projekt stanowiska rp - Ministerstwo Cyfryzacji

PROJEKT STANOWISKA RP
przygotowany w związku z art. 7 ustawy z dnia 8 października 2010 r.
o współpracy Rady Ministrów z Sejmem i Senatem w sprawach związanych z członkostwem
Rzeczypospolitej Polskiej w Unii Europejskiej (Dz. U. Nr 213, poz. 1395)
Dotyczy
Wniosek
ROZPORZĄDZENIE
PARLAMENTU
EUROPEJSKIEGO I RADY w sprawie identyfikacji
elektronicznej i usług zaufania w odniesieniu do transakcji
elektronicznych na rynku wewnętrznym
Data przekazania Polsce
dokumentu przez
instytucje UE
8 czerwca 2012 r.
Sygnatura dokumentu
Komisja Europejska
COM(2012) 238
Numer międzyinstytucjonalny 2012/0146 (COD)
Procedura decyzyjna
zwykła procedura ustawodawcza
Tryb głosowania
w Radzie UE
Instytucja wiodąca
Ministerstwo Gospodarki
Instytucje
współpracujące
Ministerstwo Administracji i Cyfryzacji
Ministerstwo Spraw Wewnętrznych
Ministerstwo Sprawiedliwości
Narodowy Bank Polski
Data przyjęcia
przez KSE
22 czerwca 2012 r.
I.
Cel projektu aktu prawnego
Przedłożony projekt rozporządzenia w sprawie identyfikacji elektronicznej i usług
zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym jest ostatnim
z pakietu 12 kluczowych projektów przewidzianych w Akcie o jednolitym rynku (IP/11/469).
Propozycje te zostały również uwzględnione w planie działań na rzecz administracji
elektronicznej 2011 do 2015 r. (IP/10/1718), Planie działań na rzecz stabilności i wzrostu
(IP/11/1180); oraz w Europejskiej agendzie cyfrowej (IP/10/581, MEMO/10/199
i MEMO/10/200).
Przedmiotowe rozporządzenie uchyli dyrektywę Parlamentu Europejskiego i Rady
1999/93/WE w sprawie wspólnotowych ram prawnych dla podpisów elektronicznych i wraz
z pakietem nowych decyzji Komisji Europejskiej zastąpi w zakresie objętym regulacją
ustawodawstwo państw członkowskich. Nowa regulacja uporządkuje warstwę pojęciową
w obszarze usług zaufania i wspólnotowe wymogi dla kwalifikowanych usług podpisu
elektronicznego oraz usług służebnych podpisu elektronicznego. Podpis elektroniczny będzie
podpisem wyłącznie osób fizycznych. Dla osób prawnych przeznaczone będzie nowe
narzędzie - pieczęć elektroniczna - w tym również pieczęć z certyfikatem kwalifikowanym.
Przewidziano również wprowadzenie kwalifikowanych usług uwierzytelnienia witryn
internetowych. Utrzymany zostaje krajowy nadzór nad świadczeniem usług kwalifikowanych,
ale wymogi i sposób realizacji nadzoru będzie określone zostaną na poziomie wspólnotowym.
Dotychczasowe działania w obszarze podpisu elektronicznego, które opierały się na
obowiązującej obecnie dyrektywie Parlamentu Europejskiego i Rady 1999/93/WE w sprawie
wspólnotowych ram prawnych dla podpisów elektronicznych przyniosły pewien stopień
harmonizacji w Europie, zwłaszcza w odniesieniu do kwalifikowanego podpisu
elektronicznego. Wszystkie kraje UE posiadają już przepisy dotyczące podpisu elektronicznego
implementujące wymienioną dyrektywę, ponieważ jednak różnią się one od siebie realizacja
usług transgranicznych pozostaje znacząco utrudniona. To samo dotyczy usług zaufania, takich
jak znaczniki czasu, pieczęci elektroniczne, elektroniczne doręczenia oraz uwierzytelnianie
stron internetowych – usługom tym brakuje nadal interoperacyjności na poziomie europejskim.
Niektóre usługi, takie jak np. pieczęć elektroniczna, występują tylko w niektórych państwach
i nie są rozumiane w jednakowy sposób. Z tego względu w rozporządzeniu proponuje się
wspólne zasady i praktyki dotyczące wymienionych usług.
W odniesieniu do środków elektronicznej identyfikacji przewidziano mechanizm
dobrowolnej notyfikacji. Rozporządzenie wprowadza zasadę wzajemnego uznawania
i akceptacji notyfikowanych mechanizmów elektronicznej identyfikacji, służącą zapewnieniu;
że państwa członkowskie uznają te krajowe elektroniczne środki identyfikacji, które zostały
oficjalnie zgłoszone do Komisji Europejskiej. Państwa członkowskie nie są zobowiązane
wprawdzie do zgłaszania krajowych systemów identyfikacji elektronicznej, jednak obowiązek
zapewnienia akceptacji systemów innych krajów sprawi, że każde z państw członkowskich
dążyć będzie do zapewnienia poprzez notyfikację efektywnego uznawania własnym
mechanizmom elektronicznej identyfikacji w interesie swoich obywateli korzystających
z procedur w pozostałych krajach.
II.
Stanowisko RP
Polska popiera inicjatywę Komisji Europejskiej zmierzającą do zastąpienia dyrektywy
przedmiotowym projektem rozporządzenia Parlamentu Europejskiego i Rady. Zainicjowana
konsultacjami społecznymi w trakcie Prezydencji Polskiej inicjatywa legislacyjna polegająca
na zmianie obowiązującej dyrektywy stanowi ważny krok na rzecz rozwiązania problemu
podpisu elektronicznego. Rozporządzenie przyczyni się do rozwoju rynku wewnętrznego w
obszarze podpisu elektronicznego i transgranicznych usług zaufania, gwarantując, że będą
one skuteczne ponad granicami, a ich sens i skutek prawny będzie tożsamy w poszczególnych
krajach. Użytkownicy będą mogli używać tych samych narzędzi niezależnie od kraju oraz z
tym samym skutkiem prawnym we wszystkich państwach obowiązanych do stosowania
rozporządzenia. Podmioty świadczące usługi zaufania będą mogły oferować coraz więcej
usług na innych rynkach, gdyż nie będzie różnic w usługach kwalifikowanych (np.
znakowania czasem). Dotychczasowa fragmentacja wspólnego rynku ustąpi miejsca budowie
europejskiej przestrzeni zaufania. Podniesiony zostanie poziom konkurencyjności na
krajowych rynkach usług certyfikacyjnych z uwagi na poprawę możliwości ich świadczenia
przez podmioty z pozostałych państw członkowskich Unii Europejskiej oraz Europejskiego
Obszaru Gospodarczego. Rozporządzenie zapewni obywatelom i przedsiębiorstwom
możliwość używania krajowych systemów identyfikacji elektronicznej (e-ID) w celu
korzystania z usług publicznych w państwach UE dysponujących takimi systemami.
Licznych zalet przedmiotowego aktu prawnego nie powinny przesłonić zawarte w nim
i wymagające usunięcia błędy. Wątpliwości budzą również niedoskonałości tłumaczenia,
które błędnie określa ‘advanced electronic signature’ (‘zaawansowany podpis elektroniczny’)
mianem ‘bezpiecznego podpisu elektronicznego’ (‘qualified electronic signature’).
Nieścisłości takie nie mogą występować w pojęciach o podstawowej dla regulacji doniosłości.
W projekcie występują również inne błędy, takie jak tłumaczenie prawa cywilnego, jako
prawa prywatnego. Należy oczekiwać, że błędne z punktu widzenia prawidłowości
merytorycznej i legislacyjnej sformułowania zostaną usunięte na dalszym etapie prac
legislacyjnych poprzez zweryfikowanie tłumaczenia projektowanego aktu normatywnego.
III.
Uzasadnienie stanowiska RP
Przedmiotowe rozporządzenie wprowadza ład pojęciowy w obszarze usług
certyfikacyjnych poprzez uregulowanie w sposób odrębny podpisów elektronicznych osób
fizycznych oraz pieczęci elektronicznych osób prawnych. W ślad za dyrektywą wprowadza
się dla osób fizycznych:
a. podpis elektroniczny
b. zaawansowany podpis elektroniczny
c. kwalifikowany podpis elektroniczny
Nowość względem obowiązującej dyrektywy polega w szczególności na wyraźnym
nazwaniu kwalifikowanych podpisów elektronicznych, które dotychczas występowały
wyłącznie jako zaawansowane podpisy elektroniczne weryfikowane certyfikatem
kwalifikowanym i składane przy użyciu bezpiecznego urządzenia służącego do składania
podpisu elektronicznego. W świetle nowej regulacji podpis elektroniczny to dane w postaci
elektronicznej dołączone do innych danych elektronicznych lub logicznie z nimi powiązane
służące podpisującemu do składania podpisu. Z definicji w sposób zamierzony usunięto
określenie podpisu elektronicznego jako metody uwierzytelnienia oraz pośrednio wykluczono
stosowanie podpisu do innych zastosowań, w tym np. uwierzytelnienia do systemu.
Zaawansowany podpis elektroniczny oznacza podpis elektroniczny który:
- jest przyporządkowany wyłącznie podpisującemu
-umożliwia ustalenie tożsamości podpisującego
- jest składany za pomocą danych służących do składania podpisu
elektronicznego, które podpisujący może wykorzystać z dużą dozą zaufania
i nad którymi ma wyłączną kontrolę, oraz
- jest powiązany z danymi, do których się odnosi w taki sposób, że każda
późniejsza zmiana jest wykrywalna
W zaproponowanej definicji zaawansowanego podpisu elektronicznego, jak również
zaawansowanej pieczęci elektronicznej, w negatywny sposób ocenić należy, użycie
nieostrego sformułowania „z dużą dozą zaufania”, które posiada charakter ocenny i może
prowadzić do rozbieżnych interpretacji prawnych. Utrzymane zostało pojęcie „wyłącznej
kontroli”, którego interpretacji dokonywać należy w kontekście wyjaśnień zawartych
w recitalu 40 preambuły. Stwierdza się tam m.in., że podpisującemu należy umożliwić
powierzanie urządzeń do składania kwalifikowanego podpisu elektronicznego stronie trzeciej,
pod warunkiem wdrożenia odpowiednich mechanizmów i procedur gwarantujących, że
podpisujący posiada wyłączną kontrolę nad używaniem swoich danych służących do
składania podpisu elektronicznego, i że użycie urządzenia spełnia wymagania dotyczące
kwalifikowanego podpisu.
Kwalifikowany podpis elektroniczny zdefiniowany został jako zaawansowany podpis
elektroniczny, który jest składany za pomocą bezpiecznego urządzenia służącego do składania
podpisu elektronicznego i opiera się na kwalifikowanym certyfikacie podpisu
elektronicznego. Zastosowane w miejsce weryfikacji certyfikatem kwalifikowanym
sformułowanie „opiera się na kwalifikowanym certyfikacie …” stanowi niezręczność
językową wymagającą zmiany.
W odniesieniu do osób prawnych wprowadza się zaawansowaną pieczęć
elektroniczną, rozumianą jako:
- dane w postaci elektronicznej, dołączone do innych danych elektronicznych lub
logicznie z nimi powiązane taka aby zagwarantować pochodzenie i integralność
powiązanych danych.
Zaawansowaną pieczęć elektroniczna jest to pieczęć elektroniczna, która spełnia następujące
wymagania:
- jest przyporządkowana wyłącznie podmiotowi wystawiającemu pieczęć,
- umożliwia ustalenie tożsamości podmiotu wystawiającego pieczęć,
- jest tworzona za pomocą danych służących do składania pieczęci elektronicznej, które
podpisujący może wykorzystać z dużą dozą zaufania i nad którymi ma wyłączną kontrolę,
oraz
- jest powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana
jest wykrywalna.
Proponowane rozwiązanie należy uznać za pozytywne i wychodzące naprzeciw
postulatom urzędów administracji publicznej w naszym kraju, w tym zwłaszcza Ministerstwa
Sprawiedliwości. Dla osiągnięcia pełnej użyteczności uregulowanie w zakresie pieczęci
elektronicznej wymaga uściślenia, że oprócz osób prawnych pieczęcią mogą posługiwać się
również jednostki organizacyjne nie posiadające osobowości prawnej.
W rozporządzeniu wprowadzono nowe definicje i pojęcia, takie jak m.in.:
- identyfikacja elektroniczna
- system identyfikacji elektronicznej
- elektroniczny znacznik czasu
- usługa przekazu elektronicznego
- uwierzytelnianie witryn internetowych
Proponowane pojęcia i usługi z nimi związane wychodzą naprzeciw postulatom urzędów
administracji publicznej.
W rozporządzeniu wprowadza się definicję dokumentu elektronicznego, rozumianego
jako dokument w dowolnym formacie elektronicznym. Definicja ta jest zgodna z projektem
definicji dokumentu elektronicznego w projekcie ustawy zmieniającej kodeks postępowania
cywilnego przygotowanego przez Komisję Kodyfikacyjną Prawa Cywilnego. Dokument
elektroniczny uznaje się za równoważny dokumentowi papierowemu oraz dopuszczalny jako
dowód w postępowaniu sądowym, z uwzględnieniem jego poziomu zabezpieczenia
autentyczności i integralności. Dla pełnej użyteczności projektowanego rozwiązania
konieczne jest, aby w art. 34 ust. 4 za oryginalny dokument uznać elektroniczną kopię
dokumentu papierowego uwierzytelnioną kwalifikowaną pieczęcią elektroniczną podmiotu
publicznego lub kwalifikowanym podpisem osoby zaufania publicznego (np. notariusza).
Ewentualne dodatkowe wymogi dla kopii elektronicznej powinna określić Komisja
Europejska decyzją wydaną w wykonaniu przedmiotowej dyrektywy lub decyzjami
wydanymi w wykonaniu innych dyrektyw, np. dyrektywy usługowej. W świetle przyjętego
rozwiązania dokument zawierający kwalifikowany podpis elektroniczny lub kwalifikowaną
pieczęć elektroniczną umożliwia prawne domniemanie autentyczności i integralności, pod
warunkiem że dokument nie zawiera elementów dynamicznych, które mogą automatycznie
ulegnąć zmianie. Rozwiązanie to jest możliwe do przyjęcia, chociaż wykluczy dokumenty
zawierające aktywny kod lub makrodefinicje.
W sytuacji gdy do celu świadczenia usługi publicznej on-line oferowanej przez organ
wymagany jest oryginalny dokument lub uwierzytelniony odpis przynajmniej dokumenty
elektroniczne wydane przez osoby uprawnione do wydawania stosownych dokumentów
i uznawane za oryginały lub uwierzytelnione odpisy zgodnie z przepisami krajowymi państwa
członkowskiego pochodzenia akceptuje się w pozostałych państwach bez konieczności
spełniania dodatkowych wymogów. Projektowana regulacja może podlegać dodatkowym
poprawkom celem uwzględnienia autoryzowanej konwersji dokumentów, ale już obecnie
zasługuje na poparcie.
Rozporządzeniem wprowadza się nową, przynajmniej na poziomie wspólnotowym,
usługę doręczenia elektronicznego. Jest to usługa umożliwiająca przesłanie danych drogą
elektroniczną i zapewniająca dowody związane za posługiwaniem się przesyłanymi danymi,
w tym dowód wysłania lub odbioru danych oraz chroniącą przesłane dane przed ryzykiem
utraty, kradzieży, uszkodzenia lub wszelkiego nieupoważnionego naruszenia. Dane przesłane
za pomocą przekazu elektronicznego są dopuszczalne jako dowód w postępowaniu sądowym
w odniesieniu do integralności danych i pewności dania i godziny wysłania lub otrzymania
danych przez określonego adresata. Dane przesyłane za pomocą kwalifikowanego przekazu
elektronicznego umożliwiają prane domniemania integralności danych i dokładności dnia
i godziny wysłania lub otrzymania. Koncepcja uregulowania tej usługi na poziomie
wspólnotowym zasługuje na poparcie, chociaż wymagać może dostosowania różnorodnych
praktyk tego typu występujących w państwach członkowskich.
Projekt wymaga zmian w odniesieniu do przepisów przejściowych. W obecnym
kształcie przewidziano przepisy przejściowe jedynie dla certyfikatów kwalifikowanych oraz
bezpiecznych urządzeń służących do składania podpisu elektronicznego. Niezbędne jest, aby
przepisy przejściowe zapewniły ciągłość funkcjonowania usługodawców wpisanych na
krajowe listy zaufania. Ważne też, aby przepisy przejściowe odnosiły się w równej mierze do
innych usług, takich jak m.in. znakowanie czasem czy pozostałe usługi otoczenia podpisu
elektronicznego. Usługi te funkcjonowały częstokroć przed ich wyraźnym wprowadzeniem
w przepisach rozporządzenia.
Przedstawiając powyższe w ocenie Rządu projektowane rozporządzenie należy ocenić
bardzo pozytywnie. Jego wprowadzenie znacznie ułatwi świadczenie usług publicznych, jak
i rozwój wykorzystania podpisów elektronicznych w gospodarce. W ocenie rządu oprócz
zmiany przepisów niezbędne będą również działania o charakterze technicznym, w tym być
może również takie które doprowadzą do wykształcenia europejskich usług weryfikacyjnych
o charakterze pomostowym. Usługi takie są już obecnie rozwijane przez niektóre
przedsiębiorstwa z branży usług certyfikacyjnych podpisu elektronicznego, chociaż potrzebne
są również podobne usługi w obszarze eID. Rozporządzenie stanowi wspólny europejski
wysiłek w uporządkowanie materii podpisów elektronicznych, uwierzytelnienia
i identyfikacji. Nie jest to rozwiązanie wyczerpujące w każdym z tych tematów, ale pozostaje
ono adekwatne do stanu rozwoju usług w każdym z tych obszarów.
1. Ocena skutków prawnych
Rozporządzenie Parlamentu Europejskiego i Rady zastąpi obowiązującą ustawę z dnia 18
września 2001 r. o podpisie elektronicznym. (Dz. U. z dnia 15 listopada 2001 r.) wraz
z wydanym na jej podstawie pakietem aktów wykonawczych. Z art. 288 TFUE, jak
i z przepisów regulujących wejście w życie projektowanego rozporządzenia wynika, że
rozporządzenie ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we
wszystkich państwach członkowskich. Przedmiotowe rozporządzenie stanowi instrument
unifikacji prawa na całym obszarze Unii i delegacja do wydania aktów wykonawczych
została przewidziana wyłącznie dla Komisji Europejskiej. Wraz z rozporządzeniem wydane
zostaną decyzje Komisji Europejskiej, które stanowić będą funkcjonalny odpowiednik aktów
wykonawczych wydanych na mocy krajowych ustaw.
Rozporządzenie będzie stosowane bezpośrednio w krajowym porządku prawnym jako
prawo Unii, a implementacja przepisów rozporządzenia do prawa krajowego będzie, co do
zasady, niedopuszczalna. Konieczne będzie jedynie doregulowanie krajowymi przepisami
kwestii nadzoru w zakresie usług zaufania z uwagi na brak możliwości przypisania prawem
wspólnotowym zadań do organów poszczególnych państw członkowskich. Niezbędne może
być również określenie przepisami krajowymi kwestii wymagających alokacji zasobów
finansowych niezbędnych do wykonania zapisów rozporządzenia lub opłat związanych
z wykonywaniem działań nadzorczych.
Obowiązująca ustawa o podpisie elektronicznym wymagać będzie uchylenia, które
skutkować będzie również utratą mocy obowiązującej wydanych na jej podstawie
rozporządzeń. Ustawa nie uwzględnia obecnego stanu rozwoju usług certyfikacyjnych, a jej
zastąpienie przez nowszą krajową regulację nie usunęłoby paneuropejskich problemów
w funkcjonowaniu tego rodzaju usług. Projekt rozporządzenia wpłynie na konieczność
dostosowania przepisów z zakresu prawa cywilnego, prawa administracyjnego
i informatyzacji, w tym na przepisy Kodeksu Cywilnego oraz liczne uregulowania
dziedzinowe dotyczące w szczególności dowodów osobistych lub doręczeń elektronicznych.
Wszystkie ministerstwa i urzędy centralne będą musiały dostosować przepisy zawierające
elementy identyfikacji, uwierzytelnienia i podpisu w takim zakresie w jakim byłyby niespójne
z przedmiotowym rozporządzeniem Parlamentu Europejskiego i Rady. Dostosowania będą
wymagać polityki krajowego urzędu certyfikującego oraz wszystkich centrów certyfikacji.
2. Ocena skutków społecznych
Przedmiotowe rozporządzenie spowoduje osiągnięcie pożądanych skutków społecznych
poprzez zapewnienie pewności prawa dla obywateli, przedsiębiorstw i urzędów pragnących
stosować mechanizmy elektronicznej identyfikacji, uwierzytelnienia i podpisu w kraju
i zagranicą. Mechanizm notyfikacji przy jego prawidłowym uregulowaniu powinien sprawić,
że obywatele będą mogli korzystać z notyfikowanych narzędzi nie tylko we własnym kraju.
Szczególnie silne umocowanie prawne uzyska możliwość transgranicznego stosowania
podpisów kwalifikowanych.
Podkreślić należy, że proponowane rozporządzenie nie wprowadza mechanizmów, które
mogłyby stanowić nadmiarową ingerencję państwa w prawo obywateli do prywatności oraz
pozostawia państwom członkowskim swobodę w dostosowaniu katalogu mechanizmów
identyfikacji do tych postaci, które są zgodne z jego systemem prawnym i posiadają
przyzwolenie społeczeństwa. Rozporządzenie nie zobowiązuje państw członkowskich UE do
wprowadzenia krajowych dokumentów tożsamości, elektronicznych dowodów tożsamości lub
innych rozwiązań w tym zakresie, ani nie wymaga od osób fizycznych uzyskania takich
dokumentów. Rozporządzenie nie wprowadza ogólnoeuropejskiego elektronicznego
dokumentu tożsamości ani europejskiej bazy danych osobowych. Rozporządzenie nie zawiera
też przepisów umożliwiających lub nakazujących przekazywanie danych osobowych stronom
trzecim. Wszystkie powyższe kwestie będą nadal rozstrzygane przepisami krajowymi.
3. Ocena skutków gospodarczych
Rozwiązanie umożliwi działanie krajowym dostawcom usług zaufania na rynkach
pozostałych państw członkowskich Unii Europejskiej oraz Europejskiego Obszaru
Gospodarczego. Rozporządzenie wpłynie również w dłuższym okresie czasu na podniesie
konkurencyjność na krajowym rynku poprzez jego integrację w jeden wspólnotowy
europejski rynek usług zaufania. Procesy te nie będą natychmiastowe, gdyż zakładają nadal
tworzenie punktów rejestracji danego usługodawcy w innych państwach oraz tłumaczenia
dokumentów i oprogramowania. Niemniej należy przyjąć, że nieuchronnie będą następować
i pozytywnie wpłyną na obniżenie ceny usług bez istotnego kompromisu z bezpieczeństwem.
Przedmiotowa regulacja wpłynie pozytywnie na rynek dostawców oprogramowania z uwagi
na możliwe zamówienia w zakresie dostosowania krajowych systemów i integracji
z zagranicznymi mechanizmami elektronicznej identyfikacji, uwierzytelnienia i podpisu.
4. Ocena skutków finansowych
Samo rozporządzenie nie pociągnie za sobą skutków finansowych dla jednostek sektora
finansów publicznych. Wyjątek w tym zakresie stanowić będzie koszt dostosowania systemu
nadzoru, który nie jest możliwy do wyszacowania przed opracowaniem decyzji Komisji
Europejskiej regulujących szczegółowo nadzór. Rozłożone w czasie koszty dostosowania
systemów informatycznych administracji publicznej wystąpią o ile wykorzystany zostanie
mechanizm notyfikacji mechanizmów identyfikacji. W chwili obecnej jednak trudno jest
oszacować wysokość tych kosztów, zwłaszcza w związku z brakiem dokładnej oceny
skutków regulacji (impact assessment) w projekcie Komisji Europejskiej oraz brakiem
wiedzy które państwa i kiedy zdecydują się na notyfikację swoich zróżnicowanych pod
względem złożoności rozwiązań eID. Wydatki związane z dostosowaniem systemów
informatycznych w zakresie finansowanym ze środków budżetu państwa będą ponoszone
w ramach limitu wydatków określonego urzędu w ustawie budżetowej we właściwej części.
W sytuacji, gdy niezbędne będzie podjęcie dodatkowych prac legislacyjnych celem
zapewnienia wykonania rozporządzenia niezbędne będzie uwzględnienie dyspozycji tzw.
reguły wydatkowej zawartej w przepisach o finansach publicznych.
Z punktu widzenia skutków finansowych negatywnie ocenić należy art. 20 ust. 4, który
przewiduje konieczność implementacji wszelkich podpisów elektronicznych na tym samym i
wyższym poziomie zaufania. Przepis ten stanowi, że gdy wymagany jest – w szczególności
przez państwo członkowskie na potrzeby uzyskania dostępu do usługi publicznej oferowanej
przez organ publiczny online, na podstawie odpowiedniej oceny ryzyka związanego z taką
usługą – podpis elektroniczny o poziomie bezpieczeństwa niższym niż kwalifikowany podpis
elektroniczny, akceptowane są wszystkie podpisy elektroniczne o co najmniej takim samym
poziomie bezpieczeństwa. Implementacja tej reguły pociągnie za sobą nieracjonalnie wysokie
koszty i w żadnej mierze nie powinna dotyczyć podmiotów gospodarczych. Również
w odniesieniu do administracji przepis ten jest nadmiarowy i obciąży te kraje, które stosują
w danym zastosowaniu najszersze kategorie zwykłego i zaawansowanego podpisu
elektronicznego.
Z analogicznych przyczyn nieracjonalnie wysokie koszty pociągnie ewentualne wdrożenie
reguły określonej w art. 5. Przepis ten stanowi, że jeżeli zgodnie z prawem krajowym lub
praktyką administracyjną dostęp do usługi online wymaga identyfikacji elektronicznej przy
użyciu środka identyfikacji elektronicznej oraz uwierzytelnienia, na potrzeby dostępu do tej
usługi uznaje się i akceptuje wszystkie środki identyfikacji elektronicznej wydane w innym
państwie członkowskim i objęte systemem uwzględnionym na liście publikowanej przez
Komisję zgodnie z procedurą, o której mowa w art. 7. Osiągnięcie zamierzonego celu w tym
zakresie powinno następować przez zbudowanie europejskich usług pomostowych lub
poprzez nałożenie na państwa członkowskie obowiązku nieodpłatnego udostępnienia
niezbędnych narzędzi lub usług pozostałym krajom, co wtórnie umożliwi uznanie i akceptację
środków identyfikacji.
IV.
Informacja w sprawie zgodności projektu aktu z zasadą pomocniczości
Wybór przez Komisję Europejską formy prawnej rozporządzenia Parlamentu
Europejskiego i Rady, jako zgodnej z zasadą subsydiarności interwencji legislacyjnej służącej
zapewnieniu wypoziomowania i wzajemnego uznawania poszczególnych rodzajów usług
zaufania w dziedzinie elektronicznej identyfikacji, uwierzytelnienia i podpisu stanowi
uprawnione i proporcjonalne rozwiązanie, niemożliwe do osiągnięcia zmianą przepisów
prawa krajowego, ani dotychczasową wieloletnią harmonizacją przepisów poszczególnych
państw członkowskich. Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE w sprawie
wspólnotowych ram prawnych dla podpisu elektronicznego, mimo deklarowanej w niej
intencji harmonizacji doprowadziła w istocie do rozbieżnych implementacji
w poszczególnych państwach, gdyż stanowiła dyrektywę wymagań minimalnych. Wzgląd na
swobodę przepływu usług oraz umożliwienie obywatelom Unii Europejskiej korzystania
z elektronicznej identyfikacji, uwierzytelnienia i podpisu we wszystkich państwach
członkowskich wymaga działań w formie rozporządzenia, które wtórnie wpłynie na
dostosowanie systemów informatycznych w poszczególnych państwach.
V.
Przedstawiciel Rządu upoważniony do prezentowania stanowiska
Merytoryczna zawartość przedmiotowego rozporządzenia z uwagi na przewagę
zagadnień związanych z podpisem elektronicznym oraz nadzorem nad świadczeniem tego
rodzaju usług wskazuje na właściwość działu administracji „gospodarka”. Zgodnie z art. 9
ust. 2 pkt 6 ustawy : „Do ministra właściwego do spraw gospodarki należą w szczególności
sprawy: (…) nadzoru nad świadczeniem usług związanych z podpisem elektronicznym
w rozumieniu przepisów o podpisie elektronicznym”. W związku z powyższym
Przedstawicielem Rządu upoważnionym do prezentowania stanowiska jest Pan Minister
Dariusz Bogdan, Podsekretarz Stanu w Ministerstwie Gospodarki odpowiedzialny za
prowadzenie spraw związanych z tematyką podpisu elektronicznego.