Czy podpis elektroniczny jest prawnie wiążący?

Tak, podpisy elektroniczne są prawnie wiążące w UE zgodnie z rozporządzeniem eIDAS. canusign zapewnia zgodne prawnie podpisy elektroniczne dla umów i dokumentów.

Ile kosztuje canusign?

canusign oferuje proste ceny: 1€ za podpisaną umowę lub 15€/miesiąc za nieograniczone umowy. Bez ukrytych opłat.

Czy podpisujący potrzebują konta?

Nie, podpisujący nie muszą zakładać konta. Wystarczy udostępnić link do podpisu i mogą podpisać natychmiast.

Jakie rodzaje dokumentów mogę podpisać?

Możesz podpisać każdy rodzaj umowy: najmu, NDA, umowy freelance, umowy o pracę, umowy o świadczenie usług i inne.

Prawo o e-podpisach w UE: rozporządzenie eIDAS wyjaśnione dla firm

Kilka miesięcy temu pomagałem znajomemu, który prowadzi małą agencję marketingową w Lizbonie, zamknąć kontrakt z niemieckim klientem. Wszystko szło świetnie, dopóki nie doszło do umowy. Niemiecki dział prawny przysłał PDF i poprosił o "kwalifikowany podpis elektroniczny." Mój znajomy gapił się na tego maila przez całą minutę, a potem napisał do mnie: "Co to do licha jest i dlaczego nie mogę po prostu użyć tego samego narzędzia, którego używam od dwóch lat?"

Jeśli prowadzisz firmę w Europie, prawdopodobnie też trafiłeś na tę ścianę. UE ma jedno rozporządzenie regulujące e-podpisy we wszystkich 27 państwach członkowskich, ale jest pełne akronimów i prawnych niuansów, w które większość założycieli nie zagłębia się, dopóki nie musi. Naprawmy to.

To wszystko, co chciałbym, żeby ktoś mi wyjaśnił o eIDAS, napisane tak, jak wyjaśniłbym to znajomemu przy kawie.

Czym właściwie jest eIDAS

eIDAS to skrót od "electronic IDentification, Authentication and trust Services." To rozporządzenie UE (nr 910/2014) obowiązujące od lipca 2016 roku. Cały sens polegał na stworzeniu jednego ramowego aktu prawnego dla podpisów elektronicznych, pieczęci elektronicznych, znaczników czasu i identyfikacji cyfrowej w całej Unii Europejskiej.

Przed eIDAS każdy kraj miał własne zasady. Francja miała jedno podejście, Niemcy inne, Hiszpania robiła po swojemu. Jeśli podpisałeś umowę cyfrowo we Włoszech i próbowałeś jej użyć w sądzie w Belgii, mogłeś mieć kłopoty. eIDAS rozwiązał ten problem, mówiąc: podpis elektroniczny złożony w jednym państwie członkowskim UE musi być uznawany we wszystkich pozostałych.

To wielka sprawa dla MŚP. Oznacza to, że mogę sprzedać subskrypcję SaaS klientowi w Atenach, dostać jego e-podpis, a ten sam dokument ma tę samą wagę prawną w Helsinkach, Dublinie czy Warszawie.

Aby głębiej zrozumieć, jak działają podpisy elektroniczne w ogóle, mój przewodnik prawny po podpisach elektronicznych wyjaśnia podstawy prostym językiem.

Krótka historia (obiecuję, że krótka)

Pierwszą próbą UE w tej kwestii była dyrektywa o e-podpisach z 1999 roku. Dyrektywy w prawie UE są dziwne, bo muszą być transponowane do prawa krajowego przez każdy kraj, i tu zaczynał się bałagan. Każde państwo członkowskie interpretowało dyrektywę nieco inaczej, co niweczyło cały sens.

eIDAS zastąpił tę dyrektywę w 2014 roku i był bezpośrednio stosowany we wszystkich państwach członkowskich od 1 lipca 2016 roku. Bez transpozycji, bez krajowego pola manewru (no, w większości). A potem w 2024 roku UE przyjęła eIDAS 2.0, który wprowadza Europejski Portfel Tożsamości Cyfrowej. O tym później.

Trzy poziomy podpisu: SES, AES i QES

Tu zaczyna się zupa akronimów. eIDAS definiuje trzy poziomy podpisów elektronicznych i nie są one wymienne. Wybór niewłaściwego to jeden z najczęstszych błędów, jakie widzę u MŚP.

Simple Electronic Signature (SES)

To wersja podstawowa. SES to "dane w postaci elektronicznej, które są dołączone do innych danych w postaci elektronicznej lub logicznie z nimi powiązane i które są używane przez podpisującego do złożenia podpisu." To definicja prawna i jest celowo szeroka.

W praktyce SES może być:

Wpisaniem swojego imienia na końcu maila
Kliknięciem w pole "akceptuję"
Zeskanowaniem odręcznego podpisu i wklejeniem go do PDF
Narysowaniem podpisu myszką lub palcem na tablecie

Jest najłatwiejszy w użyciu i działa w zdecydowanej większości sytuacji biznesowych. NDA, umowy sprzedaży, oferty pracy, umowy z dostawcami, kontrakty freelance: dla nich wszystkich SES jest zazwyczaj wystarczający.

Advanced Electronic Signature (AES)

AES to krok wyżej. Aby kwalifikować się jako AES, podpis musi spełniać cztery konkretne wymagania:

Jest unikalnie powiązany z podpisującym
Pozwala zidentyfikować podpisującego
Jest tworzony przy użyciu danych, nad którymi podpisujący może mieć wyłączną kontrolę
Każda zmiana podpisanych danych po podpisaniu jest wykrywalna

W praktyce zwykle oznacza to podpis kryptograficzny z kluczem prywatnym plus jakąś formę weryfikacji tożsamości (link mailowy, kod SMS, przesłanie ID). Większość nowoczesnych platform e-podpisu, w tym nasza w CanUSign, domyślnie generuje podpisy na poziomie AES dla planów biznesowych.

AES to to, czego chcesz dla kontraktów o wyższej wartości: umów B2B SaaS, umów partnerskich, dokumentów kredytowych i wszystkiego, gdzie chcesz mieć mocny dowód, kto podpisał i że dokument nie został zmieniony.

Qualified Electronic Signature (QES)

To ciężka artyleria. QES to w zasadzie AES z dwoma dodatkowymi wymaganiami: musi być stworzony przy użyciu "kwalifikowanego urządzenia do składania podpisu" (pomyśl o module HSM lub karcie chipowej) i musi być oparty na "kwalifikowanym certyfikacie" wydanym przez dostawcę usług zaufania, który jest oficjalnie wpisany na unijną listę zaufania.

Killer feature QES? Ma taki sam skutek prawny jak podpis odręczny w całej UE. Kropka. Żaden sąd nie może go odrzucić tylko dlatego, że jest elektroniczny.

Minus jest taki, że QES jest uciążliwy w konfiguracji. Podpisujący zazwyczaj musi zweryfikować swoją tożsamość osobiście lub przez wideorozmowę, uzyskać certyfikat wydany przez Qualified Trust Service Provider (QTSP) i użyć specjalnego urządzenia podpisującego. Jest wolniejszy i droższy niż SES czy AES.

Jeśli chcesz zrozumieć techniczną stronę tego, jak naprawdę działają podpisy cyfrowe pod maską, pisałem o tym w digital signature vs electronic signature.

SES vs AES vs QES: szybkie porównanie

Cecha	SES	AES	QES
Weryfikacja tożsamości	Niewymagana	Wymagana	Silna (osobiście lub wideo)
Wykrywanie manipulacji	Niewymagane	Wymagane	Wymagane
Waga prawna	Dopuszczalny, ale słabszy	Mocny dowód	Równoważny odręcznemu
Czas konfiguracji	Sekundy	Minuty	Dni do tygodni
Koszt podpisu	Darmowy lub tani	Niski do średniego	$5 do $50+
Typowe zastosowania	NDA, dokumenty wewnętrzne, podstawowe umowy	Kontrakty B2B, zatrudnienie, dostawcy	Nieruchomości, akty notarialne, dokumenty sądowe
Uznawanie transgraniczne	Tak, ale jakość się różni	Tak	Tak, z najmocniejszą pozycją

Ważność transgraniczna (prawdziwa magia)

To część eIDAS, która moim zdaniem nie jest dostatecznie doceniana. Artykuł 25 rozporządzenia mówi, że podpisowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności w sądzie tylko dlatego, że jest elektroniczny lub że nie spełnia wymagań dla QES.

A artykuł 25(3) idzie dalej: QES z jednego państwa członkowskiego ma taki sam skutek prawny jak podpis odręczny w każdym innym państwie członkowskim. Żadnego "ale nasz kraj ma specjalne zasady."

To ogromne dla transgranicznych MŚP. Pracowałem z założycielami, którzy płacili prawnikom w trzech różnych krajach za przerabianie umów, bo myśleli, że każda jurysdykcja potrzebuje własnego papierowego podpisu. Nie potrzebowała. Jeden e-podpis zgodny z eIDAS by wystarczył.

Praktyczne zastosowania dla MŚP

Konkretnie. Oto co naprawdę działa dla małych i średnich firm w całej Europie:

Umowy sprzedaży i oferty: SES jest okej w 99% przypadków. Jeśli Twoja średnia wartość transakcji jest poniżej 50 000 €, a nie sprzedajesz do silnie regulowanych branż, nie kombinuj.

Umowy o pracę: AES to złoty środek. Chcesz móc udowodnić, kto i kiedy podpisał, i chcesz mieć wykrywanie manipulacji. Większość krajów akceptuje AES w umowach o pracę, chociaż kilka (jak Niemcy w przypadku niektórych typów umów) nadal preferuje lub wymaga QES.

NDA: SES, zawsze. Następne.

Umowy z freelancerami: SES lub AES w zależności od wartości. Poniżej 5 000 € SES jest okej. Powyżej skłaniałbym się ku AES.

Umowy najmu (komercyjne): AES w większości krajów. QES w kilku. Sprawdź lokalnie.

Umowy kredytowe (B2B): AES, jeśli to pożyczka dla małej firmy. QES, jeśli masz do czynienia z bankami lub regulowanymi pożyczkodawcami.

Zakup nieruchomości: QES, prawie zawsze. A w wielu krajach i tak potrzebujesz notariusza.

Transgraniczne umowy z dostawcami: AES to bezpieczny wybór. Działa wszędzie i daje Ci dowód, którego potrzebujesz, jeśli sprawy pójdą źle.

Co wymaga QES w konkretnych państwach członkowskich

Tu muszę być szczery: eIDAS nie unieważnia prawa krajowego co do tego, jaki rodzaj podpisu jest wymagany dla konkretnych typów dokumentów. Każde państwo członkowskie nadal może powiedzieć "dla tego rodzaju dokumentu potrzebujesz QES, koniec dyskusji."

Kilka przykładów:

Niemcy: Rozwiązanie umów o pracę (w niektórych przypadkach), umowy konsumenckie kredytowe i niektóre wpisy do rejestru handlowego wymagają QES. Niemcy są prawdopodobnie najsurowszym krajem w UE pod tym względem.
Francja: Większość umów konsumenckich może używać AES, ale transakcje na rynku nieruchomości i niektóre umowy finansowe wymagają QES.
Włochy: Wiele dokumentów administracji publicznej i niektóre wpisy handlowe wymagają QES, lokalnie często nazywanego "firma digitale."
Hiszpania: Deklaracje podatkowe do AEAT (hiszpański urząd skarbowy) i wiele interakcji z rządem wymaga QES, zazwyczaj z użyciem DNI electrónico (hiszpańskiego dowodu osobistego z wbudowanym chipem).
Polska: Większość umów B2B działa z AES, ale pisma sądowe wymagają QES.

Wniosek: jeśli działasz transgranicznie i nie jesteś pewien, zapytaj lokalnego prawnika. Kosztuje to mniej niż unieważnienie umowy.

eIDAS 2.0 i Europejski Portfel Tożsamości Cyfrowej

UE przyjęła eIDAS 2.0 w 2024 roku, a państwa członkowskie wdrażają go do 2026 roku. Główną zmianą jest European Digital Identity Wallet (EUDI Wallet), który każde państwo członkowskie UE musi zaoferować swoim obywatelom do 2026 roku.

Portfel to zasadniczo aplikacja na smartfona, która pozwala przechowywać zweryfikowaną przez rząd tożsamość, prawo jazdy, dyplomy, dane płatnicze i tak, certyfikat kwalifikowanego podpisu. Pomysł jest taki, że będziesz mógł podpisać dokument na poziomie QES jednym dotknięciem na telefonie, bez karty chipowej i bez weryfikacji osobistej dla powtarzanych podpisów.

Dla MŚP powinno to znacznie ułatwić dostęp do QES. Obecnie skonfigurowanie QES dla jednego podpisującego może zająć tydzień i kosztować ponad 100 €. Z EUDI Wallet powinno to być raczej pięć minut i za darmo dla obywateli.

Haczyk? Wdrożenie jest nierówne. Niektóre kraje są z przodu (Estonia robi to od lat ze swoim programem e-Residency), inne są daleko w tyle. Nie spodziewaj się gładkiego wdrożenia wszędzie do 2026 roku.

Jak wybrać właściwy poziom podpisu

Mój szybki framework decyzyjny:

Ile wart jest dokument? Poniżej 10 000 € i nie regulowany? SES. 10 000 € do 100 000 €? AES. Powyżej, lub branża regulowana? Rozważ QES.
Czy QES jest prawnie wymagany? Jeśli tak, bez dyskusji. Użyj QES.
Czy trafi to do sądu? Jeśli spór jest choćby trochę prawdopodobny, idź minimum w AES. Ścieżka audytu jest tego warta.
Transgraniczne? AES to bezpieczne minimum. SES może być pozbawiony skutku prawnego w niektórych sądach, mimo że eIDAS mówi inaczej.
Czego chce Twoja druga strona? Jeśli niemiecki klient korporacyjny mówi, że potrzebuje QES, po prostu daj mu QES. Kłótnia nie jest warta deala.

Szczere ograniczenia

eIDAS jest świetny, ale to nie magiczna różdżka. Kilka rzeczy do zapamiętania:

Prawo krajowe wciąż ma znaczenie. eIDAS ustala podłogę, nie sufit. Państwa członkowskie mogą wymagać QES dla konkretnych typów dokumentów i to robią.
Interpretacja sądów się różni. SES jest technicznie ważny wszędzie, ale francuski sąd i rumuński sąd mogą bardzo różnie ważyć dowody.
QES nadal jest drogi. Nawet z nadchodzącym eIDAS 2.0, tarcie jest realne. Nie obiecuj klientom QES, jeśli nie masz jasnej ścieżki, by go dostarczyć.
Jakość dostawców usług zaufania się różni. Trzymaj się QTSP z oficjalnej unijnej listy zaufania. Lista jest publicznie dostępna i regularnie aktualizowana.
Uznawanie poza UE to osobna kwestia. Tylko dlatego, że umowa jest ważna w UE pod eIDAS, nie znaczy, że będzie egzekwowalna w USA, Wielkiej Brytanii (po Brexicie) lub gdziekolwiek indziej. Sprawdź lokalne zasady.

Podsumowanie

Jeśli masz zabrać z tego jedną rzecz, zabierz tę: większość kontraktów MŚP nie potrzebuje QES. AES wystarczy w zdecydowanej większości sytuacji biznesowych, a SES jest okej do codziennych spraw. Sztuka polega na tym, by wiedzieć, kiedy wskoczyć poziom wyżej.

eIDAS dał europejskim firmom najlepsze ramy prawne dla e-podpisów na świecie, a większość z nas wciąż nie korzysta z nich dobrze. Płacimy za drogie przestarzałe narzędzia, gdy istnieją lepsze opcje, albo tkwimy na papierze, bo boimy się prawnych spraw. Ani jedno, ani drugie nie jest konieczne.

Jeśli szukasz platformy e-podpisu, która obsługuje AES od razu i nie zrujnuje Cię, zerknij na nasze porównanie tańszych alternatyw dla DocuSign. A jeśli chcesz zobaczyć, jak wygląda podpisywanie zgodne z eIDAS w praktyce, możesz wypróbować CanUSign za darmo i podpisać swój pierwszy dokument w mniej niż dwie minuty.

Prawo jest po Twojej stronie. Korzystaj z niego.