Podpis elektroniczny – wymagania

Jakie wymagania musi spełniać podpis elektroniczny przy składaniu dokumenty JEDZ? Czy wystarczą w podpisie elektronicznym dane osobowe osoby reprezentującej Spółkę zgodnie z KRS-em czy musi być również wskazana nazwa Spółki? 

Wymagania jakie musi spełniać kwalifikowany podpis elektroniczny zostały określone w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23.07.2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz. U. UE. L. z 2014 r. Nr 257, str. 73) dalej rozporządzenie eIDAS. Przepisy rozporządzenia eIDAS nie wskazują aby kwalifikowany podpis elektroniczny musiał zawierać dane dotyczące nazwy spółki.

Zgodnie z art. 10a ust. 5 ustawy z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych (t.j. Dz. U. z 2018 r. poz. 1986 z późn. zm.) dalej p.z.p., oferty, wnioski o dopuszczenie do udziału w postępowaniu oraz oświadczenie, o którym mowa w art. 25a, w tym jednolity dokument, sporządza się, pod rygorem nieważności, w postaci elektronicznej i opatruje się kwalifikowanym podpisem elektronicznym. W związku z brzmieniem powyższego przepisu należy w pierwszej kolejności wskazać, iż w postępowaniach o udzielenie zamówienia publicznego powyżej progu, o którym mowa w art. 11 ust. 8 p.z.p., Jednolity Europejski Dokument Zamówienia trzeba opatrzyć kwalifikowanym podpisem elektronicznym.  

Przepisy regulujące kwestie związane z kwalifikowanym podpisem elektronicznym określone zostały w ustawie z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (t.j. Dz. U. z 2019 r. poz. 162). Celem niniejszej ustawy było dostosowanie polskiego porządku prawnego do rozporządzenia eIDAS. Zgodnie z art. 3 pkt 12 przywołanego rozporządzenia „kwalifikowany podpis elektroniczny” oznacza zaawansowany podpis elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego. Innymi słowy na kwalifikowany podpis elektroniczny składają się dwa elementy tj. zaawansowany podpis elektroniczny oraz kwalifikowany certyfikat podpisu elektronicznego.

Wymogi dla zaawansowanego podpisu elektronicznego, do którego odnosi się ustawodawca unijny definiując kwalifikowany podpis elektroniczny, określone zostały w art. 26 rozporządzenia eIDAS. Zgodnie z przywołanym artykułem podpis ten powinien: być unikalnie przyporządkowany podpisującemu, umożliwiać ustalenie tożsamości podpisującego, być składany przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą oraz być powiązany z danymi podpisanymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna.

Z kolei certyfikat kwalifikowany, o którym mowa w definicji kwalifikowanego podpisu elektronicznego jest to certyfikat zawierający dane pozwalające jednoznacznie wskazać użytkownika bezpiecznego podpisu elektronicznego. Jest on wystawiany wyłącznie osobom fizycznym przez kwalifikowane podmioty świadczące usługi certyfikacyjne. Są to kwalifikowane podmioty świadczące usługi certyfikacyjne - firmy oferujące podpis elektroniczny wpisane do rejestru Ministerstwa Gospodarki prowadzonego przez Narodowe Centrum Certyfikacji jako podmioty spełniające wymogi bezpieczeństwa określone w ustawie o usługach zaufania oraz identyfikacji elektronicznej. Informacje jakie powinien posiadać kwalifikowany certyfikat określone zostały w załączniku I do rozporządzenia eIDAS.

a) wskazanie - co najmniej w postaci pozwalającej na automatyczne przetwarzanie - że dany certyfikat został wydany jako kwalifikowany certyfikat podpisu elektronicznego;

b) zestaw danych jednoznacznie reprezentujących kwalifikowanego dostawcę usług zaufania wydającego kwalifikowane certyfikaty, obejmujący co najmniej państwo członkowskie, w którym dostawca ma siedzibę, oraz

- w odniesieniu do osoby prawnej: nazwę i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem,

- w odniesieniu do osoby fizycznej: imię i nazwisko tej osoby;

c) co najmniej imię i nazwisko podpisującego lub jego pseudonim; jeżeli używany jest pseudonim, fakt ten jest jasno wskazany;

d) dane służące do walidacji podpisu elektronicznego, które odpowiadają danym służącym do składania podpisu elektronicznego;

e) dane dotyczące początku i końca okresu ważności certyfikatu;

f) kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla kwalifikowanego dostawcy usług zaufania;

g) zaawansowany podpis elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego kwalifikowanego dostawcy usług zaufania;

h) miejsce, w którym nieodpłatnie dostępny jest certyfikat towarzyszący zaawansowanemu podpisowi elektronicznemu lub zaawansowanej pieczęci elektronicznej, o których mowa w lit. g);

i) miejsce usług, z którego można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu;

j) w przypadku gdy dane służące do składania podpisu elektronicznego powiązane z danymi służącymi do walidacji podpisu elektronicznego znajdują się w kwalifikowanym urządzeniu do składania podpisu elektronicznego, odpowiednie wskazanie tego faktu co najmniej w postaci pozwalającej na automatyczne przetwarzanie.

Zarówno art. 26, jak i załącznik I do rozporządzenia eIDAS mają charakter zamkniętych katalogów. Z wymienionych wyżej przepisów wynika konieczność umieszczenia w kwalifikowanym podpisie elektronicznym danych osobowych identyfikujących osobę składającą podpis tj. imię i nazwisko. Jednakże ustawodawca unijny nie przewidział obowiązku zawarcia informacji dotyczących spółki reprezentowanej przez osobę składającą podpis. W konsekwencji należy stwierdzić, że dane dotyczące spółki nie są danymi, które muszą znaleźć się w kwalifikowanym podpisie elektronicznym.


Image