Niedługo nadejdzie 1 lipca 2016 r., a wraz z nim obowiązywanie eIDAS. Data ta nie jest jedynym terminem rozpoczęcia stosowania rozporządzenie eIDAS. Część przepisów już obowiązuje, a niektóre zaczną dopiero 29 września 2018 r. Ten ostatni termin związany jest z systemami identyfikacji elektronicznej. Dotyczy wprowadzenia zasady obligującej do wzajemnego uznawania przez państwa notyfikowanych systemów identyfikacji elektronicznej. Dzień 1 lipca 2016 r. jest datą zasadniczą dla usług zaufania.
W gruncie rzeczy nowe prawo unijne stanowi jedynie ramy prawne dla narzędzi informatycznych. Aby były one użyteczne konieczne jest ustanowienie w prawie krajowym konkretnych zachęt. W szczególności powinno dojść co zrównania skutków prawnych usług zaufania z dotychczas stosowanymi rozwiązaniami. W odmiennym razie usługi zaufania będą zwiększały bezpieczeństwo biznesowe i informatyczne, ale nie poprawią sytuacji prawnej danego podmiotu. Wszystko wskazuje, że polski ustawodawca przypisze konkretne skutki prawne jedynie kwalifikowanemu podpisowi elektronicznemu. Nie będzie to jednak nowość, lecz kontynuacja obecnego stanu rzeczy.
Obowiązywanie eIDAS a dawne rozwiązania
Rozpoczęcie stosowania rozporządzenia eIDAS nie oznacza likwidacji narzędzi dotychczas używanych na rynku. Przeciwnie, nowe prawo podtrzymuje ich działanie i stwarza podstawy do metamorfozy zgodnej z nowymi regulacjami. Ustanowiono zasadę ciągłości. Kwalifikowane certyfikaty wydane na mocy starego prawa będą uznawane za kwalifikowane certyfikaty podpisów elektronicznych w rozumieniu eIDAS. Jednak nie bezterminowo, a jedynie do czasu ich wygaśnięcia. Po tym okresie ich odnowienie powinno dokonać się już na nowych zasadach.
Zapewniono również ciągłość funkcjonowania dotychczasowych podmiotów świadczący usługi certyfikacyjne. Do czasu przekazania raportu z oceny zgodności i zakończenia oceny przez organ nadzoru będą uważane za kwalifikowanych dostawców usług zaufania w rozumieniu eIDAS. Niezłożenie wspomnianego raportu spowoduje, że z dniem 2 lipca 2017 r. podmioty te stracą jednak taki status.
Prawdopodobnie zasada ciągłości znajdzie swój wyraz również w polskiej ustawie. Planuje się wprowadzenie przepisu stanowiącego, że tam gdzie wymaga się kwalifikowanego podpisu elektronicznego dopuszcza się użycie dotychczasowego bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy kwalifikowanego certyfikatu. Oczywiście takie uregulowanie bezpośrednio wiąże się z utrzymaniem ważności starych certyfikatów.
eIDAS a prawo polskie
Polski ustawodawca prawdopodobnie nie zdąży do czasu rozpoczęcia stosowania rozporządzenie eIDAS uchwalić ustawy dostosowującej prawo krajowe. Pracę nad polską ustawą o usługach zaufania i identyfikacji elektronicznej są jednak dość intensywne. Nie można zatem wykluczyć, że jednak będzie na czas. Uniknięto by wtedy chaosu prawnego. Przede wszystkim ułatwiłoby to działanie polskim dostawcom usług zaufania. Do czasu uchwalenie ustawy ich sytuacja biznesowa nie będzie w pełni jasna.
W nowej ustawie nie podoba mi się przede wszystkim jej tytuł. Powinien korespondować z rozporządzeniem eIDAS, a nie być jego odwrotnością. Kształt tytułu polskiej ustawy może okazać się niestety symboliczny. Wyjdzie na to, że unijny prawodawca wysuwa na pierwszy plan systemy identyfikacji elektronicznej. Są one pierwsze w tytule rozporządzenie eIDAS. Natomiast polski ustawodawca woli usługi zaufania, gdyż to one będą pierwsze w nazwie ustawy.
Wyliczyłem, że polska ustawa zmieni ponad 70 innych ustaw. Sporo. Niestety większość tych zmian ma charakter jedynie nazewniczy. Wprowadza się pojęcie kwalifikowanego podpisu elektronicznego w miejsce bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem.
Niepokoi, że polski ustawodawca uregulował jedynie trzy kwalifikowane usługi zaufania, a resztą pominął. Mianowicie polska ustawa będzie mówiła wprost o kwalifikowanym podpisie elektronicznym, kwalifikowanej pieczęci elektronicznej i kwalifikowanych elektronicznych znacznikach czasu. Jednak nawet w tak wąskim obszarze nie skorzystano w pełni z możliwości przez te usługi oferowane. Zwłaszcza nie uczyniono z pieczęci elektronicznej bardziej użytecznego rozwiązania poprzez przypisanie jest konkretnych skutków prawnych. Również dość ograniczone zastosowanie miałby mieć zaawansowany podpis elektroniczny. Przede wszystkim skupiono się na kwalifikowanym podpisie elektronicznym, co niebezpiecznie upodobnia nowe prawo do starego pod względem użyteczności.