Rozwiązanie "login+hasło" nie zawsze jest podpisem elektronicznym i warto o tym pamiętać projektując nowe innowacyjne usługi
Pomimo tego, że przepisy rozporządzenia eIDAS i ustawy o usługach zaufania obowiązują w Polsce już od jakiegoś czasu (odpowiednio lipiec i wrzesień 2016 roku), to w dalszym ciągu nie stały się one tak popularne, jak się spodziewano. Przykładowo w rejestrze dostawców niekwalifikowanych usług zaufania figurują obecnie zaledwie cztery podmioty. A po usługach zaufania spodziewano się wiele. Banki przeforsowały nawet w tym zakresie zmianę prawa bankowego. Usługi zaufania oraz wydawanie środków identyfikacji elektronicznej dopisano do katalogu tzw. czynności niebankowych, które mogą być przez te instytucje wykonywane.
Pośród usług zaufania szczególne znaczenie miał mieć podpis elektroniczny, który funkcjonuje w eIDAS w trzech modelach: "zwykłym", zaawansowanym i kwalifikowanym. Tylko ten ostatni ma przy tym skutek równoważny podpisowi własnoręcznemu i może istotnie zmniejszyć i uprościć proces obiegu oraz przechowywania dokumentów w formie papierowej. Nie oznacza to jednak, że pozostałe dwa rodzaje podpisów nie mogą znaleźć użytecznych zastosowań. Dotyczy to w szczególności "zwykłego" podpisu elektronicznego, do używania którego zachęca zresztą sam ustawodawca unijny tworząc jego definicje maksymalnie generyczną i technologicznie neutralną, aby nie przesądzać, czy i które z obecnie stosowanych technologii podpisu elektronicznego zostaną powszechnie zaakceptowane.
Technologiczna neutralność to jedno, ale w praktyce często spotykam się jednak z tym, że projektowane przez klientów usługi mające opierać się o podpis elektroniczny nie do końca uwzględniają funkcję, jaką taki podpis ma spełniać. Podpis elektroniczny jest po prostu sposobem na stwierdzenie, że pewne dane w postaci elektronicznej zostały dołączone do innych danych lub są z nimi logicznie połączone celem złożenia przez osobę fizyczną jej podpisu.
Odmiennie zatem niż w poprzednio obowiązujących przepisach ustawy o podpisie elektronicznym definicja podpisu elektronicznego stanowi, iż nie służy on do identyfikacji podpisującego. Wręcz przeciwnie, warunkiem kwalifikacji podpisu jako podpisu elektronicznego w rozumieniu eIDAS jest jednocześnie użycie danych wyłącznie do celów wykonania podpisu, tj. autentykacji (uwierzytelnienia) osoby, nie zaś celem jej identyfikacji. Powyższe stanowi przy tym nie tylko jedno z podstawowych założeń eIDAS, ale również nieobowiązującej już dyrektywy UE będącej jego poprzednikiem prawnym. Rozwiązanie "login+hasło" niekoniecznie jest zatem zawsze podpisem elektronicznym i warto o tym pamiętać projektując nowe innowacyjne usługi.
---
Dr Konrad Stolarski, dLK Legal
Artykuł powstał przy współpracy z kancelarią dLK Legal
Autor jest radcą prawnym w dLK Legal. Jest absolwentem Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. Były współpracownik i wykładowca w Katedrze Prawa Europejskiego UJ, stypendysta naukowy Universitat Internacional de Catalunya, członek Polskiego Stowarzyszenia Prawa Europejskiego oraz laureat polskich i międzynarodowych konkursów i nagród prawniczych. Posiada wieloletnie doświadczenie w reprezentowaniu klientów przed organami administracyjnymi oraz sądami powszechnymi i administracyjnymi. Doradzał w szeregu projektów podlegających jednocześnie pod różne krajowe i międzynarodowe porządki prawne. Ekspert prawny PONIP. Specjalizuje się i praktykuje w zakresie prawa UE, prawa konkurencji, prawa nowych technologii i regulacji rynków finansowych.
