Lenka Gomez Tomčalová jest wspólnikiem i partnerem w ZCH Legal. Specjalizuje się w doradztwie prawnym, w szczególności w zakresie prawa pracy, w tym reprezentowaniu klientów w sporach pracowniczych i postępowaniach sądowych. Wspólnie z Lenką skupiliśmy się na obszarze podpisywania elektronicznego i zadaliśmy jej kilka pytań w tym segmencie, który staje się coraz bardziej popularny w firmach.
Podpisy elektroniczne są obecnie w modzie. Jakie są ich zalety?
Największą zaletą podpisów elektronicznych jest oszczędność finansowa, czasowa i logistyczna. Dokumenty można podpisywać elektronicznie z dowolnego miejsca, co okazało się szczególnie przydatne w czasach pandemii i pracy z domu.
W przypadku "wyższych" podpisów elektronicznych kolejną zaletą jest zapewnienie zachowania integralności i niezaprzeczalności dokumentu dzięki możliwości weryfikacji, czy dokument nie został zmieniony od momentu jego podpisania, a także zapewnienie niepowtarzalności podpisu elektronicznego, w przeciwieństwie do podpisu odręcznego.
Nie można również zapomnieć o aspekcie ekologicznym - dzięki wykorzystaniu podpisów elektronicznych możemy uniknąć drukowania dokumentów, oszczędzając tym samym zasoby naturalne.
A wady?
Wadą dla wielu osób może być konieczność ustanowienia kwalifikowanego certyfikatu dla podpisów elektronicznych (w przypadku podpisów gwarantowanych i kwalifikowanych), związane z tym koszty, wybór konkretnego rozwiązania technicznego, a także ograniczona ważność certyfikatu.
Wyjątkiem nie są sytuacje, w których druga strona umowy nie jest zadowolona z podpisu elektronicznego lub całkowicie go odrzuca z powodu braku doświadczenia, braku informacji lub z jakiegokolwiek innego powodu.
Istnieją różne rodzaje podpisów elektronicznych - zwykły, gwarantowany i kwalifikowany. Jaka jest między nimi różnica?
Prosty (zwykły) podpis elektroniczny
Podstawowym rodzajem jest zwykły podpis elektroniczny, który może być wykorzystany do zastąpienia zwykłego podpisu odręcznego, np. przy zawieraniu umów pomiędzy dwoma podmiotami prywatnymi. Może on przybrać formę wstawienia obrazka ze skanem odręcznego podpisu, pieczątki do podpisu lub "narysowania" podpisu myszką.
Gwarantowany podpis elektroniczny
W odniesieniu do gwarantowanego podpisu elektronicznego ustawa nr 297/2016 Coll. o usługach zaufania w transakcjach elektronicznych nie definiuje gwarantowanego podpisu elektronicznego, ale uznany podpis elektroniczny. Jest to gwarantowany podpis elektroniczny oparty na kwalifikowanym certyfikacie. Oznacza to, że jest on potwierdzony przez jeden z podmiotów świadczących usługi certyfikacyjne, którymi w Republice Czeskiej są Česká pošta, s.p., eIdentity a.s. i První certifikační autorita, a.s., które weryfikują tożsamość podpisującego przy jego wydawaniu.
Ten rodzaj podpisu elektronicznego może być wykorzystywany w przypadku podpisywania dokumentów, za pomocą których dokonuję czynności prawnych wobec podmiotów prawa publicznego lub innych osób w związku z wykonywaniem ich uprawnień.
Zgodnie z europejskim rozporządzeniem eIDAS podpis taki jest jednoznacznie powiązany z osobą podpisującą, umożliwia jej identyfikację, jest składany przy użyciu danych służących do składania podpisu elektronicznego o wysokim poziomie zaufania (tj. certyfikatu kwalifikowanego) i jest dołączany do podpisanych danych w taki sposób, że każda późniejsza zmiana danych może zostać wykryta.
Kwalifikowany podpis elektroniczny
Najwyższą formą podpisu elektronicznego jest kwalifikowany podpis elektroniczny. Jest to najbezpieczniejszy i najbezpieczniejszy sposób składania podpisu elektronicznego, ponieważ taki podpis może być złożony wyłącznie za pomocą kwalifikowanych środków na oddzielnym nieprzenośnym nośniku, np. specjalnych tokenach USB (również w tym przypadku tożsamość podpisującego jest weryfikowana przez dostawców usług certyfikacyjnych podczas wydawania podpisu).
Ten rodzaj podpisu elektronicznego jest wymagany w przypadku osób podpisujących się publicznie, tj. na przykład w przypadku działań władz państwowych lub samorządowych, a także w przypadku osób wykonujących swoje uprawnienia. W przypadku tych osób podano również dodatkowe wymagania, takie jak dołączenie kwalifikowanej pieczęci elektronicznej i kwalifikowanej pieczęci elektronicznej.
Kwalifikowany podpis elektroniczny w pełni zastępuje podpis odręczny we wszystkich państwach członkowskich UE i gwarantuje jednoznaczne powiązanie podpisu z osobą podpisującą. Może on być wykorzystywany m.in. przy elektronicznym składaniu deklaracji podatkowych lub komunikacji z czeskim Urzędem Ubezpieczeń Społecznych itp.
Podpisy elektroniczne oszczędzają zasoby.
Nie wszystkie rodzaje dokumentów można podpisywać elektronicznie. Jakiego rodzaju są to dokumenty?
Co do zasady, do niedawna nie było możliwości elektronicznego podpisywania dokumentów wymagających podpisu certyfikowanego. Od 1 lipca br. nowelizacja ustawy o usługach cyfrowych wprowadziła jednak w tym zakresie nowość, tzw. e-legalizację. Obecnie możliwe jest zatem zastąpienie podpisu urzędowo poświadczonego legalizacją podpisu elektronicznego na trzy możliwe sposoby - weryfikację przez osobę uprawnioną do legalizacji, weryfikację na podstawie zapisu w systemie teleinformatycznym administracji publicznej oraz weryfikację uznanego podpisu elektronicznego.
Pierwsza metoda oznacza w zasadzie tylko elektroniczną formę weryfikacji standardowego podpisu, tj. np. przez notariusza, pełnomocnika z wykorzystaniem elektronicznej klauzuli weryfikacyjnej lub w czeskim PUNKCIE. W ten sposób można również zalegalizować zwykły podpis elektroniczny. Pozostałe dwie metody zakładają zdalną weryfikację, podczas gdy trzecia metoda bezpośrednio utożsamia uznany podpis elektroniczny z podpisem urzędowo poświadczonym, pod warunkiem, że możliwe jest przypisanie kwalifikowanego certyfikatu dla uznanego podpisu do podpisującego z pewnością.
A co z podpisami elektronicznymi w kontekście agendy HR?
Koncentrując się na agendzie HR i stosunkach pracy, należy wziąć pod uwagę, że prawo pracy wyróżnia specjalną kategorię dokumentów, dla których Kodeks pracy wymaga, aby były one doręczane pracownikowi. Są to dokumenty związane z nawiązaniem, zmianą i rozwiązaniem stosunku pracy lub umów o pracę wykonywaną poza stosunkiem pracy, odwołaniem pracownika na stanowisku kierowniczym, ważne dokumenty związane z wynagrodzeniem oraz protokół naruszenia systemu czasowej niezdolności do pracy ubezpieczonego. Dokumenty te mogą być podpisane uznanym podpisem elektronicznym, tj. podpisem gwarantowanym opartym na kwalifikowanym certyfikacie lub podpisem kwalifikowanym.
Obecnie możliwe jest zastąpienie urzędowo poświadczonego podpisu zalegalizowanym podpisem elektronicznym.
Jak dostarczyć takie dokumenty pracownikowi, aby spełnić wymogi Kodeksu pracy?
W przypadku dokumentów w formie elektronicznej można rozważyć tylko dwa rodzaje doręczenia, a mianowicie (i) doręczenie za pośrednictwem sieci lub usługi łączności elektronicznej (np. konwencjonalnej poczty elektronicznej) oraz (ii) doręczenie za pośrednictwem skrzynki danych.
Skuteczne doręczenie dokumentu za pośrednictwem usługi komunikacji elektronicznej podlega wszystkim następującym warunkom (i) uprzednia pisemna zgoda pracownika na takie doręczenie (ii) pracownik podaje pracodawcy adres elektroniczny do doręczenia (iii) pracodawca podpisuje dokument uznanym podpisem elektronicznym (iv) pracownik potwierdza otrzymanie dokumentu za pomocą wiadomości z danymi, a także dołącza swój uznany podpis elektroniczny.
Warunkiem skutecznego dostarczenia dokumentu za pośrednictwem skrzynki danych jest uprzednie wyrażenie przez pracownika pisemnej zgody na dostarczenie dokumentacji pracowniczej za pośrednictwem skrzynki danych. W takim przypadku dokument nie musi być opatrzony uznanym podpisem elektronicznym, a pracownik nie musi potwierdzać jego dostarczenia, co wynika z charakteru skrzynki danych.
Zgodnie z prawem pismo uznaje się za doręczone, gdy pracownik zaloguje się do skrzynki danych. Nawet jeśli tego nie zrobi, dokument uznaje się za doręczony dziesiątego dnia po dostarczeniu do skrzynki danych.
Czy z prawnego punktu widzenia jest jakaś różnica, czy pracownik podpisuje dokument elektronicznie, klikając przycisk potwierdzenia, klikając potwierdzenie podpisu, gdzie próbka zapisanego podpisu pracownika jest następnie wstawiana do dokumentu, czy też pracownik faktycznie wpisuje swój podpis - na przykład za pomocą tabletu?
Kliknięcie przycisku "Zgadzam się", "Potwierdzam" itp. skutkuje złożeniem prostego podpisu elektronicznego. Dynamiczny podpis biometryczny przy użyciu specjalnego tabletu lub innej płytki do podpisu jest stosunkowo szeroko stosowaną metodą podpisywania, ponieważ opiera się na fakcie, że przechwytuje unikalne dane biometryczne podpisującego, a zatem może być wykorzystany do identyfikacji podpisującego.
Chociaż z tego punktu widzenia jest to bezpieczniejsze powiązanie podpisu z osobą niż w przypadku kliknięcia przycisku, ten rodzaj podpisu jest również prawnie uznawany za zwykły podpis elektroniczny. Zwykły podpis elektroniczny nie może być wykorzystywany do ważnego podpisywania dokumentów, które zgodnie z Kodeksem pracy muszą być dostarczone pracownikowi osobiście. Inne dokumenty, takie jak protokoły przekazania lub regulaminy wewnętrzne, mogą być podpisywane w ten sposób.
Jak długo należy archiwizować dokument podpisany elektronicznie? Czy konieczne jest również archiwizowanie takiego dokumentu w formie papierowej? Czy też zależy to od rodzaju dokumentu? Czy możesz podać przykłady?
W przypadku przechowywania dokumentów elektronicznych obowiązują takie same terminy jak w przypadku dokumentów papierowych. Konieczne jest zatem przestrzeganie terminów prawnych zgodnie z obowiązującymi przepisami i charakterem dokumentu (np. zgodnie z ustawą o rachunkowości w przypadku dokumentów księgowych lub ustawą o podatku od towarów i usług w przypadku dokumentów podatkowych itp.)
Należy rozróżnić, czy dokument jest rzeczywiście dokumentem elektronicznym, tj. dokumentem, który od samego początku został utworzony cyfrowo, został podpisany podpisem elektronicznym i będzie również archiwizowany elektronicznie.
Podczas archiwizacji tych dokumentów konieczne jest spełnienie wymogów autentyczności pochodzenia, integralności treści i czytelności. Wszelkie zmiany muszą być identyfikowalne, a dokumenty muszą być przechowywane w repozytorium zapewniającym spełnienie tych wymogów.
Dokumenty elektroniczne do celów archiwizacji muszą zawierać znacznik czasu i pieczęć elektroniczną oraz być przechowywane w formacie przeznaczonym do archiwizacji, który zapewnia czytelność - na przykład PDF/A. Dokumenty te mogą być przechowywane wyłącznie w formie elektronicznej i nie muszą być dodatkowo drukowane i przechowywane w formie papierowej.
Obecnie na rynku istnieje kilku różnych dostawców oferujących rozwiązania programowe dla archiwów elektronicznych lub rozwiązania, które prowadzą użytkownika przez cały cykl życia dokumentu elektronicznego, w tym archiwizację.
Jednak dokumenty, które powstały jako akty notarialne, to inny przypadek. Te muszą być przechowywane w oryginalnej formie i nie wystarczy ich zeskanować, umieścić w magazynie i zniszczyć w biurze. Taka metoda archiwizacji byłaby prawnie nieodpowiednia.
W przypadku przechowywania dokumentów elektronicznych obowiązują takie same limity czasowe, jak w przypadku dokumentów papierowych.
Czy są jakieś sankcje w obszarze podpisu elektronicznego?
Czeskie sądy wielokrotnie zajmowały się kwestią prostych podpisów elektronicznych. W praktyce sądy przyjęły stosunkowo konserwatywne podejście do tego rodzaju podpisów, właśnie dlatego, że niemożliwe jest udowodnienie z całą pewnością, czy dokument został podpisany przez daną osobę i w taki sposób, aby jakakolwiek późniejsza zmiana danych mogła zostać wykryta.
Przykładowo, sądy orzekły, że chociaż projekt umowy kredytowej został zatwierdzony kodem weryfikacyjnym po rejestracji poprzez wprowadzenie danych osobowych w interfejsie internetowym, nie można było wykazać, że zdarzenia te faktycznie miały miejsce i że zgoda została faktycznie udzielona, a zatem umowa kredytowa nie została zawarta i nie powstały z niej żadne prawa ani obowiązki umowne. Z orzecznictwa wynika zatem, że często niewłaściwe jest poleganie na zwykłym podpisie elektronicznym, a w przypadku zainteresowania podpisami elektronicznymi należy ustanowić certyfikat kwalifikowanego lub, w stosownych przypadkach, przynajmniej uznanego podpisu elektronicznego w celu zapewnienia pewności prawnej i lepszej pozycji dowodowej w ewentualnym postępowaniu sądowym.
Należy również wziąć pod uwagę, że w przypadku korzystania z podpisów elektronicznych opartych na różnych certyfikatach osobistych i handlowych, niektóre z tych certyfikatów mogą nie gwarantować tożsamości osoby podpisującej. Dlatego nawet w takim przypadku autorstwo osoby podpisującej może zostać zakwestionowane w przypadku sporu sądowego i może być trudno udowodnić, czy dokument został faktycznie podpisany przez upoważnioną osobę.
Czy znasz jakiś przypadek w praktyce, w którym firma użyła podpisu elektronicznego w niewłaściwy sposób i została za to ukarana?
Na przykład kwestia dynamicznych podpisów biometrycznych jest stosunkowo częstym przedmiotem zainteresowania Urzędu Ochrony Danych Osobowych w związku z europejskim rozporządzeniem o ochronie danych (RODO). Ten rodzaj podpisu rejestruje ślad biometryczny osoby podpisującej, który jest uważany za dane osobowe. Jeśli podpis ten ma na celu jednoznaczną identyfikację osoby, co często ma miejsce w przypadku wielu instytucji finansowych, należy on do kategorii tak zwanych specjalnych danych osobowych zgodnie z RODO. Ich przetwarzanie jest zabronione, chyba że podmiot wyraził wyraźną zgodę na przetwarzanie w jednym lub kilku określonych celach. Jest to coś, na co należy zwrócić uwagę, ponieważ kary nakładane przez Urząd Ochrony Danych mogą być wysokie.
Jeśli firma chce zacząć korzystać z podpisów elektronicznych, co musi zrobić? Co jest wymagane?
Sugerowałbym zacząć od oceny, jaki rodzaj agendy zamierzam podpisać e-podpisem (sprawy służbowe, agenda kad rowa itp.) i rozważyć ograniczenia określone przez Kodeks pracy w tym zakresie, na przykład w odniesieniu do agendy kadrowej, lub które mogą mieć znaczenie dla zachowania dokumentu, a także jego mocy dowodowej w ewentualnym postępowaniu sądowym. W zależności od tej oceny dokonam następnie wyboru rodzaju podpisu elektronicznego.
Jeżeli spółka zamierza korzystać z gwarantowanego podpisu elektronicznego, musi uzyskać certyfikat od jednego z podmiotów świadczących usługi certyfikacyjne. Procedura uzyskania certyfikatu różni się w zależności od dostawcy, dlatego zawsze zaleca się poleganie na informacjach o konkretnych procedurach, które są stosunkowo jasno opracowane przez dostawców. Zwykle jednak polega ona na wypełnieniu elektronicznego wniosku z danymi osobowymi, a następnie odwiedzeniu oddziału (w przypadku Poczty Czeskiej jest to Czech POINT), a następnie zainstalowaniu certyfikatu.
W celu uzyskania kwalifikowanego podpisu elektronicznego konieczne będzie zainstalowanie np. tokena USB lub certyfikowanej karty elektronicznej zawierającej pieczęć elektroniczną i stempel. Ważność certyfikatu wynosi 12 miesięcy, po czym należy go odnowić, ale nie ma potrzeby odwiedzania w tym celu oddziału.
Chciałbym dodać, że oprócz trzech oficjalnych urzędów certyfikacji istnieją również tak zwane zewnętrzne urzędy rejestracji, które są ich partnerami. Są to na przykład elektronickypodpis.cz. Urząd ten jest partnerem Poczty Czeskiej i oferuje kompletną instalację certyfikatu bezpośrednio w biurze zainteresowanej strony, w tym konfigurację wszystkiego, co niezbędne na komputerze.
.png)
.png)
