1. Czym jest podpis elektroniczny?

Podpis elektroniczny to dane w postaci elektronicznej, które służą do identyfikacji osoby składającej podpis. Można też inaczej powiedzieć, że podpisem elektronicznym jest każda informacja w postaci elektoronicznej, dzięki której następuje identyfikacja podpisującego. Każde dane w postaci elektronicznej, a więc zarówno w postaci cyfrowej (np. na dysku komputera) jak i analogowym (np. na taśmie magnetofonowej), których przeznaczeniem jest ustalenie tożsamości danej osoby mogą być podpisem elektronicznym.

Jeżeli zatem podpisujemy przykładowo, wiadomość e-mail naszym imieniem i nazwiskiem lub nawet samym nazwiskiem to podpis taki jest podpisem w postaci elektronicznej - jego przeznaczeniem jest identyfikacja naszej osoby jako autora wiadomości - jest zatem podpisem elektronicznym.

2. Czym jest bezpieczny podpis elektorniczny?

Jest to szczególna postać podpisu elektronicznego, którego skutki prawne są równoważne podpisowi własnoręcznemu. Podpis taki musi jednak spełniać ściśle, ustawowo określone, warunki:

• jest wyłącznie podporządkowany do osoby składającej podpis,
• jest sporządzany za pomocą tzw. bezpiecznego urządzenia, które podlega wyłącznej kontroli podpisującego
• jest w ten sposób powiązany z danymi, do których został dołączony w taki sposób, że ich późniejsza zmiana tych danych jest rozpoznawalna.

O ile zatem zwykły podpis elektroniczny, to każde dane elektroniczne, których przeznaczeniem jest identyfikacja podpisującego, o tyle bezpieczny podpis elektroniczny to także dane których przeznaczeniem jest identyfikacja składającego podpis ale dane złożone w szczególnej formie i w szczególny sposób.

Bardzo wysokie wymagania, jakie musi spełniać bezpieczny podpis elektroniczny zapewnia szczególna metoda kryptologiczna oparta na tzw. szyfrowaniu asymetrycznym, w którym każdemu użytkownikowi przydzielane są dwa klucze kryptograficzne: klucz prywatny i klucz publiczny. Ten pierwszy, tak jak w tradycyjnej kryptografii, jest najbardziej strzeżoną tajemnicą jego posiadacza, ten drugi, inaczej niż w tradycyjnym szyfrowaniu symetrycznym, jak sama nazwa wskazuje, jest udostępniany publicznie.

Klucz prywatny, zgodnie z wymaganiami ustawy o podpisie elektronicznym, nigdy nie może opuścić bezpiecznego urządzenia, o którym mowa powyżej, które to bezpieczne urządzenie - dedykowane oprogramowanie wraz z modułem kryptograficznym oraz kartą kryptograficzną (karta chipowa) znajduje się pod wyłączną kontrolą użytkownika (zabezpieczenie dostępu do urządzenia numerem PIN). Tylko spełniający tak szczególne warunki podpis elektroniczny, może w świetle ustawy o podpisie elektronicznym wywoływać skutki prawne równoważne podpisowi własnoręcznemu.

3. Czym jest kwalifikowany certyfikat?

Certyfikat to cyfrowy dowód tożsamości. To ten element podpisu elektronicznego, który służy identyfikacji osoby podpisującego. Zawiera szereg danych dotyczących zarówno posiadacza danego podpisu jak i podmiotu, który wydał certyfikat. Wśród nich wymienić należy: numer certyfikatu, określenie podmiotu, który go wydał, imię, nazwisko lub pseudonim osoby składającej podpis, okres ważności certyfikatu, ograniczenia zakresu jego ważności, ograniczenia najwyższej granicznej transakcji, w której certyfikat może być wykorzystywany, poświadczenie elektroniczne podmiotu wydającego certyfikat. Certyfikat zawiera także klucz publiczny osoby podpisującej.

Powyższe elementy zawiera kwalifikowany certyfikat czyli certyfikat służący do składania bezpiecznego podpisu elektronicznego, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne. Certyfikat może także zawierać dodatkowe dane wyżej wymienione dane zawierać musi zawierać kwalifikowany certyfikat.

Certyfikat jest wydawany przez wyspecjalizowane podmioty zwane centrami certyfikacji. W sytuacji, w której są to certyfikaty kwalifikowane centrami takimi są podmioty wpisane do specjalnego rejestru.

4. Jakie są zadania centrów certyfikacji?

Certyfikaty wydawane są przez wyspecjalizowane podmioty świadczące usługi certyfikacyjne tzw. centra certyfikacji. Kwalifikowane certyfikaty wydawane są przez kwalifikowane centra certyfikacji wpisane do specjalnego rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Centra certyfikacji (CA) i centra autoryzacji (CR) wraz z Narodowym Centrum Certyfikacji (w Polsce jego rolę pełni NBP) stanowią elementy hierarchicznej struktury - piramidy z poszczególnymi użytkownikami u jej podstawy i NCC jako jej wierzchołka. Jest to tzw. "Public Key Infrastructure" - Infrastruktura Klucza Publicznego.

W chwili obecnej w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne wpisane są trzy podmioty i tylko one są upoważnione do wydawania kwalifikowanych certyfikatów.

Są to:

• PCC Certum,
• PCCE Sigillium,
• Krajowa Izba Rozliczeniowa S.A.

Rejestr dostępny jest na stronie Narodowego Centrum Certyfikacji:

5. Na czym polega usługa znakowania czasem?

Poza wydawaniem certyfikatów centra certyfikacji świadczą także inne usługi certyfikacyjne takie jak certyfikacja wzajemna (pomiędzy podmiotami świadczącymi usługi certyfikacyjne), prowadzenie list unieważnionych certyfikatów (tzw. listy CRL), odzyskiwanie kluczy itp.

Wśród tych usług wyróżnić należy usługę znakowania czasem (time stamping). Jest to usługa polegająca na dołączaniu do danych elektronicznych (np. dokumentów w formie elektronicznej) oznaczenia czasu w chwili wykonania tej usługi. Znakowanie czasem to inaczej elektorniczny datownik. Znakowanie czasem wywołuje skutki prawne daty pewnej w rozumieniu przepisów kodeksu cywilnego.

6. Jakie przepisy regulują zakres zastosowania podpisu elektronicznego?

Podstawowym aktem prawnym jest ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z dnia 15 listopada 2001 r.) . Ustawa wprowadziła ramy prawne dla bezpiecznego podpisu elektronicznego oraz określiła zasady działania kwalifikowanych centrów certyfikacji; natomiast cały szereg przepisów wykonawczych określiły warunki techniczne składania i weryfikacji bezpiecznego podpisu elektronicznego, wśród tych ostatnich wymienić należy Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego.(Dz. U. z dnia 12 sierpnia 2002 r.).

Istotne znaczenie dla funkcjonowania bezpiecznego podpisu elektronicznego ma także ustawa z dnia 17 sierpnia 2005 r. o informatyzacji podmiotów realizujących zadania publiczne (Dz. U. z dnia 20 kwietnia 2005 r.)

7. Jakie są skutki prawne podpisu elektronicznego?

Tylko bezpieczny podpis elektroniczny złożony za pomocą kwalifikowanego certyfikatu wywołuje skutki prawne równoważne podpisowi własnoręcznemu. Dokument elektorniczny podpisany takimi podpisem odpowiada tzw. zwyklej formie pisemnej dokumentu tradycyjnego. Oznacza to, że bezpieczny podpis elektorniczny jest wprawdzie równoważny podpisowi odręcznemu ale nie jest podpisem odręcznym. Ma to taki skutek, że nie może on mieć zastosowania w tych sytuacjach, w których dla danej czynności prawnej wymagana jest tzw. pisemna forma szczególna np. nie można przy wykorzystaniu bezpiecznego podpisu elektronicznego sporządzić ważnego testamentu czy zawrzeć małżeństwa. Dotyczy to także tych sytuacji, w których dla ważności czynności prawnej wymagana jest forma szczególna np. forma aktu notarialnego.

8. Czy mogę stać się posiadaczem kwalifikowanego certyfikatu ( bezpiecznego podpisu elektronicznego)?

Oczywiście. Należy się w tym celu zgłosić do tzw. centrum autoryzacji prowadzone przez jednego z kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Ich rola polega na ustaleniu tożsamości ubiegającego się o certyfikat, zebrania niezbędnych danych i zgromadzenia odpowiednich dokumentów i po uprzedniej ich weryfikacji przekazania do centrum certyfikacji, a następnie przekazania użytkownikowi przyznanego certyfikatu wraz z niezbędnym sprzętem i oprogramowaniem.

Procedurę przyznawania certyfikatów reguluje tzw. polityka certyfikacji publikowana przez każde z centrów certyfikacji. Orientacyjny koszt kompletu (jednoroczny certyfikat kwalifikowany, certyfikat niekwalifikowany, oprogramowanie, karta kryptograficzna i jej czytnik) nie przekraczał w I połowie 2007 r. kwoty 500 zł.

9. Czy prawo polskie przewiduje obowiązek posiadania kwalifikowanego certyfikatu (bezpiecznego podpisu elektronicznego)?

W obecnym stanie prawnym nie ma takiego obowiązku. Jednakże od lipca 2008 r. każdy z przedsiębiorców zobowiązany do składania dokumentów ubezpieczeniowych do ZUS drogą teletransmisji danych (to jest przedsiębiorca zatrudniający więcej niż 5 pracowników) zobowiązany będzie do podpisywania takich dokumentów bezpiecznym podpisem elektronicznym. Oznacza to dla takiego przedsiębiorcy obowiązek posiadania kwalifikowanego certyfikatu.

10. Jakie jest w chwili obecnej praktyczne zastosowanie podpisu elektronicznego?

Jak to już zostało powiedziane, nie ma obowiązku posiadania kwalifikowanego certyfikatu. Bezpiecznym podpisem elektronicznym można się jednak posługiwać w kilku przypadkach, przede wszystkim można składać do ZUS dokumenty ubezpieczeniowe podpisane bezpiecznym podpisem elektronicznym (ZUS ma obowiązek ich przyjmowania do lipca 2007 r.), w systemie e-Poltax czy w dostępie do zasobów Krajowego Rejestru Sądowego.