Autor: Beata Małyszko
Bezpieczny podpis elektroniczny został wprowadzony w Polsce ustawą z dnia 18 września 2001 r. o podpisie elektronicznym. Ustawa ta weszła w życie 16 sierpnia 2002 r. Nie stanowiło to wtedy czegoś zupełnie nowego, bowiem instytucje bankowe posługują się zwykłym podpisem elektronicznym w Polsce już od kilkunastu lat. Po wejściu Polski do Unii Europejskiej 1 maja 2004 r. prawodawstwo polskie rozpoczęło długi i trudny proces implementacji prawa unijnego do polskiego systemu prawnego. Niemalże każda dziedzina prawa została dostosowana do wymogów unijnych, z różnym skutkiem. Regulacje dotyczące bezpiecznego podpisu elektronicznego należą do tej właśnie grupy przepisów, które w znacznej mierze zostały przeniesione na polski grunt prawny, ponieważ wspomniana na wstępie ustawa wzorowała się na dyrektywie unijnej 1999/93/WE.
Bezpieczny podpis elektroniczny został wprowadzony w Polsce ustawą z dnia 18 września 2001 r. o podpisie elektronicznym. Ustawa ta weszła w życie 16 sierpnia 2002 r. Nie stanowiło to wtedy czegoś zupełnie nowego, bowiem instytucje bankowe posługują się zwykłym podpisem elektronicznym w Polsce już od kilkunastu lat. Po wejściu Polski do Unii Europejskiej 1 maja 2004 r. prawodawstwo polskie rozpoczęło długi i trudny proces implementacji prawa unijnego do polskiego systemu prawnego. Niemalże każda dziedzina prawa została dostosowana do wymogów unijnych, z różnym skutkiem. Regulacje dotyczące bezpiecznego podpisu elektronicznego należą do tej właśnie grupy przepisów, które w znacznej mierze zostały przeniesione na polski grunt prawny, ponieważ wspomniana na wstępie ustawa wzorowała się na dyrektywie unijnej 1999/93/WE.
Zgodnie z polską ustawą, podpis elektroniczny to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny (powszechny lub zwykły podpis elektroniczny). Polska ustawa wyróżnia podpis elektroniczny oraz bezpieczny podpis elektroniczny (choć niektórzy autorzy wyróżniają więcej typów podpisów), co nieco odróżnia ją od wspomnianej dyrektywy, która wyróżnia zwykły podpis elektroniczny, zaawansowany podpis elektroniczny oraz zaawansowany podpis elektroniczny składany za pomocą bezpiecznych urządzeń do składania podpisu. Szczególną formą podpisu elektronicznego jest bezpieczny podpis elektroniczny, który oprócz wymaganej identyfikacji osoby, musi spełniać dodatkowe kryteria, o których później.
Poza wskazaną wyżej definicją legalną, bez trudu można napotkać na definicje, które wypracowała doktryna. Według R. Podpłońskiego i J. Janowskiego podpisem elektronicznym jest każda metoda, technika i procedura elektronicznego uwierzytelniania osób fizycznych działających w środowisku elektronicznym oraz autentykacji wytwarzanych lub akceptowanych przez te osoby dokumentów elektronicznych. Podpis elektroniczny to zatem podpis cyfrowy, będący ciągiem bitów, składających się na podpisywany dokument, pozwalający na identyfikację tego, kto go złożył, oraz zabezpieczenie autentyczności opatrzonego nim dokumentu.
Ostatnią przytoczoną przeze mnie definicją będzie definicja bezpiecznego podpisu elektronicznego, zawarta w art. 3 pkt. 2 ustawy o podpisie elektronicznym. Bezpiecznym podpisem elektronicznym jest taki, który jest wyłącznie przyporządkowany do osoby składającej podpis, co oznacza, że musi zapewniać potwierdzenie tożsamości podpisującego, bądź jednoznacznie go identyfikować. Podpis taki musi być sporządzony za pomocą bezpiecznych urządzeń służących do składania podpisu elektronicznego, co odnosi się do certyfikowanego sprzętu i oprogramowania oraz odpowiednio generowanego klucza prywatnego. Podpis musi zostać tak sporządzony aby był powiązany z danymi, do których został dołączony w taki sposób, że jakakolwiek późniejsza zmiana tych danych byłaby rozpoznawalna. Istotne są także liczne domniemania związane z chwilą złożenia podpisu. Między innymi domniemani integralności danych, domniemanie dotyczące osoby uwidocznionej na certyfikacie, domniemanie dotyczące urządzeń i danych a także chwili złożenia podpisu elektronicznego. Wszystko to powoduje, że podpis elektroniczny w polskim systemie prawnym z każdą chwilą odgrywa coraz istotniejszą role w obrocie prawnym.
Po krótkim wstępie dotyczącym tego, czym w zasadzie jest podpis elektroniczny mogę przejść do omawiania odpowiednich regulacji prawnych. Jak już wspomniałam w systemie prawa unijnego drogę dla podpisu elektronicznego utorowała Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych. Dyrektywa ta narzuciła na państwa członkowskie obowiązek implementacji przepisów dotyczących podpisów elektronicznych do krajowych systemów prawnych. Poza tym podstawowym dokumentem, który definiuje podpis elektronicznych pozostawiając jednak w gestii państw członkowskich niektóre istotne elementy (jak np. to czy podpisującym musi być osoba fizyczna), jest Dyrektywa 2006/123/WE Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. dotycząca usług na rynku wewnętrznym oraz szereg decyzji Komisji Europejskiej dotyczących omawianej tematyki.
Dyrektywa 2006/123/WE Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. dotycząca usług na rynku wewnętrznym nie stanowi wprost o podpisie elektronicznym. Jest to akt generalny dotyczący wszelkiego rodzaju usług elektronicznych. Najistotniejszy z punktu widzenia omawianego tematu jest art. 8 tej decyzji, który reguluje problematykę pojedynczych punktów kontaktowych (PPK). Zgodnie z zapisami Dyrektywy Usługowej, zadaniem PPK oprócz udostępniania niezbędnych informacji jest umożliwienie realizacji procedur administracyjnych drogą elektroniczną. W celu realizacji tego zadania portal PPK zintegrowany jest z Elektroniczną Platformą Usług Administracji Publicznej za pośrednictwem której możliwa jest realizacja wielu usług administracji publicznej.
Pierwszą chronologicznie decyzją wydaną przez Komisję Europejską jest Decyzja 2000/709/WE z 6.11.2000 r. w sprawie minimalnych kryteriów, jakie powinny zostać wzięte pod uwagę przez Państwa Członkowskie przy wyznaczaniu organów zgodnie z art. 3 ust. 4 dyrektywy 1999/93/WE. Mowa tutaj o organach, które zgodność bezpiecznych urządzeń służących do składania podpisu z wymogami zawartymi w załączniku III do dyrektywy 1999/93/WE. Decyzja ta wylicza szereg cech, które musi spełniać dany organ aby skutecznie wydawać certyfikaty dla podpisów elektronicznych. Są to między innymi:
- niezależność od zainteresowanych stron
- zakaz wykonywania działalności, która mogłaby kolidować z niezawisłością wydawanych opinii oraz uczciwością związaną z powierzonym mu zadaniem
- przejrzystość wykonywanych działań dotyczących oceny zgodności
- personel danego organu musi być odpowiednio wykwalifikowany.
Decyzja ta stanowi zatem doprecyzowanie wymogów dla organu certyfikującego podpisy elektroniczne.
Kolejnym istotnym dokumentem jest Decyzja Komisji 2009/767/WE z dnia 16 października 2009 r. ustanawiająca środki ułatwiające korzystanie z procedur realizowanych drogą elektroniczną poprzez „pojedyncze punkty kontaktowe” zgodnie z dyrektywą 2006/123/WE Parlamentu Europejskiego i Rady dotyczącą usług na rynku wewnętrznym (Dz.U. L 274 z 20.10.2009). Decyzja ta reguluje i poniekąd narzuca stosunek państw członkowskich do kwalifikowanego podpisu elektronicznego. Decyzja ta stanowi, że państwa członkowskie mają obowiązek akceptowania poprawnie wydanego kwalifikowanego podpisu elektronicznego. Decyzja ta reguluje także instytucję tzw. „zaufanych list”. „Zaufane listy” są to dokumenty prowadzone przez państwo zawierające minimum informacji dotyczących nadzorowanych i akredytowanych podmiotów świadczących usługi certyfikacyjne na terenie danego państwa. Decyzja nakłada obowiązek publikacji takich list.
Następnym chronologicznie dokumentem dotyczącym podpisu elektronicznego jest Decyzja Komisji z dnia 28 lipca 2010 r. zmieniająca decyzję 2009/767/WE w odniesieniu do tworzenia, prowadzenia i publikowania zaufanych list podmiotów świadczących usługi certyfikacyjne nadzorowanych/akredytowanych przez państwa członkowskie (notyfikowana jako dokument nr C(2010) 5063). Decyzja ta jednak nie wprowadziła istotnych zmian dla stosowania podpisu elektronicznego, a jedyne doprecyzowała poprzednio omawianą decyzję w zakresie tzw. „zaufanych list”. Nakazała między innymi sporządzanie owych list w formacie umożliwiającym maszynowe przetwarzanie.
Ostatnim aktem prawnym dotyczącym podpisu elektronicznego jest Decyzja Komisji z dnia 25 lutego 2011 r. w sprawie ustalenia minimalnych wymagań dotyczących transgranicznego przetwarzania dokumentów podpisanych elektronicznie przez właściwe organy zgodnie z dyrektywą 2006/123/WE Parlamentu Europejskiego i Rady dotyczącą usług na rynku wewnętrznym (2011/130/UE). Akt ten nakłada na państwa członkowskie obowiązek ułatwiania dostępu do korzystania z komunikacji elektronicznej, w tym podpisów elektronicznych, poprzez wdrażanie niezbędnych środków technicznych umożliwiających im przetwarzanie elektronicznie podpisanych dokumentów przedkładanych przez usługodawców w ramach dopełniania procedur i formalności za pośrednictwem pojedynczych punktów kontaktowych, jak przewidziano w art. 8 dyrektywy 2006/123/WE. Decyzja ta zobowiązuje także państwa członkowskie do dopełnienia obowiązku informacyjnego w postaci informowania Komisji Europejskiej o zatwierdzaniu innego kwalifikowanego podpisu elektronicznego niż sformatowanego w XML, CMS lub PDF w formacie BES lub EPES.
Podpis elektroniczny niewątpliwie stoi przed bardzo dużą szansą na ułatwienie obiegu informacji, dokumentów, co jest najprostszą metodą do ograniczenia procesu biurokratyzacji. Idea podpisu elektronicznego wymaga jednak ogromnego wsparcia finansowego. Jeśli Unia Europejska chce w przyszłości przenieść chociażby usługi administracji publicznie wyłącznie na drogę elektroniczną, będzie zmuszona ponieść spore wydatki w celu technicznego umożliwienia społeczeństwu korzystania z tego dobrodziejstwa.