Jak urzędy powinny przyjmować podpisane dokumenty elektronicznie?

Informacje, o tym jak urzędy powinny przyjmować podpisane dokumenty elektroniczne znajdują się niżej w artykule.

Przepisy prawa a zdalne podpisy elektroniczne

Systemy administracji publicznej zgodnie z rozporządzeniem eIDAS, tam gdzie przyjmują dokumenty podpisane zwykłym podpisem elektronicznym, muszą uznawać w szczególności kwalifikowane podpisy elektroniczne w uznanych formatach. Oznacza, to że nie mogą ograniczać ani wydawcy kwalifikowanego certyfikatu podpisu elektronicznego, ani sposobu w jaki powstaje ten podpis elektroniczny.

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) NR 910/2014

z dnia 23 lipca 2014 r.

w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE

Artykuł 27

Podpisy elektroniczne w usługach publicznych

Jeżeli państwo członkowskie wymaga zaawansowanego podpisu elektronicznego do korzystania z usługi online oferowanej przez podmiot sektora publicznego lub w jego imieniu, to państwo członkowskie uznaje zaawansowane podpisy elektroniczne, zaawansowane podpisy elektroniczne oparte na kwalifikowanym certyfikacie podpisów elektronicznych oraz kwalifikowane podpisy elektroniczne co najmniej w formatach lub wykorzystujące metody określone w aktach wykonawczych, o których mowa w ust. 5.
Jeżeli państwo członkowskie wymaga zaawansowanego podpisu elektronicznego opartego na kwalifikowanym certyfikacie do skorzystania z usługi online oferowanej przez podmiot sektora publicznego lub w jego imieniu, to państwo członkowskie uznaje zaawansowane podpisy elektroniczne oparte na kwalifikowanym certyfikacie i kwalifikowane podpisy elektroniczne co najmniej w formatach lub wykorzystujące metody określone w aktach wykonawczych, o których mowa w ust. 5.

Zgodnie z tymi zapisami określono w decyzji wykonawczej 4 formaty, które obowiązkowo muszą być uznawane przez państwa członkowskie w ich usługach online. Są to formaty PAdES, XAdES, CAdES oraz ASiC, których szczegółowe specyfikacje zostały opisane w rozporządzeniu eIDAS.

DECYZJA WYKONAWCZA KOMISJI (UE) 2015/1506

z dnia 8 września 2015 r.

ustanawiająca specyfikacje dotyczące formatów zaawansowanych podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych, które mają być uznane przez podmioty sektora publicznego

Państwo członkowskie wymagające zaawansowanego podpisu elektronicznego lub zaawansowanego podpisu elektronicznego opartego na kwalifikowanym certyfikacie, jak określono w art. 27 ust. 1 i 2 rozporządzenia (UE) nr 910/2014, uznaje zaawansowane podpisy elektroniczne w formatach XML, CMS lub PDF na poziomie zgodności B, T lub LT bądź zastosowanie formatu ASiC, jeżeli podpisy te są zgodne ze specyfikacjami technicznymi wymienionymi w załączniku.

Jak podpisy elektroniczne funkcjonują w Polsce?

W Polsce przez kilkanaście lat obowiązywania ustawy o podpisie elektronicznym podstawą funkcjonowania usług podpisu elektronicznego były karty kryptograficzne. W związku z tym, każdy użytkownik otrzymywał kartę, która wraz z odpowiednim oprogramowaniem pozwalała na złożenie podpisu elektronicznego. Aby dostosować się do tych reguł dostawcy różnych usług, w tym ePUAP, PUE ZUS, a także szereg innych zbudowali aplikacje do składania podpisu, które pozwalały na komunikację z kartą oraz utworzenie podpisu elektronicznego. Cały mechanizm jest o tyle trudny, że każda nowa karta kryptograficzna i nowy sterownik tej karty wymaga osobnej obsługi oraz ręcznej konfiguracji.
Mechanizm ten nie uwzględnia faktu, że na rynku UE funkcjonuje stu kilkudziesięciu dostawców kwalifikowanych certyfikatów podpisu elektronicznego, którzy udostępniają różne karty kryptograficzne w różnych technologiach, a co więcej coraz częściej opierają swoje produkty o elektroniczne podpisy chmurowe (podpisy zdalne). Stosowane z powodzeniem podpisy elektroniczne w chmurze obecne w Polsce od 2017 roku opierają się w głównej mierze na możliwości złożenia podpisu bez konieczności instalowania sterowników karty i oprogramowania uruchamianego na stacji roboczej użytkownika. Cały proces może być zrealizowany za pomocą strony internetowej, gdzie podanie odpowiednich informacji uwierzytelniających pozwala na złożenie podpisu elektronicznego.

Aktualna sytuacja w Polsce – z czym mierzy się użytkownik podpisów elektronicznych?

Podpisem zdalnym w rzeczywistości jest również profil zaufany, który został opracowany w ten sposób, żeby żadna instalacja po stronie systemu użytkownika nie była potrzebna. Wobec czego urzędy wykorzystują podpisy zaufane bez konieczności korzystania z aplikacji do podpisu elektronicznego. W efekcie tworzy to bardzo złe doświadczenie użytkownika, któremu wskazuje się jako jedyne rozwiązanie podpis zaufany, a uniemożliwia się mu korzystanie z kwalifikowanych podpisów elektronicznych.

Przykładowo uruchomiona na platformie PUE ZUS funkcjonalność składania kwalifikowanych podpisów elektronicznych uniemożliwia praktyczne działanie na platformach innych niż Windows lub wymaga specjalistycznej wiedzy od użytkownika i konkretnej konfiguracji systemowej. W dodatku uniemożliwia korzystanie z kwalifikowanego podpisu na tabletach, czy telefonach komórkowych.

Faktem jest to, że zbudowanie jednolitego mechanizmu pozwalającego na użycie różnych usług składania podpisów elektronicznych i kart wielu dostawców, wymaga całkowitego oderwania się od aktualnych technologii stosowanych przez urzędy. Dodatkowo konieczne jest oparcie całości o rozwiązanie przekazywania kontekstu podpisywanego dokumentu do środowiska podpisującego. Założenia do budowy takiego rozwiązania zostały określone w Zintegrowanym Planie Informatyzacji państwa w 2016 roku, jednakże nigdy nie weszły w życie.

Jak urzędy powinny przyjmować dokumenty elektroniczne?

Uruchomienie przez urzędy aplikacji do składania podpisów elektronicznych może być jakąś dodatkową funkcją. Jednocześnie nie może to jednak stanowić ograniczenia dla wszystkich tych, którzy korzystają z rozwiązań alternatywnych.

Podstawą funkcjonowania przyjmowania dokumentów elektronicznych przez urzędy powinna być walidacja realizowana zgodnie z normami technicznymi i pozwalająca na jednoznaczne potwierdzenie ważności podpisu elektronicznego. Niezależnie czy mamy do czynienia z kwalifikowanym podpisem elektronicznym, elektronicznym podpisem osobistym, czy elektronicznym podpisem zaufanym. Komisja Europejska, aby wskazać mechanizmy realizacji walidacji podpisów elektronicznych opublikowała darmowe biblioteki DSS wraz z aplikacją demonstracyjną na stronach: https://ec.europa.eu/cefdigital/DSS/webapp-demo/validation

Praktycznie uruchomienie ich w środowisku rządowym i udostępnienie jako podstawy walidacji podpisów przez urzędy powinno być priorytetem elektronizacji procesów administracyjnych. Jednocześnie funkcja weryfikacji podpisu powinna być dostępna dla ogółu, tak aby każdy mógł zweryfikować, czy jego podpis jest prawidłowy i zostanie bez problemu przyjęty przez administrację publiczną. Uruchomienie jednolitego mechanizmu w tym zakresie pozwoliłoby każdemu urzędowi na korzystanie z tej samej funkcjonalności, a każdy podpisujący zyskałby pewność, że dysponuje akceptowalnym narzędziem i rozwiązaniem.

Ergonomia składania podpisu elektronicznego

Wiele platform administracji pozwala dziś w łatwy sposób przygotować dokument elektroniczny w sposób jednoznaczny i sformatowany z odpowiednimi wzorami. Dodatkowo uproszczone jest późniejsze przetwarzanie ich w systemach teleinformatycznych urzędów – jest to naturalne i słuszne działanie.

W tym zakresie przykładowo podawane PUE ZUS posiada szereg interfejsów i mechanizmów pozwalających na łatwe sporządzenie dokumentów elektronicznych. Wiadomo, że na koniec te dokumenty powinny zostać podpisane elektronicznie, a w niedługim czasie wymaganiem będzie także to, żeby były przekazane za pomocą usługi doręczenia elektronicznego zgodnie z wchodzącą w życie ustawą do doręczeniach elektronicznych. To wszystko wymaga mechanizmu pozwalającego na łatwe zrealizowanie modelu opisanego poniżej:

Portal administracji publicznej umożliwia pobranie dokumentu do podpisu za pomocą aktywnego linku.
Użytkownik swoją aplikacją lub rozwiązaniem udostępnionym przez dostawcę usługi zaufania podpisuje dokument.
Podpisany dokument jest przekazywany pod ten sam aktywny link.

Do zastosowania takiego mechanizmu trzeba dostosować aplikacje i rozwiązania różnych dostawców. Warto jednak pamiętać, że uwolniony interfejs pozwoliłby każdemu na wykorzystanie własnych aplikacji i rozwiązań, a także na rozwój kolejnych aplikacji, pozwalających na korzystanie z rozwiązań wielu dostawców. Ten mechanizm w połączeniu z możliwością złożenia podpisanego dokumentu kwalifikowanym podpisem elektronicznym, wykonanym całkowicie poza platformą, pozwoli na dostęp wszystkich zainteresowanych. Jednocześnie w tym miejscu należy wskazać, że rozporządzenie eIDAS nie pozwala na ograniczenie uznawania kwalifikowanego podpisu elektronicznego tylko do tych, które są weryfikowane certyfikatami zawierającymi numer PESEL. Zgodnie z art. 25 eIDAS wszystkie certyfikaty kwalifikowane są tak samo wiarygodne i mają mieć takie samo zaufanie w usługach publicznych i prywatnych.

Zastosowanie mechanizmu opisanego powyżej będzie miało także ogromne znaczenie przy uruchomieniu doręczeń elektronicznych. Mechanizm pozwala na przekazanie dokumentu do podpisu elektronicznego – w takim sam sposób pozwoli również na przekazanie dokumentu przygotowanego do doręczenia elektronicznego.

Podsumowanie i rekomendacje

Jak wykazano w tym artykule, konieczne jest otwarcie się administracji publicznej na interesowanie z wieloma usługami zaufania. Istotne jest również zaakceptowanie faktu, że zgodnie z rozporządzeniem eIDAS rynek podpisów elektronicznych, doręczeń elektronicznych oraz innych usług zaufania jest rynkiem otwartym. Rynek ten dzięki konkurencji, nie tylko polskiej, ale głównie paneuropejskiej, pozwala na dostarczenie ergonomicznych i zrozumiałych narzędzi, które są wykorzystywane zarówno przez administrację publiczną jak i przez biznes.

Data publikacji: 25.08.2021