Coraz częściej papierowa forma dokumentu jest zastępowana przez odpowiadającą jej formę elektroniczną. Wynika to przede wszystkim z wygody (dokument w wersji elektronicznej może być łatwo przygotowany, można go wielokrotnie modyfikować, zapisywać w strukturach, które ułatwiają przeszukiwanie, przechowywanie i przetwarzanie w systemach informatycznych) oraz szybkości przekazywania takich dokumentów (dokument elektroniczny można przesyłać pomiędzy komputerami połączonymi w sieć, nawet wtedy, gdy komputery są odległe od siebie o tysiące kilometrów). Dokument elektroniczny musi być równoważny dokumentowi papierowemu, przy czym równoważność oznacza w tym przypadków równoważność skutków prawnych. Dodatkowo, jeśli wymagane jest opatrzenie dokumentu podpisem własnoręcznym, to musi także istnieć elektroniczna forma podpisu (tzw. podpis elektroniczny) równoważna podpisowi własnoręcznemu. Dzięki dwóm ustawom, tj. ustawie o podpisie elektronicznym i ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne - polski system prawny dopuszcza istnienie obu wspomnianych równoważnych form. Nie każdy podpis elektroniczny jest równoważny podpisowi własnoręcznemu. Aby osiągnąć tego typu równoważność spełnione muszą być 2 warunki: » musi być złożony przez osobę fizyczną za pomocą bezpiecznego urządzenia służącego do składania podpisu elektronicznego oraz » być weryfikowany za pomocą certyfikatu kwalifikowanego. Każdy podpis, który spełnia te warunki jest nazywany kwalifikowanym podpisem elektronicznym. Bezpieczne urządzenie do składania podpisu elektronicznego jest odpowiednikiem długopisu, pióra, itp., używanego do składania podpisu na papierze. Jest tak skonstruowane, aby bardzo silnie chronić dane sekretne używane do złożenia podpisu elektronicznego, wiarygodnie zaprezentować zawartość podpisywanego dokumentu elektronicznego, umożliwić złożenie podpisu elektronicznego w jednym z 3 formatów dopuszczonych przez przepisy oraz związać podpis z konkretną osobą składającą podpis elektroniczny. Tą ostatnią cechę uzyskuje się dzięki unikalnemu certyfikatowi wydanemu wyłącznie osobie fizycznej w celu składania podpisu elektronicznego. Przy czym równoważność podpisu własnoręcznego i podpisu elektronicznego wymaga, aby był to certyfikat kwalifikowany.

Ważne! Bezpieczny podpis elektroniczny - tylko z certyfikatem kwalifikowanym! Certyfikat kwalifikowany wiąże tożsamość osoby składającej podpis elektroniczny z danymi, które służą do weryfikacji każdego podpisu elektronicznego złożonego przez tą osobę. Certyfikat można uważać za elektroniczny dowód tożsamości. Wynika to z faktu, że weryfikacja podpisu elektronicznego odbywa się za pomocą danych służących do weryfikacji, zawartych w certyfikacie. Jeśli więc weryfikacja podpisu zakończy się pozytywnie, to wystarczy zajrzeć do elektronicznego dowodu tożsamości (certyfikatu kwalifikowanego) i sprawdzić, kto złożył podpis.

Wiarygodność tożsamości zawartej w certyfikacie jest istotnym czynnikiem autentyczności podpisu elektronicznego. Najwyższym poziomem zaufania charakteryzują się certyfikaty wydawane przez kwalifikowane podmioty świadczące usługi certyfikacyjne, wpisane do rejestru prowadzonego przez ministra ds. gospodarki (obecnie znajdują się w nim trzy podmioty: CERTUM (www.certum.pl), Sigillum (www.sigillum.pl) oraz Szafir (www.kir.com.pl)). Wpisanie podmiotu do tego rejestru i wystawienie mu odpowiedniego zaświadczenia jest swoistym znakiem jakości takiego podmiotu, potwierdzającym jego wiarygodność na rynku. Składanie i weryfikacja kwalifikowanego podpisu elektronicznego są dwoma oddzielnymi czynnościami - tak, jak w przypadku podpisu własnoręcznego składanego pod dokumentem elektronicznym. Osoba składająca podpis elektroniczny używa do złożenia podpisu bezpiecznego urządzenia do składania podpisu elektronicznego, zaś osoba weryfikująca - bezpiecznego urządzenia do weryfikacji podpisu elektronicznego. W obu przypadkach jest to sprzęt i oprogramowanie, spełniające wysokie wymagania określone w aktach wykonawczych do ustawy o podpisie elektronicznym i posiadające certyfikaty zgodności potwierdzające spełnienie tych wymagań. Producentami tego typu urządzeń nie muszą być kwalifikowane podmioty świadczące usługi certyfikacyjne. Proces wydawania certyfikatów kwalifikowanych jest ściśle regulowany przez akty wykonawcze do ustawy o podpisie elektronicznym i jest wiązany z dwoma istotnymi elementami: » potwierdzeniem tożsamości osoby występującej o certyfikat i » gwarancją jakości (w tym niepowtarzalności) danych służących do składania i weryfikacji podpisu elektronicznego generowanych w tzw. bezpiecznym środowisku. Krok 1. Zgłoszenie Pierwszy krokiem w kierunku uzyskania bezpiecznego podpisu elektronicznego jest wypełnienie wniosku o wydanie certyfikatu (tzw. zgłoszenia). We wniosku osoba ubiegająca się o e-podpis musi podać swoje dane identyfikacyjne (imię, nazwisko, adres zameldowania, nr PESEL i NIP oraz dowody tożsamości, potwierdzające te dane - najczęściej potwierdza się je na podstawie dwóch dokumentów). Najbardziej czasochłonne jest potwierdzenie tożsamości osoby składającej podpis elektroniczny. Wymaga ono sprawdzenia danych zawartych we wniosku o wydanie certyfikatu z danymi zawartymi w ważnym dowodzie osobistym lub paszporcie. Sprawdzenie to wymaga osobistego stawienia się osoby występującej o wydanie certyfikatu w jednym z punktów rejestracji, prowadzonym przez kwalifikowany podmiot świadczący usługi certyfikacyjne, umówienia się z uprawnionym przedstawicielem takiego punktu rejestracji lub udania się do najbliższego biura notarialnego.

Ważne! Bezpieczny podpis - indywidualnie dla każdej osoby Warto pamiętać, że bezpieczny podpis elektroniczny - tak, jak podpis własnoręczny - jest przypisany do każdej osoby indywidualnie. Nie ma zatem możliwości uzyskania certyfikatu kwalifikowanego, służącego do weryfikacji podpisu (i identyfikacji osoby składającej podpis), np. na firmę. Jeśli zatem w zakładzie pracy przekazywaniem dokumentów ubezpieczeniowych do ZUS-u zajmują się np. 2 osoby - konieczne jest uzyskanie certyfikatu kwalifikowanego dla każdej z nich.

Krok 2. Zawarcie umowy o wydanie kwalifikowanego certyfikatu Na podstawie potwierdzonych danych oraz po poinformowaniu osoby ubiegającej się o certyfikat o warunkach uzyskania i używania certyfikatu, w tym o wszelkich ograniczeniach jego użycia, wystawiana jest umowa o wydanie kwalifikowanego certyfikatu, która musi być podpisana własnoręcznie przez wnioskodawcę. Bez ważnej umowy podmiot świadczący usługi certyfikacyjne nie może wydać certyfikatu kwalifikowanego. Mimo, że kwalifikowane podmioty świadczące usługi certyfikacyjne dysponują rozległą siecią punktów obsługi klientów, w tym punktów potwierdzania tożsamości, to czas wydawania certyfikatu kwalifikowanego waha się obecnie od tygodnia do paru tygodni. Aby ten czas skrócić, kwalifikowane podmioty świadczące usługi certyfikacyjne wprowadzają różne usprawnienia. Najnowszym przykładem tego typu usprawnienia jest sprzedaż certyfikatów przez Internet. Polega ono na sprzedaży gotowych zestawów do składania i weryfikacji kwalifikowanego podpisu elektronicznego za pośrednictwem sklepu internetowego oraz punktów obsługi klientów. Po zakupieniu zestawu klient może na stronie www wypełnić formularz z danymi do umowy, powiązać je z unikalnym numerem zestawu i wysłać do realizacji. Podane dane są potwierdzane przez osobę, która posiada upoważnienie właściwego kwalifikowanego podmiotu świadczącego usługi certyfikacyjne lub przez notariusza (w obu przypadkach wymaga to niestety osobistego stawienia się wnioskodawcy). Koszty korzystania z podpisu elektronicznego podzielone są pomiędzy osobę składającą kwalifikowany podpis elektroniczny (podpisującego) oraz osobę weryfikującą ten podpis (weryfikator). Jeśli koszty te podzielić na jednorazowe i okresowe, to w lepszej sytuacji jest weryfikator, który nie musi ponosić żadnych kosztów jednorazowych (aplikacje do weryfikacji kwalifikowanego podpisu elektronicznego są udostępniane nieodpłatnie), zaś koszty okresowe pojawiają się dopiero po wykupieniu dostępu do dodatkowych usług certyfikacyjnych, np. usługi znacznika czasu lub usługi weryfikacji podpisu. Usługi dodatkowe mogą być udostępniane na podstawie wykupionego abonamentu, którego wysokość zależy od liczby odwołań do usługi oraz typu usługi i może wahać się w cenach netto od 20 gr do 60 gr za jedno odwołanie. Podmiot podpisujący, rozpoczynając korzystanie z kwalifikowanego podpisu elektronicznego musi ponieść jednorazowo koszty zakupu zestawu do składania kwalifikowanego podpisu elektronicznego. Zestaw ten zawiera (opcjonalnie) czytnik kart kryptograficznych, kartę kryptograficzną (tzw. komponent techniczny), oprogramowanie służące do składania podpisu elektronicznego oraz certyfikat kwalifikowany. Cena netto zestawu waha się pomiędzy 290 zł (w przypadku certyfikatów wydawanych na okres 1 roku) a 350 zł (w przypadku certyfikatów 2-letnich). Podmiot podpisujący, który posiada już zestaw do składania musi jedynie zakupić nowy certyfikat kwalifikowany w cenie netto od 95 zł do 130 zł. Dodatkowe koszty okresowe podpisującego są porównywalne z kosztami okresowymi weryfikatora. Czy podane wyżej koszty są wysokie? Tak, jeśli rocznie składamy tylko parę podpisów i zdecydowanie niskie w przypadku kilkuset lub przy jeszcze większej liczbie składanych rocznie podpisów Według stanu na 30 maja 2008 r. w Polsce wydano ponad 57.000 certyfikatów kwalifikowanych. Jak na ogólna liczbę obywateli Polski, nie jest to imponująca liczba. Jeśli wziąć jednak pod uwagę tylko 2008 r. to przyrost jest imponujący - o ponad 30.000 certyfikatów kwalifikowanych. To gwałtowne przyspieszenie liczby certyfikatów związane jest z obowiązkiem przekazywania od 21 lipca 2008 r. elektronicznych dokumentów dotyczących płatników składek ZUS, opatrzonych kwalifikowanym podpisem elektronicznym. Mimo, że obowiązek ten zostanie prawdopodobnie przesunięty - zgodnie z propozycją nowelizacji ustawy o informatyzacji - aż do momentu utraty ważności certyfikatów niekwalifikowanych już wydanych płatnikom przez ZUS, to taka tendencja przyrostowa powinna zachować się przez najbliższy rok. Płatnicy składek ZUS korzystają z aplikacji Płatnik, która pozwala im na przygotowanie elektronicznych dokumentów ubezpieczeniowych oraz wymianę informacji z Zakładem Ubezpieczeń Społecznych. Obecna wersja pozwala na podpisanie przekazywanego dokumentu zarówno niekwalifikowanym podpisem elektronicznym (tzn. takim, który jest weryfikowany za pomocą certyfikatu niekwalifikowanego wydanego przez CERTUM - centrum certyfikacji utworzone w 1999 r. specjalnie dla płatników ZUS), jak również kwalifikowanym podpisem elektronicznym. Dokumenty przekazywane są do ZUS za pośrednictwem Systemu Dwustronnej Wymiany Informacji (SDWI), który oprócz przekazywania dokumentów do ZUS drogą elektroniczną umożliwia płatnikom odbieranie informacji z ZUS. Program Płatnik pracuje pod kontrolą systemu operacyjnego Windows. Może z niego korzystać wielu użytkowników, których wcześniej administrator programu Płatnik zarejestrował w programie i nadał im odpowiednie uprawnienia. Konkurencję dla Płatnika miał stanowić program Janosik, pracujący pod kontrolą systemu operacyjnego Linux. Niestety na razie brak jest informacji na temat postępu prac nad tym programem. Warto nadmienić, że płatnicy ZUS mogą także drogą elektroniczną zwracać się do ZUS z wnioskiem np. o wydanie zaświadczenia o niezaleganiu ze składkami. Wniosek taki, po opatrzeniu go podpisem kwalifikowanym, jest przesyłany przez wnioskodawcę do elektronicznej skrzynki podawczej ZUS. Podpis kwalifikowany może być stosowany także w wielu innych aplikacjach, m.in. aplikacjach do obsługi: » elektronicznych platform przetargowych, np. Polskiej Platformy Przetargowej (PPP), zarządzanej przez Polską Wytwórnię Papierów Wartościowych S.A. w Warszawie (www.ppp.pwpw.pl), Elektronicznej Platformy Przetargowej e-przetarg.pl (EPP), zarządzanej przez SOLDEA sp.j (www.e-przetarg.pl) i Przetargi Elektroniczne (PE) firmy eTender Polska Sp. z o.o. (www.etender.pl), » systemu e-Deklaracje (jest częścią systemu e-Podatki), który umożliwia obsługę dokumentów elektronicznych przez administrację podatkową, np. corocznych zeznań o osiągniętych dochodach przez osoby fizyczne; » systemu SI GIIF, która ułatwia wielu jednostkom wywiązanie się z obowiązku comiesięcznego przesyłania do Generalnego Inspektora Informacji Finansowej (GIIF) raportów dotyczących zrealizowanych transakcji powyżej 15.000 euro, » systemów e-Faktury, umożliwiających wystawiane, przesyłane i przechowywane faktur w formie elektronicznej; obecnie faktury elektroniczne wystawia m.in. Telekomunikacja Polska S.A., » systemu e-GIODO, który za pomocą wniosku elektronicznego umożliwia zgłoszenie zbioru danych osobowych do zarejestrowania przez Głównego Inspektora Ochrony Danych Osobowych. Rozporządzenie Rady Ministrów z 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego uznaje za prawnie ważne trzy podstawowe formaty podpisu elektronicznego: » format CAdES wg specyfikacji ETSI TS 101 733 Electronic Signature Format, » format XAdES wg ETSI TS 101 903 XML Advanced Electronic Signatures, » format PKCS#7 Cryptographic Message Syntax Standard. Dozwolone są także inne formaty podpisu elektronicznego, o ile taki format został wcześniej zarejestrowany i opatrzony identyfikatorem obiektu.

Ważne! Odpowiedzialność za e-podpis ponosi osoba, która go złożyła Certyfikaty kwalifikowane, zgodnie ustawą o podpisie elektronicznym, mogą być wydawane tylko osobom fizycznym. Na posiadacza certyfikatu kwalifikowanego nakłada się także obowiązek posiadania wyłącznej kontroli nad bezpiecznym urządzeniem do składania bezpiecznego podpisu. W praktyce, w przypadku aplikacji dostępnych obecnie na rynku, oznacza to, że oprogramowanie podpisujące powinno być zainstalowanie lokalnie na stacji roboczej (o ile nie znajduje się w miejscu publicznym) lub komputerze przenośnym. Za właściwe skonfigurowanie tego oprogramowania odpowiada osobiście podmiot podpisujący lub administrator stacji/komputera przenośnego. Karta kryptograficzna, na której przechowywane są dane służące do składania podpisu elektronicznego musi być oczywiście cały czas pod kontrolą podpisującego.