VII SA/Wa 2089/20

VII SA/Wa 2089/20 - Wyrok WSA w Warszawie
Data orzeczenia
2021-04-22
orzeczenie prawomocne
Data wpływu
2020-11-15
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Siwek
Bogusław Cieśla /sprawozdawca/
Grzegorz Rudnicki /przewodniczący/
Symbol z opisem
645  Sprawy nieobjęte symbolami podstawowymi 601644 oraz od 646-652
Hasła tematyczne
Inne
Sygn. powiązane
III OSK 6027/21 - Wyrok NSA z 2022-11-03
Skarżony organ
Minister Administracji i Cyfryzacji
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2016 poz 1579
art. 4 ust. 6 pkt 2 w zw. z art. 3 ust. 4 pkt 5
Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Grzegorz Rudnicki, , Sędzia WSA Bogusław Cieśla (spr.), Sędzia WSA Andrzej Siwek, , po rozpoznaniu na posiedzeniu niejawnym w dniu 22 kwietnia 2021 r. sprawy ze skargi A. S.A. z siedzibą w G. na decyzję Ministra Cyfryzacji z dnia [...] września 2020 r. znak: [...] w przedmiocie zmiany wpisu do rejestru usług zaufania I. uchyla zaskarżoną decyzję; II. zasądza od Ministra Cyfryzacji na rzecz A. S.A. z siedzibą w G. kwotę 597 zł (pięćset dziewięćdziesiąt siedem złotych) tytułem zwrotu kosztów postępowania sądowego.
Uzasadnienie
Minister Cyfryzacji decyzją z dnia [...] kwietnia 2020 r., znak [...], na podstawie art. 4 ust. 6 pkt 2 w zw. z art. 3 ust. 4 pkt 5 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. z 2016 r., poz. 1579 z późn. zm., dalej jako "ustawa"), art. 24 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (OJ L 257, 28.8.2014, zwanego dalej elDAS), po rozpatrzeniu wniosku A. S.A. z siedzibą w G. - odmówił zmiany wpisu numeru dokumentu "[...]" na kartach usług kwalifikowanych: "Wydawanie kwalifikowanych certyfikatów", "Kwalifikowany znacznik czasu", "Walidacja danych Kwalifikowana walidacja podpisu elektronicznego i pieczęci elektronicznej". Nadto polecił wnioskodawcy zmianę zgłoszonej polityki świadczenia usług zaufania w wersji 5.5 poprzez zmianę polityki w zakresie innych metod identyfikacji poprzez dodanie szczegółowego opisu wykonywanych działań, a w przypadku wprowadzenia innych metod o których mowa w art. 24 ust. 1 lit. d rozporządzenia elDAS nakazał przedłożenie wraz z wnioskiem dokumentu wydanego przez akredytowaną jednostkę oceniającą zgodność potwierdzającego równoważną pewność innej metody identyfikacji, pod względem wiarygodności, fizycznej obecności. Z uwagi na bezpieczeństwo odbiorców polecił wskazać sposób wycofania metody w przypadku jej kompromitacji.
W uzasadnieniu organ podał, że z dniem 1 lipca 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE. Rozporządzenie to w art. 24 określa wymagania dla kwalifikowanych dostawców usług zaufania, w tym dotyczące weryfikacji tożsamości.
Wydając kwalifikowany certyfikat dla usługi zaufania, kwalifikowany dostawca usług zaufania weryfikuje na podstawie art. 24 ust. 1 lit. a elDAS, za pomocą odpowiednich środków i zgodnie z prawem krajowym, tożsamość i w stosownym przypadku, wszelkie specjalne atrybuty osoby fizycznej lub prawnej, której wydaje kwalifikowany certyfikat "przez fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej". Rozporządzenie rozróżnia fizyczną obecność osoby fizycznej (lit. a) od użycia innych metod identyfikacji uznanych na szczeblu krajowym, które zapewniają pewność równoważną, pod względem wiarygodności, fizycznej obecności (lit. d).
Zdalne metody weryfikacji tożsamości wymagają dodatkowej ewaluacji czy są równoważne pod względem wiarygodności dzięki zastosowanym wymogom bezpieczeństwa. W ramach oceny zgodności podlegają badaniu w aspekcie ich integracji z systemami i procedurami dostawcy usług zaufania. W szczególności art. 24 ust. 1 lit. d stanowi in fine, że "Równoważna pewność musi być potwierdzona przez jednostkę oceniającą zgodność".
Zdaniem organu nie została dostatecznie wykazana równoważność wprowadzanej przez wnioskodawcę metody identyfikacji. W szczególności brak było potwierdzenia jednostki oceniającej zgodność w zakresie narzędzi i procedur wideoweryfikacji, które powinny ograniczać ryzyka nieuprawnionych działań po stronie subskrybentów oraz usługodawcy. Jeżeli zostanie wydany raport ewaluacji potwierdzający równoważność pod względem wiarygodności z fizyczną obecnością, to wówczas dopiero audyt oceny zgodności z rozporządzeniem elDAS powinien potwierdzić elementy takie jak m.in.:
- art. 19 sprawdzenie czy inna metoda identyfikacji jest objęta procedurami obsługi incydentów;
- art. 24 ust. 2 lit. d elDAS w szczególności w zakresie sprawdzenia ogólnych warunków świadczenia usług w zakresie uwzględnienia innej metody identyfikacji;
- art. 24 ust. 2 lit. e elDAS w szczególności w zakresie włączenia ryzyk dotyczących innej metody identyfikacji do analizy ryzyka;
- art. 24 ust. 2 lit. h elDAS w szczególności w zakresie przechowywania przez dostawcę usług zaufania zapisu danych zebranych lub wytworzonych w procesie identyfikacji inną metodą;
- art. 24 ust. 2 lit. j elDAS sprawdzenie zgodności z przepisami o ochronie danych osobowych.
Ustawa o usługach zaufania oraz identyfikacji elektronicznej przewiduje posiadanie przez kwalifikowanych dostawców usług zaufania polityki świadczenia usług. Dokumentem takim w przypadku A. S.A. jest "[...]".
Dokument ten posiada istotne znaczenie dla odbiorców usług, zarówno subskrybentów jak i strony ufającej, gdyż określa zasady świadczenia usług zaufania. Zgodnie z art. 27 ust. 6 ustawy, organ nadzoru bada zgodność polityki świadczenia usług z przepisami o usługach zaufania, co nie pozwala uznać wpisu polityki za zwykłą czynność materialno-techniczną. Zmiana zasad świadczenia usług zaufania w polityce, stanowi aktualizację wniosku o wpis do rejestru kwalifikowanych dostawców usług zaufania i jest dokonywana poprzez wydanie decyzji o wpisie nowej wersji polityki do rejestru.
W ocenie organu, zapisy polityki i kodeksu postępowania certyfikacyjnego muszą w sposób precyzyjny wskazywać przepisy prawa, które realizują. Weryfikacja tożsamości z wykorzystaniem elementu wideoweryfikacji powinna zawierać opis środków technicznych oraz kroków postępowania ze wykazaniem, co i w jaki sposób jest realizowane przez kwalifikowanego dostawcę usług zaufania lub przez objęte tą samą oceną zgodności podmioty podległe. W świetle objętej wnioskiem polityki, odbiorca usług zaufania nie uzyska podstawowej wiedzy o wykorzystanych do identyfikacji rozwiązaniach. Brak w niej informacji takich jak np. zobowiązanie do odpowiedniego przeszkolenia operatorów czy wycofania innej metody identyfikacji w przypadku kompromitacji rozwiązania.
W wersji 5.5 polityki wskazano m.in. "[...] oraz podległe mu podmioty potwierdzają tożsamość i wszelkie specjalne atrybuty osoby fizycznej lub osoby prawnej ubiegającej się o wydanie kwalifikowanego certyfikatu na podstawie ważnego dowodu osobistego lub paszportu lub aktualnego wpisu do rejestru działalności gospodarczej właściwego dla rodzaju prowadzonej działalności lub stosując inną metodę z zastrzeżeniem art. 24 Rozporządzenia elDAS" (rozdział 3, str. 22). Brak jest jednak opisu innych metod, a przypis 18 sugeruje, że mogą to być inne metody w rozumieniu art. 24 ust. 1 lit. d elDAS. Potwierdzenie danych ma odtąd nie być związane z "osobistym" kontaktem z punktem rejestracji. Zapisy polityki są niejasne, a wiarygodność innych metod identyfikacji nie jest potwierdzona przez odpowiednio akredytowaną jednostkę oceny zgodności.
Dalej organ wskazał, że choć aktualnie brak jest europejskich standardów oraz uregulowań w zakresie uznania innych metod identyfikacji na poziomie krajowym, to istnieje obowiązek nadania efektywności przepisom rozporządzenia elDAS. Konieczne było potwierdzenie przez odpowiednio akredytowaną jednostkę oceny zgodności, równoważności innej metody identyfikacji z fizyczną obecnością. Potwierdzenie powinno zostać poparte dokumentacją ewaluacji (w zgodzie z ISO/IEC 17065:2012, pkt. 7.4.9).
Środki i metody weryfikacji tożsamości oraz ich realizacja, w tym procedury i zabezpieczenia, muszą być przedmiotem audytu akredytowanej jednostki oceny zgodności. Nie przedstawiono dokumentów, że ocena zgodności z rozporządzeniem elDAS poprzedzona została potwierdzeniem równoważności innej metody identyfikacji z fizyczną obecnością. Przedmiotowy wniosek powinien zostać przedłożony wraz ze stosownym potwierdzeniem równoważności i raportem oceny zgodności, dokonanym z uwzględnieniem zmian wynikających z wprowadzenia innej metody w rozumieniu art. 24 ust. 1 lit. d rozporządzenia elDAS. Dokumenty stanowiące obcojęzyczne załączniki w postępowaniu administracyjnym powinny zostać przetłumaczone na język polski.
Decyzję Ministra Cyfryzacji z dnia [...] kwietnia 2020r. zaskarżyła spółka A. wnioskiem o ponowne rozpatrzenie sprawy. Jej zdaniem decyzja została wydana bez podstawy prawnej. Podnosiła, że nie domagała się wpisu do rejestru nowej usługi zaufania lub jej zmiany. Odmowa wpisu do rejestru dostawców usług zaufania, nowej wersji polityki świadczenia usług, zgłoszonej na podstawie art. 7 pkt 1 ustawy o usługach zaufania, była rażącym naruszenie przepisów prawa. Przedmiotem wniosku nie była też kwestia metod identyfikacji z art. 24 ust. 1 rozporządzenia elDAS. Wnioskodawczyni przed wydaniem decyzji nie była powiadomiona o możliwości zapoznania się z zebranym materiałem dowodowym.
Przywołany w decyzji przepis art. 27 ust. 6 ustawy o usługach zaufania, przyznaje organowi prawo do badania zgodności polityki świadczenia usług z przepisami rozporządzenia elDAS oraz ustawy o usługach zaufania, ale nie można go łączyć z treścią art. 7 pkt 1 ustawy o usługach zaufania.
Minister Cyfryzacji decyzją z dnia [...] września 2020 r., znak [...], na podstawie art. 138 § 1 pkt 2 w zw. z art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256, poz. 695, poz. 1298; dalej:" k.p.a.") oraz art. 4 ust. 6 pkt 2 w zw. z art. 3 ust. 4 pkt 5 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. z 2020 r., poz. 1173 ze zm.), po rozpatrzeniu wniosku A. S.A., o ponowne rozpatrzenie sprawy zakończonej decyzją Ministra Cyfryzacji z dnia [...] kwietnia 2020 r. - uchylił zaskarżoną decyzję w części w jakiej poleca "zmianę zgłoszonej polityki świadczenia usług zaufania wersji 5.5 poprzez zmianę polityki w zakresie innych metod identyfikacji poprzez dodanie szczegółowego opisu wykonywanych działań, a w przypadku wprowadzenia innych metod, o których mowa w art. 24 ust. 1 lit. d rozporządzenia elDAS, nakazuję przedłożenie wraz z wnioskiem dokumentu wydanego przez akredytowaną jednostkę oceniającą zgodność potwierdzającego równoważną pewność innej metody identyfikacji, pod względem wiarygodności, fizycznej obecności i w tym zakresie umorzył postępowanie pierwszej instancji", a w pozostałym zakresie zaskarżoną decyzję utrzymał w mocy.
W uzasadnieniu organ odwoławczy wskazał, że postępowanie zostało wszczęte na wniosek A. S.A. z dnia 25 marca 2020 r., o "aktualizację" wpisu w rejestrze kwalifikowanych usług zaufania. We wniosku spółka wskazała na opracowanie nowej wersji dokumentu pn. "[...]" (wersja 5.5), który uzyska ważność 26 marca 2020 r. Spółka wskazywała, że zmiana związana była z poprawkami po uwagach audytowych dotyczących zgodności z rozporządzeniem Parlamentu Europejskiego i Rady UE nr 910/2014 z dnia 23 lipca 2014 r. i poprawkami edytorskimi.
Skarżąca wniosła o zmianę wpisu na kartach usług kwalifikowanych: wydawanie kwalifikowanych certyfikatów, kwalifikowany znacznik czasu, walidacja danych Kwalifikowana walidacja podpisu elektronicznego i pieczęci elektronicznej.
Zgodnie z art. 1 pkt 1 ustawy, Minister Cyfryzacji zapewnia funkcjonowanie krajowej infrastruktury zaufania, która obejmuje m. in. rejestr dostawców usług zaufania. Zgodnie z art. 3 ust. 3 ustawy o usługach zaufania, do rejestru wpisuje się dostawców usług zaufania, którzy mają siedzibę lub oddział na terytorium Rzeczypospolitej Polskiej.
Organ prowadzący rejestr wydaje decyzje dotyczące usług zaufania:
- o wpisie dostawcy usług zaufania i świadczonych przez niego usług zaufania do rejestru na wniosek usługodawcy (art. 4 ust. 6 pkt 1),
- o wpisie kwalifikowanej usługi zaufania do rejestru na wniosek usługodawcy (art. 4 ust. 6 pkt 2).
Ustawa nie wskazuje wprost na uprawnienie Ministra Cyfryzacji do wydania decyzji administracyjnej w przedmiocie dokonania zmian w rejestrze, poprzestając na wskazaniu, że wpis oraz odmowa wpisu do rejestru oraz wykreślenie z rejestru następują w drodze decyzji administracyjnej. Niewątpliwie jednak zarówno dokonanie wpisu, jak i zmiana wpisu, o którą wnioskował skarżący, dotyczą uprawnień Ministra Cyfryzacji jako organu nadzoru prowadzącego rejestr, a z drugiej strony wnioskodawcy jako dostawcy usług zaufania.
Skoro organ jest uprawniony do odmowy wpisu usługi lub dostawcy do rejestru oraz wykreślenia usług lub dostawy z rejestru, to tym bardziej może odmówić zmian wpisu.
Minister Cyfryzacji stwierdził, że był uprawniony do rozstrzygnięcia w formie decyzji administracyjnej, o dopuszczalności dokonania zmian w rejestrze.
Brak było podstaw do uznania wniosku, jedynie za informację o zmianie danych wpisanych do rejestru, o której mowa w art. 7 ust. 1 ustawy o usługach zaufania. Celem obowiązku informacyjnego, jest umożliwienie organowi wykonywania funkcji kontrolnych oraz nadzorczych określonych w art. 27 i n. ustawy.
Nowa wersja dokumentu pn. "[...]"- wersja 5.5, poddana została analizie dopuszczalności wpisania jej do rejestru.
Stosownie do art. 4 ust. 4 pkt 2 ustawy o usługach zaufania, polityka świadczenia usług jest wymaganym załącznikiem do wniosku o wpis do rejestru, który rozpatrywany jest przez Ministra Cyfryzacji na podstawie art. 4 ust. 6 ustawy. Zgodnie z art. 19 ust. 1 ww. ustawy dostawca usług zaufania jest obowiązany posiadać politykę świadczenia usługi. Stosownie do ust. 2 powołanego przepisu, polityka świadczenia usługi stanowi nazwany zestaw reguł, w szczególności takich jak polityka certyfikacji, zasady świadczenia usługi, odpowiedzialność stron, zasady postępowania z danymi. Dokument ten posiada istotne znaczenie dla odbiorców usług, zarówno subskrybentów, jak i strony ufającej, gdyż określa zasady świadczenia usług zaufania. W ocenie organu zapisy polityki i kodeksu postępowania certyfikacyjnego muszą być jednoznaczne i w sposób precyzyjny wskazywać przepisy prawa, które realizują.
Polityka świadczenia usług, która dopuszcza weryfikację tożsamości z wykorzystaniem elementu wideoweryfikacji (którą wnioskodawca zamierza wdrożyć w ramach "[...]" - wersja 5.5) powinna zawierać opis stosowanych środków technicznych oraz opisywać sekwencję czynności realizowanych przez kwalifikowanego dostawcę usług zaufania lub przez objęte tą samą oceną zgodności podmioty podległe. Przedłożony dokument nie dostarcza organowi nadzoru, ani potencjalnym adresatom, podstawowej wiedzy o wykorzystanych do identyfikacji rozwiązaniach organizacyjno-technicznych.
Brak jest informacji takich jak np. zobowiązanie do odpowiedniego przeszkolenia operatorów czy wycofania innej metody identyfikacji w przypadku kompromitacji rozwiązania. W wersji 5.5 polityki stwierdza się m.in. "[...] oraz podległe mu podmioty potwierdzają tożsamość i wszelkie specjalne atrybuty osoby fizycznej lub osoby prawnej ubiegającej się o wydanie kwalifikowanego certyfikatu na podstawie ważnego dowodu osobistego lub paszportu lub aktualnego wpisu do rejestru działalności gospodarczej właściwego dla rodzaju prowadzonej działalności lub stosując inną metodę z zastrzeżeniem art. 24 Rozporządzenia elDAS 18" (rozdział 3, str. 22).
W dokumencie brak jest opisu innych metod, a przypis 18 sugeruje, że mogą to być inne metody w rozumieniu art. 24 ust. 1 lit. d rozporządzenia elDAS. Ogólne przywołanie całego art. 24 elDAS (bez powołania się na konkretne jednostki redakcyjne) jest niejednoznaczne, a dodatkowo w dalszej części polityki na str. 25 usunięta została lit. a w przywołaniu art. 24 ust. 1 elDAS. Proponowana jest zmiana, wedle której potwierdzenie danych ma odtąd nie być związane z "osobistym" kontaktem z punktem rejestracji. Zapisy polityki są niejasne, a wiarygodność innych metod identyfikacji nie jest potwierdzona przez odpowiednio akredytowaną jednostkę oceny zgodności.
Zasady świadczenia usług zaufania określone szczegółowo w polityce świadczenia usług, a także polityka certyfikacji, powinny odpowiadać zasadom świadczenia usług określonych w powszechnie obowiązujących przepisach prawa. Sposób weryfikacji tożsamości osób, na rzecz których mają być świadczone usługi zaufania został określony w rozporządzeniu elDAS.
Zgodnie z art. 24 ust. 1 elDAS, wydając kwalifikowany certyfikat dla usługi zaufania, kwalifikowany dostawca usług zaufania weryfikuje, za pomocą odpowiednich środków i zgodnie z prawem krajowym, tożsamość i w stosownym przypadku, wszelkie specjalne atrybuty osoby fizycznej lub prawnej, której wydaje kwalifikowany certyfikat. Informacje, dotyczące tożsamość i w stosownym przypadku, wszelkie specjalne atrybuty osoby fizycznej lub prawnej, której wydaje się kwalifikowany certyfikat, są weryfikowane przez kwalifikowanego dostawcę usług zaufania albo bezpośrednio, albo polegając na stronie trzeciej zgodnie z prawem krajowym:
a) przez fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej; lub
b) zdalnie, przy użyciu środka identyfikacji elektronicznej, w przypadku którego przed wydaniem kwalifikowanego certyfikatu zapewniono fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej i który spełnia wymogi określone w art. 8 w odniesieniu do średniego lub wysokiego poziomu bezpieczeństwa; lub
c) za pomocą certyfikatu kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej wydanych zgodnie z lit. a) lub b); lub
d) przy użyciu innych metod identyfikacji uznanych na szczeblu krajowym, które zapewniają pewność równoważną, pod względem wiarygodności, fizycznej obecności. Równoważna pewność musi być potwierdzona przez jednostkę oceniającą zgodność.
Z uwagi na szczególną rolę jaką dla zapewnienia bezpieczeństwa obrotu pełni weryfikacja tożsamości, regulacje te nie powinny podlegać wykładni rozszerzającej. Unijny ustawodawca rozróżnił fizyczną obecność osoby fizycznej (lit. a) od użycia innych metod identyfikacji uznanych na szczeblu krajowym, które zapewniają pewność równoważną, pod względem wiarygodności, fizycznej obecności (lit. d).
Zdalne metody weryfikacji tożsamości wymagają dodatkowej ewaluacji czy są równoważne pod względem wiarygodności dzięki zastosowanym wymogom bezpieczeństwa. W ramach oceny zgodności podlegają badaniu w aspekcie ich integracji z systemami i procedurami dostawcy usług zaufania.
Wnioskodawczyni pismem z dnia 5 sierpnia 2020 r. została wezwana do przedłożenia uzupełnionej polityki świadczenia usług. Jednak z obowiązku tego nie wywiązała się. Skarżąca nie wskazała w sposób jednoznaczny wybranej przez siebie metody weryfikacji określonej w art. 24 ust. 1 rozporządzenia elDAS.
Wobec braku złożenia uzupełnionej polityki świadczenia usług, analiza dokumentu z dnia 17 lipca 2020 r. "[...]" stała się bezcelowa. Na marginesie organ wskazał, że dokument ten nie został przetłumaczony na język polski oraz, że w tej sprawie nie było potrzeby przeprowadzenia rozprawy administracyjnej.
W odniesieniu do uchylonej części decyzji organu I instancji, Minister wskazał, że brak było podstaw do zobowiązania skarżącej do zmiany zgłoszonej polityki świadczenia usług zaufania w wersji 5.5, poprzez dodanie szczegółowego opisu wykonywanych działań, a w przypadku wprowadzenia innych metod, o których mowa w art. 24 ust. 1 lit. d rozporządzenia elDAS, nakazania przedłożenia dokumentu wydanego przez akredytowaną jednostkę oceniającą zgodność, potwierdzającego równoważną pewność innej metody identyfikacji, pod względem wiarygodności z fizyczną obecnością.
Zgodnie z art. 30 w zw. z art. 27 ust. 2 pkt 2 ustawy o usługach zaufania, w ramach sprawowanych funkcji nadzorczych, Minister Cyfryzacji może wezwać kwalifikowanego dostawcę usług zaufania, aby w wyznaczonym terminie:
- usunął stwierdzone nieprawidłowości i doprowadził swoją działalność do stanu zgodnego z przepisami o usługach zaufania,
- zmienił politykę świadczenia usług lub inne dokumenty związane ze świadczeniem usług zaufania,
- unieważnił kwalifikowane certyfikaty wydane z naruszeniem polityki świadczenia usług;
- wydać decyzję o odebraniu kwalifikowanemu dostawcy usług zaufania statusu kwalifikowanego lub statusu kwalifikowanego świadczonej przez niego usłudze zaufania.
Funkcje te wykonywane są z urzędu i żadna z nich nie wiąże się z rozpatrywaniem wniosków o zmianę wpisu w rejestrze dostawców zaufania. Zastosowanie tych instrumentów nadzoru byłoby możliwie po przeprowadzeniu wszczętego z urzędu postępowania nadzorczego.
Z tych względów zaskarżoną decyzję organ odwoławczy w części uchylił i w tym zakresie umorzył postępowanie administracyjne. Jednocześnie wskazał, że wnioskodawca może złożyć kolejny wniosek o zmianę danych w rejestrze, jeżeli będzie on odpowiadał prawu.
A. S.A. z siedzibą w G. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Ministra Cyfryzacji z dnia [...] września 2020 r. oraz poprzedzającą decyzję w przedmiocie odmowy zmiany wpisu do rejestru usług zaufania, zarzucając naruszenie:
- art. 7 k.p.a.,
- art. 7 pkt 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej.
Domagała się o uchylenia zaskarżonej i poprzedzającej ją decyzji oraz nakazania wpisania do rejestru kwalifikowanych dostawców usług zaufania, [...] w wersji 5.5.
W uzasadnieniu skargi podniesiono, że spółka A. S.A. jako podmiot wpisany do rejestru kwalifikowanych dostawców usług zaufania, spełniła ustawowy obowiązek powiadomienia o zmianie wpisanej do rejestru polityki świadczenia usługi, dokumentu pn. "[...]". Polityka świadczenia usługi jest jednym z wielu danych wpisywanych do rejestr dostawców usług zaufania (art. 3 ust. 4 pkt 5 ustawy), które są jawne i dostępne pod adresem https://www.nccert.pl/uslugi.htm.
Na podstawie art. 7 pkt 1 ustawy, dostawca usług zaufania jest zobowiązany do powiadomienia Ministra Cyfryzacji o każdej zmianie danych wpisanych do rejestru w terminie 14 dni od zmiany tych danych. Skarżący spełnił powyższy obowiązek, ponieważ pismem z 24 marca 2020 r. powiadomił o zmianie polityki świadczenia kwalifikowanych usług zaufania.
Organ nie był uprawniony do załatwienia sprawy w formie decyzji administracyjnej, bowiem w przepisach ustawy o usługach zaufania nie istnieje do tego podstawa. Podstawy tej nie ma w normie art. 4 ust. 6 pkt 2 ustawy o usługach zaufania.
Przepis art. 7 pkt 1 ustawy, wprowadza jedynie obowiązek powiadomienia o każdej zmianie danych wpisanych do rejestru i nie zawiera upoważnienia do kontroli lub odmowy zmienianych danych wpisanych do rejestru dostawców usług zaufania.
Decyzje zostały wydane wskutek błędnej wykładni art. 4 ust. 6 pkt 2 oraz art. 3 ust. 4 pkt 5 ustawy o usługach zaufania.
Skarżąca nie wnosiła o wpis do rejestru nowej usługi zaufania lub jej zmiany. Tym samym odmowa wpisu do rejestru dostawców usług zaufania, nowej wersji polityki świadczenia usług, o której zmianie organ został powiadomiony na podstawie art. 7 pkt 1 ustawy, stanowiła rażące naruszenie przepisów prawa.
Skarżąca nie wskazywała na zmianę metod identyfikacji wymienionych w art. 24 ust. 1 Rozporządzenia elDAS. Odmowa na podstawie art. 24 ust. 1 Rozporządzenia elDAS, wpisu do rejestru dostawców usług zaufania nowej wersji polityki świadczenia usług zgłoszonej na podstawie art. 7 pkt 1 ustawy, stanowi rażące naruszenie prawa, gdyż organ wykroczył poza ustawową kompetencję.
W toku postępowania skarżąca składała dodatkowe wyjaśnienia i dokumenty, do których przedłożenia organ wzywał pismem z dnia 5 sierpnia 2020 r. Przedłożyła raport pn. "[...]" z audytu przeprowadzonego przez niezależnego audytora, zgodnie z art. 20 ust. 1 Rozporządzenia elDAS, który swoim zakresem obejmował całą działalność związaną ze świadczeniem kwalifikowanych usług zaufania, w tym w zakresie zgodności z powszechnie obowiązującymi przepisami prawa i normami. Audytor nie wskazał żadnych uchybień w zakresie polityki świadczenia usług. Wynik audytu, przeprowadzonego przez niezależnego i upoważnionego audytora, winien być wiążący dla organu. Organ zarzucił, że przedłożony raport nie był przetłumaczony z języka angielskiego na język polski. Jednak mógł wezwać skarżącą do uzupełnienia braków formalnych w trybie art. 64 § 2 Kpa.
Uprawnienie do badania polityki świadczenia usług, o której mowa w art. 19 ust. 1 i 2 ustawy, wynika jedynie z art. 27 ust. 2 pkt 6 i art. 30 pkt 1 lit. b, które przyznają organowi prawo do badania zgodności polityki świadczenia usługi z przepisami o usługach zaufania oraz wezwania kwalifikowanego dostawcy do zmiany polityki świadczenia usługi.
Organ w odpowiedzi na skargę wnosił o oddalenie skargi. W uzasadnieniu odpowiedzi na skargę podniesiono, że organ prowadzący rejestr usług zaufania posiada uprawnienie do badania dopuszczalności zamian wnioskowanych przez dostawców w rejestrze usług zaufania, w tym wniosków o zmianę wpisanej do rejestru polityki świadczenia usług zaufania.
A. S.A. w piśmie stanowiącym uzupełnieniu skargi, wnosiła o stwierdzenie nieważności decyzji Ministra Cyfryzacji z dnia [...] września 2020 r. oraz poprzedzającej decyzji z dnia [...] kwietnia 2020 r., względnie ich uchylenie z powodu:
I. naruszenia prawa materialnego, mającego wpływ na wynik sprawy, tj.
- art. 4 ust. 6 pkt 2 w zw. z art. 3 ust. 4 pkt 5 ustawy o
usługach zaufania oraz identyfikacji elektronicznej, poprzez błędne przyjęcie, że z
przepisów tych wynika kompetencja do wydania decyzji odmawiającej wpisu
aktualizującego do rejestru dostawców usług zaufania,
- art. 24 ust. 1 lit. a) eIDAS, poprzez błędne uznanie, że wideoweryfikacja nie może być środkiem identyfikacji tożsamości poprzez fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej przez kwalifikowanego dostawcę usług zaufania w celu wydania kwalifikowanego certyfikatu dla usługi zaufania,
- art. 24 ust. 1 lit. d) eIDAS, poprzez błędne uznanie, że wideoweryfikacja nie jest środkiem identyfikacji tożsamości zapewniającym pewność równoważną, pod względem wiarygodności, fizycznej obecności w celu wydania kwalifikowanego certyfikatu dla usługi zaufania.
II. naruszenia przepisów postępowania, mającego istotny wpływ na wynik sprawy, tj.:
- art. 7 i art. 77 k.p.a., poprzez brak staranności w gromadzeniu materiału dowodowego oraz nieuwzględnienie z urzędu przesłanki z art. 24 ust. 1 lit. d) eIDAS;
- art. 12 k.p.a., poprzez brak wnikliwości oraz nieposługiwanie się możliwie najprostszymi środkami prowadzącymi do załatwienia sprawy;
- art. 7a k.p.a. poprzez nierozstrzygnięcie wątpliwości co do właściwej przesłanki z art. 24 ust. 1 eIDAS na korzyść strony.
W uzasadnieniu wskazano, że organ nie posiadał kompetencji do wydania decyzji odmawiającej wpisu aktualizującego do rejestru dostawców usług zaufania. W szczególności kompetencja ta nie wynika z przepisów: art. 4 ust. 6 pkt 2 w zw. z art. 3 ust. 4 pkt 5, art. 4 ust. 7, art. 5 ust.1, art. 7 i art. 8 ustawy oraz przepisów eIDAS.
Ustawodawca nie przewidział decyzji w przedmiocie wpisu aktualizującego do rejestru, ponieważ nie pełni ona żadnej funkcji reglamentacyjnej. Dostawca usługi na podstawie wpisu uzyskał certyfikat, o którym mowa w art. 10 ust. 1 pkt 1 ustawy.
Ustawa wyłącznie w art. 7 odnosi się do zmiany danych wpisanych do rejestru. Przepis ten przewiduje, że dostawca usług zaufania wpisany do rejestru jest obowiązany informować ministra właściwego do spraw informatyzacji o:
a) każdej zmianie danych wpisanych do rejestru - w terminie 14 dni od zmiany tych danych;
b) zamiarze zaprzestania świadczenia kwalifikowanych usług zaufania, otwarciu jego likwidacji, ogłoszeniu jego upadłości lub oddaleniu wniosku o ogłoszenie upadłości z przyczyn wskazanych w art. 13 ustawy Prawo upadłościowe - niezwłocznie.
Są to jedynie czynności faktyczne w zakresie aktualizacji informacji, ponieważ dostawca usługi ma wykonać obowiązek informacyjny, a organ przyjąć to zawiadomienie.
W innych regulacjach (np. dotyczącej centralnej ewidencji i informacji o działalności gospodarczej) przewidziano wprost kompetencje organów w zakresie aktualizacji wpisów do rejestrów (ewidencji) publicznych poprzez odpowiednie zastosowanie przepisów o wpisie do rejestru (wpisu pierwotnego).
Na podstawie art. 30 ustawy, organ może zastosować określone środki, jeżeli stwierdzi, że kwalifikowany dostawca usług zaufania prowadzi działalność niezgodnie z przepisami o usługach zaufania lub dochodzi do innych nieprawidłowości.
Gdy organ stwierdził, że nowa polityka świadczenia usług nie spełnia wymagań określonych w przepisach, mógł wezwać Spółkę do usunięcia nieprawidłowości i doprowadzenia działalności do stanu zgodnego z przepisami, oraz zażądać zmiany polityki świadczenia usług. W decyzji z dnia [...] kwietnia 2020 r. organ zastosował takie rozwiązanie.
Zgodnie z art. 4 ust. 6 pkt 2 ustawy, minister właściwy do spraw informatyzacji wydaje decyzję o wpisie kwalifikowanej usługi zaufania do rejestru, w przypadku gdy usługa spełnia wymagania określone w przepisach o usługach zaufania. Dotyczy to pierwotnego wpisu w rejestrze dostawców usług zaufania, a nie wpisu aktualizacyjnego.
Zgodnie z art. 24 ust. 1 eIDAS, wydając kwalifikowany certyfikat dla usługi zaufania, kwalifikowany dostawca usług zaufania weryfikuje, za pomocą odpowiednich środków i zgodnie z prawem krajowym, tożsamość i w stosownym przypadku, wszelkie specjalne atrybuty osoby fizycznej lub prawnej, której wydaje kwalifikowany certyfikat.
Powyższe informacje są weryfikowane przez kwalifikowanego dostawcę usług zaufania albo bezpośrednio, albo polegając na stronie trzeciej zgodnie z prawem krajowym m.in.:
(1) przez fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej (art. 24 ust. 1 lit. a) eIDAS) lub
(2) przy użyciu innych metod identyfikacji uznanych na szczeblu krajowym, które zapewniają pewność równoważną, pod względem wiarygodności, fizycznej obecności. Równoważna pewność musi być potwierdzona przez jednostkę oceniającą zgodność (art. 24 ust. 1 lit. d) eIDAS). Zgodnie z tym przepisem, inne metody weryfikacji (przy założeniu, że wideoweryfikacja jest taką metodą) powinny zostać uznane na szczeblu krajowym, a równoważna pewność powinna zostać potwierdzona przez jednostkę oceniającą zgodność.
Wideoweryfikacja tożsamości przy pozyskiwaniu kwalifikowanego certyfikatu została uznana przez inne organy nadzoru w Unii Europejskiej (m.in. we Włoszech i w Niemczech) za dopuszczalną metodę weryfikacji tożsamości zgodnie art. 24 ust. 1 eIDAS.
Dostawcy usług zaufania z Włoch i Niemiec, mogą świadczyć usługi zaufania na takich zasadach również w innych państwach członkowskich (w tym w Polsce), a krajowy organ nadzoru nie może się temu sprzeciwić.
Organ błędnie uznał, że wideoweryfikacja nie może być środkiem identyfikacji tożsamości poprzez fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej przez kwalifikowanego dostawcę usług zaufania w celu wydania kwalifikowanego certyfikatu dla usługi zaufania.
Przy ocenie spełnienia warunku z art. 24 ust. 1 eIDAS, organ nie wziął z urzędu pod uwagę raportu zgodności, tj. dokumentu "[...]" i na tej podstawie nie ustalił, która z przesłanek zawartych w art. 24 ust. 1 ElDAS ma zastosowanie.
Wbrew obowiązkom wynikającym z art. 7 i art. 77 k.p.a., nie dołożył należytej staranności przy zbieraniu materiału dowodowego, który miał posłużyć do rozstrzygnięcia sprawy, co miało istotny wpływ na wynik sprawy.
W sierpniu 2020r. skarżąca złożyła dokument w języku angielskim sporządzony 17 lipca 2020 r. przez E. "[...]".
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 3 § 1 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2019 r., poz. 2325, dalej "p.p.s.a."), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Przedmiotem kontroli jest badanie, czy organy administracji w toku rozpoznania sprawy nie naruszyły prawa w stopniu mogącym mieć wpływ na jej wynik.
Uwzględnienie skargi następuje tylko w przypadku stwierdzenia przez Sąd naruszenia przepisów prawa materialnego lub istotnych wad w prowadzonym postępowaniu (art. 145 § 1 pkt 1 p.p.s.a.). Stosownie zaś do art. 134 § 1 p.p.s.a., Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną.
Skarga zasługiwała na uwzględnienie.
Mająca zastosowanie w sprawie niniejszej, ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. z 2020 r., poz. 1173 ze zm.), przewiduje posiadanie przez kwalifikowanych dostawców usług zaufania polityki świadczenia usług. Zgodnie z art. 19 ust. 1 ww. ustawy, dostawca usług zaufania jest obowiązany posiadać politykę świadczenia usługi. Stosownie zaś do ust. 2 powołanego przepisu, polityka świadczenia usługi stanowi nazwany zestaw reguł, w szczególności takich jak polityka certyfikacji, określający zasady świadczenia usługi, odpowiedzialność stron, zasady postępowania z danymi i mający zastosowanie do określonego kręgu podmiotów lub zastosowań, o wspólnych dla tego kręgu wymaganiach bezpieczeństwa, opracowywany na podstawie norm lub standardów określających wymagania dla polityk świadczenia usług.
Dokumentem takim w przypadku wnioskodawcy jest "[...]".
Stosownie do art. 4 ust. 4 pkt 2 ustawy o usługach zaufania, polityka świadczenia usług jest załącznikiem do wniosku o wpis do rejestru, który rozpatrywany jest przez Ministra Cyfryzacji na podstawie art. 4 ust. 6 ustawy.
Minister Cyfryzacji wydaje decyzję o wpisie dostawcy usług zaufania i świadczonych przez niego usług zaufania do rejestru, jeżeli spełniają wymagania określone w przepisach o usługach zaufania.
Polityka świadczenia usług posiada istotne znaczenie dla odbiorców usług, zarówno subskrybentów, jak i strony ufającej, gdyż określa zasady świadczenia usług zaufania.
Zgodnie z art. 27 ust. 6 ustawy, organ nadzoru bada zgodność polityki świadczenia usług z przepisami o usługach zaufania, co nie pozwala uznać wpisu polityki za zwykłą czynność materialno-techniczną. Objęta wnioskiem zmiana zasad świadczenia usług zaufania opisana w polityce świadczenia usług, stanowi w istocie aktualizację wniosku o wpis do rejestru kwalifikowanych dostawców usług zaufania. Prawidłowo organ nadzoru uznał, że zmiana taka dokonywana być powinna poprzez wydanie decyzji o wpisie nowej wersji polityki świadczenia usług do rejestru.
W objętej przedmiotowym wnioskiem wersji 5.5 polityki świadczenia usług, wskazano m.in. "[...] oraz podległe mu podmioty potwierdzają tożsamość i wszelkie specjalne atrybuty osoby fizycznej lub osoby prawnej ubiegającej się o wydanie kwalifikowanego certyfikatu na podstawie ważnego dowodu osobistego lub paszportu lub aktualnego wpisu do rejestru działalności gospodarczej właściwego dla rodzaju prowadzonej działalności lub stosując inną metodę z zastrzeżeniem art. 24 Rozporządzenia elDAS" (rozdział 3, str. 22).
Przepis art. 3 ust. 4 pkt 5 ustawy stanowi, że do ww. rejestru wpisuje się m.in. nazwę polityki świadczenia usług.
Zgodnie z art. 4 ust. 6 ustawy, minister właściwy do spraw informatyzacji, po rozpatrzeniu wniosku, o którym mowa w art. 4 ust. 1, wydaje decyzję o wpisie:
1) dostawcy usług zaufania i świadczonych przez niego usług zaufania do rejestru, jeżeli spełniają wymagania określone w przepisach o usługach zaufania;
2) kwalifikowanej usługi zaufania do rejestru, w przypadku gdy usługa spełnia wymagania określone w przepisach o usługach zaufania.
Choć przepis art. 4 ust. 6 pkt 2 w zw. z art. 3 ust. 4 pkt 5 ustawy dotyczy pierwotnego wpisu do rejestru dostawców usług zaufania, to dokonanie w polityce zmian, które znacząco wpływają na świadczone dotychczas usługi zaufania (np. kształtują sposób weryfikacji tożsamości), byłoby w ocenie Sądu, podstawą do dokonania wpisu aktualizacyjnego w formie decyzji.
Wpis do rejestru polityki świadczenia usług, powoduje ustalone ustawą konsekwencje, które polegają na dopuszczeniu do wykonywania określonej działalności. Rozstrzyga o tym organ rejestrowy w sposób władczy poprzez wydanie decyzji administracyjnej mającej konstytutywny charakter. W ten sposób organ rejestrowy realizuje swoje funkcje.
Ustawa odnosi się do zmiany danych wpisanych do rejestru wyłącznie w art. 7. Przepis ten w ust. 1 przewiduje, że dostawca usług zaufania wpisany do rejestru musi poinformować ministra właściwego do spraw informatyzacji o każdej zmianie danych wpisanych do rejestru - w terminie 14 dni od zmiany tych danych.
Twierdzenie skargi, że ustawodawca celowo nie przewidział decyzji w przedmiocie wpisu aktualizującego do rejestru (ponieważ nie pełni ona żadnej funkcji reglamentacyjnej), jest w ocenie Sądu sprzeczne z wykładnią systemową przepisów ustawy. Zdaniem skarżącego, dostawca usługi ma jedynie obowiązek poinformować organ o dokonanej aktualizacji polityki świadczenia usług, a ten ma obowiązek przyjąć zawiadomienie.
Jednak takie twierdzenie pomija fakt, że z wpisaniem do rejestru nowej wersji polityki certyfikacji wiążą się określone uprawnienia i obowiązki różnych podmiotów.
W ocenie Sądu wydanie decyzji w przedmiocie aktualizacji wpisu do rejestru, w związku ze zmianą dotychczasowej polityki świadczenia usług zaufania, było w tej sprawie konieczne. Wbrew temu co wywodzono w skardze, organ dostrzegając w przedłożonym dokumencie nieprawidłowości, nie musiał nowej polityki świadczenia usług wprowadzać do rejestru (jako dokumentu obowiązującego).
Przyjęcie odmiennej wykładni skutkowałaby uznaniem, że organ musiałby ujawnić w rejestrze nową politykę świadczenia usług, a następnie (widząc w niej od początku określone wadliwości) wydać w formie decyzji na podstawie art. 30 pkt 1 ustawy - nakaz zmiany zgłoszonej polityki świadczenia usług zaufania.
Sąd dostrzega również, że możliwe są zmiany mające charakter czysto formalny, pozostające bez istotnego znaczenia dla świadczonych dotychczas usług zaufania. Wówczas dostawca usługi realizowałby obowiązek informacyjny, a organ przyjmowałby to zawiadomienie, bez konieczności wydawania decyzji.
Taka systemowa wykładnia przepisów ustawy, pozostaje w zgodzie ze sposobem funkcjonowania organów rejestracyjnych na tle uregulowań innych aktów prawa (np. w ustawie z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (t.j. Dz.U. z 2020 r. poz. 2296).
Fakt, że podobnego rozwiązania prawnego nie zastosowano wprost w zakresie rejestru dostawców usług zaufania, nie oznacza braku możliwości stosowania odpowiednich reguł wykładni i wywiedzenia z nich konieczności wydania decyzji.
Dlatego w ocenie Sądu nie doszło do naruszenia art. 4 ust. 6 pkt 2 w zw. z art. 3 ust. 4 pkt 5 ustawy o usługach zaufania, poprzez przyjęcie, takiej wykładni przepisów tej ustawy, która pozwalała na wydanie decyzji w przedmiocie wpisu aktualizującego do rejestru dostawców usług zaufania.
Skoro dokument ten posiada istotne znaczenie dla odbiorców usług określając zasady świadczenia usług zaufania, a zgodnie z art. 27 ust. 6 ustawy, organ nadzoru bada zgodność polityki świadczenia usług z przepisami o usługach zaufania, to istotnej zmiany w polityce świadczenia usług nie można uznać za zwykłą czynność materialno-techniczną. Zmiana zasad świadczenia usług zaufania określona w polityce, stanowi w istocie aktualizację wniosku o wpis do rejestru kwalifikowanych dostawców usług zaufania i powinna być dokonywana poprzez wydanie decyzji o wpisie nowej wersji polityki do rejestru.
Niezależnie od spornej formy rozstrzygnięcia (decyzja), kwestią wymagającą oceny był merytoryczny sposób załatwienia wniosku A. S.A. z dnia 25 marca 2020 r., o "aktualizację" wpisu w rejestrze kwalifikowanych usług zaufania, poprzez wpisanie nowej wersji dokumentu pn. "[...]" (wersja 5.5).
W ocenie organu, przedłożone w nowej wersji zapisy polityki i kodeksu postępowania certyfikacyjnego, nie wskazywały przepisów prawa, które realizują. Skarżąca nie wskazała w sposób jednoznaczny wybranej przez siebie metody weryfikacji określonej w art. 24 ust. 1 rozporządzenia elDAS. Nadto przewidziana weryfikacja tożsamości z wykorzystaniem elementu wideoweryfikacji nie zawierała opisu środków technicznych oraz kroków postępowania ze wykazaniem, co i w jaki sposób jest realizowane przez kwalifikowanego dostawcę usług lub przez podmioty podległe. Organ zarzucił też brak informacji takich jak np. zobowiązanie do odpowiedniego przeszkolenia operatorów czy wycofania innej metody identyfikacji w przypadku kompromitacji rozwiązania.
Wskazać należy, że zgłoszona przez wnioskodawcę zmiana polegała między innymi na potwierdzaniu danych identyfikacyjnych, bez konieczności osobistego kontaktu z punktem rejestracji.
Wobec tak sformułowanych zastrzeżeń Minister Cyfryzacji wezwał wnioskodawczynię do przedłożenia polityki świadczenia usług uzupełnionej o szczegółowy opis wykonywanych podczas wideoweryfikacji zadań, w celu ustalenia kto oraz w jakim podmiocie ponosi odpowiedzialność za ich realizację, a także wskazanie, którą z metod identyfikacji określonych w art. 24 ust. 1 lit a-d rozporządzenia elDAS stanowi metoda przewidziana przez A. S.A. w polityce świadczenia usług. Organ zobowiązał do przedłożenia dokumentu potwierdzającego równoważną pewność przyjętej metody identyfikacji, pod względem wiarygodności, fizycznej obecności - gdyby wnioskowana metoda wideoweryfikacji stanowiła tę z art. 24 ust. 1 d rozporządzenia elDAS,.
Jednocześnie organ wskazał, że w przypadku uzasadnionych wątpliwości w odniesieniu do przedstawianych raportów oceny zgodności oraz innych dokumentów ewaluacyjnych, może nie podzielić stanowiska jednostki oceny zgodności.
Choć Spółka uważała, że żądanie przedłożenia polityki świadczenia usług uzupełnionej o szczegółowy opis wykonywanych zadań podczas zdalnej weryfikacji tożsamości, a także wskazania, którą z metod identyfikacji określonych w art. 24 ust. 1 lit. a-d rozporządzenia elDAS, pozbawione było podstaw prawnych, to jednak w dniu 13 sierpnia 2020 r. złożyła raport "[...]", sporządzony w języku angielskim przez E. z siedzibą w A.
Zdaniem strony kwestionowana metoda weryfikacji tożsamości, w tym procedury i zabezpieczenia, były przedmiotem audytu akredytowanej jednostki oceny zgodności. Z jego treści miało wynikać, że zdalna weryfikacja tożsamości osób fizycznych przeprowadzona w ramach wideokonferencji i przy zastosowaniu odpowiednich środków technicznych i organizacyjnych może być uznana za równoważną z fizyczną obecnością.
Jednak organ stwierdził, że wobec braku uzupełnienia polityki świadczenia usług, analiza dokumentu "[...]" stała się bezcelowa. Na marginesie wskazał, że dokument ten nie został przetłumaczony na język polski.
W tym kontekście Sąd uznał, że analizując treść przedłożonej polityki, organ mógł dokonywać kwalifikacji prawnej przyjętej w niej metody weryfikacji w świetle w art. 24 ust. 1 rozporządzenia elDAS". Bowiem to organ ustala właściwy przepis, który stanowi materialną podstawę załatwienia sprawy.
Zatem organ w ogóle nie dokonał oceny ww. dokumentu, poprzestając na stwierdzeniu ze sporządzony został w języku angielskim. Niewątpliwie zdalne metody weryfikacji tożsamości wymagają dodatkowej ewaluacji. Równoważna pewność musi być potwierdzona przez jednostkę oceniającą zgodność (art. 24 ust. 1 lit. d eIDAS).
Przy ocenie spełnienia wymogów z art. 24 ust. 1 eIDAS, organ nie ustalił, która z przesłanek zawartych w tym przepisie ma zastosowanie i nie wziął pod uwagę raportu "[...]". Zdaniem Sądu, organ mógł poddać ocenie, czy wideoweryfikacja jest środkiem identyfikacji tożsamości zapewniającym pewność równoważną, pod względem wiarygodności, fizycznej obecności w rozumieniu art. 24 ust. 1 lit. d eIDAS.
W ocenie Sądu, organ powinien wezwać stronę do złożenia raportu wraz z tłumaczeniem na język polski, gdyż mógłby mieć on decydujące znaczenie dla końcowego sposobu załatwienia wniosku. Jeżeli przedłożony raport byłby prawidłowy i potwierdzałby bezpieczeństwo wykorzystanych do identyfikacji rozwiązań organizacyjno-technicznych, to potencjalnie polityka świadczenia usług, którą wnioskodawca zamierzał wdrożyć w ramach "[...]" - wersja 5.5, mogłaby być wpisana do rejestru usług zaufania.
Skoro organ nie dokonał oceny dokumentu "[...]", a w konsekwencji nie zbadał dopuszczalności wideoweryfikacji jako metody identyfikacji przyjętej w polityce, przez dostawcę kwalifikowanych usług zaufania, to naruszył przepisy prawa procesowego, to jest: art. 7, art. 77 i art. 80 k.p.a. w zw. art. 24 ust. 1 eIDAS.
Ponownie rozpoznając sprawę organ uwzględni powyższą ocenę Sądu i przy jej zastosowaniu wyda stosowne rozstrzygnięcie.
Wobec powyższego, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w pkt I sentencji wyroku, na podstawie art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi. O kosztach orzeczono na podstawie art. 200 i 205 ww. ustawy.