Rozwój zaawansowanych technologii teleinformatycznych pozwala na przesyłanie drogą elektroniczną dokumentacji wywołującej określone skutki prawne. Uniwersalność i standaryzacja tego typu rozwiązań sprzyja ich stosowaniu zarówno w kontaktach między przedsiębiorcami, jak i na linii przedsiębiorstwo – organy administracji państwowej.
Niezbędnym do realizacji tego celu warunkiem jest możliwość autoryzacji przesyłanych w ten sposób dokumentów i przyjęcie przez ich wystawcę odpowiedzialności za zawartą w nich treść. Możliwość taką daje identyfikacja wystawcy przy pomocy bezpiecznego podpisu elektronicznego. Zarówno nadawca, jak i adresat informacji zawartych w dokumentach przesyłanych elektronicznie powinni dysponować sprzętem i oprogramowaniem komputerowym służącymi do składania i weryfikacji podpisu elektronicznego. Ponadto wystawca dokumentu elektronicznego musi posiadać zestaw techniczny do składania bezpiecznego podpisu elektronicznego (kwalifikowany certyfikat, kartę kryptograficzną, czytnik kart kryptograficznych). Zestaw taki stanowi całość wykazywaną w fakturze VAT wystawianej przez podmiot certyfikujący o okresie użytkowania dłuższym niż rok, ale cenie niższej niż 3,5 tys. zł (nie wymaga więc ujęcia w księgach rachunkowych jako środek trwały).
Wydano już ponad milion certyfikatów
Zgodnie z danymi udostępnianymi przez kwalifikowane podmioty świadczące usługi certyfikacyjne, według stanu na grudzień 2014 r., liczba aktywnych certyfikatów kwalifikowanych wyniosła prawie 300 tys., natomiast łączna liczba certyfikatów wydanych od początku działalności firm certyfikujących przekroczyła 1 mln szt. (http://www.mg.gov.pl/). Ta forma komunikacji generuje wiele korzyści dla jej uczestników. Umożliwia zdalną realizację transakcji, które dotychczas wymagały osobistego kontaktu stron. Przekłada się to na istotne skrócenie czasu i redukcję kosztów, co ma niebagatelne znaczenie zwłaszcza tam, gdzie przetwarzane są duże ilości danych i dochodzi do wielu operacji lub obsługiwanych jest wielu klientów.
Bezpieczny podpis
Podpis elektroniczny jest narzędziem identyfikującym uczestników wymiany dokumentów elektronicznych, służącym do przyjęcia odpowiedzialności za ich treść. Pojęcie podpisu elektronicznego bezpośrednio wiąże się z technologią internetową oraz rozwojem technik kryptograficznych zapewniających wysoki poziom poufności tzw. danych wrażliwych.
In blanco wykluczone
Zgodnie z art. 3 pkt 1 ustawy z 18 września 2001 r. o podpisie elektronicznym (tekst jedn. DzU z 2013 r. poz. 262 ze zm.) przez podpis elektroniczny należy rozumieć dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej taki podpis. Podpis elektroniczny wykorzystywany jest do weryfikacji osoby, która go składa na dokumencie elektronicznym, występując we własnym lub cudzym imieniu. Stanowi on określoną sekwencję znaków w systemie binarnym (zero-jedynkowym), które po zakodowaniu (i spełnieniu określonych warunków) mogą – uwzględniając różnice natury technicznej – odgrywać rolę tradycyjnego „własnoręcznego" podpisu. Podpis elektroniczny od podpisu odręcznego odróżniają dwie zasadnicze cechy:
- podpis elektroniczny danej osoby składany pod różnymi dokumentami (wiadomościami) – w odróżnieniu od podpisu odręcznego – przyjmuje różną postać, gdyż w przeciwnym razie nie można byłoby mówić o jego bezpieczeństwie, jako że dowolna osoba mogłaby skopiować taki podpis i umieścić go pod innym dokumentem,
- w odróżnieniu od podpisu tradycyjnego nie jest również możliwe złożenie podpisu elektronicznego „in blanco" (jeżeli podpis ma zapewniać niezmienność przesyłanych danych, to raz podpisanej wiadomości, nawet pustej, nie można już uzupełnić treścią).
Przykład
Jeżeli w danym przedsiębiorstwie kilka osób (pracowników) posiada upoważnienie do składania w jego imieniu oświadczeń woli, to każda z nich powinna posiadać swój odrębny bezpieczny podpis elektroniczny.
Nie każdy podpis elektroniczny posiada jednak taką samą moc prawną, jak podpis własnoręczny. Za równorzędne z podpisem tradycyjnym uznawane są jedynie podpisy elektroniczne:
- bezpieczne,
- weryfikowane za pośrednictwem ważnego kwalifikowanego certyfikatu.
Bezpieczny podpis elektroniczny to podpis elektroniczny (art. 3 pkt 2 ustawy o podpisie elektronicznym):
- przyporządkowany wyłącznie do osoby składającej ten podpis,
- sporządzany za pomocą bezpiecznych urządzeń i danych podlegających wyłącznej kontroli osoby składającej podpis elektroniczny,
- powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
Podpis elektroniczny powinien być składany i następnie weryfikowany za pomocą tzw. bezpiecznych urządzeń, czyli sprzętu i oprogramowania skonfigurowanego w sposób umożliwiający złożenie podpisu elektronicznego (identyfikację osoby fizycznej, która złożyła taki podpis).
Takie samo znaczenie
W myśl art. 78 § 2 k.c. oświadczenie woli złożone w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu jest równoważne z oświadczeniem woli złożonym w formie pisemnej. Prawidłowa weryfikacja oświadczenia w postaci elektronicznej minimalizuje ryzyko:
- podważenia dokonanych czynności z powodu niezachowania przypisanej dla nich formy,
- uchylania się podpisującego od odpowiedzialności przez minimalizację wartości dowodowej podpisu,
- wyparcia się dokumentu przez podpisującego i zarazem wyparcia się przez nadawcę korespondencji złożonego w nim oświadczenia.
Nie więcej niż dwa lata
Bezpieczny podpis elektroniczny przyznawany jest na podstawie certyfikatu jedynie przez uprawnione do tego, wyspecjalizowane jednostki certyfikujące, które na bieżąco weryfikują poprawność jego stosowania. Weryfikacja taka obejmuje czynności pozwalające na identyfikację osoby składającej podpis elektroniczny, a także stwierdzenie, że podpis został złożony za pomocą danych służących do składania podpisu elektronicznego przyporządkowanych do tej osoby oraz że dane opatrzone tym podpisem nie uległy zmianie po złożeniu podpisu elektronicznego. Bezpieczny podpis elektroniczny, weryfikowany za pośrednictwem ważnego certyfikatu (certyfikat jest ważny we wskazanym w nim okresie, z tym że maksymalny okres ważności kwalifikowanego certyfikatu przewidziany przez politykę certyfikacji wynosi nie więcej niż dwa lata), służy uwierzytelnieniu dokumentów elektronicznych i nadaniu im mocy dowodowej, zapewniając, że opatrzone nim dane w formie elektronicznej są równoważne dokumentom podpisanym własnoręcznie. Zgodnie z art. 6 ust. 1 ustawy o podpisie elektronicznym bezpieczny podpis elektroniczny, weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu, stanowi dowód tego, że został on złożony przez osobę określoną w tym certyfikacie jako składającą podpis elektroniczny.
Do podpisywania i składania deklaracji
Bezpieczny podpis elektroniczny może być obecnie stosowany m.in. do:
- podpisywania faktur elektronicznych,
- korespondencji z urzędami oraz do podpisywania pism i decyzji administracyjnych przez urzędy,
- składania deklaracji podatkowych i celnych,
- podpisywania wniosków do Krajowego Rejestru Sądowego,
- zgłoszeń do ubezpieczenia społecznego,
- zarejestrowania działalności gospodarczej (CEIDG),
- elektronicznego podpisywania umów i dokumentów w obrocie handlowym i cywilnoprawnym,
- podpisywania raportów dla generalnego inspektora informacji finansowej,
- korespondencji z generalnym inspektorem ochrony danych osobowych,
- podpisywania dokumentacji medycznej.
Kwalifikowany certyfikat
Zgodnie z art. 3 pkt 10 ustawy o podpisie elektronicznym certyfikat oznacza elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej taki podpis i które umożliwiają jej identyfikację.
Certyfikat służący do weryfikacji podpisu elektronicznego powinien być kwalifikowany, tj. być wydany przez uprawniony, wpisany do właściwego rejestru podmiot świadczący usługi certyfikacyjne.
Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne prowadzi minister właściwy do spraw gospodarki (on też sprawuje nadzór nad przestrzeganiem przepisów ustawy przez kwalifikowane podmioty, zapewniając ochronę interesów odbiorców usług certyfikacyjnych). Rejestr taki jest jawny i publicznie dostępny. Informacje w zakresie podmiotów aktualnie świadczących kwalifikowane usługi certyfikacyjne dostępne są na stronach: Ministerstwa Gospodarki oraz Narodowego Centrum Certyfikacji (http://www.mg.gov.pl/; http://www.nccert.pl/).
Kwalifikowany certyfikat w połączeniu z bezpiecznym podpisem elektronicznym umożliwia podpisywanie dokumentów elektronicznych, służy do autoryzacji transakcji dokonywanych elektronicznie, a także zabezpiecza przed nieuprawnionymi zmianami dokumentów.
Podmioty świadczące usługi certyfikacyjne wydają certyfikaty na podstawie umów o świadczenie usług certyfikacyjnych (sporządzonych w formie pisemnej pod rygorem nieważności), przed zawarciem których są zobowiązane poinformować osobę ubiegającą się o certyfikat na piśmie lub w formie dokumentu elektronicznego w sposób jasny i powszechnie zrozumiały (i uzyskać od niej pisemne potwierdzenie zapoznania się z tą informacją) o dokładnych warunkach użycia tych certyfikatów.
Umowa o wydanie kwalifikowanego certyfikatu powinna zawierać co najmniej następujące dane wnioskodawcy:
- imię i nazwisko,
- datę i miejsce urodzenia,
- numer PESEL,
- serię, numer i rodzaj dokumentu tożsamości oraz oznaczenie organu wydającego dowód osobisty lub paszport, na podstawie którego potwierdzono tożsamość wnioskodawcy.
Wydany na podstawie zawartej umowy kwalifikowany certyfikat powinien obejmować co najmniej następujące dane (art. 20 ust. 1 ustawy o podpisie elektronicznym):
- numer certyfikatu,
- wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany do stosowania zgodnie z określoną polityką certyfikacji,
- określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę, oraz numer pozycji w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne,
- imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny (użycie pseudonimu musi być wyraźnie zaznaczone),
- dane służące do weryfikacji podpisu elektronicznego,
- oznaczenie początku i końca okresu ważności certyfikatu,
- poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne wydającego dany certyfikat,
- ograniczenia zakresu ważności certyfikatu, jeżeli przewiduje to określona polityka certyfikacji,
- ograniczenie najwyższej wartości granicznej transakcji, w której certyfikat może być wykorzystywany, jeżeli przewiduje to polityka certyfikacji lub umowa.
Podmiot świadczący usługi certyfikacyjne, wydając kwalifikowany certyfikat, jest również zobowiązany zawrzeć w tym certyfikacie – na wniosek osoby składającej podpis elektroniczny – wskazanie, czy osoba ta działa we własnym imieniu, jako przedstawiciel innej osoby fizycznej (osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej), w charakterze członka organu (organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej) czy jako organ władzy publicznej.
Dla księgowego lub kadrowego
Kwalifikowane certyfikaty, podobnie jak bezpieczne podpisy elektroniczne, przyznawane są wyłącznie osobom fizycznym. Podpis elektroniczny nie jest przypisany do przedsiębiorstwa, lecz – za pomocą certyfikatu – do osoby fizycznej upoważnionej do składania w imieniu przedsiębiorstwa oświadczeń woli, np. do głównego księgowego lub innego pracownika firmy odpowiedzialnego za kontakty z organem podatkowym lub ZUS. Osobą taką może być również – na mocy odpowiedniego porozumienia – pracownik biura rachunkowego czy doradca podatkowy (a więc osoba spoza przedsiębiorstwa niebędąca jego pracownikiem).
Jak kupić
Procedury w zakresie transakcji kupna zestawów do składania bezpiecznych podpisów elektronicznych określane są przez firmy certyfikujące. Generalnie można je podzielić na kilka etapów.
KROK 1
Wypełnienie i przesłanie (lub złożenie) do wybranej firmy certyfikującej udostępnionego na jej stronach internetowych formularza zgłoszeniowego (zamówienia zestawu) (z wnioskiem takim występuje przedsiębiorca –osoba fizyczna samodzielnie prowadząca działalność gospodarczą, lub przedsiębiorstwo reprezentowane przez określone osoby – swoje organy).
KROK 2
Wypełnienie i podpisanie otrzymanej z firmy certyfikującej umowy o świadczenie usług certyfikacyjnych, z czym wiąże się przygotowanie dokumentów koniecznych do podpisania umowy i weryfikacji danych zawartych w certyfikacie, takich jak: dokument tożsamości, wniosek o wydanie certyfikatu, zaświadczenie o wpisie do ewidencji działalności gospodarczej lub odpis z KRS, zaświadczenie o numerze REGON, potwierdzenie nadania numeru NIP (umowa zawierana jest między podmiotem certyfikującym a przedsiębiorstwem, które wskazuje listę subskrybentów – użytkowników certyfikatów, z grona swoich pracowników).
KROK 3
Identyfikacja tożsamości osób składających podpisy na umowie o świadczenie usług certyfikacyjnych przez notariusza oraz ich uprawnień w zakresie reprezentacji przedsiębiorstwa.
KROK 4
Zwrot podpisanych dokumentów do firmy certyfikującej (wraz z wykazem osób upoważnionych do otrzymania certyfikatów).
KROK 5
Uregulowanie na podstawie otrzymanej faktury VAT wymaganych opłat i odbiór zestawu do składania bezpiecznego podpisu elektronicznego.
Ile to kosztuje...
Wydatki związane z nabyciem zestawu do składania bezpiecznego podpisu elektronicznego są zbliżone w skali kraju i w zależności od cennika usług danej firmy certyfikującej oraz okresu ważności certyfikatu (rok lub dwa lata) wynoszą od 129 do 309 zł netto + VAT 23 proc. Koszt odnowienia certyfikatu kwalifikowanego waha się w granicach od 90 do 145 zł netto + VAT 23 proc. > patrz tabela. Ponadto należy uwzględnić opłatę z tytułu notarialnego poświadczenia podpisu osoby zawierającej umowę o świadczenie usług certyfikacyjnych przez notariusza wysokości 20 zł netto + VAT 23 proc.
...i jak długo trwa
Dostawa zestawu do składania podpisu elektronicznego trwa, w zależności od firmy certyfikującej, do siedmiu dni, licząc od daty otrzymania przez nią kompletnych, poprawnie wypełnionych dokumentów oraz potwierdzenia opłaty za zamówiony zestaw.
Kwalifikowane certyfikaty mogą być odnawiane, zawieszane lub unieważniane. Przed wygaśnięciem terminu ważności certyfikatu należy go odnowić, czyli potwierdzić jego ważność na następny okres. Certyfikat może zostać odnowiony przed upływem okresu ważności przez firmę certyfikującą, która go wydała. Odnowienie certyfikatu następuje według tych samych zasad, co w przypadku jego wystawienia.
Podmiot świadczący usługi certyfikacyjne niezwłocznie zawiadamia osobę składającą podpis elektroniczny weryfikowany na podstawie takiego certyfikatu o unieważnieniu lub zawieszeniu certyfikatu. Może to zrobić, jeśli:
- certyfikat ten został wydany na podstawie nieprawdziwych lub nieaktualnych danych,
- podmiot świadczący usługi certyfikacyjne lub osoba składającą podpis elektroniczny nie dopełniła ustawowych obowiązków,
- podmiot świadczący usługi certyfikacyjne zaprzestaje świadczenia usług certyfikacyjnych, a jego praw i obowiązków nie przejmie inny kwalifikowany podmiot,
- zażąda tego osoba składająca podpis elektroniczny, osoba trzecia wskazana w certyfikacie lub minister właściwy do spraw gospodarki,
- osoba składająca podpis elektroniczny utraciła pełną zdolność do czynności prawnych.
Uwaga! Listy zawieszonych i unieważnionych certyfikatów publikowane są przez firmy certyfikujące.
Błędy lub zmiana danych
Podmiot świadczący usługi certyfikacyjne, wydający kwalifikowane certyfikaty zapewnia możliwość zgłoszenia wniosku o unieważnienie kwalifikowanego certyfikatu przez całą dobę. Procedury takiego zgłoszenia powinny być uzgadniane z osobą ubiegającą się o wydanie kwalifikowanego certyfikatu najpóźniej w momencie jego wydania. W razie stwierdzenia błędów w kwalifikowanym certyfikacie, dezaktualizacji (zmiany) danych lub utraty karty do składania bezpiecznego podpisu elektronicznego (np. w skutek jej zniszczenia, zagubienia lub kradzieży) trzeba to niezwłocznie zgłosić do centrum certyfikacji, które wydało certyfikat, celem jego unieważnienia.
Kiedy można, a kiedy trzeba
Na konieczność uwzględniania bezpiecznych środków komunikacji elektronicznej służących do przekazywania e-dokumentów wskazują zarówno regulacje dotyczące faktur elektronicznych, jak i urzędy skarbowe, sądy rejestrowe oraz Zakład Ubezpieczeń Społecznych. O ile jednak przesyłanie w formie elektronicznej do kontrahentów – faktur VAT oraz do KRS – wniosków i dokumentów ma charakter fakultatywny, o tyle w przypadku zatrudniania przez przedsiębiorcę (płatnika) więcej niż pięciu pracowników składanie drogą elektroniczną niektórych deklaracji podatkowych w podatku dochodowym oraz dokumentów ubezpieczeniowych ZUS jest obligatoryjne.