Czy podpis kwalifikowany bez danych osobowych jest ważny?

O podpisie kwalifikowanym i możliwościach jego wykorzystania w życiu codziennym piszemy regularnie. Czasy pandemii Covid-19 spowodowały, że usługi elektroniczne zdobyły coraz większą rzeszę zadowolonych użytkowników i ta tendencja utrzymuje się do dzisiaj – korzyści, zarówno finansowe, jak te związane z oszczędnością czasu są niezaprzeczalne, zarówno jeśli chodzi o przedsiębiorców, jak zwykłego Kowalskiego.

Czy podpis elektroniczny jest bezpieczny? Czy podając swoje dane osobowe możemy być pewni, że będą one odpowiednio zabezpieczone? I pytanie podstawowe – jakie informacje musimy podać, aby podpis elektroniczny w ogóle otrzymać? O tym właśnie opowiemy dzisiaj. Zapraszamy do lektury!

Identyfikacja i weryfikacja

Podpis kwalifikowany jest równoznaczny z podpisem własnoręcznym i może być wykorzystany w każdej sytuacji, która obliguje nas do zachowania formy pisemnej. Elektroniczna forma podpisania dokumentu wymaga posiadania odpowiedniego certyfikatu, a co za tym idzie – dokładnej identyfikacji i weryfikacji tożsamości osób zaangażowanych w taką czynność. Pierwsza z nich, identyfikacja, to nic innego, jak uzupełnienie, podanie danych potrzebnych do podpisania dokumentu, natomiast druga, weryfikacja, to potwierdzenie tożsamości osoby podpisującej dany dokument.

W przypadku umów podpisywanych w sposób tradycyjny, w formie papierowej, weryfikacja personaliów odbywa się najczęściej poprzez porównanie danych podanych w umowie z danymi z dokumentu tożsamości, porównanie wizerunku osób ze zdjęciami w dokumentach tożsamości, a także – porównanie składanego podpisu z jego skanem w dowodzie, prawie jazdy czy paszporcie. Podobna sytuacja ma miejsce przy podpisywaniu dokumentów w sposób elektroniczny.

cencert_ochrona_bezpieczeństwo_danych_osobowych

Dane osobowe potrzebne do podpisu elektronicznego

Certyfikat kwalifikowany zawierający imię i nazwisko musi zawierać dodatkowe dane, które umożliwią jednoznaczną identyfikację danej osoby – najczęściej jest to nasz PESEL albo numer NIP, ewentualnie numer dokumentu tożsamości. Co istotne, numer PESEL jest najczęstszym „potwierdzeniem” wymaganym przez systemy administracji, takie jak ZUS czy urzędy skarbowe. Dlatego właśnie, jeśli decydujemy się na zakup certyfikatu głównie pod kątem kontaktów z urzędami, to zakup opcji z numerem PESEL wydaje się być formą najbardziej optymalną. Z kolei certyfikat, w którym identyfikujemy się na przykład serią i numerem dokumentu tożsamości jest najbardziej adekwatną formą certyfikatu wykorzystywanego przy podpisywaniu dokumentów dostępnych publicznie lub wysyłanych do większej liczby odbiorców.

Zakup rodzaju certyfikatu zależy od nas – przed podjęciem decyzji o wyborze odpowiedniej formy, należy zastanowić się, do czego chcemy go wykorzystywać i jakie dane identyfikacyjne mogą być nam potrzebne w przyszłości.

Oprócz imienia i nazwiska, numeru PESEL czy numeru NIP do identyfikacji mogą służyć także inne dane osobowe, na przykład adres e-mail, numer telefonu, adres zamieszkania, ale także na przykład cechy biometryczne. Informacje o tym, co może zostać uznane za dane osobowe znajdziemy w Ogólnym Rozporządzeniu o Ochronie Danych (tzw. RODO). Warto pamiętać, że niektóre z danych nie mogą samodzielnie potwierdzić naszej tożsamości, (np. imię czy nawet nazwisko), ale już w połączeniu z innymi danymi, jak numer PESEL, czy numer NIP umożliwiają pełne poświadczenie, kto podpisuje daną umowę.

Czy certyfikat anonimowy jest w pełni anonimowy?

W przypadku certyfikatów kwalifikowanych możemy także mówić o tak zwanych certyfikatach anonimowych, czyli takich, które nie zawierają pełnych danych osobowych właściciela certyfikatu. O co chodzi? Certyfikat anonimowy nie zawiera danych typu „imię”, czy „nazwisko”, posiada natomiast na przykład „pseudonim” lub „nazwę powszechną”. Certyfikaty tego typu są wystawiane dokładnie tak samo, jak wszystkie inne certyfikaty kwalifikowane i wymagają odpowiedniego uwierzytelnienia na podstawie dokumentu tożsamości. I podobnie jak pozostałe podpisy elektroniczne są przypisane wyłącznie do osoby, dla której zostały wystawione.

W sensie prawnym podpis kwalifikowany złożony przy użyciu certyfikatu anonimowego jest takim samym podpisem kwalifikowanym, jak podpis złożony przy użyciu certyfikatu zawierającego pełne dane osobowe. W praktyce może to jednak wyglądać inaczej – nie każdy system IT (np. urzędu) może dopuścić do użytku tego typu certyfikaty, przede wszystkim ze względu na specyficzne wymagania nakazujące identyfikację osoby na podstawie podpisu. Oczywiście, warto pamiętać, że certyfikaty anonimowe są „anonimowe” tylko w pewnym stopniu – co prawda, odbiorca podpisanego dokumentu nie otrzymuje wraz z nim danych osobowych podpisującego, ale kwalifikowane Centra Certyfikacji Kluczy świadczące usługi zaufania dysponują pełnymi danymi osobowymi właściciela certyfikatu i mają obowiązek ich udostępnienia na wniosek uprawnionych instytucji, jak policja czy prokuratura. O szczegółach podpisu kwalifikowanego przeczytacie w artykule „Anonimowy, czyli jaki?” (https://www.cencert.pl/anonimowy-czyli-jaki/)

Dokumenty potrzebne do otrzymania podpisu kwalifikowanego

Podstawowe dokumenty potrzebne do otrzymania podpisu kwalifikowanego, w zależności od tego, jakich danych potrzebujemy w certyfikacie to m.in.:

ważny dokument potwierdzający tożsamość wydany w Unii Europejskiej (dowód osobisty, karta pobytu) lub paszport wydany w dowolnym kraju
dokument zawierający numer PESEL lub dowód nadania numeru PESEL
dokument potwierdzający numer dokumentu tożsamości (zamiast numeru PESEL)
oryginał nadania numeru NIP
dokument potwierdzający określone uprawnienia (w sytuacji, kiedy do certyfikatu mają być wpisane dane związane z „pozycją zawodową”)
upoważnienie do otrzymania certyfikatu z danymi organizacji, podpisane przez osobę uprawnioną (chyba, że uprawnienie danej osoby wynika z rejestru KRS/CEiDG)

Bezpieczeństwo podawanych i przesyłanych danych

Aby podpis elektroniczny był bezpieczny musi zostać przypisany tylko do jednej osoby i mieć ścisły związek z danymi, do których jest dołączony. Podpisy kwalifikowane są generowane z użyciem bezpiecznych danych oraz urządzeń wykorzystywanych do składania podpisu elektronicznego, nadzorowanego przez jednostkę upoważnioną do ich wydawania. W skład zestawu do składania i weryfikacji podpisu elektronicznego weryfikowanego certyfikatem kwalifikowanym CenCert wchodzą: czytnik kart kryptograficznych, karta kryptograficzna, certyfikat kwalifikowany, oprogramowanie do składania i weryfikacji podpisów elektronicznych PEM-HEART. Coraz częściej wystarczy tylko odpowiednio skonfigurowany telefon, komputer i oprogramowanie, jak ma to miejsce w przypadku naszego najnowszego rozwiązania, produktu rSign – podpis „w chmurze”, a bezpieczeństwo tej usługi jest potwierdzone m.in. certyfikatem zgodności z normą ISO 27001, wydanym przez DEKRA Certification GmbH.

Co ważne, wszystkie dokumenty podpisywane podpisem elektronicznym są bezpieczne i w pełni zgodne z polskimi oraz europejskimi regulacjami i normami (np. z normami Ustawy o usługach zaufania oraz identyfikacji elektronicznej z 5 września 2016 r. oraz z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) Nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE). Każda, ewentualna zmiana dokumentu po jego podpisaniu zostaje natychmiast wykryta w procesie weryfikacji podpisu. Dodatkowo, korzystając z funkcji znakowania czasem, mamy pewność, że podpis był złożony w momencie wskazanym w znaczniku czasu. Należy dodać, że PEM-HEART weryfikuje podpisy wystawiane przez wszystkie kwalifikowane Centra Certyfikacji Kluczy, podporządkowane jednostce centralnej, czyli Narodowemu Centrum Certyfikacji.

Bezpieczeństwo to dla nas podstawa, niezależnie od tego, jaką usługę wybierzecie, czy będzie to podpis elektroniczny, znacznik czasu czy pieczęć kwalifikowana możecie mieć pewność, że rozwiązania CenCert spełniają najwyższe wymogi oraz standardy prawa unijnego i krajowego. O naszych działaniach związanych ze spełnianiem najwyższych wymogów, przeczytacie w artykule „Bezpieczeństwo to podstawa, czyli, dlaczego możemy się czuć spokojni podpisujac dokumenty podpisem elektronicznym?” (https://www.cencert.pl/bezpieczenstwo-to-podstawa-czyli-dlaczego-mozemy-czuc-sie-spokojni-podpisujac-dokumenty-podpisem-elektronicznym/).

Więcej informacji na temat naszych produktów znajdziecie na stronie https://www.cencert.pl/certyfikat-kwalifikowany/. Zapraszamy także do kontaktu z naszymi Partnerami (https://www.cencert.pl/punkty-rejestracji/) oraz z infolinią, czynną w dni robocze w godzinach 8.00 – 18.00, pod numerami telefonów: 22 720 79 55 lub 666 028 044, mail: biuro@cencert.pl

Źródło:

https://www.nccert.pl/index.htm

https://cyberdefence24.pl/bezpieczenstwo-informacyjne/podpis-kwalifikowany-anonimowy-kwestia-ochrony-danych-jest-kluczowa-wywiad

https://www.cencert.pl/informacje-cencert/pytania-i-odpowiedzi/

Podstawa prawna:

https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu20160001579

https://uodo.gov.pl/pl/131/224

Przeczytaj artykuł: Cyfryzacja w placówkach oświaty.

Przeczytaj artykuł: Krajowy Węzeł Identyfikacji Elektronicznej.

Przeczytaj artykuł: Raportowanie do GIIF.

Cookie	Duration	Description
Stosowanie badań rynkowych w celu generowania opinii odbiorców		Badania rynku mogą być wykorzystywane w celu uzyskania dalszych informacji na temat odbiorców, którzy odwiedzają strony/aplikacje i oglądają reklamy.
Tworzenie profilu spersonalizowanych reklam		Spersonalizowane reklamy mogą być wyświetlane użytkownikowi na podstawie jego profilu.
Wybór podstawowych reklam		Reklamy mogą być wyświetlane w oparciu o oglądaną treść, używaną aplikację, przybliżoną lokalizację lub typ urządzenia.
Wybór spersonalizowanych treści		Spersonalizowane treści mogą być wyświetlane użytkownikowi na podstawie jego profilu.

Czy podpis kwalifikowany bez danych osobowych użytkownika jest ważny?

Identyfikacja i weryfikacja

Dane osobowe potrzebne do podpisu elektronicznego

Czy certyfikat anonimowy jest w pełni anonimowy?

Dokumenty potrzebne do otrzymania podpisu kwalifikowanego

Bezpieczeństwo podawanych i przesyłanych danych