14. Często pojawia się pytanie o sposób weryfikacji podpisu (o bezpieczeństwo danych osobowych) w przypadku wykorzytsania opogramowania on-line, np.:

czy też tzw. "podpisywarki". Warto, moim zdaniem, wyjaśnić, w jaki sposób funkcjonują tego typu weryfikatory

Realizacja usług on-line oraz przetwarzanie danych w chmurze jest aktualnie jednym z podstawowych sposobów rozwoju usług elektronicznych, toteż powstawanie rozwiązań, które służą do składania i walidacji podpisu będzie coraz częściej stosowane. Wymienione powyżej usługi wymagają przesłania całego podpisanego dokumentu, a następnie uzyskania wyniku walidacji podpisu. Bardziej zaawansowane płatne usługi walidacji podpisu pozwalają na rozdzielenie treści dokumentu od wartości podpisu po stronie użytkownika, a do walidacji wysyłają sam podpis. Jednak także i w tym przypadku walidacja wymaga przekazania danych osobowych zawartych w certyfikatach podpisu elektronicznego do usługodawcy. W związku z powyższym należy przede wszystkim zapoznać się ze zobowiązaniami usługodawcy, który przetwarza dane. 

Usługa WeryfikacjaPodpisu.pl jest polską niekwalifikowaną usługą zaufania podlegającą nadzorowi Ministra Cyfryzacji, dla której zostały określone Polityka Usługi Zaufania oraz Polityka Prywatności, w tych dokumentach zostały wskazane zobowiązania, które potwierdzają, że prowadząca usługę firma Madkom nie gromadzi ani przechowuje treści walidowanych dokumentów, w tym także certyfikatów i danych osobowych. 

Obie usługi Nowina i DSS są demonstracyjnymi usługami, działającymi na tej samej technologii, udostępnianymi do celów pokazowych.  Zarówno firma Nowina Solutions udostępniająca pierwszą z usług testowych jak i Komisja Europejska, która udostępnia drugą usługę w przedstawionych politykach prywatności zobowiązały się do nieprzechowywania danych osobowych, walidowanych dokumentów oraz danych zawartych w certyfikatach. 

Warto jednocześnie wskazać, że kwalifikowane usługi walidacji podpisów elektronicznych nie tylko dostarczają dowodów, ale zapewniają domniemanie prawdziwości. Dodatkowo kwalifikowani dostawcy usługi zaufania przechodzą okresowe audyty potwierdzające bezpieczeństwo, w tym ochronę danych osobowych.

Tak jak opisałem powyżej używanie usług walidacji nie stwarza ryzyk związanych z nieuprawnionym przetwarzaniem danych osobowych.

– Michał Tabor, Ekspert PIIT