Podpisy elektroniczne (cyfrowe)

 Podpisy elektroniczne (cyfrowe)

adw. Michał Trzecki

Niniejszy artykuł poświęcony został wyjaśnieniu czym właściwie jest podpis elektroniczny, jakie akty prawne regulują obecnie kwestie związane ze stosowaniem podpisu elektronicznego, a także wskazaniu na rodzaje podpisów elektronicznych.

 

Do podstawowych aktów prawnych, które regulują obecnie kwestie związane z podpisem elektronicznym należy zaliczyć Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE – w skrócie „Rozporządzenie eIDAS”[2] oraz ustawę z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej.

 

Pierwszy z wymienionych aktów prawnych ma szczególne znaczenie, ponieważ jest bezpośrednio stosowany we wszystkich państwach członkowskich Unii Europejskiej. Z kolei ustawa o usługach zaufania oraz identyfikacji elektronicznej zastąpiła ustawę z dnia 18 września 2001 r. o podpisie elektronicznym, która od początku XXI wieku regulowała w Polsce zagadnienia związane z podpisem elektronicznym, w tym bezpiecznym podpisem elektronicznym. Ustawa z 2016 r. nie posługuje się już pojęciem bezpiecznego podpisu elektronicznego, jednakże w jej przepisach przejściowych zawarto postanowienie, zgodnie z którym bezpieczny podpis elektroniczny weryfikowany za pomocą ważnego kwalifikowanego certyfikatu w rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym jest kwalifikowanym podpisem elektronicznym w rozumieniu ustawy o usługach zaufania oraz identyfikacji elektronicznej. Od chwili uchylenia ustawy o podpisie elektronicznym nie możemy zatem mówić już o bezpiecznym podpisie elektronicznym.

 

Zgodnie z Rozporządzeniem eIDAS, pod pojęciem podpisu elektronicznego należy rozumieć dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które użyte są przez podpisującego jako podpis. Główną cechą charakterystyczną podpisu elektronicznego jest obiektywna możliwość ustalenia tożsamości osoby fizycznej składającej taki podpis. Ustalenie tożsamości podpisującego możliwe jest dzięki elektronicznym danym, dołączonym lub logicznie powiązanym z podpisywaną treścią.

 

W ramach podpisu elektronicznego możemy wyróżnić podpis elektroniczny, zwany potocznie „zwykłym”, podpis zaawansowany oraz podpis kwalifikowany.

 

Podpis elektroniczny „zwykły” to dane, które mają cechy podpisu elektronicznego. Muszą być zatem dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które podpisujący używa jako swój podpis. Definicja podpisu elektronicznego „zwykłego” jest bardzo szeroka, obejmuje wszystkie dane w postaci elektronicznej, które pozwalają ustalić tożsamość podpisującego.

 

Zaawansowany podpis elektroniczny oznacza natomiast podpis elektroniczny, który spełnia wymogi określone w art. 26 Rozporządzenia eIDAS. Zgodnie z tym przepisem zaawansowany podpis elektroniczny musi spełniać następujące wymogi:

1)     jest unikalnie przyporządkowany podpisującemu,

2)     umożliwia ustalenie tożsamości podpisującego,

3)     jest składany przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą,

4)     jest powiązany z danymi podpisanymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna.

Zaawansowany podpis elektroniczny zapewnia zatem wyższy stopień bezpieczeństwa dla osób z niego korzystających.

 

Kwalifikowany podpis elektroniczny jest z kolei najbardziej rozwiniętą formą podpisu elektronicznego. Oznacza zaawansowany podpis elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego. Do złożenia kwalifikowanego podpisu elektronicznego niezbędne jest zatem użycie „kwalifikowanego urządzenia” oraz wykorzystanie „kwalifikowanego certyfikatu”.

 

Rozporządzenie eIDAS definiuje oraz reguluje wymogi zarówno dla kwalifikowanych urządzeń do składania podpisu elektronicznego, jak i dla kwalifikowanego certyfikatu podpisu elektronicznego. Jeśli chodzi o kwalifikowane urządzenie do składania podpisu elektronicznego to jest to specjalny sprzęt lub oprogramowanie zapewniające w szczególności poufność danych oraz ochronę podpisu przed jego sfałszowaniem, a także umożliwiające podpisującemu ochronę danych służących do składania podpisu przed ich użyciem przez inne osoby. Z kolei kwalifikowany certyfikat podpisu elektronicznego to poświadczenie elektroniczne, które przyporządkowuje dane służące do uwierzytelnienia podpisu elektronicznego do danej osoby i potwierdza co najmniej jej imię i nazwisko lub pseudonim. Dodatkowo certyfikat ten jest wydawany przez kwalifikowanego dostawcę usług i musi zawierać określone informacje.

 

Znajomość wymogów ważnie złożonych podpisów elektronicznych i prawidłowa ich identyfikacja mają kluczowe znaczenie przy zawieraniu umów w postaci elektronicznej.



[1]    „Raport LegalTech 2022”, https://legalis.pl/raport-legaltech-2022/, dostęp: 29.01.2023 r.

[2]    Dz. Urz. UE L 257 z 28 sierpnia 2014 r., s. 73‒114

Używamy plików cookie, aby poprawić komfort korzystania z naszej witryny.