28 października 2016

Rozporządzenie eIDAS. Nowe ramy prawne elektronicznej gospodarki i zinformatyzowanych urzędów

Udostępnij

Pod koniec XX wieku wydawało się, że profesjonalny obrót elektroniczny (bezpieczny i wiarygodny) będzie opierać się na infrastrukturze podpisu elektronicznego. W takim stanie rzeczy powstał szereg aktów prawnych regulujących jego używanie. Informatyzacja podmiotów publicznych również pierwotnie opierała się na korzystaniu ze skomplikowanej postaci podpisu elektronicznego. Efektywność wprowadzonych rozwiązań okazała się jednak niezbyt wysoka, tak jak niewielkie było rozpowszechnienie zaawansowanych form podpisu elektronicznego.

Rozwinęły się z kolei inicjatywy, które miały stanowić wyjątek od zasady, jaką pozostawało wykorzystywanie zaawansowanych podpisów elektronicznych. Przykładem jest choćby system e-Deklaracje, umożliwiający rozliczenia z urzędami skarbowymi, elektroniczna Platforma Usług Administracji Publicznej (ePUAP) oraz portal pozwalający na składanie pozwów w elektronicznym postępowaniu upominawczym (e-sąd). Prawodawca unijny, mając na uwadze doświadczenia poszczególnych państw członkowskich, zmodyfikował zatem koncepcję profesjonalizacji komunikacji elektronicznej, czego wyrazem jest nowy akt prawny – tzw. rozporządzenie eIDAS. Jego celem jest zwiększenie zaufania do obrotu elektronicznego na rynku europejskim w zakresie e-biznesu i kontaktów z podmiotami publicznymi poprzez stworzenie jednakowych dla całej Unii Europejskiej ram prawnych rozwiązań informatycznych, pozwalających na wiarygodne określenie tożsamości osób fizycznych i jednostek organizacyjnych.

Dotychczasowy stan prawny

Przed rozpoczęciem stosowania rozporządzenia eIDAS^{^[1]}, problematyka profesjonalizacji polskiego obrotu elektronicznego, skoncentrowana na posługiwaniu się podpisem elektronicznym, została uregulowana w ustawie z dnia 18 września 2001 r. o podpisie elektronicznym^{^[2]}. Ustawa ta implementowała do polskiego porządku prawnego postanowienia unijnej dyrektywy nr 1999/93 w sprawie wspólnotowych ram w zakresie podpisów elektronicznych^{^[3]}. W wielu innych ustawach – przykładowo w Kodeksie postępowania cywilnego i Kodeksie cywilnym – funkcjonowały zaś bezpośrednie lub pośrednie odesłania do ustawy o podpisie elektronicznym.

Wyróżniała ona wprost trzy rodzaje podpisu elektronicznego:

„zwykły” podpis elektroniczny,
bezpieczny podpis elektroniczny,
bezpieczny podpis elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu.

Szczególną rolę miała odegrać ostatnia ze wskazanych postaci podpisu elektronicznego. Zgodnie z art. 5 ust. 2 ustawy o podpisie elektronicznym, dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu były równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi. W praktyce reguła ta nie spełniła przypisywanych jej celów.

Nowe prawo unijne i polskie

Dotychczasowy stan prawny został w całości zastąpiony rozporządzeniem eIDAS. Akt ten uchylił unijną dyrektywę nr 1999/93. W myśl założenia prawodawcy unijnego rozporządzenie eIDAS:

określa warunki uznawania przez państwa członkowskie Unii Europejskiej środków identyfikacji elektronicznej osób fizycznych i prawnych, objętych notyfikowanym systemem identyfikacji elektronicznej innego państwa członkowskiego;
określa przepisy dotyczące usług zaufania, w tym ustanawia ramy prawne dla podpisów elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, dokumentów elektronicznych, usług rejestrowanego doręczenia elektronicznego i usług certyfikacyjnych uwierzytelniania witryn internetowych.

Ogólnie ujmując, rozporządzenie eIDAS dotyczy zatem dwóch kwestii:

systemów identyfikacji elektronicznej (eID);
usług zaufania.

Podpis elektroniczny będzie stanowił tylko jedną z wielu usług zaufania, a przy tym obok wprowadzono instytucję systemów identyfikacji elektronicznej, które mogą, ale nie muszą, być powiązane z usługami zaufania, ponieważ jest to odrębne i autonomiczne rozwiązanie. Precyzując – nowy unijny akt prawny ma zastosowanie do systemów identyfikacji elektronicznej, które zostały notyfikowane przez państwa członkowskie Komisji Europejskiej, a także do dostawców usług zaufania mających siedzibę w Unii Europejskiej. Choć rozporządzenie eIDAS wraz z unijnymi aktami wykonawczymi^{^[4]} stanowi kompleksowe rozwiązanie i jako takie zastępuje uregulowania krajowe, to w pewnym zakresie niezbędne jest jednak skonkretyzowanie w prawie krajowym pewnych kwestii. Dlatego trwają obecnie prace nad ustawą, która dawniej miała roboczy tytuł „ustawa o usługach zaufania”, a obecnie zyskała nazwę „ustawa o usługach zaufania i identyfikacji elektronicznej”. Ustawa ta ma określać:

organ nadzoru i zasady nadzoru nad dostawcami usług zaufania oraz kary niezbędne dla zapewnienia efektywnego wykonywania nadzoru,
postępowanie w sprawie wniosku o wpis i zgłoszenia do rejestru dostawców usług zaufania,
postępowanie w sprawie wniosku o notyfikowanie systemu identyfikacji elektronicznej,
zasady zawieszania certyfikatów,
zasady zakończenia działalności przez kwalifikowanych dostawców usług zaufania,
odpowiedzialność w zakresie usług zaufania oraz identyfikacji elektronicznej.

Przepisy polskiej ustawy stosowane będą do:

dostawców usług zaufania, podmiotów odpowiedzialnych za systemy identyfikacji elektronicznej,
podmiotów wydających środki identyfikacji elektronicznej w ramach notyfikowanych systemów identyfikacji elektronicznej,
podmiotów przeprowadzających procedury uwierzytelniania z siedzibą na terytorium Rzeczypospolitej Polskiej.

Identyfikacja elektroniczna

W rozumieniu rozporządzenia eIDAS, identyfikacja elektroniczna oznacza proces używania danych w postaci elektronicznej identyfikujących osobę, unikalnie reprezentujących osobę fizyczną lub prawną. Natomiast środek identyfikacji elektronicznej to materialna lub niematerialna jednostka zawierająca dane identyfikujące osobę i używana do celów uwierzytelniania dla usługi online. Z kolei system identyfikacji elektronicznej oznacza system identyfikacji elektronicznej, w ramach którego wydaje się środki identyfikacji elektronicznej osobom fizycznym lub prawnym.

Rozporządzenie eIDAS dotyczy głównie notyfikowanych systemów i środków identyfikacji elektronicznej. W uproszczeniu przez notyfikację rozumie się fakt zgłoszenia przez państwo członkowskie danego systemu właściwemu organowi Unii Europejskiej. W przypadku Polski, planuje się dokonanie zgłoszenia systemu ePUAP.

Ważną dla obrotu elektronicznego regulacją w zakresie systemów identyfikacji elektronicznej jest wyrażona w art. 6 rozporządzenia eIDAS zasada wzajemnego uznawania systemów identyfikacji elektronicznej. W myśl tego przepisu, jeżeli zgodnie z prawem krajowym lub zgodnie z krajową praktyką administracyjną dostęp do usługi online świadczonej przez podmiot sektora publicznego w jednym państwie członkowskim wymaga identyfikacji elektronicznej przy użyciu środka identyfikacji elektronicznej oraz uwierzytelnienia, w tym pierwszym państwie członkowskim na potrzeby transgranicznego uwierzytelnienia dla tej usługi online uznaje się środek identyfikacji elektronicznej wydany w innym państwie członkowskim.

Wzajemne uznawanie jest warunkowane jednak spełnieniem następujących przesłanek:

środek identyfikacji elektronicznej musi zostać wydany w ramach systemu identyfikacji elektronicznej wymienionego w wykazie opublikowanym przez Komisję Europejską;
poziom bezpieczeństwa środka identyfikacji elektronicznej musi odpowiadać poziomowi bezpieczeństwa równemu lub wyższemu od poziomu bezpieczeństwa wymaganego przez odpowiedni podmiot sektora publicznego na potrzeby dostępu do tej usługi online w pierwszym państwie członkowskim, pod warunkiem, że poziom bezpieczeństwa tego środka identyfikacji elektronicznej odpowiada średniemu lub wysokiemu poziomowi bezpieczeństwa;
odpowiedni podmiot sektora publicznego musi korzystać ze średniego lub wysokiego poziomu bezpieczeństwa w odniesieniu do dostępu do tej usługi online.

Środek identyfikacji elektronicznej, który odpowiada niskiemu poziomowi bezpieczeństwa, może jednak zostać uznany przez podmioty sektora publicznego na potrzeby transgranicznego uwierzytelniania dla usługi online świadczonej przez te podmioty, ale nie ma obowiązku takiego uznania w tym przypadku.

Prawodawca unijny wskazał przy tym, że środki identyfikacji elektronicznej w ramach systemu identyfikacji elektronicznej niekoniecznie muszą być wydawane przez państwa członkowskie, lecz mogą być one wydawane przez inne podmioty na mocy upoważnienia od notyfikującego państwa członkowskiego lub nawet niezależnie od notyfikującego państwa członkowskiego (ale wtedy warunkiem jest uznawanie ich przez dane państwo członkowskie).

Usługi zaufania

Prawodawca unijny zdefiniował usługę zaufania jako usługę elektroniczną zazwyczaj świadczoną za wynagrodzeniem i obejmującą:

tworzenie, weryfikację i walidację podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego oraz certyfikatów powiązanych z tymi usługami,
tworzenie, weryfikację i walidację certyfikatów uwierzytelniania witryn internetowych,
konserwację elektronicznych podpisów, pieczęci lub certyfikatów powiązanych z tymi usługami.

Chociaż zatem w rozporządzeniu eIDAS wskazano wprost i nazwano kilka rodzajów usług zaufania, to nie jest to wyczerpujący katalog tych usług. Mogą być tworzone kolejne. Warto zwrócić uwagę, że oprócz podstawowego typu usług zaufania, prawodawca unijny stworzył również kategorię kwalifikowanych usług zaufania, które posiadają szczególne cechy.

W ślad za tym rozróżniono niekwalifikowanych i kwalifikowanych dostawców usług zaufania. Status kwalifikowanego dostawcy usług zaufania nadaje organ nadzoru, który też sprawuje nad nimi stały nadzór, w tym poprzez audyty. Każde państwo członkowskie sporządza, prowadzi i publikuje zaufane listy zawierające informacje dotyczące kwalifikowanych dostawców usług zaufania, za których jest ono odpowiedzialne, wraz z informacjami dotyczącymi świadczonych przez nich kwalifikowanych usług zaufania. Po tym, jak w zaufanej liście wskazany zostanie status kwalifikowany, to kwalifikowani dostawcy usług zaufania mogą używać znaku zaufania UE, aby w prosty, rozpoznawalny i jasny sposób wskazać świadczone przez siebie kwalifikowane usługi zaufania.

Podpisy i pieczęcie elektroniczne

Jak wcześniej wspomniano, rozporządzenie eIDAS traktuje również o podpisie elektronicznym, ale tylko jako o jednej z usług zaufania. Nie jest to zatem centralne rozwiązanie profesjonalnego obrotu elektronicznego. Jednak z uwagi na jego długą tradycję, warto bliżej przedstawić uregulowania w tym zakresie wprowadzone przez rozporządzenie eIDAS. Akt ten, podobnie jak dotychczasowe prawo, wskazuje na trzy rodzaje podpisu elektronicznego:

podpis elektroniczny (rozumiany jako „zwykły podpis elektroniczny”) oznaczający dane w postaci elektronicznej, które zostały dołączone lub są logicznie powiązane z innymi danymi w postaci elektronicznej, i które zostały użyte przez podpisującego jako podpis;
zaawansowany podpis elektroniczny oznaczający podpis elektroniczny, który jest unikalnie przyporządkowany podpisującemu, umożliwia ustalenie tożsamości podpisującego, jest składany przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą, oraz jest powiązany z danymi podpisanymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna;
kwalifikowany podpis elektroniczny oznaczający zaawansowany podpis elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego.

W myśl przepisów rozporządzenia eIDAS, podpisowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że podpis ten ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych podpisów elektronicznych. Szczególny skutek prawny ma kwalifikowany podpis elektroniczny – jest równoważny podpisowi własnoręcznemu. Kwalifikowany podpis elektroniczny oparty na kwalifikowanym certyfikacie wydanym w jednym państwie członkowskim jest uznawany za kwalifikowany podpis elektroniczny we wszystkich pozostałych państwach członkowskich.

Co ważne, obok podpisu elektronicznego, rozporządzenie eIDAS wprowadza pieczęć elektroniczną, która jest swoistym podpisem elektronicznym dla osób prawnych. Podpis elektroniczny jest zatem narzędziem dla osób fizycznych, a pieczęć elektroniczna ‒ dla osób prawnych. Zgodnie z rozporządzeniem eIDAS, pieczęci elektronicznej, podobnie jak podpisowi elektronicznemu, nie można odmówić skutku prawnego lub dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że pieczęć ta ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych pieczęci elektronicznych.

Data rozpoczęcia stosowania

Rozporządzenie eIDAS stosuje się z zasady od dnia 1 lipca 2016 r. Od daty tej prawodawca unijny poczynił kilka wyjątków. W szczególności należy zwrócić uwagę, że dopiero od 29 września 2018 r. będzie stosowany analizowany tu art. 6 rozporządzenia eIDAS, który statuuje obowiązek wzajemnego uznawania przez państwa członkowskie Unii Europejskiej notyfikowanych systemów identyfikacji elektronicznej. Jednak pomimo tak odlegle zakreślonej daty, każde państwo członkowskie może postanowić, że środki identyfikacji elektronicznej w ramach systemu identyfikacji elektronicznej notyfikowanego przez inne państwo członkowskie są uznawane w pierwszym państwie członkowskim przed wskazaną datą.

dr Łukasz Goździaszek

Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej

Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego

http://prawo-internetu.pl

Artykuł pochodzi z Biuletynu Euro Info Wrzesień 2016.

^{^[1]} Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23.09.2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28 sierpnia 2014 r., s. 73‒114).

^{^[2]} Ustawa z dnia 18.09.2001 r. o podpisie elektronicznym (t. jedn. DzU z 2013 r., poz. 262, ze zm.).

^{^[3]} Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13.12.1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (Dz. Urz. UE L 13 z 19 stycznia 2000 r., s. 12‒20).

^{^[4]} Uregulowania rozporządzenia eIDAS bezpośrednio uzupełniają na gruncie prawa unijnego następujące akty prawne (liczba przywołanych aktów wykonawczy do rozporządzenie eIDAS dobrze ukazuje skomplikowany charakter przedmiotowej materii): rozporządzenie wykonawcze Komisji (UE) nr 2015/1502 z dnia 8.09.2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 9 września 2015 r., s. 7‒20); rozporządzenie wykonawcze Komisji (UE) nr 2015/1501 z dnia 8.09.2015 r. w sprawie ram interoperacyjności na podstawie art. 12 ust. 8 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 9 września 2015 r., s. 1‒6); rozporządzenie wykonawcze Komisji (UE) nr 2015/806 z dnia 22.05.2015 r. określające specyfikacje dotyczące formy znaku zaufania UE dla kwalifikowanych usług zaufania (Dz. Urz. UE L 128 z 23 maja 2015 r., s. 13‒15); decyzja wykonawcza Komisji (UE) nr 2016/650 z dnia 25.04.2016 r. ustanawiająca normy dotyczące oceny bezpieczeństwa kwalifikowanych urządzeń do składania podpisu i pieczęci na podstawie art. 30 ust. 3 i art. 39 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 109 z 26 kwietnia 2016 r., s. 40‒42); decyzja wykonawcza Komisji (UE) nr 2015/1984 z dnia 3.11.2015 r. w sprawie określenia okoliczności, formatów i procedur notyfikacji zgodnie z art. 9 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 289 z 5 listopada 2015 r., s. 18‒25); decyzja wykonawcza Komisji (UE) nr 2015/1505 z dnia 8.09.2015 r. ustanawiająca specyfikacje techniczne i formaty dotyczące zaufanych list zgodnie z art. 22 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 9 września 2015 r., s. 26‒36); decyzja wykonawcza Komisji (UE) nr 2015/1506 z dnia 8.09.2015 r. ustanawiająca specyfikacje dotyczące formatów zaawansowanych podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych, które mają być uznane przez podmioty sektora publicznego, zgodnie z art. 27 ust. 5 i art. 37 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 9 września 2015, s. 37‒41); decyzja wykonawcza Komisji (UE) nr 2015/296 z dnia 24.02.2015 r. ustanawiająca proceduralne warunki współpracy między państwami członkowskimi w zakresie identyfikacji elektronicznej na podstawie art. 12 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 53 z 25 lutego 2015 r., s. 14‒20).