- Правова система ipLex360
- Законодавство
- Закон України
ЗАКОН УКРАЇНИ
Про електронну ідентифікацію та електронні довірчі послуги
Цей Закон визначає правові та організаційні засади електронної ідентифікації та надання електронних довірчих послуг, права та обов’язки суб’єктів відносин у сферах електронної ідентифікації та електронних довірчих послуг, порядок здійснення державного контролю за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг.
Розділ I
ЗАГАЛЬНІ ПОЛОЖЕННЯ
Стаття 1. Визначення термінів
1. У цьому Законі терміни вживаються в такому значенні:
1) автентифікація - електронний процес, що дає змогу підтвердити електронну ідентифікацію фізичної, юридичної особи, інформаційної або інформаційно-комунікаційної системи та/або походження та цілісність електронних даних;
2) багатофакторна автентифікація - автентифікація з використанням двох або більше факторів автентифікації, що належать до різних груп факторів автентифікації;
3) блокування сертифіката відкритого ключа - тимчасове зупинення чинності сертифіката відкритого ключа;
4) веб-сайт - сукупність програмних засобів, розміщених за унікальною адресою в обчислювальній мережі, у тому числі в мережі Інтернет, разом з інформаційними ресурсами, що перебувають у розпорядженні певних суб’єктів і забезпечують доступ юридичних та фізичних осіб до цих інформаційних ресурсів та інших інформаційних послуг через обчислювальну мережу;
5) відкритий ключ (дані для підтвердження електронного підпису чи електронної печатки) - дані, що використовуються для підтвердження електронного підпису чи електронної печатки;
6) відокремлений пункт реєстрації - представництво (філія, підрозділ, територіальний орган) надавача послуг електронної ідентифікації, надавача електронних довірчих послуг або юридична чи фізична особа, у тому числі нотаріус, які на підставі наказу надавача послуг електронної ідентифікації, надавача електронних довірчих послуг (його керівника) або договору, укладеного з ним, здійснюють реєстрацію користувачів засобів електронної ідентифікації чи підписувачів з дотриманням вимог законодавства у сферах електронної ідентифікації, електронних довірчих послуг та захисту інформації;
7) гаманець з цифровою ідентифікацією - засіб ідентифікації, що дає змогу користувачу надавати на запит третіх осіб інформацію про ідентифікаційні дані, здійснювати електронну ідентифікацію та автентифікацію для надання послуги, створювати кваліфіковані електронні підписи та/або печатки та повинен відповідати вимогам статті 15-1 цього Закону;
8) Довірчий список - перелік кваліфікованих надавачів електронних довірчих послуг з інформацією про них та про кваліфіковані електронні довірчі послуги, які вони надають;
9) документована інформація - документи, на підставі яких користувачам електронних довірчих послуг надавалися електронні довірчі послуги, у тому числі на підставі яких були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів, усі сформовані кваліфіковані сертифікати відкритих ключів, а також реєстри сформованих кваліфікованих сертифікатів відкритих ключів;
10) електронна довірча послуга - електронна послуга, що надається для забезпечення електронної взаємодії двох або більше суб’єктів, які довіряють надавачу електронних довірчих послуг щодо надання такої послуги;
11) електронна ідентифікація - процес використання ідентифікаційних даних особи в електронній формі, які однозначно визначають фізичну, юридичну особу або уповноваженого представника юридичної особи;
12) електронна печатка - електронні дані, що додаються до інших електронних даних або логічно з ними пов’язуються і використовуються для забезпечення достовірності походження пов’язаних електронних даних, або для засвідчення електронних підписів підписувачів на електронних документах, або для засвідчення відповідності копій документів оригіналам та виявлення порушення цілісності;
13) електронна позначка часу - електронні дані, що пов’язують інші електронні дані з конкретним моментом часу для засвідчення наявності цих електронних даних на цей момент часу;
14) електронна послуга - будь-яка послуга з надання певного матеріального чи нематеріального блага на користь іншої особи, яка надається через інформаційно-комунікаційну систему;
15) електронний підпис - електронні дані, що додаються до інших електронних даних або логічно з ними пов’язуються і використовуються підписувачем як підпис;
16) електронні дані - будь-яка інформація в електронній формі;
17) засвідчення чинності відкритого ключа - процедура формування сертифіката відкритого ключа;
18) засіб електронного підпису чи печатки - апаратно-програмний пристрій чи програмне забезпечення, що використовуються для створення електронного підпису чи печатки;
19) засіб електронної ідентифікації - матеріальний та/або нематеріальний об’єкт, який містить ідентифікаційні дані особи і використовується для автентифікації особи в інформаційно-комунікаційних системах;
20) засіб кваліфікованого електронного підпису чи печатки - засіб електронного підпису чи печатки, що відповідає вимогам, встановленим частинами першою - четвертою статті 19 цього Закону;
21) ідентифікаційні дані особи - набір даних, які дають змогу встановити фізичну, юридичну особу або представника юридичної особи;
22) ідентифікація особи - процес використання ідентифікаційних даних особи з документів, створених на матеріальних носіях, та/або електронних даних, у результаті якого забезпечується однозначне встановлення фізичної, юридичної особи або уповноваженого представника юридичної особи та перевірка належності особі таких даних;
23) інтероперабельність - технологічна сумісність технічних рішень, що використовуються для надання електронних послуг, та їх здатність взаємодіяти між собою;
24) кваліфікована електронна довірча послуга реєстрованої електронної доставки - реєстрована електронна доставка, що відповідає вимогам, встановленим частиною першою статті 27 цього Закону;
25) кваліфікована електронна печатка - удосконалена електронна печатка, що створюється з використанням засобу кваліфікованої електронної печатки і базується на кваліфікованому сертифікаті електронної печатки;
26) кваліфікована електронна позначка часу - електронна позначка часу, що відповідає вимогам, встановленим частиною другою статті 26 цього Закону;
27) кваліфікований електронний підпис - удосконалений електронний підпис, що створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті електронного підпису;
28) кваліфікований надавач електронних довірчих послуг - юридична особа незалежно від організаційно-правової форми та форми власності, фізична особа - підприємець, яка надає одну або більше кваліфікованих електронних довірчих послуг та відомості про яку внесені до Довірчого списку;
29) кваліфікований сертифікат автентифікації веб-сайту - сертифікат автентифікації веб-сайту, що видається кваліфікованим надавачем електронних довірчих послуг, засвідчувальним центром або центральним засвідчувальним органом і відповідає вимогам, встановленим частиною другою статті 23 цього Закону;
30) кваліфікований сертифікат електронного підпису - сертифікат електронного підпису, що видається кваліфікованим надавачем електронних довірчих послуг і відповідає вимогам, встановленим частиною другою статті 23 цього Закону;
31) кваліфікований сертифікат електронної печатки - сертифікат електронної печатки, що видається кваліфікованим надавачем електронних довірчих послуг і відповідає вимогам, встановленим частиною другою статті 23 цього Закону;
32) компрометація засобу електронної ідентифікації - будь-яка подія, що призвела або може призвести до несанкціонованого доступу до засобу електронної ідентифікації;
33) компрометація особистого ключа - будь-яка подія, що призвела або може призвести до несанкціонованого доступу до особистого ключа;
34) користувачі електронних довірчих послуг - підписувачі, створювачі електронних печаток, відправники та отримувачі електронних даних, інші фізичні та юридичні особи, які отримують електронні довірчі послуги у надавачів таких послуг відповідно до вимог цього Закону;
35) користувачі послуг електронної ідентифікації - фізичні, юридичні особи або уповноважені представники юридичної особи, які використовують засоби електронної ідентифікації, гаманці з цифровою ідентифікацією або отримують послуги електронної ідентифікації у надавачів таких послуг відповідно до вимог цього Закону;
36) надавач електронних довірчих послуг - юридична особа незалежно від організаційно-правової форми та форми власності, фізична особа - підприємець, яка надає одну або більше електронних довірчих послуг як кваліфікований чи некваліфікований надавач електронних довірчих послуг;
37) надавач послуг електронної ідентифікації - юридична особа незалежно від організаційно-правової форми та форми власності, фізична особа - підприємець, яка надає послугу електронної ідентифікації за схемою, внесеною до переліку схем електронної ідентифікації, а також може реєструвати користувачів засобів електронної ідентифікації;
38) некваліфікований надавач електронних довірчих послуг - надавач електронних довірчих послуг, відомості про якого не внесені до Довірчого списку та який відповідає вимогам, визначеним Кабінетом Міністрів України до некваліфікованих надавачів електронних довірчих послуг;
39) орган з оцінки відповідності - підприємство, установа, організація чи їх підрозділи, які провадять діяльність з оцінки відповідності, акредитований відповідно до законодавства у сфері акредитації або призначений відповідно до законодавства про технічні регламенти та оцінку відповідності, а також іноземний орган з оцінки відповідності, акредитований відповідно іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA);
40) особистий ключ (дані для створення електронного підпису чи печатки) - унікальні дані, що використовуються підписувачем чи створювачем електронної печатки для створення електронного підпису чи печатки;
41) пара ключів - особистий та відповідний йому відкритий ключі, що є взаємопов’язаними параметрами;
42) підтвердження електронного підпису чи печатки - процес перевірки та підтвердження дійсності електронного підпису чи печатки;
43) підтвердження електронної ідентифікації - процес перевірки та підтвердження належності ідентифікаційних даних фізичній, юридичній особі або уповноваженому представнику юридичної особи;
44) підписувач - фізична особа, яка створює електронний підпис;
45) поновлення сертифіката відкритого ключа - відновлення чинності попередньо заблокованого сертифіката відкритого ключа;
46) послуга електронної ідентифікації - послуга, що надається для забезпечення або підтвердження електронної ідентифікації;
47) програмно-технічний комплекс, що використовується для надання електронних довірчих послуг (далі - програмно-технічний комплекс), - апаратно-програмні та програмні засоби, що забезпечують виконання функцій, пов’язаних з наданням електронних довірчих послуг;
48) реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів - електронна база даних, в якій містяться відомості про сертифікати відкритих ключів, сформовані надавачем електронних довірчих послуг, засвідчувальним центром або центральним засвідчувальним органом, їх статус та списки відкликаних сертифікатів відкритих ключів;
49) реєстрована електронна доставка - послуга, що надає можливість передавати електронні дані між третіми особами за допомогою електронних засобів, надавати докази, пов’язані з обробкою переданих електронних даних, у тому числі доказ їх відправлення та отримання, та захистити передані електронні дані від ризику втрати, крадіжки, пошкодження або будь-яких несанкціонованих змін;
50) самопідписаний сертифікат електронної печатки - кваліфікований сертифікат електронної печатки, що формується центральним засвідчувальним органом або засвідчувальним центром з використанням особистого ключа центрального засвідчувального органу або засвідчувального центру;
51) сертифікат автентифікації веб-сайту - електронне свідоцтво, що надає можливість здійснити автентифікацію веб-сайту та пов’язати цей веб-сайт з фізичною чи юридичною особою, якій видано сертифікат;
52) сертифікат електронного підпису - електронне свідоцтво, що пов’язує відкритий ключ електронного підпису з фізичною особою та підтверджує щонайменше прізвище, власне ім’я, по батькові (за наявності) або псевдонімізацію такої особи;
53) сертифікат електронної печатки - електронне свідоцтво, що пов’язує відкритий ключ електронної печатки з юридичною особою, особою, яка здійснює господарську діяльність, та підтверджує найменування такої особи;
54) скасування сертифіката відкритого ключа - зупинення чинності сертифіката відкритого ключа;
55) створювач електронної печатки - юридична особа чи фізична особа - підприємець, яка створює електронну печатку;
56) схема електронної ідентифікації - система електронної ідентифікації, в якій засоби електронної ідентифікації видаються фізичним, юридичним особам та уповноваженим представникам юридичних осіб;
57) технологічна нейтральність технічних рішень - недопущення встановлення таких обов’язкових вимог до технічних рішень, що використовуються у процесі електронної ідентифікації та надання електронних довірчих послуг, які можуть бути задоволені лише однією технологією;
58) удосконалена електронна печатка - електронна печатка, що відповідає вимогам, встановленим частиною першою статті 17-1 цього Закону;
59) удосконалений електронний підпис, що базується на кваліфікованому сертифікаті електронного підпису, - удосконалений електронний підпис, що створюється з використанням кваліфікованого сертифіката електронного підпису, виданого кваліфікованим надавачем електронних довірчих послуг та не містить відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису;
60) фактор автентифікації - одна з ознак на основі знання (володіння інформацією (даними), що відома лише користувачу) або володіння (використання матеріального предмета, яким володіє лише користувач), або притаманності (перевірка біометричних даних або інших властивостей (рис, характеристик), притаманних лише користувачу, що відрізняють його від інших користувачів).
Стаття 2. Сфера дії Закону
1. Цей Закон регулює відносини, що виникають між юридичними, фізичними особами, суб’єктами владних повноважень у процесі надання і отримання послуг електронної ідентифікації, гаманців з цифровою ідентифікацією та електронних довірчих послуг, процедури надання таких послуг, нагляду і контролю за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг.
Цей Закон не поширюється на здійснення електронної ідентифікації та надання електронних довірчих послуг у системах, у яких обробляються службова інформація та державна таємниця, а також у системах, які використовуються виключно визначеною групою учасників на договірних засадах для внутрішніх потреб юридичних або фізичних осіб.
2. Законами України можуть встановлюватися особливості правового регулювання електронної ідентифікації та надання електронних довірчих послуг у певних сферах суспільних відносин.
Стаття 3. Законодавство у сферах електронної ідентифікації та електронних довірчих послуг
Стаття 4. Основні принципи державного регулювання у сферах електронної ідентифікації та електронних довірчих послуг
1. Державне регулювання та управління у сферах електронної ідентифікації та електронних довірчих послуг здійснюється на засадах:
забезпечення принципу верховенства права у процесі електронної ідентифікації та надання електронних довірчих послуг;
створення сприятливих та конкурентних умов для розвитку та функціонування сфер електронної ідентифікації та електронних довірчих послуг;
вільного обігу послуг електронної ідентифікації та електронних довірчих послуг в Україні, а також можливості вільного надання послуг електронної ідентифікації та електронних довірчих послуг надавачами послуг електронної ідентифікації та надавачами електронних довірчих послуг, які є нерезидентами України, у разі визнання таких послуг згідно з вимогами цього Закону;
забезпечення захисту прав і законних інтересів користувачів послуг електронної ідентифікації та електронних довірчих послуг;
забезпечення доступності та можливостей використання послуг електронної ідентифікації та електронних довірчих послуг для осіб з інвалідністю нарівні з іншими фізичними особами;
відповідності вимог до електронної ідентифікації та надання електронних довірчих послуг національним, європейським та міжнародним стандартам;
забезпечення інтероперабельності та технологічної нейтральності технічних рішень, а також недопущення їх дискримінації;
забезпечення захисту персональних даних, що обробляються у процесі електронної ідентифікації та надання електронних довірчих послуг.
2. Метою здійснення державного регулювання та управління у сферах електронної ідентифікації та електронних довірчих послуг є:
проведення єдиної та ефективної державної політики у сферах електронної ідентифікації та електронних довірчих послуг;
створення сприятливих умов для розвитку та функціонування сфер електронної ідентифікації та електронних довірчих послуг;
забезпечення інтероперабельності та технологічної нейтральності технічних рішень, а також недопущення їх дискримінації;
забезпечення рівних можливостей для доступу до послуг електронної ідентифікації, електронних довірчих послуг та захисту прав їхніх суб’єктів;
запобігання монополізації та створення умов для розвитку добросовісної конкуренції у сферах електронної ідентифікації та електронних довірчих послуг;
забезпечення захисту персональних даних, що обробляються під час надання послуг електронної ідентифікації та електронних довірчих послуг, відповідно до вимог законодавства про захист персональних даних;
проведення заходів з популяризації електронної ідентифікації та електронних довірчих послуг серед населення та юридичних осіб;
здійснення контролю за прозорістю та відкритістю у сферах електронної ідентифікації та електронних довірчих послуг;
сприяння інтеграції України у світовий електронний інформаційний простір.
3. Державне регулювання та управління у сферах електронної ідентифікації та електронних довірчих послуг здійснюється шляхом:
нормативно-правового регулювання у сферах електронної ідентифікації та електронних довірчих послуг;
нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг;
міжнародного співробітництва у сферах електронної ідентифікації та електронних довірчих послуг;
проведення інших заходів державного регулювання у сферах електронної ідентифікації та електронних довірчих послуг, передбачених законодавством.
Стаття 4-1. Використання псевдонімів у сферах електронної ідентифікації та електронних довірчих послуг
1. Фізичні особи, які є користувачами послуг електронної ідентифікації або електронних довірчих послуг, під час отримання таких послуг мають право замість прізвища, власного імені та по батькові (за наявності) використовувати псевдонім у випадках, визначених законом, за умови обов’язкового зазначення про його використання у засобах електронної ідентифікації та сертифікатах відкритих ключів у порядку, визначеному Кабінетом Міністрів України.
2. Використання псевдоніма не звільняє надавача послуг електронної ідентифікації, надавача електронних довірчих послуг від обов’язку ідентифікації фізичної особи, яка має намір використовувати псевдонім, відповідно до вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг.
Розділ II
СУБ’ЄКТИ ВІДНОСИН У СФЕРАХ ЕЛЕКТРОННОЇ ІДЕНТИФІКАЦІЇ ТА ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ, ОРГАНИ, ЩО ЗДІЙСНЮЮТЬ ДЕРЖАВНЕ РЕГУЛЮВАННЯ У СФЕРАХ ЕЛЕКТРОННОЇ ІДЕНТИФІКАЦІЇ ТА ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ
Стаття 5. Система органів, що здійснюють державне регулювання у сферах електронної ідентифікації та електронних довірчих послуг
1. Державне регулювання у сферах електронної ідентифікації та електронних довірчих послуг здійснюють:
Кабінет Міністрів України;
центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг;
спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв’язку та захисту інформації;
Національний банк України.
Стаття 6. Повноваження Кабінету Міністрів України у сферах електронної ідентифікації та електронних довірчих послуг
1. До повноважень Кабінету Міністрів України у сферах електронної ідентифікації та електронних довірчих послуг належить забезпечення:
здійснення державної політики у сферах електронної ідентифікації та електронних довірчих послуг;
визначення пріоритетних напрямів розвитку сфер електронної ідентифікації та електронних довірчих послуг;
координації діяльності органів, що здійснюють державне регулювання у сферах електронної ідентифікації та електронних довірчих послуг, крім Національного банку України;
прийняття у межах своїх повноважень нормативно-правових актів у сферах електронної ідентифікації та електронних довірчих послуг;
державної підтримки розвитку сфер електронної ідентифікації та електронних довірчих послуг;
організації міжнародного співробітництва у сферах електронної ідентифікації та електронних довірчих послуг;
здійснення інших повноважень у сферах електронної ідентифікації та електронних довірчих послуг, визначених законом.
2. Розроблення актів Кабінету Міністрів України у сферах електронної ідентифікації та електронних довірчих послуг здійснюється з обов’язковим залученням Національного банку України.
Стаття 7. Повноваження центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг
1. До повноважень центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, належить:
надання адміністративних послуг із включення схеми електронної ідентифікації до переліку схем електронної ідентифікації, внесення змін до такого переліку;
погодження планів припинення діяльності кваліфікованих надавачів електронних довірчих послуг;
державне регулювання з питань електронної ідентифікації в межах своєї компетенції відповідно до цього Закону;
інформування контролюючого органу про обставини, що перешкоджають діяльності;
забезпечення взаємного визнання українських та іноземних сертифікатів відкритих ключів та електронних підписів, що використовуються для надання юридично значущих електронних послуг;
погодження розроблених надавачами електронних довірчих послуг порядків синхронізації часу із Всесвітнім координованим часом (UTC);
розроблення проектів нормативно-правових актів у сферах електронної ідентифікації та електронних довірчих послуг;
участь у розробленні норм, стандартів у сферах електронної ідентифікації та електронних довірчих послуг, у тому числі для забезпечення інтероперабельності та технологічної нейтральності технічних рішень, а також недопущення їх дискримінації;
розроблення проектів рішень Кабінету Міністрів України з питань реалізації та впровадження ініціатив щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації та електронних довірчих послуг, а також проведення оцінювання результатів таких ініціатив;
розгляд пропозицій суб’єктів відносин у сферах електронної ідентифікації та електронних довірчих послуг щодо удосконалення державного регулювання зазначених сфер;
проведення досліджень поточного стану та перспектив розвитку у сферах електронної ідентифікації та електронних довірчих послуг, здійснення аналізу інформації про діяльність кваліфікованих надавачів електронних довірчих послуг, їхніх відокремлених пунктів реєстрації та засвідчувального центру, надавачів послуг електронної ідентифікації, що надається у встановленому ним порядку;
погодження регламентів роботи кваліфікованих надавачів електронних довірчих послуг та юридичних осіб, фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, направлення копій зазначених документів до контролюючого органу;
здійснення за результатами проведення процедур оцінки відповідності аналізу документів про відповідність надавачів електронних довірчих послуг, за результатами якого приймається рішення про внесення відомостей про них до Довірчого списку;
здійснення інших визначених законом повноважень у сферах електронної ідентифікації та електронних довірчих послуг.
2. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, виконує функції центрального засвідчувального органу шляхом безоплатного надання адміністративних послуг із внесення відомостей про юридичних осіб та фізичних осіб - підприємців, які мають намір надавати кваліфіковані електронні довірчі послуги, до Довірчого списку, внесення змін до Довірчого списку.
3. Технічне та технологічне забезпечення виконання функцій центрального засвідчувального органу, інтегрованої системи електронної ідентифікації здійснює адміністратор інформаційно-комунікаційної системи центрального засвідчувального органу та інтегрованої системи електронної ідентифікації, яким визначається державне підприємство, що належить до сфери управління центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
Стаття 7-1. Права та обов’язки адміністратора інформаційно-комунікаційної системи центрального засвідчувального органу та інтегрованої системи електронної ідентифікації
1. Адміністратор інформаційно-комунікаційної системи центрального засвідчувального органу та інтегрованої системи електронної ідентифікації здійснює технічне та технологічне забезпечення виконання таких функцій:
функціонування програмно-технічного комплексу центрального засвідчувального органу та інтегрованої системи електронної ідентифікації та захисту інформації, що в них обробляється, відповідно до вимог законодавства;
функціонування офіційних веб-сайтів центрального засвідчувального органу та інтегрованої системи електронної ідентифікації;
функціонування на офіційних веб-сайтах центрального засвідчувального органу та інтегрованої системи електронної ідентифікації електронного сервісу, призначеного для створення, перевірки та підтвердження електронного підпису та електронної печатки та його відповідність вимогам статей 18 і 19 цього Закону;
ведення Довірчого списку;
ведення реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів, які сформовані центральним засвідчувальним органом, у порядку, встановленому центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг;
генерація пари ключів та формування самопідписаних сертифікатів електронної печатки центрального засвідчувального органу;
надання кваліфікованих електронних довірчих послуг надавачам електронних довірчих послуг з використанням самопідписаного сертифіката електронної печатки центрального засвідчувального органу, що призначений для надання таких послуг;
використання інформаційно-комунікаційної системи центрального засвідчувального органу для підтвердження та перевірки українських та іноземних сертифікатів відкритих ключів та електронних підписів, що використовуються для надання юридично значущих електронних послуг, та інтегрованої системи електронної ідентифікації для взаємного визнання схем електронної ідентифікації;
надання послуги з постачання передачі сигналів точного часу, синхронізованого з Державним еталоном одиниць часу і частоти;
приймання та зберігання документованої інформації, сформованих кваліфікованих сертифікатів відкритих ключів, відомостей з реєстру чинних, блокованих та скасованих кваліфікованих сертифікатів відкритих ключів у разі припинення діяльності з надання кваліфікованих електронних довірчих послуг;
цілодобовий доступ до реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів та до інформації про статус сертифікатів відкритих ключів через електронні комунікаційні мережі загального користування;
скасування, блокування та поновлення кваліфікованих сертифікатів відкритих ключів у випадках, передбачених цим Законом;
забезпечення інтероперабельності та технологічної нейтральності технічних рішень, а також недопущення їх дискримінації;
обробка та публікація результатів аналізу поточного стану та перспектив розвитку у сферах електронної ідентифікації та електронних довірчих послуг у порядку, встановленому центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг;
формування, підтримка в актуальному стані та публікація на веб-сайті інтегрованої системи електронної ідентифікації переліку схем електронної ідентифікації;
укладання договорів щодо приєднання інформаційних та інформаційно-комунікаційних систем до інтегрованої системи електронної ідентифікації;
здійснення інших функцій у сферах електронної ідентифікації та електронних довірчих послуг, визначених законом.
2. Фінансове забезпечення адміністратора інформаційно-комунікаційної системи центрального засвідчувального органу та інтегрованої системи електронної ідентифікації для технічного та технологічного виконання функцій, визначених частиною першою цієї статті, здійснюється за рахунок коштів державного бюджету.
Стаття 8. Повноваження спеціально уповноваженого центрального органу виконавчої влади з питань організації спеціального зв’язку та захисту інформації у сферах електронних довірчих послуг та електронної ідентифікації
1. Спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв’язку та захисту інформації виконує функції контролюючого органу у сферах електронної ідентифікації та електронних довірчих послуг.
2. До повноважень спеціально уповноваженого центрального органу виконавчої влади з питань організації спеціального зв’язку та захисту інформації у сферах електронної ідентифікації та електронних довірчих послуг належить:
здійснення державного контролю за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг;
взаємодія з центральним засвідчувальним органом, засвідчувальним центром та органами з оцінки відповідності з питань державного контролю за дотриманням вимог законодавства;
співпраця з органами з питань захисту персональних даних шляхом невідкладного інформування про порушення вимог законодавства про захист персональних даних, виявлені під час проведення контролюючим органом перевірок надавачів послуг електронної ідентифікації, що реалізують схеми електронної ідентифікації, та надавачів електронних довірчих послуг;
інформування громадськості у разі отримання від надавачів послуг електронної ідентифікації, що реалізують схеми електронної ідентифікації, та надавачів електронних довірчих послуг або за результатами перевірки таких надавачів, відомостей про порушення конфіденційності та/або цілісності інформації, що впливають на надання послуг електронної ідентифікації чи електронних довірчих послуг або стосуються персональних даних користувачів послуг електронної ідентифікації чи користувачів електронних довірчих послуг;
видання приписів щодо усунення порушень вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг;
накладення адміністративних штрафів за порушення вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг;
аналіз документів про відповідність за результатами проведення процедур оцінки відповідності кваліфікованих надавачів електронних довірчих послуг у рамках невиїзних заходів державного нагляду (контролю).
Стаття 9. Повноваження Національного банку України у сферах електронної ідентифікації та електронних довірчих послуг
1. Національний банк України створює засвідчувальний центр для забезпечення внесення до Довірчого списку відомостей про банки, інших осіб, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, про операторів платіжних систем та/або учасників платіжних систем, технологічних операторів платіжних послуг, які мають намір надавати кваліфіковані електронні довірчі послуги відповідно до вимог цього Закону.
Засвідчувальний центр надає кваліфіковану електронну довірчу послугу з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису або печатки кваліфікованим надавачам електронних довірчих послуг, відомості про яких внесені до Довірчого списку, на підставі рішення засвідчувального центру з використанням самопідписаного сертифіката електронної печатки засвідчувального центру.
2. Засвідчувальний центр та кваліфіковані надавачі електронних довірчих послуг, стосовно яких засвідчувальним центром прийнято рішення про внесення відомостей про них до Довірчого списку, мають такі самі взаємні права та обов’язки, як і центральний засвідчувальний орган та кваліфіковані надавачі електронних довірчих послуг, стосовно яких центральним засвідчувальним органом прийнято рішення про внесення відомостей про них до Довірчого списку.
3. До повноважень Національного банку України у сферах електронної ідентифікації та електронних довірчих послуг належить:
встановлення вимог до надання та використання електронних довірчих послуг у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг;
встановлення вимог до синхронізації часу у програмно-технічних комплексах кваліфікованих надавачів електронних довірчих послуг, зазначених в абзаці першому частини першої цієї статті;
погодження регламентів роботи та змін до регламентів роботи суб’єктів, зазначених в абзаці першому частини першої цієї статті, та направлення копій зазначених документів до контролюючого органу;
інформування контролюючого органу про обставини, що перешкоджають діяльності засвідчувального органу;
погодження планів припинення діяльності кваліфікованих надавачів електронних довірчих послуг, зазначених в абзаці першому частини першої цієї статті;
прийняття нормативно-правових актів з питань функціонування регуляторної платформи для тестування послуг, технологій та інструментів на ринках фінансових послуг, заснованих на інноваційних технологіях, з використанням схем, засобів і технологій електронної ідентифікації та електронних довірчих послуг;
здійснення державного регулювання у сфері електронної ідентифікації у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг;
здійснення інших повноважень, визначених законом, у сферах електронної ідентифікації та електронних довірчих послуг у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг.
4. Засвідчувальний центр під час надання електронних довірчих послуг зобов’язаний виконувати вимоги, встановлені для кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку на підставі рішення засвідчувального центру.
5. Програмно-технічний комплекс засвідчувального центру, що використовується ним для надання електронних довірчих послуг, повинен відповідати вимогам, встановленим для програмно-технічних комплексів кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку на підставі рішення засвідчувального центру.
6. Організаційно-методологічні, технічні та технологічні умови діяльності засвідчувального центру під час надання ним кваліфікованих електронних довірчих послуг, порядок взаємодії кваліфікованих надавачів електронних довірчих послуг із засвідчувальним центром у процесі надання ним кваліфікованих електронних довірчих послуг встановлюються регламентом роботи засвідчувального центру. Регламент роботи засвідчувального центру затверджується Національним банком України.
7. Національний банк України веде рахунки банків - кваліфікованих надавачів електронних довірчих послуг, засвідчувального центру, кваліфікованого надавача електронних довірчих послуг, створеного Національним банком України, призначені для збереження коштів для забезпечення відшкодування шкоди, яка може бути заподіяна внаслідок неналежного виконання зобов’язань банком, який є кваліфікованим надавачем електронних довірчих послуг, засвідчувальним центром.
Стаття 10.
Стаття 11. Суб’єкти відносин у сферах електронної ідентифікації та електронних довірчих послуг
1. Суб’єктами відносин у сфері електронної ідентифікації є:
користувачі послуг електронної ідентифікації;
надавачі послуг електронної ідентифікації;
власники (держателі) інформаційних та інформаційно-комунікаційних систем;
центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг;
контролюючий орган;
Національний банк України.
2. Суб’єктами відносин у сфері електронних довірчих послуг є:
користувачі електронних довірчих послуг;
надавачі електронних довірчих послуг;
власники (держателі) інформаційних та інформаційно-комунікаційних систем;
держателі публічних електронних реєстрів;
органи з оцінки відповідності;
засвідчувальний центр;
центральний засвідчувальний орган;
контролюючий орган.
Стаття 11-1. Права та обов’язки користувачів послуг електронної ідентифікації
1. Користувачі послуг електронної ідентифікації мають право на:
отримання послуг електронної ідентифікації;
вільний вибір засобів електронної ідентифікації з відповідним рівнем довіри для отримання електронних послуг;
одноосібний контроль над використанням гаманця цифрової ідентифікації та своїх даних;
вільне використання результатів отриманих послуг електронної ідентифікації з урахуванням обмежень, встановлених законодавством та надавачами послуг електронної ідентифікації;
оскарження у судовому порядку дій чи бездіяльності надавачів послуг електронної ідентифікації та органів, що здійснюють державне регулювання у сфері електронної ідентифікації;
відшкодування завданої їм шкоди та захист своїх прав і законних інтересів.
2. Користувачі послуг електронної ідентифікації зобов’язані:
забезпечувати конфіденційність та неможливість несанкціонованого доступу інших осіб до засобу електронної ідентифікації;
невідкладно повідомляти надавача послуг електронної ідентифікації про підозру або факт компрометації засобу електронної ідентифікації;
надавати достовірну інформацію, необхідну для отримання послуг електронної ідентифікації;
своєчасно надавати надавачу послуг електронної ідентифікації інформацію про зміну ідентифікаційних даних, які містить засіб електронної ідентифікації;
не використовувати засіб електронної ідентифікації у разі його компрометації.
3. Захист прав користувачів послуг електронної ідентифікації, а також механізм реалізації захисту цих прав регулюються цим Законом та
Законом України "Про захист прав споживачів".
Стаття 11-2. Права та обов’язки надавачів послуг електронної ідентифікації
1. Надавачі послуг електронної ідентифікації мають право:
надавати послуги електронної ідентифікації з дотриманням вимог законодавства у сфері електронної ідентифікації;
отримувати документи та/або електронні дані, необхідні для ідентифікації особи, ідентифікаційні дані якої міститимуться у засобі електронної ідентифікації;
звертатися із запитами до компетентних державних органів для перевірки та підтвердження ідентифікаційних даних особи, які міститимуться у засобі електронної ідентифікації;
проводити під час видачі засобів електронної ідентифікації перевірку інформації про осіб, яким видаються такі засоби, з використанням відомостей інформаційних ресурсів єдиної інформаційної системи Міністерства внутрішніх справ України (відомостей, що містяться в Єдиному державному демографічному реєстрі, та відомостей щодо викрадених (втрачених) документів - за зверненнями громадян), Державного реєстру фізичних осіб - платників податків, Державного реєстру актів цивільного стану громадян, Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, а також інформації з інших публічних електронних реєстрів відповідно до
Закону України "Про публічні електронні реєстри", отриманих у процесі електронної взаємодії за допомогою інтегрованої системи електронної ідентифікації в порядку, визначеному Кабінетом Міністрів України;
отримувати консультації від центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, з питань, пов’язаних з наданням послуг електронної ідентифікації, спеціально уповноваженого центрального органу виконавчої влади з питань організації спеціального зв’язку та захисту інформації у сферах електронної ідентифікації та електронних довірчих послуг, Національного банку України;
звертатися до центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, щодо включення схем електронної ідентифікації, які вони реалізують, до переліку схем електронної ідентифікації.
2. Якщо надання певної послуги електронної ідентифікації належить до встановлених законодавством обов’язків надавача послуг електронної ідентифікації, він не має права відмовити у наданні такої послуги з підстав, не передбачених законом.
3. Надавачі послуг електронної ідентифікації зобов’язані забезпечувати:
відповідність засобів електронної ідентифікації встановленим для них рівням довіри;
захист персональних даних користувачів послуг електронної ідентифікації відповідно до вимог
Закону України "Про захист персональних даних";
створення та функціонування свого веб-сайту; захист інформації в інформаційно-комунікаційній системі, що використовується для надання послуг електронної ідентифікації, відповідно до вимог законодавства у сфері захисту інформації;
здійснення ідентифікації фізичних, юридичних осіб або уповноважених представників юридичних осіб під час надання послуг електронної ідентифікації; внесення ідентифікаційних даних користувача послуг електронної ідентифікації до відповідного засобу електронної ідентифікації;
вжиття відповідних організаційних і технічних заходів з управління ризиками, пов’язаними з безпекою послуг електронної ідентифікації;
інформування контролюючого органу та, в разі необхідності, органу з питань захисту персональних даних про порушення конфіденційності та/або цілісності інформації, що впливають на надання послуг електронної ідентифікації або стосуються персональних даних користувачів послуг електронної ідентифікації, без необґрунтованої затримки, не пізніше 24 годин з моменту, коли їм стало відомо про таке порушення;
інформування користувачів послуг електронної ідентифікації про порушення конфіденційності та/або цілісності інформації, що впливають на надання їм послуг електронної ідентифікації або стосуються їхніх персональних даних, без необґрунтованої затримки, не пізніше двох годин з моменту, коли їм стало відомо про таке порушення;
неможливість використання засобу електронної ідентифікації, виданого таким надавачем послуг електронної ідентифікації, якщо йому стало відомо про компрометацію відповідного засобу електронної ідентифікації;
постійне зберігання документів та електронних даних, отриманих під час реєстрації користувачів засобів електронної ідентифікації.
4. Надавачі послуг електронної ідентифікації, що мають високий або середній рівень довіри, крім обов’язків, визначених частиною третьою цієї статті, зобов’язані також забезпечувати чітке та вичерпне повідомлення будь-якій особі, яка звернулася за отриманням послуги електронної ідентифікації, про умови використання такої послуги, в тому числі про будь-які обмеження у її використанні, до укладення договору про надання послуг електронної ідентифікації.
5. Вимоги до надавачів послуг електронної ідентифікації, їхніх відокремлених пунктів реєстрації, у тому числі вимоги щодо безпеки та захисту інформації, а також порядок перевірки їх дотримання, порядок інформування контролюючого органу та користувачів послуг електронної ідентифікації встановлюються Кабінетом Міністрів України.
Стаття 12. Права та обов’язки користувачів електронних довірчих послуг
1. Користувачі електронних довірчих послуг мають право на:
отримання електронних довірчих послуг;
вільний вибір надавача електронних довірчих послуг;
оскарження у судовому порядку дій чи бездіяльності надавачів електронних довірчих послуг та органів, що здійснюють державне регулювання у сфері електронних довірчих послуг;
відшкодування завданої їм шкоди та захист своїх прав і законних інтересів;
звернення із заявою про скасування, блокування та поновлення свого сертифіката відкритого ключа;
вільне використання результатів отриманих електронних довірчих послуг з урахуванням обмежень, встановлених законодавством та надавачами електронних довірчих послуг.
2. Користувачі електронних довірчих послуг зобов’язані:
забезпечувати конфіденційність та неможливість доступу інших осіб до особистого ключа;
невідкладно повідомляти надавача електронних довірчих послуг про підозру або факт компрометації особистого ключа;
надавати достовірну інформацію, необхідну для отримання електронних довірчих послуг;
своєчасно здійснювати оплату за електронні довірчі послуги, якщо така оплата передбачена договором між надавачем та користувачем електронних довірчих послуг;
своєчасно надавати надавачу електронних довірчих послуг інформацію про зміну ідентифікаційних даних, які містить сертифікат відкритого ключа;
не використовувати особистий ключ у разі його компрометації, а також у разі скасування або блокування сертифіката відкритого ключа.
3. Захист прав користувачів електронних довірчих послуг, а також механізм реалізації захисту цих прав регулюються цим Законом та
Законом України "Про захист прав споживачів".
Стаття 13. Права та обов’язки надавачів електронних довірчих послуг
1. Надавачі електронних довірчих послуг мають право:
надавати електронні довірчі послуги з дотриманням вимог законодавства у сфері електронних довірчих послуг;
отримувати документи та/або електронні дані, необхідні для ідентифікації особи, ідентифікаційні дані якої міститимуться у сертифікаті відкритого ключа;
проводити під час формування та видачі кваліфікованих сертифікатів відкритих ключів перевірку інформації про осіб, яким видаються такі сертифікати, з використанням відомостей інформаційних ресурсів єдиної інформаційної системи Міністерства внутрішніх справ України (відомостей, що містяться в Єдиному державному демографічному реєстрі, та відомостей щодо викрадених (втрачених) документів за зверненнями громадян), Державного реєстру фізичних осіб - платників податків, Державного реєстру актів цивільного стану громадян, єдиної інформаційної системи Міністерства внутрішніх справ України (відомостей щодо викрадених (втрачених) документів - за зверненнями громадян), Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, а також інформації з інших публічних електронних реєстрів відповідно до
Закону України "Про публічні електронні реєстри", отриманих у процесі електронної взаємодії за допомогою інтегрованої системи електронної ідентифікації в порядку, визначеному Кабінетом Міністрів України;
отримувати консультації від центрального засвідчувального органу, контролюючого органу або засвідчувального центру з питань, пов’язаних з наданням електронних довірчих послуг;
звертатися до органів з оцінки відповідності для отримання документів про відповідність;
звертатися до центрального засвідчувального органу або засвідчувального центру із заявами про формування кваліфікованих сертифікатів відкритих ключів, їх скасування, блокування або поновлення.
2. Кваліфіковані надавачі електронних довірчих послуг, крім прав, визначених частиною першою цієї статті, також мають право самостійно обирати в рамках кожної послуги, які саме стандарти вони будуть застосовувати для надання кваліфікованих електронних довірчих послуг, з переліку стандартів, визначеного Кабінетом Міністрів України.
3. Якщо надання певної електронної довірчої послуги належить до встановлених законодавством обов’язків надавача електронних довірчих послуг, він не має права відмовити у наданні такої послуги з підстав, не передбачених законом.
4. Надавачі електронних довірчих послуг зобов’язані забезпечувати:
захист персональних даних користувачів електронних довірчих послуг відповідно до вимог
Закону України "Про захист персональних даних";
функціонування інформаційно-комунікаційної системи та програмно-технічного комплексу, що використовуються для надання електронних довірчих послуг, та захист інформації, яка обробляється в них, відповідно до вимог законодавства у сфері електронних довірчих послуг;
створення та функціонування свого веб-сайту;
впровадження, підтримання в актуальному стані та публікацію на своєму веб-сайті відомостей з реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів;
можливість цілодобового доступу до реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів та до інформації про статус сертифікатів відкритих ключів через комунікаційні мережі загального користування;
цілодобовий прийом та перевірку заяв в електронній формі підписувачів та створювачів електронних печаток про скасування, блокування та поновлення їхніх сертифікатів відкритих ключів; прийом та перевірку заяв у паперовій формі підписувачів та створювачів електронних печаток про скасування, блокування та поновлення їхніх сертифікатів відкритих ключів протягом одного робочого дня після надходження заяви та згідно з режимом роботи надавача електронних довірчих послуг;
скасування, блокування та поновлення сертифікатів відкритих ключів відповідно до вимог цього Закону;
встановлення під час формування сертифіката відкритого ключа належності відкритого ключа та відповідного йому особистого ключа підписувачу чи створювачу електронної печатки;
внесення даних підписувача чи створювача електронної печатки до відповідного сертифіката відкритого ключа;
вжиття організаційних і технічних заходів з управління ризиками, пов’язаними з безпекою електронних довірчих послуг;
інформування контролюючого органу та, в разі необхідності, органу з питань захисту персональних даних про порушення конфіденційності та/або цілісності інформації, що впливають на надання електронних довірчих послуг або стосуються персональних даних користувачів електронних довірчих послуг, без необґрунтованої затримки, не пізніше ніж протягом 24 годин з моменту, коли їм стало відомо про таке порушення, у порядку, встановленому Кабінетом Міністрів України;
інформування користувачів електронних довірчих послуг про порушення конфіденційності та/або цілісності інформації, що впливають на надання їм електронних довірчих послуг або стосуються їхніх персональних даних, без необґрунтованої затримки, але не пізніше двох годин з моменту, коли їм стало відомо про таке порушення, у порядку, встановленому Кабінетом Міністрів України;
унеможливлення використання особистого ключа підписувача або створювача електронної печатки, якщо стало відомо про компрометацію такого особистого ключа та якщо особистий ключ підписувача або створювача електронної печатки зберігається у такого надавача електронних довірчих послуг у межах надання послуги створення, перевірки та підтвердження електронного підпису чи електронної печатки;
постійне зберігання всіх виданих сертифікатів відкритих ключів;
постійне зберігання всіх виданих сертифікатів відкритих ключів;
постійне зберігання документів та електронних даних, отриманих у зв’язку з наданням електронних довірчих послуг.
Перелік зазначених документів встановлюється Кабінетом Міністрів України.
5. Кваліфіковані надавачі електронних довірчих послуг, крім обов’язків, визначених частиною четвертою цією статті, зобов’язані також забезпечувати:
внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів, або рахунок у Національному банку України - для банків - кваліфікованих надавачів електронних довірчих послуг, кваліфікованого надавача електронних довірчих послуг, створеного Національним банком України) для забезпечення відшкодування шкоди, яка може бути завдана користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання кваліфікованим надавачем електронних довірчих послуг своїх зобов’язань, або страхування відповідальності для забезпечення відшкодування такої шкоди у розмірі, визначеному частиною п’ятою статті 16 цього Закону;
відновлення розміру внеску на поточному рахунку із спеціальним режимом використання у банку (на рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або на рахунку у Національному банку України - для банків - кваліфікованих надавачів електронних довірчих послуг, кваліфікованого надавача електронних довірчих послуг, створеного Національним банком України, або розміру страхової суми, що встановлені частиною п’ятою статті 16 цього Закону, протягом трьох місяців у разі зміни розміру мінімальної заробітної плати або в разі відшкодування збитків, завданих користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання своїх зобов’язань;
використання під час надання кваліфікованих електронних довірчих послуг виключно кваліфікованих сертифікатів відкритих ключів, сформованих центральним засвідчувальним органом чи засвідчувальним центром;
наймання працівників та, за потреби, виконання робіт субпідрядними організаціями, які володіють необхідними для надання електронних довірчих послуг знаннями, досвідом і кваліфікацією, та застосування адміністративних і управлінських процедур, які відповідають національним або міжнародним стандартам;
чітке та вичерпне повідомлення будь-якій особі, яка звернулася за отриманням електронної довірчої послуги, про умови використання такої послуги, у тому числі про будь-які обмеження її використання, перед укладенням договору про надання електронних довірчих послуг;
інформування контролюючого органу та центрального засвідчувального органу або засвідчувального центру про намір припинити свою діяльність та про зміни у наданні кваліфікованих електронних довірчих послуг протягом 48 годин з моменту настання таких змін;
передачу центральному засвідчувальному органу, засвідчувальному центру або іншому кваліфікованому надавачу електронних довірчих послуг документованої інформації в разі припинення діяльності з надання кваліфікованих електронних довірчих послуг;
приєднання до програмного інтерфейсу інформаційно-комунікаційної системи центрального засвідчувального органу з метою забезпечення інтероперабельності, дослідження поточного стану, перспектив розвитку сфери електронних довірчих послуг та виконання інших повноважень, визначених статтями 7 та 7-1 цього Закону, у разі набуття таким надавачем електронних довірчих послуг статусу кваліфікованого на підставі рішення центрального засвідчувального органу.
6. Вимоги до надавачів електронних довірчих послуг (у тому числі вимоги з безпеки та захисту інформації та вимоги до працівників надавача електронних довірчих послуг) та їхніх відокремлених пунктів реєстрації, порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
Вимоги до надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації (у тому числі вимоги з безпеки та захисту інформації та вимоги до працівників надавача електронних довірчих послуг), які надають кваліфіковані електронні довірчі послуги у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг встановлюються Національним банком України.
Надавачі електронних довірчих послуг, які надають електронні довірчі послуги у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, а також при наданні платіжних послуг, зобов’язані виконувати вимоги, встановлені Кабінетом Міністрів України та Національним банком України.
7. Перелік змін у наданні кваліфікованих електронних довірчих послуг, про які кваліфіковані надавачі зобов’язані поінформувати контролюючий орган та центральний засвідчувальний орган або засвідчувальний центр, встановлюються Кабінетом Міністрів України.
Розділ III
ЕЛЕКТРОННА ІДЕНТИФІКАЦІЯ
Стаття 14. Електронна ідентифікація
1. Електронна ідентифікація здійснюється з використанням засобів електронної ідентифікації та процедури автентифікації відповідно до схем електронної ідентифікації.
2. Відповідність засобів електронної ідентифікації (крім засобів, визначених абзацом першим частини третьої статті 15 цього Закону) низькому, середньому або високому рівню довіри визначається за результатами проведення процедур оцінки відповідності з урахуванням частини четвертої статті 15 цього Закону, а також відповідно до вимог
Закону України "Про технічні регламенти та оцінку відповідності".
3. Власники (держателі) інформаційних та інформаційно-комунікаційних систем, з використанням систем яких надаються електронні довірчі послуги, здійснюються відправлення і отримання електронних даних та володільцями інформації в яких є органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права, за результатами оцінки ризиків і наслідків неправомірного використання чи підміни ідентифікаційних даних користувачів послуг електронної ідентифікації використовують для здійснення автентифікації в зазначених системах засоби електронної ідентифікації з середнім або високим рівнем довіри. Власники (держателі) інформаційних та інформаційно-комунікаційних систем, з використанням систем яких надаються електронні довірчі послуги, здійснюються відправлення і отримання електронних даних та володільцями інформації в яких є органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права, при виборі засобів електронної ідентифікації з середнім або високим рівнем довіри здійснюють оцінку ризиків і наслідків неправомірного використання чи підміни ідентифікаційних даних користувачів послуг електронної ідентифікації у порядку, встановленому Кабінетом Міністрів України.
4. Власники (держателі) інформаційних та інформаційно-комунікаційних систем, за допомогою яких надаються електронні послуги, здійснюються відправлення і отримання електронних даних та володільцями інформації в яких є органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права, що забезпечують здійснення автентифікації в зазначених системах, зобов’язані:
забезпечувати захист інформації в інформаційній чи інформаційно-комунікаційній системі відповідно до вимог законодавства;
здійснювати заходи з оцінки ризиків відповідно до законодавства;
інформувати контролюючий орган про надання електронних послуг з використанням засобів електронної ідентифікації у порядку, визначеному Кабінетом Міністрів України;
інформувати контролюючий орган про встановлення факту несанкціонованого доступу до інформації під час надання електронних послуг з використанням засобів електронної ідентифікації без необґрунтованої затримки, не пізніше ніж протягом 24 годин з моменту, коли їм стало відомо про таке порушення.
Стаття 15. Рівні довіри до засобів та схем електронної ідентифікації
1. Схеми електронної ідентифікації повинні забезпечувати низький, середній та/або високий рівні довіри до засобів електронної ідентифікації, що видаються в рамках відповідних схем електронної ідентифікації.
2. Низький, середній та високий рівні довіри до засобів електронної ідентифікації повинні відповідати таким критеріям:
низький рівень довіри до засобів електронної ідентифікації стосується засобу електронної ідентифікації в контексті схеми електронної ідентифікації, який забезпечує обмежений ступінь довіри до заявлених або стверджуваних ідентифікаційних даних особи та описується з посиланням на пов’язані з ним технічні специфікації, стандарти і процедури, включаючи технічні засоби контролю, призначенням яких є зниження ризику неправомірного використання чи підміни ідентифікаційних даних;
середній рівень довіри до засобів електронної ідентифікації стосується засобу електронної ідентифікації в контексті схеми електронної ідентифікації, який забезпечує суттєвий ступінь довіри до заявлених або стверджуваних ідентифікаційних даних особи та описується з посиланням на пов’язані з ним технічні специфікації, стандарти і процедури, включаючи технічні засоби контролю, призначенням яких є істотне зниження ризику неправомірного використання чи підміни ідентифікаційних даних;
високий рівень довіри до засобів електронної ідентифікації стосується засобу електронної ідентифікації в контексті схеми електронної ідентифікації, який забезпечує вищий ступінь довіри до заявлених або стверджуваних ідентифікаційних даних особи, ніж засіб електронної ідентифікації з середнім рівнем довіри, та описується з посиланням на пов’язані з ним технічні специфікації, стандарти і процедури, включаючи технічні засоби контролю, призначенням яких є запобігання неправомірному використанню чи підміні ідентифікаційних даних.
3. Використання кваліфікованих електронних підписів та печаток забезпечує високий рівень довіри до засобів електронної ідентифікації, з використанням яких створюються такі електронні підписи та печатки, а також до схем електронної ідентифікації, в рамках яких видаються відповідні засоби електронної ідентифікації.
Використання удосконалених електронних підписів та печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, забезпечує середній рівень довіри до засобів електронної ідентифікації, з використанням яких створюються такі електронні підписи та печатки, а також до схем електронної ідентифікації, в рамках яких видаються відповідні засоби електронної ідентифікації.
4. Технічний регламент щодо вимог до засобів електронної ідентифікації в контексті схеми електронної ідентифікації та процедури, що застосовуються для визначення рівня довіри до засобів електронної ідентифікації, затверджуються Кабінетом Міністрів України.
Стаття 15-1. Гаманці з цифровою ідентифікацією
1. Гаманці з цифровою ідентифікацією повинні випускатися згідно із схемою електронної ідентифікації відповідно до вимог, встановлених Кабінетом Міністрів України.
2. Підтвердження відповідності гаманців з цифровою ідентифікацією встановленим вимогам здійснюється органом з оцінки відповідності, акредитованим відповідно до законодавства у сфері акредитації, у порядку, встановленому Кабінетом Міністрів України.
3. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, надає адміністративні послуги із включення гаманців з цифровою ідентифікацією до переліку схем електронної ідентифікації, гаманців з цифровою ідентифікацією, внесення змін до такого переліку.
4. Результати отримання та використання гаманців з цифровою ідентифікацією повинні визнаватися усіма користувачами таких послуг, іншими фізичними та юридичними особами.
5. Якщо гаманець з цифровою ідентифікацією використовується для створення кваліфікованого електронного підпису чи печатки, то він повинен відповідати вимогам до засобів кваліфікованого електронного підпису чи печатки.
Стаття 15-2. Перелік схем електронної ідентифікації
1. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, безоплатно надає адміністративні послуги із включення схеми електронної ідентифікації до переліку схем електронної ідентифікації, гаманців з цифровою ідентифікацією, внесення змін до такого переліку.
Порядок ведення переліку схем електронної ідентифікації, гаманців з цифровою ідентифікацією затверджується Кабінетом Міністрів України.
Для отримання адміністративних послуг із включення схеми електронної ідентифікації до переліку схем електронної ідентифікації, внесення змін до такого переліку заявники подають документи у паперовій або електронній формі, у тому числі з використанням інтегрованої системи електронної ідентифікації.
2. Надавачі послуг електронної ідентифікації для включення схем електронної ідентифікації, які вони реалізують, до переліку схем електронної ідентифікації подають до центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, такі документи:
1) заяву про включення схеми електронної ідентифікації до переліку схем електронної ідентифікації згідно з формою, встановленою центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг;
2) документ, що дає змогу однозначно ідентифікувати фізичну особу - підприємця або представника юридичної особи, яка є надавачем послуг електронної ідентифікації (якщо документи подаються у паперовій формі);
3) опис відповідної схеми електронної ідентифікації згідно з формою, встановленою центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг;
4) документ про оцінку відповідності щодо відповідності засобів електронної ідентифікації, що видаються в рамках відповідної схеми електронної ідентифікації, низькому, середньому або високому рівню довіри;
5) відомості про відокремлені пункти реєстрації (якщо послуги електронної ідентифікації згідно з відповідною схемою електронної ідентифікації будуть надаватися через відокремлені пункти реєстрації).
Документ, визначений пунктом 4 цієї частини, не подається кваліфікованими надавачами електронних довірчих послуг. Документи, визначені пунктом 5 цієї частини, не подаються кваліфікованими надавачами електронних довірчих послуг у разі, якщо інформація в таких документах не відрізняється від інформації, що подавалася для включення відомостей про таких кваліфікованих надавачів електронних довірчих послуг до Довірчого списку.
3. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, за результатами розгляду поданих документів протягом 15 робочих днів з дня реєстрації заяви про включення схеми електронної ідентифікації до переліку схем електронної ідентифікації приймає рішення про включення схеми електронної ідентифікації до переліку схем електронної ідентифікації або надсилає заявнику вмотивовану відмову.
4. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, приймає рішення про відмову у включенні схеми електронної ідентифікації до переліку схем електронної ідентифікації у сфері електронного урядування у разі:
подання не в повному обсязі документів, передбачених частиною другою цієї статті, або порушення встановлених вимог до поданих документів;
виявлення в документах, що подаються для включення схеми електронної ідентифікації до переліку схем електронної ідентифікації, недостовірних відомостей, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
5. У разі зміни відомостей, які подавалися надавачем послуг електронної ідентифікації для включення схеми електронної ідентифікації, яку він реалізує та яка міститься в переліку схем електронної ідентифікації, до переліку схем електронної ідентифікації, надавач послуг електронної ідентифікації зобов’язаний протягом п’яти робочих днів з дня настання такої зміни подати до центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, заяву про внесення змін до переліку схем електронної ідентифікації разом з документами, що підтверджують відповідні зміни.
У разі порушення строку подання документів для внесення змін до переліку схем електронної ідентифікації надавачу послуг електронної ідентифікації забороняється надавати послуги електронної ідентифікації згідно із схемою (схемами) електронної ідентифікації, включеною (включеними) до переліку схем електронної ідентифікації, до внесення відповідних змін до цього переліку. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, протягом п’яти робочих днів з дня реєстрації заяви про внесення змін до переліку схем електронної ідентифікації зобов’язаний внести відповідні зміни до такого переліку або надати вмотивовану відмову. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, надає вмотивовану відмову у внесенні змін до переліку схем електронної ідентифікації в разі:
неподання документів, що є підставою для внесення відповідних змін до переліку схем електронної ідентифікації або порушення встановлених вимог до поданих документів;
виявлення в заяві та/або документах, що подаються для внесення змін до переліку схем електронної ідентифікації, недостовірних відомостей, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
6. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, вносить до переліку схем електронної ідентифікації інформацію про припинення функціонування схеми електронної ідентифікації у разі:
отримання заяви надавача послуг електронної ідентифікації про припинення функціонування схеми електронної ідентифікації, яку він реалізує;
отримання подання контролюючого органу про припинення функціонування схеми електронної ідентифікації за результатами перевірки дотримання вимог законодавства у сфері електронної ідентифікації;
отримання інформації або документа, що підтверджує: державну реєстрацію припинення підприємницької діяльності фізичної особи - підприємця чи припинення юридичної особи, яка є надавачем послуг електронної ідентифікації; смерть фізичної особи - підприємця, яка є надавачем послуг електронної ідентифікації;
набрання законної сили рішенням суду про припинення функціонування схеми електронної ідентифікації, оголошення фізичної особи - підприємця, яка є надавачем послуг електронної ідентифікації, померлою, визнання її безвісно відсутньою, недієздатною, обмеження її цивільної дієздатності, визнання надавача послуг електронної ідентифікації банкрутом.
Рішення про припинення функціонування схеми електронної ідентифікації приймається протягом п’яти робочих днів з дня реєстрації відповідної заяви, подання чи підтвердного документа.
7. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, зобов’язаний оприлюднити рішення про припинення функціонування схеми електронної ідентифікації не пізніше наступного робочого дня після його прийняття шляхом:
розміщення відповідної інформації на своєму офіційному веб-сайті;
надсилання надавачу послуг електронної ідентифікації повідомлення про прийняття рішення із зазначенням підстави його прийняття.
Стаття 15-3. Інтегрована система електронної ідентифікації
1. Інтегрована система електронної ідентифікації - це інформаційно-комунікаційна система, призначена для технологічного забезпечення зручної, доступної та безпечної електронної ідентифікації та автентифікації її користувачів, сумісності та інтеграції схем електронної ідентифікації, їх взаємодії з інформаційними та інформаційно-комунікаційними системами органів державної влади, органів місцевого самоврядування, юридичних осіб, фізичних осіб - підприємців та осіб, які провадять незалежну професійну діяльність, забезпечення захисту інформації та персональних даних з використанням єдиних вимог, форматів, протоколів та класифікаторів, а також задоволення інших потреб, визначених законодавством.
2. Власником інтегрованої системи електронної ідентифікації є держава.
Держателем інтегрованої системи електронної ідентифікації є центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
Технічним адміністратором інтегрованої системи електронної ідентифікації є державне підприємство, що належить до сфери управління центрального органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
3. Положення про інтегровану систему електронної ідентифікації затверджується Кабінетом Міністрів України.
4. Приєднання інформаційних та інформаційно-комунікаційних систем до інтегрованої системи електронної ідентифікації здійснюється на підставі договору, укладеного з технічним адміністратором цієї системи.
За приєднання інформаційних та інформаційно-комунікаційних систем (крім тих, які використовуються для надання послуг електронної ідентифікації та надання кваліфікованих електронних довірчих послуг) до інтегрованої системи електронної ідентифікації та використання ресурсів інтегрованої системи електронної ідентифікації особами, які надають послуги (крім послуг електронної ідентифікації та надання кваліфікованих електронних довірчих послуг), справляється плата у розмірах, встановлених центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
Від плати за приєднання до інтегрованої системи електронної ідентифікації та використання її ресурсів звільняються органи державної влади, Національний банк України, Служба безпеки України, Національна рада України з питань телебачення і радіомовлення, Центральна виборча комісія України та інші державні органи, органи влади Автономної Республіки Крим, органи місцевого самоврядування, а також Офіс Президента України, Рада національної безпеки і оборони України, Апарат Верховної Ради України, Секретаріат Кабінету Міністрів України, Секретаріат Уповноваженого Верховної Ради України з прав людини, Офіс Генерального прокурора, Генеральний штаб Збройних Сил України, головний орган військового управління Національної гвардії України, Державний центр зайнятості, Фонд соціального страхування, державні установи та заклади.
5. Обробка персональних даних засобами інтегрованої системи електронної ідентифікації здійснюється відповідно до вимог
Закону України "Про захист персональних даних".
6. Автентифікація в інформаційних та інформаційно-комунікаційних системах, за допомогою яких надаються електронні послуги, здійснюються відправлення та отримання електронних даних та володільцями інформації в яких є органи державної влади, інші державні органи, органи влади Автономної Республіки Крим, органи місцевого самоврядування, здійснюється з використанням інтегрованої системи електронної ідентифікації.
Ця вимога не застосовується до інформаційних та інформаційно-комунікаційних систем, які з метою надання електронних послуг, відправлення та отримання електронних даних використовують схеми електронної ідентифікації, сумісність або інтеграцію яких не забезпечено інтегрованою системою електронної ідентифікації.
Стаття 15-4. Ініціативи щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації
1. Кабінет Міністрів України може приймати рішення про реалізацію ініціатив щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації.
2. Реалізація ініціатив щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації може передбачати прийняття Кабінетом Міністрів України рішень з питань, пов’язаних з електронною ідентифікацією.
Рішення Кабінету Міністрів України про реалізацію ініціативи щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації повинно визначати строки проведення експерименту, його учасників, орган виконавчої влади, відповідальний за контроль за проведенням експерименту, опис контрольованого середовища, в якому проводиться тестування, та експериментальні положення законодавства у сфері електронної ідентифікації, які будуть застосовуватися для регулювання відносин, пов’язаних з реалізацією відповідних ініціатив.
3. Строк реалізації ініціативи щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації не може перевищувати два роки. За рішенням Кабінету Міністрів України реалізація ініціативи може бути продовжена на строк, необхідний для надання нормам, обмеженим сферою і строком реалізації відповідної ініціативи, загального та постійного характеру, але не більше ніж на два роки.
4. Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, спільно із заінтересованими органами виконавчої влади, іншими державними органами розробляє проекти рішень Кабінету Міністрів України про реалізацію ініціатив щодо тестування інноваційних схем, засобів і технологій електронної ідентифікації та у встановленому порядку вносить пропозиції щодо вдосконалення законодавства у сфері електронної ідентифікації за результатами оцінювання результатів таких ініціатив.
Розділ IV
ЕЛЕКТРОННІ ДОВІРЧІ ПОСЛУГИ
Стаття 16. Вимоги до електронних довірчих послуг
1. Електронні довірчі послуги надаються, як правило, на договірних засадах надавачами електронних довірчих послуг.
2. До складу електронних довірчих послуг входять: створення, перевірка та підтвердження удосконаленого електронного підпису чи печатки; формування, перевірка та підтвердження чинності сертифіката електронного підпису чи печатки; формування, перевірка та підтвердження чинності сертифіката автентифікації веб-сайту; формування, перевірка та підтвердження електронної позначки часу; реєстрована електронна доставка; зберігання удосконалених електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з цими послугами. Кожна послуга, що входить до складу електронних довірчих послуг, може надаватися окремо або в сукупності.
3. До кваліфікованих електронних довірчих послуг належать: створення, перевірка та підтвердження кваліфікованого електронного підпису чи печатки; формування, перевірка та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки; формування, перевірка та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту; формування, перевірка та підтвердження кваліфікованої електронної позначки часу; кваліфікована електронна довірча послуга реєстрованої електронної доставки; зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з цими послугами. Кожна послуга, що належить до переліку кваліфікованих електронних довірчих послуг, може надаватися окремо або в сукупності виключно кваліфікованим надавачем електронних довірчих послуг, засвідчувальним центром та центральним засвідчувальним органом.
4. У разі якщо це практично можливо, електронні довірчі послуги та апаратно-програмні пристрої і програмне забезпечення, що використовуються для надання електронних довірчих послуг і призначені для кінцевих користувачів таких послуг, повинні бути доступними для осіб з інвалідністю.
5. Діяльність з надання кваліфікованих електронних довірчих послуг здійснюється за умови внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів, або рахунок у Національному банку України - для банків - кваліфікованих надавачів електронних довірчих послуг, кваліфікованого надавача електронних довірчих послуг, створеного Національним банком України) для забезпечення відшкодування шкоди, яка може бути завдана користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання кваліфікованим надавачем електронних довірчих послуг своїх зобов’язань, або страхування відповідальності для забезпечення відшкодування такої шкоди. Розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми не може становити менше 1 тисячі розмірів мінімальної заробітної плати.
6. Розподіл ризиків збитків, що можуть бути заподіяні користувачам електронних довірчих послуг та третім особам фізичними або юридичними особами, не внесеними центральним засвідчувальним органом до Довірчого списку, визначається суб’єктами відносин на договірних засадах.
Стаття 17. Використання електронних довірчих послуг
1. Електронна взаємодія фізичних та юридичних осіб, яка потребує відправлення, отримання, використання та постійного зберігання електронних даних за участю третіх осіб, може здійснюватися з використанням електронних довірчих послуг або без їх використання.
2. Органи державної влади, органи влади Автономної Республіки Крим, органи місцевого самоврядування, інші юридичні особи публічного права та їх посадові особи використовують кваліфіковані електронні підписи та печатки, а також електронні підписи та печатки, які базуються на кваліфікованих сертифікатах відкритих ключів.
Президент України, народні депутати України, члени Кабінету Міністрів України, керівники, заступники керівників, посадові особи державних органів, інших юридичних осіб публічного права, а також державні реєстратори, нотаріуси та інші суб’єкти, уповноважені державою на здійснення функцій державного реєстратора, для вчинення реєстраційних та інших дій, якщо зазначені особи використовують електронний підпис для реалізації повноважень, пов’язаних із набуттям, зміною чи припиненням прав та/або обов’язків фізичних і юридичних осіб відповідно до закону, використовують виключно кваліфіковані електронні підписи.
Законом може встановлюватися обов’язковість використання кваліфікованих електронних довірчих послуг в інших сферах суспільних відносин.
3. Порядок використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях державної форми власності встановлюється Кабінетом Міністрів України.
4. Нотаріальні дії з використанням кваліфікованого електронного підпису чи печатки або інших засобів електронної ідентифікації вчиняються в порядку, визначеному центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сфері нотаріату.
5. Здійснення правосуддя з використанням кваліфікованого електронного підпису чи печатки або інших засобів електронної ідентифікації вчиняється в порядку, встановленому законом.
6. Правочини, що підлягають нотаріальному посвідченню та/або державній реєстрації у випадках, встановлених законом, вчиняються в електронній формі виключно із застосуванням кваліфікованих електронних довірчих послуг.
7. Юридична сила та допустимість електронного підпису чи печатки як доказу не можуть бути заперечені виключно на тій підставі, що вони мають електронну форму або не відповідають вимогам до кваліфікованих електронних підписів чи печаток.
Юридична сила та допустимість електронної позначки часу як доказу не можуть бути заперечені виключно на тій підставі, що вона має електронну форму або не відповідає вимогам до кваліфікованих електронних позначок часу.
Юридична сила та допустимість електронних даних, відправлених та отриманих з використанням електронної довірчої послуги реєстрованої електронної доставки, як доказу не можуть бути заперечені виключно на тій підставі, що вони мають електронну форму або не відповідають вимогам до кваліфікованої електронної довірчої послуги реєстрованої електронної доставки.
8. Результати надання електронних довірчих послуг, що відповідають вимогам цього Закону, повинні визнаватися усіма користувачами таких послуг, іншими фізичними та юридичними особами.
Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності зобов’язані забезпечити використання результатів надання кваліфікованих електронних довірчих послуг від усіх кваліфікованих надавачів електронних довірчих послуг.
Стаття 17-1. Вимоги до удосконалених електронних підписів та печаток
1. Удосконалений електронний підпис чи печатка повинні відповідати таким вимогам:
бути однозначно пов’язаним (пов’язаною) з підписувачем або створювачем електронної печатки;
надавати можливість ідентифікувати підписувача або створювача електронної печатки;
створюватися з використанням особистого ключа, який підписувач або створювач електронної печатки може з високим рівнем достовірності використовувати під власним одноосібним контролем;
бути пов’язаним (пов’язаною) з електронними даними, на які накладено удосконалений електронний підпис чи печатку, таким чином, щоб будь-яка наступна зміна таких даних могла бути виявлена.
2. Кабінет Міністрів України встановлює вимоги до форматів удосконалених електронних підписів та печаток, які використовуються для надання електронних публічних послуг.
3. Кабінет Міністрів України встановлює вимоги до створення та перевірки удосконалених електронних підписів, що базуються на кваліфікованих сертифікатах відкритих ключів.
4. Національний банк України має право встановлювати вимоги до форматів удосконалених електронних підписів та печаток, що використовуються у банківській системі України та на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю на яких здійснює Національний банк України, а також при наданні платіжних послуг.
Стаття 18. Кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки
1. Кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки надається кваліфікованим надавачем електронних довірчих послуг та включає:
надання користувачам електронних довірчих послуг засобів кваліфікованого електронного підпису чи печатки для генерації пар ключів та/або створення кваліфікованих електронних підписів чи печаток, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки;
надання підписувачам та/або створювачам електронної печатки права використання засобів кваліфікованого електронного підпису чи печатки, розміщених у кваліфікованого надавача електронних довірчих послуг, який здійснює генерацію та/або управління парою ключів від імені підписувача чи створювача електронної печатки;
технічну підтримку та обслуговування наданих засобів кваліфікованого електронного підпису чи печатки.
2. У процесі підтвердження кваліфікованого електронного підпису чи печатки дійсність таких підпису чи печатки підтверджується, за умови:
використання для створення кваліфікованого електронного підпису чи печатки кваліфікованого сертифіката електронного підпису чи печатки, який відповідає вимогам, встановленим частиною другою статті 23 цього Закону;
видачі кваліфікованого сертифіката електронного підпису чи печатки кваліфікованим надавачем електронних довірчих послуг та його чинності на момент створення кваліфікованого електронного підпису чи печатки; відповідності значення відкритого ключа його значенню, яке міститься в кваліфікованому сертифікаті електронного підпису чи печатки;
правильного внесення унікального набору даних, які визначають підписувача чи створювача електронної печатки, до кваліфікованого сертифіката електронного підпису чи печатки;
зазначення у кваліфікованому сертифікаті електронного підпису про використання в ньому псевдоніма (у разі його використання особою на момент створення кваліфікованого електронного підпису);
підтвердження того, що особистий ключ, який використовувався для створення кваліфікованого електронного підпису чи печатки, зберігається в засобі кваліфікованого електронного підпису чи печатки;
відсутності порушення цілісності електронних даних, з якими пов’язаний цей кваліфікований електронний підпис чи печатка;
дотримання вимог, встановлених частиною першою статті 17-1 цього Закону, на момент створення кваліфікованого електронного підпису чи печатки.
Під час надання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки використовується Довірчий список для перевірки статусу кваліфікованої електронної довірчої послуги, яку надає такий кваліфікований надавач електронних довірчих послуг.
3. Інформаційна та інформаційно-комунікаційна системи, що використовуються для підтвердження кваліфікованого електронного підпису чи печатки, повинні надавати користувачу правильний результат процесу підтвердження та давати йому можливість виявляти будь-які проблеми, пов’язані з безпекою.
4. Кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки надається лише кваліфікованими надавачами електронних довірчих послуг, які:
забезпечують підтвердження кваліфікованого електронного підпису чи печатки згідно з вимогами, встановленими частиною другою цієї статті;
надають можливість будь-яким особам отримувати результат процесу підтвердження із застосуванням щонайменше удосконаленого електронного підпису чи удосконаленої електронної печатки кваліфікованого надавача електронних довірчих послуг автоматизованим способом.
5. Електронний підпис чи печатка не можуть бути визнані недійсними та не розглядатися як доказ у судових справах виключно на тій підставі, що вони мають електронний вигляд або не відповідають вимогам до кваліфікованого електронного підпису чи печатки.
6. Кваліфікований електронний підпис має таку саму юридичну силу, як і власноручний підпис, та має презумпцію його відповідності власноручному підпису.
7. Кваліфікована електронна печатка має презумпцію цілісності електронних даних і достовірності походження електронних даних, з якими вона пов’язана.
8. Вимоги до надання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
9. Видача та обіг засобів електронної ідентифікації з функціями кваліфікованого електронного підпису як документів, що посвідчують особу, регулюються законодавством.
Вимоги до кваліфікованих електронних довірчих послуг, що надаються з використанням засобів електронної ідентифікації з функціями кваліфікованого електронного підпису, як документів, що посвідчують особу, встановлюються цим Законом та іншими актами законодавства.
Стаття 19. Засоби кваліфікованого електронного підпису чи печатки
1. Засоби кваліфікованого електронного підпису чи печатки за допомогою відповідних технічних та процедурних засобів повинні забезпечувати:
надійний рівень конфіденційності особистих ключів під час їх генерації, зберігання та створення кваліфікованого електронного підпису чи печатки;
належний рівень унікальності пари ключів, які вони генерують;
надійний рівень неможливості обчислення значення особистого ключа на основі відкритої інформації та надійний захист кваліфікованого електронного підпису чи печатки від підроблення шляхом використання наявних на даний момент технологій;
можливість надійного захисту підписувачем чи створювачем (уповноваженим представником створювача) електронної печатки особистого ключа від використання іншими особами.
2. Засоби кваліфікованого електронного підпису чи печатки не повинні змінювати електронні дані, з якими пов’язаний такий підпис чи печатка, або перешкоджати доступу підписувача чи створювача (уповноваженого представника створювача) електронної печатки до таких електронних даних перед накладанням на них кваліфікованого електронного підпису чи печатки.
3. Генерацію та/або управління парою ключів від імені підписувача чи створювача електронної печатки може здійснювати виключно кваліфікований надавач електронних довірчих послуг.
4. Кваліфікований надавач електронних довірчих послуг, який здійснює управління парою ключів від імені підписувача чи створювача електронної печатки, може здійснювати резервне копіювання особистого ключа підписувача чи створювача електронної печатки з метою його зберігання, за умови дотримання вимоги абзацу п’ятого частини першої статті 19 цього Закону, а також таких вимог:
рівень безпеки резервної копії особистого ключа повинен відповідати рівню безпеки оригінального особистого ключа;
кількість резервних копій не повинна перевищувати мінімальне значення, необхідне для забезпечення безперервності надання послуги.
5. Відповідність засобів кваліфікованого електронного підпису чи печатки вимогам, встановленим частинами першою - четвертою цієї статті, підтверджується документами про відповідність, виданими за результатами сертифікації таких засобів відповідно до
Закону України "Про технічні регламенти та оцінку відповідності".
Презумпцією відповідності виконання вимог, встановлених частинами першою - четвертою цієї статті, є реалізація вимог стандартів, у тому числі щодо забезпечення сумісності, затверджених центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
6. Органи з оцінки відповідності, акредитовані на проведення сертифікації засобів кваліфікованого електронного підпису чи печатки, формують, підтримують в актуальному стані та публікують на своїх офіційних веб-сайтах переліки сертифікованих ними засобів кваліфікованого електронного підпису чи печатки, а також надають центральному органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, переліки сертифікованих ними засобів кваліфікованого електронного підпису чи печатки.
Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, формує, підтримує в актуальному стані та публікує на своєму офіційному веб-сайті перелік всіх засобів кваліфікованого електронного підпису чи печатки, сертифікованих органами з оцінки відповідності, акредитованими на проведення сертифікації засобів кваліфікованого електронного підпису чи печатки.
Вимоги до переліків сертифікованих засобів кваліфікованого електронного підпису чи печатки встановлюються центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
Стаття 20. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки
1. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки включає:
створення умов для генерації пари ключів особисто підписувачем чи створювачем (уповноваженим представником створювача) електронної печатки за допомогою засобу кваліфікованого електронного підпису чи печатки;
формування кваліфікованих сертифікатів електронного підпису чи печатки, що відповідають вимогам цього Закону, та видачу їх користувачу електронної довірчої послуги;
скасування, блокування та поновлення кваліфікованих сертифікатів електронного підпису чи печатки у випадках, передбачених цим Законом;
перевірку та підтвердження чинності кваліфікованих сертифікатів електронного підпису чи печатки шляхом надання третім особам інформації про їхній статус та відповідність вимогам цього Закону;
надання доступу до сформованих кваліфікованих сертифікатів електронних підписів та печаток шляхом їх розміщення на офіційному веб-сайті кваліфікованого надавача електронних довірчих послуг, за умови згоди підписувача чи створювача електронної печатки на публікацію кваліфікованого сертифіката електронного підпису чи печатки.
2. Формування та видача кваліфікованих сертифікатів електронного підпису чи печатки, що не відповідають вимогам цього Закону, забороняються.
Формування та видача кваліфікованих сертифікатів відкритого ключа іншого призначення, ніж для автентифікації веб-сайту, створення електронного підпису та електронної печатки, здійснюються відповідно до вимог цього Закону з урахуванням особливостей, встановлених Кабінетом Міністрів України.
3. Вимоги до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
4. Особливості надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката шифрування встановлюються центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
Стаття 21. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту
1. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту включає:
формування кваліфікованого сертифіката автентифікації веб-сайту, що відповідає вимогам цього Закону, та передачу його користувачу електронної довірчої послуги;
створення умов для генерації пари ключів особисто користувачем цієї електронної довірчої послуги за допомогою засобу кваліфікованого електронного підпису чи печатки;
скасування, блокування та поновлення кваліфікованого сертифіката автентифікації веб-сайту у випадках, передбачених цим Законом;
перевірку та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту шляхом надання третім особам інформації про його статус та відповідність вимогам цього Закону;
надання доступу до кваліфікованого сертифіката автентифікації веб-сайту шляхом розміщення його на офіційному веб-сайті кваліфікованого надавача електронних довірчих послуг, за умови згоди особи, ідентифікаційні дані якої міститимуться у кваліфікованому сертифікаті автентифікації веб-сайту, на публікацію кваліфікованого сертифіката автентифікації веб-сайту.
2. Вимоги до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
Стаття 22. Ідентифікація особи під час формування та видачі кваліфікованого сертифіката відкритого ключа
1. Формування та видача кваліфікованого сертифіката відкритого ключа без ідентифікації особи, ідентифікаційні дані якої міститимуться у кваліфікованому сертифікаті відкритого ключа, не допускаються.
Ідентифікація особи здійснюється кваліфікованим надавачем електронних довірчих послуг (його відокремленим пунктом реєстрації) шляхом перевірки та підтвердження належності фізичній чи юридичній особі, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, ідентифікаційних даних особи, отриманих кваліфікованим надавачем електронних довірчих послуг (його відокремленим пунктом реєстрації).
2. Ідентифікація особи, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, здійснюється в один із таких способів:
1) за особистої присутності фізичної особи, фізичної особи - підприємця чи уповноваженого представника юридичної особи - за результатами перевірки відомостей (даних) про особу, отриманими у встановленому законодавством порядку з Єдиного державного демографічного реєстру, за паспортом громадянина України або іншими документами, виданими відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи;
2) віддалено (без особистої присутності особи), з одночасним використанням засобу електронної ідентифікації, що має високий або середній рівень довіри, раніше виданого фізичній особі, фізичній особі - підприємцю чи уповноваженому представнику юридичної особи за особистої присутності, та багатофакторної автентифікації;
3) за ідентифікаційними даними особи, що містяться у кваліфікованому сертифікаті електронного підпису чи печатки, раніше сформованого (сформованої) та виданого (виданої) згідно з пунктом 1 або 2 цієї частини, за умови чинності такого сертифіката;
4) з використанням інших способів ідентифікації, визначених законом, надійність яких є еквівалентною особистій присутності та підтверджена органом з оцінки відповідності.
4. У разі відсутності в іноземців та осіб без громадянства документів, виданих відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи, їх ідентифікація у спосіб, визначений пунктом 1 частини другої цієї статті, здійснюється за легалізованим належним чином паспортним документом іноземця або документом, що посвідчує особу без громадянства.
5. Під час перевірки цивільної правоздатності та дієздатності юридичної особи (з метою формування кваліфікованого сертифіката електронної печатки або автентифікації веб-сайту) чи фізичної особи - підприємця (з метою формування кваліфікованого сертифіката електронної печатки) кваліфікований надавач електронних довірчих послуг зобов’язаний використовувати інформацію про юридичну особу чи фізичну особу - підприємця, що міститься в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань або в торговельному, банківському чи судовому реєстрі, який ведеться країною резидентства іноземної юридичної особи, а також пересвідчитися, що обсяг цивільної правоздатності та дієздатності юридичної особи чи фізичної особи - підприємця є достатнім для формування та видачі кваліфікованого сертифіката відкритого ключа або автентифікації веб-сайту.
Порядок проведення перевірки, передбаченої цією частиною, визначається Кабінетом Міністрів України.
Перевірка цивільної правоздатності та дієздатності міжнародних організацій, відомості про яких не внесені до Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань або торговельного, банківського чи судового реєстру, що ведеться іноземною державою, за місцезнаходженням штаб-квартири міжнародної організації здійснюється з використанням інформації з міжнародного договору або іншого офіційного документа, на підставі якого створена та/або діє міжнародна організація.
6. Уповноважений представник юридичної особи або фізичної особи - підприємця підписує документи, необхідні для формування та видачі кваліфікованого сертифіката відкритого ключа працівнику юридичної особи або фізичної особи - підприємця. Кваліфікований надавач електронних довірчих послуг під час формування та видачі кваліфікованого сертифіката відкритого ключа працівнику юридичної особи або фізичної особи - підприємця здійснює ідентифікацію працівника, а також ідентифікацію особи уповноваженого представника юридичної особи або фізичної особи - підприємця відповідно до вимог цієї статті та перевіряє обсяг його повноважень за документом, що визначає повноваження уповноваженого представника юридичної особи або фізичної особи - підприємця, чи з використанням інформації, що міститься в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань або в торговельному, банківському чи судовому реєстрі, який ведеться країною резидентства іноземної юридичної особи.
................Перейти до повного тексту