Elektroniczny podpis kwalifikowany pracownika

„Jak bezpiecznie zlikwidować podpis kwalifikowany pracownika, który aktualnie nie pracuje już w jednostce?”

Bezpieczny podpis elektroniczny jest uznawany za elektroniczny odpowiednik podpisu odręcznego. W praktyce oznacza to, że złożenie podpisu elektronicznego …

(…) wywołuje takie same skutki prawne jak podpis odręczny.

Ponadto złożenie elektronicznego podpisu potwierdza tożsamość osoby składającej podpis oraz uniemożliwia jej zaprzeczenie podpisania dokumentu czy wprowadzenie w nim jakichkolwiek zmian. Certyfikat jest przypisany do konkretnej osoby fizycznej. Osoba ta nie może udostępniać swojej karty kryptograficznej z kluczem prywatnym nikomu, w tym także swojemu pracodawcy.

W niektórych przypadkach pracodawca może unieważnić certyfikat (dotyczy to sytuacji, w której dane pracodawcy zawarte są w certyfikacie) i tylko w ten sposób może uniemożliwić korzystanie z niego. Tak więc co do zasady pracodawca nie może zmusić pracownika do wydania mu nośnika z kluczem prywatnym.

Należy pamiętać, że nośnik taki nie może w żaden sposób zostać wykorzystany przez pracodawcę, gdyż składanie podpisu elektronicznego przy jego użyciu przez inną osobę niż wskazana w certyfikacie jest przestępstwem.

Trzeba też wiedzieć, że termin rozpoczęcia i zakończenia ważności certyfikatu musi być określony w jego treści. Z tym, że maksymalny okres ważności kwalifikowanego certyfikatu przewidziany przez politykę certyfikacji może wynosić nie więcej niż 2 lata.

W art. 14 ustawy o usługach zaufania oraz identyfikacji elektronicznej mowa jest o tym, iż „Kwalifikowany dostawca usług zaufania, wydając kwalifikowany certyfikat podpisu elektronicznego, jest obowiązany:

1) uzyskać od osoby ubiegającej się o certyfikat potwierdzenie przyporządkowania do niej danych służących do weryfikacji podpisu elektronicznego, które są zawarte w wydanym certyfikacie;

2) poinformować osobę ubiegającą się o certyfikat o procedurze zgłaszania żądań unieważnienia kwalifikowanego certyfikatu.

A zatem certyfikat kwalifikowany zawierający dane Subskrybenta, może zostać unieważniony na jego wniosek. W przypadku unieważnienia certyfikatu subskrybent zobowiązany jest podać powód unieważnienia.

Operator odnotowuje w systemie powód unieważnienia wybierając z listy kategorię odpowiadającą podanym przez subskrybenta przesłankom unieważnienia.

Natomiast z żądaniem unieważnienia certyfikatu subskrybenta mogą występować następujące podmioty:

– subskrybent będący podmiotem unieważnianego certyfikatu,

– osoba trzecia, której dane występują w certyfikacie,

– osoba trzecia, wskazana we wniosku,

– autoryzowany przedstawiciel urzędu certyfikacji,

– upoważniony przedstawiciel reprezentowanego przez subskrybenta podmiotu, np. pracodawca subskrybenta; subskrybent musi być bezzwłocznie powiadomiony o tym fakcie,

– organ nadrzędny organizacji, w imieniu której występuje subskrybent,

– osoba fizyczna udzielająca pełnomocnictwa do reprezentowania jej interesów,

– minister właściwy ds. informatyzacji,

– operator punktu rejestracji, inspektor ds. rejestracji Głównego Punktu Rejestracji, którzy mogą wystąpić z takim wnioskiem w imieniu subskrybenta lub z własnej inicjatywy, jeśli są w posiadaniu informacji uzasadniającej unieważnienie certyfikatu.

Unieważnienie certyfikatu można realizować na podstawie:

– pisemnego wniosku o unieważnienie, złożonego w Głównym Punkcie Rejestracji,

– telefonicznego lub faksowego wniosku o unieważnienie przekazanego do Głównego Punktu Rejestracji.

Po pozytywnej weryfikacji przez urząd certyfikacji żądania unieważnienia, certyfikat jest unieważniany. Informacja o unieważnionym certyfikacie umieszczana jest na liście CRL, wydawanej przez urząd certyfikacji.

Paweł Nowak – prawnik prawa pracy i prawa oświatowego

Podstawa prawna:

Ustawa z dn. 05.09.2016 r. o usługach zaufania oraz identyfikacji elektronicznej – Dz.U. z 2016 r. poz. 1579 z późn. zm.