Compliance · Article 11.2

eIDAS: co sprawia, że podpis Clozo jest prawnie wiążący w UE

Rozporządzenie UE 910/2014 (eIDAS) definiuje trzy poziomy podpisów i przyznaje każdemu z nich wyraźną wagę prawną. Clozo wydaje Prosty Podpis Elektroniczny (PES) zgodnie z Art. 3(10), wsparty solidną ścieżką audytu. Dla codziennej freelancerskiej pracy komercyjnej w UE jest to wystarczające i egzekwowalne; ścieżka audytu wykonuje ciężar dowodowy, który sprawia, że podpis jest możliwy do obrony, jeśli zostanie zakwestionowany.

TL;DR — what to remember

eIDAS Rozp. 910/2014 definiuje trzy poziomy podpisów: PES (Art. 3(10)), ZPE (Art. 3(11) + Art. 26), KPE (Art. 3(12) + Art. 28).
Clozo wydaje PES zgodnie z Art. 3(10) — wpisana nazwa, posiadanie e-maila weryfikowane przez PIN, IP/UA/znacznik czasu, rekord zgody — wsparty 10-letnim wierszem SignatureAudit.
Zgodnie z Art. 25(1) podpis Clozo „nie może być odmawiany skutku prawnego... wyłącznie z powodu tego, że ma postać elektroniczną". Równoważność z podpisem odręcznym z Art. 25(2) dotyczy wyłącznie KPE.
Dla codziennej freelancerskiej pracy komercyjnej, sądy w DE/FR/ES/NL/PL/IT rutynowo akceptują PES + ścieżkę audytu jako wystarczający dowód akceptacji na podstawie krajowego prawa umów.
Ścieżka audytu jest przechowywana przez 10 lat i nie może być usunięta w oknie retencji (wyjątek RODO Art. 17(3)(b) dla retencji z obowiązku prawnego).

Gdy klient klika Podpisz, Clozo rejestruje wpisaną nazwę, weryfikację posiadania e-maila przez PIN, IP i identyfikator przeglądarki oraz znacznik czasu po stronie serwera, a następnie zapisuje je do wiersza SignatureAudit obok wyrenderowanej Umowy o świadczenie usług. Wynikiem jest Prosty Podpis Elektroniczny zgodnie z Art. 3(10) Rozporządzenia (UE) nr 910/2014 (eIDAS) — nie Zaawansowany Podpis Elektroniczny zgodnie z Art. 3(11) i nie Kwalifikowany Podpis Elektroniczny zgodnie z Art. 3(12). To, co go czyni możliwym do obrony, to ścieżka audytu, a nie klasyfikacja podpisu. Art. 25(1) daje każdemu podpisowi elektronicznemu prawny próg niedyskryminacji: nie może mu być odmawianego skutku prawnego ani dopuszczalności jako dowód wyłącznie dlatego, że jest elektroniczny. Od tego miejsca jakość ścieżki audytu decyduje o tym, jak przekonujący jest dowód w konkretnym sporze. Ten artykuł omawia trzy poziomy eIDAS, dlaczego Clozo celowo dostarcza PES (nie ZPE) w v1, i co to oznacza dla codziennych umów freelancerskich.

Why this works this way

Trzy poziomy podpisów eIDAS (wszystkie z Rozporządzenia (UE) nr 910/2014):

Poziom	Artykuł	Czego wymaga	Skutek prawny
Prosty Podpis Elektroniczny (PES)	Art. 3(10)	„Dane w formie elektronicznej, dołączone do innych danych w formie elektronicznej lub z nimi logicznie powiązane, używane przez podpisującego jako podpis" — wpisana nazwa, zaznaczone pole wyboru, wprowadzenie PIN, click-to-sign	Art. 25(1): „nie może być odmawiany skutku prawnego i dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z powodu tego, że ma postać elektroniczną lub że nie spełnia wymogów kwalifikowanych podpisów elektronicznych." Waga dowodowa pochodzi z otaczającej ścieżki audytu.
Zaawansowany Podpis Elektroniczny (ZPE)	Art. 3(11), Art. 26	Cztery warunki łączne: (a) jednoznacznie powiązany z podpisującym, (b) zdolny do identyfikacji podpisującego, (c) stworzony za pomocą danych do składania podpisu, których podpisujący może używać, z wysokim poziomem pewności, pod wyłączną kontrolą, (d) powiązany z danymi w sposób umożliwiający wykrycie wszelkich późniejszych zmian	Ten sam próg niedyskryminacji Art. 25(1). ZPE sam w sobie nie odblokowuje Art. 25(2) — to jest terytorium KPE. Praktyczna zaleta ZPE to wymóg wykrywania integralności (d), który zakłada kryptograficzną pieczęć wiążącą podpis z dokumentem.
Kwalifikowany Podpis Elektroniczny (KPE)	Art. 3(12), Art. 28	ZPE + kwalifikowany certyfikat od Dostawcy Usług Zaufania UE + kwalifikowane urządzenie do składania podpisu (token sprzętowy, karta inteligentna na Liście Zaufania UE)	Art. 25(2): „Kwalifikowany podpis elektroniczny ma skutek prawny równoważny podpisowi odręcznemu." Art. 25(3): KPE oparty na kwalifikowanym certyfikacie wydanym w jednym państwie członkowskim jest uznawany za KPE we wszystkich pozostałych państwach członkowskich.

Dlaczego Clozo wydaje PES, a nie ZPE. [A-007] w naszym DECISIONS.md jest jasny: „e-Podpis: eIDAS SES (Simple Electronic Signature) — click-to-sign + potwierdzenie e-mailem. Przechowuj IP + znacznik czasu + łańcuch e-mail przez 10 lat." Bieżący kod pasuje: model SignatureAudit w apps/proposals/models.py rejestruje signed_at, ip_address, user_agent, signer_name, signer_email, consent i raw_event (pełne nagłówki żądania jako JSONB) — ale nie oblicza ani nie przechowuje hasha SHA-256 wyrenderowanego PDF, a ścieżka podpisywania nie wiąże kryptograficznej pieczęci z treścią dokumentu w sposób spełniający Art. 26(d). Zaufane oznaczanie czasu RFC 3161 jest w roadmapie [D-111] (Faza 4), ale nie jest częścią ścieżki podpisywania v1. Nazywanie produktu v1 Zaawansowanym Podpisem Elektronicznym byłoby niedokładne i narażałoby freelancerów na wyzwanie cytowania, gdyby kiedykolwiek potrzebowali obronić podpis.

*Co Clozo faktycznie przechwytuje, atomowo przy podpisaniu:*

1. Potwierdzenie tożsamości — wpisana nazwa podpisującego plus adres e-mail, który otrzymał ofertę, muszą pasować do rekordu klienta w aktach (signer_name, signer_email w SignatureAudit). 2. Dowód posiadania — 4-cyfrowy kod dostępu (PIN) był poprawnie wprowadzony przed odblokowaniem powierzchni podpisywania, co dowodzi dostępu do skrzynki odbiorczej e-mail, na którą go dostarczono. Zgodnie z bieżącym kodem (hartowanie HIGH-BE-002, audyt 2026-04-28): na publicznym endpoincie oferty 5 nieprawidłowych prób PIN w przesuwającym się oknie 1-godzinnym blokuje slug oferty na 24 godziny (blokada per-slug, odrębna od limitu per-IP 10 żądań/minutę na tym samym endpoincie). Pomyślne wprowadzenie PIN resetuje licznik błędów. Brama PIN aneksu używa tego samego wzorca 5-prób-→-24h-blokada na własnym kluczu slug. 3. Kontekst techniczny — ip_address (GenericIPAddressField), ciąg user_agent i pełne nagłówki żądania w raw_event (JSONB), wszystkie zapisane w jednej transakcji bazodanowej z signed_at. 4. Rekord zgody — pole consent przechwytuje twierdzące potwierdzenie podpisującego, że jest upoważniony do związania nazwanej strony.

Zwróć uwagę na to, czego nie ma na tej liście: brak pola pdf_hash, brak wywołania hashlib.sha256 w ścieżce kodu podpisywania, brak integracji z kwalifikowanym dostawcą usług zaufania, brak przepływu z kartą inteligentną lub tokenem sprzętowym. Są to elementy, które odróżniają ZPE (odporność na manipulację Art. 26(d)) i KPE (kwalifikowany certyfikat Art. 28) od PES, i Clozo celowo ich nie dostarcza w v1. PDF Umowy o świadczenie usług jest renderowany niezmiennie do Cloudflare R2 (region UE) z flagą legal_hold, co zapewnia integralność na poziomie magazynu (plik nie może być nadpisany ani usunięty w oknie retencji) — ale to nie jest to samo co kryptograficzne powiązanie podpisu z dokumentem na mocy Art. 26(d).

Cytowania krajowe dla ścieżki dowodowej PES + ścieżka audytu: - Niemcy — BGB §126 (forma odręczna), §126a (kwalifikowana forma elektroniczna), §126b (forma tekstowa). Dla umów bez ustawowego wymogu formy, zasada Formfreiheit (BGB §125 e contrario); PES + ścieżka audytu jest powszechnie akceptowany jako dowód zgody. - Francja — Code civil Art. 1366 i Art. 1367; podpis elektroniczny prosty jest uznawany, ale ciężar dowodu niezawodności spoczywa na stronie powołującej się na niego — dokładnie tu ścieżka audytu Clozo wykonuje pracę. - Polska — Kodeks cywilny Art. 78¹ (równoważność kwalifikowanej formy elektronicznej, dotyczy tylko KPE); Art. 60 KC (oświadczenia woli mogą być składane przez każde zachowanie wyrażające wolę). PES nie jest ustawowo równoważny formie pisemnej w Polsce; w praktyce sądy przyjmują PES + ścieżkę audytu jako dowód zgody na podstawie Art. 60. Dopuszczalność proceduralna reguluje KPC Art. 308 (dokumenty elektroniczne).

Troubleshooting

Keep reading

Proposals & Invoices

The three documents: Proposal, Service Agreement, and the signed PDF

A signed Clozo proposal produces three legal artefacts: the Proposal PDF (the offer), the Service Agreement (the binding contract), and a stored audit trail. Each plays a different legal role under EU contract law and eIDAS Reg. 910/2014.

Proposals & Invoices

The e-signature flow — what happens when your client clicks Sign

A single click triggers a four-part evidence capture, generates the Service Agreement, fires confirmation emails, and queues the deposit invoice — all in one atomic transaction under 200ms.

Lifecycle

Status: Signed — legally binding, audit trail captured

The client clicked Sign. Clozo collects an eIDAS-compliant evidence stack, generates the signed Service Agreement PDF, fires confirmation emails to both parties, and queues the deposit invoice. The proposal is now a contract.

Compliance

10-year retention: GoBD §147 AO and its EU equivalents

Tax-relevant documents — invoices, receipts, signed agreements, payment records — must be available to a tax-office inspector for ten years. Clozo enforces this server-side across every EU jurisdiction.