Polska ustawa o usługach zaufania

Po dwóch miesiącach od rozpoczęcia stosowania unijnego rozporządzenie eIDAS polski ustawodawca uchwalił krajowe przepisy uzupełniające i przystosowujące prawo polskie do unijnego. Ustawa o usługach zaufania ostatecznie weszła w życie 7.10.2016. Pełna tytuł nowego aktu prawnego to „ustawa o usługach zaufania oraz identyfikacji elektronicznej”.  W niniejszym wpisie będę posługiwał się jednak skróconą nazwą („ustawa o usługach zaufania”). Na marginesie jedynie wskażę, że kwestia skonstruowania tytułu polskiej ustawy jest bardzo ciekawa. Nie powtórzono wprost nazwy unijnego rozporządzenia eIDAS, lecz odwołując się do dwóch kluczowych elementów tego rozporządzenia (identyfikacja elektroniczna i usługi zaufania), odwrócono ich kolejność. W rozporządzeniu eIDAS wpierw mowa o identyfikacji elektronicznej, z kolei polski ustawodawca rozpoczął od usług zaufania.

Znaczenie nowego prawa

Polska ustawa o usługach zaufania zawiera 49 głównych artykułów. Pozostałe regulacje to przepisy przejściowe i zmieniające inne akty prawne. Nowe prawo nie jest zatem ani szczególnie krótkie, ale też nie jest wyjątkowo długie. Jego objętość została znacznie zmniejszona względem pierwotnych projektów legislacyjnych.

Ustawa o usługach zaufania jest istotna przede wszystkim dla dostawców usług zaufania. Użytkownik usług zaufania i systemów identyfikacji elektronicznej nie znajdzie w niej ważnych dla siebie kwestii (poza przepisami karnymi, o czym w kolejnym akapicie), ponieważ te są ustanowione na szczeblu prawa unijnego. Oczywiście, dla użytkownika ustawa o usługach zaufania ma pośrednie znaczne. Bez należytej regulacji funkcjonowania dostawców usług zaufania i odpowiednich uregulowań dla notyfikowanych systemów identyfikacji elektronicznej, nie mógłby on korzystać z tych rozwiązań.

Dla użytkowników usług zaufania ważnym elementem nowej ustawy są jednak regulacje karne. W art. 40 i kolejnych przepisach tej ustawy wskazano, w szczególności, że karalne jest składanie kwalifikowanego lub zaawansowanego podpisu elektroniczny z wykorzystaniem danych do składania podpisu elektronicznego przyporządkowanych do innej osoby. Podobnie w przypadku składania, nie będąc do tego uprawnionym, kwalifikowanej lub zaawansowanej pieczęci elektronicznej. Za czyny takie grozi grzywna, kara ograniczenia wolności lub pozbawienia wolności do lat 3. Takim samym karom podlega także ten, kto dopuszcza się tych czynów, działając w imieniu lub w interesie innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej.

Zmiany w innych ustawach

Patrząc od strony porządku legislacyjnego najważniejszą zmianą jest formalne uchylenie w całości dotychczasowej ustawy o podpisie elektronicznym. W ślad za tym wprowadzono do polskich ustaw pojęcie „kwalifikowanego podpisu elektronicznego” w miejsce „bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem”. Do zaawansowanego podpisu elektronicznego odwoływano się we wprowadzanych zmianach niezmiernie rzadko. Profesjonalna komunikacja elektroniczna w Polsce opiera się wciąż przede wszystkim na kwalifikowanym podpisie elektronicznym. Ustawa o usługach zaufania nie wprowadza jednak zmian rewolucyjnych w porównaniu z dotychczasowym prawem.

Ustawa o usługach zaufania – obowiązywanie

Jak wskazano na wstępie, ustawa o usługach zaufania weszła w życie 7.10.2016. Trzeba jednak dodać, że kilka przepisów wejdzie w życie dopiero 29.9.2018 r. Są to regulacje związane z notyfikowanymi środkami (systemami) identyfikacji elektronicznej. Polska ustawa o usługach zaufania koresponduje w tym zakresie z unijnym rozporządzeniem eIDAS, gdzie również odsunięto w czasie stosowanie części regulacji dotyczących identyfikacji elektronicznej.

Krajowe i transgraniczne skutki rozporządzenia eIDAS

Prawne skutki rozporządzenia eIDAS (unijnego rozporządzenia 910/2014) można rozpatrywać w różnych aspektach. Uważam, że kluczowy, choćby dla zrozumienia istoty eIDAS, jest podział na skutki krajowe i transgraniczne. Choć taki podział nie rzuca się od razu w oczy, to w istocie stanowi stanowi sedno całego rozporządzenia eIDAS. Chodzi zarówno o skutki rozporządzenia eIDAS co do identyfikacji elektronicznej, jak też usług zaufania. Na marginesie warto przypomnieć, że rozpoczęcie stosowania rozporządzenia eIDAS przypada na dzień 1.7.2016 r.

Przede wszystkim rozporządzenie eIDAS traktuje o skutkach na płaszczyźnie transgranicznej. To tutaj będą one bezpośrednio odczuwalne. Efektywność regulacji w tym zakresie nie jest uzależniona od państw członkowskich Unii Europejskiej. Odmiennie zaś w przypadku skutków krajowych. Można sobie wyobrazić wariant, w którym dane państwo członkowskie pozbawia faktycznej skuteczności części rozporządzenia w sprawach wewnętrzny. Byłoby to wprawdzie sprzeczne z interesem tego państwa, ale nie jest wykluczone. Oznaczałoby niewykorzystanie szansy w zakresie cyfryzacji, stwarzanej przez przedmiotowe rozporządzenie. Nadto oddałoby krajowy rynek podmiotom zagranicznym, które korzystaąć mogą z transgranicznej skuteczności eIDAS.

Choć nie ma możliwości absolutnego i całkowitego pozbawienia skuteczności prawnej w sprawach o wyłącznie wewnątrzkrajowym charakterze. Niemniej można w tym zakresie zdegradować eIDAS do podobnej roli jaką obecnie odgrywa ustawa o podpisie elektronicznym (implementująca zresztą unijną dyrektywę). Kolokwialnie ujmując – roli dość mizernej. Takie rozwiązanie byłoby jednak nie tylko zniszczeniem potencjału rozporządzenia eIDAS. Doszłoby zapewne do zmarnowania także  środków. Pewne nakłady będą musiały i tak zostać poniesione przez podmioty prywatne i publiczne na zapewnienie transgranicznej skuteczności rozporządzenia eIDAS na terytorium Polski. Na marginesie dodam, że nie chcę w tym miejscu wnikać w ocenę prawną obecnej ustawy o podpisie elektronicznym. Chcę jedynie zwrócić uwagę, że w praktyce narzędzia ustanowione w tej ustawie znajdują niezmiernie rzadkie zastosowanie. Ograniczając się do sytuacji, w których polski ustawodawca narzucił obowiązek posługiwania się nimi. W szczególności dotyczy to używania bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem.

Transgraniczne skutki eIDAS sprowadzają się do akceptowalności i dopuszczalności posługiwania się rozwiązaniami technologicznymi opisanymi w rozporządzeniu eIDAS, a pochodzącymi z innych państw członkowskich, we wszystkich innych państwach członkowskich Unii Europejskiej. Skutki krajowe to z kolei przypisanie do rozwiązań technologicznych konkretnych skutków prawnych. Konkretnych, czyli takich, które wskażą jaka jest konkretna moc prawna skorzystania z tych rozwiązań. Czy inaczej przedstawiając – w jaki sposób ta moc prawna będzie szczególna wobec skorzystania ze zwykłej komunikacji elektronicznej, jak choćby wysłania normalnego e-maila. Rozporządzenie eIDAS tylko w niewielkim zakresie określa te skutki (jeden wskazuje w kolejnym akapicie). Co do reszty sprawa jest otwarta dla poszczególnych państw członkowskich.

Oczywiście skutki krajowe i transgraniczne są ze sobą w swoisty sposób powiązane, ponieważ jeśli nie ma tych pierwszych, to poza skutkami wprost statuowanymi w rozporządzeniu (jak w przypadku zrównania kwalifikowanego podpisu elektronicznego z podpisem własnoręczny, o czym w art. 25 ust. 2 rozporządzenia eIDAS), nie mają racji bytu skutki transgraniczne.

W kontekście nieodległego wejścia w życie przedmiotowego rozporządzenia eIDAS i prawdopodobnie niedopełnienia przez Polskę w odpowiednim czasie stosownych czynności, w tym legislacyjnych, wyłania się również kwestia efektów opóźnienia. Jak wspomniano powyżej, na gruncie wyłącznie krajowym, skutkiem będzie przede wszystkim marnotrawstwo potencjału. Z kolei w odniesieniu do transgraniczności, konsekwencje niedochowania terminu nie są w pełni jasne. Wprawdzie można precyzyjnie wskazać sankcje związane z niestosowaniem przez państwo członkowskie prawa unijnego, to jednak wyciąganie konsekwencji w nieodległym czasie nie wydaje się prawdopodobne co najmniej z dwóch względów.

Po pierwsze, nieprzestrzeganie prawa unijnego, a zwłaszcza nieimplementowanie na czas prawa unijnego, jest relatywnie częstym zjawiskiem. Szczerze mówiąc, to nie jestem nawet sobie w stanie na szybko przypomnieć jakiekolwiek unijnego aktu prawnego z mojej działki prawnej, który byłby w Polsce stosowany „od razu”. Czyli tak, aby dostosowanie prawa polskiego nie było opóźnione.

Po drugie wreszcie, co ważniejsze, opóźnienie akurat w przypadku eIDAS dość łatwo racjonalnie uzasadnić. Przedmiot tego aktu prawnego jest na tyle technicznie skomplikowany i wymagający współdziałania wielu podmiotów, w tym prywatnych i publicznych, że nakreślenie odpowiedniej argumentacji służącej usprawiedliwieniu opóźnienia nie byłoby zadaniem trudnym. Ponadto niewykluczone, że również inne państwa członkowskie będą w podobnej sytuacji jak Polska. Wydaje się nawet, że inne kraje wskutek znacznie bardziej zaawansowanej cyfryzacji, paradoksalnie, będą bardziej narażone na zarzuty w przedmiotowym zakresie. Innymi słowy, ogólne opóźnienie technologiczne Polski, w szczególności na gruncie informatyzacji podmiotów publicznych, stanowi mocny argument za opóźnianym akceptowaniem transgranicznych skutków rozporządzenia eIDAS.

Czy zatem rozporządzenia eIDAS zrewolucjonizuje komunikację elektroniczną? Nie jest to wykluczone, ale raczej nie nastąpi to 1.7.2016. Nie jest też pewne czy nastąpi później. Jednak prawdopodobne jest również, że bez efektywnego wykorzystania możliwości stwarzanych przez eIDAS nie uda się w dłuższej perspektywie istotnie zwiększyć stopnia cyfryzacji obrotu gospodarczego.

Prawo polskie w świetle rozpoczęcia stosowania eIDAS

Wczoraj pisałem o 1.7.2015 jako zasadniczej dacie wejścia w życie rozporządzenia eIDAS. Data to powinna również wiązać się ze zmianami w prawie polskim. Dotyczy to zwłaszcza uchylenia lub dokonania radykalnych zmian w polskiej ustawie o podpisie elektronicznym. W zasadzie zmianie powinna ulec każda ustawa posługująca się pojęciem bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy kwalifikowanego certyfikatu. Zmiany nie zamykają się jednak na kwestii nazewnictwa podpisu elektronicznego.

Pojawia się pytanie co się stanie jeśli polski ustawodawca nie dokonana zmian legislacyjnych na czas? Głównym efektem byłby chaos prawny, ponieważ z jednej strony będzie rozporządzenie eIDAS, a z drugiej niedostosowane do niego prawo polskie. Przede wszystkim zwracam uwagę, że niedostatki prawa polskiego nie czynią nieskutecznym prawa unijnego.

Nowe prawo na szczeblu Unii Europejskiej dotyczące podpisu elektronicznego przybrało formę „rozporządzenia”. Taki akt jest bezpośrednio skuteczny. Nie trzeba go implementować do prawa krajowego. Prawo polskie należy co najwyżej zmienić tak, aby było z nim zgodne. Jeśli będzie sprzeczność, zawsze pierwszeństwo w stosowaniu będzie miało prawo Unii Europejskiej. Opóźnienie polskiego ustawodawcy nie wstrzyma stosowania prawa unijnego, ale jedynie uczyni stan prawny niejasnym, ponieważ nie będzie wiadomo, który przepisu prawa polskiego obowiązuje, a który już nie (z powodu sprzeczności z prawem unijnym).

Kiedy wejdzie w życie eIDAS?

Kilkukrotnie wspominałem na blogu o rozporządzeniu eIDAS, czyli krótko ujmując: o nowym prawie dotyczącym podpisu elektronicznego.

Przede wszystkim należy wyjaśnić, że prawo unijne zawsze posługuje się dwoma datami:

  • datą wejścia w życie,
  • datą rozpoczęcia stosowania.

Ta pierwsza data jest najczęściej nieistotna. Kluczowa jest ta druga data. Zgodnie z art. 52 ust. 2 rozporządzenia eIDAS (nr 910/2014) jest to 1.7.2016 r.

Reasumując, eIDAS będzie stosowany od 1.7.2016 r.

Ale powyższa data to tylko zasada, ponieważ przepisy upoważniające Komisję Europejską do wydania aktów wykonawczych do przedmiotowego rozporządzenia już weszły w życie. Szczególna jest również sytuacja art. 6 tego rozporządzenia (dot. wzajemnego uznawania środków identyfikacji elektronicznej pomiędzy państwami członkowskimi w kontekście dostęp do usługi online świadczonej przez podmiot sektora publicznego), który ma zastosowanie trzy lata od dnia rozpoczęcia stosowania stosowanych aktów wykonawczych.

Na zakończenie daty dotyczące rozpoczęcia obowiązywania wspomnianych wyżej i już wydanych rozporządzeń wykonawczych:

  • Rozporządzenie wykonawcze nr 2015/806 określające specyfikacje dotyczące formy znaku zaufania UE dla kwalifikowanych usług zaufania (rozpoczęcie stosowania: 12.6.2015 r.),
  • Rozporządzenie wykonawcze nr 2015/1502 ws. ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej – dot. art. 8 ust. 3 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Rozporządzenie wykonawcze nr 2015/1501 ws. ram interoperacyjności – dot. art. 12 ust. 8 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Decyzja wykonawcza nr 2015/1506 ustanawiająca specyfikacje dotyczące formatów zaawansowanych podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych, które mają być uznane przez podmioty sektora publicznego – dot. art. 27 ust. 5 i art. 37 ust. 5 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Decyzja wykonawcza nr 2015/1505 ustanawiająca specyfikacje techniczne i formaty dotyczące zaufanych list – dot. art. 22 ust. 5 rozporządzenia eIDAS (rozpoczęcie stosowania: 29.9.2015 r.),
  • Decyzja wykonawcza nr 2015/296 ustanawiająca proceduralne warunki współpracy między państwami członkowskimi w zakresie identyfikacji elektronicznej – dot. art. 12 ust. 7 rozporządzenia eIDAS (rozpoczęcie stosowania: 17.3.2015 r.).

Dlaczego polski ustawodawca stawia na kwalifikowany podpis elektroniczny?

W ostatnich latach polski ustawodawca informatyzując podmioty publiczne jednoznacznie stawia na kwalifikowany podpis elektroniczny (pełna aktualna nazwa tego podpisu to: bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu).

Prawodawca wraca tym samym do początku okresu informatyzacji, czyli czasów sprzed dekady. Wtedy nic nie działało z tego zakresu, ponieważ ten rodzaj podpisu nie był zbyt popularny. Obecnie wciąż ten podpis nie jest upowszechniony na szeroką skalę. Wiem o rozporządzeniu eIDAS. Nowe prawo nie zmienia istoty rzeczy, gdyż przecież nie spowoduje wyposażenie każdego obywatela w taki podpis elektroniczny.

Przede wszystkim szkoda, że nie następuje większe czerpanie z rozwiązań w zakresie identyfikacji wykorzystywanych w bankowości internetowej, elektronicznym postępowaniu upominawczym lub przy zakładaniu przez Internet spółki z ograniczoną odpowiedzialnością. W wymienionych przypadkach nie ma wymogu posługiwania się kwalifikowanym podpisem elektronicznym.

O tyle jednak dobrze, że ustawodawca często dopuszcza jako alternatywę względem kwalifikowanego podpisu elektronicznego podpis potwierdzony profilem zaufanym ePUAP (elektroniczna Platforma Usług Administracji Publicznej), czyli całkowicie darmowy podpis. Jest to dobre rozwiązanie. Wydaje się nawet, że używanie podpisu ePUAP powinno być zasadą, a nie jedynie alternatywą. Zdaje sobie sprawę, że ePUAP ma szereg mankamentów. W mojej ocenie ma jednak potencjał do stania się popularnym narzędziem.

Prawne aspekty czynności bankowych

W nawiązaniu do poprzednich wpisów o BLIKu (tego i tego), kończąc póki co ten temat, kilka słów o prawnych aspektach bankowości. Nie trzeba nikogo przekonywać, że bankowość internetowa jest w Polsce rozwinięta w wysokim stopniu. Jest tak m.in. wskutek dość nierestrykcyjnego prawa co do elektronicznej formy czynności bankowych. Miarodajny są w tym przedmiocie przepisy art. 7 Prawa bankowego.

Przede wszystkim prawo bankowe nie wymaga posługiwania się bezpiecznym podpisem elektronicznym weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu.

Gdyby taki wymóg istniał, to z całą pewnością można przyjąć, że bankowość elektroniczna nie byłaby tak powszechna jak dziś. Najlepszym argumentem w tym zakresie jest fakt, że początkowo wszelkie rozwiązania umożliwiające komunikację drogą elektroniczną z urządmi i sądami wymagały posługiwania się takim podpisem. Efekt był taki, że nic nie działało. Postęp nastąpił dopiero po ustanoiwieniu e-sądu (gdzie nie jest wymagany zawansowany podpis elektroncizny) i stworzeniu podpisu potwierdzonego profilem zaufenym ePUAP jako alterentywy względem bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy ważnego kwalifikowanego certyfikatu.

O formie elektronicznej i rozporządzeniu eIDAS

Niedługo nastąpią dwie istotne zmiany dotyczące obrotu elektronicznego, związane w szczególności, ale nie tylko, z dokumentami elektronicznymi i podpisem elektronicznym:

  1. wejdą w życie przepisy zmieniające polski kodeks cywilny w zakresie formy czynności prawnych (tj. ustawa z dnia 10.7.2015 o zmianie ustawy – Kodeks cywilny, ustawy – Kodeks postępowania cywilnego oraz niektórych innych ustaw),
  2. rozpocznie się stosowane unijnego rozporządzenia eIDAS (tj. rozporządzenia nr 910/2014 z 23.7.2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym).

Wskazane regulacje są już uchwalone, a jedynie mają odroczoną w czasie chwilę wejście w życie. Zarówno w przypadku polskiej ustawy, jak i unijnego rozporządzenie rozpoczęcie stosowania poszczególnych przepisów jest rozłożone na kilka lat. Kluczowe przepisy zaczną jednak obowiązywać w połowie 2016 roku.

Obie regulacje mogą sporo zmienić, ale raczej nie będą to zmiany rewolucyjne, lecz ewolucyjne. Przede wszystkim mogą skutkować nowym sposobem interpretacji przepisów. Gdyby literalnie odczytywać dotychczasowe przepisy to nie są one całkowicie nieadekwatne do realiów cyberprzestrzeni. Jednak są one najczęściej interpretowane tak, aby umniejszać znaczenie narzędzi informatycznych.

Biorąc pod uwagę obecny stan rzeczy, wydaje się, że w krótkim okresie czasu największe znaczenie mogą mieć zmiany w polskim kodeksie cywilnym i to im głównie poświęcę niniejszy wpis.

Od razu wyjaśniam jedną rzecz, o którą w ostatnich miesiącach byłem pytany wielokrotnie – mianowicie kwestia zachowania formy pisemnej przy komunikacji elektronicznej. Niektóre przepisy wymagają, aby umowa była zawarta w formie pisemnej. I tutaj jednoznacznie wskazuję: przesłanie wiadomości SMS lub skanów papierowych dokumentów, to nie jest forma pisemna.

Z zasady, aby to co jest w postaci elektronicznej miało formę pisemną, konieczne jest opatrzenie tego bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu. Jedynie czasami ustanawiane są wyjątki, które zrównują z formą pisemną dokumenty nie opatrzone takim podpisem. Przykładem może być prawo telekomunikacyjne, gdzie w art. 56 ust. 2 wskazano, że umowę o świadczenie usług telekomunikacyjnych można zawszeć albo w formie pisemnej, albo formie elektronicznej za pomocą formularza udostępnionego na stronie internetowej dostawcy usług.

Nowe regulacje kodeksu cywilnego ustanawia wprost dwie formy:

  1. formę elektroniczną,
  2. oraz formę dokumentową.

Aby była forma elektroniczna konieczne będzie opatrzenie oświadczenia właśnie bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu. Wtedy takie oświadczenie będzie równoważne z oświadczeniem woli złożonym w formie pisemnej. Identycznie jest obecnie – różnica jest jedynie taka, że aktualne przepisy nie ustanawiają autonomicznej formy elektronicznej (nie posługują się tym pojęciem).

Z kolei całkowitą nowością jest forma dokumentowa. Do jej zachowania wystarczać będzie złożenie oświadczenia woli w postaci dokumentu w sposób umożliwiający ustalenie osoby składającej oświadczenie. Czyli w zasadzie wszystko mające postać elektroniczną i zawierające informację o autorze będzie formą dokumentową. Rozwieje te szereg wątpliwości jak kwalifikować prawnie te co dzieje się w Internecie. Ma to sens, ponieważ aktualnie mamy tylko dwie formy czynności prawnych – formę pisemną i ustną. W efekcie, np. e-mail, który nie jest opatrzony bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu, a tym samym nie ma formy pisemnej, powinien zostać zaliczony do formy ustnej, co jest z kolei nieracjonalne.

Wydaje się jednak, że siatka pojęciowa kodeksu cywilnego powinna zostać dostosowana do tej używanej przez rozporządzenie eIDAS. Nie ma w nim mowy o „bezpiecznym podpisem elektronicznym” i „bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu”, ale o „zaawansowanym podpisie elektronicznym” i „kwalifikowanym podpisie elektronicznym”. „Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu”, o jakim mowa w nowych regulacjach kodeksu cywilnego, to „kwalifikowany podpis elektroniczny” w rozumieniu rozporządzenia eIDAS.

Jeśli interesujesz się rozporządzeniem eIDAS kliknij poniżej w tag eIDAS, aby zapoznać się z pozostałymi wpisami na ten temat.