Prawo ITPrawo międzynarodoweUmowy

Podpis biometryczny: 4 kwestie prawne zanim go użyjesz

odręczny podpis elektroniczny jest przyszłościąNie oszukujemy się, popularność podpisu  biometrycznego  będzie rosła. O  tym dlaczego  tak uważam, zaletach wdrożenia tego rozwiązania w firmie oraz  jakie dokumenty i umowy możesz podpisywać odręcznym podpisem elektronicznym pisałam już w poprzednim poście.   Jednak zanim rzucisz się na technologię  podpisu biometrycznego niczym  szczerbaty na suchary i ochoczo podpiszesz  umowę z firmą, która dostarcza  takie rozwiązanie, musisz   być świadomy zagrożeń.  Zatem czego nie powie ci dostawca technologii podpisu biometrycznego a powinien?

1.NIE KAŻDE ROZWIĄZANIE GWARANTUJE, ŻE PODPIS BIOMETRYCZNY JEST WŁASNORĘCZNYNie każdy podpis biometryczny jest własnoręczny

Nie wyczytasz tego z zachęcających informacji firm, które dostarczają oprogramowania i sprzętu do  składania  odręcznych podpisów elektronicznych, ale nie każde rozwiązanie  podpisu biometrycznego gwarantuje ci, że  ten podpis jest własnoręczny w myśl obowiązującego prawa.  A pamiętasz, co pisałam w poprzednim wpisie: są sytuacje kiedy własnoręczny podpis na dokumencie jest absolutnie konieczny. Bez własnoręcznego podpisu nie zachowasz formy pisemnej czynności prawnej czy umowy i możesz mieć w związku z tym  albo kłopoty dowodowe w sądzie albo gorzej –  umowa  będzie  nieważna.   Co robić?  Wybierając dostawcę technologii podpisu biometrycznego musisz sprawdzić, czy proponowane rozwiązanie spełnia przynajmniej minimalne kryteria do  uznania odręcznego  podpisu elektronicznego za własnoręczny zgodnie z interpretacją Sądu Najwyższego – patrz mój poprzedni wpis.  W praktyce, oznacza to, że podpis złożony na tablecie czy padzie musi umożliwiać identyfikację osoby, która go złożyła.  Każdy podpis na papierze ma cechy indywidualne i powtarzalne i analizuje biegły grafolog w sytuacji, kiedy ktoś kwestionuje autentyczność podpisu złożonego na kartce papieru. Są to m.in. : siła nacisku pióra czy długopisu na papier, wielkość i szerokość liter, pochylenie pisma, odległości miedzy literami, wyrazami czy całymi wersami, sposób wiązania liter, rytm i tempo pisania itd. Czyli żeby uznać podpis biometryczny za własnoręczny nie wystarcza samo odwzorowanie podpisu na tablecie czy padzie. Sprzęt i użyte oprogramowanie muszą jeszcze „złapać” unikalne cechy podpisu danej osoby i przetworzyć na strumień danych zapisywanych w pliku.  Mówiąc najprościej, idealne rozwiązanie technologiczne służące do składania popisu biometrycznego musi być jak grafolog, ale ze specjalizacją  potwierdzania autentyczności odręcznego podpisu elektronicznego.  Technologia jest tym lepsza, im więcej unikalnych, powtarzalnych cech podpisu danej osoby utrwali. Na twoje szczęście jest w stanie utrwalić znacznie więcej indywidualnych cech podpisu  niż jakikolwiek człowiek.   Dodatkowo, już w tej chwili istnieją rozwiązania, które datują podpis w momencie  jego  złożenia (tzw. time stamp). Możemy wiedzieć, co do sekundy, kiedy ktoś się biometrycznie pod naszym dokumentem podpisał. Możemy sobie również dorzucić na przykład automatyczną glokalizację podpisującego, czyli nie tylko będziesz wiedzieć, kto i kiedy podpisał dokument, ale też gdzie przebywał podpisujący w momencie podpisywania.  Oczywiście obie dodatkowe funkcje pomogą ci gdyby doszło do sporu co do  własnoręczności podpisu biometrycznego.

2. NIE KAŻDE ROZWIĄZANIE ZAPEWNIA  NIENARUSZALNOŚĆ TREŚCI DOKUMENTU PO PODPISANIU ZE ZŁOŻONYM POD NIM PODPISEM BIOMETRYCZNYM WŁĄCZNIE

nie każda technologia podpisu biometrycznego zapewnia integralność tekstuObowiązuje ta sama zasada co w przypadku klasycznego podpisywania na papierze: nie może  być wątpliwości  na co się klient swoim podpisem zgodził. Zasada działa w obie strony czyli dotyczy  i  treści  dokumentu,  i możliwości ponownego użycia tego samego podpisu biometrycznego pod zupełnie innym dokumentem. Już tłumaczę, o co chodzi. Po pierwsze elektroniczny dokument opatrzony podpisem biometrycznym musi być tak zabezpieczony, żeby nie dało się w nim zmienić nawet przecinka po podpisaniu, a po drugie odręczny podpis  elektroniczny  twojego kontrahenta musi być na trwale  powiązany z tym dokumentem i tylko z nim.  Nie może być nawet cienia możliwości użycia raz złożonego podpisu biometrycznego do podpisania zupełnie innego dokumentu bez udziału  podpisującego.

 3. PODPIS BIOMETRYCZNY MOŻNA UZNAĆ ZA DANĄ BIOMETRYCZNĄ ZGODNIE Z RODO I JEGO PRZETWARZANIE PRZEZ ADMINISTRATORA DANYCH WYMAGA DODATKOWYCH ZABEZPIECZEŃodręczny podpis elektroniczny może być daną biometryczną

 Temat jest bardzo na czasie, a tymczasem firmy dostarczające technologii odręcznego podpisu elektronicznego  skrzętnie go pomijają.  Ty nie powinieneś. Otóż istnieją bardzo uzasadnione „obawy”, że podpis  biometryczny podpada pod art.4 pkt 14 rozporządzenia  Parlamentu Europejskiego  i Rady (UE) 2016/679, czyli słynnego RODO. Punkt zawiera poniższą definicję danych biometrycznych:

 „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”

Zaznaczam, że na chwilę obecną nie ma  jednoznacznej odpowiedzi, czy odręczny podpis  elektroniczny jest daną biometryczną  w myśl RODO. Dodam, że takie pytanie zadał Prezesowi Urzędu Danych Osobowych (UODO obecny Rzecznik Praw Obywatelskich ( RPO) . Odpowiedź przyszła w marcu tego roku  i brzmiała w skrócie tak: nie potrafię opowiedzieć, bo  nie badałem tej technologii. Jeśli chcesz, możesz sobie poczytać i pytanie i odpowiedź Prezesa UODO na stronach RPO.

Temat jest dyskusyjny, ale osobiście uważam, że istnieje bardzo wysokie prawdopodobieństwo, że odręczny podpis  elektroniczny  jest daną biometryczną i lepiej się na to zawczasu na  taką oficjalna interpretację przygotować. Co to oznacza w praktyce? Ano podpisy  biometryczne są, zgodnie z art.9 RODO, szczególną kategorią  danych osobowych. Wyciek danych szczególnych, zawsze oznacza duże ryzyko naruszenia praw i wolności osób fizycznych, a ty lub twoja firma jako administrator danych zgodnie z RODO jesteś zobowiązany wdrożyć odpowiednie środki  techniczne i organizacyjne, żeby zapewnić  przetwarzanym danym osobowym poziom zabezpieczenia proporcjonalny  do ryzyka naruszenia praw i wolności osób, których dane przetwarzasz. Dokumenty opatrzone podpisami biometrycznymi będą wiec wymagały dodatkowych zabezpieczeń. I organizacyjnie i technologicznie musisz im zapewnić wyższy poziom zabezpieczenia niż zwykłym danym osobowym, które przetwarzasz. Bezwzględnie powinieneś uwzględnić zapewnienie takiego wyższego poziomu bezpieczeństwa również przy wyborze dostawcy technologii odręcznego podpisu elektronicznego w twojej firmie.

 4. SĄ EKSPERCI, KTÓRZY UWAŻAJĄ, ŻE PODPIS BIOMETRYCZNY MOŻNA ŁATWO PODWAŻYĆ

uwaga ekspert od podpisu biometrycznego
UWAGA! EKSPERT.

Faktycznie, są takie głosy, o czym żaden dostawca technologii podpisu biometrycznego ci oczywiście nie powie.  Argumenty przeciwników odręcznego podpisu elektronicznego można sprowadzają się do tego, że:

  • podpis biometryczny można łatwo sfałszować albo użyć podpisu złożonego pod dokumentem X  żeby bez wiedzy zainteresowanego  podpisać  dokument Y. Takie wątpliwości wyraziła na przykład „Dziennik Gazeta Prawna” w artykule z zeszłego roku „Podpis na tablecie nietrudny do podważenia”.  Niestety dostęp do artykułu jest płatny, ale kto chce może poczytać. Obawy może i są, ale wszystko zależy od tego jaką technologię podpisu biometrycznego wdrożysz w firmie. Jak pisałam powyżej, bezwzględnie da się tak zabezpieczyć dokument podpisywany  odręcznym podpisem  elektronicznym, żeby  nie istniała możliwość  użycia podpisu złożonego na konkretnym dokumencie pod innym dokumentem. Kwestię fałszerstwa przez ewentualne  włamanie do systemu gdzie przechowujesz dokumenty podpisane biometrycznie mogę skwitować  tylko tak: im lepszej technologii i zabezpieczeń IT użyjesz, tym trudniej będzie się włamać. Twoja  głowa w tym, żeby w firmie były odpowiednie zabezpieczenia. Poza  tym, podpisy na kartce papieru też można sfałszować o czym wszyscy wiemy. Nie ma rozwiązań idealnych.
  • Współczesna grafologia nie jest w stanie stwierdzić autentyczności podpisu złożonego na tablecie czy padzie. Podpisy tej samej osoby złożony na papierze i na tablecie/padzie kompletnie się od siebie różnią. Owszem różnią się, udowodnił to nawet zespół badaczy z Uniwersytetu im.Adama Mickiewicza w Poznaniu, ale  po  pierwsze to   badania z  2015 r., czyli sprzed 4 lat, co przy obecnym tempie rozwoju IT oznacza lata świetlne, a po drugie po co właściwie porównywać podpis odręczny i podpis biometryczny tej samej osoby?  Gdyby doszło do sporu w sądzie,  będzie cię interesować to, czy  podpis biometryczny rzeczywiście złożył twój klient, a nie ktoś inny.  Przedmiotem badania  będzie  odręczny podpis elektroniczny  tej osoby.   I tutaj  znowu kluczowa będzie technologia  jaką wybierzesz. Im więcej unikalnych parametrów złożonego podpisu wyłapie  i utrwali, tym lepiej. Postęp  technologii wymusza też postęp grafologii.  W przypadku odręcznego podpisu elektronicznego  klasyczna grafologia nie wystarczy, do gry wkroczą eksperci IT, inaczej analiza  takiego podpisu biometrycznego nie ma sensu.   Poza tym pamiętajmy  jeszcze o koronnej zasadzie przeprowadzania dowodu: fakt udowadnia ten, kto z niego wywodzi skutki prawne. Czyli jeśli kontrahent kwestionuje autentyczność swojego podpisu biometrycznego, będzie musiał to udowodnić. Ty się tylko bronisz.  Im lepszą technologię wybierzesz, tym łatwiej się obronisz.

I co sądzisz  o podpisie  biometrycznym?  Moim zdaniem gra jest warta świeczki. Prawo nie zabrania używania  odręcznego podpisu elektronicznego i bezwzględnie używając go można zachować  nawet formę pisemną czynności. Po prostu trzeba wybrać odpowiednią technologię, która  pozwoli na sklasyfikowanie  takiego podpisu jako własnoręcznego zgodnie ze wskazówkami Sądu Najwyższego.    Jeśli zrezygnujesz z klasycznych podpisów na papierze, przełoży ci się to automatycznie na spore, jeśli nie ogromne, oszczędności w kosztach prowadzenia firmy. Tylko wszystko trzeba robić z głową, wybrać odpowiedniego dostawcę usługi i zainwestować w odpowiedni poziom bezpieczeństwa danych. A, że jest ryzyko?  Prowadzenie każdego  biznesu wiąże się z ryzykiem. Od ciebie  przedsiębiorco zależy czy je akceptujesz czy nie. Nikt za ciebie tej decyzji nie podejmie.

Pozdrawiam, Prawstoria

Powiązane artykuły

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Back to top button