подання користувачем електронних довірчих послуг заяви про блокування виданого йому кваліфікованого сертифіката відкритого ключа в будь-який спосіб, що забезпечує підтвердження особи користувача;
подання заяви про блокування кваліфікованого сертифіката відкритого ключа електронного підпису працівника юридичної особи чи фізичної особи - підприємця за підписом уповноваженої особи відповідної юридичної особи чи фізичної особи - підприємця;
повідомлення користувачем електронних довірчих послуг або контролюючим органом про підозру в компрометації особистого ключа користувача електронних довірчих послуг;
набрання законної сили рішенням суду про блокування кваліфікованого сертифіката відкритого ключа;
порушення користувачем електронних довірчих послуг істотних умов договору про надання кваліфікованих електронних довірчих послуг.
7. Кваліфікований сертифікат відкритого ключа кваліфікованого надавача електронних довірчих послуг блокується суб’єктом, який видав сертифікат, також у разі прийняття контролюючим органом рішення про блокування відповідного кваліфікованого сертифіката відкритого ключа за результатами здійснення заходів державного контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг відповідно до цього Закону.
8. Кваліфікований сертифікат відкритого ключа вважається заблокованим з моменту зміни суб’єктом, який видав сертифікат, статусу кваліфікованого сертифіката відкритого ключа на "заблокований".
9. Кваліфікований сертифікат відкритого ключа, статус якого змінено на "заблокований", у період блокування є нечинним та не використовується.
10. Заблокований кваліфікований сертифікат відкритого ключа не пізніше ніж протягом двох годин поновлюється суб’єктом, який видав сертифікат, у разі:
подання користувачем електронних довірчих послуг заяви про поновлення його заблокованого кваліфікованого сертифіката відкритого ключа в будь-який спосіб, що забезпечує підтвердження особи користувача (якщо блокування здійснено на підставі заяви про блокування кваліфікованого сертифіката відкритого ключа);
подання заяви про поновлення кваліфікованого сертифіката відкритого ключа електронного підпису працівника юридичної особи чи фізичної особи - підприємця за підписом уповноваженої особи відповідної юридичної особи чи фізичної особи - підприємця;
повідомлення про встановлення недостовірності інформації щодо факту компрометації особистого ключа користувачем електронних довірчих послуг або контролюючим органом, який раніше повідомив про таку підозру;
надходження до суб’єкта, який видав сертифікат, повідомлення про прийняття рішення суду про поновлення кваліфікованого сертифіката відкритого ключа, що набрало законної сили.
11. Заблокований кваліфікований сертифікат відкритого ключа, виданий центральним засвідчувальним органом, поновлюється відповідно до вимог цього Закону також у разі:
відновлення статусу кваліфікованого надавача електронних довірчих послуг;
набрання законної сили рішенням суду на користь надавача електронних довірчих послуг.
12. Кваліфікований сертифікат відкритого ключа, який був заблокований, відновлює свою чинність з моменту його поновлення.
13. Кваліфікований сертифікат відкритого ключа вважається поновленим з моменту зміни суб’єктом, який видав сертифікат, статусу кваліфікованого сертифіката відкритого ключа на "поновлений".
14. Суб’єкт, який видав сертифікат, повинен забезпечувати доступ до інформації про дату та час зміни статусу кваліфікованого сертифіката відкритого ключа.
Порядок скасування, блокування та поновлення кваліфікованих сертифікатів відкритих ключів визначається регламентом роботи суб’єкта, який видав відповідний сертифікат";
29) у статті 26:
частину другу викласти в такій редакції:
"2. Кваліфікована електронна позначка часу повинна відповідати таким вимогам:
пов’язувати дату і час з електронними даними в такий спосіб, що обґрунтовано виключає можливість зміни електронних даних, яка не може бути виявлена;
базуватися на джерелі точного часу, синхронізованому із Всесвітнім координованим часом (UTC) з точністю до секунди;
до кваліфікованої електронної позначки часу додається створений для неї удосконалений електронний підпис чи удосконалена електронна печатка кваліфікованого надавача електронних довірчих послуг або може застосовувати інший метод, рівнозначний додаванню до кваліфікованої електронної позначки часу удосконаленого електронного підпису чи удосконаленої електронної печатки, за умови що він забезпечує рівнозначний рівень безпеки кваліфікованої електронної позначки часу та відповідає вимогам цього Закону";
частину третю виключити;
у частині п’ятій слова "Обов’язкові вимоги до процедур надання кваліфікованої електронної довірчої послуги надання" замінити словами "Вимоги до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження";
30) у статті 27:
у частині першій:
в абзацах третьому і четвертому слово "електронна" виключити;
абзац п’ятий викласти в такій редакції:
"до електронних даних, що відправляються та отримуються, додається створений для них удосконалений електронний підпис чи удосконалена електронна печатка або кваліфікований електронний підпис чи кваліфікована електронна печатка кваліфікованого надавача електронних довірчих послуг у такий спосіб, що виключає можливість зміни електронних даних, яка не може бути виявлена";
в абзаці восьмому слово "відправки" замінити словом "передачі";
у частині другій слова "Обов’язкові вимоги до" замінити словами "Вимоги до надання";
частину третю виключити;
у частині четвертій слова "гарантованої передачі ідентифікованим відправником та гарантованого" замінити словами "відправки ідентифікованим відправником та";
31) статтю 28 викласти в такій редакції:
"Стаття 28. Кваліфікована електронна довірча послуга із зберігання кваліфікованих електронних підписів, печаток та сертифікатів, пов’язаних з цими послугами
1. Кваліфікована електронна довірча послуга із зберігання кваліфікованих електронних підписів, печаток та сертифікатів, пов’язаних з цими послугами, забезпечує зберігання раніше створених кваліфікованих електронних підписів чи печаток та сформованих сертифікатів, пов’язаних з цими послугами, протягом строку, визначеного законодавством у сфері архівної справи для зберігання паперових документів.
2. Кваліфікована електронна довірча послуга із зберігання кваліфікованих електронних підписів, печаток та сертифікатів, пов’язаних з цими послугами, надається лише кваліфікованими надавачами електронних довірчих послуг, які використовують процедури та технології, здатні забезпечити довгострокову надійність кваліфікованих електронних підписів чи печаток.
3. Вимоги до надання кваліфікованої електронної довірчої послуги із зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з цими послугами, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України";
32) у статті 29:
частини першу і другу викласти в такій редакції:
"1. Центральний засвідчувальний орган надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки кваліфікованим надавачам електронних довірчих послуг з використанням самопідписаного сертифіката електронної печатки центрального засвідчувального органу на підставі договору, укладеного між адміністратором інформаційно-комунікаційної системи центрального засвідчувального органу та відповідним надавачем безоплатно з урахуванням частини другої статті 7-1 цього Закону.
2. Договір про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки повинен містити умови щодо:
порядку надання послуг, що відповідає вимогам цього Закону, нормативно-правових актів, прийнятих на його виконання, та регламенту роботи центрального засвідчувального органу;
строку його дії;
підстав для внесення змін або розірвання договору про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки.
Підставою для розірвання договору про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки є скасування статусу кваліфікованого надавача електронних довірчих послуг";
у частині третій:
у першому реченні слова "електронного підпису чи печатки здійснює" замінити словами "електронного підпису чи печатки надавача електронних довірчих послуг здійснює";
у другому реченні слова "фізичної чи юридичної особи" замінити словами "надавача електронних довірчих послуг";
у частинах четвертій і п’ятій слова "кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки" замінити словами "кваліфікованих електронних довірчих послуг";
частину шосту викласти в такій редакції:
"6. Організаційно-методологічні, технічні та технологічні умови діяльності центрального засвідчувального органу під час надання ним кваліфікованих електронних довірчих послуг, порядок взаємодії надавачів та користувачів електронних довірчих послуг з центральним засвідчувальним органом у процесі надання ним кваліфікованих електронних довірчих послуг встановлюються регламентом роботи центрального засвідчувального органу.
Регламент роботи центрального засвідчувального органу затверджується центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг";
"Стаття 30. Набуття статусу кваліфікованого надавача електронних довірчих послуг
1. Статусу кваліфікованого надавача електронних довірчих послуг юридичні особи, фізичні особи - підприємці набувають з дня внесення відомостей про них до Довірчого списку за рішенням центрального засвідчувального органу або засвідчувального центру (у разі надання електронних довірчих послуг банками, іншими особами, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторами платіжних систем та/або учасниками платіжних систем, технологічними операторами платіжних послуг).
Для отримання адміністративних послуг внесення відомостей про юридичних осіб та фізичних осіб - підприємців, які мають намір надавати кваліфіковані електронні довірчі послуги, до Довірчого списку, внесення змін до Довірчого списку заявник подає документи в паперовій або електронній формі до центрального засвідчувального органу або засвідчувального центру. Порядок подання документів до засвідчувального центру визначається Національним банком України.
2. Юридичні особи, фізичні особи - підприємці, які мають намір надавати кваліфіковані електронні довірчі послуги, для внесення відомостей про них до Довірчого списку подають до центрального засвідчувального органу або засвідчувального центру:
1) заяву про внесення до Довірчого списку;
2) документ, що дає змогу однозначно ідентифікувати фізичну особу - підприємця або уповноваженого представника юридичної особи;
3) оригінал або засвідчену у встановленому законодавством порядку копію документа про відповідність вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, виданого за результатами проведення процедури оцінки відповідності у сфері електронних довірчих послуг;
4) документи про відповідність засобів кваліфікованого електронного підпису чи печатки, які використовуватимуться для надання кваліфікованих електронних довірчих послуг, установленим цим Законом вимогам, видані за результатами сертифікації таких засобів;
5) засвідчені у встановленому законодавством порядку копії документів, що підтверджують право власності або право користування нежилими приміщеннями, які використовуватимуться для розміщення всіх складових програмно-технічного комплексу, що забезпечуватимуть надання кваліфікованих електронних довірчих послуг;
6) персональний та посадовий склад працівників, обов’язки яких будуть безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг;
7) засвідчені у встановленому законодавством порядку копії документів, що підтверджують право власності або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуватимуться для надання кваліфікованих електронних довірчих послуг;
8) оригінал або засвідчену у встановленому законодавством порядку копію договору страхування цивільно-правової відповідальності або засвідчені у встановленому законодавством порядку копії документів, що підтверджують внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів, або рахунок у Національному банку України - для банків - кваліфікованих надавачів електронних довірчих послуг, кваліфікованого надавача електронних довірчих послуг, створеного Національним банком України) для забезпечення відшкодування збитків, які можуть бути заподіяні кваліфікованим надавачем електронних довірчих послуг користувачам електронних довірчих послуг внаслідок неналежного виконання своїх обов’язків;
9) оригінал або засвідчену у встановленому законодавством порядку копію регламенту роботи кваліфікованого надавача електронних довірчих послуг, погодженого з центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, або засвідчувальним центром - для надавачів електронних довірчих послуг, що вносяться до Довірчого списку за поданням засвідчувального центру, що відповідає вимогам до регламенту роботи кваліфікованого надавача електронних довірчих послуг;
10) оригінал або засвідчену у встановленому законодавством порядку копію плану припинення діяльності з надання кваліфікованих електронних довірчих послуг згідно з формою, встановленою центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
У разі подання юридичними особами та фізичними особами - підприємцями, які мають намір надавати кваліфіковані електронні довірчі послуги, документів для внесення відомостей про них до Довірчого списку в паперовій формі подаються також копії документів, передбачених цією частиною, в електронній формі.
Суб’єкти, визначені абзацом першим частини першої статті 9 цього Закону, подають документи для внесення відомостей про них до Довірчого списку до засвідчувального центру.
3. У разі якщо юридична особа, фізична особа - підприємець має намір надавати кваліфіковані електронні довірчі послуги через відокремлені пункти реєстрації, разом із документами, передбаченими частиною другою цієї статті, до центрального засвідчувального органу або засвідчувального центру подаються відомості про відокремлені пункти реєстрації та їх працівників, обов’язки яких будуть безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг.
4. Центральний засвідчувальний орган або засвідчувальний центр за результатами розгляду поданих документів протягом 15 робочих днів з дня реєстрації заяви про внесення до Довірчого списку приймає рішення про внесення відомостей про кваліфікованого надавача електронних довірчих послуг до Довірчого списку або надсилає заявнику вмотивовану відмову.
5. Кваліфікований надавач електронних довірчих послуг на підставі прийнятого центральним засвідчувальним органом або засвідчувальним центром рішення про внесення відомостей про нього до Довірчого списку подає до центрального засвідчувального органу або засвідчувального центру документи для формування кваліфікованих сертифікатів відкритих ключів кваліфікованого надавача електронних довірчих послуг (окремо для кожної кваліфікованої електронної довірчої послуги) відповідно до вимог регламенту роботи центрального засвідчувального органу або засвідчувального центру.
6. Центральний засвідчувальний орган або засвідчувальний центр приймає рішення про відмову у внесенні відомостей до Довірчого списку у разі: подання неповного пакета документів, передбачених частиною другою цієї статті, або порушення встановлених вимог до поданих документів; виявлення в заяві про внесення до Довірчого списку та документах, що подаються разом із заявою, недостовірних відомостей, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
7. У разі зміни відомостей, що містяться в Довірчому списку, кваліфікований надавач електронних довірчих послуг зобов’язаний протягом п’яти робочих днів з дня настання таких змін подати до органу, який приймав рішення про внесення відомостей про нього до Довірчого списку, заяву про внесення змін до Довірчого списку разом з документами, що підтверджують відповідні зміни.
У разі пропущення строку подання документів, що є підставою для внесення змін до Довірчого списку, кваліфікованому надавачу електронних довірчих послуг забороняється надавати кваліфіковані електронні довірчі послуги до внесення відповідних змін до Довірчого списку.
Центральний засвідчувальний орган протягом п’яти робочих днів з дня реєстрації заяви про внесення змін до Довірчого списку зобов’язаний внести відповідні зміни до Довірчого списку або надати заявнику вмотивовану відмову.
Центральний засвідчувальний орган або засвідчувальний центр надає вмотивовану відмову у внесенні змін до Довірчого списку у разі:
неподання документів, що є підставою для внесення відповідних змін до Довірчого списку, або порушення встановлених вимог до поданих документів;
виявлення в заяві про внесення змін до Довірчого списку та документах, що подаються разом із заявою, недостовірних відомостей, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
8. Засвідчувальний центр протягом трьох робочих днів з дня прийняття рішення про внесення відомостей про кваліфікованого надавача електронних довірчих послуг до Довірчого списку або протягом п’яти робочих днів з дня отримання від такого надавача заяви про внесення змін до Довірчого списку повідомляє центральний засвідчувальний орган, який протягом п’яти робочих днів з дня реєстрації повідомлення засвідчувального центру вносить відповідні зміни до Довірчого списку.
9. Центральний засвідчувальний орган приймає рішення про скасування статусу кваліфікованого надавача електронних довірчих послуг шляхом зміни статусу кваліфікованої електронної довірчої послуги, що надається кваліфікованим надавачем електронних довірчих послуг, на статус "скасований" у разі отримання:
заяви кваліфікованого надавача електронних довірчих послуг про прийняте ним рішення про припинення надання усіх кваліфікованих електронних довірчих послуг, що зазначені у Довірчому списку;
подання засвідчувального центру про скасування статусу кваліфікованого надавача електронних довірчих послуг;
подання контролюючого органу про скасування статусу кваліфікованого надавача електронних довірчих послуг за результатами перевірки дотримання вимог законодавства у сфері електронних довірчих послуг;
інформації про припинення діяльності кваліфікованого надавача електронних довірчих послуг (державної реєстрації припинення підприємницької діяльності фізичної особи - підприємця чи припинення юридичної особи);
інформації про смерть кваліфікованого надавача електронних довірчих послуг (фізичної особи - підприємця);
інформації про набрання законної сили рішенням суду про скасування статусу кваліфікованого надавача електронних довірчих послуг та оголошення кваліфікованого надавача електронних довірчих послуг померлим, визнання його безвісно відсутнім, недієздатним, обмеження його цивільної дієздатності, визнання кваліфікованого надавача електронних довірчих послуг банкрутом.
У разі скасування статусу кваліфікованого надавача електронних довірчих послуг інформація про такого надавача та кваліфіковані електронні довірчі послуги, які він надавав, зберігається в Довірчому списку з метою забезпечення перевірки кваліфікованих сертифікатів відкритих ключів надавача та його користувачів.
10. З метою забезпечення безперервного надання кваліфікованих електронних довірчих послуг їх користувачам центральний засвідчувальний орган може прийняти рішення про внесення змін до Довірчого списку щодо заміни кваліфікованого надавача електронних довірчих послуг шляхом заміни відомостей про кваліфікованого надавача електронних довірчих послуг відомостями про іншого кваліфікованого надавача електронних довірчих послуг, якщо передача відповідних прав та обов’язків здійснюється за спільною згодою таких надавачів, за договором або з інших підстав для правонаступництва, визначених законодавством.
Порядок внесення змін до Довірчого списку щодо заміни кваліфікованого надавача електронних довірчих послуг, а також особливості набуття та скасування статусу кваліфікованого надавача електронних довірчих послуг у разі заміни кваліфікованого надавача електронних довірчих послуг визначаються Порядком ведення Довірчого списку, що затверджується центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
Стаття 31. Припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг
1. Кваліфікований надавач електронних довірчих послуг припиняє свою діяльність з надання кваліфікованих електронних довірчих послуг у разі:
прийняття центральним засвідчувальним органом рішення про скасування статусу кваліфікованого надавача електронних довірчих послуг;
прийняття ним рішення про припинення надання кваліфікованих електронних довірчих послуг, що зазначені у Довірчому списку;
припинення діяльності кваліфікованого надавача електронних довірчих послуг (державної реєстрації припинення підприємницької діяльності фізичної особи - підприємця чи припинення юридичної особи), крім випадків правонаступництва, визначених частиною десятою статті 30 цього Закону;
набрання законної сили рішенням суду про скасування статусу кваліфікованого надавача електронних довірчих послуг, оголошення його померлим, визнання безвісно відсутнім, недієздатним, обмеження його цивільної дієздатності, визнання його банкрутом.
2. Про прийняте рішення про припинення надання кваліфікованих електронних довірчих послуг кваліфікований надавач електронних довірчих послуг зобов’язаний повідомити користувачам електронних довірчих послуг, центральному засвідчувальному органу або засвідчувальному центру та контролюючому органу не пізніше п’яти робочих днів з дня прийняття такого рішення.
3. Центральний засвідчувальний орган та/або засвідчувальний центр зобов’язаний оприлюднити інформацію про рішення відповідно центрального засвідчувального органу або засвідчувального центру щодо припинення кваліфікованим надавачем електронних довірчих послуг діяльності з надання кваліфікованих електронних довірчих послуг, в тому числі у зв’язку із скасуванням статусу кваліфікованого надавача електронних довірчих послуг, не пізніше наступного робочого дня після прийняття такого рішення шляхом:
розміщення інформації про таке рішення на своєму офіційному веб-сайті;
надіслання кваліфікованому надавачу електронних довірчих послуг повідомлення про таке рішення із зазначенням підстави його прийняття.
4. Центральний засвідчувальний орган та/або засвідчувальний центр зобов’язаний опублікувати на своєму офіційному веб-сайті повідомлення про припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг не пізніше наступного робочого дня з дня одержання повідомлення про настання підстав, передбачених абзацами третім - п’ятим частини першої цієї статті.
Повідомлення центрального засвідчувального органу або засвідчувального центру про припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг повинно містити дату опублікування.
5. Кваліфікований надавач електронних довірчих послуг припиняє свою діяльність з надання кваліфікованих електронних довірчих послуг через три місяці з дня опублікування на своєму офіційному веб-сайті центральним засвідчувальним органом або засвідчувальним центром повідомлення про припинення надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг.
6. З дня опублікування на своєму офіційному веб-сайті центральним засвідчувальним органом або засвідчувальним центром повідомлення про припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг та до дня припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікований надавач електронних довірчих послуг зобов’язаний надавати електронні довірчі послуги, крім формування нових кваліфікованих сертифікатів відкритих ключів.
Кваліфікований надавач електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, передає обслуговування користувачів електронних довірчих послуг, з якими він уклав договори про надання кваліфікованих електронних довірчих послуг, до іншого кваліфікованого надавача електронних довірчих послуг у порядку, встановленому Кабінетом Міністрів України.
7. У разі відмови користувача електронних довірчих послуг продовжити обслуговування за договором про надання кваліфікованих електронних довірчих послуг, укладеним з кваліфікованим надавачем електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, в іншого кваліфікованого надавача електронних довірчих послуг до закінчення строку дії відповідного договору кваліфікований надавач електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, зобов’язаний повернути такому користувачу кошти за послуги, які не можуть надаватися в подальшому, якщо вони були попередньо оплачені користувачем.
Якщо користувач електронних довірчих послуг погодився продовжити обслуговування за договором про надання кваліфікованих електронних довірчих послуг, укладеним з кваліфікованим надавачем електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, в іншого кваліфікованого надавача електронних довірчих послуг до закінчення строку дії відповідного договору, кваліфікований надавач електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, зобов’язаний оплатити подальше надання кваліфікованих електронних довірчих послуг такому користувачу за тарифами, встановленими відповідним кваліфікованим надавачем електронних довірчих послуг.
8. Центральний засвідчувальний орган у день, визначений відповідно до частини п’ятої цієї статті як дата припинення діяльності з надання кваліфікованих електронних довірчих послуг, вносить відповідні зміни до Довірчого списку.
9. Кваліфікований надавач електронних довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, зобов’язаний передати документовану інформацію користувачів електронних довірчих послуг, зазначених у частині першій статті 9 цього Закону, до іншого кваліфікованого надавача електронних довірчих послуг, який виявив намір продовжити обслуговування користувачів електронних довірчих послуг до закінчення строку дії відповідних договорів про надання кваліфікованих електронних довірчих послуг, або до центрального засвідчувального органу чи засвідчувального центру.
10. Порядок зберігання документованої інформації та її передавання до центрального засвідчувального органу в разі припинення діяльності кваліфікованого надавача електронних довірчих послуг встановлюється Кабінетом Міністрів України.
11. Порядок передавання документованої інформації до засвідчувального центру в разі припинення діяльності кваліфікованого надавача електронних довірчих послуг, відомості про якого внесені до Довірчого списку за рішенням засвідчувального центру, встановлюється Національним банком України";
34) назву розділу V викласти в такій редакції:
"Розділ V
НАГЛЯД І КОНТРОЛЬ У СФЕРАХ ЕЛЕКТРОННОЇ ІДЕНТИФІКАЦІЇ ТА ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ";
"Стаття 32. Оцінка відповідності у сферах електронної ідентифікації та електронних довірчих послуг
1. Для доведення відповідності вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, юридичні особи, фізичні особи - підприємці, які мають намір надавати кваліфіковані електронні довірчі послуги, повинні за власний рахунок пройти процедуру оцінки відповідності у сфері електронних довірчих послуг.
2. Надавачі послуг електронної ідентифікації повинні за власний рахунок пройти процедуру оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації низькому, середньому або високому рівню довіри.
3. Оцінка відповідності у сферах електронної ідентифікації та електронних довірчих послуг здійснюється органами з оцінки відповідності, акредитованими відповідно до законодавства у сфері акредитації.
4. Центральний засвідчувальний орган формує, підтримує в актуальному стані та публікує на своєму офіційному веб-сайті перелік органів з оцінки відповідності з гіперпосиланням на реєстр акредитованих органів з оцінки відповідності, розміщений на офіційному веб-сайті національного органу України з акредитації, а також іноземних органів з оцінки відповідності, акредитованих відповідно іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA).
5. Оцінка відповідності вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, здійснюється з урахуванням вимог законодавства щодо порядку надання і використання кваліфікованих електронних довірчих послуг, а також з урахуванням вимог законодавства у сфері захисту інформації.
У разі надання електронних довірчих послуг у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг оцінка відповідності вимог до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, здійснюється з урахуванням вимог, встановлених Національним банком України.
6. Кваліфіковані надавачі електронних довірчих послуг, які пройшли процедуру оцінки відповідності у сфері електронних довірчих послуг та відомості про яких внесені до Довірчого списку, повинні кожні 24 місяці за власний рахунок проходити процедуру оцінки відповідності для доведення того, що вони та електронні довірчі послуги, які вони надають, відповідають вимогам у сфері електронних довірчих послуг.
7. Надавачі послуг електронної ідентифікації після проходження процедури оцінки відповідності засобів електронної ідентифікації в контексті схем електронної ідентифікації подають до центрального засвідчувального органу аудиторський звіт для прийняття рішення про затвердження таких схем.
8. Контролюючий орган у випадках, визначених законом, може подати запит до органу з оцінки відповідності про надання аудиторського звіту щодо проведення процедури оцінки відповідності кваліфікованого надавача електронних довірчих послуг за рахунок такого надавача для підтвердження того, що він та електронні довірчі послуги, які він надає, відповідають вимогам у сфері електронних довірчих послуг.
9. Про результати оцінки відповідності у сфері електронних довірчих послуг кваліфіковані надавачі електронних довірчих послуг повідомляють контролюючий орган шляхом надання копії документа про відповідність вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, не пізніше трьох робочих днів з дня його отримання.
10. Проведення процедури оцінки відповідності у сферах електронної ідентифікації та електронних довірчих послуг здійснюється в порядку, затвердженому Кабінетом Міністрів України.
Проведення процедури оцінки відповідності у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг здійснюється з урахуванням вимог, визначених Національним банком України.
Стаття 33. Державний нагляд (контроль) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг
1. Державний нагляд (контроль) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг здійснює контролюючий орган.
2. Заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг здійснюються відповідно цього Закону.
3. Функції контролюючого органу виконує Державна служба спеціального зв’язку та захисту інформації України";
"Стаття 33-1. Заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг
1. Результати оцінки відповідності у сферах електронної ідентифікації та електронних довірчих послуг аналізуються контролюючим органом. У разі негативних результатів оцінки відповідності та/або наданих органом з оцінки відповідності рекомендацій контролюючий орган може своїм рішенням призначити додаткову оцінку відповідності після усунення всіх недоліків, зазначених в аудиторському звіті.
2. Планові заходи контролю контролюючим органом не здійснюються.
3. Контролюючий орган здійснює такі позапланові заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг:
1) перевірка надавачів послуг електронної ідентифікації та надавачів електронних довірчих послуг за їхніми заявами;
2) перевірка надавачів послуг електронної ідентифікації та надавачів електронних довірчих послуг у разі виявлення та підтвердження наявності недостовірних відомостей у поданих ними документах;
3) перевірка надавачів послуг електронної ідентифікації, надавачів електронних довірчих послуг після отримання інформації чи повідомлення про порушення вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг від засвідчувального центру, центрального засвідчувального органу, суду, користувачів електронних довірчих послуг або третіх осіб;
4) перевірка надавачів послуг електронної ідентифікації, надавачів електронних довірчих послуг за обґрунтованим рішенням контролюючого органу.
Стаття 33-2. Заходи реагування на порушення законодавства у сфері електронної ідентифікації та сфері електронних довірчих послуг
1. За результатами проведення перевірок кваліфікованих надавачів електронних довірчих послуг (їхніх відокремлених пунктів реєстрації), засвідчувального центру, центрального засвідчувального органу контролюючий орган вживає таких заходів реагування:
1) вимагає від кваліфікованих надавачів електронних довірчих послуг, засвідчувального центру, центрального засвідчувального органу усунення порушень вимог законодавства у сфері електронних довірчих послуг у встановлений приписом строк;
2) приймає рішення про блокування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, якщо під час перевірки виникла підозра компрометації особистого ключа;
3) приймає рішення про скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, якщо під час перевірки виявлено факт компрометації особистого ключа.
Рішення про блокування або скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, контролюючий орган надсилає в день його прийняття до центрального засвідчувального органу;
4) надсилає до центрального засвідчувального органу подання про відкликання статусу кваліфікованого надавача електронних довірчих послуг або послуги, яку надає кваліфікований надавач електронних довірчих послуг, засвідчувального центру, центрального засвідчувального органу у Довірчому списку в разі:
надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг без чинних документів, визначених законодавством, що підтверджують відповідність комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг та засобів захисту інформації у її складі вимогам нормативно-правових актів у сфері технічного та криптографічного захисту інформації, або документів про відповідність за результатами процедури оцінки відповідності у сфері електронних довірчих послуг;
непроходження додаткової державної експертизи комплексної системи захисту інформації або процедури оцінки відповідності інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг у разі модернізації апаратного, апаратно-програмного пристрою чи програмного забезпечення, що входять до складу програмно-технічного комплексу, яка не передбачена проектною чи експлуатаційною документацією до комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг;
надання кваліфікованих електронних довірчих послуг за відсутності у кваліфікованого надавача електронних довірчих послуг поточного рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) з необхідним обсягом коштів або чинного договору страхування цивільно-правової відповідальності з необхідним розміром страхової суми, що встановлені частиною п’ятою статті 16 цього Закону, для забезпечення відшкодування збитків, які можуть бути завдані користувачам електронних довірчих послуг або третім особам внаслідок неналежного виконання кваліфікованим надавачем електронних довірчих послуг своїх зобов’язань;
порушення вимог до умов експлуатації комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг;
надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг без чинних документів, визначених законодавством, що підтверджують його право власності та/або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуються для надання кваліфікованих електронних довірчих послуг;
встановлення факту надання недостовірних відомостей, наведених у документах, поданих кваліфікованим надавачем електронних довірчих послуг для внесення відомостей про нього до Довірчого списку;
неусунення виявлених під час перевірки порушень у встановлений приписом строк;
блокування або скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг.
2. Протягом одного місяця з дня генерації центральним засвідчувальним органом пар ключів та формування відповідних самопідписаних сертифікатів електронних печаток центрального засвідчувального органу контролюючий орган проводить позапланову перевірку центрального засвідчувального органу в частині захисту інформації у програмно-технічному комплексі центрального засвідчувального органу.
У разі виявлення порушень вимог, встановлених законодавством для центрального засвідчувального органу, контролюючий орган інформує Кабінет Міністрів України про виявлені порушення та пропонує центральному засвідчувальному органу шляхи їх усунення.
3. За результатами проведення перевірок надавачів послуг електронної ідентифікації контролюючий орган вживає таких заходів реагування:
1) вимагає від надавачів послуг електронної ідентифікації усунення порушень вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг у встановлений приписом строк;
2) приймає рішення про зупинення надання послуг електронної ідентифікації надавачем послуг електронної ідентифікації, якщо під час перевірки виявлено факт порушення, що впливає на безпеку надання таких послуг, до повного усунення виявлених порушень.
4. Щороку до 1 квітня контролюючий орган готує та подає до Кабінету Міністрів України звіт про оцінку діяльності суб’єктів відносин у сферах електронної ідентифікації та електронних довірчих послуг щодо дотримання вимог законодавства";
37) статтю 34 викласти в такій редакції:
"Стаття 34. Повноваження посадових осіб контролюючого органу під час здійснення заходів державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг
1. Посадові особи контролюючого органу під час здійснення заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг мають право:
1) здійснювати виїзні та невиїзні заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг;
2) у разі виявлення порушення вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг видавати обов’язкові для виконання приписи про усунення порушень і визначати строк усунення виявлених порушень;
3) накладати на винних осіб адміністративні стягнення за порушення вимог цього Закону та інших нормативно-правових актів, прийнятих відповідно до цього Закону;
4) звертатися до суду щодо застосування заходів реагування;
5) виконувати інші повноваження, визначені законом";
"Стаття 34-1. Невиїзні заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та/або електронних довірчих послуг
1. Контролюючий орган здійснює невиїзні заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг шляхом аналізу:
1) стану роботи веб-сайту надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
2) наповненості веб-сайту надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, належного інформування користувачів послуг електронної ідентифікації або електронних довірчих послуг про надання послуг;
3) переліку, порядку надання та змісту послуг електронної ідентифікації, електронних довірчих послуг через веб-сайт надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
4) повідомлень надавача послуг електронної ідентифікації, кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
5) документів про відповідність за результатами проведення процедур оцінки відповідності надавача послуг електронної ідентифікації, кваліфікованого надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру та послуг, які вони надають;
6) іншої інформації про функціонування, організацію та надання послуг електронної ідентифікації, електронних довірчих послуг надавачем послуг електронної ідентифікації, надавачем електронних довірчих послуг, центральним засвідчувальним органом або засвідчувальним центром.
Стаття 34-2. Рішення про проведення позапланової перевірки
1. Для проведення позапланової перевірки Контролюючий орган приймає рішення щодо проведення перевірки. Рішення щодо проведення перевірки підписується керівником Контролюючого органу або його заступником відповідно до розподілу функціональних обов’язків.
2. Рішення щодо проведення перевірки повинне містити:
1) найменування Контролюючого органу;
2) найменування (прізвище, ім’я, по батькові (за наявності) надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
3) місцезнаходження або місце проживання надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
4) підставу для проведення перевірки;
5) предмет перевірки;
6) дати початку та закінчення перевірки;
7) посадовий та персональний склад комісії з перевірки.
3. Повідомлення про прийняття рішення про проведення позапланової перевірки надсилається (вручається) надавачу послуг електронної ідентифікації, надавачу електронних довірчих послуг, центральному засвідчувальному органу або засвідчувальному центру не пізніше 10 робочих днів до початку перевірки рекомендованим листом та/або за допомогою електронних комунікацій (у тому числі через електронний кабінет чи іншу інформаційну систему, користувачами якої є контролюючий орган та суб’єкт, якого він перевіряє) або вручається особисто під розписку керівнику чи уповноваженій особі суб’єкта, який перевіряється.
4. Строк проведення позапланової перевірки не може перевищувати 10 робочих днів.
5. Позапланова перевірка проводиться в робочий час надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, встановлений його правилами внутрішнього трудового розпорядку.
6. Надавач послуг електронної ідентифікації, надавач електронних довірчих послуг, центральний засвідчувальний орган або засвідчувальний центр мають право не допускати посадових осіб контролюючого органу до проведення позапланової перевірки у разі неодержання у строк, визначений частиною третьою цієї статті, повідомлення про прийняття рішення про проведення перевірки.
Стаття 34-3. Комісія з перевірки
1. Комісія з перевірки утворюється у складі голови та членів комісії.
До складу комісії з перевірки можуть залучатися представники центрального засвідчувального органу (за згодою).
2. На підставі рішення про проведення перевірки оформлюється посвідчення на проведення перевірки, яке підписує керівник контролюючого органу або його заступник відповідно до розподілу функціональних обов’язків, і засвідчується печаткою.
Форма посвідчення на проведення перевірки затверджується контролюючим органом.
3. У посвідченні на проведення перевірки зазначаються:
1) найменування контролюючого органу;
2) найменування (прізвище, ім’я, по батькові (за наявності) надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
3) місцезнаходження або місце проживання надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
4) реквізити рішення про проведення перевірки;
5) персональний та посадовий склад комісії з перевірки;
6) дати початку і закінчення перевірки;
7) підстава для проведення перевірки;
8) перелік питань, що підлягають перевірці.
Посвідчення на проведення перевірки є чинним лише протягом зазначеного в ньому строку проведення перевірки.
4. Члени комісії з перевірки зобов’язані:
1) об’єктивно та неупереджено проводити перевірку;
2) дотримуватися вимог законодавства у сферах електронної ідентифікації, електронних довірчих послуг, захисту інформації та захисту персональних даних;
3) сумлінно, вчасно та якісно виконувати свої службові обов’язки та доручення голови комісії з перевірки;
4) дотримуватися ділової етики у взаємовідносинах з керівником та працівниками надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
5) ознайомлювати керівника надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру чи уповноваженого ним представника з результатами перевірки;
6) надавати надавачу послуг електронної ідентифікації, надавачу електронних довірчих послуг, центральному засвідчувальному органу або засвідчувальному центру консультаційну допомогу з питань проведення перевірки;
7) не розголошувати інформацію з обмеженим доступом, яка стала їм відома у зв’язку з виконанням службових обов’язків.
5. Члени комісії з перевірки під час виконання своїх службових обов’язків у процесі проведення перевірки мають право:
1) доступу до спеціальних приміщень, всіх документів та інформації надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру, пов’язаних з наданням послуг електронної ідентифікації та/або кваліфікованих електронних довірчих послуг;
2) вивчати роботу інформаційно-комунікаційної системи, а також інших технічних засобів, засобів електронної ідентифікації, засобів кваліфікованого електронного підпису чи печатки, які використовуються надавачем послуг електронної ідентифікації, надавачем електронних довірчих послуг, центральним засвідчувальним органом або засвідчувальним центром для надання послуг електронної ідентифікації та/або кваліфікованих електронних довірчих послуг;
3) отримувати від працівників надавача послуг електронної ідентифікації, надавача електронних довірчих послуг, центрального засвідчувального органу або засвідчувального центру інформацію та пояснення, у тому числі письмові, щодо їх діяльності, пов’язаної з наданням електронної ідентифікації та/або електронних довірчих послуг, необхідні для проведення перевірки;