номер;
3) посадовий та персональний склад комісії з перевірки;
4) найменування (прізвище, ім’я, по батькові (за наявності) надавача послуг електронної ідентифікації;
5) місцезнаходження надавача послуг електронної ідентифікації;
6) прізвище, ім’я, по батькові (за наявності) керівника надавача послуг електронної ідентифікації;
7) обставини, за яких виявлені порушення (вид, строк перевірки, номер та дата акта перевірки або посилання на інше джерело інформації);
8) обґрунтовані підстави для прийняття рішення про припинення використання схеми електронної ідентифікації;
9) вимогу щодо припинення використання схеми електронної ідентифікації;
10) підпис керівника контролюючого органу або його заступника відповідно до розподілу функціональних обов’язків.
2. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, на підставі рішення контролюючого органу про припинення використання схеми електронної ідентифікації зобов’язаний припинити використання схеми електронної ідентифікації.
3. Подання про припинення використання схеми електронної ідентифікації готується контролюючим органом та в день його підписання керівником контролюючого органу або його заступником відповідно до розподілу функціональних обов’язків надсилається до центрального засвідчувального органу.
4. Подання про припинення використання схеми електронної ідентифікації має містити:
1) найменування контролюючого органу;
2) найменування (прізвище, ім’я, по батькові (за наявності) надавача послуг електронної ідентифікації;
3) місцезнаходження або місце проживання (місце реєстрації) надавача послуг електронної ідентифікації;
4) прізвище, ім’я, по батькові (за наявності) керівника надавача послуг електронної ідентифікації;
5) обставини, за яких виявлені порушення (вид, строк перевірки, номер та дата акта перевірки або посилання на інше джерело інформації);
6) обґрунтовані підстави для прийняття рішення про припинення використання схеми електронної ідентифікації;
7) найменування схеми електронної ідентифікації;
8) дату підписання;
9) підпис керівника контролюючого органу або його заступника відповідно до розподілу функціональних обов’язків.
5. Якщо порушення або компрометацію, зазначені в частині першій цієї статті, усунуто, контролюючий орган вносить до центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, подання про поновлення використання відповідної схеми електронної ідентифікації.
6. Якщо протягом трьох місяців після внесення подання про припинення схеми електронної ідентифікації контролюючий орган не вніс подання про поновлення її використання, центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, скасовує використання схеми електронної ідентифікації.
( Закон доповнено статтею 34-10 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 35. Довірчий список
1. Центральний засвідчувальний орган впроваджує, підтримує в актуальному стані та публікує на своєму офіційному веб-сайті Довірчий список, в якому міститься інформація про кваліфікованих надавачів електронних довірчих послуг разом з інформацією про кваліфіковані електронні довірчі послуги, які вони надають.
Довірчий список повинен впроваджуватися, підтримуватися в актуальному стані та публікуватися в безпечному режимі з обов’язковим додаванням електронної печатки центрального засвідчувального органу у формі, придатній для автоматизованої обробки.
( Абзац другий частини першої статті 35 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
Інформація, що міститься у Довірчому списку, є відкритою.
2. Вимоги до Довірчого списку встановлюються Кабінетом Міністрів України.
( Частина друга статті 35 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
3. Порядок ведення Довірчого списку затверджується центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
( Частина третя статті 35 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 36. Відповідальність за порушення законодавства у сферах електронної ідентифікації та електронних довірчих послуг
1. Особи, винні в порушенні вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг, несуть відповідальність згідно із законом.
2. Шкода, завдана користувачу послуг електронної ідентифікації надавачем послуг електронної ідентифікації, що реалізує схему (схеми) електронної ідентифікації, центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, чи контролюючим органом, відшкодовується в повному обсязі у встановленому законом порядку.
Шкода, завдана користувачу електронних довірчих послуг надавачем електронних довірчих послуг, засвідчувальним центром, центральним засвідчувальним органом чи контролюючим органом, відшкодовується в повному обсязі у встановленому законом порядку.
( Зміни до частини другої статті 36, прийняті Законом № 1909-IX від 18.11.2021, внести неможливо (відсутні слова) )
3. Надавач електронних довірчих послуг, засвідчувальний центр чи центральний засвідчувальний орган несе відповідальність за шкоду, завдану з його вини (умислу або необережності) фізичній чи юридичній особі внаслідок невиконання чи неналежного виконання ним обов’язків, установлених цим Законом.
Обов’язок доведення вини (умислу або необережності) некваліфікованого надавача електронних довірчих послуг у завданні шкоди внаслідок невиконання чи неналежного виконання ним обов’язків, установлених цим Законом, покладається на фізичну чи юридичну особу, яка вимагає відшкодування завданої їй шкоди.
Кваліфікований надавач електронних довірчих послуг, засвідчувальний центр чи центральний засвідчувальний орган вважається винним у завданні фізичній чи юридичній особі шкоди внаслідок невиконання чи неналежного виконання ним обов’язків, установлених цим Законом, якщо він не доведе, що шкоду завдано не з його вини (умислу чи необережності).
У разі якщо надавач електронних довірчих послуг, засвідчувальний центр або центральний засвідчувальний орган належним чином заздалегідь повідомить користувачів електронних довірчих послуг про обмеження щодо використання електронних довірчих послуг, які він надає, за умови що такі обмеження є зрозумілими для користувачів, він не несе відповідальності за шкоду, завдану внаслідок використання електронних довірчих послуг з порушенням зазначених обмежень.
4. Особи, винні в порушеннях конфіденційності та/або цілісності інформації, що впливають на надання електронних довірчих послуг чи послуг електронної ідентифікації або стосуються персональних даних користувачів електронних довірчих послуг чи послуг електронної ідентифікації, несуть відповідальність відповідно до Закону України "Про захист персональних даних".
5. Спори, що виникають у сферах електронної ідентифікації та електронних довірчих послуг, вирішуються в порядку, встановленому законом.
( Стаття 36 в редакції Закону № 2801-IX від 01.12.2022 )
Розділ VI
МІЖНАРОДНЕ СПІВРОБІТНИЦТВО
Стаття 37. Участь у міжнародному співробітництві у сферах електронної ідентифікації та електронних довірчих послуг
1. Україна бере участь у міжнародному співробітництві у сферах електронної ідентифікації та електронних довірчих послуг, зокрема на основі міжнародних договорів України.
2. Участь України у міжнародному співробітництві у сферах електронної ідентифікації та електронних довірчих послуг здійснюється в порядку, встановленому законом.
3. Контролюючий орган на підставах і в порядку, встановлених законами та міжнародними договорами України, у межах своїх повноважень співпрацює з уповноваженими органами іноземних держав, надає їм допомогу та звертається до них за отриманням допомоги з питань нагляду і контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг.
( Статтю 37 доповнено новою частиною згідно із Законом № 2801-IX від 01.12.2022 )
4. Якщо міжнародним договором України, згода на обов’язковість якого надана Верховною Радою України, встановлено інші правила, ніж передбачені цим Законом, застосовуються правила міжнародного договору України.
( Частина четверта статті 37 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 37-1. Визнання іноземних схем та засобів електронної ідентифікації
1. Схеми електронної ідентифікації, що застосовуються в інших державах, та/або засоби електронної ідентифікації, що видаються в рамках таких схем електронної ідентифікації, визнаються в Україні згідно з міжнародними договорами України про взаємне визнання схем та/або засобів електронної ідентифікації, згода на обов’язковість яких надана Верховною Радою України.
( Закон доповнено статтею 37-1 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 38. Визнання іноземних електронних довірчих послуг
1. Електронні довірчі послуги, що надаються відповідно до вимог нормативно-правових актів, що регулюють відносини у сфері електронних довірчих послуг в іноземних державах, визнаються в Україні електронними довірчими послугами того самого виду, за умови що кваліфікований надавач електронних довірчих послуг іноземної держави відповідає вимогам цього Закону, що підтверджується центральним засвідчувальним органом (або засвідчувальним центром - у разі надання електронних довірчих послуг у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг).
( Частина перша статті 38 в редакції Законів № 1591-IX від 30.06.2021 - вводиться в дію з 01.08.2022, № 2801-IX від 01.12.2022 )
2. Електронні довірчі послуги не можуть визнаватися недійсними лише через те, що вони надані відповідно до вимог нормативно-правових актів, що регулюють відносини у сфері електронних довірчих послуг в іноземних державах.
3. Порядок визнання іноземних сертифікатів відкритих ключів, електронних підписів, а також використання інформаційно-комунікаційної системи центрального засвідчувального органу для забезпечення визнання в Україні електронних довірчих послуг, іноземних сертифікатів відкритих ключів, що використовуються під час надання юридично значущих електронних послуг у процесі взаємодії між суб’єктами різних держав, встановлюється Кабінетом Міністрів України.
( Частина третя статті 38 із змінами, внесеними згідно із Законами № 1089-IX від 16.12.2020, № 2801-IX від 01.12.2022 )
Розділ VII
ПРИКІНЦЕВІ ТА ПЕРЕХІДНІ ПОЛОЖЕННЯ
1. Цей Закон набирає чинності через рік з дня його опублікування, крім статті 10, яка набирає чинності з дня опублікування цього Закону.
2. Визнати таким, що втратив чинність, Закон України "Про електронний цифровий підпис"(Відомості Верховної Ради України, 2003 р., № 36, ст. 276; 2009 р., № 24, ст. 296; 2013 р., № 37, ст. 488; 2015 р., № 23, ст. 158; 2016 р., № 47, ст. 800).
3. Внести зміни до таких законів України:
1) у статті 7 Закону України "Про Національний банк України" (Відомості Верховної Ради України, 1999 р., № 29, ст. 238 із наступними змінами):
пункт 26 викласти в такій редакції:
"26) створює засвідчувальний центр для забезпечення внесення відомостей про юридичних осіб, фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги у банківській системі України та при здійсненні переказу коштів, до Довірчого списку згідно з вимогами Закону України "Про електронні довірчі послуги";
доповнити пунктом 26-1 такого змісту:
"26-1) здійснює державне регулювання з питань електронної ідентифікації у банківській системі України, для чого встановлює:
вимоги, яким повинні відповідати кваліфіковані надавачі електронних довірчих послуг, що надають кваліфіковані електронні довірчі послуги у банківській системі України та при здійсненні переказу коштів, у тому числі вимоги до їх програмно-технічних комплексів;
порядок надання та використання електронних довірчих послуг у банківській системі України та при здійсненні переказу коштів;
порядок надання послуги постачання передачі сигналів точного часу засвідчувальним центром кваліфікованим надавачам електронних довірчих послуг у банківській системі України та при здійсненні переказу коштів";
2) у Законі України "Про електронні документи та електронний документообіг" (Відомості Верховної Ради України, 2003 р., № 36, ст. 275; 2014 р., № 24, ст. 885; 2015 р., № 45, ст. 410):
а) частину третю статті 6 викласти в такій редакції:
"Відносини, пов’язані з використанням удосконалених та кваліфікованих електронних підписів, регулюються Законом України "Про електронні довірчі послуги";
б) частину першу статті 7 викласти в такій редакції:
"Оригіналом електронного документа вважається електронний примірник документа з обов’язковими реквізитами, у тому числі з електронним підписом автора або підписом, прирівняним до власноручного підпису відповідно до Закону України "Про електронні довірчі послуги";
в) у статті 12 слова "може проводитися" замінити словом "проводиться";
3) у Законі України "Про Державну службу спеціального зв’язку та захисту інформації України"(Відомості Верховної Ради України, 2014 р., № 25, ст. 890, № 29, ст. 946):
а) абзац третій статті 3 викласти в такій редакції:
"участь у формуванні та реалізації державної політики у сферах електронного документообігу (в частині захисту інформації державних органів та органів місцевого самоврядування), електронної ідентифікації (з використанням електронних довірчих послуг), електронних довірчих послуг (у частині встановлення вимог з безпеки та захисту інформації під час надання та використання електронних довірчих послуг, контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг)";
б) у частині першій статті 14:
пункт 2 викласти в такій редакції:
"2) участь у формуванні та реалізації державної політики у сферах електронного документообігу (в частині захисту інформації державних органів та органів місцевого самоврядування), електронної ідентифікації (з використанням електронних довірчих послуг), електронних довірчих послуг (у частині встановлення вимог з безпеки та захисту інформації під час надання та використання електронних довірчих послуг, контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг)";
абзац третій пункту 29 викласти в такій редакції:
"дотриманням вимог законодавства у сфері електронних довірчих послуг";
пункти 37 і 43 викласти в такій редакції:
"37) встановлення вимог з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації";
"43) погодження проектів (завдань) створення та розвитку інформаційно-комунікаційних систем, систем спеціального зв’язку, систем електронного документообігу (в частині захисту інформації), у яких оброблятимуться державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом, програмно-технічних комплексів надавачів електронних довірчих послуг, засвідчувального центру та центрального засвідчувального органу (в частині захисту інформації), організація проведення їх експертної оцінки";
в) у частині першій статті 15:
абзац четвертий пункту 5 викласти в такій редакції:
"кваліфікованих надавачів електронних довірчих послуг, їхніх відокремлених пунктів реєстрації, засвідчувального центру, центрального засвідчувального органу щодо дотримання вимог законодавства у сфері електронних довірчих послуг";
пункт 19 викласти в такій редакції:
"19) звертатися до суду в разі виникнення спорів з питань організації спеціального зв’язку та захисту інформації, криптографічного та технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, спорів у сфері електронних довірчих послуг, а також у разі виникнення інших спорів у порядку, встановленому законом".
( Пункт 3 розділу "Прикінцеві та перехідні положення" із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
4. Акредитовані центри сертифікації ключів, утворені відповідно до Закону України "Про електронний цифровий підпис", які мають намір надавати кваліфіковані електронні довірчі послуги, автоматично вносяться центральним засвідчувальним органом до Довірчого списку як кваліфіковані надавачі електронних довірчих послуг протягом року з дня набрання чинності цим Законом.
5. Електронний цифровий підпис та посилений сертифікат відкритого ключа, що його підтверджує, видані відповідно до вимог Закону України "Про електронний цифровий підпис" до набрання чинності цим Законом, використовуються користувачами електронних довірчих послуг, кваліфікованими надавачами електронних довірчих послуг, які продовжують їх обслуговувати, відповідно як кваліфікований електронний підпис та кваліфікований сертифікат електронного підпису до закінчення строку дії посиленого сертифіката відкритого ключа, але не пізніше двох років з дня набрання чинності цим Законом.
6. Електронні дані з накладеним електронним цифровим підписом, який підтверджено з використанням посиленого сертифіката відкритого ключа, визнаються після набрання чинності Законом України "Про електронні довірчі послуги" електронними даними із створеним кваліфікованим електронним підписом, але не пізніше двох років з дня набрання чинності цим Законом.
6-1. Тимчасово, до взаємного визнання між Україною та Європейським Союзом електронних довірчих послуг, як виняток з положень частини першої статті 38 цього Закону, визнати в Україні:
1) результати надання кваліфікованих електронних довірчих послуг, що надаються кваліфікованими надавачами електронних довірчих послуг, відомості про яких та про кваліфіковані електронні довірчі послуги, які вони надають, внесені до Довірчого списку держави - члена Європейського Союзу або держави - члена Європейської асоціації вільної торгівлі (далі - європейські кваліфіковані надавачі);
2) статус європейських кваліфікованих надавачів, що прирівнюється до статусу кваліфікованих надавачів електронних довірчих послуг згідно із цим Законом;
3) статус засобів кваліфікованого електронного підпису чи печатки, що використовуються європейськими кваліфікованими надавачами при наданні електронних довірчих послуг та внесені до списку сертифікованих засобів для створення кваліфікованого електронного підпису, який веде Європейська комісія відповідно до статті 31 Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС, що прирівнюється до статусу засобів кваліфікованого електронного підпису чи печатки відповідно до цього Закону;
4) перелік довірчих списків держав - членів Європейського Союзу, інформацію про які публікує Європейська Комісія відповідно до частини четвертої статті 22 Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС.
( Розділ VII "Прикінцеві та перехідні положення" доповнено пунктом 6-1 згідно із Законом № 2801-IX від 01.12.2022 )
7. До приведення законодавства у відповідність із цим Законом закони України та інші нормативно-правові акти застосовуються в частині, що не суперечить цьому Закону.
8. Кабінету Міністрів України протягом року з дня набрання чинності цим Законом:
привести свої нормативно-правові акти у відповідність із цим Законом;
прийняти нормативно-правові акти, передбачені цим Законом;
забезпечити приведення нормативно-правових актів міністерств та інших центральних органів виконавчої влади у відповідність із цим Законом.
Президент України | П.ПОРОШЕНКО |
м. Київ 5 жовтня 2017 року № 2155-VIII | |