Ustawa o podpisie elektronicznym

funkcjonuje w Polsce od czerwca 2002 r. Mimo upływu ponad 10 lat nadal certyfikowany podpis elektroniczny jest dość mało popularny i stosunkowo rzadko się z niego korzysta. Jednak w ostatnich latach pojawia się coraz więcej możliwości wykorzystania podpisu elektronicznego.

Wynika to przede wszystkim z elektronizacji funkcjonowania administracji publicznej i możliwości kontaktowania się z nią drogą e-mailową. Co ważne, Dziennik Ustaw publikowany w Internecie i opatrzony certyfikowanym podpisem elektronicznym jest dokumentem równoważnym z wersją drukowaną (jest źródłem prawa).

Co to właściwie jest

Podpis elektroniczny to dane w postaci elektronicznej umożliwiające identyfikację osoby je składającej. Bezpieczny podpis elektroniczny jest przyporządkowany wyłącznie jednej osobie i jest sporządzony za pomocą urządzeń elektronicznych będących pod pełną kontrolą osoby podpisującej się elektronicznie. Jest on powiązany z danymi, dzięki czemu umożliwia rozpoznanie wszystkich zmian wprowadzonych w dokumencie.

Jakie usługi

Usługi certyfikacyjne są nieodłącznym elementem elektronicznego podpisu. Polegają one na wydawaniu certyfikatów, znakowaniu czasem lub innych usługach związanych z e-podpisem. Zgodnie z ustawą certyfikat to elektroniczne zaświadczenie umożliwiające weryfikację podpisu.

Jest ono przyporządkowane osobie składającej podpis. Usługa ta powinna także umożliwiać wydanie zaświadczenia certyfikacyjnego. Przedsiębiorstwo może świadczyć usługi certyfikacyjne lub kwalifikowane usługi certyfikacyjne. W tym drugim przypadku oznacza to, że podpis złożony za pomocą certyfikatu jest równoznaczny z podpisem własnoręcznym.

Kto ma prawo

Działalność gospodarcza polegająca na certyfikowaniu podpisów elektronicznych nie wymaga posiadania żadnego zezwolenia lub koncesji, wymaga jednak uzyskania wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Rejestr prowadzi minister właściwy do spraw gospodarki. Ponadto przedsiębiorcy muszą spełnić szereg wymogów, przewidzianych w ustawie z 18 września 2001 r. o podpisie elektronicznym.

Przede wszystkim zgodnie z prawem podmiot świadczący usługi certyfikacyjne musi mieć siedzibę na terytorium Rzeczypospolitej Polskiej. Wyjątkiem są przedsiębiorstwa, które są wpisane do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, albo ich uprawnienie wynika z umowy międzynarodowej o wzajemnym uznawaniu certyfikatów, albo posiada akredytację w państwie członkowskim Unii Europejskiej. Przedsiębiorca taki może być także stroną umowy zawartej między Wspólnotą Europejską, a państwem trzecim.

Wysokość opłaty za rozpatrzenie wniosku o wpis do rejestru kwalifikowanych podmiotów wynosi 10 tys. euro

Oprócz tego podmioty świadczące usługi certyfikujące, muszą zapewnić możliwości techniczne i organizacyjne szybkiego oraz niezawodnego wydawania, unieważniania i zawieszania certyfikatów wraz z określeniem czasu dokonania tych czynności.

Ponadto muszą stwierdzić tożsamość osoby, która chce otrzymać certyfikat oraz poinformować ją przed zawarciem umowy o warunkach uzyskania i używania certyfikatu wraz z wykazem bezpiecznych urządzeń do składania i weryfikacji podpisów.

Przedsiębiorca musi także posiadać umowę ubezpieczenia od odpowiedzialności cywilnej oraz zapewnić środki zapobiegające fałszerstwom certyfikatów wraz z ochroną urządzeń i danych wykorzystywanych przy świadczeniu usług certyfikacyjnych. Firma ma także obowiązek używania systemów, które umożliwiają wprowadzanie zmian danych tylko i wyłącznie osobom uprawnionym, zaś w przypadku publicznego dostępu do certyfikatu, musi posiadać zgodę osoby, której wydano certyfikat.

Wszystkie bazy osób posiadających certyfikaty muszą być poufne i dobrze chronione. Dane wykorzystywane do składania e-podpisu powinny z prawdopodobieństwem graniczącym z pewnością wystąpić tylko raz. Przedsiębiorstwo publikuje także dane umożliwiające weryfikację prawdziwości złożonego podpisu.

Jak uzyskać wpis do rejestru

Aby uzyskać wpis do rejestru podmiotów wykonujących usługi certyfikacyjne, należy wypełnić wniosek. Jego wzór i dokumenty, które należy dołączyć, określa rozporządzenie ministra gospodarki z 6 sierpnia 2002 r. w sprawie wzoru i szczegółowego zakresu wniosku o dokonanie wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, związane z podpisem elektronicznym.

Zawiera on imię i nazwisko lub nazwę wnioskodawcy, miejsce zamieszkania lub adres wnioskodawcy, numer w rejestrze przedsiębiorców w Krajowym Rejestrze Sądowym lub Centralnej Ewidencji i Informacji o Działalności Gospodarczej oraz oświadczenie o braku wpisu w rejestrze dłużników.

We wniosku należy także określić politykę certyfikacyjną, wskazać dane personalne oraz kwalifikacje osób, które zostały zatrudnione lub które przedsiębiorca planuje zatrudnić. Osoby te muszą posiadać zaświadczenia o niekaralności. Elementem wniosku są także informacje o polityce bezpieczeństwa i ochrony danych osób posiadających certyfikaty oraz wskazanie organizacyjnych i technicznych możliwości wykonywania planowanych czynności.

Należy także dołączyć informację o sytuacji majątkowej firmy (bilans oraz rachunek zysków i strat z ostatnich dwóch lat, plan finansowy i organizacyjny, zaświadczenie z ZUS o niezaleganiu z podatkami i składkami), dowód uiszczenia opłaty za rozpatrzenie wniosku o wpis do rejestru, dane służące do weryfikacji poświadczeń elektronicznych składanych przez podmiot w ramach świadczonych usług certyfikacyjnych wraz z numerem identyfikacji podatkowej i REGON.

Wysokość opłaty za rozpatrzenie wniosku o wpis do rejestru kwalifikowanych podmiotów wynosi 10 tys. euro

Rejestr jest jawny, prowadzony w formie elektronicznej. Wysokość opłaty za wpis do rejestru określa rozporządzenia ministra gospodarki z 6 sierpnia 2002 r. w sprawie wysokości opłaty za rozpatrzenie wniosku o wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, związane z podpisem elektronicznym. Obecnie wynosi on 10 tys. euro.

Wniosek po złożeniu jest rozpatrywany przez resort gospodarki. W przypadku zauważenia braków wnioskodawca jest wzywany do ich uzupełnienia. W takim przypadku minister gospodarki wyznacza minimum 7 - dniowy termin. Niezgłoszenie się w wyznaczonym terminie jest równoznaczne z odrzuceniem wniosku. Organ administracji publicznej ma 2 miesiące na rozpatrzenie wniosku. Przed wydaniem decyzji ma obowiązek przeprowadzenia kontroli w przedsiębiorstwie.

Uzyskanie wpisu do rejestru oznacza, że podmiot ma wystarczający potencjał merytoryczny i techniczny dla wystawcy kwalifikowanych certyfikatów i spełnia wymagania ustawowe. W decyzji powinno się określić nazwę polityki certyfikacyjnej, w ramach której podmiot może wydawać kwalifikowane certyfikaty lub świadczyć inne usługi związane z e-podpisem.

Po uzyskaniu wpisu przedsiębiorstwo ma obowiązek w ciągu 30 dni zawrzeć umowę ubezpieczenia od odpowiedzialności cywilnej oraz poinformować o sumie ubezpieczenia oraz nazwie przedsiębiorstwa, z którym zawarł umowę. Niedopełnienie tego obowiązku jest równoznaczne z wykreśleniem firmy z rejestru. Po wpisaniu do rejestru minister gospodarki wydaje zaświadczenie certyfikacyjne.

Jakie wymogi dla pracownika

Osoby świadczące usługi certyfikacyjne muszą posiadać pełną zdolność do czynności prawnych. Nie mogą być skazane prawomocnie za przestępstwo przeciwko wiarygodności dokumentów, obrotowi gospodarczemu, obrotowi pieniędzmi i papierami wartościowymi oraz przestępstwo skarbowe. Powinny posiadać także wiedzę i umiejętności w zakresie technologii tworzenia certyfikatów.

Co w certyfikacie

Kwalifikowany certyfikat musi zawierać indywidualny numer certyfikatu, wskazanie że jest on kwalifikowany, dane personalne (imię i nazwisko) lub pseudonim osoby składającej podpis, wyraźne oznaczenie początku i końca ważności certyfikatu, dane umożliwiające jego weryfikację, poświadczenie firmy wydającej certyfikat oraz określenie maksymalnej wartości transakcji, do której może być on wykorzystany.

Ile odpowiedzialności

Przedsiębiorca, który świadczy kwalifikowane usługi certyfikacyjne, odpowiada wobec odbiorców za ewentualne szkody wynikające z niewykonania lub nienależytego wykonania usługi. Ważne jest, że umowa na wykonywanie usług musi być zawarta w formie pisemnej.

Podmiot jest także zobowiązany do opracowania polityki jakości, która obejmuje przede wszystkim zakres jej stosowania, opis sposobu tworzenia i przesyłania danych elektronicznych, maksymalny okres ważności certyfikatu, sposób identyfikacji i uwierzytelniania osób, którym wydawane są certyfikaty, metody i tryb tworzenia i udostępniania certyfikatów oraz opis elektronicznego zapisu struktur danych zawartych w certyfikatach. Ponadto w polityce certyfikacji należy umieścić opis sposobu zarządzania dokumentami związanymi z wykonywanymi usługami.

Podmiot ma także obowiązek publikacji listy zawieszonych i unieważnionych certyfikatów wraz z określeniem informacji o numerze listy, precyzyjnym terminie jej publikacji oraz informacji, kiedy kolejna będzie publikowana. Na liście umieszcza się numer zawieszonego certyfikatu z określeniem dokładnej daty dokonania tej czynności.

Kto kontroluje

Nadzór oraz kontrolę nad firmami świadczącymi usługi certyfikacyjne sprawuje minister właściwy do spraw gospodarki. Zasady prowadzenie kontroli określa ustawa z 2 lipca 2004 r. o swobodzie działalności gospodarczej, a uprawnione do jej prowadzenia są upoważnione przez ministra gospodarki osoby lub upoważnieni pracownicy tego resortu. Kontrola może się odbywać na żądanie prokuratury lub sądu oraz z urzędu.

Siedem kroków, Co zrobić najpierw

1. Przygotowujemy odpowiednie zaplecze informatyczne.

2. Poszukujemy odpowiednio doświadczonych i wykwalifikowanych pracowników.

3. Tworzymy regulaminy przewidziane w ustawie.

4. Składamy wniosek do ministra gospodarki.

5. Uiszczamy opłatę za rozpatrzenie wniosku.

6. Po otrzymaniu certyfikatu kupujemy ubezpieczenie OC.

7. Można rozpocząć funkcjonowanie.

Grzegorz Byszewski ekspert Pracodawcy RP

Grzegorz Byszewski ekspert Pracodawcy RP

Komentuje Grzegorz Byszewski, ekspert Pracodawcy RP

Podpisy elektroniczne będą zyskiwały na znaczeniu wraz z budową e-państwa i umożliwianiem elektronicznego kontaktu z administracją publiczną.

Będą one coraz częściej wykorzystywane zarówno przez obywateli, jak i przedsiębiorców.

Wraz z popularyzacją e-podpisu rozwiną się przedsiębiorstwa świadczące usługi certyfikujące, a wzrost liczby osób go używających stworzy pole do wejścia na rynek także większej liczbie podmiotów gospodarczych.