Úředně ověřený elektronický podpis
Od nabytí účinnosti Nařízení Evropského parlamentu a Rady (EU) č. 910/2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, známého pod zkratkou „nařízení eIDAS“, vyvstala v České republice potřeba nového řešení pro elektronickou alternativu institutu úředně ověřeného elektronické podpisu.
Ani předchozí právní úprava v podobě zákona o elektronickém podpisu sice přímo nerozšiřovala právní účinky uznávaného elektronického podpisu obecně na všechny případy potřeb úředně ověřeného podpisu, ale konkrétními formulacemi v konkrétních případech se toto dovozovalo za podmínky uvedení specifického údaje, tzv. identifikátoru klienta MPSV, v certifikátu, na němž byl tento podpis založen. Nařízení eIDAS vyloučilo takový přístup, a proto se hledala nová cesta, kterou přinesl až zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů. Příslušné ustanovení nabývá účinnosti 1. července letošního roku. Tento příspěvek čtenáře seznámí s přijatým přístupem k řešení elektronické alternativy úředně ověřeného elektronického podpisu a praktickými dopady nových pravidel.
Ověřený podpis
Domněnka vyjádření vůle jednající osoby tím, že připojí svůj podpis, patří mezi nejvýznamnější právní obyčeje[1]. V současné době vedle vlastnoručního podpisu může být podle pravidel stanovených nařízením eIDAS a dalšími předpisy užit též elektronický podpis. Formální adekvátnost vlastnoručního podpisu hodnotíme ad hoc zkušenostní intuicí, která se vyvinula za mnoho set let využívání tohoto institutu. Adekvátnost elektronického podpisu hodnotíme na základě pravidel stanovených nařízením eIDAS, neboť používání této formy (přibližně 20 let) je zatím příliš krátké, na to, aby se vyvinula celospolečensky uznávaná hodnocení založená jen na intuici (pokud to kdy v elektronické podobě vůbec bude možné).
Obecné funkce podpisu v evropském právu shrnuje publikace[2] a vyzdvihuje zejména ověřovací, pravostní, uzavírací, identifikační a varovací roli. Zmíněnou identifikační roli podpisu je třeba chápat ve smyslu, že podpis umožňuje identifikaci, která je zajištěna srovnáním více podpisů jedné a téže osoby. V případě vlastnoručního podpisu se srovnávají grafické znaky podpisu, které musí posoudit odborník (soudní znalec); v případě elektronického podpisu se srovnávají údaje uvedené v připojeném kvalifikovaném certifikátu pro elektronické podpisy (identifikační číslo certifikátu, jméno, příjmení, e-mailová adresa, aj.). Jednoznačně identifikovat podepisující osobu na základě unikátního identifikátoru certifikátu pak může autorita, která příslušný certifikát vydala. Ta je ovšem omezena ochranou informací a jedná se tak o ojedinělé potvrzení identity podepisujícího především v případech soudních sporů. Jinými slovy, samotný jeden podpis identifikuje osobu jen velmi omezeně.
Identifikace sama o sobě je proces prokázání totožnosti fyzické osoby, přičemž prostředky pro její prokázání mohou být různé. V praxi se nejčastěji užívají k prokázání totožnosti osobní doklady mající povahu veřejné listiny, avšak existují i jiné způsoby[3]. Např. v případě podání podle správního řádu, který v § 37 odst. 2 vyžaduje pro identifikaci podatele uvedení jména, příjmení, data narození a místa trvalého pobytu, je pravdivost těchto údajů stvrzena podpisem osoby, která podání činí.
Jsou ale případy, např. zmocnění plnou mocí podle § 20 odst. 2 správního řádu, souhlas vlastníka podle § 170 odst. 3 daňového řádu apod., kdy potřebujeme pro provedení určitého úkonu vyšší jistotu identifikace jednající osoby, než jakou poskytuje potvrzení podpisem jednající osoby. V takových případech je vyžadován úředně ověřený podpis, který rozšiřuje roli podpisu o identifikaci jednající osoby založenou na údajích uvedených v ověřovací doložce (viz např. § 12 zákona č. 21/2006 Sb., o ověřování) a stvrzených podpisem úřední osoby zákonem nadané k provedení tohoto úkonu.
Elektronický podpis
Ani v elektronické podobě se nemíchají funkce podpisu a identifikace, ačkoliv již více než 10 let užívané datové schránky tyto funkce různě propojují a mohou tak vyvolávat mylný dojem jejich vzájemné nahraditelnosti. Avšak elektronický podpis je alternativou vlastnoručního podpisu v elektronické podobě a nemá zásadně vyšší identifikační schopnosti než vlastnoruční podpis. A elektronická identifikace je alternativou procesu prokázání totožnosti v kyberprostoru a není spojena s domněnkou vyjádřením vůle osoby, která se prostřednictvím ní identifikuje.
Nařízení eIDAS uvedené postupy také striktně rozděluje a využívá pro jejich popis dokonce i jiného základního pojmosloví[2]. Elektronický podpis patří mezi služby vytvářející důvěru pro elektronické transakce, zatím co elektronická identifikace je samostatně stojící službou založenou na využití prostředku pro elektronickou identifikaci a zajištění procesu autentizace spojené do systému elektronické identifikace[4].
Nařízení eIDAS zavádí následující tři úrovně elektronického podpisu:
- Elektronický podpis (v praxi označován za prostý elektronický podpis), což jsou dle čl. 3 odst. 10 cit. nařízení data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání. Touto nejnižší úrovní elektronického podpisu může být např. uvedení jména na konci e-mailu nebo naskenovaný obrázek vlastnoručního podpisu.
- Zaručený elektronický podpis, který podle čl. 26 cit. nařízení musí být jednoznačně spojen s podepisující osobou, umožňovat identifikaci podepisující osoby, být vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou, a být k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.
- Kvalifikovaný elektronický podpis, který musí být navíc vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů. Této nejvyšší úrovni elektronického podpisu přiznává čl. 25 odst. 2 cit. nařízení právní účinky vlastnoručního podpisu.
Český adaptační zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, k těmto úrovním přidává další dva pojmy:
- Zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronické podpisy, což je více než jen zaručený elektronický podpis, ale méně než kvalifikovaný elektronický podpis. Od zaručeného elektronického podpisu se tento liší tím, že jsou přidány důvěryhodné informace, jako např. jméno a příjmení podepisující osoby, jež jsou součástí kvalifikovaného certifikátu a které ověřil kvalifikovaný poskytovatel služeb vytvářejících důvěru.
- Uznávaný elektronický podpis je buď zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronické podpisy anebo kvalifikovaný elektronický podpis. Cit. zákon přiznává uznávanému elektronickému podpisu právní účinky vlastnoručního podpisu, pokud se jím podepisuje dokument, kterým právně jedná (zjednodušeně řečeno) soukromá osoba vůči veřejné správě.
Jednotlivé úrovně elektronického podpisu přehledně ilustruje obr. 1.
Úředně ověřený elektronický podpis
Ustanovení § 6 zákona č. 12/2020 Sb. definuje následující tři možnosti řešení elektronické alternativy úředně ověřeného podpisu:
1. Využití elektronického podpisu na dokumentu nedílně spojeném s kvalifikovaným elektronickým podpisem osoby oprávněné provádět ověřování pravosti podpisu, která postupem podle jiného právního předpisu ověřila, že podepisující dokument před ní podepsal nebo uznal podpis za vlastní, a kvalifikovaným elektronickým časovým razítkem. Jde o alternativu postupu legalizace vlastnoručního podpisu, který mohou provádět vybrané subjekty (např. krajské úřady, většina městských a obecních úřadů nebo držitel poštovní licence) podle zákona č. 21/2006 Sb., o ověřování, notáři podle notářského řádu a advokáti podle zákona č. 85/1996 Sb., o advokacii.
Ke každému ze zmíněných zákonů existuje nebo se připravuje prováděcí předpis, který proces ověření elektronického podpisu upřesňuje či upřesní. Obecně tyto přepisy omezují postup pouze na uznání podpisu za vlastní. Je třeba zdůraznit, že úředním ověřením elektronického podpisu se nepotvrzuje jeho platnost podle čl. 32 nařízení eIDAS ani se nepotvrzuje správnost ani pravdivost údajů uvedených v elektronickém dokumentu ani jejich soulad s právními předpisy (viz např. § 10 zákona č. 21/2006 Sb.).
Ale přesto je v elektronickém ověřování jeden významný rozdíl oproti ověřování vlastnoručního podpisu, a tím je povýšení úrovně důvěryhodnosti elektronického podpisu. I podpis nižší úrovně, než uznávaný elektronický podpis je ověřením povýšen na úroveň uznávaného elektronického podpisu, což bude zřejmě činit nemalé procesní komplikace při obecném ověřování platnosti elektronického podpisu. Znamená to totiž, že při ověřování „skutečného“ uznávaného elektronického podpisu, neříká nic ověření podpisu na ověřovací doložce o platnosti tohoto podpisu a případná neplatnost podpisu na ověřovací doložce pouze „škrtá“ úřední ověření, ale nesnižuje platnost uznávaného elektronického podpisu na dokumentu. Avšak nahrazením uznávaného elektronického podpisu úředním ověřením podpisu nižší úrovně, je platnost tohoto podpisu závislá jen a pouze na ověření elektronického podpisu na ověřovací doložce. Zcela zbytečně se tím zavádí další komplikace při posuzování kvalit elektronického podpisu.
2. Využití elektronického podpisu a jeho nedílného spojení se záznamem informačního systému veřejné správy (ISVS) opatřeným kvalifikovanou elektronickou pečetí a kvalifikovaným elektronickým časovým razítkem jeho správce o provedení elektronické identifikace podepisujícího prostřednictvím kvalifikovaného systému elektronické identifikace s úrovní záruky vysoká.
Tento postup nahrazuje ověřovací doložku vydanou zákonem nadanou úřední osobou záznamem ISVS a postup ověření totožnosti žadatele o úřední ověření podpisu, který v předchozím případě provádí úřední osoba subjektu stanoveném v § 1 odst. 1 zákona č. 21/2006 Sb., nebo notář anebo advokát, nahrazuje elektronickou identifikací podle zákona č. 250/2017 Sb., o elektronické identifikaci. Aby byla maximálně zajištěna důvěryhodnost provedení této elektronické identifikace, vyžaduje se užití prostředku pro elektronickou identifikaci s tou nejvyšší úrovní záruky dle čl. 8 nařízení eIDAS. Avšak dosud není v žádném předpisu stanoveno zmocnění pro vydání prováděcího předpisu s upřesněním náležitostí záznamu nahrazujícího ověřovací doložku, natož náležitosti tohoto záznamu jako takového. Před zavedením do praxe tak bude zřejmě ještě třeba změny zákona.
Ani tento postup vytvoření úředně ověřeného elektronického podpisu nepotvrzuje platnost elektronického podpisu, jež je takto úředně ověřen, byť tento fakt není na rozdíl od předchozího postupu zdůrazněn žádným konkrétním ustanovením, ale vyplývá z procesu vytvoření úředně ověřeného elektronického podpisu. Navíc se zákonodárce domnívá, že tento postup s vyloučením role ověřující úřední osoby je méně důvěryhodný, a proto vylučuje jeho použití v případě plné moci k právnímu jednání podle § 441 odst. 2 poslední věty občanského zákoníku.
I tento postup vytvoření úředně ověřeného elektronického podpisu povyšuje nižší úrovně elektronického podpisu na uznávaný elektronický podpis, což znamená stejné procesní komplikace při ověřování, jaké byly zmíněny v předchozím případě.
3. Třetí možností je užití uznávaného elektronického podpisu, pokud lze s využitím údajů základního registru obyvatel (ROB) nebo portálu veřejné správy (PVS) ověřit, že kvalifikovaný certifikát pro elektronický podpis, na jehož základě podepisující vytvořil uznávaný elektronický podpis na dokumentu, patří podepisujícímu. V této konstrukci se využívá vlastnosti zaručeného elektronického podpisu podle čl. 26 písm. b) nařízení eIDAS, že tento podpis umožňuje identifikaci podepisující osoby, a to pomocí srovnání údajů uvedených v připojeném kvalifikovaném certifikátu pro elektronické podpisy. Jde zejména o identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru [písm. f) přílohy I nařízení eIDAS], a o název tohoto kvalifikovaného poskytovatele.
Jednou ze služeb PVS je možnost, aby si občan sám po přihlášení svou elektronickou identitou zaregistroval předmětné údaje do ROB. Tato funkcionalita je již v Portálu občana dostupná na základě elektronické identifikace s úrovní záruky střední nebo vysoká (viz obr. 2). Z praktického pohledu zdůrazněme, že zejména orgány veřejné moci budou muset upravit své procesy na ověření elektronického podpisu tak, aby se zohlednila časově proměnlivá informace o certifikátu v ROB.
Protože i v tomto případě je tak z procesu vzniku úředně ověřeného elektronického podpisu vyloučena úřední osoba, je opět zakázáno užití tohoto postupu k nahrazení úředně ověřeného podpisu v případě plné moci k právnímu jednání podle § 441 odst. 2 poslední věty občanského zákoníku.
Technické řešení a prováděcí vyhlášky
Notáři byli první, kteří mohli na základě § 74a notářského řádu začít provádět ověřování elektronického podpisu, a to již od 1. září 2021. Tuto činnost využívají zejména při elektronickém zakládání společností prostřednictvím videokonference se současným využitím prostředků pro elektronickou identifikaci. Formát a náležitosti dokumentu v elektronické podobě, u nějž lze provést legalizaci, a postup při provádění legalizace na dokumentu v elektronické podobě stanovuje nařízení vlády č. 317/2021 Sb., o postupu notáře při legalizaci elektronického podpisu.
Výstupem od notáře je kontejner ve formátu Associated Signature Containers – Extended (ASiC-E). Tento kontejner obsahuje jak vstupní dokument s ověřovaným podpisem, tak ověřovací doložku stvrzující legalizaci. Doložka je podepsána kvalifikovaným elektronickým podpisem notáře, včetně kvalifikovaného časového razítka. Tento výstupní kontejner, tedy dokument, na kterém byla provedena legalizace, předá notář po jejím provedení žadateli prostřednictvím datového úložiště elektronické aplikace Centrálního informačního systému Notářské komory České republiky, elektronické pošty, nebo datové schránky. Pro datové schránky však prozatím ASiC-E není přípustný formát datové zprávy, proto je tento způsob doručení do doby provedení novelizace vyhlášky č. 194/2009 Sb. vyloučen. Formát ASiC-E také nepatří mezi povolené výstupní datové formáty podle vyhlášky č. 259/2012 Sb., a proto není povinně přijímán určenými původci dle § 64 odst. 1 zákona č. 499/2004 Sb., o archivnictví a spisové službě. Tím se užitná hodnota úředně ověřeného výstupu od notáře velmi snižuje.
Advokáti budou nadáni právem provádět ověřování elektronických podpisů od 1. července 2022. Podrobnosti o povinnostech advokáta a advokátního koncipienta prozatím nejsou dány a budou na základě § 25a zákona č. 85/1996 Sb., o advokacii, stanoveny stavovským předpisem.
Ostatní osoby provádějící legalizaci budou nadáni právem ověřovat elektronické podpisy od 1. července 2022, což bude technicky zajištěno prostřednictvím aplikace Czech POINT. Formát a náležitosti dokumentu v elektronické podobě, u nějž lze provést legalizaci, by mělo stanovit připravované novelizované znění § 5a vyhlášky č. 36/2006 Sb., o ověřování shody opisu nebo kopie s listinou a o ověřování pravosti podpisu. Zamýšleným výstupem by neměl být kontejner ASiC-E jako v případě notářů, ale samostatná ověřovací doložka v datovém formátu PDF/A-3 a vyšší. Jednoznačné spojení ověřovací doložky a vstupního dokumentu s ověřovaným podpisem by mělo být realizováno logickou vazbou technicky založenou na několika otiscích (tzv. HASH) uvedených na doložce. A proto případná následná aktivní péče o vstupní dokument v podobě opatření následným časovým razítkem, která pochopitelně způsobí změnu otisku, bude mít za následek komplikaci při následné vztahové kontrole doložky ke vstupnímu dokumentu.
Ještě během tohoto roku by mělo dojít k rozšíření služeb Portálu občana o funkci legalizace elektronického podpisu. Tato funkčnost se bezúplatně nabídne každému, kdo se k portálu identifikuje prostřednictvím elektronické identifikace s vysokou úrovní záruky. Detaily této služby jsou zatím předmětem příprav.
Poděkování: Příspěvek je podporován grantem VŠE IGS F5/14/2022.
Literatura
- POLČÁK, R. Právo a evropská informační společnost. Brno: Masarykova univerzita, 2009
- KMENT, V. Elektronické právní jednání. Praha: Wolters Kluwer, 2018.
- MATES, P. (ed.) at al. Ochrana osobnosti, soukromí a osobních údajů. Praha: Leges, 2019.
- DONÁT, J., MAISNER, M., PIFFL, R. Nařízení eDIAS. Komentář. Praha: C. H. Beck, 2017.