PORADNIA PRAWNA

● Jakie są gwarancje odpowiedzialności podmiotu wydającego e-podpisy za ewentualne szkody

● Czy w związku ze zmianami w zasadach uznawania e-podpisów trzeba wystąpić o nowy certyfikat

Rozporządzenie eIDAS wprowadziło zasadę honorowania na terenie całej UE e-podpisu, niezależnie od tego, w którym kraju go wydano. Czy w związku z tym nowe przepisy wpływają na procedurę uzyskania podpisu elektronicznego?

NIE. Przedsiębiorca chcący skorzystać z usług zaufania, do których zalicza się przede wszystkim bezpieczny podpis elektroniczny, nie powinien odczuć zmian w procedurze. Jednak będzie się trzeba przyzwyczaić do nowej terminologii. Termin "bezpieczny podpis elektroniczny" (używany na określenie usługi, która jednoznacznie identyfikuje posiadacza takiego certyfikatu) zostanie zastąpiony określeniem "kwalifikowany podpis elektroniczny".

Chcąc uzyskać taki e-podpis, zainteresowani przedsiębiorcy, podobnie jak do tej pory, będą musieli się zwrócić do dostawców kwalifikowanych usług zaufania. Rejestr tych podmiotów prowadzi Narodowy Bank Polski w ramach Narodowego Centrum Certyfikacji (NCC). Certyfikowanych przez NCC podmiotów jest na rynku kilkanaście, ale tylko część z nich wydaje e-podpisy (niektóre mają uprawnienia do wystawiania np. tylko znaczników czasu). Lista jest dostępna pod adresem: https://www.nccert.pl/podmioty.htm.

NCC nie tylko wydaje certyfikaty dla dostawców usług zaufania, służące do weryfikacji e-podpisów, którymi oni następnie opatrują kwalifikowane certyfikaty wydawane dla użytkowników końcowych, czyli posiadaczy podpisów elektronicznych. NCC pełni też funkcję nadzorcy nad dostawcami usług zaufania. To nie zmieniło się również po wejściu w życie rozporządzenia eIDAS. Nadal NCC bada, czy usługodawca spełnia wymagania określone w prawie unijnym dla kwalifikowanych dostawców usług zaufania.

Nie zmieniła się również konieczność odnawiania ważności certyfikatu dla raz wyrobionego podpisu elektronicznego. Warto też zauważyć, że mitem jest, jakoby e-podpis kosztował krocie. Tak było lata temu, gdy było to nowe rozwiązanie. Dziś jego wyrobienie to wydatek kilkuset złotych, z kolei przedłużenie okresu ważności kwalifikowanego certyfikatu, który dołącza się do e-podpisu, to koszt kilkudziesięciu złotych rocznie. Docelowo procedury wydawania certyfikatów będzie regulowała ustawa o usługach zaufania, identyfikacji elektronicznej, nad którą obecnie trwają prace legislacyjne. Nie wiadomo, czy i jak opisywane zmiany legislacyjne wpłyną na rynkowe ceny uzyskania i utrzymania e-podpisu.

Podstawa prawna

Ustawa z 18 września 2001 r. o podpisie elektronicznym (t.j. Dz.U. z 2013 r. poz. 262 ze zm.).

Zmiany w zakresie korzystania z usług zaufania, w tym e-podpisów, wspominają o odpowiedzialności podmiotów je oferujących za ewentualne szkody. Czy przepisy przewidują solidne gwarancje realizacji tego prawa?

TAK. Rozporządzenie eIDAS w art. 24 ust. 2 wprowadza wiele wymogów dla kwalifikowanych dostawców usług zaufania, a więc również podmiotów oferujących przedsiębiorcom podpisy elektroniczne. Tego typu usługodawcy muszą utrzymywać stałą wymianę informacji z organem nadzoru (w Polsce - Narodowe Centrum Certyfikacji), dysponować odpowiednio zabezpieczoną infrastrukturą służącą do obsługi kontrahentów oraz zatrudniać pracowników posiadających niezbędną wiedzę fachową, kwalifikacje, doświadczenie oraz odbyte szkolenie z zakresu bezpieczeństwa i ochrony danych osobowych. Wśród wymogów znajduje się również obowiązek utrzymywania dostatecznych zasobów finansowych lub dysponowania ubezpieczeniem od odpowiedzialności na wypadek wyrządzenia szkody w sposób zamierzony lub z powodu zaniedbania osobie fizycznej lub prawnej w związku z brakiem wypełnienia obowiązków określonych w rozporządzeniu eIDAS.

Konsekwencją takiego stanu rzeczy jest zapis w projektowanej ustawie o usługach zaufania, w którym wskazuje się, że kwalifikowany dostawca usług zaufania jest zobowiązany posiadać aktualną umowę ubezpieczenia od odpowiedzialności cywilnej za szkody wyrządzone odbiorcom wspomnianych usług powstałe w okresie ich świadczenia. Szczegóły w tym zakresie określi rozporządzenie polskiego ministra.

Takie regulacje są korzystne dla użytkowników usług zaufania, a więc chociażby posiadaczy podpisu elektronicznego, ponieważ w razie powstania szkody nie będą oni musieli dochodzić swoich praw z majątku dostawcy usług (który np. może mieć problemy finansowe), ale od ubezpieczyciela, który jest wypłacalny. Niewątpliwie nowe przepisy wpłyną również na ogólne podniesienie bezpieczeństwa korzystania z usług zaufania.

Podstawa prawna

Art. 24 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej nr 910/2014 z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.Urz. UE z 2014 r. L 257, s. 73).

Czy w związku z wejściem od 1 lipca br. w życie rozporządzenia eIDAS muszę teraz odnowić swój podpis elektroniczny? A może zależy to od tego, czy chcę z niego korzystać za granicą?

NIE. Rozporządzenie eIDAS zawiera przepisy przejściowe, dzięki którym w dniu wejścia w życie tych regulacji już wydane dla e-podpisów kwalifikowane certyfikaty zachowały swoją ważność do upływu okresu, na jaki zostały wydane. Z kolei dotychczasowi dostawcy usług certyfikacyjnych po 1 lipca 2016 r. zostali automatycznie uznani za kwalifikowanych dostawców usług na czas niezbędny do weryfikacji, czy spełniają wymogi nowego rozporządzenia, nie dłużej jednak niż do 1 lipca 2017 r.

W praktyce oznacza to, że posiadacz podpisu elektronicznego w nowym stanie prawnym nie musi wykonywać żadnych ruchów. Nadal może użytkować swój e-podpis. Nie jest to uzależnione od tego, czy zamierza korzystać z podpisu jedynie w Polsce, czy również w transakcjach transgranicznych na terenie UE.

Podstawa prawna

Art. 51 rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej nr 910/2014 z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.Urz. UE z 2014 r. L 257, s. 73).