Drugi profil zaufany

Niedawno ponownie wyrobiłem profil zaufany ePUAP, ponieważ dotychczasowy wygasł (po 3 latach). Niezbyt sensowne jest to rozwiązanie z wygasaniem. I co ciekawe, jak mi się wydaje, nie ma żadnego umocowania prawnego. Jednak w przypadku certyfikatu związanego ze „zwykłym” podpisem elektronicznym w elektronicznym postępowaniu upominawczym jest podobnie – również wygasa, ale już po roku. Także nie ma to podstawy prawnej. Warto podkreślić, że odnośnie do elektronicznego postępowania upominawczego sytuacja jest jeszcze bardziej intrygująca. Nie tylko nie ma podstawy prawnej wygasania, lecz również sam wymóg posługiwania się certyfikatem nie ma podstaw prawnych.

Celowość wygasania profilu zaufanego ePUAP

Wracając jednak do rzeczy, czyli wygasania profilu zaufanego i jego ponownego wyrabiania (lub przedłużania).  Domyślam się, że z punktu widzenia technicznego wygasania jest istotne z uwagi na dbałość o „niezaleganie” w systemie nieużywanych kont. Jest to jednak argument całkowicie nieprzystający do roli jaką ma odgrywać profil zaufany i ePUAP. Zwłaszcza w sytuacji kiedy założenie online profilu wymaga czynności potwierdzającej. Jednocześnie trzeba mieć na uwadze, że przeciętny obywatel na szczęście nie musi kilka razy w roku kontaktować się z podmiotami publicznymi. Kontakty te są zazwyczaj bardzo rzadkie, stąd jedynie trzyletni okres ważności profilu zaufanego może uczynić z niego instrument kompletnie nieadekwatny do potrzeb. Z zasady każdy obywatel powinien mieć profil zaufany. Najlepiej jakby już przy wydawania dowodu osobistego profil ten był automatycznie zakładany i potwierdzany.

Profil zaufany od strony wizualnej

Na marginsiecie jedynie wspomnę, że w czasie odwiedzin urzędu w celu aktywacji konta w zakresie identyfikacji wizualnej nie posługiwano się nigdzie symbolem eGO, lecz wciąż używano nazwy profil zaufany. Również na witrynach internetowych eGO wspominany jest tylko „przy okazji”.

Przy okazji wizyty na stronie ePUAPu dostrzegłem, że strona ta pod względem informacyjnym jest mocno nieaktualna. Wciąż posługuje się pojęciem „bezpieczny podpis elektroniczny weryfikowany ważnym kwalifikowanym certyfikatem”. Wygląda to tak jakby nie uwzględniono rozpoczęcia stosowania rozporządzenia eIDAS, zaś wciąż obowiązywałaby polska ustawa o podpisie elektronicznym. Aktualna jest chyba (całej nie przeglądałem) witryna profilu zaufanego, przy czym ta aktualność związana jest głównie z mniejsza ilością informacji. Co jednak najważniejsze, oba portale są mało klarowne. Przede wszystkim powinien nastąpić podział na informacje dla użytkowników „zwykłych” i „zaawansowanych”. Dla zwykłego użytkownika większość informacji o profilu zaufanym jest nieprzydatna, a jedynie zaciemnia jasność przekazu informacyjnego. Założenie profilu zaufanego jest banalnie proste i nie ma potrzeby zamieszczać na pierwszym planie informacji, które są zrozumiałe w gruncie rzeczy jedynie przez administratorów systemów.

Koncepcja jest ok, wykonanie gorzej

Niezależnie od powyższego, jestem zwolenikiem profilu zaufanego. Koncepcja jest według mnie bardzo dobra. Uniwersalny system identyfikacji dla wszystkich usług publicznych jest potrzebny. Co więcej, system darmowy i z relatywnie prostym mechanizmem aktywacji.

eGO

Kilka słów tytułem wyjaśnienia. Ministerstwo Cyfryzacji postanowiło zastąpić wyrażenie „profil zaufany” słowem eGO. Nie wiadomo jednak co ma oznaczać taka zmiana? Czy nowa nazwa zostanie wprowadzona do aktów prawnych? Czy też może eGO ma być jedynie nazwą projektową i potoczną? Pojęciem prawnym pozostać miałby zaś profil zaufany? Nie jest dla mnie też jasne czy eGO ma zastąpić całą nazwę „profil zaufany ePUAP”, czy też jedynie „profil zaufany”? A zastąpione ma zostać sformułowanie „podpis potwierdzony profilem zaufanym ePUAP”.

Urzędowa strona internetowa poświęcona profilowi zaufanemu nie eksponuje nazwy „profil zaufany ePUAP”, lecz „profil zaufany”. Strona ta funkcjonuje od niedawna, ale ukazuje wyraźnie zamierzenie rozdzielania ePUAPu i profilu zaufanego. Wyjaśnię przy tym, że art. 3 pkt 14 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne zawiera definicję legalną „profilu zaufanego ePUAP”. Zatem to ostatnie pojęcie jest najwłaściwsze. Przywołany przepis stanowi, że „profil zaufany ePUAP” to zestaw informacji identyfikujących i opisujących podmiot lub osobę będącą użytkownikiem konta na ePUAP, który został w wiarygodny sposób potwierdzony przez właściwy organ.

Profil zaufany ePUAP w najnowszych aktach prawnych

W ostatnim czasie regulacje związane z profilem zaufanym zostały podane lekkiemu liftingowi w związku z uchwaleniem polskiej ustawy dostosowującej prawo polskiego do unijnego rozporządzenia eIDAS (zob. m.in. mój wpis: ”Polska ustawa o usługach zaufania”). Nie były to zmiany głęboko merytoryczne. Raczej redakcyjne. Niemniej akurat w przypadku profilu zaufanego można doszukać się w nowelizacji roztrzygnięcia istotnej kwestii dotyczącej profilu zaufanego ePUAP. Mianowicie, że podpis potwierdzony profilem zaufanym ePUAP to podpis elektroniczny, a konkretnie „zwykły” podpis, czyli ani nie zaawansowany, ani nie kwalifikowany.  Wynika to z nowego brzmienia art. 3 pkt 15 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.

eGO w prawie

Nazwa „profil zaufany” nie była doskonała. Wprawdzie już się z nią oswoiłem, to jednak w chwili jej powstania kilka lat temu również wydawała mi się niezbyt dobra jako mało zrozumiała. Dziś jednak uważam, że jest nawet dość adekwatna. Zwłaszcza po wyraźnym rozdzieleniu ePUAPu od profilu zaufanego ePUAP. Jednak w przepisach prawnych ta nazwa „trzeszczy”. Regulacje posługują się długą i niezrozumiałą konstrukcją słowną „podpisu potwierdzonego profilem zaufanym ePUAP”. Zastąpienie tego przydługiego wyrażenia czymś bardziej jasnym byłoby pożądane. Ciekawe tylko czy byłaby to zmiana na podpis potwierdzony eGO, czy też byłoby powiedziane o komunikacji za pośrednictwem eGO bez wskazywania na podpis?

Dlaczego polski ustawodawca stawia na kwalifikowany podpis elektroniczny?

W ostatnich latach polski ustawodawca informatyzując podmioty publiczne jednoznacznie stawia na kwalifikowany podpis elektroniczny (pełna aktualna nazwa tego podpisu to: bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu).

Prawodawca wraca tym samym do początku okresu informatyzacji, czyli czasów sprzed dekady. Wtedy nic nie działało z tego zakresu, ponieważ ten rodzaj podpisu nie był zbyt popularny. Obecnie wciąż ten podpis nie jest upowszechniony na szeroką skalę. Wiem o rozporządzeniu eIDAS. Nowe prawo nie zmienia istoty rzeczy, gdyż przecież nie spowoduje wyposażenie każdego obywatela w taki podpis elektroniczny.

Przede wszystkim szkoda, że nie następuje większe czerpanie z rozwiązań w zakresie identyfikacji wykorzystywanych w bankowości internetowej, elektronicznym postępowaniu upominawczym lub przy zakładaniu przez Internet spółki z ograniczoną odpowiedzialnością. W wymienionych przypadkach nie ma wymogu posługiwania się kwalifikowanym podpisem elektronicznym.

O tyle jednak dobrze, że ustawodawca często dopuszcza jako alternatywę względem kwalifikowanego podpisu elektronicznego podpis potwierdzony profilem zaufanym ePUAP (elektroniczna Platforma Usług Administracji Publicznej), czyli całkowicie darmowy podpis. Jest to dobre rozwiązanie. Wydaje się nawet, że używanie podpisu ePUAP powinno być zasadą, a nie jedynie alternatywą. Zdaje sobie sprawę, że ePUAP ma szereg mankamentów. W mojej ocenie ma jednak potencjał do stania się popularnym narzędziem.

Prawne aspekty czynności bankowych

W nawiązaniu do poprzednich wpisów o BLIKu (tego i tego), kończąc póki co ten temat, kilka słów o prawnych aspektach bankowości. Nie trzeba nikogo przekonywać, że bankowość internetowa jest w Polsce rozwinięta w wysokim stopniu. Jest tak m.in. wskutek dość nierestrykcyjnego prawa co do elektronicznej formy czynności bankowych. Miarodajny są w tym przedmiocie przepisy art. 7 Prawa bankowego.

Przede wszystkim prawo bankowe nie wymaga posługiwania się bezpiecznym podpisem elektronicznym weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu.

Gdyby taki wymóg istniał, to z całą pewnością można przyjąć, że bankowość elektroniczna nie byłaby tak powszechna jak dziś. Najlepszym argumentem w tym zakresie jest fakt, że początkowo wszelkie rozwiązania umożliwiające komunikację drogą elektroniczną z urządmi i sądami wymagały posługiwania się takim podpisem. Efekt był taki, że nic nie działało. Postęp nastąpił dopiero po ustanoiwieniu e-sądu (gdzie nie jest wymagany zawansowany podpis elektroncizny) i stworzeniu podpisu potwierdzonego profilem zaufenym ePUAP jako alterentywy względem bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy ważnego kwalifikowanego certyfikatu.