Lenka Gómez Tomcalova adwokatką i partnerką w kancelarii prawnej ZCH Legal. Specjalizuje się w doradztwie prawnym przede wszystkim z zakresu prawa pracy, w tym w reprezentowaniu klientów w sporach pracowniczych, a także w obsłudze spraw spornych. Wspólnie z Lenką skupiliśmy się na obszarze podpisu elektronicznego i zadaliśmy jej kilka pytań dotyczących tego segmentu, który cieszy się w firmach coraz większą popularnością.
Podpisy elektroniczne są dziś trendem. Jakie są ich zalety?
Największą zaletą podpisów elektronicznych jest oszczędność pieniędzy, czasu i logistyki. Dokumenty można podpisać elektronicznie z dowolnego miejsca, co sprawdziło się szczególnie w czasie pandemii i pracy zdalnej.
W przypadku „wyższych” podpisów elektronicznych kolejną zaletą jest pewność zachowania integralności i niezaprzeczalności dokumentu dzięki możliwości weryfikacji, że dokument nie został zmieniony od momentu podpisania, a także zapewnienie niemożliwości podrobienia podpisu elektronicznego w przeciwieństwie do podpisu własnoręcznego.
Nie można też pominąć aspektu ekologicznego. Dzięki wykorzystaniu podpisu elektronicznego możemy uniknąć drukowania dokumentów, a tym samym ponownie oszczędzać zasoby.
A jakie są wady?
Wadą dla wielu osób może być konieczność założenia kwalifikowanego certyfikatu do podpisów elektronicznych (w przypadku podpisów zaawansowanych i kwalifikowanych), a także związane z tym koszty, wybór konkretnego rozwiązania technicznego oraz ograniczony czas ważności certyfikatu.
Zdarzają się również sytuacje, w których drugiej stronie umowy podpis elektroniczny nie odpowiada lub całkowicie go odrzuca z powodu braku doświadczenia, niedostatecznej wiedzy czy z jakiegokolwiek innego powodu.
Istnieją różne rodzaje podpisów elektronicznych: zwykły, zaawansowany i kwalifikowany. Czym się od siebie różnią?
Zwykły podpis elektroniczny (SES - Simple Electronic Signature):
Podstawowym rodzajem jest zwykły podpis elektroniczny, który może być stosowany na przykład przy zawieraniu wielu umów między podmiotami prywatnoprawnymi, o ile przepisy nie wymagają szczególnej formy podpisu. Może on mieć formę wstawionego obrazu ze skanem podpisu własnoręcznego, stempla podpisu lub podpisu „narysowanego” myszą. Należy jednak pamiętać, że pełną równoważność z podpisem własnoręcznym ma wyłącznie kwalifikowany podpis elektroniczny.
Zaawansowany podpis elektroniczny (AES - Advanced Electronic Signature):
Zaawansowany podpis elektroniczny to podpis, który zgodnie z rozporządzeniem eIDAS jest jednoznacznie powiązany z podpisującym, umożliwia jego identyfikację, jest składany przy użyciu danych służących do składania podpisu elektronicznego, nad którymi podpisujący może sprawować wyłączną kontrolę, oraz jest powiązany z podpisanymi danymi w taki sposób, że każda późniejsza zmiana tych danych jest możliwa do wykrycia.
W praktyce zaawansowany podpis elektroniczny zapewnia wyższy poziom bezpieczeństwa niż zwykły podpis elektroniczny, ponieważ pozwala lepiej potwierdzić tożsamość osoby podpisującej oraz integralność dokumentu. Może być oparty na certyfikacie, w tym także na certyfikacie kwalifikowanym, ale nie jest tym samym co kwalifikowany podpis elektroniczny.
Kwalifikowany podpis elektroniczny
Najwyższą formą podpisu elektronicznego jest kwalifikowany podpis elektroniczny. To najbezpieczniejszy i najbardziej sformalizowany sposób podpisywania dokumentów elektronicznych, ponieważ jest składany przy użyciu kwalifikowanego certyfikatu oraz kwalifikowanego urządzenia lub usługi do składania podpisu elektronicznego. Tożsamość osoby podpisującej jest weryfikowana przez kwalifikowanego dostawcę usług zaufania.
Kwalifikowany podpis elektroniczny ma skutek prawny równoważny podpisowi własnoręcznemu i jest uznawany we wszystkich państwach członkowskich Unii Europejskiej. Wynika to z rozporządzenia eIDAS, zgodnie z którym kwalifikowany podpis elektroniczny ma taki sam skutek prawny jak podpis odręczny.
W Polsce podpis kwalifikowany można uzyskać u certyfikowanych dostawców usług zaufania. Lista takich dostawców znajduje się w krajowym rejestrze i na polskiej liście zaufania.
Kwalifikowany podpis elektroniczny może być wykorzystywany między innymi przy podpisywaniu umów, dokumentów firmowych, dokumentacji pracowniczej, deklaracji podatkowych, sprawozdań finansowych oraz w komunikacji z administracją publiczną. W kontaktach z urzędami w Polsce można również korzystać z podpisu zaufanego lub podpisu osobistego, jednak to właśnie kwalifikowany podpis elektroniczny ma najszersze zastosowanie i pełną równoważność z podpisem własnoręcznym.
Podpisy elektroniczne oszczędzają zasoby.
Nie wszystkie rodzaje dokumentów można podpisać elektronicznie. O jakie dokumenty chodzi?
Co do zasady wiele dokumentów może być podpisywanych elektronicznie, zwłaszcza jeśli przepisy nie wymagają szczególnej formy. W Polsce kwalifikowany podpis elektroniczny ma moc prawną równoważną podpisowi własnoręcznemu i może być stosowany między innymi przy podpisywaniu wielu umów, dokumentów firmowych czy dokumentów składanych do administracji publicznej.
Należy jednak pamiętać, że niektóre czynności prawne wymagają zachowania formy szczególnej, na przykład aktu notarialnego albo podpisu notarialnie lub urzędowo poświadczonego. W takich przypadkach samo podpisanie dokumentu elektronicznie może nie być wystarczające, jeśli przepisy wymagają udziału notariusza, konsula lub innej uprawnionej osoby. Dlatego przed podpisaniem elektronicznie dokumentów o szczególnym znaczeniu prawnym warto sprawdzić, jaka forma jest wymagana dla danej czynności.
A jak wygląda kwestia podpisów elektronicznych w kontekście dokumentacji HR?
Jeśli skupimy się na dokumentacji HR i stosunkach pracowniczych, ważne jest, aby wziąć pod uwagę, że prawo pracy wyróżnia szczególną kategorię dokumentów, które zgodnie z kodeksem pracy muszą zostać doręczone pracownikowi do rąk własnych. Chodzi o pisma dotyczące nawiązania, zmiany i rozwiązania stosunku pracy lub umów o pracę wykonywaną poza stosunkiem pracy, odwołania ze stanowiska pracy pracownika na stanowisku kierowniczym, ważne dokumenty dotyczące wynagrodzenia oraz protokół naruszenia zasad obowiązujących u osoby tymczasowo niezdolnej do pracy.
Dokumenty te mogą zostać podpisane uznanym podpisem elektronicznym, czyli zaawansowanym podpisem opartym na kwalifikowanym certyfikacie, albo kwalifikowanym podpisem elektronicznym.
Jak doręczyć pracownikowi dokumenty HR w formie elektronicznej?
W Polsce dokumentacja pracownicza może być prowadzona zarówno w postaci papierowej, jak i elektronicznej. W przypadku dokumentów, dla których wymagana jest forma pisemna, ich elektronicznym odpowiednikiem jest dokument opatrzony kwalifikowanym podpisem elektronicznym. Taki podpis jest równoważny podpisowi własnoręcznemu.
Doręczając pracownikowi dokumenty drogą elektroniczną, pracodawca powinien zadbać o możliwość potwierdzenia, że dokument został skutecznie przekazany, pracownik mógł zapoznać się z jego treścią, a sama treść dokumentu nie została zmieniona. Przy dokumentach szczególnie ważnych, na przykład dotyczących zmiany lub rozwiązania stosunku pracy, warto stosować rozwiązania zapewniające wiarygodne potwierdzenie doręczenia i odbioru.
Czy z prawnego punktu widzenia ma znaczenie, czy pracownik podpisze dokument elektronicznie poprzez kliknięcie przycisku „potwierdzam”, kliknięcie potwierdzenia podpisu, po którym do dokumentu zostanie wstawiony zapisany wzór podpisu pracownika, czy też poprzez rzeczywiste złożenie podpisu, na przykład na tablecie?
Kliknięcie przycisku „Zgadzam się”, „Potwierdź” itp. ma efekt prostego podpisu elektronicznego. Dynamiczny podpis biometryczny przy użyciu specjalnego tabletu lub innej podkładki podpisowej jest dość szeroko stosowaną metodą podpisywania, ponieważ opiera się na tym, że przechwytuje unikalne dane biometryczne sygnatariusza i dlatego może być na tej podstawie zidentyfikowany.
Chociaż z tego punktu widzenia bezpieczniejsze jest powiązanie podpisu z osobą niż kliknięcie przycisku, ten rodzaj podpisu jest również uważany za prosty podpis elektroniczny z prawnego punktu widzenia. Prosty podpis elektroniczny nie może ważnie podpisywać dokumentów, dla których Kodeks pracy wymaga dostarczenia pracowników we własne ręce. W ten sposób można podpisać inne dokumenty, takie jak protokoły transferowe lub przepisy wewnętrzne.
Jak długo należy archiwizować dokument podpisany elektronicznie? Czy trzeba przechowywać go również w wersji papierowej? A może zależy to od rodzaju dokumentu?
W przypadku dokumentów elektronicznych obowiązują zasadniczo takie same okresy przechowywania jak w przypadku dokumentów papierowych. Należy więc kierować się przepisami właściwymi dla danego rodzaju dokumentu, na przykład dotyczącymi dokumentacji pracowniczej, rachunkowości, podatków czy VAT.
Dokumentację pracowniczą pracodawca przechowuje przez okres zatrudnienia oraz, co do zasady, przez 10 lat od końca roku kalendarzowego, w którym stosunek pracy ustał. W niektórych przypadkach może nadal obowiązywać dłuższy, 50-letni okres przechowywania.
Należy odróżnić dokument, który od początku powstał w postaci elektronicznej i został podpisany elektronicznie, od dokumentu papierowego, który został jedynie zeskanowany. Jeśli dokument powstał cyfrowo i jest prawidłowo przechowywany w systemie elektronicznym, nie trzeba dodatkowo drukować go ani archiwizować w wersji papierowej.
Przy archiwizacji dokumentów elektronicznych kluczowe jest zapewnienie autentyczności pochodzenia, integralności treści, czytelności oraz możliwości odtworzenia dokumentu przez cały wymagany okres przechowywania. System powinien chronić dokumenty przed przypadkowym lub nieuprawnionym zniszczeniem oraz zapewniać dostęp wyłącznie osobom upoważnionym.
Inaczej wygląda sytuacja z dokumentami, które pierwotnie powstały w wersji papierowej. Samo zeskanowanie dokumentu i zapisanie go w elektronicznym repozytorium nie zawsze oznacza, że można zniszczyć papierowy oryginał. Przed jego usunięciem należy upewnić się, że dokument został prawidłowo przeniesiony do postaci elektronicznej i że przepisy dla danego rodzaju dokumentu na to pozwalają.
Czy w obszarze podpisu elektronicznego grożą jakieś sankcje?
Samo korzystanie z podpisów elektronicznych nie wiąże się z sankcjami, o ile są one stosowane prawidłowo. Ryzyko pojawia się przede wszystkim wtedy, gdy do danego dokumentu wybrano niewłaściwy rodzaj podpisu albo gdy nie można wykazać, kto faktycznie podpisał dokument i czy jego treść nie została później zmieniona.
W praktyce największe wątpliwości budzi zwykły podpis elektroniczny, na przykład kliknięcie przycisku „akceptuję”, podpis w wiadomości e-mail, skan podpisu czy podpis złożony na tablecie. Taki podpis może mieć znaczenie dowodowe, ponieważ zgodnie z eIDAS podpisowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności jako dowodu tylko dlatego, że ma formę elektroniczną lub nie jest podpisem kwalifikowanym. Nie oznacza to jednak, że zwykły podpis elektroniczny zawsze będzie wystarczający.
Jeżeli przepisy wymagają formy pisemnej, jej elektronicznym odpowiednikiem jest dokument opatrzony kwalifikowanym podpisem elektronicznym. Taki podpis jest równoważny podpisowi własnoręcznemu.
Dlatego w przypadku ważnych dokumentów, zwłaszcza umów, dokumentów pracowniczych lub oświadczeń wywołujących istotne skutki prawne, bezpieczniej jest stosować kwalifikowany podpis elektroniczny. Użycie zwykłego podpisu elektronicznego może prowadzić do sporu dowodowego, podważenia skuteczności dokumentu albo konieczności wykazywania przed sądem, że dokument rzeczywiście został podpisany przez daną osobę.
Należy też pamiętać, że podpisywanie dokumentów przy użyciu danych przypisanych do innej osoby może wiązać się z odpowiedzialnością prawną. W takim przypadku sankcje mogą obejmować grzywnę, ograniczenie wolności albo karę pozbawienia wolności, w zależności od okoliczności sprawy.
Czy zna Pani przypadek z praktyki, w którym firma nieprawidłowo wykorzystywała podpisy elektroniczne i została za to ukarana?
W praktyce organów ochrony danych osobowych uwagę stosunkowo często zwraca kwestia dynamicznego podpisu biometrycznego w kontekście RODO. Taki podpis może rejestrować cechy osoby podpisującej, takie jak tempo, nacisk czy sposób prowadzenia podpisu, a więc dane osobowe.
Jeśli podpis służy do jednoznacznej identyfikacji osoby, może zostać uznany za dane biometryczne, czyli szczególną kategorię danych osobowych. Ich przetwarzanie jest co do zasady zabronione, chyba że istnieje odpowiednia podstawa prawna, na przykład wyraźna zgoda osoby, której dane dotyczą.
Dlatego firmy korzystające z podpisu biometrycznego powinny zwrócić szczególną uwagę na zgodność z RODO. Sankcje nakładane przez organ ochrony danych osobowych mogą być wysokie.
Jeśli firma chce zacząć korzystać z podpisów elektronicznych, jakie warunki musi spełnić? Co jest do tego potrzebne?
Na podstawie tej analizy można wybrać odpowiedni rodzaj podpisu elektronicznego. W przypadku dokumentów, dla których wymagana jest forma pisemna, najbezpieczniejszym rozwiązaniem jest kwalifikowany podpis elektroniczny, ponieważ ma on skutek prawny równoważny podpisowi własnoręcznemu.
Aby korzystać z kwalifikowanego podpisu elektronicznego, trzeba uzyskać kwalifikowany certyfikat od kwalifikowanego dostawcy usług zaufania. Listy takich dostawców są publikowane na poziomie krajowym oraz unijnym, co pozwala sprawdzić status danego podmiotu i oferowanych przez niego usług.
Procedura uzyskania podpisu zależy od wybranego dostawcy. Zazwyczaj obejmuje wybór usługi, złożenie wniosku, weryfikację tożsamości osoby, dla której ma zostać wydany certyfikat, a następnie instalację lub aktywację narzędzia do składania podpisu. W praktyce może to być rozwiązanie oparte na karcie kryptograficznej i czytniku, tokenie USB albo podpisie zdalnym. Do korzystania z certyfikatu kwalifikowanego w usługach publicznych można używać m.in. aplikacji Podpis GOV.
Warto też przygotować wewnętrzne zasady korzystania z podpisów elektronicznych: określić, kto może podpisywać dokumenty w imieniu firmy, jakiego rodzaju podpisu należy używać przy konkretnych dokumentach, w jaki sposób weryfikować podpisane pliki oraz jak je później archiwizować. Dzięki temu firma ograniczy ryzyko formalne i dowodowe związane z elektronicznym obiegiem dokumentów.
