Zmiany w JPK

Na krótko przed upływem terminu (26 lutego 2018) upowszechnienia wśród przedsiębiorców obowiązku wnoszenia Jednolitego Pliku Kontrolnego (dalej: JPK) dokonano wielu istotnych zmian. Tym samym kilka problemów, o których wspomniałem w poprzednim wpisie zostało rozwiązanych, ale jednocześnie powstały kolejne. Ogólnie mam wrażenie, że bilans ostatnich zmian jest negatywny. Powstało więcej nowych problemów niż rozwiązano starych. Nadto dodatkowo skomplikowano system.

Na marginesie wyjaśniam, że już wcześniej niektórzy przedsiębiorcy mieli obowiązek wnoszenia JPK. Jednak teraz objął on również tzw. mikroprzedsiębiorców. Często są to zaś osoby, które nierzadko nie korzystają z pomocy profesjonalnych przedsiębiorstw księgowo-rachunkowych. Tym samym muszą własnymi siłami przesłać JPK.

Zagadnienie jest o tyle ciekawe, że ukazuje, że niezbyt dopasowane do realiów wymogi technologiczne stają się ogromnym problemem dla realizacji obowiązków nałożonych przez prawo. Zresztą, kwestie można ujmować jeszcze inaczej – jako odpowiedz organów publicznych na częste narzekania, że urzędy są niedostatecznie nowoczesne (ja akurat tak nie uważam, ale często spotykam się z takimi opiniami). A zatem mamy teraz bardzo innowacyjne rozwiązanie, ale jak się okazuje, trochę chyba za nowoczesne i być może wiele osób nieporadzi sobie z rodzącymi się problemami technicznymi.

Autoryzacja i e-bramka dla JPK

W ostatnich tygodnia przed upływem wspomnianego na początku terminu na złożenie JPK złagodzono wiele wymogów technologicznych. Nie oczekiwałem nawet takich zmian. Przynajmniej o dwóch modyfikacjach warto wspomnieć.

Po pierwsze, oprócz posłużeniem się jako metodą identyfikacji kwalifikowanym podpisem elektronicznym lub profilem zaufanym, można posłużyć się swoimi historycznymi danymi podatkowymi (konkretnie chodzi o podanie danych personalnych i wysokości przychodu z zeszłego roku, co określa się ogólnie mianem „danych autoryzacyjnych”). Prawdopodobie stwierdzono, że pomimo nawoływań wciąż zbyt mała liczba przedsiębiorćów wyrobiła profil zaufany lub nabyła kwalifikowany podpis elektroniczny. Z założenie ma to być rozwiązanie tymczasowe, gdyż już w 2019 r. ma nastąpić powrót do pierwotnego modelu z tylko dwoma wskazanymi metodami identyfikacji.

Po drugie, wsłuchując się w głosy przedsiębiorców używających innych systemów operacyjnych niż Windowsa, stworzona specjalną bramkę webową. Innymi słowy, oprócz aplikacji „e-mikrofirma” i aplikacji „Klient” (działających jedynie na Windowsie), można skorzystać z tej e-bramki. Oczywiście oprócz tych publicznych i darmowych rozwiązań możliwe jest wykorzystywanie komercyjnego oprogramowania.

Trzecia wersja JPK

Sporym zaskoczeniem jest nowa wersja urzędowego szablonu JPK. Należy podać w nim znacznie mniej danych niż w poprzednich wersjach. Rodzi to pytanie, czy zatem wskazywane w dawnych wersjach dane okazały się zbędne? Co jednak najważniejsze stworzenie JPK w wersji nr 3 wymaga rygorystycznego przestrzegania instrukcji. Najprostszy przykład: nie mozna otworzyć urzędowego szablonu JPK (wersja 3) poprzez zwykle kliknięcie. Trzeba go otworzyć w dość „okrężny” sposób wskazany w instrukcji. JPK  w wersji nr 2 był mniej wymagający pod tym względem.

Konwersja na format xml’owym

W mojej ocenie źródłem wielu problemów jest takie skonstruowanie modelu JPK, że podatnik samodzielnie konwertuje i przesyła plik w wersji xml’owej, a nie jedynie podaje konkretne informacje. Z punktu widzenia mojej praktyki zawodowej i naukowej takie rozwiązanie jest jednak bardzo ciekawe. Prawodawca jednoznacznie określił, że wnosi się nie jakiś wniosek, deklarację, zeznanie, albo że nawet dokument, lecz że przesyła się „plik”. Jednak wydaje mi się, że system powinien być tak skonstruowany, że podatnicy powinni raczej jedynie przesyłać informacje. Potocznie ujmując, poukładanie tych informacji w określony sposób, powinno leżeć w gestii organów. Podatkim powinien jedynie ułatwiać organowi takie działanie. Obecnie zaś podatnik jest obciążony takim obowiązkiem w całości, a rolą organu jest jedynie przyjęcie gotowego pliku xml’owego.

Jednolity Plik Kontrolny

Kilka miesięcy temu we wpisie „Informatyzacja w praktyce” poruszyłem kwestię „user experience” w kontekście urzędowych systemów teleinformatycznych (w tym aplikacji) służących wnoszeniu e-pism. Od tego roku w zasadzie wszyscy przedsiębiorcy zaś muszą przesyłać elektronicznie do organów skarbowych Jednolity Plik Kontrolny. W najprostszym wariancie czynności tej dokonać można poprzez stworzenie pliku w Excelu, a następnie wysłaniu go za pomocą darmowej ministerialnej aplikacji „Klient JPK 2.0”. Na potrzeby identyfikacji wystarczy posłużyć się profilem zaufanym ePUAP.

Alternatywnie można wykorzystać komercyjne aplikację i kwalifikowany podpis elektroniczny. Nadto niedługo o moduł Jednolitego Pliku Kontrolnego ma zostać rozbudowana ministerialna aplikacja e-mikrofirma. W tym wpisie poprzestanę jednak na analizie wskazanego najprostszego wariantu, ponieważ chciałbym poruszyć kilka kwestii z zakresu komfortu korzystania z publicznych rozwiązań informatycznych.

Od razu przy tym zaznaczę, że nawiążę do banalnych problemów, które jednak mogą stać się trudno przezwyciężalną barierą dla skutecznego wniesienia Jednolitego Pliku Kontrolnego. Na szerszą ocenę jeszcze za wcześnie. Trzeba też wyraźnie podkreślić, że z technicznego punktu widzenia chodzi o bardzo prostą operację – przesłanie excelowskiego pliku (precyzyjniej to przesyła się właściwie plik XML). Zatem wydawałoby się, że przeszkód technicznych być nie powinno. W końcu nie ma obecnie nic niezwykłego w przesyłaniu za pomocą maili lub komunikatorów internetowych ogromnych plików graficznych i video, a w przypadku Jednolitego Pliku Kontrolnego chodzi jedynie o plik o niewielkich rozmiarach (składający się jedynie z liczb i liter).

Instrukcje obsługi

W przywołanym na wstępie dawnym wpisie wskazałem, że zbyt skomplikowane instrukcje obsługi korzystania z rozwiązań informatyzujących podmioty publiczne w gruncie rzeczy są sygnałem, że dane narzędzie nie jest przyjazne dla użytkownika. Jednolity Plik Kontrolny został zaś obudowany kilkoma wielostronicowymi instrukcjami obsługi, w szczególności:

  • podręcznikiem użytkownika Klient JPK 2.0 (liczącym 44 strony, konkretnie 43 bez strony tytułowej),
  • broszurą informacyjną JPK VAT(2) (14 stron, 13 bez strony tytułowej),
  • specyfikacją formatu CSV dokumentów JPK (4 strony, 3 bez strony tytułowej).

Nadto do aplikacji e-mikrofirma instrukcja ma 32 strony. Z tej aplikacji jednak w ogóle nie korzystałem. Właściwie to nie dało się jej zainstalować. Nastąpiły u mnie komplikacje ze środowiskiem JAVA. Może jak się ta aplikacja rozbuduje o moduł „Jednolity Plik Kontrolny” to do niej wrócę i podejmę trud instalacji.

Każda z powyższych instrukcji nie jest zbytnio przyjazna dla potencjalnego użytkownika. Przydatne, jasne i przejrzyste były za to informacje zamieszczone bezpośrednio na ministerialnej stronie internetowej. Ze wskazanymi instrukcjami jest natomiast taki problem, że z jednej strony są zbyt skomplikowane (zatem kompletnie nieprzydatne dla osób o niepełnych zdolnościach informatycznych), a z drugiej strony osoby obeznane z tego typu oprogramowaniem mogą obsłużyć aplikację Klient JPK bez ich czytania, a kierując się jedynie intuicją.

W mojej ocenie instrukcje powinny w większym stopniu ukazywać jak poprawnie stworzyć Jednolity Plik Kontrolny – w sensie jaką powinien mieć merytoryczną treść, jaką powinien mieć kompozycję treści i jaki format danych. Samo przesłanie nie musi być aż tak dokładnie opisywane. Ewentualnie można zrobić krótką animację video modelowego wniesienia i uzupełnić ją o opisowy dokument wskazujący potencjalne błędy techniczne.

Klikanie w Jednolity Plik Kontrolny

Kluczowy obecnie problem wynika z konieczności posłużenia się Windowsem lub Linuxem na potrzeby Jednolitego Pliku Kontrolnego. Nie wymagam aby była apka na IOS, ale chociaż na Maki jakby coś było to byłoby bardziej użytkowo. Jednak nie jestem zaskoczony – zazwyczaj podmioty publiczne preferują Windowsa. Jest jednak informacja na stronie ministerialnej, że planowane jest zmiana tego stanu rzeczy.

Stworzenie i wysłanie Jednolitego Pliku Kontrolnego wymaga mnóstwa kliknięć. Nieporównanie więcej niż przy znanej aplikacji „e-Deklaracja”. Umożliwia to wprawdzie kontrolowanie każdego etapu procesu, jednak prowadzi do automatyzmu w klikaniu. Zrozumiałem jest, że kliknięć wymaga skorzystanie z „zewnętrznego” profilu zaufanego ePUAP. Jednak wszystkie pozostałe czynności mogłyby zostać uproszczone, w tym konwersja do formatu XML mogłaby zostać zintegrowana z samym wysłaniem, a nie stanowić odrębny proces.

Z profilem zaufanym ePUAP związany jest również budzący wątpliwości etap procesu. Po skorzystaniu z tego instrumentu strona informująca o sukcesie operacji „podpisywania” wygląda jakby doszło do awarii. Witryna staje się całkowicie biała z niewielkim tekstem w rogu, co mocno odbiega wizualnie od wcześniejszych kolorowych witryn obsługujących profil zaufany ePUAP.

Wskazane powyżej instrukcje obsługi w kilku miejscach informują, że dany element stanowi „pole opcjonale” do wypełnienia. Nie wiadomo co to znaczy – kto przesądza o tej opcjonalności? Jest wątpliwość czy oznacza to, że użytkownik ma pełną swobodę i może tych danych informacji nie podawać, czy może też zależne to jest od jakiś uwarunkowań?

Co ciekawe, w zakresie określenia czterocyfrowego kodu urzędu skarbowego instrukcje obsługi posługują się linkiem do jakieś witryny. Link ten nie jest aktywny (przynajmniej u mnie nie był aktywny, może zależy to od czytnika PDF).  Nie można go też skopiować. Trzeba przepisać własnoręcznie do przeglądarki. A adres jest długi i dość skomplikowany.

Format liczb

Najbardziej przyziemny problem z Jednolitym Plikiem Kontrolnym dotyczy „zer”.  Właściwie był to jedyny błąd, który pojawił się przy przesyłaniu przeze mnie Jednolitego Pliku Kontrolnego. Mianowicie ukazał się komunikat, że wpisane przeze liczby nie są akceptowane (chodziło o czterocyfrowy kod urzędu skarbowego i REGON).

Problem wziął się z faktu, że choć dane te wpisałem prawidłowo, to Excel (czyli tak jakby Jednolity Plik Kontrolny) automatycznie usunął zera z początku wpisanych liczb. Czyli przykładowo z wpisanych „0123”, Excel zrobił „123”.

W pierwszym momencie pomyślałem, że to problem nie do rozwiązania. Od razu wiedziałem, że zmiana tych liczb na format tekstowy nic nie da, ponieważ choć umożliwi wyświetlenie zer na początku liczb, to jednak te liczby muszą mieć status „liczb”, a nie „tekstu”. Powątpiewałem też czy wystarczy zmiana formatowania liczb (poprzez stworzenie niestandardowego typu formatu), poprzez wymuszenie wyświetlania tych zer (opcje: Format / Formatowanie komórek / kategoria: Niestandardowe / i ręczne sformułowanie „Typ”-u, przykładowo poprzez zadanie „0###” dla ukazania zera na początku czterocyfrowej liczby). Wydawało mi się, że to może być bardziej tylko kwestia prezentacji i nie wpływać na samą „wartość” liczby. Na szczęście jednak udało się.

Kwestia zer wiodących jest wprawdzie wskazana w jednej z wyżej przywołanych instrukcji obsługi, jednak mowa tam tylko o nakazie ich stosowania. Nie wyjaśniono w jaki sposób uchronić się przez automatycznym ich usuwanie. Choć wskutek narzucenia Windowsa racjonalnym było przyjęcie, że do wyprowadzenia pliku XML posłuży Excel. Niemniej nie  mam wiedzy czy każda wersja Excela automatycznie ucina zera, czy tylko posiadana przeze mnie. Ewentualnie być może inne wersja Excela pozwalają na poczynienie odpowiedniego ustalenia opcji, w tym zakresie. U mnie jednak takiej opcji w ustawieniach nie było.

Drugi profil zaufany

Niedawno ponownie wyrobiłem profil zaufany ePUAP, ponieważ dotychczasowy wygasł (po 3 latach). Niezbyt sensowne jest to rozwiązanie z wygasaniem. I co ciekawe, jak mi się wydaje, nie ma żadnego umocowania prawnego. Jednak w przypadku certyfikatu związanego ze „zwykłym” podpisem elektronicznym w elektronicznym postępowaniu upominawczym jest podobnie – również wygasa, ale już po roku. Także nie ma to podstawy prawnej. Warto podkreślić, że odnośnie do elektronicznego postępowania upominawczego sytuacja jest jeszcze bardziej intrygująca. Nie tylko nie ma podstawy prawnej wygasania, lecz również sam wymóg posługiwania się certyfikatem nie ma podstaw prawnych.

Celowość wygasania profilu zaufanego ePUAP

Wracając jednak do rzeczy, czyli wygasania profilu zaufanego i jego ponownego wyrabiania (lub przedłużania).  Domyślam się, że z punktu widzenia technicznego wygasania jest istotne z uwagi na dbałość o „niezaleganie” w systemie nieużywanych kont. Jest to jednak argument całkowicie nieprzystający do roli jaką ma odgrywać profil zaufany i ePUAP. Zwłaszcza w sytuacji kiedy założenie online profilu wymaga czynności potwierdzającej. Jednocześnie trzeba mieć na uwadze, że przeciętny obywatel na szczęście nie musi kilka razy w roku kontaktować się z podmiotami publicznymi. Kontakty te są zazwyczaj bardzo rzadkie, stąd jedynie trzyletni okres ważności profilu zaufanego może uczynić z niego instrument kompletnie nieadekwatny do potrzeb. Z zasady każdy obywatel powinien mieć profil zaufany. Najlepiej jakby już przy wydawania dowodu osobistego profil ten był automatycznie zakładany i potwierdzany.

Profil zaufany od strony wizualnej

Na marginsiecie jedynie wspomnę, że w czasie odwiedzin urzędu w celu aktywacji konta w zakresie identyfikacji wizualnej nie posługiwano się nigdzie symbolem eGO, lecz wciąż używano nazwy profil zaufany. Również na witrynach internetowych eGO wspominany jest tylko „przy okazji”.

Przy okazji wizyty na stronie ePUAPu dostrzegłem, że strona ta pod względem informacyjnym jest mocno nieaktualna. Wciąż posługuje się pojęciem „bezpieczny podpis elektroniczny weryfikowany ważnym kwalifikowanym certyfikatem”. Wygląda to tak jakby nie uwzględniono rozpoczęcia stosowania rozporządzenia eIDAS, zaś wciąż obowiązywałaby polska ustawa o podpisie elektronicznym. Aktualna jest chyba (całej nie przeglądałem) witryna profilu zaufanego, przy czym ta aktualność związana jest głównie z mniejsza ilością informacji. Co jednak najważniejsze, oba portale są mało klarowne. Przede wszystkim powinien nastąpić podział na informacje dla użytkowników „zwykłych” i „zaawansowanych”. Dla zwykłego użytkownika większość informacji o profilu zaufanym jest nieprzydatna, a jedynie zaciemnia jasność przekazu informacyjnego. Założenie profilu zaufanego jest banalnie proste i nie ma potrzeby zamieszczać na pierwszym planie informacji, które są zrozumiałe w gruncie rzeczy jedynie przez administratorów systemów.

Koncepcja jest ok, wykonanie gorzej

Niezależnie od powyższego, jestem zwolenikiem profilu zaufanego. Koncepcja jest według mnie bardzo dobra. Uniwersalny system identyfikacji dla wszystkich usług publicznych jest potrzebny. Co więcej, system darmowy i z relatywnie prostym mechanizmem aktywacji.

eGO

Kilka słów tytułem wyjaśnienia. Ministerstwo Cyfryzacji postanowiło zastąpić wyrażenie „profil zaufany” słowem eGO. Nie wiadomo jednak co ma oznaczać taka zmiana? Czy nowa nazwa zostanie wprowadzona do aktów prawnych? Czy też może eGO ma być jedynie nazwą projektową i potoczną? Pojęciem prawnym pozostać miałby zaś profil zaufany? Nie jest dla mnie też jasne czy eGO ma zastąpić całą nazwę „profil zaufany ePUAP”, czy też jedynie „profil zaufany”? A zastąpione ma zostać sformułowanie „podpis potwierdzony profilem zaufanym ePUAP”.

Urzędowa strona internetowa poświęcona profilowi zaufanemu nie eksponuje nazwy „profil zaufany ePUAP”, lecz „profil zaufany”. Strona ta funkcjonuje od niedawna, ale ukazuje wyraźnie zamierzenie rozdzielania ePUAPu i profilu zaufanego. Wyjaśnię przy tym, że art. 3 pkt 14 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne zawiera definicję legalną „profilu zaufanego ePUAP”. Zatem to ostatnie pojęcie jest najwłaściwsze. Przywołany przepis stanowi, że „profil zaufany ePUAP” to zestaw informacji identyfikujących i opisujących podmiot lub osobę będącą użytkownikiem konta na ePUAP, który został w wiarygodny sposób potwierdzony przez właściwy organ.

Profil zaufany ePUAP w najnowszych aktach prawnych

W ostatnim czasie regulacje związane z profilem zaufanym zostały podane lekkiemu liftingowi w związku z uchwaleniem polskiej ustawy dostosowującej prawo polskiego do unijnego rozporządzenia eIDAS (zob. m.in. mój wpis: ”Polska ustawa o usługach zaufania”). Nie były to zmiany głęboko merytoryczne. Raczej redakcyjne. Niemniej akurat w przypadku profilu zaufanego można doszukać się w nowelizacji roztrzygnięcia istotnej kwestii dotyczącej profilu zaufanego ePUAP. Mianowicie, że podpis potwierdzony profilem zaufanym ePUAP to podpis elektroniczny, a konkretnie „zwykły” podpis, czyli ani nie zaawansowany, ani nie kwalifikowany.  Wynika to z nowego brzmienia art. 3 pkt 15 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.

eGO w prawie

Nazwa „profil zaufany” nie była doskonała. Wprawdzie już się z nią oswoiłem, to jednak w chwili jej powstania kilka lat temu również wydawała mi się niezbyt dobra jako mało zrozumiała. Dziś jednak uważam, że jest nawet dość adekwatna. Zwłaszcza po wyraźnym rozdzieleniu ePUAPu od profilu zaufanego ePUAP. Jednak w przepisach prawnych ta nazwa „trzeszczy”. Regulacje posługują się długą i niezrozumiałą konstrukcją słowną „podpisu potwierdzonego profilem zaufanym ePUAP”. Zastąpienie tego przydługiego wyrażenia czymś bardziej jasnym byłoby pożądane. Ciekawe tylko czy byłaby to zmiana na podpis potwierdzony eGO, czy też byłoby powiedziane o komunikacji za pośrednictwem eGO bez wskazywania na podpis?

mDokument

Już na wstępie zaakcentuję, że moim zdaniem obecne działania z zakresu informatyzacji podmiotów publicznych powinny koncentrować się na ulepszaniu ePUAPu i profilu zaufanego ePUAP (eGO). W takim stanie rzeczy, elektroniczny dokument tożsamości (eID), określany ostatnio jako mDokument, powinnien być jedynie funkcjonalnością ePUAPu lub profilu zaufanego ePUAP. Nie chodzi jednak o trzymanie się obecnej nazwy lub konstrukcji ePUAPu. Celem powinno być uczynienie konkretnego rozwiązania wiodącym (centralnym) i jako takim standardowym dla informatyzacji. W efekcie wszystkie inne instrumenty informatyczne powinny być temu rozwiązaniu podporządkowane. Ewentualnie jedynie uzupełniać je o dodatkowe właściwości.

Nie jestem fanem ePUAPu, ale uważam że koncepcja, która przyświecała jego powstaniu, była i jest dobra. Poza tym to rozwiazanie już działa. Szkoda byłoby je całkowicie zlikwidować i tworzyć od początku inne. Nie wyklucza to jednak radykalnych modyfikacji dotychczasowych rozwiązań. Poza tym trzeba pamiętać o potrzebie przyszykowania systemu identyfikacji, który mógłbym zostać systemem notyfikowanym w rozumieniu unijnego rozporządzenie eIDAS (zob. m.in. mój wpis z maja 2016 r.: „Systemy identyfikacji elektronicznej w eIDAS”).

Obecne dokumenty a mDokument

Zastąpienie konieczności noszenia przy sobie papierkowych lub plastikowych dokumentów tożsamości przez posiadanie w telefonie komórkowym ich cyfrowych odpowiedników (mDokument) jest ciekawym pomysłem. Jest to przy tym rozwiazanie znane z obrotu gospodarczego. Już od dość dawna rożnego typu karty lojalnościowe, a ostatnimi czasy również karty kredytowe, można nosić w telefonie zamiast w tradycyjnym portfelu. Osobiście chciałbym tak przechowywać również dokumenty tożsamości. Dla mnie rownież noszenie sterty dokumentów jest kłopotliwe. Zwłaszcza samochodowego dowodu rejestracyjnego, który jest wyjątkowo mało poręczny:)

Niezależnie od przedstawionych ogólnych pozytywów dotyczącego mDokumentu, dostrzegam kilka mankamentów. Przede wszystkim nie jest dla mnie jasne na jakie problemy prawne odpowiedź stanowi stworzenie mDokumntu. Raczej nie jest on planowany jako system identyfikacji elektronicznej. Wydaje się, że ma służyć wyłącznie załatwianiu spraw w realu. Obawiam się jednak, że tak jak obecnie niechętnie wykorzystuje się do załatwiania spraw urzędowych elektroniczne kanały komunikacji, tak podobnie będzie w przypadku mDokumentu.

Co najważniejsze. W obecnych czasach nie jest oczywisty obowiązek posiadania dokumentu tożsamości. Można sobie wyobrazić przecież następujące rozwiązanie:

  • w razie potrzeby wykazania swojej tożsamości przed podmiotem publicznym podaje się temu organowi swoje nazwisko lub numer PESEL,
  • następnie podmiot ten sam weryfikuje tożsamość w swojej bazie, np. powiązanej z bazą PESEL.

Dokument tożsamości, w tym mDokument, nie jest do tego potrzebny.

Nadto wyłania się kwestia kompleksowości mDokumentu. Najlepszym przykładem jest już przywołany samochodowy dowód rejestracyjny. Jeśli wciąż istnieć będzie konieczność noszenia papierowego samochodowego dowodu rejestracyjnego, to dla mnie żadnym ułatwieniem nie będzie zdigitalizowanie jedynie dowodu osobistego lub prawa jazdy.

Aktualna informatyzacja a mDokument

Jednak zaproponowane rozwiazanie związane z mDokumentem wydaje się oderwane od dotychczasowych przedsięwzięć informatycznych. Nie mówię, że to całkiem źle, ale jeśli już stawiać na mDokumenty to może warto jednocześnie zrezygnować na ich rzecz z profilu zaufanego ePUAP (eGO). Najlepiej zaś, jak napisałem na wstępie, aby wykorzystać dotychczasową infrastrukturę profilu zaufanego ePUAP (eGO) i uczynić z mDokumentu jedną z jego funkcjonalności. Wystarczy jeden system identyfikacji (system zarządzania tożsamością) w podmiotach publicznych. Dwa to raczej już za dużo. Na pewno zaś lepiej, aby działał dobrze jeden system, a nie dwa średnio:)

Polska ustawa o usługach zaufania

Po dwóch miesiącach od rozpoczęcia stosowania unijnego rozporządzenie eIDAS polski ustawodawca uchwalił krajowe przepisy uzupełniające i przystosowujące prawo polskie do unijnego. Ustawa o usługach zaufania ostatecznie weszła w życie 7.10.2016. Pełna tytuł nowego aktu prawnego to „ustawa o usługach zaufania oraz identyfikacji elektronicznej”.  W niniejszym wpisie będę posługiwał się jednak skróconą nazwą („ustawa o usługach zaufania”). Na marginesie jedynie wskażę, że kwestia skonstruowania tytułu polskiej ustawy jest bardzo ciekawa. Nie powtórzono wprost nazwy unijnego rozporządzenia eIDAS, lecz odwołując się do dwóch kluczowych elementów tego rozporządzenia (identyfikacja elektroniczna i usługi zaufania), odwrócono ich kolejność. W rozporządzeniu eIDAS wpierw mowa o identyfikacji elektronicznej, z kolei polski ustawodawca rozpoczął od usług zaufania.

Znaczenie nowego prawa

Polska ustawa o usługach zaufania zawiera 49 głównych artykułów. Pozostałe regulacje to przepisy przejściowe i zmieniające inne akty prawne. Nowe prawo nie jest zatem ani szczególnie krótkie, ale też nie jest wyjątkowo długie. Jego objętość została znacznie zmniejszona względem pierwotnych projektów legislacyjnych.

Ustawa o usługach zaufania jest istotna przede wszystkim dla dostawców usług zaufania. Użytkownik usług zaufania i systemów identyfikacji elektronicznej nie znajdzie w niej ważnych dla siebie kwestii (poza przepisami karnymi, o czym w kolejnym akapicie), ponieważ te są ustanowione na szczeblu prawa unijnego. Oczywiście, dla użytkownika ustawa o usługach zaufania ma pośrednie znaczne. Bez należytej regulacji funkcjonowania dostawców usług zaufania i odpowiednich uregulowań dla notyfikowanych systemów identyfikacji elektronicznej, nie mógłby on korzystać z tych rozwiązań.

Dla użytkowników usług zaufania ważnym elementem nowej ustawy są jednak regulacje karne. W art. 40 i kolejnych przepisach tej ustawy wskazano, w szczególności, że karalne jest składanie kwalifikowanego lub zaawansowanego podpisu elektroniczny z wykorzystaniem danych do składania podpisu elektronicznego przyporządkowanych do innej osoby. Podobnie w przypadku składania, nie będąc do tego uprawnionym, kwalifikowanej lub zaawansowanej pieczęci elektronicznej. Za czyny takie grozi grzywna, kara ograniczenia wolności lub pozbawienia wolności do lat 3. Takim samym karom podlega także ten, kto dopuszcza się tych czynów, działając w imieniu lub w interesie innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej.

Zmiany w innych ustawach

Patrząc od strony porządku legislacyjnego najważniejszą zmianą jest formalne uchylenie w całości dotychczasowej ustawy o podpisie elektronicznym. W ślad za tym wprowadzono do polskich ustaw pojęcie „kwalifikowanego podpisu elektronicznego” w miejsce „bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem”. Do zaawansowanego podpisu elektronicznego odwoływano się we wprowadzanych zmianach niezmiernie rzadko. Profesjonalna komunikacja elektroniczna w Polsce opiera się wciąż przede wszystkim na kwalifikowanym podpisie elektronicznym. Ustawa o usługach zaufania nie wprowadza jednak zmian rewolucyjnych w porównaniu z dotychczasowym prawem.

Ustawa o usługach zaufania – obowiązywanie

Jak wskazano na wstępie, ustawa o usługach zaufania weszła w życie 7.10.2016. Trzeba jednak dodać, że kilka przepisów wejdzie w życie dopiero 29.9.2018 r. Są to regulacje związane z notyfikowanymi środkami (systemami) identyfikacji elektronicznej. Polska ustawa o usługach zaufania koresponduje w tym zakresie z unijnym rozporządzeniem eIDAS, gdzie również odsunięto w czasie stosowanie części regulacji dotyczących identyfikacji elektronicznej.

Dane przedsiębiorcy

Dane personalne osoby fizycznej prowadzącej działalność gospodarczą są publicznie dostępne w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Można je zobaczyć bezpłatnie poprzez Internet. Nierzadko informacje o przedsiębiorcy pokrywają się z „prywatnymi” danymi osobowymi. Charakter prawny takich dany budził kontrowersje w świetle ochrony danych osobowych. Przepisy prawne zmieniały się w tym zakresie kilka razy. Były to zmiany radykalne. Przez pewien czas wskazywano, że dane przedsiębiorcy z CEIDG podlegają ustawie o ochronie danych osobowych, a kiedy indziej całkowicie odmiennie.

Dane przedsiębiorcy od 2016 roku

Kilka tygodni temu (dokładnie 19 maja 2016) weszły w życie zmiany dotyczące publicznie dostępnych danych przedsiębiorców z CEIDG. Z zasady do takich danych nie stosuje się ustawy o ochronie danych osobowych (wyjątki przedstawiam w kolejnym akapicie). Mówi o tym wprost nowy art. 39b ustawy o swobodzie działalności gospodarczej. Choć zatem dane przedsiębiorcy z CEIDG są danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych, to jednak mocą przywołanego przepisu ustawy o swobodzie działalności gospodarczej nie stosuje się norm tej pierwszej ustawy.

(Nie)stosowanie ustawy o ochronie danych osobowych

Choć jak wspomniano z zasady do jawnych danych z CEIDG nie stosuje się ustawy o ochronie danych osobowych, to przewidziano dwa wyjątki:

  • po pierwsze, stosuje się regulację o uprawnieniach kontrolnych Generalnego Inspektora Ochrony Danych Osobowych, czyli art. 14–19a i art. 21–22a ustawy o ochronie danych osobowych,
  • po drugie, trzeba przestrzegać regulacji o zabezpieczeniu danych osobowych w postaci danych przedsiębiorcy, czyli stosowany jest cały rozdział 5 ustawy o ochronie danych osobowych.

Innych wyjątków niż powyższe nie ma. Oznacza to zatem, że nie stosuje się w przypadku danych przedsiębiorcy z CEIDG tak istotnych regulacji ustawy o ochronie danych osobowych, jak mówiących o:

  • zasadach przetwarzania danych osobowych, w tym o podstawach przetwarzania,
  • prawach osoby, której dane dotyczą,
  • rejestracji zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji,
  • przekazywaniu danych osobowych do państwa trzeciego.

Ograniczenia

Na zakończenie podkreślić należy, że nowy art. 39b ustawy o swobodzie działalności gospodarczej, wyłączający stosowanie ustawy o ochronie danych osobowych, dotyczy nie jakichkolwiek danych o przedsiębiorcy, ale jedynie tych, które są jawne i udostępniane przez CEIDG. Tylko wtedy z zasady, poza powyższymi wyjątkami, nie stosuje się ustawy o ochronie danych. Ponadto należy mieć na uwadze, że czymś innym jest wyłączenie stosowania ustawy o ochronie danych osobowych, a czymś innym udostępnianie oraz wykorzystywanie informacji z CEIDG (te ostatnie kwestie podlegają odrębnemu uregulowaniu).

Obowiązywanie eIDAS

Niedługo nadejdzie 1 lipca 2016 r., a wraz z nim obowiązywanie eIDAS. Data ta nie jest jedynym terminem rozpoczęcia stosowania rozporządzenie eIDAS. Część przepisów już obowiązuje, a niektóre zaczną dopiero 29 września 2018 r. Ten ostatni termin związany jest z systemami identyfikacji elektronicznej. Dotyczy wprowadzenia zasady obligującej do wzajemnego uznawania przez państwa notyfikowanych systemów identyfikacji elektronicznej. Dzień 1 lipca 2016 r. jest datą zasadniczą dla usług zaufania.

W gruncie rzeczy nowe prawo unijne stanowi jedynie ramy prawne dla narzędzi informatycznych. Aby były one użyteczne konieczne jest ustanowienie w prawie krajowym konkretnych zachęt. W szczególności powinno dojść co zrównania skutków prawnych usług zaufania z dotychczas stosowanymi rozwiązaniami. W odmiennym razie usługi zaufania będą zwiększały bezpieczeństwo biznesowe i informatyczne, ale nie poprawią sytuacji prawnej danego podmiotu. Wszystko wskazuje, że polski ustawodawca przypisze konkretne skutki prawne jedynie kwalifikowanemu podpisowi elektronicznemu. Nie będzie to jednak nowość, lecz kontynuacja obecnego stanu rzeczy.

Obowiązywanie eIDAS a dawne rozwiązania

Rozpoczęcie stosowania rozporządzenia eIDAS nie oznacza likwidacji narzędzi dotychczas używanych na rynku. Przeciwnie, nowe prawo podtrzymuje ich działanie i stwarza podstawy do metamorfozy zgodnej z nowymi regulacjami. Ustanowiono zasadę ciągłości. Kwalifikowane certyfikaty wydane na mocy starego prawa będą uznawane za kwalifikowane certyfikaty podpisów elektronicznych w rozumieniu eIDAS. Jednak nie bezterminowo, a jedynie do czasu ich wygaśnięcia. Po tym okresie ich odnowienie powinno dokonać się już na nowych zasadach.

Zapewniono również ciągłość funkcjonowania dotychczasowych podmiotów świadczący usługi certyfikacyjne. Do czasu przekazania raportu z oceny zgodności i zakończenia oceny przez organ nadzoru będą uważane za kwalifikowanych dostawców usług zaufania w rozumieniu eIDAS. Niezłożenie wspomnianego raportu spowoduje, że z dniem 2 lipca 2017 r. podmioty te stracą jednak taki status.

Prawdopodobnie zasada ciągłości znajdzie swój wyraz również w polskiej ustawie. Planuje się wprowadzenie przepisu stanowiącego, że tam gdzie wymaga się kwalifikowanego podpisu elektronicznego dopuszcza się użycie dotychczasowego bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy kwalifikowanego certyfikatu. Oczywiście takie uregulowanie bezpośrednio wiąże się z utrzymaniem ważności starych certyfikatów.

eIDAS a prawo polskie

Polski ustawodawca prawdopodobnie nie zdąży do czasu rozpoczęcia stosowania rozporządzenie eIDAS uchwalić ustawy dostosowującej prawo krajowe. Pracę nad polską ustawą o usługach zaufania i identyfikacji elektronicznej są jednak dość intensywne. Nie można zatem wykluczyć, że jednak będzie na czas. Uniknięto by wtedy chaosu prawnego. Przede wszystkim ułatwiłoby to działanie polskim dostawcom usług zaufania. Do czasu uchwalenie ustawy ich sytuacja biznesowa nie będzie w pełni jasna.

W nowej ustawie nie podoba mi się przede wszystkim jej tytuł. Powinien korespondować z rozporządzeniem eIDAS, a nie być jego odwrotnością. Kształt tytułu polskiej ustawy może okazać się niestety symboliczny. Wyjdzie na to, że unijny prawodawca wysuwa na pierwszy plan systemy identyfikacji elektronicznej. Są one pierwsze w tytule rozporządzenie eIDAS. Natomiast polski ustawodawca woli usługi zaufania, gdyż to one będą pierwsze w nazwie ustawy.

Wyliczyłem, że polska ustawa zmieni ponad 70 innych ustaw. Sporo. Niestety większość tych zmian ma charakter jedynie nazewniczy. Wprowadza się pojęcie kwalifikowanego podpisu elektronicznego w miejsce bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem.

Niepokoi, że polski ustawodawca uregulował jedynie trzy kwalifikowane usługi zaufania, a resztą pominął. Mianowicie polska ustawa będzie mówiła wprost o kwalifikowanym podpisie elektronicznym, kwalifikowanej pieczęci elektronicznej i kwalifikowanych elektronicznych znacznikach czasu. Jednak nawet w tak wąskim obszarze nie skorzystano w pełni z możliwości przez te usługi oferowane. Zwłaszcza nie uczyniono z pieczęci elektronicznej bardziej użytecznego rozwiązania poprzez przypisanie jest konkretnych skutków prawnych. Również dość ograniczone zastosowanie miałby mieć zaawansowany podpis elektroniczny. Przede wszystkim skupiono się na kwalifikowanym podpisie elektronicznym, co niebezpiecznie upodobnia nowe prawo do starego pod względem użyteczności.

Systemy identyfikacji elektronicznej w eIDAS

W dniu 5 maja 2016 prowadziłem w Warszawie zajęcia w ramach warsztatu poświęconego eIDAS, czyli unijnemu rozporządzeniu nr 910/2014. Moja prelekcja dotyczyła identyfikacji elektronicznej, a konkretnie systemów identyfikacji elektronicznej. A jeszcze precyzyjniej notyfikowanych systemów identyfikacji, przy czym nie mówiłem o zasadach, sposobach i warunkach notyfikacji systemów przez państwa członkowskie UE, lecz o skutkach „działania”  notyfikowanego systemu dla obrotu gospodarczego.

Rozporządzenie eIDAS traktuje o dwóch generalnych kwestiach: identyfikacji elektronicznej oraz usług zaufania. Najczęściej uwaga koncentruje się na usługach zaufania – moim zdaniem niesłusznie, ponieważ to identyfikacja elektroniczna jest ważniejsza. Podobnie założenie przyjął również prawodawca unijny skoro w pełnej nazwie rozporządzenia eIDAS, jak też w treści tego aktu, wpierw mowa o identyfikacji, a dopiero potem o usługach zaufania.

Według mnie skupienie się na systemach identyfikacji elektronicznej może zwiastować nowe – lepsze – perspektywy dla korzystania z komunikacji elektronicznej, przede wszystkim w sferze informatyzacji podmiotów publicznych. Upowszechnienie w praktyce systemów identyfikacji elektronicznej jest relatywnie proste, a przez to realne. Inaczej w przypadku usług zaufania – w ich drożeniu muszą uczestniczyć z zasady podmioty komercyjne, co skutkuje odpłatnością takich usług. Odpłatność ta sama w sobie nie jest problemem, jednak stawia je w gorszej sytuacji wobec alternatywy jaka są prowadzone przez podmioty publiczne systemy identyfikacji elektronicznej, które z zasady są bezpłatne.

Slajdy z zajęć zamieściłem w Slideshare:

http://www.slideshare.net/ukaszGodziaszek/problematyka-identyfikacji-elektronicznej-eid-w-rozumieniu-rozporzdzenia-eidas

 

Pytań na zajęciach było sporo. Mocno przekroczyliśmy zaplanowany czas zajęć. Wielokrotnie odsyłałem do treści zamieszczonych na tym blogu (zachęcam do kliknięcia w poniższy tag eIDAS, aby poczytać o rozporządzeniu eIDAS).

Krajowe i transgraniczne skutki rozporządzenia eIDAS

Prawne skutki rozporządzenia eIDAS (unijnego rozporządzenia 910/2014) można rozpatrywać w różnych aspektach. Uważam, że kluczowy, choćby dla zrozumienia istoty eIDAS, jest podział na skutki krajowe i transgraniczne. Choć taki podział nie rzuca się od razu w oczy, to w istocie stanowi stanowi sedno całego rozporządzenia eIDAS. Chodzi zarówno o skutki rozporządzenia eIDAS co do identyfikacji elektronicznej, jak też usług zaufania. Na marginesie warto przypomnieć, że rozpoczęcie stosowania rozporządzenia eIDAS przypada na dzień 1.7.2016 r.

Przede wszystkim rozporządzenie eIDAS traktuje o skutkach na płaszczyźnie transgranicznej. To tutaj będą one bezpośrednio odczuwalne. Efektywność regulacji w tym zakresie nie jest uzależniona od państw członkowskich Unii Europejskiej. Odmiennie zaś w przypadku skutków krajowych. Można sobie wyobrazić wariant, w którym dane państwo członkowskie pozbawia faktycznej skuteczności części rozporządzenia w sprawach wewnętrzny. Byłoby to wprawdzie sprzeczne z interesem tego państwa, ale nie jest wykluczone. Oznaczałoby niewykorzystanie szansy w zakresie cyfryzacji, stwarzanej przez przedmiotowe rozporządzenie. Nadto oddałoby krajowy rynek podmiotom zagranicznym, które korzystaąć mogą z transgranicznej skuteczności eIDAS.

Choć nie ma możliwości absolutnego i całkowitego pozbawienia skuteczności prawnej w sprawach o wyłącznie wewnątrzkrajowym charakterze. Niemniej można w tym zakresie zdegradować eIDAS do podobnej roli jaką obecnie odgrywa ustawa o podpisie elektronicznym (implementująca zresztą unijną dyrektywę). Kolokwialnie ujmując – roli dość mizernej. Takie rozwiązanie byłoby jednak nie tylko zniszczeniem potencjału rozporządzenia eIDAS. Doszłoby zapewne do zmarnowania także  środków. Pewne nakłady będą musiały i tak zostać poniesione przez podmioty prywatne i publiczne na zapewnienie transgranicznej skuteczności rozporządzenia eIDAS na terytorium Polski. Na marginesie dodam, że nie chcę w tym miejscu wnikać w ocenę prawną obecnej ustawy o podpisie elektronicznym. Chcę jedynie zwrócić uwagę, że w praktyce narzędzia ustanowione w tej ustawie znajdują niezmiernie rzadkie zastosowanie. Ograniczając się do sytuacji, w których polski ustawodawca narzucił obowiązek posługiwania się nimi. W szczególności dotyczy to używania bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem.

Transgraniczne skutki eIDAS sprowadzają się do akceptowalności i dopuszczalności posługiwania się rozwiązaniami technologicznymi opisanymi w rozporządzeniu eIDAS, a pochodzącymi z innych państw członkowskich, we wszystkich innych państwach członkowskich Unii Europejskiej. Skutki krajowe to z kolei przypisanie do rozwiązań technologicznych konkretnych skutków prawnych. Konkretnych, czyli takich, które wskażą jaka jest konkretna moc prawna skorzystania z tych rozwiązań. Czy inaczej przedstawiając – w jaki sposób ta moc prawna będzie szczególna wobec skorzystania ze zwykłej komunikacji elektronicznej, jak choćby wysłania normalnego e-maila. Rozporządzenie eIDAS tylko w niewielkim zakresie określa te skutki (jeden wskazuje w kolejnym akapicie). Co do reszty sprawa jest otwarta dla poszczególnych państw członkowskich.

Oczywiście skutki krajowe i transgraniczne są ze sobą w swoisty sposób powiązane, ponieważ jeśli nie ma tych pierwszych, to poza skutkami wprost statuowanymi w rozporządzeniu (jak w przypadku zrównania kwalifikowanego podpisu elektronicznego z podpisem własnoręczny, o czym w art. 25 ust. 2 rozporządzenia eIDAS), nie mają racji bytu skutki transgraniczne.

W kontekście nieodległego wejścia w życie przedmiotowego rozporządzenia eIDAS i prawdopodobnie niedopełnienia przez Polskę w odpowiednim czasie stosownych czynności, w tym legislacyjnych, wyłania się również kwestia efektów opóźnienia. Jak wspomniano powyżej, na gruncie wyłącznie krajowym, skutkiem będzie przede wszystkim marnotrawstwo potencjału. Z kolei w odniesieniu do transgraniczności, konsekwencje niedochowania terminu nie są w pełni jasne. Wprawdzie można precyzyjnie wskazać sankcje związane z niestosowaniem przez państwo członkowskie prawa unijnego, to jednak wyciąganie konsekwencji w nieodległym czasie nie wydaje się prawdopodobne co najmniej z dwóch względów.

Po pierwsze, nieprzestrzeganie prawa unijnego, a zwłaszcza nieimplementowanie na czas prawa unijnego, jest relatywnie częstym zjawiskiem. Szczerze mówiąc, to nie jestem nawet sobie w stanie na szybko przypomnieć jakiekolwiek unijnego aktu prawnego z mojej działki prawnej, który byłby w Polsce stosowany „od razu”. Czyli tak, aby dostosowanie prawa polskiego nie było opóźnione.

Po drugie wreszcie, co ważniejsze, opóźnienie akurat w przypadku eIDAS dość łatwo racjonalnie uzasadnić. Przedmiot tego aktu prawnego jest na tyle technicznie skomplikowany i wymagający współdziałania wielu podmiotów, w tym prywatnych i publicznych, że nakreślenie odpowiedniej argumentacji służącej usprawiedliwieniu opóźnienia nie byłoby zadaniem trudnym. Ponadto niewykluczone, że również inne państwa członkowskie będą w podobnej sytuacji jak Polska. Wydaje się nawet, że inne kraje wskutek znacznie bardziej zaawansowanej cyfryzacji, paradoksalnie, będą bardziej narażone na zarzuty w przedmiotowym zakresie. Innymi słowy, ogólne opóźnienie technologiczne Polski, w szczególności na gruncie informatyzacji podmiotów publicznych, stanowi mocny argument za opóźnianym akceptowaniem transgranicznych skutków rozporządzenia eIDAS.

Czy zatem rozporządzenia eIDAS zrewolucjonizuje komunikację elektroniczną? Nie jest to wykluczone, ale raczej nie nastąpi to 1.7.2016. Nie jest też pewne czy nastąpi później. Jednak prawdopodobne jest również, że bez efektywnego wykorzystania możliwości stwarzanych przez eIDAS nie uda się w dłuższej perspektywie istotnie zwiększyć stopnia cyfryzacji obrotu gospodarczego.