Dlaczego warto korzystać z kwalifikowanej usługi walidacji (QVS) kwalifikowanego podpisu elektronicznego (QES) i kwalifikowanej pieczęci elektronicznej (QESeal)

Czym jest walidacja? Czym różni się od sprawdzenie lub weryfikacji ważności podpisu elektronicznego?

Nie wnikając w słownikowe znaczenie tego pojęcia wyjaśnijmy je na gruncie obowiązujących  przepisów dotyczących obrotu prawnego dokumentowanego w postaci elektronicznej.

Odpowiedź znajdziemy w rozporządzeniu UE 910/2014 zwanym eIDAS, który stanowi akt prawny obowiązujący bezpośrednio i jednolicie we wszystkich państwach członkowskich Unii Europejskiej. W art. 3 p 41) czytamy:

„walidacja” oznacza proces weryfikacji i potwierdzenia ważności podpisu elektronicznego lub pieczęci.

W praktyce oznacza to, że korzystając z usługi walidacji w celu sprawdzenia ważności podpisu elektronicznego, którym opatrzony jest dokument, otrzymamy nie tylko informację o ważności tego podpisu (lub jego nieważności), ale również potwierdzenie tego faktu w postaci elektronicznego poświadczenia (dokumentu) wydanego przez usługę walidacji.

W obrocie prawnym istotna jest pewność, że mamy do czynienia z ważnym kwalifikowanym podpisem elektronicznym (QES), szczególnie w sytuacji, gdy podpisany dokument dla swojej ważności lub mocy dowodowej musi spełniać wymagania kodeksu cywilnego w zakresie formy elektronicznej równoważnej formie pisemnej. Co więcej, nie wystarczy tylko mieć tę pewność w momencie akceptowania dokumentu (np. w momencie zwierania umowy na odległość drogą elektroniczną), ale również należy mieć gwarancję, że tę pewność np. po kilku latach podzieli również sąd, który będzie rozstrzygał o racji jednej ze stron na podstawie elektronicznie podpisanego w przeszłości dokumentu.

Takiej pewności nie daje nam weryfikacja dokonywana za pomocą wielu dostępnych na rynku różnego rodzaju programów lub usług służących do weryfikacji podpisów i pieczęci elektronicznych?  Są dwa główne powody.

  • Nie mamy całkowitej pewności, że w procesie weryfikacji brane są pod uwagę i sprawdzane są wszystkie warunki decydujące o uznaniu podpisu za ważny QES. Dostawcy oprogramowania lub usług raczej nie deklarują, że ponoszą odpowiedzialność finansową i prawną za szkody wynikłe z wadliwie przeprowadzonej weryfikacji. A nawet jeżeli taka deklaracja miałaby miejsce, to wykazanie, że uzyskano błędny wynik byłoby trudne ze względu na brak bezpośredniego dowodu na przeprowadzenie weryfikacji i uzyskanego rezultatu.
  • Jeżeli nawet zaprezentowany wynik weryfikacji był wiarygodny i pozytywny, to może okazać się, że nie da się tego wyniku skutecznie potwierdzić w przyszłości lub ponownie uzyskać taki sam rezultat, gdy po dłuższym okresie dokonamy ponownego sprawdzenia ważności tego samego QES. Dzieje się tak dlatego, że weryfikacja może dać poprawny wynik przede wszystkim w przypadku, gdy certyfikat (podpisującego), za pomocą którego następuje sprawdzenie podpisu jest w okresie swojej ważności. Po tym okresie podpis, jeżeli był ważny, nadal oczywiście pozostaje ważny, ale powstaje problem z jednoznacznym wykazaniem tego faktu.

 

Usługa walidacji natomiast wydaje zaświadczenie o wyniku przeprowadzonej weryfikacji, które może stanowić dowód ważności QES w długiej perspektywie czasu. Warunkiem uznania tego dowodu jest z kolei wiarygodność samej usługi. Tu dochodzimy do odpowiedzi na tytułowe pytanie:  zaświadczenie potwierdzające ważność kwalifikowanego podpisu elektronicznego (QES) wydane przez kwalifikowaną usługę walidacji (QVS) korzysta z prawnego (na podstawie przepisów eIDAS) domniemania prawdziwości i stanowi uznawany również przez sądy wiarygodny dowód na ważność QES niezależnie od tego, czy np. certyfikat podpisującego międzyczasie utracił swoją ważność.

Kwalifikowany status usłudze walidacji, podobnie jak pozostałym kwalifikowanym usługom zaufania nadaje organ nadzoru poprzez wpisanie danej usługi do rejestru kwalifikowanych usług zaufania. W Polsce rolę organu nadzoru pełni Ministerstwo Cyfryzacji, które wydaje decyzję o wpisie do rejestru po otrzymaniu dowodów na działanie usługi zgodnie z wymogami prawnymi, organizacyjnymi i technicznym, które określone są w rozporządzeniu eIDAS i wydanych na jego podstawie decyzjach  oraz wskazanych w tych decyzjach normach i standardach. Zgodność działania kwalifikowanego dostawcy usługi  z tymi wymogami musi być potwierdzana okresowo przez niezależną jednostkę audytorską. A usługodawca musi być wysoko ubezpieczony na wypadek popełnienia błędu i wyrządzenia tym szkody stronie ufającej. Rejestr polskich kwalifikowanych dostawców usług zaufania, w tym kwalifikowanej usługi walidacji dostępny jest pod adresem: www.nccert.pl

Warto podkreślić, że intencją unijnego prawodawcy wprowadzającego do porządku prawnego kwalifikowane usługi zaufania, w tym kwalifikowaną walidację było po pierwsze, zagwarantowanie bezpieczeństwa elektronicznego obrotu prawnego poprzez obarczenie szczególną odpowiedzialnością (również finansową) dostawców tych usług, aby pozostali uczestnicy tego obrotu korzystając z usług kwalifikowanych mieli pewność poprawności dokonywanych czynności prawnych bez wnikania w zawiłości legislacji i powiązane z nimi złożone zagadnienia techniczne, w szczególności z dziedziny kryptografii. Po drugie, uczynienie elektronicznych instrumentów prawnych uniwersalnymi w skali UE w taki sposób, że kwalifikowany podpis elektroniczny (podobnie jak pieczęć) musi być rozpoznawalny i akceptowany niezależnie od tego z jakiego kraju jest dostawca usług zaufania, przy wykorzystaniu których dany podpis powstał.

Kwalifikowana usługa walidacji daje gwarancję poprawności oceny ważności kwalifikowanych podpisów elektronicznych w obrocie transgranicznym i zapewnia moc dowodową na tę okoliczność w dłuższym okresie czasu.

Należy jednak pamiętać, że o ważności lub nieważności kwalifikowanego podpisu elektronicznego decyduje kilka czynników, w tym użyte środki oraz sposób i moment jego złożenia, a walidacja ma tylko tę ważność sprawdzić i potwierdzić. W praktyce zdarzają się przypadki i sytuacje, gdy usługa walidacji,  nie jest wstanie jednoznacznie stwierdzić ważność lub nieważność kwalifikowanego podpisu. Tak więc raport walidacyjny może zawierać jedną z trzech informacji: podpis kwalifikowany ważny, podpis kwalifikowany nieważny, wynik weryfikacji nieokreślony. O ile dwa pierwsze przypadki nie budzą wątpliwości interpretacyjnych, o tyle status nieokreślony powoduje dużo nieporozumień i wart jest nieco szerszego wyjaśnienia, aby zminimalizować ryzyko złej oceny ważności dokumentu elektronicznego. Zrozumienie przyczyn związanych z problemem jednoznacznej weryfikacji podpisu elektronicznego może pomóc przede wszystkim w wyborze odpowiedniego skonfigurowanego oprogramowania i sposobu składania kwalifikowanego podpisu elektronicznego, aby nie mieć problemów z jego uznaniem przez drugą stronę biorącą udział w danej czynności prawnej, a w dłuższej perspektywie uznaniu ważności podpisów, gdyby doszło już np. do procesu sądowego.

Najwięcej kontrowersji budzą znane z praktyki przypadki uznawania lub nie podpisów bazujących na różnych algorytmach kryptograficznych (w tym „słynne” SHA-1) oraz podpisów weryfikowanych po utracie ważności przez certyfikat, szczególnie w sytuacji, gdy podpis nie był oznaczony kwalifikowanym znacznikiem czasu.

Niekiedy, gdy usługa walidacji nie jest wstanie w sposób automatyczny dokonać jednoznacznej weryfikacji ważności podpisu elektronicznego, usługodawca może w drodze analizy eksperckiej dokonać właściwej oceny i wydać stosowny raport.

O różnych, często bardzo istotnych dla stron danej czynności prawnej, występujących problemach interpretacyjnych w ocenie ważności QES będą traktować kolejne artykuły.

Szanowna Użytkowniczko/Szanowny Użytkowniku

Zgodnie z art. 13 ust. 1 i 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r (zwanego dalej „Rozporządzenie”) informuję, iż:

  • Administratorem Pani/Pana danych osobowych jest Asseco Data Systems S.A. z siedzibą w Gdyni, ul. Podolska 21, 81-321 Gdynia;
  • Kontakt do Inspektora ochrony danych w Asseco Data Systems S.A. można uzyskać pod adresem e – mail: IOD@assecods.pl, tel.+48 42 675 63 60.
  • Pani/Pana dane osobowe przetwarzane będą w celu:
    1. przygotowania odpowiedzi na zapytanie na podstawie art. 6 ust. 1 lit. b Rozporządzenia.
    2. przesyłania informacji marketingowych za pomocą środków komunikacji elektronicznej i programów automatyzujących na podstawie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i w zw. z art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. prawa telekomunikacyjnego (zgoda alternatywna) na podstawie art. 6 ust. 1 lit. a Rozporządzenia.
  • Pani/Pana dane osobowe będą przechowywane przez okres niezbędny do przygotowania i przedstawienia odpowiedzi na zapytanie oraz do czasu cofnięcia przez Panią/Pana wyrażonej zgody na otrzymywanie informacji marketingowych.
  • Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia/zapomnienia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Realizację wszystkich powyższych praw można zrealizować poprzez wniosek złożony na stronie https://www.daneosobowe.assecods.pl
  • Ma Pani/Pan prawo wniesienia skargi do Regulatora, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy Rozporządzenia.
  • Podanie przez Pana/Panią danych osobowych jest niezbędne do realizacji wniosku z zapytaniem. Jest Pan/Pani zobowiązana do ich podania, a konsekwencją niepodania danych osobowych będzie brak możliwości uzyskania odpowiedzi na wysłane zapytanie.
  • Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach przetwarzania danych osobowych podanych przy utworzeniu Konta i uzupełnianiu danych w nim zawartych oraz danych dotyczących aktywności w Serwisach (zgodnie z Polityką prywatności serwisu internetowego Asseco Data Systems S.A. Polityka prywatności)
    i aktywności związanej z naszą komunikacją mailową z Panią/Panem, a efektem takiego przetwarzania będzie dopasowanie informacji marketingowych dotyczących naszych produktów i usług, które mogą Panią/Pana zainteresować.
Polityka prywatności
Wielkość czcionki