A teraz coś z całkiem innej beczki: czy zmiana polityki świadczenia usługi zaufania przez dostawcę wymaga jej zatwierdzenia (wydania decyzji administracyjnej), czy jednak wystarczające jest poinformowanie? I, wcale nie na marginesie: czy zdalna weryfikacja tożsamości oznacza, że oglądany na wyświetlaczu jegomość okazał się fizycznie obecny?
nieprawomocny wyrok WSA w Warszawie z 22 kwietnia 2021 r. (VII SA/Wa 2089/20)
Skoro polityka świadczenia usługi posiada istotne znaczenie dla odbiorców usług określając zasady świadczenia usług zaufania, a zgodnie z art. 27 ust. 6 ustawy o usługach zaufania oraz identyfikacji elektronicznej, organ nadzoru bada zgodność polityki świadczenia usług z przepisami o usługach zaufania, to istotnej zmiany w polityce świadczenia usług nie można uznać za zwykłą czynność materialno-techniczną. Zmiana zasad świadczenia usług zaufania określona w polityce, stanowi w istocie aktualizację wniosku o wpis do rejestru kwalifikowanych dostawców usług zaufania i powinna być dokonywana poprzez wydanie decyzji o wpisie nowej wersji polityki do rejestru.
Orzeczenie dotyczyło wydanej przez Ministerstwo Cyfryzacji decyzji odmawiającej zatwierdzenia przedstawionej przez kwalifikowanego dostawcę usług zaufania informacji o zmianie danych w rejestrze dostawców usług zaufania (NCCERT).
art. 24 ust. 1 rozporządzenia eIDAS
Wydając kwalifikowany certyfikat dla usługi zaufania, kwalifikowany dostawca usług zaufania weryfikuje, za pomocą odpowiednich środków i zgodnie z prawem krajowym, tożsamość i, w stosownym przypadku, wszelkie specjalne atrybuty osoby fizycznej lub prawnej, której wydaje kwalifikowany certyfikat.
Informacje, o których mowa w akapicie pierwszym, są weryfikowane przez kwalifikowanego dostawcę usług zaufania albo bezpośrednio, albo polegając na stronie trzeciej zgodnie z prawem krajowym:
a) przez fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej; lub
b) zdalnie, przy użyciu środka identyfikacji elektronicznej, w przypadku którego przed wydaniem kwalifikowanego certyfikatu zapewniono fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej i który spełnia wymogi określone w art. 8 w odniesieniu do średniego lub wysokiego poziomu bezpieczeństwa; lub
c) za pomocą certyfikatu kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej wydanych zgodnie z lit. a) lub b); lub
d) przy użyciu innych metod identyfikacji uznanych na szczeblu krajowym, które zapewniają pewność równoważną, pod względem wiarygodności, fizycznej obecności. Równoważna pewność musi być potwierdzona przez jednostkę oceniającą zgodność.
Organ zakwestionował m.in. proponowane zmiany w polityce świadczenia usługi przewidującej weryfikację tożsamości osoby występującej o certyfikat kwalifikowany w drodze wideoweryfikacji (rozumianej jako „inna” niż fizyczna obecność osoby, weryfikację zdalną lub przy użyciu podpisu kwalifikowanego), które nie zawierały niezbędnych szczegółów. Zdaniem organu opis weryfikacji tożsamości poprzez systemy wideo powinien zawierać m.in. opis środków organizacyjnych i technicznych, zaś lakoniczna informacja, iż klient powinien do tego użyć dokumentu tożsamości jest — biorąc pod uwagę, że do potwierdzenia tożsamości nie będzie już wymagana osobista wizyta w punkcie — niewystarczająca. Zastosowanie zdalnych metod potwierdzenia tożsamości jest dopuszczalne, jednak pod warunkiem dokonania prawidłowej ewaluacji czy odpowiadają wymogom bezpieczeństwa na gruncie rozporządzenia eIDAS.
W odwołaniu od tej decyzji firma zarzuciła, że jedynym obowiązkiem dostawcy usług zaufania jest „informować” o każdej zmianie danych wpisanych do rejestru dostawców usług zaufania, zatem skoro polityka świadczenia usługi w rejestrze już figuruje, to Minister Cyfryzacji w ogóle nie miał prawa wydać decyzji i odmówić przyjęcia informacji. Ponadto usługodawca przekonywał, że identyfikacja tożsamości przy użyciu elementów wideoweryfikacji użytkownika polega na fizycznej obecności klienta, zaś taka metoda jest dopuszczona w innych państwach UE.
Sąd nie podzielił tych argumentów: obowiązkiem każdego dostawcy usług zaufania jest posiadać politykę świadczenia usługi — kluczowy dokument określający zasady bezpieczeństwa i zaufania (m.in. politykę certyfikacji, zasady odpowiedzialności stron, sposób postępowania z danymi, etc., art. 19 ustawy). Dokument ten jest załącznikiem do wpisu do rejestru, zaś obowiązkiem organu nadzorczego jest m.in. badanie jej zgodności z przepisami o usługach zaufania (art. 27 ustawy). Prawidłowa polityka jest bowiem gwarantem, iż system działa prawidłowo, tj. każdy jego uczestnik jest „znany i rozpoznawalny”, zaś składane przez niego oświadczenia są wiążące na gruncie przepisów prawa.
art. 4 ust. 1 i 6 ustawy o usługach zaufania oraz identyfikacji elektronicznej
1. Wpis do rejestru [dostawców usług zaufania]:
1) dostawcy usług zaufania, który zamierza świadczyć kwalifikowane usługi zaufania, lub
2) kwalifikowanej usługi zaufania
— następuje na wniosek dostawcy usług zaufania.
6. Minister właściwy do spraw informatyzacji, po rozpatrzeniu wniosku, o którym mowa w ust. 1, wydaje decyzję o wpisie:
1) dostawcy usług zaufania i świadczonych przez niego usług zaufania do rejestru, jeżeli spełniają wymagania określone w przepisach o usługach zaufania;
2) kwalifikowanej usługi zaufania do rejestru, w przypadku gdy usługa spełnia wymagania określone w przepisach o usługach zaufania.
art. 7 pkt 1 ustawy
Dostawca usług zaufania wpisany do rejestru jest obowiązany informować ministra właściwego do spraw informatyzacji o:
1) każdej zmianie danych wpisanych do rejestru — w terminie 14 dni od zmiany tych danych;
W konsekwencji zmiana (modyfikacja) treści polityki świadczenia usługi zaufania, wynikająca ze zmiany zasad funkcjonowania dostawcy, nie jest zwykłą czynnością materialno-techniczną, ale w istocie stanowi aktualizację wniosku o wpis w rejestrze kwalifikowanych dostawców usług zaufania, przez co wymaga wydania przez ministerstwo odpowiedniej decyzji. Odmienna ocena przepisów jest sprzeczna z wykładnią systemową, albowiem prowadzi do wniosku, że organ musi wpisać nawet wadliwą politykę świadczenia usługi, a następnie nakazać usunięcie nieprawidłowości (art. 30 pkt 1 ustawy) — albo dopuścić, by dostawca świadczył usługi w sposób sprzeczny z przepisami, o ile tylko poinformował o takiej zmianie.
Równocześnie WSA stwierdził, iż identyfikacja tożsamości klienta z użyciem elementów wideoweryfikacji nie może być traktowana jako dokonana przy fizycznej obecności osoby — jest to niewątpliwie „inna metoda” w rozumieniu rozporządzenia eIDAS (co było skądinąd dość kuriozalną koncepcją, bo przecież fakt, że człowiek łapką macha do kamerki z pewnością nie oznacza „fizycznej obecności” — jakiekolwiek filozoficzne teorie zaprzęgniemy do tego sporu, na pewno chodzi fizyczną obecność „tutaj”, a nie „tam”). Oceny tej nie można podważyć nawet z powołaniem się na audyt sporządzony przez akredytowaną jednostkę, ponieważ organ nie jest związany oceną, nawet jeśli została przeprowadzona przez niezależny podmiot.