Internet stał się coraz popularniejszym medium dostępu do różnego rodzaju usług. Dzięki temu obywatele są w stanie dotrzeć do elektronicznych usług administracji publicznej właśnie za pomocą dostępnych portali. Z tego względu, zdaniem ustawodawców Unii Europejskiej, istot-nym zagadnieniem jest zapewnienie zaufania, które jest kluczowym elementem rozwoju go-spodarczo-społecznego. W przypadku braku zaufania konsumenci, przedsiębiorcy i organy ad-ministracji podchodzą niechętnie do wykorzystania nowych usług elektronicznych. Parlament Europejski przyjął w 2015 roku projekt Rozporządzenia Parlamentu Europejskiego i Rady w spra-wie identyfikacji elektronicznej i usług zaufania. Dotyczyć ono będzie elektronicznych transakcji na rynku wewnętrznym (Rozporządzenie eIDAS1). Rozporządzenia eIDAS, zgodnie z art. 50 zacznie obowiązywać 1 lipca 2016 roku. Rozporządzenie to ma na celu zwiększenie zaufania do transak-cji elektronicznych poprzez zapewnienie wspólnej podstawy interaktransak-cji elektronicznej pomiędzy przedsiębiorstwami, obywatelami i organami publicznymi. Ma to w teorii podnieść efektywność publicznych i prywatnych usług internetowych, e-biznesu czy handlu elektronicznego w Unii oraz ułatwić korzystanie z usług internetowych o charakterze transgranicznym.
Zgodnie z aktualnie obowiązującym porządkiem prawnym przepisy Dyrektywy Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 roku w sprawie wspólnotowych ram z zakresie podpisów elektronicznych (DzU L 13 z 19.01.2000, s. 12) regulują przede wszystkim za-gadnienia podpisu elektronicznego. Dyrektywa 1999/93/WE nie zapewnia jednak szczegółowych rozwiązań pozwalających na wprowadzenie wspólnych ram transtranicznych umożliwiających re-alizację międzynarodowych usług elektronicznych, które są bezpieczne, łatwe i wiarygodne pod-czas realizacji. Ze względu na niedoskonałość rozwiązań Dyrektywy 1999/93/WE rozporządzenie eIDAS ma wprowadzić harmonizację rozwiązań europejskich poprzez regulację odpowiednich na-rzędzi istotnych z punktu widzenia użytkownika usług elektronicznych. Rozporządzenie eIDAS bę-dzie aktem prawnym obowiązującym bezpośrednio. Nie ma więc konieczności transpozycji prze-pisów tego rozporządzenia na krajowe ramy prawne w postaci ustaw i rozporządzeń, jak to miało miejsce w przypadku Dyrektywy 1999/93/WE. Główną barierą wykonywania transakcji elektro-nicznych w innych krajach Unii Europejskiej jest, według części motywacyjnej Rozporządzenia eIDAS, brak możliwości wykorzystania krajowej identyfikacji elektronicznej dla celów uwierzy-telnienia w systemach informatycznych innego państwa członkowskiego. Sytuacja ta skutecznie blokuje wykorzystanie wewnętrznego rynku UE dostawcom usług. Transgraniczne świadczenie usług na rynku wewnętrznym powinno zyskać na łatwości i swobodzie dzięki wzajemności uzna-wania środków identyfikacji elektronicznej, co w efekcie powinno zmniejszyć trudność kontaktów z organami publicznymi innych krajów. Wydaje się, że niezbędne jest zapewnienie bezpiecznej
1 Regulation of the European Parliament and of the Council on electronic identification and trust for electronic transactions in the internal market
181
elektronicznej identyfikacji i uwierzytelniania, aby wspomagać dostęp do transgranicznych usług elektronicznych oferowanych przez administracje państw członkowskich. Dzięki wdrożeniu takich mechanizmów podmioty z jednego państwa członkowskiego będą mogły wykonywać określone procedury administracyjne w urzędach innych państw w ramach usług elektronicznych. W czę-ści początkowej rozporządzenia zwraca się również uwagę na mocniejsze motywowanie sektora prywatnego do wykorzystywania środków identyfikacji elektronicznej w ramach notyfikowanego systemu do celów identyfikacji, gdy jest ona wykorzystywana do celów usług elektronicznych.
W rozporządzeniu eIDAS określone zostały warunki uznawania przez państwa członkowskie środków identyfikacji elektronicznej osób fizycznych i prawnych, których tożsamość może być po-twierdzona przez inny notyfikowany system identyfikacji elektronicznej w kraju członkowskim.
Rozporządzenie eIDAS ustanawia ramy prawne dla:
• podpisów elektronicznych,
• pieczęci elektronicznych,
• elektronicznych znaczników czasu,
• dokumentów elektronicznych,
• usług potwierdzonych doręczeń elektronicznych,
• usług certyfikacyjnych uwierzytelniania witryn internetowych.
Rozporządzenie eIDAS wprowadza zasady dotyczące transgranicznego rozpoznawania pod-pisu elektronicznego, zgodnie z którymi właściwe organy w państwach członkowskich aktualnie wykorzystujące różne formaty zaawansowanych podpisów elektronicznych do elektronicznego podpisywania dokumentów, powinny umożliwić techniczną obsługę co najmniej kilku różnych for-matów zaawansowanego podpisu elektronicznego. Zasady takie mają być również stosowane do pieczęci elektronicznych, które w zasadzie są technicznymi odpowiednikami podpisów, ale wyko-nywane są przez inny podmiot (osoba prawna, a nie fizyczna).
W rozporządzeniu eIDAS określone zostały również zasady wzajemnego uznawania środków identyfikacji elektronicznej, warunki notyfikowania systemów identyfikacji elektronicznej, pozio-my bezpieczeństwa systemów identyfikacji elektronicznej, zasady odpowiedzialności za szkody oraz zasady współpracy państw członkowskich przy realizacji rozporządzenia. W zakresie usług zaufania rozporządzenie określa zarówno wymogi dotyczące dostawców kwalifikowanych usług zaufania, jak i skutki prawne korzystania z poszczególnych usług. Dodatkowo zdefiniowane są również zasady nadzoru i odpowiedzialności za szkody wywołane nieprzestrzeganiem zasad wy-nikających z postanowień Rozporządzenia eIDAS.
Artykuł 3 rozporządzenia definiuje usługi zaufania:
„ Artykuł 3 Definicje
16) „usługa zaufania” oznacza usługę elektroniczną zazwyczaj świadczoną za wynagrodze-niem i obejmującą:
a) tworzenie, weryfikację i walidację podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego oraz certyfikatów powiązanych z tymi usługami; lub
b) tworzenie, weryfikację i walidację certyfikatów uwierzytelniania witryn internetowych;
182
lub
c) konserwację elektronicznych podpisów, pieczęci lub certyfikatów powiązanych z tymi usłu-gami;”
Każda z wymienionych usług może być usługą kwalifikowaną lub niekwalifikowaną. W roz-porządzeniu nie zidentyfikowano zależności dotyczących świadczenia usług kwalifikowanych i ich odpowiedników w wersji niekwalifikowanej. Niektóre z usług mogą mieć postać wyłącznie usług kwalifikowanych, a inne wyłącznie usług niekwalifikowanych, np certyfikaty uwierzytelnia-nia witryn internetowych, które są szeroko stosowane w gospodarce w wersji niekwalifikowanej.
W rozporządzeniu wskazane zostały kwalifikowane usługi, które posiadają skutek prawny:
• artykuł 25 - podpis elektroniczny
• artykuł 35 - pieczęci elektroniczne
• artykuł 41 - elektroniczne znaczniki czasu
• artykuł 43 - usługi rejestrowanego doręczenia elektronicznego
• artykuł 46 - dokumenty elektroniczne
Niestety w ramach rozporządzenia eIDAS brak jest definicji skutków prawnych dla pozosta-łych usług. Może to rodzić negatywne konsekwencje i rozbieżności w regulacjach krajowych. Do-datkowe wątpliwości pojawiają się podczas analizy zagadnień kwalifikowanych usług zaufania.
Artykuł 3 podaje definicję:
„Art. 3, pkt. (17) „kwalifikowana usługa zaufania” oznacza usługę zaufania, która spełnia sto-sowne wymogi określone w niniejszym rozporządzeniu”
Kierując się wytycznymi tej definicji, precyzyjne określenie - na podstawie zapisów w rozpo-rządzeniu eIDAS, wymagań dla kwalifikowanych usług weryfikacji i walidacji certyfikatów pod-pisów oraz pieczęci elektronicznych, certyfikatów uwierzytelniania witryn internetowych, elek-tronicznych znaczników czasu - jest zagadnieniem bardzo trudnym. Prawdopodobnie kwestie te mogą być sprecyzowane w dodatkowych aktach prawnych, ale ponownie może to rodzić różni-ce w rozwiązaniach krajowych. Rozporządzenie eIDAS definiuje dużą liczbę rozdzielnych usług, w których wymagania są często bardzo podobne. Nie będzie to rozwiązanie łatwe i wygodne dla użytkowników, którzy będą musieli decydować, jaka usługa jest im w danym momencie po-trzebna. Na przykład urzędnik otrzymujący pismo podpisane podpisem elektronicznym będzie stał przed wyborem, czy informacji na temat podpisu lub pieczęci ma dostarczyć kwalifikowa-na usługa walidacji kwalifikowanych podpisów elektronicznych, kwalifikowakwalifikowa-na usługa walidacji kwalifikowanych pieczęci elektronicznych czy też niekwalifikowana usługa weryfikacji podpisów elektronicznych. Wydaje się prawdopodobne, że usługodawcy wprowadzą agregacje takich usług lub mechanizmy automatycznego dopasowywania usług dla potrzeb użytkownika. Możliwe jest wprowadzenie odpowiednich pytań w narzędziach weryfikacji podpisów i pieczęci zrozumiałych dla użytkownika bez wiedzy informatycznej, które pozwolą wybrać odpowiednią usługę dopaso-waną do sytuacji prawnej.