eGO

Kilka słów tytułem wyjaśnienia. Ministerstwo Cyfryzacji postanowiło zastąpić wyrażenie „profil zaufany” słowem eGO. Nie wiadomo jednak co ma oznaczać taka zmiana? Czy nowa nazwa zostanie wprowadzona do aktów prawnych? Czy też może eGO ma być jedynie nazwą projektową i potoczną? Pojęciem prawnym pozostać miałby zaś profil zaufany? Nie jest dla mnie też jasne czy eGO ma zastąpić całą nazwę „profil zaufany ePUAP”, czy też jedynie „profil zaufany”? A zastąpione ma zostać sformułowanie „podpis potwierdzony profilem zaufanym ePUAP”.

Urzędowa strona internetowa poświęcona profilowi zaufanemu nie eksponuje nazwy „profil zaufany ePUAP”, lecz „profil zaufany”. Strona ta funkcjonuje od niedawna, ale ukazuje wyraźnie zamierzenie rozdzielania ePUAPu i profilu zaufanego. Wyjaśnię przy tym, że art. 3 pkt 14 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne zawiera definicję legalną „profilu zaufanego ePUAP”. Zatem to ostatnie pojęcie jest najwłaściwsze. Przywołany przepis stanowi, że „profil zaufany ePUAP” to zestaw informacji identyfikujących i opisujących podmiot lub osobę będącą użytkownikiem konta na ePUAP, który został w wiarygodny sposób potwierdzony przez właściwy organ.

Profil zaufany ePUAP w najnowszych aktach prawnych

W ostatnim czasie regulacje związane z profilem zaufanym zostały podane lekkiemu liftingowi w związku z uchwaleniem polskiej ustawy dostosowującej prawo polskiego do unijnego rozporządzenia eIDAS (zob. m.in. mój wpis: ”Polska ustawa o usługach zaufania”). Nie były to zmiany głęboko merytoryczne. Raczej redakcyjne. Niemniej akurat w przypadku profilu zaufanego można doszukać się w nowelizacji roztrzygnięcia istotnej kwestii dotyczącej profilu zaufanego ePUAP. Mianowicie, że podpis potwierdzony profilem zaufanym ePUAP to podpis elektroniczny, a konkretnie „zwykły” podpis, czyli ani nie zaawansowany, ani nie kwalifikowany.  Wynika to z nowego brzmienia art. 3 pkt 15 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.

eGO w prawie

Nazwa „profil zaufany” nie była doskonała. Wprawdzie już się z nią oswoiłem, to jednak w chwili jej powstania kilka lat temu również wydawała mi się niezbyt dobra jako mało zrozumiała. Dziś jednak uważam, że jest nawet dość adekwatna. Zwłaszcza po wyraźnym rozdzieleniu ePUAPu od profilu zaufanego ePUAP. Jednak w przepisach prawnych ta nazwa „trzeszczy”. Regulacje posługują się długą i niezrozumiałą konstrukcją słowną „podpisu potwierdzonego profilem zaufanym ePUAP”. Zastąpienie tego przydługiego wyrażenia czymś bardziej jasnym byłoby pożądane. Ciekawe tylko czy byłaby to zmiana na podpis potwierdzony eGO, czy też byłoby powiedziane o komunikacji za pośrednictwem eGO bez wskazywania na podpis?

mDokument

Już na wstępie zaakcentuję, że moim zdaniem obecne działania z zakresu informatyzacji podmiotów publicznych powinny koncentrować się na ulepszaniu ePUAPu i profilu zaufanego ePUAP (eGO). W takim stanie rzeczy, elektroniczny dokument tożsamości (eID), określany ostatnio jako mDokument, powinnien być jedynie funkcjonalnością ePUAPu lub profilu zaufanego ePUAP. Nie chodzi jednak o trzymanie się obecnej nazwy lub konstrukcji ePUAPu. Celem powinno być uczynienie konkretnego rozwiązania wiodącym (centralnym) i jako takim standardowym dla informatyzacji. W efekcie wszystkie inne instrumenty informatyczne powinny być temu rozwiązaniu podporządkowane. Ewentualnie jedynie uzupełniać je o dodatkowe właściwości.

Nie jestem fanem ePUAPu, ale uważam że koncepcja, która przyświecała jego powstaniu, była i jest dobra. Poza tym to rozwiazanie już działa. Szkoda byłoby je całkowicie zlikwidować i tworzyć od początku inne. Nie wyklucza to jednak radykalnych modyfikacji dotychczasowych rozwiązań. Poza tym trzeba pamiętać o potrzebie przyszykowania systemu identyfikacji, który mógłbym zostać systemem notyfikowanym w rozumieniu unijnego rozporządzenie eIDAS (zob. m.in. mój wpis z maja 2016 r.: „Systemy identyfikacji elektronicznej w eIDAS”).

Obecne dokumenty a mDokument

Zastąpienie konieczności noszenia przy sobie papierkowych lub plastikowych dokumentów tożsamości przez posiadanie w telefonie komórkowym ich cyfrowych odpowiedników (mDokument) jest ciekawym pomysłem. Jest to przy tym rozwiazanie znane z obrotu gospodarczego. Już od dość dawna rożnego typu karty lojalnościowe, a ostatnimi czasy również karty kredytowe, można nosić w telefonie zamiast w tradycyjnym portfelu. Osobiście chciałbym tak przechowywać również dokumenty tożsamości. Dla mnie rownież noszenie sterty dokumentów jest kłopotliwe. Zwłaszcza samochodowego dowodu rejestracyjnego, który jest wyjątkowo mało poręczny:)

Niezależnie od przedstawionych ogólnych pozytywów dotyczącego mDokumentu, dostrzegam kilka mankamentów. Przede wszystkim nie jest dla mnie jasne na jakie problemy prawne odpowiedź stanowi stworzenie mDokumntu. Raczej nie jest on planowany jako system identyfikacji elektronicznej. Wydaje się, że ma służyć wyłącznie załatwianiu spraw w realu. Obawiam się jednak, że tak jak obecnie niechętnie wykorzystuje się do załatwiania spraw urzędowych elektroniczne kanały komunikacji, tak podobnie będzie w przypadku mDokumentu.

Co najważniejsze. W obecnych czasach nie jest oczywisty obowiązek posiadania dokumentu tożsamości. Można sobie wyobrazić przecież następujące rozwiązanie:

  • w razie potrzeby wykazania swojej tożsamości przed podmiotem publicznym podaje się temu organowi swoje nazwisko lub numer PESEL,
  • następnie podmiot ten sam weryfikuje tożsamość w swojej bazie, np. powiązanej z bazą PESEL.

Dokument tożsamości, w tym mDokument, nie jest do tego potrzebny.

Nadto wyłania się kwestia kompleksowości mDokumentu. Najlepszym przykładem jest już przywołany samochodowy dowód rejestracyjny. Jeśli wciąż istnieć będzie konieczność noszenia papierowego samochodowego dowodu rejestracyjnego, to dla mnie żadnym ułatwieniem nie będzie zdigitalizowanie jedynie dowodu osobistego lub prawa jazdy.

Aktualna informatyzacja a mDokument

Jednak zaproponowane rozwiazanie związane z mDokumentem wydaje się oderwane od dotychczasowych przedsięwzięć informatycznych. Nie mówię, że to całkiem źle, ale jeśli już stawiać na mDokumenty to może warto jednocześnie zrezygnować na ich rzecz z profilu zaufanego ePUAP (eGO). Najlepiej zaś, jak napisałem na wstępie, aby wykorzystać dotychczasową infrastrukturę profilu zaufanego ePUAP (eGO) i uczynić z mDokumentu jedną z jego funkcjonalności. Wystarczy jeden system identyfikacji (system zarządzania tożsamością) w podmiotach publicznych. Dwa to raczej już za dużo. Na pewno zaś lepiej, aby działał dobrze jeden system, a nie dwa średnio:)

Polska ustawa o usługach zaufania

Po dwóch miesiącach od rozpoczęcia stosowania unijnego rozporządzenie eIDAS polski ustawodawca uchwalił krajowe przepisy uzupełniające i przystosowujące prawo polskie do unijnego. Ustawa o usługach zaufania ostatecznie weszła w życie 7.10.2016. Pełna tytuł nowego aktu prawnego to „ustawa o usługach zaufania oraz identyfikacji elektronicznej”.  W niniejszym wpisie będę posługiwał się jednak skróconą nazwą („ustawa o usługach zaufania”). Na marginesie jedynie wskażę, że kwestia skonstruowania tytułu polskiej ustawy jest bardzo ciekawa. Nie powtórzono wprost nazwy unijnego rozporządzenia eIDAS, lecz odwołując się do dwóch kluczowych elementów tego rozporządzenia (identyfikacja elektroniczna i usługi zaufania), odwrócono ich kolejność. W rozporządzeniu eIDAS wpierw mowa o identyfikacji elektronicznej, z kolei polski ustawodawca rozpoczął od usług zaufania.

Znaczenie nowego prawa

Polska ustawa o usługach zaufania zawiera 49 głównych artykułów. Pozostałe regulacje to przepisy przejściowe i zmieniające inne akty prawne. Nowe prawo nie jest zatem ani szczególnie krótkie, ale też nie jest wyjątkowo długie. Jego objętość została znacznie zmniejszona względem pierwotnych projektów legislacyjnych.

Ustawa o usługach zaufania jest istotna przede wszystkim dla dostawców usług zaufania. Użytkownik usług zaufania i systemów identyfikacji elektronicznej nie znajdzie w niej ważnych dla siebie kwestii (poza przepisami karnymi, o czym w kolejnym akapicie), ponieważ te są ustanowione na szczeblu prawa unijnego. Oczywiście, dla użytkownika ustawa o usługach zaufania ma pośrednie znaczne. Bez należytej regulacji funkcjonowania dostawców usług zaufania i odpowiednich uregulowań dla notyfikowanych systemów identyfikacji elektronicznej, nie mógłby on korzystać z tych rozwiązań.

Dla użytkowników usług zaufania ważnym elementem nowej ustawy są jednak regulacje karne. W art. 40 i kolejnych przepisach tej ustawy wskazano, w szczególności, że karalne jest składanie kwalifikowanego lub zaawansowanego podpisu elektroniczny z wykorzystaniem danych do składania podpisu elektronicznego przyporządkowanych do innej osoby. Podobnie w przypadku składania, nie będąc do tego uprawnionym, kwalifikowanej lub zaawansowanej pieczęci elektronicznej. Za czyny takie grozi grzywna, kara ograniczenia wolności lub pozbawienia wolności do lat 3. Takim samym karom podlega także ten, kto dopuszcza się tych czynów, działając w imieniu lub w interesie innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej.

Zmiany w innych ustawach

Patrząc od strony porządku legislacyjnego najważniejszą zmianą jest formalne uchylenie w całości dotychczasowej ustawy o podpisie elektronicznym. W ślad za tym wprowadzono do polskich ustaw pojęcie „kwalifikowanego podpisu elektronicznego” w miejsce „bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem”. Do zaawansowanego podpisu elektronicznego odwoływano się we wprowadzanych zmianach niezmiernie rzadko. Profesjonalna komunikacja elektroniczna w Polsce opiera się wciąż przede wszystkim na kwalifikowanym podpisie elektronicznym. Ustawa o usługach zaufania nie wprowadza jednak zmian rewolucyjnych w porównaniu z dotychczasowym prawem.

Ustawa o usługach zaufania – obowiązywanie

Jak wskazano na wstępie, ustawa o usługach zaufania weszła w życie 7.10.2016. Trzeba jednak dodać, że kilka przepisów wejdzie w życie dopiero 29.9.2018 r. Są to regulacje związane z notyfikowanymi środkami (systemami) identyfikacji elektronicznej. Polska ustawa o usługach zaufania koresponduje w tym zakresie z unijnym rozporządzeniem eIDAS, gdzie również odsunięto w czasie stosowanie części regulacji dotyczących identyfikacji elektronicznej.

Dane przedsiębiorcy

Dane personalne osoby fizycznej prowadzącej działalność gospodarczą są publicznie dostępne w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Można je zobaczyć bezpłatnie poprzez Internet. Nierzadko informacje o przedsiębiorcy pokrywają się z „prywatnymi” danymi osobowymi. Charakter prawny takich dany budził kontrowersje w świetle ochrony danych osobowych. Przepisy prawne zmieniały się w tym zakresie kilka razy. Były to zmiany radykalne. Przez pewien czas wskazywano, że dane przedsiębiorcy z CEIDG podlegają ustawie o ochronie danych osobowych, a kiedy indziej całkowicie odmiennie.

Dane przedsiębiorcy od 2016 roku

Kilka tygodni temu (dokładnie 19 maja 2016) weszły w życie zmiany dotyczące publicznie dostępnych danych przedsiębiorców z CEIDG. Z zasady do takich danych nie stosuje się ustawy o ochronie danych osobowych (wyjątki przedstawiam w kolejnym akapicie). Mówi o tym wprost nowy art. 39b ustawy o swobodzie działalności gospodarczej. Choć zatem dane przedsiębiorcy z CEIDG są danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych, to jednak mocą przywołanego przepisu ustawy o swobodzie działalności gospodarczej nie stosuje się norm tej pierwszej ustawy.

(Nie)stosowanie ustawy o ochronie danych osobowych

Choć jak wspomniano z zasady do jawnych danych z CEIDG nie stosuje się ustawy o ochronie danych osobowych, to przewidziano dwa wyjątki:

  • po pierwsze, stosuje się regulację o uprawnieniach kontrolnych Generalnego Inspektora Ochrony Danych Osobowych, czyli art. 14–19a i art. 21–22a ustawy o ochronie danych osobowych,
  • po drugie, trzeba przestrzegać regulacji o zabezpieczeniu danych osobowych w postaci danych przedsiębiorcy, czyli stosowany jest cały rozdział 5 ustawy o ochronie danych osobowych.

Innych wyjątków niż powyższe nie ma. Oznacza to zatem, że nie stosuje się w przypadku danych przedsiębiorcy z CEIDG tak istotnych regulacji ustawy o ochronie danych osobowych, jak mówiących o:

  • zasadach przetwarzania danych osobowych, w tym o podstawach przetwarzania,
  • prawach osoby, której dane dotyczą,
  • rejestracji zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji,
  • przekazywaniu danych osobowych do państwa trzeciego.

Ograniczenia

Na zakończenie podkreślić należy, że nowy art. 39b ustawy o swobodzie działalności gospodarczej, wyłączający stosowanie ustawy o ochronie danych osobowych, dotyczy nie jakichkolwiek danych o przedsiębiorcy, ale jedynie tych, które są jawne i udostępniane przez CEIDG. Tylko wtedy z zasady, poza powyższymi wyjątkami, nie stosuje się ustawy o ochronie danych. Ponadto należy mieć na uwadze, że czymś innym jest wyłączenie stosowania ustawy o ochronie danych osobowych, a czymś innym udostępnianie oraz wykorzystywanie informacji z CEIDG (te ostatnie kwestie podlegają odrębnemu uregulowaniu).

Obowiązywanie eIDAS

Niedługo nadejdzie 1 lipca 2016 r., a wraz z nim obowiązywanie eIDAS. Data ta nie jest jedynym terminem rozpoczęcia stosowania rozporządzenie eIDAS. Część przepisów już obowiązuje, a niektóre zaczną dopiero 29 września 2018 r. Ten ostatni termin związany jest z systemami identyfikacji elektronicznej. Dotyczy wprowadzenia zasady obligującej do wzajemnego uznawania przez państwa notyfikowanych systemów identyfikacji elektronicznej. Dzień 1 lipca 2016 r. jest datą zasadniczą dla usług zaufania.

W gruncie rzeczy nowe prawo unijne stanowi jedynie ramy prawne dla narzędzi informatycznych. Aby były one użyteczne konieczne jest ustanowienie w prawie krajowym konkretnych zachęt. W szczególności powinno dojść co zrównania skutków prawnych usług zaufania z dotychczas stosowanymi rozwiązaniami. W odmiennym razie usługi zaufania będą zwiększały bezpieczeństwo biznesowe i informatyczne, ale nie poprawią sytuacji prawnej danego podmiotu. Wszystko wskazuje, że polski ustawodawca przypisze konkretne skutki prawne jedynie kwalifikowanemu podpisowi elektronicznemu. Nie będzie to jednak nowość, lecz kontynuacja obecnego stanu rzeczy.

Obowiązywanie eIDAS a dawne rozwiązania

Rozpoczęcie stosowania rozporządzenia eIDAS nie oznacza likwidacji narzędzi dotychczas używanych na rynku. Przeciwnie, nowe prawo podtrzymuje ich działanie i stwarza podstawy do metamorfozy zgodnej z nowymi regulacjami. Ustanowiono zasadę ciągłości. Kwalifikowane certyfikaty wydane na mocy starego prawa będą uznawane za kwalifikowane certyfikaty podpisów elektronicznych w rozumieniu eIDAS. Jednak nie bezterminowo, a jedynie do czasu ich wygaśnięcia. Po tym okresie ich odnowienie powinno dokonać się już na nowych zasadach.

Zapewniono również ciągłość funkcjonowania dotychczasowych podmiotów świadczący usługi certyfikacyjne. Do czasu przekazania raportu z oceny zgodności i zakończenia oceny przez organ nadzoru będą uważane za kwalifikowanych dostawców usług zaufania w rozumieniu eIDAS. Niezłożenie wspomnianego raportu spowoduje, że z dniem 2 lipca 2017 r. podmioty te stracą jednak taki status.

Prawdopodobnie zasada ciągłości znajdzie swój wyraz również w polskiej ustawie. Planuje się wprowadzenie przepisu stanowiącego, że tam gdzie wymaga się kwalifikowanego podpisu elektronicznego dopuszcza się użycie dotychczasowego bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy kwalifikowanego certyfikatu. Oczywiście takie uregulowanie bezpośrednio wiąże się z utrzymaniem ważności starych certyfikatów.

eIDAS a prawo polskie

Polski ustawodawca prawdopodobnie nie zdąży do czasu rozpoczęcia stosowania rozporządzenie eIDAS uchwalić ustawy dostosowującej prawo krajowe. Pracę nad polską ustawą o usługach zaufania i identyfikacji elektronicznej są jednak dość intensywne. Nie można zatem wykluczyć, że jednak będzie na czas. Uniknięto by wtedy chaosu prawnego. Przede wszystkim ułatwiłoby to działanie polskim dostawcom usług zaufania. Do czasu uchwalenie ustawy ich sytuacja biznesowa nie będzie w pełni jasna.

W nowej ustawie nie podoba mi się przede wszystkim jej tytuł. Powinien korespondować z rozporządzeniem eIDAS, a nie być jego odwrotnością. Kształt tytułu polskiej ustawy może okazać się niestety symboliczny. Wyjdzie na to, że unijny prawodawca wysuwa na pierwszy plan systemy identyfikacji elektronicznej. Są one pierwsze w tytule rozporządzenie eIDAS. Natomiast polski ustawodawca woli usługi zaufania, gdyż to one będą pierwsze w nazwie ustawy.

Wyliczyłem, że polska ustawa zmieni ponad 70 innych ustaw. Sporo. Niestety większość tych zmian ma charakter jedynie nazewniczy. Wprowadza się pojęcie kwalifikowanego podpisu elektronicznego w miejsce bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem.

Niepokoi, że polski ustawodawca uregulował jedynie trzy kwalifikowane usługi zaufania, a resztą pominął. Mianowicie polska ustawa będzie mówiła wprost o kwalifikowanym podpisie elektronicznym, kwalifikowanej pieczęci elektronicznej i kwalifikowanych elektronicznych znacznikach czasu. Jednak nawet w tak wąskim obszarze nie skorzystano w pełni z możliwości przez te usługi oferowane. Zwłaszcza nie uczyniono z pieczęci elektronicznej bardziej użytecznego rozwiązania poprzez przypisanie jest konkretnych skutków prawnych. Również dość ograniczone zastosowanie miałby mieć zaawansowany podpis elektroniczny. Przede wszystkim skupiono się na kwalifikowanym podpisie elektronicznym, co niebezpiecznie upodobnia nowe prawo do starego pod względem użyteczności.

Systemy identyfikacji elektronicznej w eIDAS

W dniu 5 maja 2016 prowadziłem w Warszawie zajęcia w ramach warsztatu poświęconego eIDAS, czyli unijnemu rozporządzeniu nr 910/2014. Moja prelekcja dotyczyła identyfikacji elektronicznej, a konkretnie systemów identyfikacji elektronicznej. A jeszcze precyzyjniej notyfikowanych systemów identyfikacji, przy czym nie mówiłem o zasadach, sposobach i warunkach notyfikacji systemów przez państwa członkowskie UE, lecz o skutkach „działania”  notyfikowanego systemu dla obrotu gospodarczego.

Rozporządzenie eIDAS traktuje o dwóch generalnych kwestiach: identyfikacji elektronicznej oraz usług zaufania. Najczęściej uwaga koncentruje się na usługach zaufania – moim zdaniem niesłusznie, ponieważ to identyfikacja elektroniczna jest ważniejsza. Podobnie założenie przyjął również prawodawca unijny skoro w pełnej nazwie rozporządzenia eIDAS, jak też w treści tego aktu, wpierw mowa o identyfikacji, a dopiero potem o usługach zaufania.

Według mnie skupienie się na systemach identyfikacji elektronicznej może zwiastować nowe – lepsze – perspektywy dla korzystania z komunikacji elektronicznej, przede wszystkim w sferze informatyzacji podmiotów publicznych. Upowszechnienie w praktyce systemów identyfikacji elektronicznej jest relatywnie proste, a przez to realne. Inaczej w przypadku usług zaufania – w ich drożeniu muszą uczestniczyć z zasady podmioty komercyjne, co skutkuje odpłatnością takich usług. Odpłatność ta sama w sobie nie jest problemem, jednak stawia je w gorszej sytuacji wobec alternatywy jaka są prowadzone przez podmioty publiczne systemy identyfikacji elektronicznej, które z zasady są bezpłatne.

Slajdy z zajęć zamieściłem w Slideshare:

 

Pytań na zajęciach było sporo. Mocno przekroczyliśmy zaplanowany czas zajęć. Wielokrotnie odsyłałem do treści zamieszczonych na tym blogu (zachęcam do kliknięcia w poniższy tag eIDAS, aby poczytać o rozporządzeniu eIDAS).

Krajowe i transgraniczne skutki rozporządzenia eIDAS

Prawne skutki rozporządzenia eIDAS (unijnego rozporządzenia 910/2014) można rozpatrywać w różnych aspektach. Uważam, że kluczowy, choćby dla zrozumienia istoty eIDAS, jest podział na skutki krajowe i transgraniczne. Choć taki podział nie rzuca się od razu w oczy, to w istocie stanowi stanowi sedno całego rozporządzenia eIDAS. Chodzi zarówno o skutki rozporządzenia eIDAS co do identyfikacji elektronicznej, jak też usług zaufania. Na marginesie warto przypomnieć, że rozpoczęcie stosowania rozporządzenia eIDAS przypada na dzień 1.7.2016 r.

Przede wszystkim rozporządzenie eIDAS traktuje o skutkach na płaszczyźnie transgranicznej. To tutaj będą one bezpośrednio odczuwalne. Efektywność regulacji w tym zakresie nie jest uzależniona od państw członkowskich Unii Europejskiej. Odmiennie zaś w przypadku skutków krajowych. Można sobie wyobrazić wariant, w którym dane państwo członkowskie pozbawia faktycznej skuteczności części rozporządzenia w sprawach wewnętrzny. Byłoby to wprawdzie sprzeczne z interesem tego państwa, ale nie jest wykluczone. Oznaczałoby niewykorzystanie szansy w zakresie cyfryzacji, stwarzanej przez przedmiotowe rozporządzenie. Nadto oddałoby krajowy rynek podmiotom zagranicznym, które korzystaąć mogą z transgranicznej skuteczności eIDAS.

Choć nie ma możliwości absolutnego i całkowitego pozbawienia skuteczności prawnej w sprawach o wyłącznie wewnątrzkrajowym charakterze. Niemniej można w tym zakresie zdegradować eIDAS do podobnej roli jaką obecnie odgrywa ustawa o podpisie elektronicznym (implementująca zresztą unijną dyrektywę). Kolokwialnie ujmując – roli dość mizernej. Takie rozwiązanie byłoby jednak nie tylko zniszczeniem potencjału rozporządzenia eIDAS. Doszłoby zapewne do zmarnowania także  środków. Pewne nakłady będą musiały i tak zostać poniesione przez podmioty prywatne i publiczne na zapewnienie transgranicznej skuteczności rozporządzenia eIDAS na terytorium Polski. Na marginesie dodam, że nie chcę w tym miejscu wnikać w ocenę prawną obecnej ustawy o podpisie elektronicznym. Chcę jedynie zwrócić uwagę, że w praktyce narzędzia ustanowione w tej ustawie znajdują niezmiernie rzadkie zastosowanie. Ograniczając się do sytuacji, w których polski ustawodawca narzucił obowiązek posługiwania się nimi. W szczególności dotyczy to używania bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem.

Transgraniczne skutki eIDAS sprowadzają się do akceptowalności i dopuszczalności posługiwania się rozwiązaniami technologicznymi opisanymi w rozporządzeniu eIDAS, a pochodzącymi z innych państw członkowskich, we wszystkich innych państwach członkowskich Unii Europejskiej. Skutki krajowe to z kolei przypisanie do rozwiązań technologicznych konkretnych skutków prawnych. Konkretnych, czyli takich, które wskażą jaka jest konkretna moc prawna skorzystania z tych rozwiązań. Czy inaczej przedstawiając – w jaki sposób ta moc prawna będzie szczególna wobec skorzystania ze zwykłej komunikacji elektronicznej, jak choćby wysłania normalnego e-maila. Rozporządzenie eIDAS tylko w niewielkim zakresie określa te skutki (jeden wskazuje w kolejnym akapicie). Co do reszty sprawa jest otwarta dla poszczególnych państw członkowskich.

Oczywiście skutki krajowe i transgraniczne są ze sobą w swoisty sposób powiązane, ponieważ jeśli nie ma tych pierwszych, to poza skutkami wprost statuowanymi w rozporządzeniu (jak w przypadku zrównania kwalifikowanego podpisu elektronicznego z podpisem własnoręczny, o czym w art. 25 ust. 2 rozporządzenia eIDAS), nie mają racji bytu skutki transgraniczne.

W kontekście nieodległego wejścia w życie przedmiotowego rozporządzenia eIDAS i prawdopodobnie niedopełnienia przez Polskę w odpowiednim czasie stosownych czynności, w tym legislacyjnych, wyłania się również kwestia efektów opóźnienia. Jak wspomniano powyżej, na gruncie wyłącznie krajowym, skutkiem będzie przede wszystkim marnotrawstwo potencjału. Z kolei w odniesieniu do transgraniczności, konsekwencje niedochowania terminu nie są w pełni jasne. Wprawdzie można precyzyjnie wskazać sankcje związane z niestosowaniem przez państwo członkowskie prawa unijnego, to jednak wyciąganie konsekwencji w nieodległym czasie nie wydaje się prawdopodobne co najmniej z dwóch względów.

Po pierwsze, nieprzestrzeganie prawa unijnego, a zwłaszcza nieimplementowanie na czas prawa unijnego, jest relatywnie częstym zjawiskiem. Szczerze mówiąc, to nie jestem nawet sobie w stanie na szybko przypomnieć jakiekolwiek unijnego aktu prawnego z mojej działki prawnej, który byłby w Polsce stosowany „od razu”. Czyli tak, aby dostosowanie prawa polskiego nie było opóźnione.

Po drugie wreszcie, co ważniejsze, opóźnienie akurat w przypadku eIDAS dość łatwo racjonalnie uzasadnić. Przedmiot tego aktu prawnego jest na tyle technicznie skomplikowany i wymagający współdziałania wielu podmiotów, w tym prywatnych i publicznych, że nakreślenie odpowiedniej argumentacji służącej usprawiedliwieniu opóźnienia nie byłoby zadaniem trudnym. Ponadto niewykluczone, że również inne państwa członkowskie będą w podobnej sytuacji jak Polska. Wydaje się nawet, że inne kraje wskutek znacznie bardziej zaawansowanej cyfryzacji, paradoksalnie, będą bardziej narażone na zarzuty w przedmiotowym zakresie. Innymi słowy, ogólne opóźnienie technologiczne Polski, w szczególności na gruncie informatyzacji podmiotów publicznych, stanowi mocny argument za opóźnianym akceptowaniem transgranicznych skutków rozporządzenia eIDAS.

Czy zatem rozporządzenia eIDAS zrewolucjonizuje komunikację elektroniczną? Nie jest to wykluczone, ale raczej nie nastąpi to 1.7.2016. Nie jest też pewne czy nastąpi później. Jednak prawdopodobne jest również, że bez efektywnego wykorzystania możliwości stwarzanych przez eIDAS nie uda się w dłuższej perspektywie istotnie zwiększyć stopnia cyfryzacji obrotu gospodarczego.

Prawo polskie w świetle rozpoczęcia stosowania eIDAS

Wczoraj pisałem o 1.7.2015 jako zasadniczej dacie wejścia w życie rozporządzenia eIDAS. Data to powinna również wiązać się ze zmianami w prawie polskim. Dotyczy to zwłaszcza uchylenia lub dokonania radykalnych zmian w polskiej ustawie o podpisie elektronicznym. W zasadzie zmianie powinna ulec każda ustawa posługująca się pojęciem bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy kwalifikowanego certyfikatu. Zmiany nie zamykają się jednak na kwestii nazewnictwa podpisu elektronicznego.

Pojawia się pytanie co się stanie jeśli polski ustawodawca nie dokonana zmian legislacyjnych na czas? Głównym efektem byłby chaos prawny, ponieważ z jednej strony będzie rozporządzenie eIDAS, a z drugiej niedostosowane do niego prawo polskie. Przede wszystkim zwracam uwagę, że niedostatki prawa polskiego nie czynią nieskutecznym prawa unijnego.

Nowe prawo na szczeblu Unii Europejskiej dotyczące podpisu elektronicznego przybrało formę „rozporządzenia”. Taki akt jest bezpośrednio skuteczny. Nie trzeba go implementować do prawa krajowego. Prawo polskie należy co najwyżej zmienić tak, aby było z nim zgodne. Jeśli będzie sprzeczność, zawsze pierwszeństwo w stosowaniu będzie miało prawo Unii Europejskiej. Opóźnienie polskiego ustawodawcy nie wstrzyma stosowania prawa unijnego, ale jedynie uczyni stan prawny niejasnym, ponieważ nie będzie wiadomo, który przepisu prawa polskiego obowiązuje, a który już nie (z powodu sprzeczności z prawem unijnym).

Kiedy wejdzie w życie eIDAS?

Kilkukrotnie wspominałem na blogu o rozporządzeniu eIDAS, czyli krótko ujmując: o nowym prawie dotyczącym podpisu elektronicznego.

Przede wszystkim należy wyjaśnić, że prawo unijne zawsze posługuje się dwoma datami:

  • datą wejścia w życie,
  • datą rozpoczęcia stosowania.

Ta pierwsza data jest najczęściej nieistotna. Kluczowa jest ta druga data. Zgodnie z art. 52 ust. 2 rozporządzenia eIDAS (nr 910/2014) jest to 1.7.2016 r.

Reasumując, eIDAS będzie stosowany od 1.7.2016 r.

Ale powyższa data to tylko zasada, ponieważ przepisy upoważniające Komisję Europejską do wydania aktów wykonawczych do przedmiotowego rozporządzenia już weszły w życie. Szczególna jest również sytuacja art. 6 tego rozporządzenia (dot. wzajemnego uznawania środków identyfikacji elektronicznej pomiędzy państwami członkowskimi w kontekście dostęp do usługi online świadczonej przez podmiot sektora publicznego), który ma zastosowanie trzy lata od dnia rozpoczęcia stosowania stosowanych aktów wykonawczych.

Na zakończenie daty dotyczące rozpoczęcia obowiązywania wspomnianych wyżej i już wydanych rozporządzeń wykonawczych:

  • Rozporządzenie wykonawcze nr 2015/806 określające specyfikacje dotyczące formy znaku zaufania UE dla kwalifikowanych usług zaufania (rozpoczęcie stosowania: 12.6.2015 r.),
  • Rozporządzenie wykonawcze nr 2015/1502 ws. ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej – dot. art. 8 ust. 3 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Rozporządzenie wykonawcze nr 2015/1501 ws. ram interoperacyjności – dot. art. 12 ust. 8 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Decyzja wykonawcza nr 2015/1506 ustanawiająca specyfikacje dotyczące formatów zaawansowanych podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych, które mają być uznane przez podmioty sektora publicznego – dot. art. 27 ust. 5 i art. 37 ust. 5 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Decyzja wykonawcza nr 2015/1505 ustanawiająca specyfikacje techniczne i formaty dotyczące zaufanych list – dot. art. 22 ust. 5 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Decyzja wykonawcza nr 2015/296 ustanawiająca proceduralne warunki współpracy między państwami członkowskimi w zakresie identyfikacji elektronicznej – dot. art. 12 ust. 7 rozporządzenia eIDAS (rozpoczęcie stosowania: 17.3.2015 r.).

Internet Rzeczy – raport prawny

Jakiś czas temu pisałem o moim referacie konferencyjnym „Perspektywy Internetu Rzeczy w świetle regulacji prawnych” (Warszawa, 14.10.2015). Przypominam o możliwości ściągnięcia tutaj bezpłatnego raportu prawnego dotyczącego przedmiotowej kwestii.

podziekowania