Podpis elektroniczny w UE

Niniejsza dyrektywa ustanawia ramy prawne na szczeblu europejskim dla podpisów elektronicznych oraz uznawania podmiotów świadczących usługi certyfikacyjne. Jej celem jest:

—	ułatwienie korzystania z podpisów elektronicznych oraz

—	pomoc w doprowadzeniu do ich prawnego uznania we wszystkich krajach UE.

AKT

Dyrektywa Parlamentu Europejskiego i Rady nr 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych.

STRESZCZENIE

Dyrektywa określa kryteria stanowiące podstawę prawnego uznawania podpisów elektronicznych. Skupiono się w niej na regulacjach dotyczących podmiotów świadczących usługi certyfikacyjne. Ustanawia ona:

—	wspólne wymogi wobec podmiotów świadczących usługi certyfikacyjne, mające na celu zapewnienie transgranicznego uznawania podpisów elektronicznych i certyfikatów na obszarze całej Unii Europejskiej (UE),

—	wspólne wymogi dotyczące odpowiedzialności, mające pomóc w budowaniu zaufania użytkowników, którzy powołują się na certyfikaty,

—	mechanizmy współpracy z krajami spoza UE, mające na celu ułatwienie transgranicznego uznawania podpisów elektronicznych i certyfikatów.

Dyrektywa definiuje nowe koncepcje:

—	podpis elektroniczny: dane w formie elektronicznej dodane do innych danych elektronicznych lub logicznie z nimi powiązane i służące jako metoda uwierzytelnienia.

—

zaawansowany podpis elektroniczny, który spełnia następujące wymogi:

—	przyporządkowany jest wyłącznie podpisującemu,

—	umożliwia ustalenie tożsamości podpisującego,

—	stworzony jest za pomocą środków, które podpisujący może mieć pod swoją wyłączną kontrolą,

—	powiązany jest z dokumentem elektronicznym w celu uwierzytelnienia. Zapewnia to wykrywalność każdej późniejszej zmiany w dokumencie.

—

certyfikat kwalifikowany, musi w szczególności spełniać następujące wymogi:

—	wskazanie, że został wystawiony jako certyfikat kwalifikowany,

—	dane określające podmiot świadczący usługi certyfikacyjne,

—	nazwę podpisującego,

—	możliwość włączenia szczególnego, dodatkowego elementu uwierzytelnienia, takiego jak data urodzenia podpisującego (w zależności od przeznaczenia certyfikatu),

—	dane służące do weryfikacji podpisu, które muszą odpowiadać danym służącym do składania podpisu pozostającym pod kontrolą podpisującego,

—	dane dotyczące początku i końca okresu ważności certyfikatu,

—	kod identyfikacyjny certyfikatu,

—	zaawansowany podpis elektroniczny wystawiającego certyfikat podmiotu świadczącego usługi certyfikacyjne.

Certyfikat może zostać wydany wyłącznie przez podmiot świadczący usługi certyfikacyjne, który spełnia szczególne wymogi określone dyrektywą.

Dostęp do rynku

Kraje UE nie uzależniają świadczenia usług certyfikacyjnych od jakiegokolwiek uprzedniego zezwolenia.

Kraje UE mogą wprowadzać własne systemy, w celu poprawy poziomu certyfikacji. Nie mogą one ograniczać dozwolonej liczby akredytowanych podmiotów świadczących usługi certyfikacyjne. Nie mogą tez ograniczać dostępu do usług certyfikacyjnych pochodzących z innego kraju UE.

Kraje UE mogą poddać stosowanie podpisów elektronicznych w sektorze publicznym ewentualnym wymogom dodatkowym. Wymogi te muszą być obiektywne, przejrzyste, proporcjonalne i niedyskryminujące.

Skutki prawne podpisów elektronicznych

Zaawansowane podpisy elektroniczne oparte o kwalifikowany certyfikat spełniają wymogi prawne podpisu w odniesieniu do danych w formie elektronicznej w ten sam sposób, co podpis odręczny w odniesieniu do danych znajdujących się na papierze. (Dla ułatwienia tego typu podpis można określać mianem „kwalifikowanego podpisu elektronicznego”. Pomimo, że dyrektywa opisuje tego typu podpis, nie definiuje go). Podpisy elektroniczne są dopuszczalne jako dowód w postępowaniu sądowym.

Nie odmawia się podpisowi elektronicznemu skuteczności prawnej i dopuszczalności jako dowód w postępowaniu sądowym dlatego, że:

—	jest w formie elektronicznej,

—	nie jest oparty na kwalifikowanym certyfikacie,

—	nie jest złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu.

Odpowiedzialność

Kraje UE zapewniają, że podmiot świadczący usługi certyfikacyjne, wystawiający certyfikaty kwalifikowane podlega określonym obowiązkom. Zalicza się do nich odpowiedzialność za szkody wyrządzone osobom lub podmiotom, które w uzasadniony sposób pokładają zaufanie w certyfikacie:

—	w zakresie zgodności wszelkich informacji zawartych w kwalifikowanym certyfikacie w momencie jego wydania,

—	w zakresie kompletności danych przewidzianych dla certyfikatu kwalifikowanego w momencie jego wydania oraz zapewnienia, że podpisujący określony w certyfikacie kwalifikowanym jest osobą, której certyfikat został wydany.

Podmioty świadczące usługi certyfikacyjne mogą podawać granicę wartości transakcji, do której może być użyty certyfikat. Granica ta musi być rozpoznawalna dla osób trzecich. Podmiot świadczący usługi certyfikacyjne nie odpowiada ze szkody wynikające z przekroczenia górnej granicy.

Aspekty międzynarodowe

Kraje UE muszą zapewnić stosowanie zasady wzajemnego uznawania certyfikatów kwalifikowanych i podpisów elektronicznych z krajami spoza UE. Muszą zostać spełnione określone warunki potwierdzające wiarygodność, takie jak:

—	podmiot świadczący usługi certyfikacyjne spoza UE spełnia wymogi niniejszej dyrektywy i jest akredytowany w dobrowolnym systemie akredytacji jednego z krajów UE lub

—	unijny podmiot świadczący usługi spełnia wymogi niniejszej dyrektywy i może zagwarantować certyfikaty podmiotu świadczącego usługi spoza UE w stopniu równym własnemu certyfikatowi.

Komisja Europejska może przedkładać wnioski mające na celu osiągnięcie pełnego stosowania norm i umów międzynarodowych.

Ochrona danych

Kraje UE zapewniają, że podmioty świadczące usługi certyfikacyjne i krajowe organy właściwe do akredytacji i nadzoru spełniają wymogi dyrektywy 95/46/WE w sprawie ochrony danych osobowych.

Przyjęto nowe rozporządzenie w sprawie identyfikacji elektronicznej i usług zaufania (eIDAS)

Rozporządzenie eIDAS (rozporządzenie (UE) nr 910/2014) zostało przyjęte w 2014 r. Weszło ono w życie dnia 17.9.2014 r. i będzie miało zastosowanie od 1.7.2016 r., z wyłączeniem określonych artykułów wymienionych w art. 52 rozporządzenia. Rozporządzenie (UE) nr 910/2014 uchyla dyrektywę 1999/93/WE ze skutkiem od 30.6.2016 r.

Więcej informacji dostępnych jest na stronie internetowej Komisji Europejskiej dotyczącej Europejskiej agendy cyfrowej, poświęconej usługom zaufania.

ODNIESIENIA

Akt	Wejście w życie	Termin transpozycji przez państwa członkowskie	Dziennik Urzędowy Unii Europejskiej
Dyrektywa 1999/93/WE	19.1.2000	18.7.2001	Dz.U. L 13 z 19.1.2000, str. 12-20

Kolejne zmiany i poprawki do dyrektywy 1999/93/WE zostały włączone do tekstu podstawowego. Niniejszy tekst skonsolidowany ma jedynie wartość dokumentalną.

AKTY POWIĄZANE

Komunikat Komisji do Rady, Parlamentu Europejskiego, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów - Plan działania na rzecz e-podpisu i e-identyfikacji w celu ułatwienia świadczenia transgranicznych usług publicznych na jednolitym rynku (COM(2008) 798 final z 28.11.2008).

W niniejszym komunikacie Komisja proponuje przyjęcie planu działania, mającego na celu wsparcie krajów UE we wprowadzaniu wzajemnie uznawanych i interoperacyjnych rozwiązań w zakresie podpisów elektronicznych i e-identyfikacji, które ułatwią świadczenie transgranicznych usług publicznych drogą elektroniczną. Działania te są niezbędne, aby można było zapobiec fragmentacji jednolitego rynku.

Działania wskazane w planie działania podzielono na dwie części:

—	działania zwiększające transgraniczną interoperacyjność kwalifikowanych podpisów elektronicznych i zaawansowanych podpisów elektronicznych w oparciu o certyfikaty kwalifikowane,

—	działania zwiększające transgraniczną interoperacyjność identyfikacji elektronicznej.

Sprawozdanie Komisji dla Parlamentu Europejskiego i Rady - Sprawozdanie z wykonania dyrektywy 1999/93/WE w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (COM(2006) 120 final z 15 marca 2006).

W sprawozdaniu stwierdza się, że kraje UE wprowadziły w życie ogólne zasady dyrektywy.

Komisja zauważa, że uregulowanie statusu prawnego podpisu elektronicznego osiągnięto poprzez transpozycję przepisów dyrektywy do prawodawstwa krajów UE. W związku z tym Komisja uważa, że cele dyrektywy zostały w większości zrealizowane, oraz że na obecnym etapie nie ma wyraźnej potrzeby jej zmiany. Niemniej jednak, wobec licznych problemów, w szczególności dotyczących interoperacyjności, aspektów technicznych i standaryzacji, Komisja przeprowadzi konsultacje z zainteresowanymi stronami, celem ich rozwiązania.

Decyzja Komisji 2003/511/WE z 14 lipca 2003 r. w sprawie publikacji numerów referencyjnych powszechnie uznanych norm dotyczących produktów podpisu elektronicznego zgodnie z dyrektywą 1999/93/WE Parlamentu Europejskiego i Rady (Dziennik Urzędowy L 175 z 15.7.2003, str. 45-46).

W decyzji wydano numery referencyjne dla trzech powszechnie uznanych norm dotyczących produktów podpisu elektronicznego, które zakładają zgodność z kwalifikowanym podpisem elektronicznym.

Decyzja Komisji 2000/709/WE z dnia 6 listopada 2000 r. w sprawie minimalnych kryteriów, jakie powinny zostać wzięte pod uwagę przez Państwa Członkowskie przy wyznaczaniu organów zgodnie z art. 3 ust. 4 dyrektywy 1999/93/WE Parlamentu Europejskiego i Rady w sprawie wspólnotowych ram w zakresie podpisu elektronicznego (Dziennik Urzędowy L 289 z 16.11.2000, str. 42-43).

W decyzji określono kryteria, jakie powinny zostać wzięte pod uwagę przez kraje UE przy wyznaczaniu krajowych organów nadzorczych, mających oceniać zgodność bezpiecznych urządzeń do składania podpisu.

Ostatnia aktualizacja: 09.01.2015