Podpisy elektroniczne - o co w nich chodzi?

Temat podpisywania dokumentów elektronicznych rodzi wątpliwości. Każdy przyszły podpisujący bywa zdezorientowany stawiając sobie pytanie czym jest podpis elektroniczny i czym różni się on pod względem wartości dowodowej i prawnej od podpisu własnoręcznego.

W tym poście opiszę najczęściej pojawiające się wątpliwości i mam nadzieję rozwieje je. Jestem zdania, że warto jest poświęcić chwilę uwagi i poukładać sobie w głowie to jakiego rodzaju podpisy mamy, czym one się różnią i przy jakich czynnościach prawnych dany rodzaj podpisu należy zastosować. Wszystko to, aby móc swobodnie korzystać z tak dogodnego rozwiązania jakim jest podpis cyfrowy, usprawniający procesy i umożliwiający zawieranie umów na odległość.

Podpisy odręczne i podpisy elektroniczne

Każdy z nas składał niejednokrotnie podpis odręczny - znaki liter składające się na graficzne przedstawienie naszego imienia i nazwiska (a czasem tylko nazwiska). Podpis składamy na papierze posługując się piórem, długopisem lub cienkopisem. Wybór w tym zakresie zależy od naszych preferencji. Nasz podpis możemy złożyć tylko osobiście, będzie on unikalny i będzie nas identyfikował (podpisy są charakterystyczne). Podpis składamy po to, żeby potwierdzić to, co zostało zapisane nad tym podpisem - może to być umowa, oświadczenie lub wniosek (żądanie).

Z podpisami elektronicznymi jest dokładnie tak samo. Podpis elektroniczny to odzwierciedlenie podpisu odręcznego w świecie cyfrowym. Podpis taki powinien nas identyfikować i potwierdzać, że treść która jest objęta podpisem, pochodzi od właściciela podpisu elektronicznego.

W świecie cyfrowym, dzięki rozporządzeniu eIDAS obowiązującym w całej Unii Europejskiej, wyróżniamy trzy rodzaje podpisów elektronicznych:

• zwykły / bazowy podpis elektroniczny (electronic signature, ES)
• zaawansowany podpis elektroniczny (advanced electronic signature, AES)
• kwalifikowany podpis elektroniczny (qualified electronic signature, QES)

Zwykły podpis elektroniczny

Zgodnie z prawną definicją zawartą w rozporządzeniu eIDAS, podpis elektroniczny to dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej i które są użyte przez podpisującego jako podpis. Jak to rozumieć? Już wyjaśniam.

Upraszczając powyższą definicję - podpis elektroniczny to dane w postaci elektronicznej, które mają służyć jako podpis. Takimi danymi będą np. dane konta e-mail lub dane zarejestrowanego użytkownika w witrynie internetowej. Przykłady? dla lepszego zrozumienia Proponuję trzy:

• przygotowanie dokumentu w formacie PDF i wysłanie go przy użyciu konta e-mail może stanowić zwykły podpis elektroniczny;
• zaakceptowanie warunków serwisu internetowego lub sklepu internetowego z założonego tam konta również będzie stanowiło złożenie zwykłego podpisu elektronicznego
• wysłanie SMS-a z potwierdzeniem zamówienia będzie złożeniem zwykłego podpisu elektronicznego

W obu sytuacjach istnieje logiczne powiązanie między kontem wysyłającym (adresem e-mail, kontem użytkownika) a podpisem elektronicznym. W wielu typowych sytuacjach złożenie takiego podpis nie zawsze pozwala zweryfikować, kim naprawdę jest osoba podpisująca. Dlatego ten podpis elektroniczny, często określany jako "zwykły" lub “bazowy”, oferuje najniższy poziom bezpieczeństwa.

Ten poziom bezpieczeństwa możemy oczywiście podnieść, jeżeli mamy bezpośredni kontakt z osobą i w ten sposób potwierdzimy, że to ona korzysta z danego zwykłego podpisu elektronicznego. W praktyce wygląda to następująco:

• rekruter kontaktuje się najpierw z kandydatem za pośrednictwem poczty elektronicznej, a później - podczas spotkania z tą osobą - potwierdza, że do kontaktu z kandydatem będziemy posługiwać się wskazanym przez kandydata prywatnym adresem e-mail lub prywatnym numerem telefonu;
• pracownik, który otrzymuje swój własny adres e-mail w domenie pracodawcy wysyłając za jego pomocą wiadomości będzie wykorzystywał zwykły podpis elektroniczny - w tym wypadku będziemy mieć wręcz pewność co do tego kto składa taki podpis elektroniczny, skoro dany adres e-mail jest przypisany wyłącznie do jednego pracownika i tylko on może z niego korzystać (a inni pracownicy nie mają do niego dostępu).

Zwykłe podpisy elektroniczne można składać również za pomocą popularnych platform wspierających proces składania podpisów elektronicznych. Platformy te często potwierdzają taki podpis swoją pieczęcią zapewniając w ten sposób integralność dokumentu (potwierdzają, że nie został w żaden sposób zmieniony po złożeniu podpisu elektronicznego).

Zwykłym podpisem elektronicznym jest również podpis zaufany, który jest powiązany z profilem zaufanym i który jest wykorzystywany do składania podpisów w kontaktach z administracją publiczną; podpis zaufany może być składany za pomocą tzw. “podpisywarki” udostępnionej w portalu gov.pl. Podpis zaufany jest uznawany za podpis własnoręczny tylko w kontaktach z administracją publiczną, natomiast spełnia on wszelkie wymagania dla zwykłego podpisu elektronicznego w rozumieniu rozporządzenia eIDAS. Przewaga podpisu zaufanego nad zwykłym podpisem elektronicznym jest taka, że we właściwościach tego podpisu jest zapisana informacja o numerze PESEL podpisującego. Dzięki temu w praktyce będziemy mieć pewność kto podpisał dany dokument.

Uzyskane w ten sposób potwierdzenie co do powiązania podpisu elektronicznego z osobą, która będzie się nim posługiwać pozwala wykorzystywać je swobodnie w obszarze HR. W zdecydowanej większości przypadków wykorzystanie zwykłego podpisu elektronicznego w postaci przypisanego do pracownika unikalnego adresu e-mail będzie wystarczającym środkiem do identyfikacji osoby, która złożyła wniosek lub oświadczenie.

Zaawansowany podpis elektroniczny

Zaawansowany podpis elektroniczny musi spełniać następujące wymogi:

1. jest unikalnie przyporządkowany podpisującemu;
2. umożliwia ustalenie tożsamości podpisującego;
3. jest składany przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą; oraz
4. jest powiązany z danymi podpisanymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna.

Zaawansowany podpis elektroniczny ma wyższy poziom bezpieczeństwa niż zwykłe podpisy elektroniczne.

Przykładem zaawansowanego podpisu elektronicznego powszechnie dostępnego dla polskich obywateli jest podpis osobisty, który jest powiązany z dowodami osobistymi z warstwą elektroniczną; podpis osobisty można składać za pomocą aplikacji w smartfonach udostępnionej przez Państwową Wytwórnię Papierów Wartościowych.

Wdrażając emplohouse u naszych klientów często rekomendujemy, aby kandydaci i pracownicy korzystali z podpisu zaufanego lub podpisu osobistego w kontaktach z pracodawcami, szczególnie gdy chodzi o zawarcie umowy o pracę.

Kwalifikowany podpis elektroniczny

Kwalifikowany podpis elektroniczny to zaawansowany podpis elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego.

Kwalifikowany podpis elektroniczny jest równoważny podpisowi odręcznemu.

Kwalifikowany podpis elektroniczny jest dostarczany w Polsce przez pięciu dostawców:

1. Asseco Data Systems - proCertum SmartSign lub SimplySign
2. EuroCert - SecureDoc 2
3. Krajową Izbę Rozliczeniową - Szafir 2.0
4. CenCert - rSIGN
5. Polską Wytwórnię Papierów Wartościowych - Sigillum

Kto potrzebuje kwalifikowanego podpisu elektronicznego?

W procesach HRowych kwalifikowany podpis elektroniczny będzie potrzebny przede wszystkim pracodawcy lub osobom, które w jego imieniu składają na dokumentach swoje podpisy. Warto, aby kilka osób z działu HR taki podpis kwalifikowany posiadało.

Co do zasady pracownicy nie muszą posiadać kwalifikowanych podpisów elektronicznych, aby za ich pomocą komunikować się z pracodawcą. Do tego najczęściej będzie wystarczał zwykły podpis elektroniczny powiązany ze służbowym lub prywatnym adresem e-mail, ewentualnie zwykły podpis elektroniczny dostarczany przez platformę wspierającą obieg dokumentów (o ile pracodawca z takiej korzysta).

Pracownik będzie musiał mieć kwalifikowany podpis elektroniczny tylko w trzech przypadkach:

1. gdy zamierza zawrzeć z pracodawcą umowę o zakazie konkurencji;
2. pracownik z pracodawcą zawierają w umowie o pracę klauzulę o przeniesieniu autorskich praw majątkowych na pracodawcę;
3. w przypadku konieczności zawarcia umowy o wspólnej odpowiedzialności materialnej pracowników za powierzone mienie.

A jak u Was wygląda sprawa z podpisami elektronicznymi?

Dołącz do grupy Cyfryzacja działu HR!

Jeżeli masz dodatkowe pytania odnośnie do cyfryzacji swojego działu HR zapraszam Cię serdecznie do mojej grupy na Facebooku: Cyfryzacja działu HR - porady i wskazówki.