9. Центральний засвідчувальний орган приймає рішення про скасування статусу кваліфікованого надавача електронних довірчих послуг шляхом зміни статусу кваліфікованої електронної довірчої послуги, що надається кваліфікованим надавачем електронних довірчих послуг, на статус "скасований" у разі отримання:
заяви кваліфікованого надавача електронних довірчих послуг про прийняте ним рішення про припинення надання усіх кваліфікованих електронних довірчих послуг, що зазначені у Довірчому списку;
подання засвідчувального центру про скасування статусу кваліфікованого надавача електронних довірчих послуг;
подання контролюючого органу про скасування статусу кваліфікованого надавача електронних довірчих послуг за результатами перевірки дотримання вимог законодавства у сфері електронних довірчих послуг;
інформації про припинення діяльності кваліфікованого надавача електронних довірчих послуг (державної реєстрації припинення підприємницької діяльності фізичної особи - підприємця чи припинення юридичної особи);
інформації про смерть кваліфікованого надавача електронних довірчих послуг (фізичної особи - підприємця);
інформації про набрання законної сили рішенням суду про скасування статусу кваліфікованого надавача електронних довірчих послуг та оголошення кваліфікованого надавача електронних довірчих послуг померлим, визнання його безвісно відсутнім, недієздатним, обмеження його цивільної дієздатності, визнання кваліфікованого надавача електронних довірчих послуг банкрутом.
У разі скасування статусу кваліфікованого надавача електронних довірчих послуг інформація про такого надавача та кваліфіковані електронні довірчі послуги, які він надавав, зберігається в Довірчому списку з метою забезпечення перевірки кваліфікованих сертифікатів відкритих ключів надавача та його користувачів.
10. З метою забезпечення безперервного надання кваліфікованих електронних довірчих послуг їх користувачам центральний засвідчувальний орган може прийняти рішення про внесення змін до Довірчого списку щодо заміни кваліфікованого надавача електронних довірчих послуг шляхом заміни відомостей про кваліфікованого надавача електронних довірчих послуг відомостями про іншого кваліфікованого надавача електронних довірчих послуг, якщо передача відповідних прав та обов’язків здійснюється за спільною згодою таких надавачів, за договором або з інших підстав для правонаступництва, визначених законодавством.
Порядок внесення змін до Довірчого списку щодо заміни кваліфікованого надавача електронних довірчих послуг, а також особливості набуття та скасування статусу кваліфікованого надавача електронних довірчих послуг у разі заміни кваліфікованого надавача електронних довірчих послуг визначаються Порядком ведення Довірчого списку, що затверджується центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
( Стаття 30 із змінами, внесеними згідно із Законом № 1591-IX від 30.06.2021; в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 31. Припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг
1. Кваліфікований надавач електронних довірчих послуг припиняє свою діяльність з надання кваліфікованих електронних довірчих послуг у разі:
прийняття центральним засвідчувальним органом рішення про скасування статусу кваліфікованого надавача електронних довірчих послуг;
прийняття ним рішення про припинення надання кваліфікованих електронних довірчих послуг, що зазначені у Довірчому списку;
припинення діяльності кваліфікованого надавача електронних довірчих послуг (державної реєстрації припинення підприємницької діяльності фізичної особи - підприємця чи припинення юридичної особи), крім випадків правонаступництва, визначених частиною десятою статті 30 цього Закону;
набрання законної сили рішенням суду про скасування статусу кваліфікованого надавача електронних довірчих послуг, оголошення його померлим, визнання безвісно відсутнім, недієздатним, обмеження його цивільної дієздатності, визнання його банкрутом.
2. Про прийняте рішення про припинення надання кваліфікованих електронних довірчих послуг кваліфікований надавач електронних довірчих послуг зобов’язаний повідомити користувачам електронних довірчих послуг, центральному засвідчувальному органу або засвідчувальному центру та контролюючому органу не пізніше п’яти робочих днів з дня прийняття такого рішення.
3. Центральний засвідчувальний орган та/або засвідчувальний центр зобов’язаний оприлюднити інформацію про рішення відповідно центрального засвідчувального органу або засвідчувального центру щодо припинення кваліфікованим надавачем електронних довірчих послуг діяльності з надання кваліфікованих електронних довірчих послуг, в тому числі у зв’язку із скасуванням статусу кваліфікованого надавача електронних довірчих послуг, не пізніше наступного робочого дня після прийняття такого рішення шляхом:
розміщення інформації про таке рішення на своєму офіційному веб-сайті;
надіслання кваліфікованому надавачу електронних довірчих послуг повідомлення про таке рішення із зазначенням підстави його прийняття.
4. Центральний засвідчувальний орган та/або засвідчувальний центр зобов’язаний опублікувати на своєму офіційному веб-сайті повідомлення про припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг не пізніше наступного робочого дня з дня одержання повідомлення про настання підстав, передбачених абзацами третім - п’ятим частини першої цієї статті.
Повідомлення центрального засвідчувального органу або засвідчувального центру про припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг повинно містити дату опублікування.
5. Кваліфікований надавач електронних довірчих послуг припиняє свою діяльність з надання кваліфікованих електронних довірчих послуг через три місяці з дня опублікування на своєму офіційному веб-сайті центральним засвідчувальним органом або засвідчувальним центром повідомлення про припинення надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг.
6. З дня опублікування на своєму офіційному веб-сайті центральним засвідчувальним органом або засвідчувальним центром повідомлення про припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг та до дня припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікований надавач електронних довірчих послуг зобов’язаний надавати електронні довірчі послуги, крім формування нових кваліфікованих сертифікатів відкритих ключів.
Кваліфікований надавач електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, передає обслуговування користувачів електронних довірчих послуг, з якими він уклав договори про надання кваліфікованих електронних довірчих послуг, до іншого кваліфікованого надавача електронних довірчих послуг у порядку, встановленому Кабінетом Міністрів України.
7. У разі відмови користувача електронних довірчих послуг продовжити обслуговування за договором про надання кваліфікованих електронних довірчих послуг, укладеним з кваліфікованим надавачем електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, в іншого кваліфікованого надавача електронних довірчих послуг до закінчення строку дії відповідного договору кваліфікований надавач електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, зобов’язаний повернути такому користувачу кошти за послуги, які не можуть надаватися в подальшому, якщо вони були попередньо оплачені користувачем.
Якщо користувач електронних довірчих послуг погодився продовжити обслуговування за договором про надання кваліфікованих електронних довірчих послуг, укладеним з кваліфікованим надавачем електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, в іншого кваліфікованого надавача електронних довірчих послуг до закінчення строку дії відповідного договору, кваліфікований надавач електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, зобов’язаний оплатити подальше надання кваліфікованих електронних довірчих послуг такому користувачу за тарифами, встановленими відповідним кваліфікованим надавачем електронних довірчих послуг.
8. Центральний засвідчувальний орган у день, визначений відповідно до частини п’ятої цієї статті як дата припинення діяльності з надання кваліфікованих електронних довірчих послуг, вносить відповідні зміни до Довірчого списку.
9. Кваліфікований надавач електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, зобов’язаний передати документовану інформацію користувачів електронних довірчих послуг, зазначених у частині першій статті 9 цього Закону, до іншого кваліфікованого надавача електронних довірчих послуг, який виявив намір продовжити обслуговування користувачів електронних довірчих послуг до закінчення строку дії відповідних договорів про надання кваліфікованих електронних довірчих послуг, або до центрального засвідчувального органу чи засвідчувального центру.
10. Порядок зберігання документованої інформації та її передавання до центрального засвідчувального органу в разі припинення діяльності кваліфікованого надавача електронних довірчих послуг встановлюється Кабінетом Міністрів України.
11. Порядок передавання документованої інформації до засвідчувального центру в разі припинення діяльності кваліфікованого надавача електронних довірчих послуг, відомості про якого внесені до Довірчого списку за рішенням засвідчувального центру, встановлюється Національним банком України.
( Стаття 31 із змінами, внесеними згідно із Законом № 1591-IX від 30.06.2021; в редакції Закону № 2801-IX від 01.12.2022 )
Розділ V
НАГЛЯД І КОНТРОЛЬ У СФЕРАХ ЕЛЕКТРОННОЇ ІДЕНТИФІКАЦІЇ ТА ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ
( Назва розділу V в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 32. Оцінка відповідності у сферах електронної ідентифікації та електронних довірчих послуг
1. Для доведення відповідності вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, юридичні особи, фізичні особи - підприємці, які мають намір надавати кваліфіковані електронні довірчі послуги, повинні за власний рахунок пройти процедуру оцінки відповідності у сфері електронних довірчих послуг.
2. Надавачі послуг електронної ідентифікації повинні за власний рахунок пройти процедуру оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації низькому, середньому або високому рівню довіри.
3. Оцінка відповідності у сферах електронної ідентифікації та електронних довірчих послуг здійснюється органами з оцінки відповідності, акредитованими відповідно до законодавства у сфері акредитації.
4. Центральний засвідчувальний орган формує, підтримує в актуальному стані та публікує на своєму офіційному веб-сайті перелік органів з оцінки відповідності з гіперпосиланням на реєстр акредитованих органів з оцінки відповідності, розміщений на офіційному веб-сайті національного органу України з акредитації, а також іноземних органів з оцінки відповідності, акредитованих відповідно іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA).
5. Оцінка відповідності вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, здійснюється з урахуванням вимог законодавства щодо порядку надання і використання кваліфікованих електронних довірчих послуг, а також з урахуванням вимог законодавства у сфері захисту інформації.
У разі надання електронних довірчих послуг у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг оцінка відповідності вимог до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, здійснюється з урахуванням вимог, встановлених Національним банком України.
6. Кваліфіковані надавачі електронних довірчих послуг, які пройшли процедуру оцінки відповідності у сфері електронних довірчих послуг та відомості про яких внесені до Довірчого списку, повинні кожні 24 місяці за власний рахунок проходити процедуру оцінки відповідності для доведення того, що вони та електронні довірчі послуги, які вони надають, відповідають вимогам у сфері електронних довірчих послуг.
7. Надавачі послуг електронної ідентифікації після проходження процедури оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації подають до центрального засвідчувального органу аудиторський звіт для прийняття рішення про затвердження таких схем.
8. Контролюючий орган у випадках, визначених законом, може подати запит до органу з оцінки відповідності про надання аудиторського звіту щодо проведення процедури оцінки відповідності кваліфікованого надавача електронних довірчих послуг за рахунок такого надавача для підтвердження того, що він та електронні довірчі послуги, які він надає, відповідають вимогам у сфері електронних довірчих послуг.
9. Про результати оцінки відповідності у сфері електронних довірчих послуг кваліфіковані надавачі електронних довірчих послуг повідомляють контролюючий орган шляхом надання копії документа про відповідність вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, не пізніше трьох робочих днів з дня його отримання.
10. Проведення процедури оцінки відповідності у сферах електронної ідентифікації та електронних довірчих послуг здійснюється в порядку, затвердженому Кабінетом Міністрів України.
Проведення процедури оцінки відповідності у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг здійснюється з урахуванням вимог, визначених Національним банком України.
( Стаття 32 із змінами, внесеними згідно із Законом № 1591-IX від 30.06.2021; в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 33. Державний нагляд (контроль) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг
1. Державний нагляд (контроль) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг здійснює контролюючий орган.
2. Заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг здійснюються відповідно цього Закону.
3. Функції контролюючого органу виконує Державна служба спеціального зв’язку та захисту інформації України.
( Стаття 33 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020; в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 33-1. Заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг
1. Результати оцінки відповідності у сферах електронної ідентифікації та електронних довірчих послуг аналізуються контролюючим органом. У разі негативних результатів оцінки відповідності та/або наданих органом з оцінки відповідності рекомендацій контролюючий орган може своїм рішенням призначити додаткову оцінку відповідності після усунення всіх недоліків, зазначених в аудиторському звіті.
2. Планові заходи контролю контролюючим органом не здійснюються.
3. Контролюючий орган здійснює такі позапланові заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг:
1) перевірка надавачів послуг електронної ідентифікації та надавачів електронних довірчих послуг за їхніми заявами;
2) перевірка надавачів послуг електронної ідентифікації та надавачів електронних довірчих послуг у разі виявлення та підтвердження наявності недостовірних відомостей у поданих ними документах;
3) перевірка надавачів послуг електронної ідентифікації, надавачів електронних довірчих послуг після отримання інформації чи повідомлення про порушення вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг від засвідчувального центру, центрального засвідчувального органу, суду, користувачів електронних довірчих послуг або третіх осіб;
4) перевірка надавачів послуг електронної ідентифікації, надавачів електронних довірчих послуг за обґрунтованим рішенням контролюючого органу.
( Закон доповнено статтею 33-1 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 33-2. Заходи реагування на порушення законодавства у сфері електронної ідентифікації та сфері електронних довірчих послуг
1. За результатами проведення перевірок кваліфікованих надавачів електронних довірчих послуг (їхніх відокремлених пунктів реєстрації), засвідчувального центру, центрального засвідчувального органу контролюючий орган вживає таких заходів реагування:
1) вимагає від кваліфікованих надавачів електронних довірчих послуг, засвідчувального центру, центрального засвідчувального органу усунення порушень вимог законодавства у сфері електронних довірчих послуг у встановлений приписом строк;
2) приймає рішення про блокування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, якщо під час перевірки виникла підозра компрометації особистого ключа;
3) приймає рішення про скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, якщо під час перевірки виявлено факт компрометації особистого ключа.
Рішення про блокування або скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, контролюючий орган надсилає в день його прийняття до центрального засвідчувального органу;
4) надсилає до центрального засвідчувального органу подання про відкликання статусу кваліфікованого надавача електронних довірчих послуг або послуги, яку надає кваліфікований надавач електронних довірчих послуг, засвідчувального центру, центрального засвідчувального органу у Довірчому списку в разі:
надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг без чинних документів, визначених законодавством, що підтверджують відповідність комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг та засобів захисту інформації у її складі вимогам нормативно-правових актів у сфері технічного та криптографічного захисту інформації, або документів про відповідність за результатами процедури оцінки відповідності у сфері електронних довірчих послуг;
непроходження додаткової державної експертизи комплексної системи захисту інформації або процедури оцінки відповідності інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг у разі модернізації апаратного, апаратно-програмного пристрою чи програмного забезпечення, що входять до складу програмно-технічного комплексу, яка не передбачена проектною чи експлуатаційною документацією до комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг;
надання кваліфікованих електронних довірчих послуг за відсутності у кваліфікованого надавача електронних довірчих послуг поточного рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) з необхідним обсягом коштів або чинного договору страхування відповідальності з необхідним розміром страхової суми, що встановлені частиною п’ятою статті 16 цього Закону, для забезпечення відшкодування збитків, які можуть бути завдані користувачам електронних довірчих послуг або третім особам внаслідок неналежного виконання кваліфікованим надавачем електронних довірчих послуг своїх зобов’язань;
порушення вимог до умов експлуатації комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг;
надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг без чинних документів, визначених законодавством, що підтверджують його право власності та/або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуються для надання кваліфікованих електронних довірчих послуг;
встановлення факту надання недостовірних відомостей, наведених у документах, поданих кваліфікованим надавачем електронних довірчих послуг для внесення відомостей про нього до Довірчого списку;
неусунення виявлених під час перевірки порушень у встановлений приписом строк;
блокування або скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг.
2. Протягом одного місяця з дня генерації центральним засвідчувальним органом пар ключів та формування відповідних самопідписаних сертифікатів електронних печаток центрального засвідчувального органу контролюючий орган проводить позапланову перевірку центрального засвідчувального органу в частині захисту інформації у програмно-технічному комплексі центрального засвідчувального органу.
У разі виявлення порушень вимог, встановлених законодавством для центрального засвідчувального органу, контролюючий орган інформує Кабінет Міністрів України про виявлені порушення та пропонує центральному засвідчувальному органу шляхи їх усунення.
3. За результатами проведення перевірок надавачів послуг електронної ідентифікації контролюючий орган вживає таких заходів реагування:
1) вимагає від надавачів послуг електронної ідентифікації усунення порушень вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг у встановлений приписом строк;
2) приймає рішення про зупинення надання послуг електронної ідентифікації надавачем послуг електронної ідентифікації, якщо під час перевірки виявлено факт порушення, що впливає на безпеку надання таких послуг, до повного усунення виявлених порушень.
4. Щороку до 1 квітня контролюючий орган готує та подає до Кабінету Міністрів України звіт про оцінку діяльності суб’єктів відносин у сферах електронної ідентифікації та електронних довірчих послуг щодо дотримання вимог законодавства.
( Закон доповнено статтею 33-2 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34. Повноваження посадових осіб контролюючого органу під час здійснення заходів державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг
1. Посадові особи контролюючого органу під час здійснення заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг мають право:
1) здійснювати виїзні та невиїзні заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг;
2) у разі виявлення порушення вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг видавати обов’язкові для виконання приписи про усунення порушень і визначати строк усунення виявлених порушень;
3) накладати на винних осіб адміністративні стягнення за порушення вимог цього Закону та інших нормативно-правових актів, прийнятих відповідно до цього Закону;
4) звертатися до суду щодо застосування заходів реагування;
5) виконувати інші повноваження, визначені законом.
( Стаття 34 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 34-1. Невиїзні заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та/або електронних довірчих послуг
1. Контролюючий орган здійснює невиїзні заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг шляхом аналізу:
1) стану роботи веб-сайту надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
2) наповненості веб-сайту надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, належного інформування користувачів послуг електронної ідентифікації або електронних довірчих послуг про надання послуг;
3) переліку, порядку надання та змісту послуг електронної ідентифікації, електронних довірчих послуг через веб-сайт надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
4) повідомлень надавача послуг електронної ідентифікації, кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
5) документів про відповідність за результатами проведення процедур оцінки відповідності надавача послуг електронної ідентифікації, кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру та послуг, які вони надають;
6) іншої інформації про функціонування, організацію та надання послуг електронної ідентифікації, електронних довірчих послуг надавачем послуг електронної ідентифікації, надавачем електронних довірчих послуг, центральним засвідчувальним органом або засвідчувальним центром.
( Закон доповнено статтею 34-1 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34-2. Рішення про проведення позапланової перевірки
1. Для проведення позапланової перевірки Контролюючий орган приймає рішення щодо проведення перевірки. Рішення щодо проведення перевірки підписується керівником Контролюючого органу або його заступником відповідно до розподілу функціональних обов’язків.
2. Рішення щодо проведення перевірки повинне містити:
1) найменування Контролюючого органу;
2) найменування (прізвище, ім’я, по батькові (за наявності) надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
3) місцезнаходження або місце проживання надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
4) підставу для проведення перевірки;
5) предмет перевірки;
6) дати початку та закінчення перевірки;
7) посадовий та персональний склад комісії з перевірки.
3. Повідомлення про прийняття рішення про проведення позапланової перевірки надсилається (вручається) надавачу послуг електронної ідентифікації, надавачу електронних довірчих послуг, центральному засвідчувальному органу або засвідчувальному центру не пізніше 10 робочих днів до початку перевірки рекомендованим листом та/або за допомогою електронних комунікацій (у тому числі через електронний кабінет чи іншу інформаційну систему, користувачами якої є контролюючий орган та суб’єкт, якого він перевіряє) або вручається особисто під розписку керівнику чи уповноваженій особі суб’єкта, який перевіряється.
4. Строк проведення позапланової перевірки не може перевищувати 10 робочих днів.
5. Позапланова перевірка проводиться в робочий час надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, встановлений його правилами внутрішнього трудового розпорядку.
6. Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг, центральний засвідчувальний орган або засвідчувальний центр мають право не допускати посадових осіб контролюючого органу до проведення позапланової перевірки у разі неодержання у строк, визначений частиною третьою цієї статті, повідомлення про прийняття рішення про проведення перевірки.
( Закон доповнено статтею 34-2 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34-3. Комісія з перевірки
1. Комісія з перевірки утворюється у складі голови та членів комісії.
До складу комісії з перевірки можуть залучатися представники центрального засвідчувального органу (за згодою).
2. На підставі рішення про проведення перевірки оформлюється посвідчення на проведення перевірки, яке підписує керівник контролюючого органу або його заступник відповідно до розподілу функціональних обов’язків, і засвідчується печаткою.
Форма посвідчення на проведення перевірки затверджується контролюючим органом.
3. У посвідченні на проведення перевірки зазначаються:
1) найменування контролюючого органу;
2) найменування (прізвище, ім’я, по батькові (за наявності) надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
3) місцезнаходження або місце проживання надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
4) реквізити рішення про проведення перевірки;
5) персональний та посадовий склад комісії з перевірки;
6) дати початку і закінчення перевірки;
7) підстава для проведення перевірки;
8) перелік питань, що підлягають перевірці.
Посвідчення на проведення перевірки є чинним лише протягом зазначеного в ньому строку проведення перевірки.
4. Члени комісії з перевірки зобов’язані:
1) об’єктивно та неупереджено проводити перевірку;
2) дотримуватися вимог законодавства у сферах електронної ідентифікації, електронних довірчих послуг, захисту інформації та захисту персональних даних;
3) сумлінно, вчасно та якісно виконувати свої службові обов’язки та доручення голови комісії з перевірки;
4) дотримуватися ділової етики у взаємовідносинах з керівником та працівниками надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
5) ознайомлювати керівника надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника з результатами перевірки;
6) надавати надавачу послуг електронної ідентифікації, надавачу електронних довірчих послуг, центральному засвідчувальному органу або засвідчувальному центру консультаційну допомогу з питань проведення перевірки;
7) не розголошувати інформацію з обмеженим доступом, яка стала їм відома у зв’язку з виконанням службових обов’язків.
5. Члени комісії з перевірки під час виконання своїх службових обов’язків у процесі проведення перевірки мають право:
1) доступу до спеціальних приміщень, всіх документів та інформації надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, пов’язаних з наданням послуг електронної ідентифікації та/або кваліфікованих електронних довірчих послуг;
2) вивчати роботу інформаційно-комунікаційної системи, а також інших технічних засобів, засобів електронної ідентифікації, засобів кваліфікованого електронного підпису чи печатки, які використовуються надавачем послуг електронної ідентифікації, надавачем електронних довірчих послуг, центральним засвідчувальним органом або засвідчувальним центром для надання послуг електронної ідентифікації та/або кваліфікованих електронних довірчих послуг;
3) отримувати від працівників надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру інформацію та пояснення, у тому числі письмові, щодо їх діяльності, пов’язаної з наданням електронної ідентифікації та/або електронних довірчих послуг, необхідні для проведення перевірки;
4) отримувати від надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру та долучати до матеріалів перевірки документи, що можуть свідчити про факти порушення вимог законодавства у сферах електронної ідентифікації та/або електронних довірчих послуг у паперовій або електронній формі.
( Закон доповнено статтею 34-3 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34-4. Обов’язки надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру під час проведення перевірки
1. Керівник надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру зобов’язаний створити необхідні умови для проведення перевірки, а саме:
1) забезпечити голові та членам комісії з перевірки вхід до приміщень, пов’язаних з наданням послуг, на період проведення перевірки надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру і вихід з них;
2) надати голові та членам комісії з перевірки у день початку проведення виїзної перевірки службове приміщення (окреме робоче місце), обладнане необхідними меблями, комп’ютером та сховищем для документів;
3) організувати зустріч голови та членів комісії з перевірки з працівниками надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, обов’язки яких безпосередньо пов’язані з наданням послуг електронної ідентифікації та/або електронних довірчих послуг;
4) забезпечити голові та членам комісії з перевірки доступ до всіх документів та інформації про діяльність надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, передбачених законодавством у сферах електронної ідентифікації та/або електронних довірчих послуг;
5) забезпечити надання у строк, необхідний для виконання завдання, але не більше строку, визначеного для проведення заходу державного нагляду (контролю), документів у паперовій або електронній формі та інформації про діяльність надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру (усних і письмових пояснень керівника та працівників);
6) забезпечити коректну поведінку працівників надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру під час проведення перевірки.
( Закон доповнено статтею 34-4 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34-5. Права надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру під час проведення перевірки
1. Керівник надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноважений ним представник під час проведення перевірки має право:
1) вимагати від голови та членів комісії з перевірки дотримання вимог законодавства;
2) перевіряти наявність у голови та членів комісії з перевірки службових посвідчень і одержувати копію посвідчення на проведення перевірки;
3) не допускати голову та членів комісії з перевірки до її проведення у разі непред’явлення головою та членами комісії з перевірки службових посвідчень та посвідчень на проведення перевірки, оформлених відповідно до вимог законодавства;
4) бути присутнім під час проведення перевірки;
5) вимагати дотримання вимог щодо нерозголошення інформації з обмеженим доступом, яка стала відома голові та членам комісії з перевірки під час проведення перевірки;
6) отримувати та ознайомлюватися з актом перевірки;
7) надавати в письмовій формі свої пояснення, зауваження або заперечення до акта перевірки;
8) отримувати від голови комісії з перевірки роз’яснення щодо дій комісії, пов’язаних з перевіркою;
9) у разі незгоди з діями голови та/або членів комісії з перевірки подавати в письмовому вигляді скарги до контролюючого органу чи оскаржувати дії комісії з перевірки в судовому порядку;
10) отримувати консультативну допомогу від голови та членів комісії з перевірки з метою запобігання порушенням під час її проведення.
( Закон доповнено статтею 34-5 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34-6. Процедура виїзної перевірки
1. Перед початком перевірки голова комісії з перевірки вносить запис до відповідного журналу надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру (за наявності).
2. Перевірка проводиться у присутності керівника надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника.
3. Перевірка проводиться шляхом вивчення документів, інформації, що міститься в базах даних, проведення співбесід з працівниками надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, аналізу стану дотримання вимог законодавства у сферах електронної ідентифікації та/або електронних довірчих послуг та розпорядчих документів, пов’язаних з наданням послуг електронної ідентифікації та/або електронних довірчих послуг.
4. Перевірка проводиться у два етапи:
1) процес перевірки;
2) оформлення результатів перевірки.
5. Підготовка до проведення перевірки здійснюється шляхом:
1) опрацювання матеріалів попередньої перевірки з метою подальшого контролю за тими напрямами роботи, за якими раніше були виявлені порушення;
2) аналізу інформації, визначеної для невиїзних заходів державного нагляду (контролю), передбачених статтею 34-1 цього Закону;
3) вивчення регламенту роботи надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру.
6. У процесі перевірки голова та члени комісії з перевірки мають право письмово запитувати у надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру будь-які матеріали та інформацію, необхідні для проведення перевірки.
7. Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг, центральний засвідчувальний орган або засвідчувальний центр зобов’язані надати контролюючому органу всю запитувану інформацію протягом 15 робочих днів з дня реєстрації відповідного письмового запиту.
8. У день початку проведення перевірки голова та члени комісії з перевірки зобов’язані пред’явити керівнику надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноваженому ним представнику посвідчення на проведення перевірки та службові посвідчення, що встановлюють голову та членів комісії з перевірки як посадових осіб контролюючого органу, і надати копію посвідчення на проведення перевірки.
9. Голова та члени комісії з перевірки не мають права проводити перевірку без пред’явлення службових посвідчень та посвідчення на її проведення.
( Закон доповнено статтею 34-6 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34-7. Оформлення результатів проведення перевірки
1. Результати проведення перевірки надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру оформлюються комісією з перевірки шляхом складення акта перевірки, форма якого затверджується контролюючим органом.
2. Акт перевірки має містити такі відомості:
1) найменування контролюючого органу;
2) персональний та посадовий склад комісії з перевірки;
3) прізвище та ініціали керівника надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
4) реквізити посвідчення на проведення перевірки;
5) дати початку і закінчення перевірки;
6) адреса приміщень надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, в яких проводилася перевірка;
7) результати попередньої перевірки;
8) інформація про результати останньої оцінки відповідності у сферах електронної ідентифікації та/або електронних довірчих послуг, що передує перевірці;
9) назва та короткий зміст документів, наданих під час перевірки;
10) якісні та кількісні показники, встановлені під час перевірки, що характеризують діяльність надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, пов’язану з наданням послуг електронної ідентифікації та/або електронних довірчих послуг;
11) виявлені під час перевірки порушення і недоліки (за наявності) та пояснення надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру про причини невиконання встановлених законодавством вимог (за наявності);
12) висновки за результатами перевірки;
13) факти протидії проведенню перевірки (за наявності);
14) рекомендації щодо усунення виявлених порушень (у разі наявності);
15) дата складення акта перевірки;
16) підписи голови та членів комісії з перевірки;
17) підпис керівника надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника, що підтверджує факт ознайомлення з актом перевірки.
3. Щодо порушень, зазначених в акті перевірки, наводяться посилання на конкретні положення цього Закону, інших актів законодавства у сфері кібербезпеки, захисту інформації, захисту персональних даних, електронної ідентифікації та/або електронних довірчих послуг.
Довільне тлумачення положень нормативно-правових актів не допускається.
Довідкову інформацію або інформацію про порушення і недоліки, яка може бути згрупована за спільним предметом, допускається викладати в додатках до акта перевірки.
Якщо до акта перевірки додаються документи або їх копії, в акті зазначаються їх найменування і реквізити.
4. Акт перевірки складається у двох примірниках та підписується не пізніше останнього дня її проведення головою та всіма членами комісії з перевірки і керівником надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноваженим ним представником.
5. Член комісії з перевірки, який не погоджується з висновками комісії з перевірки, зазначеними в акті перевірки, зобов’язаний підписати його та письмово викласти свою окрему думку, що додається до акта перевірки. При цьому перед підписом акта перевірки зазначається "З окремою думкою, що додається".
6. Якщо керівник надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноважений ним представник має зауваження щодо фактів та висновків, викладених в акті перевірки, перед підписом зазначається "Із зауваженнями, що додаються".
7. Зауваження до акта перевірки оформлюються окремим документом та підписуються керівником надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноваженим ним представником.
8. Зауваження до акта перевірки та окрема думка члена комісії з перевірки є невід’ємними частинами акта перевірки.
9. Якщо керівник надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноважений ним представник відмовився від ознайомлення з актом перевірки або від його підписання після ознайомлення з ним, голова комісії з перевірки перед місцем для підпису керівника надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника робить відповідне зазначення, яке засвідчується підписами голови та одного з членів комісії з перевірки.
10. Один примірник акта перевірки вручається керівнику чи уповноваженій особі надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру в останній день перевірки, а другий зберігається у контролюючому органі.
11. У разі проведення перевірки надавача послуг електронної ідентифікації, надавача електронних довірчих послуг копія акта перевірки протягом п’яти робочих днів після її завершення надсилається до центрального засвідчувального органу або засвідчувального центру.
( Закон доповнено статтею 34-7 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34-8. Припис про усунення порушень у сферах електронної ідентифікації та/або електронних довірчих послуг
1. Припис про усунення порушень складається комісією з перевірки у двох примірниках протягом п’яти робочих днів після завершення перевірки. Один примірник припису не пізніше п’яти робочих днів з дня складення акта перевірки надається надавачу послуг електронної ідентифікації, надавачу електронних довірчих послуг, центральному засвідчувальному органу або засвідчувальному центру, а другий примірник з підписом керівника надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника щодо погоджених строків усунення порушень вимог законодавства у сфері електронних довірчих послуг залишається у контролюючого органу.
2. Форма припису про усунення порушень затверджується контролюючим органом.
3. Припис про усунення порушень підписується головою та членами комісії з перевірки, які їх проводили.
4. У разі якщо керівник надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноважений ним представник відмовився від отримання припису про усунення порушень, такий припис надсилається рекомендованим листом, а на копії припису, що залишається у контролюючого органу, проставляються відповідний вихідний номер і дата надсилання.
5. Керівник надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру повинен вжити заходів до усунення недоліків та порушень, зазначених у приписі про усунення порушень, протягом визначеного у приписі строку.
6. Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг, центральний засвідчувальний орган або засвідчувальний центр зобов’язаний у визначений у приписі про усунення порушень строк письмово подати до контролюючого органу інформацію про усунення порушень разом з підтвердними документами.
( Закон доповнено статтею 34-8 згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 34-9. Рішення про блокування, скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, зміну статусу послуги кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру
1. Рішення про блокування, скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг приймається контролюючим органом та має містити:
1) найменування контролюючого органу;
2) дату прийняття та порядковий номер;
3) посадовий та персональний склад комісії з перевірки;
4) найменування (прізвище, ім’я, по батькові (за наявності) кваліфікованого надавача електронних довірчих послуг;
5) місцезнаходження кваліфікованого надавача електронних довірчих послуг;
6) прізвище, ім’я та по батькові (за наявності) керівника кваліфікованого надавача електронних довірчих послуг;
7) обставини, за яких виявлені порушення (вид, строк перевірки, номер та дата акта перевірки або посилання на інше джерело інформації);
8) обґрунтовані підстави для прийняття рішення про блокування кваліфікованого сертифіката відкритого ключа надавача електронних довірчих послуг;
9) вимогу щодо блокування кваліфікованого сертифіката відкритого ключа надавача електронних довірчих послуг;
10) підпис керівника контролюючого органу або його заступника відповідно до розподілу функціональних обов’язків.
2. Рішення про зміну статусу послуги кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру приймається контролюючим органом та має містити: