Art. 21. Dostawca usług zaufania nie odpowiada za szkody wynikające
z nieprzestrzegania przez odbiorcę usług zaufania zasad określonych w polityce
świadczenia usługi, w szczególności za szkody wynikające z:
1) użycia certyfikatu niezgodnie z zakresem określonym w polityce świadczenia
usługi wskazanej w certyfikacie, w tym za szkody wynikające z przekroczenia
najwyższej wartości granicznej transakcji, jeżeli wartość ta została wskazana w certyfikacie;
2) nieprawdziwości danych zawartych w certyfikacie, podanych przez odbiorcę
usług zaufania używającego tego certyfikatu, chyba że szkoda była wynikiem
niedołożenia należytej staranności przez dostawcę usług zaufania;
3) przechowywania lub używania przez odbiorców usług zaufania danych do
składania podpisu elektronicznego, pieczęci elektronicznej lub uwierzytelniania
witryn internetowych w sposób niezapewniający ich ochrony przed nieuprawnionym wykorzystaniem.

Art. 21a. 1. Krajowy schemat identyfikacji elektronicznej obejmuje:
1) węzeł krajowy identyfikacji elektronicznej, zwany dalej „węzłem krajowym”;
2) przyłączone do węzła krajowego:
a) systemy identyfikacji elektronicznej, w których wydawane są środki
identyfikacji elektronicznej,
b) systemy teleinformatyczne, w których udostępniane są usługi online;
3) węzeł wykorzystywany w procesie transgranicznego uwierzytelniania osób,
o którym mowa w przepisach wydanych na podstawie
art. 12 ust. 8 rozporządzenia 910/2014, zwany dalej „węzłem transgranicznym”.
2. Węzeł krajowy jest rozwiązaniem organizacyjno-technicznym
umożliwiającym uwierzytelnianie użytkownika systemu teleinformatycznego,
korzystającego z usługi online, z wykorzystaniem środka identyfikacji elektronicznej
wydanego w systemie identyfikacji elektronicznej przyłączonym do tego węzła
bezpośrednio albo za pośrednictwem węzła transgranicznego.
3. Wykorzystywanie środka identyfikacji elektronicznej do uwierzytelnienia
użytkownika systemu teleinformatycznego w celu realizacji usługi online świadczonej
przez podmiot, o którym mowa w art. 2 i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne
(Dz. U. z 2020 r. poz. 346, 568 i 695), lub podmiot sektora publicznego, o którym
mowa w art. 3 pkt 7 rozporządzenia 910/2014, jest nieodpłatne.
4. Uwierzytelnienie użytkownika systemu teleinformatycznego w celu realizacji
usługi online wymaga użycia środka identyfikacji elektronicznej na poziomie
bezpieczeństwa określonym przez podmiot świadczący tę usługę.
5. Funkcjonowanie węzła krajowego zapewnia minister właściwy do spraw informatyzacji.
6. Minister właściwy do spraw informatyzacji przetwarza dane osobowe osób,
którym wydano środki identyfikacji elektronicznej, obejmujące:
1) imię (imiona),
2) nazwisko,
3) nazwisko rodowe,
4) numer PESEL lub niepowtarzalny identyfikator środka identyfikacji
elektronicznej, o którym mowa w przepisach wydanych na podstawie
art. 12 ust. 8 rozporządzenia 910/2014,
5) datę urodzenia,
6) miejsce urodzenia,
7) płeć,
8) adres zamieszkania
– w celu uwierzytelnienia z wykorzystaniem węzła krajowego.

Art. 21b. 1. Minister właściwy do spraw informatyzacji wydaje decyzję
o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego podmiotowi
odpowiedzialnemu za ten system posiadającemu siedzibę na terenie jednego z państw
członkowskich Unii Europejskiej po:
1) potwierdzeniu spełnienia przez ten system wymagań dla zadeklarowanych
poziomów bezpieczeństwa środków identyfikacji elektronicznej wydawanych
w tym systemie, określonych w przepisach wydanych na podstawie art. 8 ust. 3
rozporządzenia 910/2014;
2) przeprowadzeniu testów integracyjnych zakończonych wynikiem pozytywnym,
potwierdzających interoperacyjność systemów identyfikacji elektronicznej,
z uwzględnieniem przepisów wydanych na podstawie art. 12 ust. 8
rozporządzenia 910/2014;
3) zapewnieniu przez podmiot odpowiedzialny za ten system opracowania,
ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania,
utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji
zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne;
4) przedstawieniu przez podmiot odpowiedzialny za ten system dokumentu
zawierającego przyrzeczenie zakładu ubezpieczeń zawarcia umowy
ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z
wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie
identyfikacji elektronicznej wnioskodawcy;
5) przedstawieniu przez podmiot odpowiedzialny za ten system oświadczenia
o działaniu tego podmiotu zgodnie z przepisami o ochronie danych osobowych;
6) uzyskaniu pozytywnej opinii Szefa Agencji Bezpieczeństwa Wewnętrznego
w przypadku, o którym mowa w art. 21g ust. 6.
2. Przyłączenie systemu identyfikacji elektronicznej do węzła krajowego
następuje pod warunkiem dostarczenia ministrowi właściwemu do spraw
informatyzacji przez podmiot odpowiedzialny za system identyfikacji elektronicznej,
w terminie wskazanym przez tego ministra, nie krótszym niż 30 dni, kopii umowy
ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku
z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie
identyfikacji elektronicznej wnioskodawcy.
3. Po spełnieniu warunku, o którym mowa w ust. 2, przyłączenie systemu
identyfikacji elektronicznej do węzła krajowego następuje bez zbędnej zwłoki.

Art. 21c. 1. Ubezpieczeniem, o którym mowa w art. 21b ust. 2, jest objęta
odpowiedzialność cywilna podmiotu odpowiedzialnego za system identyfikacji
elektronicznej za szkodę wynikającą z działania lub zaniechania, wyrządzoną
w związku z wykorzystaniem środka identyfikacji elektronicznej wydanego
w systemie identyfikacji elektronicznej, w usłudze online świadczonej przez podmiot,
o którym mowa w art. 2 i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o
informatyzacji działalności podmiotów realizujących zadania publiczne, lub podmiot
sektora publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014,
spowodowaną przez awarię, przerwę lub błąd systemu lub przez zaciągnięcie zobowiązania w wyniku nieuprawnionego wykorzystania tego środka identyfikacji elektronicznej.
2. Ubezpieczenie, o którym mowa w art. 21b ust. 2, nie obejmuje szkód:
1) wyrządzonych przez ubezpieczonego po dniu wydania ostatecznej decyzji
o odłączeniu systemu identyfikacji elektronicznej od węzła krajowego, chyba że
szkoda jest następstwem działania lub zaniechania, które miało miejsce w okresie
przyłączenia do węzła krajowego,
2) polegających na zapłacie kar umownych,
3) powstałych wskutek siły wyższej
– chyba że w umowie ubezpieczenia zakres ochrony ubezpieczeniowej zostanie
rozszerzony również o szkody wynikające ze zdarzeń wskazanych w pkt 1–3.
3. Ubezpieczenie, o którym mowa w art. 21b ust. 2, obejmuje wszystkie szkody
w zakresie, o którym mowa w ust. 1 i 2, bez możliwości umownego ograniczenia
odpowiedzialności przez zakład ubezpieczeń.

Art. 21ca. 1. Podmiot odpowiedzialny za system identyfikacji elektronicznej
ponosi odpowiedzialność cywilną za szkodę wynikającą z działania lub zaniechania,
wyrządzoną w związku z wykorzystaniem środka identyfikacji elektronicznej, w celu
uwierzytelnienia użytkowników systemów określonych w art. 21a ust. 1 pkt 2 lit. b,
korzystających z usługi online świadczonej przez podmiot, o którym mowa w art. 2 i
art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne, lub podmiot sektora publicznego, o którym mowa w
art. 3 pkt 7 rozporządzenia 910/2014, spowodowaną przez awarię, przerwę lub błąd
systemu lub przez zaciągnięcie zobowiązania w wyniku nieuprawnionego
wykorzystania tego środka identyfikacji elektronicznej do wysokości 2 000 000 euro
w odniesieniu do wszystkich zdarzeń w danym roku.
2. Ograniczenia odpowiedzialności do wysokości wskazanej w ust. 1 nie stosuje
się w przypadku transgranicznego uwierzytelniania osób, o którym mowa w
przepisach wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014.

Art. 21d. 1. Minister właściwy do spraw instytucji finansowych w porozumieniu
z ministrem właściwym do spraw informatyzacji, po zasięgnięciu opinii Polskiej Izby
Ubezpieczeń, określi, w drodze rozporządzenia, minimalną sumę gwarancyjną
ubezpieczenia, o którym mowa w art. 21b ust. 2, za szkody wynikające z działania lub
zaniechania, wyrządzone w związku z wykorzystaniem środków identyfikacji
elektronicznej wydanych w systemie identyfikacji elektronicznej, w usługach online świadczonych przez podmioty, o których mowa w art. 2 lub art. 19c ust. l ustawy
z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących
zadania publiczne, lub podmioty sektora publicznego, o których mowa
w art. 3 pkt 7 rozporządzenia 910/2014, spowodowane przez awarie, przerwy lub
błędy systemu lub przez zaciągnięcie zobowiązań w wyniku nieuprawnionego
wykorzystania środka identyfikacji elektronicznej, uwzględniając specyfikę
działalności prowadzonej przez podmioty odpowiedzialne za systemy identyfikacji elektronicznej.
2. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia,
wysokość kwot odpowiedzialności podmiotu odpowiedzialnego za system
identyfikacji elektronicznej, o której mowa w art. 21ca ust. 1, w odniesieniu do
jednego zdarzenia, w zależności od poziomu bezpieczeństwa środków identyfikacji
elektronicznej wydawanych w tym systemie, kierując się potrzebą zapewnienia
zaufania do uwierzytelnienia z wykorzystaniem środków identyfikacji elektronicznej.

Art. 21e. 1. Osoba, której wydano środek identyfikacji elektronicznej
w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego, jest
obowiązana:
1) korzystać ze środka identyfikacji elektronicznej zgodnie z warunkami
określonymi przez podmiot odpowiedzialny za system identyfikacji
elektronicznej, w którym został wydany ten środek;
2) zgłaszać niezwłocznie podmiotowi odpowiedzialnemu za system identyfikacji
elektronicznej, w którym został wydany ten środek, utratę, kradzież,
przywłaszczenie środka identyfikacji elektronicznej lub utratę wyłącznej kontroli
nad danymi umożliwiającymi identyfikację przy użyciu tego środka albo
stwierdzenie nieuprawnionego użycia środka identyfikacji elektronicznej.
2. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, osoba, której
wydano środek identyfikacji elektronicznej w systemie identyfikacji elektronicznej
przyłączonym do węzła krajowego, z chwilą wydania tego środka podejmuje
niezbędne działania służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń
tego środka lub danych umożliwiających identyfikację przy użyciu tego środka.

Art. 21f. W przypadku zgłoszenia, o którym mowa w art. 21e ust. 1 pkt 2,
osoba, której wydano środek identyfikacji elektronicznej w systemie identyfikacji
elektronicznej przyłączonym do węzła krajowego, po dokonaniu zgłoszenia nie ponosi odpowiedzialności za zobowiązanie zaciągnięte z wykorzystaniem środka identyfikacji elektronicznej.

Art. 21g. 1. Przyłączenie systemu identyfikacji elektronicznej do węzła
krajowego następuje na wniosek podmiotu odpowiedzialnego za system identyfikacji
elektronicznej.
2. Wniosek zawiera:
1) imię i nazwisko lub firmę (nazwę), adres siedziby i miejsca wykonywania
działalności, numer w Krajowym Rejestrze Sądowym, a w przypadku gdy
podmiot nie posiada numeru w Krajowym Rejestrze Sądowym, wskazanie
organu, któremu działalność podmiotu została zgłoszona, lub właściwego
rejestru oraz podanie numeru identyfikacyjnego, jeżeli został on nadany,
podmiotu odpowiedzialnego za system identyfikacji elektronicznej;
2) imię i nazwisko lub firmę (nazwę), adres siedziby i miejsca wykonywania
działalności, numer w Krajowym Rejestrze Sądowym, a w przypadku gdy
podmiot nie posiada numeru w Krajowym Rejestrze Sądowym, wskazanie
organu, któremu działalność podmiotu została zgłoszona, lub właściwego
rejestru oraz podanie numeru identyfikacyjnego, jeżeli został on nadany, każdego
podmiotu:
a) potwierdzającego tożsamość oraz weryfikującego dane identyfikujące
osoby ubiegającej się o wydanie środka identyfikacji elektronicznej,
b) wydającego środki identyfikacji elektronicznej,
c) zapewniającego funkcjonalność pozwalającą na uwierzytelnienie osób,
którym wydano środek identyfikacji elektronicznej
– w przypadku gdy czynności tych nie wykonuje podmiot odpowiedzialny za
system identyfikacji elektronicznej;
3) nazwę i szczegółowy opis systemu identyfikacji elektronicznej, w tym opis
środków identyfikacji elektronicznej wydawanych w tym systemie
z określeniem ich poziomu bezpieczeństwa, o którym mowa w art. 8 ust. 2
rozporządzenia 910/2014, oraz informacje techniczne i organizacyjne dotyczące
wykorzystania tych środków.
3. Do wniosku dołącza się:
1) dokument potwierdzający spełnianie wymagań dla zadeklarowanych poziomów
bezpieczeństwa środków identyfikacji elektronicznej, określonych w przepisach
wydanych na podstawie art. 8 ust. 3 rozporządzenia 910/2014, w szczególności:
a) pozytywny wynik audytu systemu zarządzania bezpieczeństwem informacji
obejmującego swym zakresem system identyfikacji elektronicznej, którego
dotyczy wniosek, albo
b) pozytywny wynik audytu, o którym mowa w przepisach wydanych na
podstawie art. 8 ust. 3 rozporządzenia 910/2014
– adekwatnie do poziomu bezpieczeństwa środków identyfikacji elektronicznej
wydawanych w tym systemie;
2) dokument zawierający przyrzeczenie zakładu ubezpieczeń zawarcia umowy
ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku
z wykorzystywaniem środków identyfikacji elektronicznej wydanych w
systemie identyfikacji elektronicznej wnioskodawcy;
3) oświadczenie o zapewnieniu stosowania polityki bezpieczeństwa, o której mowa
w art. 39b ust. 1 pkt 3;
4) oświadczenie o działaniu podmiotu zgodnie z przepisami o ochronie danych osobowych.
4. Wniosek oraz dokumenty, o których mowa w ust. 3, składa się w postaci
elektronicznej opatrzone kwalifikowanym podpisem elektronicznym.
5. Minister właściwy do spraw informatyzacji informuje Szefa Agencji
Bezpieczeństwa Wewnętrznego o wpłynięciu wniosku, o którym mowa w ust. 1,
w celu umożliwienia Szefowi Agencji Bezpieczeństwa Wewnętrznego dokonania
oceny, czy podmiot odpowiedzialny za system identyfikacji elektronicznej lub
podmiot, o którym mowa w ust. 2 pkt 2, znajdują się pod kontrolą korporacyjną,
w tym faktycznym wpływem innego państwa, jego podmiotu lub obywatela tego
państwa, a w przypadku znajdowania się pod taką kontrolą, w celu ustalenia, czy może
zagrażać bezpieczeństwu państwa, w tym bezpieczeństwu ekonomicznemu państwa.
6. Szef Agencji Bezpieczeństwa Wewnętrznego może przeprowadzić
postępowanie w celu dokonania oceny, o której mowa w ust. 5, o czym informuje
ministra właściwego do spraw informatyzacji w terminie 7 dni od dnia otrzymania
informacji o wpłynięciu wniosku.
7. Kontrolą korporacyjną, o której mowa w ust. 5, są wszelkie formy
bezpośredniego lub pośredniego uzyskania przez podmiot uprawnień, które osobno
albo łącznie, przy uwzględnieniu wszystkich okoliczności prawnych i faktycznych,
umożliwiają wywieranie decydującego wpływu na podmiot odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2,
a w szczególności w przypadku:
1) dysponowania bezpośrednio lub pośrednio większością głosów na zgromadzeniu
wspólników albo na walnym zgromadzeniu, także jako zastawnik albo
użytkownik, bądź w zarządzie innego podmiotu (podmiotu zależnego), także na
podstawie porozumień z innymi osobami;
2) uprawnienia do powoływania lub odwoływania większości członków zarządu
lub rady nadzorczej innego podmiotu (podmiotu zależnego), także na podstawie
porozumień z innymi osobami;
3) gdy członkowie jego zarządu lub rady nadzorczej stanowią więcej niż połowę
członków zarządu innego podmiotu (podmiotu zależnego);
4) dysponowania bezpośrednio lub pośrednio większością głosów w spółce
osobowej zależnej albo na walnym zgromadzeniu spółdzielni zależnej, także na
podstawie porozumień z innymi osobami;
5) dysponowania prawem do całego albo do części mienia innego podmiotu
(podmiotu zależnego);
6) umów przewidujących zarządzanie innym podmiotem (podmiotem zależnym)
lub przekazywanie zysku przez taki podmiot.
8. W przypadku wszczęcia przez Szefa Agencji Bezpieczeństwa Wewnętrznego
postępowania w celu dokonania oceny, o której mowa w ust. 5, minister właściwy do
spraw informatyzacji wzywa podmiot odpowiedzialny za system identyfikacji
elektronicznej do przekazania danych niezbędnych do przeprowadzenia postępowania
w stosunku do tego podmiotu lub podmiotu, o którym mowa w ust. 2 pkt 2.
9. Podmiot odpowiedzialny za system identyfikacji elektronicznej na żądanie
ministra właściwego do spraw informatyzacji obowiązany jest przekazać dane
i dokumenty niezbędne do przeprowadzenia postępowania w celu dokonania oceny,
o której mowa w ust. 5.
10. Agencja Bezpieczeństwa Wewnętrznego po przeprowadzeniu postępowania
w celu dokonania oceny, o której mowa w ust. 5, wydaje pozytywną opinię, jeżeli
podmiot odpowiedzialny za system identyfikacji elektronicznej lub podmiot, o którym
mowa w ust. 2 pkt 2:
1) nie znajduje się pod kontrolą korporacyjną innego państwa, jego podmiotu lub
obywatela tego państwa, albo
2) znajduje się pod kontrolą korporacyjną innego państwa, jego podmiotu lub
obywatela tego państwa, ale kontrola ta nie zagraża bezpieczeństwu państwa,
w tym bezpieczeństwu ekonomicznemu państwa.
11. Szef Agencji Bezpieczeństwa Wewnętrznego wydaje negatywną opinię
w przypadku niespełnienia odpowiednio przez podmiot odpowiedzialny za system
identyfikacji elektronicznej lub podmiot, o którym mowa w ust. 2 pkt 2, warunków,
o których mowa w ust. 10.
12. Opinia Szefa Agencji Bezpieczeństwa Wewnętrznego zawiera oddzielnie
stanowisko w stosunku do każdego z ocenianych podmiotów.
13. Rada Ministrów określi, w drodze rozporządzenia, zakres danych
i dokumentów niezbędnych do przeprowadzenia postępowania w celu dokonania
oceny, o której mowa w ust. 5, mając na uwadze potrzebę zapewnienia kompletności
danych i dokumentów niezbędnych do wydania opinii oraz zapewnienie sprawności postępowania.
14. Termin postępowania w sprawie przeprowadzenia oceny, o której mowa
w ust. 5, wynosi 30 dni od otrzymania danych i dokumentów niezbędnych do
przeprowadzenia postępowania i może zostać wydłużony o kolejne 30 dni w
przypadkach szczególnie uzasadnionych. Okresu przeprowadzenia postępowania nie
wlicza się do terminów przewidzianych na wydanie decyzji, o której mowa w art. 21b ust. 1.

Art. 21h. Minister właściwy do spraw informatyzacji po dokonaniu oceny
wniosku oraz dokumentów załączonych do wniosku wyznacza termin
przeprowadzenia testów integracyjnych, o których mowa w art. 21b ust. 1 pkt 2, i
przeprowadza testy zgodnie z procedurą udostępnioną w Biuletynie Informacji
Publicznej na swojej stronie podmiotowej.

Art. 21i. Minister właściwy do spraw informatyzacji informuje podmiot
odpowiedzialny za system identyfikacji elektronicznej na piśmie, w postaci
papierowej albo elektronicznej, o:
1) przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego;
2) każdej zmianie polityki bezpieczeństwa, o której mowa w art. 39b ust. 1 pkt 3.

Art. 21j. W przypadku niespełniania wymagań, o których mowa w art. 21b
ust. 1, minister właściwy do spraw informatyzacji wydaje decyzję o odmowie
przyłączenia systemu identyfikacji elektronicznej do węzła krajowego.

Art. 21k. Podmiot odpowiedzialny za system identyfikacji elektronicznej
przyłączony do węzła krajowego dostarcza ministrowi właściwemu do spraw
informatyzacji:
1) dokumenty potwierdzające spełnianie aktualnych wymagań dla wskazanych we
wniosku poziomów bezpieczeństwa środków identyfikacji elektronicznej,
o których mowa w art. 21g ust. 3 pkt 1, w przypadku zmiany przepisów
wydanych na podstawie art. 8 ust. 3 rozporządzenia 910/2014, w terminie 14 dni
od dnia wejścia w życie zmiany tych przepisów;
2) kopię kolejnej umowy ubezpieczenia odpowiedzialności cywilnej za szkody
wyrządzone w związku z wykorzystywaniem środków identyfikacji
elektronicznej wydanych w systemie identyfikacji elektronicznej wnioskodawcy, w terminie 14 dni od dnia jej zawarcia.

Art. 21l. 1. Ponowne złożenie wniosku, o którym mowa w art. 21g ust. 1,
wymagane jest w przypadku:
1) zmiany poziomu bezpieczeństwa środka identyfikacji elektronicznej,
wydawanego w systemie identyfikacji elektronicznej przyłączonym do węzła
krajowego;
2) uruchomienia w systemie identyfikacji elektronicznej przyłączonym do węzła
krajowego środka identyfikacji elektronicznej nieobjętego zakresem wniosku, na
podstawie którego została wydana decyzja o przyłączeniu systemu identyfikacji
elektronicznej do węzła krajowego;
3) wydania przez Szefa Agencji Bezpieczeństwa Wewnętrznego negatywnej opinii
w przypadku, o którym mowa w art. 21s ust. 3.
2. Umożliwienie korzystania za pośrednictwem węzła krajowego ze środków
identyfikacji elektronicznej, o których mowa w ust. 1, następuje po pozytywnym
rozpatrzeniu wniosku i przeprowadzeniu testów integracyjnych.

Art. 21m. Do węzła krajowego przyłącza się system teleinformatyczny
zapewniający obsługę publicznego systemu identyfikacji elektronicznej, o którym
mowa w art. 20aa pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne.

Art. 21n. 1. Minister właściwy do spraw informatyzacji prowadzi rejestr
systemów identyfikacji elektronicznej przyłączonych do węzła krajowego, zwany
dalej „rejestrem systemów”.
2. Rejestr systemów jest jawny.
3. Podstawą do wpisania systemu identyfikacji elektronicznej do rejestru
systemów jest decyzja, o której mowa w art. 21b ust. 1. Wpis jest czynnością
materialno-techniczną.
4. Do rejestru systemów wpisuje się:
1) informacje zawarte we wniosku, o którym mowa w art. 21g ust. 1;
2) datę przyłączenia systemu identyfikacji elektronicznej do węzła krajowego;
3) informacje o zamiarze zaprzestania świadczenia usług związanych ze środkami
identyfikacji elektronicznej wydawanymi w systemie identyfikacji
elektronicznej przyłączonym do węzła krajowego;
4) informacje o otwarciu likwidacji podmiotu odpowiedzialnego za system
identyfikacji elektronicznej oraz datę jego likwidacji;
5) informacje o ogłoszeniu upadłości podmiotu odpowiedzialnego za system
identyfikacji elektronicznej lub oddaleniu wniosku o ogłoszenie upadłości
z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego 2003 r. – Prawo
upadłościowe oraz datę zakończenia postępowania upadłościowego;
6) informacje o zawieszeniu możliwości korzystania z systemu identyfikacji
elektronicznej lub uwierzytelniania z wykorzystaniem środków identyfikacji
elektronicznej wydanych w tym systemie;
7) informacje o przywróceniu możliwości korzystania z systemu identyfikacji
elektronicznej lub uwierzytelniania z wykorzystaniem środków identyfikacji
elektronicznej wydanych w tym systemie;
8) informację o tym, czy system identyfikacji elektronicznej został przyłączony do
węzła transgranicznego;
9) datę wykreślenia z rejestru systemów podmiotu odpowiedzialnego za system
identyfikacji elektronicznej.

Art. 21o. 1. Informacje i dane zawarte w dokumentach potwierdzających
spełnianie wymagań, o których mowa w art. 21b ust. 1, których ujawnienie mogłoby
narazić na szkodę podmiot odpowiedzialny za system identyfikacji elektronicznej,
objęte są tajemnicą.
2. Informacje i dane objęte tajemnicą udostępnia się wyłącznie na żądanie:
1) sądu lub prokuratora – w związku z toczącym się postępowaniem;
2) innych upoważnionych organów – w związku z prowadzonym przez te organy
postępowaniem;
3) Szefa Agencji Bezpieczeństwa Wewnętrznego.

Art. 21p. 1. Podmiot odpowiedzialny za system identyfikacji elektronicznej
przyłączony do węzła krajowego:
1) zarządza systemem identyfikacji elektronicznej oraz ponosi koszty jego
utrzymania i rozwoju;
2) potwierdza tożsamość oraz weryfikuje dane identyfikujące osoby ubiegającej się
o wydanie środka identyfikacji elektronicznej w sposób adekwatny do poziomu
bezpieczeństwa danego środka identyfikacji elektronicznej, zgodnie
z wymaganiami określonymi w przepisach wydanych na podstawie
art. 8 ust. 3 rozporządzenia 910/2014;
3) wydaje, zawiesza i unieważnia środki identyfikacji elektronicznej;
4) zapewnia funkcjonalność pozwalającą na uwierzytelnienie osoby, której wydano
środek identyfikacji elektronicznej, z wykorzystaniem tego środka;
5) zapisuje i zachowuje informacje związane z wydawaniem, zawieszaniem
i unieważnianiem środków identyfikacji elektronicznej oraz zapewnieniem
rozliczalności i niezaprzeczalności działań użytkowników korzystających z tych
środków;
6) stosuje politykę bezpieczeństwa węzła krajowego, o której mowa w art. 39b
ust. 1 pkt 3;
7) unieważnia środki identyfikacji elektronicznej wydane przez podmiot,
w stosunku do którego Szef Agencji Bezpieczeństwa Wewnętrznego wydał
negatywną opinię w przypadku, o którym mowa w art. 21s ust. 3.
2. Czynności, o których mowa w ust. 1 pkt 2–5 i 7, mogą wykonywać podmioty
inne niż podmiot odpowiedzialny za system identyfikacji elektronicznej, spełniające
wymogi określone w art. 21b ust. 1 pkt 1, 3 i 5, o ile posiadają siedzibę na terenie
jednego z państw członkowskich Unii Europejskiej. Odpowiedzialność za czynności
wykonywane przez podmioty inne niż podmiot odpowiedzialny za system
identyfikacji elektronicznej ponosi podmiot odpowiedzialny za system identyfikacji elektronicznej.
3. Podmioty inne niż podmiot odpowiedzialny za system identyfikacji
elektronicznej stosują politykę bezpieczeństwa węzła krajowego, o której mowa
w art. 39b ust. 1 pkt 3.

Art. 21q. 1. Podmiot odpowiedzialny za system identyfikacji elektronicznej
przetwarza dane osobowe osób, którym w tym systemie wydano środki identyfikacji
elektronicznej, obejmujące:
1) imię (imiona),
2) nazwisko,
3) nazwisko rodowe,
4) numer PESEL lub niepowtarzalny identyfikator środka identyfikacji
elektronicznej, o którym mowa w przepisach wydanych na podstawie
art. 12 ust. 8 rozporządzenia 910/2014,
5) datę urodzenia,
6) miejsce urodzenia,
7) płeć,
8) adres zamieszkania
– w celu realizacji zadań, o których mowa w art. 21p ust. 1 pkt 1–5 i 7.
2. Podmiot, o którym mowa w art. 21p, inny niż podmiot wskazany w art. 2
i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne lub podmiot sektora publicznego,
o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014, zapewniając możliwość
uwierzytelniania w usługach online, nie może pozyskiwać, przechowywać oraz
przetwarzać danych dotyczących realizacji tych usług, innych niż dane niezbędne do
zrealizowania procesu uwierzytelnienia.

Art. 21r. 1. W przypadku gdy nastąpi naruszenie bezpieczeństwa systemu
identyfikacji elektronicznej przyłączonego do węzła krajowego lub części środków
identyfikacji elektronicznej wydanych w tym systemie, mogące mieć wpływ na
rozliczalność i niezaprzeczalność działań wykonywanych z wykorzystaniem tego
systemu lub części środków identyfikacji elektronicznej wydanych w tym systemie,
podmiot odpowiedzialny za system identyfikacji elektronicznej przyłączony do węzła
krajowego niezwłocznie zawiesza możliwość uwierzytelniania z wykorzystaniem
środków identyfikacji elektronicznej, których dotyczy naruszenie bezpieczeństwa.
2. Po usunięciu naruszenia bezpieczeństwa systemu identyfikacji elektronicznej
lub zawieszonej części środków identyfikacji elektronicznej podmiot odpowiedzialny
za system identyfikacji elektronicznej przyłączony do węzła krajowego przywraca
możliwość uwierzytelniania za pomocą środków identyfikacji elektronicznej, których
dotyczyło zawieszenie.

Art. 21s. 1. Podmiot odpowiedzialny za system identyfikacji elektronicznej
przyłączony do węzła krajowego informuje ministra właściwego do spraw
informatyzacji o:
1) każdej zmianie dotyczącej systemu identyfikacji elektronicznej przyłączonego
do węzła krajowego mającej wpływ na aktualność danych wpisanych do rejestru
systemów – w terminie 14 dni od dnia zmiany tych danych;
2) zamiarze zaprzestania świadczenia usług związanych ze środkami identyfikacji
elektronicznej wydawanymi w systemie identyfikacji elektronicznej
przyłączonym do węzła krajowego – w terminie 12 miesięcy przed planowanym
zaprzestaniem świadczenia tych usług;
3) otwarciu jego likwidacji, ogłoszeniu jego upadłości lub oddaleniu wniosku
o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy z dnia 28 lutego
2003 r. – Prawo upadłościowe – niezwłocznie;
4) zawieszeniu możliwości uwierzytelniania z powodu naruszenia bezpieczeństwa,
o którym mowa w art. 21r ust. 1, oraz przywróceniu możliwości
uwierzytelniania po usunięciu naruszenia bezpieczeństwa, o którym mowa
w art. 21r ust. 2 – niezwłocznie, nie później niż w ciągu 24 godzin od momentu
odpowiednio wykrycia naruszenia bezpieczeństwa oraz usunięcia naruszenia
bezpieczeństwa.
2. Minister właściwy do spraw informatyzacji po otrzymaniu danych, o których
mowa w ust. 1, przekazuje je Szefowi Agencji Bezpieczeństwa Wewnętrznego, jeżeli
istnieją uzasadnione przesłanki pozwalające wnioskować, iż zmiany tych danych
mogą mieć wpływ na bezpieczeństwo publiczne, bezpieczeństwo państwa lub
zagrażają w sposób bezpośredni bezpieczeństwu systemów teleinformatycznych państwa.
3. Szef Agencji Bezpieczeństwa Wewnętrznego, w przypadku powzięcia
informacji o okolicznościach prawnych lub faktycznych dotyczących struktury
właścicielskiej podmiotu odpowiedzialnego za system identyfikacji elektronicznej lub
podmiotu, o którym mowa w art. 21g ust. 2 pkt 2, które mogą zagrozić
bezpieczeństwu państwa, w tym bezpieczeństwu ekonomicznemu państwa,
przeprowadza postępowanie w tej sprawie. Do postępowania stosuje się odpowiednio
przepisy art. 21g ust. 5–13.
4. Szef Agencji Bezpieczeństwa Wewnętrznego przeprowadza postępowanie,
o którym mowa w ust. 3, również na polecenie Prezesa Rady Ministrów lub ministra członka Rady Ministrów właściwego do spraw koordynowania działalności służb specjalnych.
5. Szef Agencji Bezpieczeństwa Wewnętrznego po przeprowadzeniu
postępowania przekazuje opinię ministrowi właściwemu do spraw informatyzacji.
6. Minister właściwy do spraw informatyzacji przekazuje opinię podmiotowi
odpowiedzialnemu za system identyfikacji elektronicznej.

Art. 21t. 1. Minister właściwy do spraw informatyzacji wydaje decyzję
o przyłączeniu do węzła krajowego systemu teleinformatycznego, w którym
udostępniane są usługi online, po:
1) zapewnieniu przez podmiot odpowiedzialny za ten system opracowania,
ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania,
utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji
zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne;
2) przeprowadzeniu testów integracyjnych zakończonych wynikiem pozytywnym,
potwierdzających interoperacyjność tego systemu z węzłem krajowym;
3) przedstawieniu przez podmiot odpowiedzialny za ten system oświadczenia
o działaniu tego podmiotu zgodnie z przepisami o ochronie danych osobowych;
4) wskazaniu interesu faktycznego w uwierzytelnianiu z wykorzystaniem węzła
krajowego – w przypadku podmiotu innego niż podmiot wskazany w art. 2
i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne lub podmiot sektora publicznego,
o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014.
2. Ocena interesu faktycznego dokonywana jest z uwzględnieniem jego wpływu
na bezpieczeństwo i interes publiczny.

Art. 21u. 1. Przyłączenie systemu, o którym mowa w art. 21t ust. 1, do węzła
krajowego następuje na wniosek podmiotu odpowiedzialnego za ten system.
2. Wniosek zawiera nazwę podmiotu odpowiedzialnego za system albo jego imię
i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia
działalności gospodarczej albo adresu zamieszkania.
3. Do wniosku dołącza się:
1) oświadczenie o zapewnieniu przez podmiot odpowiedzialny za ten system
opracowania, ustanawiania, wdrażania, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach
wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji
działalności podmiotów realizujących zadania publiczne;
2) oświadczenie o zapewnieniu stosowania polityki bezpieczeństwa, o której mowa
w art. 39b ust. 1 pkt 3;
3) listę usług online udostępnianych w tym systemie wraz z określeniem dla każdej
z tych usług wymaganych poziomów bezpieczeństwa środków identyfikacji
elektronicznej, o których mowa w art. 8 ust. 2 rozporządzenia 910/2014,
niezbędnych dla realizacji tych usług;
4) oświadczenie o działaniu podmiotu zgodnie z przepisami o ochronie danych osobowych;
5) uzasadnienie interesu faktycznego w uwierzytelnianiu z wykorzystaniem węzła
krajowego – w przypadku podmiotu innego niż podmiot, o których mowa
w art. 2 i art. 19c ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji
działalności podmiotów realizujących zadania publiczne, lub podmiot sektora
publicznego, o którym mowa w art. 3 pkt 7 rozporządzenia 910/2014.
4. Wniosek oraz dokumenty, o których mowa w ust. 3, składa się w postaci
elektronicznej opatrzone kwalifikowanym podpisem elektronicznym.

Art. 21v. Minister właściwy do spraw informatyzacji po dokonaniu oceny
wniosku oraz dokumentów załączonych do wniosku wyznacza termin
przeprowadzenia testów integracyjnych, o których mowa w art. 21t ust. 1 pkt 2, i
przeprowadza testy zgodnie z procedurą udostępnioną w Biuletynie Informacji
Publicznej na swojej stronie podmiotowej.

Art. 21w. Podmiot odpowiedzialny za system teleinformatyczny, w którym
udostępniane są usługi online, przyłączony do węzła krajowego, niezwłocznie
informuje ministra właściwego do spraw informatyzacji o każdej zmianie danych
zawartych w liście usług, o której mowa w art. 21u ust. 3 pkt 3.

Art. 21x. Minister właściwy do spraw informatyzacji udostępnia w Biuletynie
Informacji Publicznej na swojej stronie podmiotowej informację o przyłączonych do
węzła krajowego systemach teleinformatycznych, w którym udostępniane są usługi online.

Art. 21y. W przypadku niespełniania wymagań, o których mowa w art. 21t
ust. 1, minister właściwy do spraw informatyzacji wydaje decyzję o odmowie
przyłączenia systemu teleinformatycznego, w którym udostępniane są usługi online,
do węzła krajowego.

Art. 21z. Do węzła krajowego przyłącza się elektroniczną platformę usług
administracji publicznej.

Ustawa o usługach zaufania oraz identyfikacji elektronicznej art. 21

DODAJ