вжиття відповідних організаційних і технічних заходів з управління ризиками, пов’язаними з безпекою послуг електронної ідентифікації;
інформування контролюючого органу та, в разі необхідності, органу з питань захисту персональних даних про порушення конфіденційності та/або цілісності інформації, що впливають на надання послуг електронної ідентифікації або стосуються персональних даних користувачів послуг електронної ідентифікації, без необґрунтованої затримки, не пізніше 24 годин з моменту, коли їм стало відомо про таке порушення;
інформування користувачів послуг електронної ідентифікації про порушення конфіденційності та/або цілісності інформації, що впливають на надання їм послуг електронної ідентифікації або стосуються їхніх персональних даних, без необґрунтованої затримки, не пізніше двох годин з моменту, коли їм стало відомо про таке порушення;
неможливість використання засобу електронної ідентифікації, виданого таким надавачем послуг електронної ідентифікації, якщо йому стало відомо про компрометацію відповідного засобу електронної ідентифікації;
постійне зберігання документів та електронних даних, отриманих під час реєстрації користувачів засобів електронної ідентифікації.
4. Надавачі послуг електронної ідентифікації, що мають високий або середній рівень довіри, крім обов’язків, визначених частиною третьою цієї статті, зобов’язані також забезпечувати чітке та вичерпне повідомлення будь-якій особі, яка звернулася за отриманням послуги електронної ідентифікації, про умови використання такої послуги, в тому числі про будь-які обмеження у її використанні, до укладення договору про надання послуг електронної ідентифікації.
5. Вимоги до надавачів послуг електронної ідентифікації, їхніх відокремлених пунктів реєстрації, у тому числі вимоги щодо безпеки та захисту інформації, а також порядок перевірки їх дотримання, порядок інформування контролюючого органу та користувачів послуг електронної ідентифікації встановлюються Кабінетом Міністрів України.
( Закон доповнено статтею 11-2 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 12. Права та обов’язки користувачів електронних довірчих послуг
1. Користувачі електронних довірчих послуг мають право на:
отримання електронних довірчих послуг;
вільний вибір надавача електронних довірчих послуг;
оскарження у судовому порядку дій чи бездіяльності надавачів електронних довірчих послуг та органів, що здійснюють державне регулювання у сфері електронних довірчих послуг;
відшкодування завданої їм шкоди та захист своїх прав і законних інтересів;
звернення із заявою про скасування, блокування та поновлення свого сертифіката відкритого ключа;
вільне використання результатів отриманих електронних довірчих послуг з урахуванням обмежень, встановлених законодавством та надавачами електронних довірчих послуг.
( Частину першу статті 12 доповнено абзацом сьомим згідно із Законом № 2801-IX від 01.12.2022 )
2. Користувачі електронних довірчих послуг зобов’язані:
забезпечувати конфіденційність та неможливість доступу інших осіб до особистого ключа;
невідкладно повідомляти надавача електронних довірчих послуг про підозру або факт компрометації особистого ключа;
надавати достовірну інформацію, необхідну для отримання електронних довірчих послуг;
своєчасно здійснювати оплату за електронні довірчі послуги, якщо така оплата передбачена договором між надавачем та користувачем електронних довірчих послуг;
своєчасно надавати надавачу електронних довірчих послуг інформацію про зміну ідентифікаційних даних, які містить сертифікат відкритого ключа;
не використовувати особистий ключ у разі його компрометації, а також у разі скасування або блокування сертифіката відкритого ключа.
3. Захист прав користувачів електронних довірчих послуг, а також механізм реалізації захисту цих прав регулюються цим Законом та Законом України "Про захист прав споживачів".
Стаття 13. Права та обов’язки надавачів електронних довірчих послуг
1. Надавачі електронних довірчих послуг мають право:
надавати електронні довірчі послуги з дотриманням вимог законодавства у сфері електронних довірчих послуг;
отримувати документи та/або електронні дані, необхідні для ідентифікації особи, ідентифікаційні дані якої міститимуться у сертифікаті відкритого ключа;
проводити під час формування та видачі кваліфікованих сертифікатів відкритих ключів перевірку інформації про осіб, яким видаються такі сертифікати, з використанням відомостей інформаційних ресурсів єдиної інформаційної системи Міністерства внутрішніх справ України (відомостей, що містяться в Єдиному державному демографічному реєстрі, та відомостей щодо викрадених (втрачених) документів за зверненнями громадян), Державного реєстру фізичних осіб - платників податків, Державного реєстру актів цивільного стану громадян, єдиної інформаційної системи Міністерства внутрішніх справ України (відомостей щодо викрадених (втрачених) документів - за зверненнями громадян), Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, а також інформації з інших публічних електронних реєстрів відповідно до Закону України "Про публічні електронні реєстри", отриманих у процесі електронної взаємодії за допомогою інтегрованої системи електронної ідентифікації в порядку, визначеному Кабінетом Міністрів України;
отримувати консультації від центрального засвідчувального органу, контролюючого органу або засвідчувального центру з питань, пов’язаних з наданням електронних довірчих послуг;
звертатися до органів з оцінки відповідності для отримання документів про відповідність;
звертатися до центрального засвідчувального органу або засвідчувального центру із заявами про формування кваліфікованих сертифікатів відкритих ключів, їх скасування, блокування або поновлення.
2. Кваліфіковані надавачі електронних довірчих послуг, крім прав, визначених частиною першою цієї статті, також мають право самостійно обирати в рамках кожної послуги, які саме стандарти вони будуть застосовувати для надання кваліфікованих електронних довірчих послуг, з переліку стандартів, визначеного Кабінетом Міністрів України.
3. Якщо надання певної електронної довірчої послуги належить до встановлених законодавством обов’язків надавача електронних довірчих послуг, він не має права відмовити у наданні такої послуги з підстав, не передбачених законом.
4. Надавачі електронних довірчих послуг зобов’язані забезпечувати:
захист персональних даних користувачів електронних довірчих послуг відповідно до вимог Закону України "Про захист персональних даних";
функціонування інформаційно-комунікаційної системи та програмно-технічного комплексу, що використовуються для надання електронних довірчих послуг, та захист інформації, яка обробляється в них, відповідно до вимог законодавства у сфері електронних довірчих послуг;
створення та функціонування свого веб-сайту;
впровадження, підтримання в актуальному стані та публікацію на своєму веб-сайті відомостей з реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів;
можливість цілодобового доступу до реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів та до інформації про статус сертифікатів відкритих ключів через комунікаційні мережі загального користування;
цілодобовий прийом та перевірку заяв в електронній формі підписувачів та створювачів електронних печаток про скасування, блокування та поновлення їхніх сертифікатів відкритих ключів; прийом та перевірку заяв у паперовій формі підписувачів та створювачів електронних печаток про скасування, блокування та поновлення їхніх сертифікатів відкритих ключів протягом одного робочого дня після надходження заяви та згідно з режимом роботи надавача електронних довірчих послуг;
скасування, блокування та поновлення сертифікатів відкритих ключів відповідно до вимог цього Закону;
встановлення під час формування сертифіката відкритого ключа належності відкритого ключа та відповідного йому особистого ключа підписувачу чи створювачу електронної печатки;
внесення даних підписувача чи створювача електронної печатки до відповідного сертифіката відкритого ключа;
вжиття організаційних і технічних заходів з управління ризиками, пов’язаними з безпекою електронних довірчих послуг;
інформування контролюючого органу та, в разі необхідності, органу з питань захисту персональних даних про порушення конфіденційності та/або цілісності інформації, що впливають на надання електронних довірчих послуг або стосуються персональних даних користувачів електронних довірчих послуг, без необґрунтованої затримки, не пізніше ніж протягом 24 годин з моменту, коли їм стало відомо про таке порушення, у порядку, встановленому Кабінетом Міністрів України;
інформування користувачів електронних довірчих послуг про порушення конфіденційності та/або цілісності інформації, що впливають на надання їм електронних довірчих послуг або стосуються їхніх персональних даних, без необґрунтованої затримки, але не пізніше двох годин з моменту, коли їм стало відомо про таке порушення, у порядку, встановленому Кабінетом Міністрів України;
унеможливлення використання особистого ключа підписувача або створювача електронної печатки, якщо стало відомо про компрометацію такого особистого ключа та якщо особистий ключ підписувача або створювача електронної печатки зберігається у такого надавача електронних довірчих послуг у межах надання послуги створення, перевірки та підтвердження електронного підпису чи електронної печатки;
постійне зберігання всіх виданих сертифікатів відкритих ключів;
постійне зберігання всіх виданих сертифікатів відкритих ключів;
постійне зберігання документів та електронних даних, отриманих у зв’язку з наданням електронних довірчих послуг. Перелік зазначених документів встановлюється Кабінетом Міністрів України.
5. Кваліфіковані надавачі електронних довірчих послуг, крім обов’язків, визначених частиною четвертою цією статті, зобов’язані також забезпечувати:
внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів, або рахунок у Національному банку України - для банків - кваліфікованих надавачів електронних довірчих послуг, кваліфікованого надавача електронних довірчих послуг, створеного Національним банком України) для забезпечення відшкодування шкоди, яка може бути завдана користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання кваліфікованим надавачем електронних довірчих послуг своїх зобов’язань, або страхування відповідальності для забезпечення відшкодування такої шкоди у розмірі, визначеному частиною п’ятою статті 16 цього Закону;
відновлення розміру внеску на поточному рахунку із спеціальним режимом використання у банку (на рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або на рахунку у Національному банку України - для банків - кваліфікованих надавачів електронних довірчих послуг, кваліфікованого надавача електронних довірчих послуг, створеного Національним банком України, або розміру страхової суми, що встановлені частиною п’ятою статті 16 цього Закону, протягом трьох місяців у разі зміни розміру мінімальної заробітної плати або в разі відшкодування збитків, завданих користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання своїх зобов’язань;
використання під час надання кваліфікованих електронних довірчих послуг виключно кваліфікованих сертифікатів відкритих ключів, сформованих центральним засвідчувальним органом чи засвідчувальним центром;
наймання працівників та, за потреби, виконання робіт субпідрядними організаціями, які володіють необхідними для надання електронних довірчих послуг знаннями, досвідом і кваліфікацією, та застосування адміністративних і управлінських процедур, які відповідають національним або міжнародним стандартам;
чітке та вичерпне повідомлення будь-якій особі, яка звернулася за отриманням електронної довірчої послуги, про умови використання такої послуги, у тому числі про будь-які обмеження її використання, перед укладенням договору про надання електронних довірчих послуг;
інформування контролюючого органу та центрального засвідчувального органу або засвідчувального центру про намір припинити свою діяльність та про зміни у наданні кваліфікованих електронних довірчих послуг протягом 48 годин з моменту настання таких змін;
передачу центральному засвідчувальному органу, засвідчувальному центру або іншому кваліфікованому надавачу електронних довірчих послуг документованої інформації в разі припинення діяльності з надання кваліфікованих електронних довірчих послуг;
приєднання до програмного інтерфейсу інформаційно-комунікаційної системи центрального засвідчувального органу з метою забезпечення інтероперабельності, дослідження поточного стану, перспектив розвитку сфери електронних довірчих послуг та виконання інших повноважень, визначених статтями 7 та 7-1 цього Закону, у разі набуття таким надавачем електронних довірчих послуг статусу кваліфікованого на підставі рішення центрального засвідчувального органу.
6. Вимоги до надавачів електронних довірчих послуг (у тому числі вимоги з безпеки та захисту інформації та вимоги до працівників надавача електронних довірчих послуг) та їхніх відокремлених пунктів реєстрації, порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
Вимоги до надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації (у тому числі вимоги з безпеки та захисту інформації та вимоги до працівників надавача електронних довірчих послуг), які надають кваліфіковані електронні довірчі послуги у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг встановлюються Національним банком України.
Надавачі електронних довірчих послуг, які надають електронні довірчі послуги у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, а також при наданні платіжних послуг, зобов’язані виконувати вимоги, встановлені Кабінетом Міністрів України та Національним банком України.
7. Перелік змін у наданні кваліфікованих електронних довірчих послуг, про які кваліфіковані надавачі зобов’язані поінформувати контролюючий орган та центральний засвідчувальний орган або засвідчувальний центр, встановлюються Кабінетом Міністрів України.
( Стаття 13 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020; в редакції Закону № 2801-IX від 01.12.2022 )
Розділ III
ЕЛЕКТРОННА ІДЕНТИФІКАЦІЯ
Стаття 14. Електронна ідентифікація
1. Електронна ідентифікація здійснюється з використанням засобів електронної ідентифікації та процедури автентифікації відповідно до схем електронної ідентифікації.
2. Відповідність засобів електронної ідентифікації (крім засобів, визначених абзацом першим частини третьої статті 15 цього Закону) низькому, середньому або високому рівню довіри визначається за результатами проведення процедур оцінки відповідності з урахуванням частини четвертої статті 15 цього Закону, а також відповідно до вимог Закону України "Про технічні регламенти та оцінку відповідності".
3. Власники (держателі) інформаційних та інформаційно-комунікаційних систем, з використанням систем яких надаються електронні довірчі послуги, здійснюються відправлення і отримання електронних даних та володільцями інформації в яких є органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права, за результатами оцінки ризиків і наслідків неправомірного використання чи підміни ідентифікаційних даних користувачів послуг електронної ідентифікації використовують для здійснення автентифікації в зазначених системах засоби електронної ідентифікації з середнім або високим рівнем довіри. Власники (держателі) інформаційних та інформаційно-комунікаційних систем, з використанням систем яких надаються електронні довірчі послуги, здійснюються відправлення і отримання електронних даних та володільцями інформації в яких є органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права, при виборі засобів електронної ідентифікації з середнім або високим рівнем довіри здійснюють оцінку ризиків і наслідків неправомірного використання чи підміни ідентифікаційних даних користувачів послуг електронної ідентифікації у порядку, встановленому Кабінетом Міністрів України.
4. Власники (держателі) інформаційних та інформаційно-комунікаційних систем, за допомогою яких надаються електронні послуги, здійснюються відправлення і отримання електронних даних та володільцями інформації в яких є органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права, що забезпечують здійснення автентифікації в зазначених системах, зобов’язані:
забезпечувати захист інформації в інформаційній чи інформаційно-комунікаційній системі відповідно до вимог законодавства;
здійснювати заходи з оцінки ризиків відповідно до законодавства;
інформувати контролюючий орган про надання електронних послуг з використанням засобів електронної ідентифікації у порядку, визначеному Кабінетом Міністрів України;
інформувати контролюючий орган про встановлення факту несанкціонованого доступу до інформації під час надання електронних послуг з використанням засобів електронної ідентифікації без необґрунтованої затримки, не пізніше ніж протягом 24 годин з моменту, коли їм стало відомо про таке порушення.
( Стаття 14 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 15. Рівні довіри до засобів та схем електронної ідентифікації
1. Схеми електронної ідентифікації повинні забезпечувати низький, середній та/або високий рівні довіри до засобів електронної ідентифікації, що видаються в рамках відповідних схем електронної ідентифікації.
2. Низький, середній та високий рівні довіри до засобів електронної ідентифікації повинні відповідати таким критеріям:
низький рівень довіри до засобів електронної ідентифікації стосується засобу електронної ідентифікації в контексті схеми електронної ідентифікації, який забезпечує обмежений ступінь довіри до заявлених або стверджуваних ідентифікаційних даних особи та описується з посиланням на пов’язані з ним технічні специфікації, стандарти і процедури, включаючи технічні засоби контролю, призначенням яких є зниження ризику неправомірного використання чи підміни ідентифікаційних даних;
середній рівень довіри до засобів електронної ідентифікації стосується засобу електронної ідентифікації в контексті схеми електронної ідентифікації, який забезпечує суттєвий ступінь довіри до заявлених або стверджуваних ідентифікаційних даних особи та описується з посиланням на пов’язані з ним технічні специфікації, стандарти і процедури, включаючи технічні засоби контролю, призначенням яких є істотне зниження ризику неправомірного використання чи підміни ідентифікаційних даних;
високий рівень довіри до засобів електронної ідентифікації стосується засобу електронної ідентифікації в контексті схеми електронної ідентифікації, який забезпечує вищий ступінь довіри до заявлених або стверджуваних ідентифікаційних даних особи, ніж засіб електронної ідентифікації з середнім рівнем довіри, та описується з посиланням на пов’язані з ним технічні специфікації, стандарти і процедури, включаючи технічні засоби контролю, призначенням яких є запобігання неправомірному використанню чи підміні ідентифікаційних даних.
3. Використання кваліфікованих електронних підписів та печаток забезпечує високий рівень довіри до засобів електронної ідентифікації, з використанням яких створюються такі електронні підписи та печатки, а також до схем електронної ідентифікації, в рамках яких видаються відповідні засоби електронної ідентифікації.
Використання удосконалених електронних підписів та печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, забезпечує середній рівень довіри до засобів електронної ідентифікації, з використанням яких створюються такі електронні підписи та печатки, а також до схем електронної ідентифікації, в рамках яких видаються відповідні засоби електронної ідентифікації.
4. Технічний регламент щодо вимог до засобів електронної ідентифікації в контексті схеми електронної ідентифікації та процедури, що застосовуються для визначення рівня довіри до засобів електронної ідентифікації, затверджуються Кабінетом Міністрів України.
( Стаття 15 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 15-1. Гаманці з цифровою ідентифікацією
1. Гаманці з цифровою ідентифікацією повинні випускатися згідно із схемою електронної ідентифікації відповідно до вимог, встановлених Кабінетом Міністрів України.
2. Підтвердження відповідності гаманців з цифровою ідентифікацією встановленим вимогам здійснюється органом з оцінки відповідності, акредитованим відповідно до законодавства у сфері акредитації, у порядку, встановленому Кабінетом Міністрів України.
3. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, надає адміністративні послуги із включення гаманців з цифровою ідентифікацією до переліку схем електронної ідентифікації, гаманців з цифровою ідентифікацією, внесення змін до такого переліку.
4. Результати отримання та використання гаманців з цифровою ідентифікацією повинні визнаватися усіма користувачами таких послуг, іншими фізичними та юридичними особами.
5. Якщо гаманець з цифровою ідентифікацією використовується для створення кваліфікованого електронного підпису чи печатки, то він повинен відповідати вимогам до засобів кваліфікованого електронного підпису чи печатки.
( Розділ III доповнено статтею 15-1 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 15-2. Перелік схем електронної ідентифікації
1. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, безоплатно надає адміністративні послуги із включення схеми електронної ідентифікації до переліку схем електронної ідентифікації, гаманців з цифровою ідентифікацією, внесення змін до такого переліку.
Порядок ведення переліку схем електронної ідентифікації, гаманців з цифровою ідентифікацією затверджується Кабінетом Міністрів України.
Для отримання адміністративних послуг із включення схеми електронної ідентифікації до переліку схем електронної ідентифікації, внесення змін до такого переліку заявники подають документи у паперовій або електронній формі, у тому числі з використанням інтегрованої системи електронної ідентифікації.
2. Надавачі послуг електронної ідентифікації для включення схем електронної ідентифікації, які вони реалізують, до переліку схем електронної ідентифікації подають до центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, такі документи:
1) заяву про включення схеми електронної ідентифікації до переліку схем електронної ідентифікації згідно з формою, встановленою центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг;
2) документ, що дає змогу однозначно ідентифікувати фізичну особу - підприємця або представника юридичної особи, яка є надавачем послуг електронної ідентифікації (якщо документи подаються у паперовій формі);
3) опис відповідної схеми електронної ідентифікації згідно з формою, встановленою центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг;
4) документ про оцінку відповідності щодо відповідності засобів електронної ідентифікації, що видаються в рамках відповідної схеми електронної ідентифікації, низькому, середньому або високому рівню довіри;
5) відомості про відокремлені пункти реєстрації (якщо послуги електронної ідентифікації згідно з відповідною схемою електронної ідентифікації будуть надаватися через відокремлені пункти реєстрації).
Документ, визначений пунктом 4 цієї частини, не подається кваліфікованими надавачами електронних довірчих послуг. Документи, визначені пунктом 5 цієї частини, не подаються кваліфікованими надавачами електронних довірчих послуг у разі, якщо інформація в таких документах не відрізняється від інформації, що подавалася для включення відомостей про таких кваліфікованих надавачів електронних довірчих послуг до Довірчого списку.
3. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, за результатами розгляду поданих документів протягом 15 робочих днів з дня реєстрації заяви про включення схеми електронної ідентифікації до переліку схем електронної ідентифікації приймає рішення про включення схеми електронної ідентифікації до переліку схем електронної ідентифікації або надсилає заявнику вмотивовану відмову.
4. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, приймає рішення про відмову у включенні схеми електронної ідентифікації до переліку схем електронної ідентифікації у сфері електронного урядування у разі:
подання не в повному обсязі документів, передбачених частиною другою цієї статті, або порушення встановлених вимог до поданих документів;
виявлення в документах, що подаються для включення схеми електронної ідентифікації до переліку схем електронної ідентифікації, недостовірних відомостей, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
5. У разі зміни відомостей, які подавалися надавачем послуг електронної ідентифікації для включення схеми електронної ідентифікації, яку він реалізує та яка міститься в переліку схем електронної ідентифікації, до переліку схем електронної ідентифікації, надавач послуг електронної ідентифікації зобов’язаний протягом п’яти робочих днів з дня настання такої зміни подати до центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, заяву про внесення змін до переліку схем електронної ідентифікації разом з документами, що підтверджують відповідні зміни.
У разі порушення строку подання документів для внесення змін до переліку схем електронної ідентифікації надавачу послуг електронної ідентифікації забороняється надавати послуги електронної ідентифікації згідно із схемою (схемами) електронної ідентифікації, включеною (включеними) до переліку схем електронної ідентифікації, до внесення відповідних змін до цього переліку. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, протягом п’яти робочих днів з дня реєстрації заяви про внесення змін до переліку схем електронної ідентифікації зобов’язаний внести відповідні зміни до такого переліку або надати вмотивовану відмову. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, надає вмотивовану відмову у внесенні змін до переліку схем електронної ідентифікації в разі:
неподання документів, що є підставою для внесення відповідних змін до переліку схем електронної ідентифікації або порушення встановлених вимог до поданих документів;
виявлення в заяві та/або документах, що подаються для внесення змін до переліку схем електронної ідентифікації, недостовірних відомостей, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
6. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, вносить до переліку схем електронної ідентифікації інформацію про припинення функціонування схеми електронної ідентифікації у разі:
отримання заяви надавача послуг електронної ідентифікації про припинення функціонування схеми електронної ідентифікації, яку він реалізує;
отримання подання контролюючого органу про припинення функціонування схеми електронної ідентифікації за результатами перевірки дотримання вимог законодавства у сфері електронної ідентифікації;
отримання інформації або документа, що підтверджує: державну реєстрацію припинення підприємницької діяльності фізичної особи - підприємця чи припинення юридичної особи, яка є надавачем послуг електронної ідентифікації; смерть фізичної особи - підприємця, яка є надавачем послуг електронної ідентифікації;
набрання законної сили рішенням суду про припинення функціонування схеми електронної ідентифікації, оголошення фізичної особи - підприємця, яка є надавачем послуг електронної ідентифікації, померлою, визнання її безвісно відсутньою, недієздатною, обмеження її цивільної дієздатності, визнання надавача послуг електронної ідентифікації банкрутом.
Рішення про припинення функціонування схеми електронної ідентифікації приймається протягом п’яти робочих днів з дня реєстрації відповідної заяви, подання чи підтвердного документа.
7. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, зобов’язаний оприлюднити рішення про припинення функціонування схеми електронної ідентифікації не пізніше наступного робочого дня після його прийняття шляхом:
розміщення відповідної інформації на своєму офіційному веб-сайті;
надсилання надавачу послуг електронної ідентифікації повідомлення про прийняття рішення із зазначенням підстави його прийняття.
( Розділ III доповнено статтею 15-2 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 15-3. Інтегрована система електронної ідентифікації
1. Інтегрована система електронної ідентифікації - це інформаційно-комунікаційна система, призначена для технологічного забезпечення зручної, доступної та безпечної електронної ідентифікації та автентифікації її користувачів, сумісності та інтеграції схем електронної ідентифікації, їх взаємодії з інформаційними та інформаційно-комунікаційними системами органів державної влади, органів місцевого самоврядування, юридичних осіб, фізичних осіб - підприємців та осіб, які провадять незалежну професійну діяльність, забезпечення захисту інформації та персональних даних з використанням єдиних вимог, форматів, протоколів та класифікаторів, а також задоволення інших потреб, визначених законодавством.
2. Власником інтегрованої системи електронної ідентифікації є держава.
Держателем інтегрованої системи електронної ідентифікації є центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
Технічним адміністратором інтегрованої системи електронної ідентифікації є державне підприємство, що належить до сфери управління центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
3. Положення про інтегровану систему електронної ідентифікації затверджується Кабінетом Міністрів України.
4. Приєднання інформаційних та інформаційно-комунікаційних систем до інтегрованої системи електронної ідентифікації здійснюється на підставі договору, укладеного з технічним адміністратором цієї системи.
За приєднання інформаційних та інформаційно-комунікаційних систем (крім тих, які використовуються для надання послуг електронної ідентифікації та надання кваліфікованих електронних довірчих послуг) до інтегрованої системи електронної ідентифікації та використання ресурсів інтегрованої системи електронної ідентифікації особами, які надають послуги (крім послуг електронної ідентифікації та надання кваліфікованих електронних довірчих послуг), справляється плата у розмірах, встановлених центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
Від плати за приєднання до інтегрованої системи електронної ідентифікації та використання її ресурсів звільняються органи державної влади, Національний банк України, Служба безпеки України, Національна рада України з питань телебачення і радіомовлення, Центральна виборча комісія України та інші державні органи, органи влади Автономної Республіки Крим, органи місцевого самоврядування, а також Офіс Президента України, Рада національної безпеки і оборони України, Апарат Верховної Ради України, Секретаріат Кабінету Міністрів України, Секретаріат Уповноваженого Верховної Ради України з прав людини, Офіс Генерального прокурора, Генеральний штаб Збройних Сил України, головний орган військового управління Національної гвардії України, Державний центр зайнятості, Фонд соціального страхування, державні установи та заклади.
5. Обробка персональних даних засобами інтегрованої системи електронної ідентифікації здійснюється відповідно до вимог Закону України "Про захист персональних даних".
6. Автентифікація в інформаційних та інформаційно-комунікаційних системах, за допомогою яких надаються електронні послуги, здійснюються відправлення та отримання електронних даних та володільцями інформації в яких є органи державної влади, інші державні органи, органи влади Автономної Республіки Крим, органи місцевого самоврядування, здійснюється з використанням інтегрованої системи електронної ідентифікації.
Ця вимога не застосовується до інформаційних та інформаційно-комунікаційних систем, які з метою надання електронних послуг, відправлення та отримання електронних даних використовують схеми електронної ідентифікації, сумісність або інтеграцію яких не забезпечено інтегрованою системою електронної ідентифікації.
( Розділ III доповнено статтею 15-3 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 15-4. Ініціативи щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації
1. Кабінет Міністрів України може приймати рішення про реалізацію ініціатив щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації.
2. Реалізація ініціатив щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації може передбачати прийняття Кабінетом Міністрів України рішень з питань, пов’язаних з електронною ідентифікацією.
Рішення Кабінету Міністрів України про реалізацію ініціативи щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації повинно визначати строки проведення експерименту, його учасників, орган виконавчої влади, відповідальний за контроль за проведенням експерименту, опис контрольованого середовища, в якому проводиться тестування, та експериментальні положення законодавства у сфері електронної ідентифікації, які будуть застосовуватися для регулювання відносин, пов’язаних з реалізацією відповідних ініціатив.
3. Строк реалізації ініціативи щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації не може перевищувати два роки. За рішенням Кабінету Міністрів України реалізація ініціативи може бути продовжена на строк, необхідний для надання нормам, обмеженим сферою і строком реалізації відповідної ініціативи, загального та постійного характеру, але не більше ніж на два роки.
4. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, спільно із заінтересованими органами виконавчої влади, іншими державними органами розробляє проекти рішень Кабінету Міністрів України про реалізацію ініціатив щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації та у встановленому порядку вносить пропозиції щодо вдосконалення законодавства у сфері електронної ідентифікації за результатами оцінювання результатів таких ініціатив.
( Розділ III доповнено статтею 15-4 згідно із Законом № 2801-IX від 01.12.2022 )
Розділ IV
ЕЛЕКТРОННІ ДОВІРЧІ ПОСЛУГИ
Стаття 16. Вимоги до електронних довірчих послуг
1. Електронні довірчі послуги надаються, як правило, на договірних засадах надавачами електронних довірчих послуг.
2. До складу електронних довірчих послуг входять: створення, перевірка та підтвердження удосконаленого електронного підпису чи печатки; формування, перевірка та підтвердження чинності сертифіката електронного підпису чи печатки; формування, перевірка та підтвердження чинності сертифіката автентифікації веб-сайту; формування, перевірка та підтвердження електронної позначки часу; реєстрована електронна доставка; зберігання удосконалених електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з цими послугами. Кожна послуга, що входить до складу електронних довірчих послуг, може надаватися окремо або в сукупності.
3. До кваліфікованих електронних довірчих послуг належать: створення, перевірка та підтвердження кваліфікованого електронного підпису чи печатки; формування, перевірка та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки; формування, перевірка та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту; формування, перевірка та підтвердження кваліфікованої електронної позначки часу; кваліфікована електронна довірча послуга реєстрованої електронної доставки; зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з цими послугами. Кожна послуга, що належить до переліку кваліфікованих електронних довірчих послуг, може надаватися окремо або в сукупності виключно кваліфікованим надавачем електронних довірчих послуг, засвідчувальним центром та центральним засвідчувальним органом.
4. У разі якщо це практично можливо, електронні довірчі послуги та апаратно-програмні пристрої і програмне забезпечення, що використовуються для надання електронних довірчих послуг і призначені для кінцевих користувачів таких послуг, повинні бути доступними для осіб з інвалідністю.
5. Діяльність з надання кваліфікованих електронних довірчих послуг здійснюється за умови внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів, або рахунок у Національному банку України - для банків - кваліфікованих надавачів електронних довірчих послуг, кваліфікованого надавача електронних довірчих послуг, створеного Національним банком України) для забезпечення відшкодування шкоди, яка може бути завдана користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання кваліфікованим надавачем електронних довірчих послуг своїх зобов’язань, або страхування відповідальності для забезпечення відшкодування такої шкоди. Розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми не може становити менше 1 тисячі розмірів мінімальної заробітної плати.
6. Розподіл ризиків збитків, що можуть бути заподіяні користувачам електронних довірчих послуг та третім особам фізичними або юридичними особами, не внесеними центральним засвідчувальним органом до Довірчого списку, визначається суб’єктами відносин на договірних засадах.
( Стаття 16 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 17. Використання електронних довірчих послуг
1. Електронна взаємодія фізичних та юридичних осіб, яка потребує відправлення, отримання, використання та постійного зберігання електронних даних за участю третіх осіб, може здійснюватися з використанням електронних довірчих послуг або без їх використання.
2. Органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права та їх посадові особи використовують кваліфіковані електронні підписи та печатки, а також електронні підписи та печатки, які базуються на кваліфікованих сертифікатах відкритих ключів.
Президент України, народні депутати України, члени Кабінету Міністрів України, керівники, заступники керівників, посадові особи державних органів, інших юридичних осіб публічного права, а також державні реєстратори, нотаріуси та інші суб’єкти, уповноважені державою на здійснення функцій державного реєстратора, для вчинення реєстраційних та інших дій, якщо зазначені особи використовують електронний підпис для реалізації повноважень, пов’язаних із набуттям, зміною чи припиненням прав та/або обов’язків фізичних і юридичних осіб відповідно до закону, використовують виключно кваліфіковані електронні підписи.
Законом може встановлюватися обов’язковість використання кваліфікованих електронних довірчих послуг в інших сферах суспільних відносин.
3. Порядок використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях державної форми власності встановлюється Кабінетом Міністрів України.
4. Нотаріальні дії з використанням кваліфікованого електронного підпису чи печатки або інших засобів електронної ідентифікації вчиняються в порядку, визначеному центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сфері нотаріату.
5. Здійснення правосуддя з використанням кваліфікованого електронного підпису чи печатки або інших засобів електронної ідентифікації вчиняється в порядку, встановленому законом.
6. Правочини, що підлягають нотаріальному посвідченню та/або державній реєстрації у випадках, встановлених законом, вчиняються в електронній формі виключно із застосуванням кваліфікованих електронних довірчих послуг.
7. Юридична сила та допустимість електронного підпису чи печатки як доказу не можуть бути заперечені виключно на тій підставі, що вони мають електронну форму або не відповідають вимогам до кваліфікованих електронних підписів чи печаток.
Юридична сила та допустимість електронної позначки часу як доказу не можуть бути заперечені виключно на тій підставі, що вона має електронну форму або не відповідає вимогам до кваліфікованих електронних позначок часу.
Юридична сила та допустимість електронних даних, відправлених та отриманих з використанням електронної довірчої послуги реєстрованої електронної доставки, як доказу не можуть бути заперечені виключно на тій підставі, що вони мають електронну форму або не відповідають вимогам до кваліфікованої електронної довірчої послуги реєстрованої електронної доставки.
8. Результати надання електронних довірчих послуг, що відповідають вимогам цього Закону, повинні визнаватися усіма користувачами таких послуг, іншими фізичними та юридичними особами.
Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності зобов’язані забезпечити використання результатів надання кваліфікованих електронних довірчих послуг від усіх кваліфікованих надавачів електронних довірчих послуг.
( Стаття 17 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 17-1. Вимоги до удосконалених електронних підписів та печаток
1. Удосконалений електронний підпис чи печатка повинні відповідати таким вимогам:
бути однозначно пов’язаним (пов’язаною) з підписувачем або створювачем електронної печатки;
надавати можливість ідентифікувати підписувача або створювача електронної печатки;
створюватися з використанням особистого ключа, який підписувач або створювач електронної печатки може з високим рівнем достовірності використовувати під власним одноосібним контролем;
бути пов’язаним (пов’язаною) з електронними даними, на які накладено удосконалений електронний підпис чи печатку, таким чином, щоб будь-яка наступна зміна таких даних могла бути виявлена.
2. Кабінет Міністрів України встановлює вимоги до форматів удосконалених електронних підписів та печаток, які використовуються для надання електронних публічних послуг.
3. Кабінет Міністрів України встановлює вимоги до створення та перевірки удосконалених електронних підписів, що базуються на кваліфікованих сертифікатах відкритих ключів.
4. Національний банк України має право встановлювати вимоги до форматів удосконалених електронних підписів та печаток, що використовуються у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг.
( Закон доповнено статтею 17-1 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 18. Кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки
1. Кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки надається кваліфікованим надавачем електронних довірчих послуг та включає:
надання користувачам електронних довірчих послуг засобів кваліфікованого електронного підпису чи печатки для генерації пар ключів та/або створення кваліфікованих електронних підписів чи печаток, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки;
надання підписувачам та/або створювачам електронної печатки права використання засобів кваліфікованого електронного підпису чи печатки, розміщених у кваліфікованого надавача електронних довірчих послуг, який здійснює генерацію та/або управління парою ключів від імені підписувача чи створювача електронної печатки;
технічну підтримку та обслуговування наданих засобів кваліфікованого електронного підпису чи печатки.
2. У процесі підтвердження кваліфікованого електронного підпису чи печатки дійсність таких підпису чи печатки підтверджується, за умови:
використання для створення кваліфікованого електронного підпису чи печатки кваліфікованого сертифіката електронного підпису чи печатки, який відповідає вимогам, встановленим частиною другою статті 23 цього Закону;
видачі кваліфікованого сертифіката електронного підпису чи печатки кваліфікованим надавачем електронних довірчих послуг та його чинності на момент створення кваліфікованого електронного підпису чи печатки; відповідності значення відкритого ключа його значенню, яке міститься в кваліфікованому сертифікаті електронного підпису чи печатки;
правильного внесення унікального набору даних, які визначають підписувача чи створювача електронної печатки, до кваліфікованого сертифіката електронного підпису чи печатки;
зазначення у кваліфікованому сертифікаті електронного підпису про використання в ньому псевдоніма (у разі його використання особою на момент створення кваліфікованого електронного підпису);
підтвердження того, що особистий ключ, який використовувався для створення кваліфікованого електронного підпису чи печатки, зберігається в засобі кваліфікованого електронного підпису чи печатки;
відсутності порушення цілісності електронних даних, з якими пов’язаний цей кваліфікований електронний підпис чи печатка;
дотримання вимог, встановлених частиною першою статті 17-1 цього Закону, на момент створення кваліфікованого електронного підпису чи печатки.
Під час надання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки використовується Довірчий список для перевірки статусу кваліфікованої електронної довірчої послуги, яку надає такий кваліфікований надавач електронних довірчих послуг.
3. Інформаційна та інформаційно-комунікаційна системи, що використовуються для підтвердження кваліфікованого електронного підпису чи печатки, повинні надавати користувачу правильний результат процесу підтвердження та давати йому можливість виявляти будь-які проблеми, пов’язані з безпекою.
4. Кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки надається лише кваліфікованими надавачами електронних довірчих послуг, які:
забезпечують підтвердження кваліфікованого електронного підпису чи печатки згідно з вимогами, встановленими частиною другою цієї статті;
надають можливість будь-яким особам отримувати результат процесу підтвердження із застосуванням щонайменше удосконаленого електронного підпису чи удосконаленої електронної печатки кваліфікованого надавача електронних довірчих послуг автоматизованим способом.
5. Електронний підпис чи печатка не можуть бути визнані недійсними та не розглядатися як доказ у судових справах виключно на тій підставі, що вони мають електронний вигляд або не відповідають вимогам до кваліфікованого електронного підпису чи печатки.
6. Кваліфікований електронний підпис має таку саму юридичну силу, як і власноручний підпис, та має презумпцію його відповідності власноручному підпису.
7. Кваліфікована електронна печатка має презумпцію цілісності електронних даних і достовірності походження електронних даних, з якими вона пов’язана.
8. Вимоги до надання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
9. Видача та обіг засобів електронної ідентифікації з функціями кваліфікованого електронного підпису як документів, що посвідчують особу, регулюються законодавством.
Вимоги до кваліфікованих електронних довірчих послуг, що надаються з використанням засобів електронної ідентифікації з функціями кваліфікованого електронного підпису, як документів, що посвідчують особу, встановлюються цим Законом та іншими актами законодавства.
( Стаття 18 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 19. Засоби кваліфікованого електронного підпису чи печатки
1. Засоби кваліфікованого електронного підпису чи печатки за допомогою відповідних технічних та процедурних засобів повинні забезпечувати:
надійний рівень конфіденційності особистих ключів під час їх генерації, зберігання та створення кваліфікованого електронного підпису чи печатки;
належний рівень унікальності пари ключів, які вони генерують;