Czy weryfikacja podpisu elektronicznego musi być kwalifikowaną usługą zaufania?

Nasi Klienci, korzystający z usług weryfikacjapodpisu.pl często pytają o kwalifikowalność bądź niekwalifikowalność usług zaufania w tym weryfikacji podpisu elektronicznego, zatem spieszymy z wyjaśnieniem różnic pomiędzy tymi dwoma pojęciami i ich zastosowaniem. Firma Madkom widnieje w polskim rejestrze dostawców usług zaufania i za pośrednictwem weryfikacjapodpisu.pl świadczy niekwalifikowaną usługę walidacji podpisu elektronicznego. Czy sam fakt niekwalifikowalności usługi zaufania oznacza, że jest ona nieskuteczna? W przypadku walidacji podpisu elektronicznego absolutnie nie. Nie istnieją żadne przepisy prawa, które wymagają korzystania z usług wyłącznie kwalifkowanego dostawcy. Dlatego też Elektroniczne Poświadczenie Weryfikacji (EPW), czyli dokument poświadczający pozytywny lub negatywny wynik weryfikacji z weryfikacjapodpisu.pl może stanowić dowód w sprawach spornych np. w sądzie.

Wybór usługi kwalifkowanej bądź niekawlifikowanej zależy od ważności sprawy oraz rodzaju usługi zaufania, z której korzystamy. W przepisach prawa najczęściej przed usługą składania podpisu elektronicznego stawia się wymóg kwalifikowalności, który dotyczy konkretnych typów spraw – na przykład Kodeks Postępowania Administracyjnego wskazuje, że m.in. postanowienia, zaświadczenia czy decyzje mogą być wydawane w postaci elektronicznej pod warunkiem opatrzenia ich kwalifikowanym podpisem elektronicznym. Zaś by potwierdzić prawidłowość złożonego podpisu (również kwalifikowanego) nie jesteśmy zobligowani do skorzystania z kwalifkowanej usługi walidacji. Składanie podpisu elektronicznego jest jednorazową czynnością, którą po wykonaniu nie można ulepszyć, dlatego w niektórych przypadkach nadkłada się obowiązek kwalifikowalności, by zwiększyć pewność i zaufanie do podpisu. Natomiast weryfikacji możemy dokonywać bez ograniczeń korzystając z usług różnych dostawców.

Dobrym zwyczajem jest korzystanie z kilku narzędzi do walidacji podpisu elektronicznego w przypadku pojawienia się wątpliwości podczas analizy wyniku weryfikacji. Jednak pozytywna weryfikacja w jednym z narzędzi daję dużą pewność poprawności wyniku, a na pewno nie daje przesłanek do wykluczenia prawidłowości podpisu, a co za tym idzie np. odrzucenia oferty czy wykluczenia wykonawcy w postępowaniu.

Zasady podziału dostawców usług zaufania na kwalifikowanych oraz niekwalifikowanych określa rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (eIDAS). Dostawcą usług zaufania jest osoba fizyczna lub prawna, która świadczy przynajmniej jedną usługę zaufania. Zaś kwalifikowana usługa zaufania to główny element umożliwiający realizację transgraniczności transakcji elektronicznych. W przypadku podpisu i pieczęci elektronicznej oraz elektronicznego znacznika czasu, kwalifikowalność tych usług oznacza, że wydane w jednym z państwie Unii Europejskiej są uznawane we wszystkich pozostałych krajach członkowskich, ponieważ spełniły uniwersalne warunki określone w rozporządzeniu eIDAS oraz są rozpoznawalne dzięki unijnej liście zaufania (TSL), z której korzysta również weryfikacjapodpisu.pl.

By podpis elektroniczny mógł zostać nazwany kwalifikowanym musi spełniać wytyczne dla zaawansowanego podpisu elektronicznego zawarte w artykule 26 rozporządzenia eIDAS oraz być złożony za pomocą kwalifikowanego urządzenia, którego wymagania są opisane w załączniku II do rozporządzenia i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego mający swoje kryteria zapisane w załączniku I do rozporządzenia. Kwalifikowane usługi zaufania wydawane są przez kwalifikowanych dostawców zweryfikowanych przez organ nadzorujący w danym kraju członkowskim. W Polsce według zapisów ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej organem nadzorującym działania całej Krajowej Infrastruktury Zaufania jest minister właściwy do spraw informatyzacji. Krajowa Infrastruktura Zaufania składa się z rejestru dostawców usług zaufania, listy zaufanej oraz Narodowego Centrum Certyfikacji (NCCERT).

Rejestr dostawców usług zaufania jest jawny i znajdują się w nim dostawcy oraz świadczone przez nich usługi zaufania. Rejestr dzieli się na usługi kwalifikowane oraz niekwalifikowane. By zostać wpisanym na listę kwalifikowanych dostawców należy przejść audyt w celu zweryfikowania oceny zgodności z rozporządzeniem eIDAS. Audyt realizowany jest przez jednostki oceny zgodności, które dostępne są https://ec.europa.eu/futurium/en/content/list-conformity-assessment-bodies-cabs-accredited-against-requirements-eidas-regulation. Usługa kosztuje w okolicach 15-25 tysięcy euro i kończy się otrzymaniem raportu z oceny zgodności.

Organ nadzoru stosuje działania nadzorcze ex ante oraz ex post w stosunku do kwalifikowanych dostawców usług zaufania. Zaś w przypadku niekwalifikowanych dostawców są do reaktywne działania nadzorcze ex post, zazwyczaj realizowane na zgłoszenie. Kwestię wyróżniającą dostawców kwalifikowanych jest obowiązek ubezpieczenia OC, którego minimalna suma gwarancyjna w odniesieniu do jednego zdarzenia wynosi 250 000 euro zgodnie z Rozporządzeniem ministra rozwoju i finansów z dnia 19 grudnia 2016 r. w sprawie obowiązkowego ubezpieczenia odpowiedzialności cywilnej kwalifikowanego dostawcy usług zaufania. Dodatkowo, w przypadku kwalifikowanego dostawcy usług zaufania istnieje zasada domniemywania zamiaru lub zaniedbania. Oznacza to, że po stronie kwalifikowanego dostawcy leży ciężar udowodnienia, że dana szkoda nie powstała z powodu zamierzonego działania bądź zaniedbania. Odwrotnie jest z niekwalifikowanym dostawcą usług zaufania, to strona zgłaszająca musi udowodnić zamiar lub zaniedbanie.

Zaleceniem zapewniającym wysoką jakość funkcjonowania kwalifikowanych dostawców usług zaufania jest współpraca pomiędzy organem nadzorującym, a organem ochrony danych osobowych w postaci wymiany informacji o ewentualnych naruszeniach wynikających z przeprowadzonego audytu w zakresie ochrony danych osobowych. Istotnym jest, by wszystkie kraje członkowskie stosowały porównywalne procedury dotyczące nadzoru nad dostawcami usług zaufania w postaci np. przeprowadzanych audytów. Rozporządzenie eIDAS zaleca wymianę informacji i dzielenie się dobrymi praktykami pomiędzy organami nadzorującymi.

Polecane wpisy

Kontakt

Masz pytania? Chcesz zrealizować projekt lub dowiedzieć się więcej na temat naszej oferty?

 

Wysyłając wiadomość za pośrednictwem formularza kontaktowego wyrażam zgodę na przetwarzanie moich danych zgodnie z obowiązująca na stronie Polityką Prywatności.