VI kadencja
Odpowiedź podsekretarza stanu w Ministerstwie Pracy i Polityki Społecznej - z upoważnienia ministra -
na interpelację nr 66
w sprawie bezpiecznego podpisu elektronicznego
Szanowny Panie Marszałku! Odpowiadając na pismo Pana Marszałka nr SPS-023-66/07 z dnia 28 listopada 2007 r. w sprawie interpelacji złożonej przez Panią Poseł Annę Sobecką, dotyczącej bezpiecznego podpisu elektronicznego składanego przez płatników składek Zakładu Ubezpieczeń Społecznych, uprzejmie proszę o przyjęcie następujących wyjaśnień przedstawionych na podstawie informacji uzyskanej z ZUS.
Zgodnie z art. 47a ust. 1 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. 07.11.74, z późn. zm.) płatnicy składek są zobowiązani przekazywać zgłoszenia do ubezpieczeń społecznych, imienne raporty miesięczne, deklaracje rozliczeniowe, inne dokumenty niezbędne do prowadzenia kont płatników składek i kont ubezpieczonych oraz korekty tych dokumentów poprzez transmisję danych w formie dokumentu elektronicznego z oprogramowania, którego zgodność z wymaganiami określonymi przez zakład została potwierdzona w sposób określony w art. 21 i 22 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (oprogramowanie interfejsowe, używany powszechnie program Płatnik ma status takiego oprogramowania). Na podstawie ust. 2 tego artykułu płatnicy składek rozliczający składki nie więcej niż za 5 osób mogą przekazywać dokumenty, o których mowa w ust. 1, w formie dokumentu pisemnego według ustalonego wzoru albo w formie wydruku z oprogramowania, o którym mowa w ust. 1.
Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne zmieniła treść ust. 2a art. 47a, którego pierwotne brzmienie: ˝Zakład ponosi koszty certyfikatów klucza publicznego wydawanych płatnikom składek przez wskazany przez Zakład podmiot świadczący usługi certyfikacyjne˝ zostało zastąpione zapisem: ˝Dokumenty elektroniczne, o których mowa w ust. 1, opatruje się bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu w rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późn. zm.) osoby odpowiedzialnej za przekazanie tych dokumentów˝. Zmiana ta obciążyła kosztami certyfikatów kwalifikowanych płatników składek m.in. dlatego, że certyfikat kwalifikowany bezpiecznego podpisu elektronicznego ma zastosowanie w znacznie szerszym obszarze działalności płatnika niż dotychczasowy certyfikat niekwalifikowany, dedykowany wyłącznie komunikacji z Zakładem Ubezpieczeń Społecznych. Biorąc pod uwagę zakres przedsięwzięć związanych z informatyzacją realizacji zadań publicznych, certyfikaty kwalifikowane będą służyły komunikacji z wieloma podmiotami, jednak przekazywanie dokumentów elektronicznych do ZUS ma najbardziej restrykcyjny charakter.
Zgodnie z artykułami 59 oraz 60 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne Zakład Ubezpieczeń Społecznych ma obowiązek:
? od 21 lipca 2007 r. rozpocząć przyjmowanie dokumentów ubezpieczeniowych przekazywanych w formie elektronicznej i podpisanych przy użyciu certyfikatów kwalifikowanych bezpiecznego podpisu elektronicznego; opublikować struktury dokumentów, formaty danych, protokoły komunikacyjne i szyfrujące oraz testy umożliwiające tworzenie przez podmioty uprawnione oprogramowania interfejsowego obsługującego wyłącznie certyfikaty kwalifikowane;
? do 20 lipca 2008 r. przyjmować przekazywane przez płatników dokumenty ubezpieczeniowe w postaci elektronicznej podpisane za pomocą dotychczasowych certyfikatów niekwalifikowanych, dedykowanych ZUS;
? od 21 lipca 2008 r. w procesie przyjmowania od płatników dokumentów ubezpieczeniowych w formie elektronicznej obsługiwać wyłącznie certyfikaty kwalifikowane bezpiecznego podpisu elektronicznego.
Według danych za trzeci kwartał bieżącego roku, 829 931 płatników przekazuje dokumenty ubezpieczeniowe w formie elektronicznej. Do ich podpisywania używanych jest 203 854 aktywnych certyfikatów niekwalifikowanych, wystawionych na potrzeby ZUS przez Unizeto Technologies SA. Część tych certyfikatów wystawiona została dla biur rachunkowych, które przekazują dokumenty ubezpieczeniowe za wielu płatników.
Zakład Ubezpieczeń Społecznych, dostosowując się do przywołanych wyżej przepisów, przygotował program Płatnik w wersji 7.01.001, który obsługuje zarówno certyfikaty kwalifikowane bezpiecznego podpisu elektronicznego, jak i dotychczas używane certyfikaty niekwalifikowane - dedykowane ZUS. Program dostępny jest na stronie internetowej zakładu oraz na płytach CD-ROM w placówkach Zakładu Ubezpieczeń Społecznych. Aktualnie z certyfikatów kwalifikowanych korzysta kilkudziesięciu płatników składek. Oprócz obsługi certyfikatów kwalifikowanych w programie Płatnik wprowadzone zostały inne zmiany wynikające z rozporządzenia Rady Ministrów z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych. Najistotniejszą z tych zmian była zmiana formatu dokumentów ubezpieczeniowych na format.xml.
Równolegle ZUS przygotował i wdrożył nową wersję podsystemu 1.2 Przekaz elektroniczny, który przyjmuje i obsługuje przekazywane przez płatników składek dokumenty ubezpieczeniowe w formie elektronicznej opatrzone bezpiecznym podpisem elektronicznym (weryfikowanym za pomocą certyfikatów kwalifikowanych wystawionych przez polskie kwalifikowane centra certyfikacji) albo niekwalifikowanym podpisem elektronicznym weryfikowanym za pomocą certyfikatu Unizeto CERTUM.
Zakład Ubezpieczeń Społecznych opublikował w Biuletynie Informacji Publicznej struktury dokumentów elektronicznych, formaty danych, protokoły komunikacyjne i szyfrujące, niezbędne do utworzenia przez podmioty uprawnione oprogramowania interfejsowego oraz dokumentację do testowania tego oprogramowania. Oprogramowanie interfejsowe będzie obsługiwało wyłącznie certyfikaty kwalifikowane bezpiecznego podpisu elektronicznego.
W celu zapewnienia pełnej obsługi dotychczas używanych certyfikatów do 20 lipca 2008 r. zakład podpisze umowę z Unizeto Technologies SA. W ramach tej umowy przyjęto, że certyfikaty będą wystawiane do 20 lipca 2008 r. z rocznym okresem ważności. Po tym terminie Unizeto CERTUM zapewni możliwość ich wykorzystywania do końca 2008 r. - na wypadek problemów z przejściem płatników składek do posługiwania się certyfikatami kwalifikowanymi. Roczny okres ważności pozwoli uniknąć jednoczesnego wygaśnięcia wszystkich certyfikatów i umożliwi podjęcie działań awaryjnych, związanych z istotnymi problemami migracyjnymi nawet w 2009 r. W tym przypadku niezbędne będzie podpisanie kolejnej umowy z Unizeto. W sytuacji poprawnego przebiegu procesu migracji certyfikaty niekwalifikowane unieważnione zostaną poprzez publikację tego faktu w BIP ZUS, na stronie internetowej Unizeto CERTUM oraz w inny sposób.
Zakład Ubezpieczeń Społecznych prowadzi akcję informacyjną skierowaną do płatników składek. W tym zakresie podjęta została współpraca z polskimi centrami certyfikacji, której celem jest zminimalizowanie zagrożenia niedokonania zakupu certyfikatów kwalifikowanych przez grupę płatników składek po terminie ustawowym. Zagrożenie leży poza ZUS i jest spowodowane przekładaniem na później zakupu certyfikatów kwalifikowanych przez płatników, m.in. ze względu na:
? opór płatników przed wprowadzaniem zmian organizacyjnych (dochodzą nowe zadania i koszty, ponadto dotychczasowy certyfikat wystawiany był dla płatnika - podmiot prawny, w szczególnych przypadkach dla osoby fizycznej, certyfikat kwalifikowany wystawiany jest dla osoby fizycznej - pracownika),
? konieczność zakupu kilku certyfikatów dla pracowników płatnika (urlopy, zastępstwa itp.) oraz ryzyko konieczności zakupu kolejnych certyfikatów w wypadku zmiany pracy przez pracownika posiadającego certyfikat kwalifikowany,
? liczenie na zmiany legislacyjne, które pozwolą płatnikom uniknąć kosztów nabycia certyfikatów,
? nieznajomość przez płatników skali problemu,
? płacenie za nieobowiązkowy czas ważności certyfikatu (od daty wystawienia do 21 lipca 2008 r. - certyfikat jest ważny przez rok lub 2 lata od daty wystawienia).
W kontaktach z polskimi centrami certyfikacji za najistotniejsze uważa się koordynację prowadzonych akcji informacyjnych, cykliczne informowanie ZUS o liczbie certyfikatów kwalifikowanych wygenerowanych dla płatników składek, opracowanie planu awaryjnego na przypadek stwierdzenia zagrożeń.
Informuję również, że oprócz powyższych działań Zakład Ubezpieczeń Społecznych prowadzi prace mające na celu przygotowanie zasad obsługi certyfikatów zrównanych z kwalifikowanymi, wystawionych przez zagraniczne centra certyfikacji oraz wykorzystanie zasobów systemu e-PUAP.
Reasumując, Zakład Ubezpieczeń Społecznych jest przygotowany do obsługi obydwu rodzajów certyfikatów. Certyfikat niekwalifikowany, wystawiony dla płatnika składek jako osoby prawnej (w szczególności osoby fizycznej) ułatwia realizację niektórych procesów informacyjnych, np. udostępniania płatnikom składek informacji o charakterze danych osobowych. Wdrożenie obsługi certyfikatów kwalifikowanych bezpiecznego podpisu elektronicznego zwalnia zakład z utrzymywania służb i infrastruktury wspierającej obsługę wystawiania certyfikatów niekwalifikowanych.
Z poważaniem
Podsekretarz stanu
Czesława Ostrowska
Warszawa, dnia 17 grudnia 2007 r.