Niekwestionowanym liderem rankingu popularny narzędzi Legaltech w Polsce jest… kwalifikowany podpis elektroniczny. Będę go dalej określał jako QESig co jest skrótem anglojęzycznego terminu qualified electronic signature.
Jak wynika z raportu przygotowanego przez Wydawnictwo CH Beck „Raport LegalTech 2021”, ponad połowa ankietowanych prawników korzystała z kwalifikowanego podpisu elektronicznego. Podpis elektroniczny został też uznany przez ponad 82% respondentów za najważniejszy obszar Legaltech dla rozwoju branży prawniczej.
Warto przypomnieć, że ustawa o podpisach elektronicznych została uchwalona w 2001 r. – jednak kwalifikowany podpis (zwany wtedy bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu) kariery nie zrobił. Pandemia przwróciła kwalifikowany podpis do łask – jednak czy naprawdę potrafimy z niego korzystać?
Czy naprawdę potrafimy korzystać z QESig?
Z moich obserwacji wynika, że znajmość QESig sprowadza się zazwyczaj do umiejętności korzystania z interfejsu programu takiego jak Szafir czy ProCertum służącego do składania podpisu.
Zdecydowana większość użytkowników QESig traktuje go ponadto jako substytut podpisu własnoręcznego. Oznacza to w praktyce przeniesienie wszystkich nawyków związanych z podpisywaniem dokumentów papierowych.
Stosowanie QESig w taki sposób zatem najczęściej polega na:
- Przekształceniu wydruku (pliku) w formę pdf
- Podpisaniu pliku PDF z umieszczeniem graficznego symbolu podpisu w miejscu, gdzie tradycyjnie byłby złożony podpis własnoręczny
- Przesłaniu takiego pliku mailem jako załącznika.
Takie podejście do QESig sprawia, że nie wykorzystujemy wielu zalet QESig dających mu przewagę nad tradycyjnym podpisem własnoręcznym.
QESig jako parafa, QESig jako potwierdzenie gotowości do podpisu, QESig jako…
Program do QESig można tak skonfigurować, aby w trakcie podpisywania można było dodać tzw. kontekst podpisu – tzn. celu złożenia podpisu. Powód podpisu pojawi się wówczas we właściwościach podpisu oraz w graficznym symbolu.
Funkcjonalność ta pozwala na podpisywanie QESig dokumentów przez osoby, które nie składają oświadczeń woli, a jedynie np. parafują dokument, potwierdzają jego zgodność formalno-prawną lub potwierdzają istnienie dokumentu w określonej dacie.
W przypadku składania podpisów przez osoby, które bezpośrednio składają oświadczenia woli w swoim imieniu lub reprezentowanego podmiotu, dodawanie kontekstu podpisu nie jest konieczne.
Tu można zobaczyć krótkie wideo, na którym pokazuję, jak parafować dokumenty przy pomocy programu ProCertum. Analogicznie można podać dowolny inny cel zastosowania podpisu.
Dokument do podpisania QESig nie powinien wyglądać jak formularz
W dokumentach podpisywanych w formie elektronicznej (czyli z użyciem QESig) zbędnych jest szereg informacji umieszczanych w dokumentach podpisywanych własnoręcznie.
Szczególnie dobrze to widać w przypadku umów. Z umów można (a nawet trzeba) wykreślić:
- postanowienie o miejscu zawarcia umowy
Ta informacja będzie wprowadzać w błąd, gdyż prawie na pewno osoby składające podpisy elektroniczne przebywają w innych miejscach. Alternatywnie można dodać informację o miejscu złożenia podpisu, co może mieć znaczenie przy umowach z elementem międzynarodowym. Pomocne może też być domniemanie z art. 70 § 2 kodeksu cywilnego.
- postanowienie o dacie zawarcia umowy
Data złożenia podpisu wynika wprost z właściwości QESig. Pomocne będzie domniemanie z art. 70 § 1 kodeksu cywilnego. Warto jednak dodać np. datę wejścia w życie, nadać umowie numer lub specyficzny tytuł – inaczej będziemy mieli problem z powoływaniem się na taką umowę w przyszłości.
- postanowienie o liczbie „jednobrzmiących” egzemplarzy umowy
Umowa w formie elektronicznej może występować w dowolnej liczbie identycznych egzemplarzy – każdy jest oryginałem.
Warto także wyeliminować z umów wymóg formy pisemnej (zwłaszcza „pod rygorem nieważności”) dla rozmaitych zawiadomień, wniosków lub zgód potrzebnych w ramach wykonania umowy – tak, aby nie było wątpliwości, czy taka forma może być swobodnie zastąpiona formą elektroniczną. W większości przypadków wystarczająca jest zresztą forma dokumentowa.
Jak sprawdzić, czy dokumenty został podpisany QESig?
Jednak prawdziwym sprawdzianem dla umiejętności posługiwania się QESig jest chwila, gdy otrzymujemy komunikat o błędzie w weryfikacji podpisu.
Nie każdy taki komunikat jest równoważny z nieważnością podpisu. Trzeba nauczyć się interpretować takie komunikaty, bowiem jakość weryfikacji realizowanej za pomocą poszczególnych aplikacji do obsługi QESig jest bardzo różna.
Przykładowo, niektóre programy nie radzą sobie z weryfikacją QESig wystawionych przez dostawców spoza Polski (a jest ich ponad 100 w UE – w Polsce pięciu). Nie wszystkie radzą sobie z weryfikacją podpisów pod dokumentami w formacie innym niż pdf.
Żeby prawidłowo weryfikować QESig, musimy wiedzieć, jak działają usługi zaufania (np. rozumieć, że certyfikaty podpisu wygasają po pewnym czasie, ale nie jest to równoważne z nieważnością podpisów złożonych przy pomocy takiego certyfikatu w czasie jego ważności) oraz orientować się w interfejsach różnych aplikacji. Musimy także mieć zaufanie do swojej wiedzy w tym zakresie…
W dużym skrócie – dokument został podpisany QESig, jeśli możemy uzyskać łącznie dwie informacje:
• że certyfikat podpisu jest kwalifikowany (zgodnie z eIDAS Załącznik I) oraz że
• do złożenia podpisu zostało użyte kwalifikowane urządzenie (jeśli ten warunek nie jest spełniony, mamy do czynienia najprawdopodobniej z tzw. zaawansowanym podpisem elektronicznym, który nie jest QESig).
Jeśli ktoś nie ufa swojej wiedzy w tym zakresie, może użyć usługi kwalifikowanej walidacji podpisu elektronicznego (QVal for QESig). Usługi takie są płatne.
Upływ czasu a umowa podpisana elektronicznie
Przy dokumentach z podpisem własnoręcznym nie martwimy się upływem czasu – co najwyżej wyblaknie atrament. Jednak przy QESig jest to kwestia kluczowa. Po upływie ważności certyfikatów użytych do podpisu, będzie pojawiał się nam komunikat o problemach z walidacją podpisu. Żeby tego uniknąć (bo oznacza to, że trzeba będzie za każdym razem badać taki podpis i zastanawiać się, czy jest ważny), warto podjąć proste działania już w momencie składania podpisu.
LTA, LTV, znacznik czasu
Jeśli w opcjach programu do podpisu elektronicznego uaktywnimy funkcję LTA lub LTV (Long Term Archiving/Validation), do podpisu będzie dodawana lista certyfikatów i lista CRL, co umożliwi łatwą weryfikację podpisu, nawet jeśli certyfikat dostawcy usług zaufania utracił ważność albo przestał on świadczyć takie usługi.
Warto także przy składaniu podpisu zawsze dodawać znacznik czasu. Kwalifikowany znacznik czasu ma walor prawny daty pewnej. Dodanie znacznika czasu ułatwi weryfikację podpisów elektronicznych w przyszłości i pozwoli wykazać, że podpis został złożony w okresie ważności certyfikatu.
Samodzielna konserwacja QESig
Jeśli przy podpisywaniu dokumentu nie zostały dodane znaczniki czasu ani też nie została użyta opcja LTA/LTV, można samodzielnie dodać taki znacznik do już podpisanego dokumentu, konserwując go w ten sposób.
QPres for QESig
Warto także pamiętać, że rozporządzenia eIDAS przewidziało możliwość świadczenia usług kwalifikowanej konserwacji QESig (jej skrócona nazwa w j. angielskim to QPres for QESig). Usługa ta ma na celu długoterminową konserwację informacji w celu zapewnienia prawnej ważności podpisów elektronicznych przez wydłużone okresy oraz zagwarantowania możliwości ich walidacji bez względu na przyszłe zmiany technologiczne. Obecnie jest ona świadczona w Polsce tylko przez jednego dostawcę. Jakiego? Sprawdzisz tu.
Archiwizacja
Niezależnie od tego, jak radzimy sobie na co dzień z konserwacją elektronicznych podpisów, wcześniej lub później każda organizacja, która zdigitalizowała swoją działalność, powinna wdrożyć u siebie usługi elektronicznej archiwizacji.
Wiele państw wprowadziło obowiązek prowadzenia elektronicznych archiwów (np. Włochy, Francja, Rumunia, Węgry). Polskie prawo na razie nie reguluje obowiązków związanych z archiwizacją dokumentów elektronicznych, jednak bez takiego archiwum każda organizacja wcześniej lub później popadnie w kłopoty dotyczące np. dochodzenia roszczeń w sądzie na podstawie elektronicznych dokumentów. Archiwizacja dokumentów elektronicznych to nie tylko zapewnienie integralności dokumentów i pewność, że nikt nie ingerował w ich treść, to także zapewnienie możliwości odczytania dokumentów pomimo zmian technologicznych i np. zaprzestania używania określonych formatów zapisu plików.
QESig w zamówieniach publicznych
Mimo, że QESig stosowany jest zamówieniach publicznych już od października 2018 r., to nadal pojawiają się wątpliwości związane z jego stosowaniem, zwłaszcza, gdy w postępowaniu biorą udział wykonawcy zagraniczni.
Nie spotkałem w praktyce choćby jednego przypadku, gdy zagraniczny wykonawca sam, bez wsparcia doświadczonego polskiego doradcy, poradził sobie z podpisaniem QESig wniosku, oferty lub innego wymaganego dokumentu. Czasami się zdarza, że aż 80% złożonych ofert zagranicznych wykonawców ma wadę formalną w postaci nieprawidłowego podpisu.
Mam nadzieję, że ten skrócony poradnik się komuś przyda. Po więcej odsyłam do artykułu Kwalifikowane podpisy elektroniczne – praktyczne aspekty, w którym rozwijam szereg tu tylko wzmiankowanych kwestii lub do kontaktu ze mną.
Znaj proporcjum, mocium panie… – poradnik dotyczący stosowania zasady proporcjonalności w zamówieniach publicznych