2013-08-20
Kilka słów o bezpiecznym podpisie elektronicznym weryfikowanym kwalifikowanym certyfikatem wydanym przez kwalifikowany podmiot świadczący usługi certyfikacyjne

16 sierpnia 2013 r. minęła kolejna, jedenasta rocznica wejścia w życie ustawy o podpisie elektronicznym. Zbiegło się to z upływem mniej więcej 2 lat od chwili, gdy zdecydowałem się nie przedłużać ważności mojego osobistego kwalifikowanego certyfikatu podpisu elektronicznego. Zgodnie z oficjalnymi danymi, publikowanymi przez Ministerstwo Gospodarki, obecnie jest 270 838 użytkowników aktywnych certyfikatów kwalifikowanych, co oznacza że w Polsce około 270 tys. osób może stosować kwalifikowany podpis elektroniczny. Co ciekawe, od początku funkcjonowania systemu wydano zaledwie nieco ponad 828 tys. takich certyfikatów (wydawane są one zwykle na 1-2 lata). Czemu, mimo 11 lat obowiązywania ustawy, statystyki nadal nie są to imponujące?

Zgodnie z ustawą z dnia 18 września 2001 r. o podpisie elektronicznym (art. 3 pkt 1) podpis elektroniczny stanowią dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

Zatem - nieco upraszczając – tak jak podpis własnoręczny na dokumencie pozwala na identyfikację osoby, która ten podpis złożyła i ustalenie, że w określonych sytuacjach ponosi ona odpowiedzialność za treści zawarte w takim dokumencie, podpis elektroniczny umożliwia ustalenie, kto złożył oświadczenie w formie elektronicznej oraz czy taka osoba może ponosić odpowiedzialność w razie, gdyby się okazało, że takie oświadczenie zawiera nieprawdziwe informacje albo gdyby taka osoba nie wykonywała zobowiązań w nim opisanych.

Co do zasady, podpis elektroniczny nie musi zatem mieć jakiegokolwiek kwalifikowanego czy innego specjalnego charakteru, co potwierdza dodatkowo przepis art. 8 Ustawy, z którego wynika, że „Nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji podpisu nie mają kwalifikowanego certyfikatu, lub nie został złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu elektronicznego.”

Jednak już pobieżna lektura ustawy o podpisie elektronicznym wskazuje na to, że niezależnie od wyżej wskazanej aprobaty ustawodawcy dla wszelkiego rodzaju podpisów elektronicznych, w ustawie szczegółowo uregulowany jest tylko jeden z rodzajów podpisu czyli tzw. bezpieczny podpis elektroniczny (ale tylko taki, który jest weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu).

Diabeł tkwi w szczegółach: bezpieczny podpis elektroniczny czy bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu?

Istotną cechą wyróżniającą taki „bezpieczny” podpis elektroniczny jest to, że jego użycie zostało przez ustawodawcę zrównane ze złożeniem podpisu własnoręcznego. Oznacza to, że oświadczenie woli opatrzone „bezpiecznym” podpisem elektronicznym jest równoważne z takim oświadczeniem złożonym w formie pisemnej.

Warto jednak zacytować dokładnie art. 78 § 2 kodeksu cywilnego:

Art. 78. § 2. Oświadczenie woli złożone w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu jest równoważne z oświadczeniem woli złożonym w formie pisemnej.

Gdy mówimy zatem o podpisie elektronicznym, którego użycie ma spowodować powstanie oświadczenia, równoważnego pod względem formy z oświadczeniem w formie pisemnej, to powinniśmy mówić o bezpiecznym podpisie elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu.

Samo użycie „bezpiecznego podpisu elektronicznego” w rozumieniu ustawy o podpisie elektronicznym nie jest bowiem równoważne z formą pisemną oświadczenia, o jakiej mowa w Kodeksie cywilnym.

Przepis art. 3 pkt 2 ustawy o podpisie elektronicznym stanowi bowiem, że:

2) bezpieczny podpis elektroniczny - podpis elektroniczny, który:

  1. jest przyporządkowany wyłącznie do osoby składającej ten podpis,
  2. jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
  3. jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.

Z porównania brzmienia powyższej definicji z treścią art. 78 § 2 kc wynika jasno, że jakkolwiek bezpieczny podpis elektroniczny by nie był, to musi być dodatkowo weryfikowany owym kwalifikowanym certyfikatem, aby można mówić było o jakiejkolwiek równoważności z kodeksową formą pisemną.

Dodatkowo przywołam zatem definicje certyfikatu z ustawy:

10) certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby,

oraz kwalifikowanego certyfikatu:

12) kwalifikowany certyfikat - certyfikat spełniający warunki określone w ustawie, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne, spełniający wymogi określone w ustawie.

O tym, jakie to są warunki dla kwalifikowanego certyfikatu oraz wymogi dla kwalifikowanych (a jakże) wystawcach takich certyfikatów, można szczegółowo przeczytać w ustawie o podpisie elektronicznym (art. 9 i dalsze).

Mimo, że w języku potocznym przyjęło się używanie sformułowania „bezpieczny podpis elektroniczny” dla podpisu elektronicznego, który ma wywoływać skutki równoważne z formą pisemną, określenie to jest nieprawidłowe. Zupełnie już na marginesie - o ile w tekstach popularnonaukowych termin „bezpieczny podpis elektroniczny” (rozumiany jako ten „(…)weryfikowany przy pomocy ważnego(…)” itd.) specjalnie mnie nie razi, to jednak już na stronie Ministerstwa Gospodarki użycie tego sformułowania wydaje się niefortunne (Ministerstwo Gospodarki twierdzi, że  „Bezpieczny podpis elektroniczny jest równoważny pod względem skutków prawnych z podpisem własnoręcznym”).

Może lepsza byłaby nazwa „kwalifikowany podpis elektroniczny” – oddająca jego charakter, bez konieczności doprecyzowywania pojęcia przydługą informacją o weryfikowaniu przy pomocy odpowiedniego certyfikatu?

Do czego może się przydać kwalifikowany podpis elektroniczny?

Warto rozwiać jeden podstawowy mit związany z kwalifikowanym podpisem elektronicznym. Otóż, do złożenia prawnie wiążącego podpisu w formie elektronicznej, kwalifikowany podpis elektroniczny zazwyczaj nie jest potrzebny.

W zdecydowanej większości przypadków przepisy prawa nie wymagają, aby czynności prawne dokonywane były w formie pisemnej pod rygorem nieważności. Co do zasady zachowanie formy pisemnej jest konieczne tylko wtedy, gdy wynika to z konkretnego przepisu, a na dodatek w wielu przypadkach niezachowanie formy pisemnej nie skutkuje wprost nieważnością umowy. Forma pisemna zawsze będzie potrzebna np. w razie zawarcia umowy leasingu lub umowy przenoszącej autorskie prawa majątkowe lub umowy licencji wyłącznej. W innych przypadkach umowa może być zawarta w dowolnej formie.

Zatem z większości sytuacji życia codziennego i gospodarczego nie jest konieczne zawieranie umów w formie pisemnej pod rygorem nieważności, a to oznacza że nie jest także konieczne - w razie zawierania takich umów w formie elektronicznej - stosowanie kwalifikowanego podpisu elektronicznego.

Zgodnie z przywoływaną już informacją na stronie Ministerstwa Gospodarki „bezpieczny podpis elektroniczny” może być obecnie stosowany m.in. do:

  • podpisywania umów
  • składania podań i pism
  • podpisywania faktur elektronicznych
  • zarejestrowania działalności gospodarczej (CEIDG)
  • składania deklaracji celnych i podatkowych
  • zgłoszeń ubezpieczenia społecznego (również system PUE ZUS).

O umowach już wspomniałem. Większość umów stosowanych w obrocie można zawrzeć w sposób elektroniczny nie posiadając kwalifikowanego podpisu elektronicznego. Obiektywnie rzecz biorąc, kwalifikowany podpis ma jedną niezaprzeczalną przewagę na „zwykłym” e-podpisem. W przypadku stosowania innego rodzaju podpisu trzeba za każdym razem ocenić, czy jest to podpis wiarygodny i czy aby na pewno gwarantuje pewność obrotu. W przypadku podpisu kwalifikowanego taka ocena jest niepotrzebna – taki podpis jest wiarygodny i ważny w każdej sytuacji, a na dodatek jego status jest akceptowany we wszystkich krajach Unii Europejskiej.

11 lat temu wydawało się, że pierwszorzędnym zastosowaniem podpisu kwalifikowanego będzie „składanie pism i podań”, jednak rzeczywistość szybko skorygowała te założenia, ponieważ koszt uzyskania kwalifikowanego certyfikatu był relatywnie zbyt wysoki (około 300 zł). Przysłowiowym gwoździem do trumny było wprowadzenie systemu ePUAP, swego rodzaju kwalifikowanego podpisu do ściśle określonych zastosowań, który ma tę zaletę, że jest darmowy dla użytkowników i choćby dlatego szybko się rozpowszechnił. Swoje trzy grosze dołożyło także Ministerstwo Finansów, wdrażając e-Deklaracje, które umożliwiają składanie deklaracji podatkowych bez konieczności użycia kwalifikowanego podpisu.

Także i faktury elektroniczne mogą funkcjonować bez kwalifikowanego podpisu elektronicznego. Od początku można było korzystać równolegle z systemu EDI, a od stycznia 2013 r. także z innego dowolnego systemu.

Dlatego też obawiam się, że obecnie zdecydowaną większość użytkowników kwalifikowanego podpis stanowią po prostu klienci Zakładu Ubezpieczeń Społecznych - użytkownicy Płatnika, którzy muszą mieć podpis kwalifikowany do przesyłania dokumentów rozliczeniowych ze względu na wyraźny zapis art. 47a § 2a ustawy o systemie ubezpieczeń społecznych. Jeśli ten przepis ulegnie zmianie, również i to grono znacznie się zmniejszy.

A jak to było w mojej praktyce…

Gdy w 2008 r. pojawiła się możliwość otrzymania legitymacji radcowskiej w wersji z tzw. chipem na podpis elektroniczny oraz zniżką na otrzymanie kwalifikowanego certyfikatu, od razu z niej skorzystałem. Pierwszą próbą wykorzystanie go w praktyce było wysłanie kilku wniosków do e-KRS (w testowej wówczas wersji). Próby zakończyły się sukcesem – wnioski zostały uwzględnione, a wpisy do KRS dokonane. Wtedy też po raz pierwszy dostrzegłem pewną wadę praktyczną podpisu elektronicznego. Otóż, jego używanie wymaga znacznie większego zaangażowania osoby mającej ten podpis złożyć. O ile podpis własnoręczny można złożyć na dokumentach, które przygotowywane są przez kogoś innego, a ponadto ich wysyłkę można zlecić innej osobie, to niestety w przypadku używania podpisu elektronicznego, a zwłaszcza podpisu kwalifikowanego, jest to niemożliwe.

O ile nie chcemy powierzyć komuś danych (hasła) do naszego podpisu oraz danych logowania do systemu (najczęściej przypisanych indywidualnie do nas), to wszystkie czynności związane z zastosowaniem podpisu elektronicznego będziemy musieli wykonać osobiście. A że podpis kwalifikowany jest równorzędny podpisowi własnoręcznemu, to raczej będziemy chcieli mieć kontrolę nad jego użyciem.

Z powyższego wynika, że stosowanie podpisu elektronicznego może – wbrew pozorom – zamiast oszczędzić pracy, tylko jej przysporzyć. Między innymi dlatego swojego kwalifikowanego certyfikatu 2 lata temu nie przedłużyłem.

Zamiast podsumowania

Podpis elektroniczny ma się dobrze, ale obawiam się, że jego kwalifikowana postać będzie coraz mniej popularna. To nie jest wbrew pozorom pesymistyczna uwaga – wymuszanie jego użycia tylko zaszkodziłoby powodzeniu wielu obecnie realizowanych projektów informatycznych, które mają coraz większy wpływ na nasze życie (informatyzacja ubezpieczeń społecznych, służby zdrowia, podatki etc.). Jestem też przekonany, że w zakresie stosowania kwalifikowanego podpisu elektronicznego nie powiedziano jeszcze ostatniego słowa i że za jakiś czas odkryjemy go na nowo. Na wszelki wypadek właśnie zamówiłem nową legitymację radcy prawnego w wersji z chipem umożliwiającym wgranie kwalifikowanego podpisu elektronicznego. Czyli inaczej mówiąc – z możliwością korzystania z bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem, który – dodajmy dla precyzji – powinien być wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne.

 

 

 

Autorem tego wpisu jest Tomasz Zalewski
Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Parts Store komentuje Strategia i jeszcze raz strategia
Archiwum
Tagi
prawo autorskie (33)e-commerce (20)artykuły prasowe (18)Internet (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)orzecznictwo TSUE (13)konsumenci (13)dane osobowe (13)cloud computing (12)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)e-sklep (11)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)e-sprzedaż (9)webinarium (8)własność intelektualna (8)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)udostępnianie danych osobowych (7)informatyka śledcza (7)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)odpowiedzialność host provider'ów (6)identyfikacja sprawcy w internecie (6)Znalezione Polubione (6)hosting provider (6)sprawy sądowe (6)nowe technologie (6)dyrektywy (6)licencja (6)utwory (6)TSUE (6)oprogramowanie (6)platforma ODR (5)kopia (5)embeding (5)prawnicy (5)prawo konsumenckie (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)orzeczenia (5)technologie (5)spory konsumenckie (5)dozwolony użytek (5)embedding (5)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)retencja danych (4)wyszukiwarka (4)RODO (4)użytek prywatny (4)prawa pokrewne (4)chmura (4)reklama (4)rozpowszechnianie (4)ustawa o świadczeniu usług drogą elektroniczną (4)dane (4)telekomunikacja (4)program komputerowy (4)copyrights (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)Usedsoft (3)inwigilacja w sieci (3)sprzedaż programu (3)link (3)treści (3)bitcoin (3)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)domeny (3)art. 14 uśude (3)monitorowanie użytkowników (3)baza danych (3)ryzyka cloud computing (3)ukierunkowane (2)udostępnianie utworu (2)ustawa o krajowym systemie cyberbezpieczeństwa (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)sklepy internetowe (2)cyberbezpieczeństwo (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Chambers & Partners (2)Uber (2)prawa autorskie do strony (2)Google (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)legalny użytkownik (2)strona internetowa (2)kancelaria prawna (2)LegalTech (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)prawa producentów fonogramów (2)metawyszukiwarki (2)licencja pudełkowa (2)varia (2)ankiety online (2)GIODO (2)SaaS (2)UOKiK (2)internet rzeczy (2)SABAM. Scarlet Extended (2)Platformy internetowe (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)cookies (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)usługi prawne (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)FinTech (2)sztuczna inteligencja (2)dystrybucja (2)audyt oprogramowania (2)prawo angielskie (2)cloud computing dla prawników (2)administrator forum internetowego (2)ACTA (1)artystyczne wykonanie (1)MS Word (1)tłumaczenie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)prawa artystów wykonawców (1)usługi cyfrowe (1)Deutsche Grammophon (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)korzystanie z dzieła w domenie publicznej (1)e-discovery (1)partnerstwo innowacyjne (1)QC Leisure (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)Google Reader (1)konkurs w internecie (1)zmowy przetargowe (1)mechanizm opt-out (1)ochrona dóbr osobistych (1)public viewing (1)dyrektywa 2009/24 (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)ochrona wizerunku (1)rejestracja domen (1)prawo do nadań (1)odpowiedzialność pośredników (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)cyfrowa transformacja (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)aplikacja mobilna (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)dane nieosobowe (1)gry hazardowe (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)adaptacje filmowe utworów (1)patent (1)serwis społecznościowy (1)RODO w ubezpieczeniach (1)koszty cloud computing (1)BYOD (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)patenty (1)dostawcy usług cyfrowych (1)pobranie (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)dyrektywa 2011/77/UE (1)screening (1)klasyfikacja nicejska (1)operator usług kluczowych (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)non disclosure agreement (1)startup (1)Royal Wedding (1)Murphy (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)odbiorniki RTV w pokojach hotelowych (1)ochrona prywatności (1)transmisja (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)ochrona opisów produktów (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)sunrise period (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)certyfikat (1)social media (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)ETIAS (1)loterie (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)UKE (1)egzemplarz (1)Procurement Explorer (1)sieci peer-to-peer (1)atak hakerski (1)fan page (1)bring your own device (1)prawo odstąpienia (1)Dostawcy treści online (1)
więcej...
Poznaj inne nasze serwisy

Blog W ramach regulacji
Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrzepisNaEnergetyke.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.Akceptuję