Identyfikacja elektroniczna i usługi zaufania w odniesieniu do transakcji elektronicznych
Trend określany jako paperless, czyli eliminacja dokumentacji papierowej w celu usprawnienia procesów biznesowych, zyskuje na popularności w dobie wszechobecnej elektronizacji oraz pandemii COVID-19. Nie bez znaczenia pozostają również jego aspekty ekonomiczne i ekologiczne, które obejmują w szczególności koszty druku, kopiowania, przechowywania dokumentów w archiwach zakładowych oraz mniejsza produkcja makulatury.
Ze względu na rozwój gospodarczy i społeczny, w ocenie ustawodawcy unijnego, powstała potrzeba zwiększenia zaufania do środowiska online oraz transakcji elektronicznych. Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 24 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (zwane dalej ,,Rozporządzenie eIDAS”) stanowi podstawę prawną stosowania podpisów elektronicznych na terenie Unii Europejskiej.
W rozumieniu prawa wspólnotowego usługi zaufania są zazwyczaj świadczone za wynagrodzeniem i polegają na tworzeniu dowodów z transakcji elektronicznych. Produktami działania usługi zaufania są w szczególności: kwalifikowane podpisy elektroniczne, znaczniki czasu, raporty z walidacji podpisu elektronicznego. Celem identyfikacji elektronicznej jest natomiast przekazanie danych osobowych potwierdzających tożsamość użytkownika usługi online. Jest ona realizowana w oparciu o systemy identyfikacji elektronicznej, które uwierzytelniają użytkownika i przekazują jego dane do określonych podmiotów.
Elektroniczna forma czynności prawnych
Zgodnie z art. 78(1)[1] Kodeksu cywilnego do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym. Oświadczenie złożone w formie elektronicznej jest równoznaczne z oświadczeniem woli złożonym w formie pisemnej. Oznacza to, że podpis własnoręczny (a co za tym idzie forma pisemna) jest całkowicie zastępowalny kwalifikowanym podpisem elektronicznym. Istotne jest jednak, że forma pisemna nie równoważy formy elektronicznej czynności prawnej.
W związku z tym, że forma elektroniczna czynności prawnej została oparta na wykorzystaniu kwalifikowanego podpisu elektronicznego, należy odróżnić go od innych funkcjonujących podpisów elektronicznych, przykładowo: zaawansowanego podpisu elektronicznego czy też niekwalifikowanego podpisu elektronicznego.
Kwalifikowany podpis elektroniczny
Zgodnie z Rozporządzeniem eIDAS, kwalifikowany podpis elektroniczny oznacza zaawansowany podpis elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i opiera się na kwalifikowanym certyfikacie (art. 3 pkt 12). Kwalifikowany podpis elektroniczny charakteryzuje się:
- unikalnym przyporządkowaniem podpisującemu, czyli może zostać złożony tylko przez jedną osobę (nie jest on przywiązany do grupy osób, a jedynie do pojedynczego podpisującego);
- umożliwia ustalenie tożsamości podpisującego, poprzez wskazanie atrybutów unikalnych dla danej osoby;
- jest składany przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą. Ustawodawca zakłada więc, że nawet jeżeli podpisujący powierzył kwalifikowane urządzenie do składania kwalifikowanego podpisu elektronicznego osobie trzeciej, to wdrożył on odpowiednie mechanizmy i procedury zapewniające, aby nadal miał on wyłączną kontrolę nad używaniem swoich danych służących do składania podpisu elektronicznego[2];
- jest powiązany z danymi podpisującego w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna. Integralność podpisu elektronicznego jest najważniejszym wymaganiem uznania jego ważności. W razie jej naruszenia elektroniczny podpis kwalifikowany jest nieważny (art. 32 ust.1 lit. g Rozporządzenia eIDAS);
- jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego;
- opiera się na kwalifikowanym certyfikacie podpisu elektronicznego.
Kwalifikowany certyfikat podpisu elektronicznego towarzyszy każdemu złożonemu podpisowi – stanowi element struktury złożonego podpisu elektronicznego. Certyfikat jest wydawany dla podpisującego, przez co jest również jawny dla adresata podpisanego dokumentu, gdyż stanowi wzorzec służący do weryfikacji ważności kwalifikowanego podpisu elektronicznego. W certyfikacie kwalifikowanym obowiązkowo znajdują się: identyfikator certyfikatu, dane osobowe podpisującego (numer PESEL nie jest obowiązkowym elementem certyfikatu), okres ważności certyfikatu oraz dane pozwalające na weryfikację podpisu elektronicznego.
Okres ważności certyfikatu jest wskazany w każdym certyfikacie poprzez umieszczenie daty i godziny jego początku i końca obowiązywania. Wszyscy wystawcy certyfikatów kwalifikowanych udostępniają publiczną, darmową oraz dostępną w czasie rzeczywistym aplikację, która umożliwia weryfikację ważności certyfikatów. Zgodnie z art. 18 ustawy o usługach zaufania oraz identyfikacji elektronicznej[3] podpis elektroniczny weryfikowany za pomocą certyfikatu wywołuje skutki prawne, jeżeli został złożony w okresie ważności tego certyfikatu.
Obowiązkowym atrybutem każdego kwalifikowanego podpisu elektronicznego jest czas jego złożenia. Istnieją dwie możliwości wskazania czasu złożenia podpisu:
- pochodzący z zegara systemowego komputera, na którym ten podpis utworzono, lub
- znaczenie za pomocą znacznika czasu, który zapewnia domniemanie prawne daty pewnej[4]. Znakowanie czasem można wykonać także dla podpisu elektronicznego, który został złożony wcześniej, co stanowi dowód, że istniał on w chwili znakowania czasem[5].
Kolejnym niezbędnym elementem kwalifikowanego podpisu elektronicznego jest kwalifikowane urządzenie do składania podpisu elektronicznego (tzw. QSCD – ang. Qualified Signature Creation Device). Podpis elektroniczny złożony bez użycia powyższego urządzenia nie korzysta z przymiotu kwalifikowanego podpisu elektronicznego. W takim przypadku jest to jedynie zaawansowany podpis elektroniczny weryfikowany kwalifikowanym certyfikatem.
Zgodnie z zasadą wzajemnego uznawania wyrażoną w art. 25 ust.3 Rozporządzenia eIDAS, kwalifikowany podpis elektroniczny oparty na kwalifikowanym certyfikacie wydanym w jednym państwie członkowskim jest uznawany za kwalifikowany podpis elektroniczny we wszystkich pozostałych państwach członkowskich. Stąd też, z praktycznego punktu widzenia, istotne jest, gdzie kwalifikowane są listy dostawców usług zaufanych oraz kwalifikowanych certyfikatów.
Dostawcy kwalifikowanych usług zaufania
W świetle art. 10 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej[6], za:
- tworzenie i wydawanie kwalifikowanym dostawcom usług zaufania certyfikatów służących do weryfikacji usług zaufania świadczonych przez kwalifikowanych dostawców,
- publikację ww. certyfikatów,
- publikację list unieważnionych certyfikatów,
odpowiada Narodowe Centrum Certyfikacji[7]. Jest to system informatyczny Narodowego Banku Polskiego, który został zbudowany w celu realizacji zadań powierzonych przez ministra właściwego do spraw informatyzacji. Polityka certyfikacji Narodowego Centrum Certyfikacji[8] określa w szczególności:
- typy i zakres stosowania wydawanych certyfikatów dostawy usług zaufania,
- zasady ich wydawania,
- uczestników procesu wydawania certyfikatów dostawcy usług zaufania i ich odpowiedzialność,
- obowiązki i zasady unieważniania wydanych certyfikatów dostawcy usług zaufania.
Obecnie na polskim rynku można wyróżnić pięciu kwalifikowanych dostawców usług zaufania:
- CenCert - Kwalifikowane Centrum Certyfikacji Kluczy, funkcjonujący w ramach firmy Enigma Systemy Ochrony Informacji Sp. z o.o.
- Eurocert Sp. z o.o.,
- Krajowa Izba Rozliczeniowa S.A. (podpis elektroniczny Szafir),
- Polska Wytwórnia Papierów Wartościowych (w zakresie usług centrum zaufania SIGILLUM),
- Centrum Certyfikacji Certum.
W ofercie powyższych kwalifikowanych dostawców usług zaufania można znaleźć również pieczęcie elektroniczne, zestawy z certyfikatem niekwalifikowanym, znakowanie czasem. Mając jednak na uwadze powyższe uwagi, dla wywołania skutku prawnego zgodnie z art. 78(1) Kodeksu cywilnego, do zachowania elektronicznej formy czynności prawnej (która równoważy formę pisemną) wystarczy złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym. Zgodnie z art. 25 ust.1 Rozporządzenia eIDAS podpisowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym, jednak wyłącznie kwalifikowany podpis elektroniczny ma skutek prawny równoważny podpisowi własnoręcznemu.
Autorzy :
Karolina Korbaś, prawnik
Małgorzata Mędrala, radca prawny
[1] Ustawa Kodeks cywilny z dnia 23 kwietnia 1964r. (Dz. U. z 2020 r. poz. 1740).
[2] M. Marucha-Jaworska, Rozporządzenie eIDAS. Zagadnienia prawne i techniczne, Wolters Kluwer 2017, s. 195.
[3] Ustawa o usługach zaufania oraz identyfikacji elektronicznej z dnia 5 września 2016r. (Dz. U. z 2020 r. poz. 1177).
[4] Art. 41 ust. 2 Rozporządzenia eIDAS - ,,kwalifikowany elektroniczny znacznik czasu korzysta z domniemania dokładności daty i czasu, jakie wskazuje, oraz integralności danych, z którymi wskazywane data i czas są połączone”.
[5] Art. 3 pkt 33 Rozporządzenia eIDAS - ,,oznacza dane w postaci elektronicznej, które wiążą inne dane w postaci elektronicznej z określonym czasem, stanowiąc dowód na to, że inne dane istniały w danym czasie”
[6] Dz.U. z 2020 r. poz. 1173.