Podstawowa regulacja prawna dotycząca bezpiecznego podpisu elektronicznego weryfikowanego ważnym kwalifikowanym certyfikatem w polskim prawie zawarta jest w ustawie z 18 września 2001 r. o podpisie elektronicznym wraz z dalszymi nowelizacjami (u.p.e.). Podstawowym zadaniem podpisu elektronicznego jest poświadczanie przekazywanych informacji, by były godne zaufania zarówno dla osób je składających, jak i osób, do których są kierowane1. Definicję legalną podpisu elektronicznego znajdziemy w art. 3 pkt 1 u.p.e., w myśl której za podpis elektroniczny należy uznać dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny. Szczególną formą podpisu elektronicznego jest bezpieczny podpis elektroniczny, który zgodnie z art. 3 pkt 2 u.p.e. poza wymaganą identyfikacją osoby spełniać musi dodatkowe kryteria, a mianowicie: jest przyporządkowany wyłącznie do osoby składającej ten podpis, jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych do składania podpisu elektronicznego, jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
Zasadniczo u.p.e. odnosi się do kwalifikowanego podpisu elektronicznego, jednak art. 8 tejże ustawy stanowi, że nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji podpisu nie mają kwalifikowanego certyfikatu, lub nie został złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu elektronicznego. W tym miejscu warto również wspomnieć o art. 60 Kodeksu cywilnego, który stanowi, że wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej (oświadczenie woli). Bezpieczny podpis elektroniczny weryfikowany za pomocą kwalifikowanego certyfikatu spełnia zasadniczo trzy funkcje: identyfikacyjną, dowodową oraz kontraktową.
Wyróżniamy dwa rodzaje podpisów: podpis własnoręczny oraz elektroniczny. O ile wiele aktów prawnych wymaga złożenia podpisu elektronicznego, to jednak w żadnym z nich nie znajdziemy jego definicji. Do funkcji podpisu ręcznego zaliczyć możemy: stwierdzenie obecności, przyjęcie czegoś do wiadomości, potwierdzenie odbioru, zaświadczenie o istnieniu pewnego stanu faktycznego, złożenie pewnego oświadczenia woli2. Podpis elektroniczny spełnia taką samą funkcję jak podpis własnoręczny, z tą różnicą, że ma zastosowanie w świecie cyfrowym. Oba podpisy mają jednakową skuteczność, przez co w sensie prawnym mogą być stosowane zamiennie. Wyjątki stanowią sytuacje, gdy ustawa wymaga podpisu własnoręcznego, jak np. przy testamencie własnoręcznym (art. 949 § 1 k.c.) lub podpisie notarialnie uwierzytelnionym.
Podpis elektroniczny to matematyczny algorytm, w wyniku działania którego otrzymywana jest zaszyfrowana informacja doklejana do przesyłanej wiadomości – podpis. Przy kwalifikowanym podpisie elektronicznym tworzona jest para kluczy, klucz prywatny oraz klucz publiczny. Klucz prywatny służy do podpisywania i deszyfrowania wiadomości, natomiast klucz publiczny do weryfikacji podpisu oraz jego szyfrowania. Certyfikaty kwalifikowane uzyskać można w centrach certyfikacji. Wpisane są one do rejestru prowadzonego przez ministra właściwego do spraw gospodarki. Obecnie trzy podmioty świadczą usługi certyfikacyjne: Krajowa Izba Rozliczeniowa S.A., Polskie Centrum Certyfikacji Elektronicznej Sigillium oraz Powszechne Centrum Certyfikacji CERTUM. Do wydania certyfikatu niezbędne jest w wypadku osoby fizycznej okazanie dokumentu tożsamości ze zdjęciem, dowodu osobistego lub paszportu. W wypadku osób prawnych lub jednostek organizacyjnych nieposiadających osobowości prawnej konieczne jest potwierdzenie prawa do reprezentacji jednostki. Certyfikat odbierany jest osobiście wraz z kartą kryptograficzną z czytnikiem lub tokenem oraz oprogramowaniem umożliwiającym współpracę karty z komputerem poprzez czytnik lub token.
Zgodnie z art. 20 u.p.e. kwalifikowany certyfikat zawiera co najmniej następujące dane: numer certyfikatu; wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany do stosowania zgodnie z określoną polityką certyfikacji (por. art. 17 u.p.e.); określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę, oraz numer pozycji w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne; imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny (użycie pseudonimu musi być wyraźnie zaznaczone); dane służące do weryfikacji podpisu elektronicznego; oznaczenie początku i końca okresu ważności certyfikatu; poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne, wydającego dany certyfikat; ograniczenia zakresu ważności certyfikatu, jeżeli przewiduje to określona polityka certyfikacji; ograniczenie najwyższej wartości granicznej transakcji, w której certyfikat może być wykorzystywany. Na wniosek osoby składającej podpis elektroniczny, podmiot świadczący usługi certyfikacyjne zgodnie z art. 20 ust. 2 ma obowiązek zawrzeć również inne dane, a w szczególności wskazanie, czy osoba ta działa: we własnym imieniu, albo jako przedstawiciel innej osoby fizycznej, osoby prawnej albo jednostki organizacyjnej nieposiadającej osobowości prawnej, albo w charakterze członka organu albo organu osoby prawnej, albo jednostki organizacyjnej nieposiadającej osobowości prawnej, albo jako organ władzy publicznej. Podmiot świadczący usługi certyfikacyjne, wydając kwalifikowany certyfikat, potwierdza prawdziwość danych.
Art. 7 u.p.e. wprowadza możliwość znakowania podpisu czasem. Określa on czas złożenia podpisu elektronicznego, a wywołuje skutki prawne daty pewnej (zob. art. 81 k.c.). Do znakowania czasem odnosi się również rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikowania podpisu elektronicznego. § 2 pkt 18 tego rozporządzenia definiuje znacznik czasu jako jednostkę oznaczającą moment, w którym zaszło określone zdarzenie, względem ustalonego czasu odniesienia. Zawiera m.in. datę i godzinę dokonania określonej operacji oraz oznaczenia dokumentu czasem. Zaświadczenia certyfikacyjne wykorzystywane do świadczenia usługi znakowania czasem wydawane są na czas określony, nie dłuższy niż 5 lat. Po tym okresie dokument powinien ponownie zostać znakowany czasem, w przeciwnym wypadku data zachowana w dokumencie straci swoją ważność.
Na gruncie prawa europejskiego do tematyki podpisu elektronicznego odnosi się dyrektywa 1999/93/WE Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram dla podpisów elektronicznych. Dyrektywa ta wyróżnia dwa rodzaje podpisu elektronicznego. Pierwszym z nich jest „podpis elektroniczny”, który definiowany jest w art. 2 ust. 1 dyrektywy jako dane w formie elektronicznej dodane do innych danych elektronicznych lub logicznie z nimi powiązane i służące jako metoda uwierzytelniania. Drugim rodzajem jest „bezpieczny podpis elektroniczny” definiowany przez ust. 2 jako podpis elektroniczny spełniający następujące wymogi: przyporządkowany jest wyłącznie podpisującemu, umożliwią ustalenie tożsamości podpisującego, stworzony jest za pomocą środków, które podpisujący może mieć pod swoją wyłączną kontrolą, i jest tak powiązany z danymi, do których się odnosi, że każda późniejsza zmiana danych może zostać wykryta.
Natomiast na gruncie prawa międzynarodowego zastosowanie ma Ustawa Modelowa UNCITRAL o podpisach elektronicznych, która w art. 2 lit. a definiuje „podpis elektroniczny” jako dane w formie elektronicznej dołączone lub logicznie powiązane z przekazem danych, które mogą być użyte do identyfikacji podpisującego w związku z przekazem danych oraz do oznaczenia aprobaty informacji zawartych w przekazie danych.
Kolejnym problemem współczesnego obrotu prawnego, z którym musiał zmierzyć się ustawodawca obok podpisu elektronicznego jest definicja dokumentu elektronicznego. Rozporządzenie nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r., dotyczące publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji, „dokument” określa jako dowolną zawartość, niezależną od swojego nośnika (zapisaną na papierze lub w formie elektronicznej lub jako zapis dźwiękowy, wizyjny lub audiowizualny) odnoszącą się do zasad, działań lub decyzji mieszczących się w sferze odpowiedzialności danej instytucji. W definicji tej zwrócona uwagę na „zawartość dokumentu, a nie formę jej zapisania”3.
Definicję dokumentu elektronicznego znaleźć możemy w decyzji Komisji nr 2004/563/WE z 7 lipca 2004 r. zmieniającej jej regulamin wewnętrzny. Za dokument elektroniczny przyjmuje się zbiór danych wprowadzonych lub przechowywanych na dowolnym nośniku przez system informatyczny lub podobny układ, które mogą być odczytane lub wyświetlone przez osobę lub przez tego rodzaju system lub układ, a także wszelkiego rodzaju prezentacje i wszelkiego rodzaju przedstawienie tych danych w formie drukowanej lub innej. Przyjąć należy, że dokumentem elektronicznym będzie również wydruk pliku.
Na gruncie prawa polskiego definicji legalnej pojęcia „dokument” oraz pojęcia „dokument elektroniczny” nie znajdziemy w kodeksie postępowania administracyjnego, kodeksie cywilnym czy kodeksie postępowania cywilnego. Wskazówką może być jedynie doktrynalne określenie pojęcia „dokument”, które wydaje się być jednak zbyt szerokim. Przyjmuje się „dokument” jako sposób skutecznego utrwalenia treści oświadczenia woli, którego podstawową cechą i zarazem funkcją jest utrzymanie naniesionej informacji na tyle długo, alby możliwe było późniejsze jej ujawnienie, odtworzenie, powielenie lub przeniesienie na innych nośnik w stanie niezmienionym4. W polskim prawie cywilnym można mówić o dokumencie, gdy zawiera on trzy elementy: „materiał, na którym jest sporządzony, oświadczenie woli oraz podpis wystawcy”5. Definicję legalną pojęcia dokument elektroniczny znajdziemy w polskim prawie w ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Art. 3 pkt 2 tejże ustawy stanowi, że za dokument elektroniczny należy przyjąć stanowiący odrębną całość znaczeniową zbiór danych uporządkowanych w określonej strukturze wewnętrznej i zapisany na informatycznym nośniku danych. Informatycznym nośnikiem danych zgodnie z pkt 1 tego artykułu jest materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej lub analogowej.
Za dokument elektroniczny przyjmuje się w obrocie prawnym każdy dokument, który można przedstawić w postaci cyfrowej. Może on być dowolnie konwertowany i zapisywany na wszelkich nośnikach, pod warunkiem, że będzie można go później odczytać i przywrócić mu pierwotną postać. Ten sam dokument elektroniczny może być zapisany w wielu różnych miejscach i na różnych nośnikach jednocześnie.
1 G. Tylca, J. Misztal-Konecka, Elektroniczne aspekty wymiaru sprawiedliwości, Bydgoszcz 2009, s. 92
2 Ibidem, s. 93
3 S. Kotecka, Prawne aspekty nowych regulacji w obszarze dokumentu elektronicznego, w: elektroniczna Administracja, Nr 3/2007, s. 2
4 Zob. W.J. Kocot, Wpływ Internetu na prawo umów, Warszawa 2004, s. 334
5 S. Kotecka, Prawne aspekty nowych regulacji w obszarze dokumentu elektronicznego, w: elektroniczna Administracja, Nr 3/2007, s. 4
Kontakt:
Rechtsanwaltskanzlei Dr. Schulte und Partner Rechtsanwälte
Friedrichstr. 133 (naprzeciwko Friedrichstadtpalast)
10117 Berlin
Telefon: (030) 71520670
Telefax: (030) 71520678
e-Mail: dr.schulte@dr-schulte.de
Internet: http://www.berlin-adwokat.pl
Büro Berlin Süd:
Malteserstrasse 170/172
12277 Berlin Autor:
Dariusz Małecki
Autor odpowiada za treść publikacji.
Status: Praktykant Dariusz Małecki jest kompetentnym członkiem zespołu kancelarii prawniczej „Dr Schulte i partnerzy”
