Prawo polskie w świetle rozpoczęcia stosowania eIDAS

Wczoraj pisałem o 1.7.2015 jako zasadniczej dacie wejścia w życie rozporządzenia eIDAS. Data to powinna również wiązać się ze zmianami w prawie polskim. Dotyczy to zwłaszcza uchylenia lub dokonania radykalnych zmian w polskiej ustawie o podpisie elektronicznym. W zasadzie zmianie powinna ulec każda ustawa posługująca się pojęciem bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy kwalifikowanego certyfikatu. Zmiany nie zamykają się jednak na kwestii nazewnictwa podpisu elektronicznego.

Pojawia się pytanie co się stanie jeśli polski ustawodawca nie dokonana zmian legislacyjnych na czas? Głównym efektem byłby chaos prawny, ponieważ z jednej strony będzie rozporządzenie eIDAS, a z drugiej niedostosowane do niego prawo polskie. Przede wszystkim zwracam uwagę, że niedostatki prawa polskiego nie czynią nieskutecznym prawa unijnego.

Nowe prawo na szczeblu Unii Europejskiej dotyczące podpisu elektronicznego przybrało formę „rozporządzenia”. Taki akt jest bezpośrednio skuteczny. Nie trzeba go implementować do prawa krajowego. Prawo polskie należy co najwyżej zmienić tak, aby było z nim zgodne. Jeśli będzie sprzeczność, zawsze pierwszeństwo w stosowaniu będzie miało prawo Unii Europejskiej. Opóźnienie polskiego ustawodawcy nie wstrzyma stosowania prawa unijnego, ale jedynie uczyni stan prawny niejasnym, ponieważ nie będzie wiadomo, który przepisu prawa polskiego obowiązuje, a który już nie (z powodu sprzeczności z prawem unijnym).

Kiedy wejdzie w życie eIDAS?

Kilkukrotnie wspominałem na blogu o rozporządzeniu eIDAS, czyli krótko ujmując: o nowym prawie dotyczącym podpisu elektronicznego.

Przede wszystkim należy wyjaśnić, że prawo unijne zawsze posługuje się dwoma datami:

  • datą wejścia w życie,
  • datą rozpoczęcia stosowania.

Ta pierwsza data jest najczęściej nieistotna. Kluczowa jest ta druga data. Zgodnie z art. 52 ust. 2 rozporządzenia eIDAS (nr 910/2014) jest to 1.7.2016 r.

Reasumując, eIDAS będzie stosowany od 1.7.2016 r.

Ale powyższa data to tylko zasada, ponieważ przepisy upoważniające Komisję Europejską do wydania aktów wykonawczych do przedmiotowego rozporządzenia już weszły w życie. Szczególna jest również sytuacja art. 6 tego rozporządzenia (dot. wzajemnego uznawania środków identyfikacji elektronicznej pomiędzy państwami członkowskimi w kontekście dostęp do usługi online świadczonej przez podmiot sektora publicznego), który ma zastosowanie trzy lata od dnia rozpoczęcia stosowania stosowanych aktów wykonawczych.

Na zakończenie daty dotyczące rozpoczęcia obowiązywania wspomnianych wyżej i już wydanych rozporządzeń wykonawczych:

  • Rozporządzenie wykonawcze nr 2015/806 określające specyfikacje dotyczące formy znaku zaufania UE dla kwalifikowanych usług zaufania (rozpoczęcie stosowania: 12.6.2015 r.),
  • Rozporządzenie wykonawcze nr 2015/1502 ws. ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej – dot. art. 8 ust. 3 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Rozporządzenie wykonawcze nr 2015/1501 ws. ram interoperacyjności – dot. art. 12 ust. 8 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Decyzja wykonawcza nr 2015/1506 ustanawiająca specyfikacje dotyczące formatów zaawansowanych podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych, które mają być uznane przez podmioty sektora publicznego – dot. art. 27 ust. 5 i art. 37 ust. 5 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Decyzja wykonawcza nr 2015/1505 ustanawiająca specyfikacje techniczne i formaty dotyczące zaufanych list – dot. art. 22 ust. 5 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Decyzja wykonawcza nr 2015/296 ustanawiająca proceduralne warunki współpracy między państwami członkowskimi w zakresie identyfikacji elektronicznej – dot. art. 12 ust. 7 rozporządzenia eIDAS (rozpoczęcie stosowania: 17.3.2015 r.).

Internet Rzeczy – raport prawny

Jakiś czas temu pisałem o moim referacie konferencyjnym „Perspektywy Internetu Rzeczy w świetle regulacji prawnych” (Warszawa, 14.10.2015). Przypominam o możliwości ściągnięcia tutaj bezpłatnego raportu prawnego dotyczącego przedmiotowej kwestii.

podziekowania

Dlaczego polski ustawodawca stawia na kwalifikowany podpis elektroniczny?

W ostatnich latach polski ustawodawca informatyzując podmioty publiczne jednoznacznie stawia na kwalifikowany podpis elektroniczny (pełna aktualna nazwa tego podpisu to: bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu).

Prawodawca wraca tym samym do początku okresu informatyzacji, czyli czasów sprzed dekady. Wtedy nic nie działało z tego zakresu, ponieważ ten rodzaj podpisu nie był zbyt popularny. Obecnie wciąż ten podpis nie jest upowszechniony na szeroką skalę. Wiem o rozporządzeniu eIDAS. Nowe prawo nie zmienia istoty rzeczy, gdyż przecież nie spowoduje wyposażenie każdego obywatela w taki podpis elektroniczny.

Przede wszystkim szkoda, że nie następuje większe czerpanie z rozwiązań w zakresie identyfikacji wykorzystywanych w bankowości internetowej, elektronicznym postępowaniu upominawczym lub przy zakładaniu przez Internet spółki z ograniczoną odpowiedzialnością. W wymienionych przypadkach nie ma wymogu posługiwania się kwalifikowanym podpisem elektronicznym.

O tyle jednak dobrze, że ustawodawca często dopuszcza jako alternatywę względem kwalifikowanego podpisu elektronicznego podpis potwierdzony profilem zaufanym ePUAP (elektroniczna Platforma Usług Administracji Publicznej), czyli całkowicie darmowy podpis. Jest to dobre rozwiązanie. Wydaje się nawet, że używanie podpisu ePUAP powinno być zasadą, a nie jedynie alternatywą. Zdaje sobie sprawę, że ePUAP ma szereg mankamentów. W mojej ocenie ma jednak potencjał do stania się popularnym narzędziem.

Unieważnienie Safe Harbor przez Trybunał Sprawiedliwości Unii Europejskiej

W sprawie C‑362/14 (Maximillian Schrems przeciwko Data Protection Commissioner) Trybunał Sprawiedliwości Unii Europejskiej orzekł nieważność Safe Harbor, która, w uproszczeniu ujmując, umożliwiała proste przesyłanie danych osobowych z państw członkowskich Unii Europejskiej do USA. A tymczasem na takim przesyłaniu danych, jak można przypuszczać, opiera się funkcjonowania sporej części, o ile nie wszystkich, usług Facebooka, Google, Apple i wielu innych portali i mediów. Sprawa ta zresztą dotyczyła wprost Facebooka, ale skutki dotkną wszystkich.

Nie należę do osób, które opowiadają się za silną ochroną danych osobowych, czemu kilkukrotnie dałem wyraz na niniejszym blogu. Jeśli ochrona ta przeszkadza w rozwoju technologicznym powinna zostać złagodzona. Ale stan prawny obecnie tego nie uwzględnia i daje absolutny priorytet ochronie danych osobowych. Tylko na marginesie wyjaśnię, że moje stanowisko wynika w szczególności z faktu, że istnieją tak duże możliwości wykorzystania nowych rozwiązań technologicznych w medycynie, w tym w zakresie e-zdrowia (zachęcam do przeczytanie moich postów na temat aplikacji zdrowotnych), iż prawo nie powinno stawiać bariery rozwojowych. Poza tym szerokie wykorzystywanie danych osobowych, zwłaszcza przez różnego typu aplikacje mobilne, znacząco poprawia wygodę codziennych czynności.

Jakie mogą być skutki orzeczenia?

Raczej amerykańscy giganci nie wycofają się z rynku europejskiego „na złość” organom unijnym. Albo tak ułożą biznes, że nie trzeba będzie przekazywać danych do USA, albo też znajdą inną drogę prawną ku takiemu przekazywaniu (jest nawet parę takich innych możliwości).

Obawiam się jednak, że może nastąpić odcięcie mieszkańców UE od nowoczesnych rozwiązań technologicznych, w tym bazujących na szeroko rozumianej sztucznej inteligencji, jak też z zakresu Internetu Rzeczy. Te rozwiązania muszą korzystać z danych osobowych, a jak nie będzie możliwości ich przetwarzania, to i rozwiązań nie będzie. Ewentualnie amerykańskie rozwiązania zaczną być stosowane w UE ze znacznym opóźnieniem.

Choć można też na problem patrzeć od tej strony, że rodzi się większe pole do działania dla firm europejskich, które będą mogły przeprowadzać w UE operacje na danych osobowych na znacznie lepszych warunkach niż firmy amerykańskie.

Pisanie rysikiem po tablecie

Wczaraj zaprezentowano nowe produkty Apple, m.in. Apple Pencil (dotąd roboczo określany „stylusem” lub bardziej swoijsko „rysikiem”). Służy on dosłownie do pisania po tablecie, stąd rodzi się kluczowe pytanie prawne czy dokument elektroniczny sporządzony „odręcznie” za pomoca Apple Pencil będzie miał formę pisemną w rozumieniu prawa cywilnego (o formie na gruncie kodeksu cywilnego pisałem tutaj)?

Wydaje się, że tak sporządzony dokument elektroniczny nie będzie mógł w świetle prawa zostać zakwalifikowany jako forma pisemna.

Zgodnie z kodeksem cywilnym, aby dokuement miał formę pisemną wystarczy, że zostanie podpisany włąsnoręcznie. Treść dokumentu może zatem zostać sporządzona na komputerze i wydrukowana, ale jeśli ten dokument zostanie własnoręcznie podpisany to ma formę pisemną. Pomimo, że dokument elektroniczny też można podpisać własnoręcznie jeśli używa się rysika i tabletu, to jednak wtedy nie będzie to forma pisemna, co wynika z tego, że art. 78 § 2 kodeksu cywilnego z formą pisemną zrównuje jedynie oświadczenia elektroniczne opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu. Dlatego jedynie wtedy dochodzi do zrównania oświadczenia elektronicznego z formą pisemną.

Na koniec jeszcze dwie kwestie. Forma pisemna niekoniecznie musi być na papierze, ale jak się okazuje musi być na nośniku materialnym. Przedstawiony problem nie dotyczy tylko Apple Pencil, który nie jest jeszcze dostępny, lecz każdego rodzaju rysika i tabletu.

Głosowanie w wyborach przez Internet

Podczas konferencji i spotkań naukowych wielokrotnie słyszałem, że choć od strony technicznej istnieje możliwość stworzenia bezpiecznego systemu  pozwalającego na głosowanie w wyborach przez Internet (tzw. e-głosowanie lub e-wybory), ale nikt nie jest tym zainteresowany z uwagi na nieprzewidywalność wyniku tak urządzonych wyborów. Niby nie wiadomo kto poszedłby wtedy głosować, a kto nie. Uważam, że takie obawy są nie tylko bezcelowe, ale też bezpodstawne. Przecież nigdy nie będzie tak, że wszyscy będą głosować przez Internet. Oczywiste jest, że e-wybory nie miałyby zastąpić tradycyjnego głosowania, lecz je uzupełniać. Przypuszczam, że większość i tak wybrałaby papierowe wybory, stąd nie byłaby to zmiana rewolucyjna. Fakt, że nie wszyscy głosowaliby elektronicznie również nie stanowi argumentu przeciwko takiemu rozwiązaniu. Warto wprowadzić możliwość e-głosowania nawet dla niewielkiego procentu uprawnionych.

Techniczny problem z e-wyborami sprowadza się do pogodzenia potrzeby tajności (tj. aby nie było wiadomo jak kto głosował) z koniecznością zachowania jednokrotności głosowania (tj. aby każdy oddał tylko jeden głos, co z kolei wymaga zidentyfikowania kto głosował). Zatem z jednej strony trzeba zidentyfikować osobę głosującą, a z drugiej uniemożliwić ustalenie jak głosowała. Rozerwanie tych informacji nie jest proste w przestrzeni wirtualnej. W zwykłej urnie karty do głosowania mieszają się i przez to nie wiadomo od kogo pochodzą. Gdyby chcieć analogicznie wymieszać głosy w cyberprzestrzeni to straciłby one wiarygodność – nikt nie zagwarantowałby im bezpieczeństwa. Dlatego na potrzeby e-wyborów konieczny jest bardziej wyrafinowany mechanizm. Modele matematyczne dostarczają jednak gotowych rozwiązań w tym zakresie. Niektóre są nawet już stosowane w praktyce w branżach wymagających szyfrowania.

Jestem za wprowadzeniem e-głosowania. Mobilność obywateli stanowi tutaj wystarczający argument. Nie chodzi przecież o brak chęci do zrobienia kilku kroków do lokalu wyborczego, ale o okoliczności, że dla niemałej części uprawnionych do głosowania wymaga to pokonania nierzadko dziesiątek lub setek kilometrów. Dochodzą do tego sytuacje osób, które rzeczywiście nie mogą opuścić domu, przykładowo z powodów zdrowotnych. Wszystkim tym problemom można zaradzić również przy papierowym głosowaniu. I tak się robi, lecz wymaga to dokonania tak wielu czynności w urzędach, że wyborcy zaczynają się zastanawiać czy w ogóle warto podejmować trud w myśl przekonania, że jeden głos nic nie zmieni. Poza tym nawet uzyskanie informacji co należy zrobić nie jest proste.

Dodać należy, że w Polsce coraz więcej podmiotów publicznych wykorzystuje komunikację elektroniczną. Niemały obszar sądownictwa jest już zinformatyzowany. Funkcjonuje elektroniczna Platforma Usług Administracji Publicznej. Podatki można rozliczyć online. Działalność gospodarczą i niektóre spółki można zarejestrować przez Internet nie wychodząc z domu. Zdaję sobie sprawę, że nie wszystko z wymienionych działa wyśmienicie. Chcę jedynie pokazać, że e-wybory nie byłyby jakimś ewenement informatycznym w funkcjonowaniu podmiotów publicznych.

Na zakończenie jedna, chyba kluczowa, uwaga – nie rozumiem dlaczego niedawno zdecydowano się wprowadzić skomplikowane i kłopotliwe rozwiązania związane z elektroniczną rejestracją wyborców i głosowaniem korespondencyjnym (przez pocztę), a odrzucono najprostszą możliwość, czyli głosowanie przez Internet. Skoro już postanowiono wyjść naprzeciw potrzebom części uprawnionych do głosowania, to można było pójść w kierunku e-wyborów. Ciekawe zresztą czy środki wyłożone na wspomnianą rejestrację i głosowanie pocztowe nie wystarczyłby na stworzenie systemu do e-głosowania?

O formie elektronicznej i rozporządzeniu eIDAS

Niedługo nastąpią dwie istotne zmiany dotyczące obrotu elektronicznego, związane w szczególności, ale nie tylko, z dokumentami elektronicznymi i podpisem elektronicznym:

  1. wejdą w życie przepisy zmieniające polski kodeks cywilny w zakresie formy czynności prawnych (tj. ustawa z dnia 10.7.2015 o zmianie ustawy – Kodeks cywilny, ustawy – Kodeks postępowania cywilnego oraz niektórych innych ustaw),
  2. rozpocznie się stosowane unijnego rozporządzenia eIDAS (tj. rozporządzenia nr 910/2014 z 23.7.2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym).

Wskazane regulacje są już uchwalone, a jedynie mają odroczoną w czasie chwilę wejście w życie. Zarówno w przypadku polskiej ustawy, jak i unijnego rozporządzenie rozpoczęcie stosowania poszczególnych przepisów jest rozłożone na kilka lat. Kluczowe przepisy zaczną jednak obowiązywać w połowie 2016 roku.

Obie regulacje mogą sporo zmienić, ale raczej nie będą to zmiany rewolucyjne, lecz ewolucyjne. Przede wszystkim mogą skutkować nowym sposobem interpretacji przepisów. Gdyby literalnie odczytywać dotychczasowe przepisy to nie są one całkowicie nieadekwatne do realiów cyberprzestrzeni. Jednak są one najczęściej interpretowane tak, aby umniejszać znaczenie narzędzi informatycznych.

Biorąc pod uwagę obecny stan rzeczy, wydaje się, że w krótkim okresie czasu największe znaczenie mogą mieć zmiany w polskim kodeksie cywilnym i to im głównie poświęcę niniejszy wpis.

Od razu wyjaśniam jedną rzecz, o którą w ostatnich miesiącach byłem pytany wielokrotnie – mianowicie kwestia zachowania formy pisemnej przy komunikacji elektronicznej. Niektóre przepisy wymagają, aby umowa była zawarta w formie pisemnej. I tutaj jednoznacznie wskazuję: przesłanie wiadomości SMS lub skanów papierowych dokumentów, to nie jest forma pisemna.

Z zasady, aby to co jest w postaci elektronicznej miało formę pisemną, konieczne jest opatrzenie tego bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu. Jedynie czasami ustanawiane są wyjątki, które zrównują z formą pisemną dokumenty nie opatrzone takim podpisem. Przykładem może być prawo telekomunikacyjne, gdzie w art. 56 ust. 2 wskazano, że umowę o świadczenie usług telekomunikacyjnych można zawszeć albo w formie pisemnej, albo formie elektronicznej za pomocą formularza udostępnionego na stronie internetowej dostawcy usług.

Nowe regulacje kodeksu cywilnego ustanawia wprost dwie formy:

  1. formę elektroniczną,
  2. oraz formę dokumentową.

Aby była forma elektroniczna konieczne będzie opatrzenie oświadczenia właśnie bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu. Wtedy takie oświadczenie będzie równoważne z oświadczeniem woli złożonym w formie pisemnej. Identycznie jest obecnie – różnica jest jedynie taka, że aktualne przepisy nie ustanawiają autonomicznej formy elektronicznej (nie posługują się tym pojęciem).

Z kolei całkowitą nowością jest forma dokumentowa. Do jej zachowania wystarczać będzie złożenie oświadczenia woli w postaci dokumentu w sposób umożliwiający ustalenie osoby składającej oświadczenie. Czyli w zasadzie wszystko mające postać elektroniczną i zawierające informację o autorze będzie formą dokumentową. Rozwieje te szereg wątpliwości jak kwalifikować prawnie te co dzieje się w Internecie. Ma to sens, ponieważ aktualnie mamy tylko dwie formy czynności prawnych – formę pisemną i ustną. W efekcie, np. e-mail, który nie jest opatrzony bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu, a tym samym nie ma formy pisemnej, powinien zostać zaliczony do formy ustnej, co jest z kolei nieracjonalne.

Wydaje się jednak, że siatka pojęciowa kodeksu cywilnego powinna zostać dostosowana do tej używanej przez rozporządzenie eIDAS. Nie ma w nim mowy o „bezpiecznym podpisem elektronicznym” i „bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu”, ale o „zaawansowanym podpisie elektronicznym” i „kwalifikowanym podpisie elektronicznym”. „Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu”, o jakim mowa w nowych regulacjach kodeksu cywilnego, to „kwalifikowany podpis elektroniczny” w rozumieniu rozporządzenia eIDAS.

Jeśli interesujesz się rozporządzeniem eIDAS kliknij poniżej w tag eIDAS, aby zapoznać się z pozostałymi wpisami na ten temat.