W dobie postępującej cyfryzacji pracy firm i instytucji coraz częściej wykorzystuje się usługi zaufania. Należą do nich usługi elektroniczne, dzięki którym użytkownicy mogą posługiwać się m.in. podpisem czy pieczęcią elektroniczną lub cyfrowymi znacznikami czasu. Poznaj definicję usług zaufania i dowiedz się, jakie akty prawne umożliwiają ich wykorzystywanie w sprawach prywatnych i zawodowych.
Usługi zaufania – definicja
Usługi zaufania to usługi elektroniczne, które obejmują m.in. wydawanie kwalifikowanych podpisów elektronicznych, pieczęci elektronicznych i elektronicznych znaczników czasu, a także odpowiednich dla nich certyfikatów. Oferty tego typu to również m.in. uwierzytelnianie witryn internetowych czy rejestrowanie rejestrowane doręczenia elektroniczne. Celem usług zaufania jest umożliwienie bezpiecznego zawierania transakcji elektronicznych, które mogą mieć miejsce pomiędzy firmami, osobami fizycznymi i organami administracji publicznej.
Podmioty, które oferują wyżej wymienione usługi, nazywa się kwalifikowanymi dostawcami usług zaufania. Są to przedsiębiorstwa, które przeszły audyt oceny zgodności z eIDAS oraz uzyskały wpis do rejestru dostawców usług zaufania. Do takich przedsiębiorstw należy m.in. Centrum Certyfikacji Eurocert, które musi spełniać odpowiednie wymogi ujęte w przepisach prawa.
Akty prawne regulujące usługi zaufania
Stosowanie usług zaufania określone jest w ustawodawstwie Parlamentu Europejskiego, a także w ustawodawstwie polskim. Najważniejszym aktem prawnym jest europejskie rozporządzeni eIDAS oraz polska Ustawa o usługach zaufania oraz identyfikacji elektronicznej.
Rozporządzenie eIDAS
Rozporządzenie eIDAS to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE. Jest to najnowszy akt prawny, który reguluje ogół zagadnień związanych z transakcjami i identyfikacją elektroniczną oraz usługami zaufania na terenie Unii Europejskiej.
Dzięki przyjęciu rozporządzenia eIDAS w 2016 roku, we wszystkich państwach UE wprowadzono m.in. jednolite nazewnictwo usług zaufania. Pojawiły się w nim także konkretne wytyczne w zakresie nadzoru nad dostawcami tych usług. Celem takich przepisów jest zapewnienie bezpieczeństwa stosowania nowych technologii w zawieraniu umów na odległość oraz zwiększenie zaufania do takich usług wśród obywateli UE.
Jakie zmiany wprowadziło rozporządzenie eIDAS? W praktyce od 1 lipca 2016 roku organy administracji publicznej krajów UE zobowiązane są do akceptowania dokumentów potwierdzonych podpisem elektronicznym lub pieczęcią elektroniczną ze wszystkich państw członkowskich. Ponadto dzięki temu aktowi prawnemu, dowody z transakcji elektronicznych mogę być uznawane przez sądy.
Ustawa o usługach zaufania oraz identyfikacji elektronicznej
Ustawa o usługach zaufania oraz identyfikacji elektronicznej dostosowała prawo polskie do uwarunkowań wynikających z rozporządzenia eIDAS. W konsekwencji ważność stracił akt prawny z 2001, dotyczący zastosowania podpisu elektronicznego. Dzięki nowej ustawie zostały wyeliminowane wszystkie przepisy w zakresie transakcji elektronicznych, które obowiązywały przed 5 września 2016 roku na terenie Polski i nie były zgodne z eIDAS.
W praktyce oznacza to m.in., że według aktualnie obowiązującego prawa, kwalifikowany podpis elektroniczny, który działa na bazie certyfikatu wydanego w innym państwie, jest akceptowany przez polską administrację publiczną.
ETSI
Dostawcy, którzy świadczą usługi zaufania, odnoszą się także do norm ustalonych przez Europejski Instytut Norm Telekomunikacyjnych (European Telecommunications Standards Institute), w skrócie ETSI. Podstawowym zadaniem instytutu jest przygotowywanie wytycznych dla branży telekomunikacyjnej, w których zebrane są techniczne wymagania co do świadczenia usług zaufania.
Organy nadzorujące pracę kwalifikowanych dostawców zaufania w Polsce
Nad bezpieczeństwem działalności dostawców usług zaufania w Polsce czuwa Ministerstwo Cyfryzacji oraz Narodowe Centrum Certyfikacji, w skrócie NCCert.
1/ Kancelaria Prezesa Rady Ministrów
KPRM odpowiada za działania związane z informatyzacją polskiej administracji publicznej. W przeszłości tą funkcję pełniło Ministerstwo Cyfryzacji. Pośredniczy także w procesie uzyskiwania wpisu do rejestru kwalifikowanych dostawców usług zaufania. KPRM nakłada na nich także obowiązek dokonania audytu z działalności, który organizowany jest przynajmniej raz na 24 miesiące. Jeśli dostawca chce wprowadzić nowe usługi do swojego portfolio, ten państwowy organ weryfikuje ich rzetelność i obliguje firmę do przygotowania ściśle określonej dokumentacji kontrolnej.
2/ Narodowe Centrum Certyfikacji (NCCert)
Narodowe Centrum Certyfikacji jest systemem informatycznym, należącym do Narodowego Banku Polskiego. Zostało ono powołane do realizacji zadań związanych z usługami zaufania, do których należą:
- tworzenie i wydawanie kwalifikowanym dostawcom zaufania odpowiednich certyfikatów, które wersyfikują zaawansowane podpisy elektroniczne i pieczęcie elektroniczne
- publikacja wydanych certyfikatów
- publikacja listy unieważnionych certyfikatów
- tworzenie danych do opatrywania certyfikatów kwalifikowanych pieczęcią elektroniczną
Ponadto na stronie internetowej Narodowego Centrum Certyfikacji można znaleźć pełny rejestr polskich dostawców usług zaufania.