Certifikační autorita - co nám nabízí?

Souhrn

Tento příspěvek se zabývá právními a praktickými aspekty služeb poskytovaných certifikační autoritou jak z pohledu klienta certifikační autority tak z pohledu certifikační autority. Uvádí jaké existují druhy certifikačních autorit dle zákona o elektronickém podpisu (dále jen Zákon) a prováděcí vyhlášky a řeší otázky jejich právního postavení, dokumentační základny, služeb, které může certifikační autorita v souvislosti s elektronickým podpisem a elektronickými dokumenty nabízet (dle Zákona a dále jiné Zákonem neupravené).

Úvod

Naprostá většina podnikatelů musí zpracovávat značné objemy tištěných dokumentů. Ve smyslu zaběhnuté praxe "co je psáno to je dáno" je úprava vztahů se zákazníky, dodavateli, státními úřady, zaměstnanci apod. doposud realizována většinou v listinné podobě. Je zřejmé, že vytváření a skladování těchto listinných dokumentů je drahé, stejně tak jako manipulace s nimi. Pravděpodobnost ztráty originálů důležitých dokumentů uchovávaných v podobě listin je také celkem významná.

Současné technologie umožňují v naprosté většině případů nahradit listinné dokumenty elektronickými, což vede ke značné úspoře času a nákladů, a tudíž ke zvýšení efektivity fungování společností. V okamžiku, kdy společnosti a jiní podnikatelé začnou uvažovat o "digitalizaci" svých procesů a činností, musí začít zvažovat nejen technologickou stránku plánovaných změn, ale i to, zda právní řád takovéto změny umožňuje. (1) Jde nejen o to, aby elektronické dokumenty, pokud je s nimi spojen určitý stupeň závaznosti, byly i v elektronické podobě právně platné (hmotné právo) a vymahatelné (procesní právo), ale musí být prověřeny implikace zahrnující oblast daňovou, účetní, sféru ochrany osobních údajů, práv duševního vlastnictví a případně i dalších právní odvětví, jako např. trestního práva.

Stručně o elektronickém podpisu

Jedním z nástrojů, které dle našeho právního řádu umožňují aby dokumenty existující v elektronické podobě byly právně platné, závazné a vymahatelné, je elektronický podpis, upravený Zákonem o elektronickém podpisu č. 227/2000 Sb. a následnou prováděcí vyhláškou, vládním nařízením a novelami procesních předpisů. (2) Význam elektronického podpisu, zejména slovy Zákona "zaručeného elektronického podpisu", roste s tím, jak roste rozšíření a význam elektronické komunikace obecně.

Dnes má již mnoho lidí základní představu o tom, jak elektronické podepisování většinou funguje. Přestože existují i jiné možnosti, nejčastěji se využívá technologie digitálního podpisu založeného na asymetrické kryptografii používající dva klíče - veřejný klíč a soukromý klíč, mezi nimiž existuje matematický vztah. Soukromým klíčem, který má k dispozici pouze podepisující osoba, se zpráva, dokument, datový soubor "podepíše" a veřejným klíčem příjemce takové zprávy ověří podpis. Zaručený elektronický podpis musí splňovat určité požadavky (3) zajišťující ve svém důsledku právní uznatelnost takového podpisu. Jedním z významných požadavků je důvěryhodná identifikace podepisující se osoby.

Certifikační autorita

Ve světě listinných dokumentů nám podpis na listině důvěryhodně ověřuje notář. Ve světě elektronických dat a dokumentů, kdy možnost využití falešné identity je mnohem snadnější a pravděpodobnější, notář tuto funkci zastávat (bez dalšího) nemůže. Důvěryhodná třetí strana, která v určitém smyslu v elektronickém světě nahrazuje funkci notáře musí jednoznačně ověřit totožnost držitele veřejného klíče a skutečnost, že veřejný klíč podepisující osobě skutečně náleží, což stvrdí vydáním veřejně dostupného certifikátu - tento subjekt se běžně nazývá certifikační autorita, slovy Zákona "poskytovatel certifikačních služeb". Hlavním úkolem certifikační autority dle Zákona je tedy ověřovat a stvrzovat identitu držitelů veřejných klíčů a následně vydávat, evidovat a zveřejňovat případně zneplatňovat certifikáty. Tato autorita však může poskytovat další důležité související služby umožňující vytvořit z elektronického podpisu důvěryhodný a spolehlivý nástroj projevů vůle v elektronickém světě (viz níže).

Kategorie certifikačních autorit

Zákon o elektronickém podpisu rozlišuje tři kategorie certifikačních autorit (poskytovatelů certifikačních služeb):

	poskytovatel certifikačních služeb;
	poskytovatel certifikačních služeb vydávající kvalifikované certifikáty;
	akreditovaný poskytovatel certifikačních služeb.

Přestože v praxi nemusí být ve způsobu jejich fungování a tudíž ve spolehlivosti a důvěryhodnosti jejich služeb, žádný rozdíl, obecně lze říci, že zatímco "obyčejná" certifikační autorita nemusí splňovat žádné legislativní požadavky a její činnost není nikým kontrolována, další dva typy certifikačních autorit musí splňovat poměrně přísná ustanovení Zákona a prováděcí vyhlášky týkající se zejména bezpečnosti nástrojů elektronického podpisu, bezpečnosti jejich provozu (4), náležitostí kvalifikovaného certifikátu apod. Nad dodržováním těchto legislativních požadavků vykonává dozor Úřad pro ochranu osobních údajů s pravomocí poměrně rozsáhlých sankcí v případě jejich porušení. Certifikační autorita akreditovaná Úřadem pro ochranu osobních údajů (třetí typ CA) je pak jedinou autoritou, která je oprávněna vydávat certifikáty přijímané při komunikaci s orgány státní správy.

Certifikát

Certifikát je vlastně elektronickou obdobou průkazu totožnosti platnou pro elektronický svět. Je to doklad o tom, že totožnost držitele veřejného klíče byla ověřena. Certifikát spojuje jméno držitele páru soukromého a veřejného klíče s tímto veřejným klíčem a potvrzuje tak identitu osoby. Slovy zákona o elektronickém podpisu je certifikátem "datová zpráva, která je vydána poskytovatelem certifikačním služeb, spojuje data pro ověřování podpisů s podepisující osobou a umožňuje ověřit její totožnost". Tuto ověřenou identitu lze používat nejen při podepisování dokumentů, datových souborů, ale lze ji využít také např. při přístupu k důvěrným nebo placeným informacím.

Při vydávání certifikátu certifikační autorita po ověření totožnosti žadatele podepíše svým soukromým klíčem žadatelův veřejný klíč a údaje o jeho držiteli a tímto podpisem stvrdí, že držitelem veřejného klíče je osoba uvedená v certifikátu. V řetězci důvěry je tak nutno důvěřovat certifikační autoritě a jejímu veřejnému klíči (stejně tak jako u listinných dokumentů notáři). Certifikáty většinou obsahují jméno držitele veřejného klíče/podepisující osoby, jméno CA, která vydala certifikát podepsaný jejím soukromým klíčem, dobu platnosti certifikátu, unikátní pořadové číslo a další údaje. Většina existujících certifikačních autorit v České republice však při vydávání svých certifikátů již dodržuje obsahové požadavky na kvalifikované certifikáty (5), upravené zákonem o elektronickém podpisu jako určitý vyšší a bezpečnější typ certifikátu.

Jak získat certifikát

Existuje možnost stáhnout si certifikát z www stránek aniž by naše totožnost byla důvěryhodně doložena či možnost získat certifikát dodávaný softwarovým společnostmi s programovým vybavením. Takové certifikáty nejsou příliš průkazné a použití elektronického podpisu provázaného s těmito certifikáty pro závazné právní úkony nelze doporučit. V případném sporu by se povinná osoba dostala zřejmě do důkazní nouze.

Následující řádky se budou týkat postupu pro získání kvalifikovaného certifikátu dle Zákona. Ve většině případů je vhodná osobní návštěva certifikační autority, resp. její složky - registrační autority, která je autorizovaná ke sběru a ověřování informací o totožnosti žadatelů o certifikát a ke zpracování žádostí o certifikát. Na základě ověřených informací a dále prověření, že žadatel má data pro ověření elektronického podpisu odpovídající datům pro vytváření elektronického podpisu vydá certifikačních autorita žadateli požadovaný typ certifikátu. Před vydáním certifikátu je však certifikační autorita povinna žadatele o certifikát písemně, a to i v elektronické podobě, informovat o přesných podmínkách pro užívání certifikátu a o případných omezení jeho použití, a dále o podmínkách reklamací. Pak je nutno uzavřít mezi certifikační autoritou a klientem písemnou smlouvu o užívání certifikátu. Tato smlouva, která musí být uzavřena v listinné podobě (nelze ji uzavřít v elektronické podobě), by měla upravovat otázky práv, povinností a odpovědnosti smluvních stran i případné sankce, tzn. měla by upravovat podmínky pro vydání a užívání certifikátu, včetně postupu při zneplatnění certifikátu, otázky ochrany osobních údajů, ochrany spotřebitele, výši poplatku za vydání certifikátu apod. Celý postup je možno realizovat také korespondenčně, zčásti elektronicky a zčásti poštou (zaslání notářsky ověřených kopií dokladů k ověření totožnosti certifikační autoritou a zaslání podepsané smlouvy o vydání a užívání certifikátu).

Povinnosti certifikační autority a její odpovědnost (6)

Veřejnoprávní

Veřejnoprávní povinnosti a odpovědnost certifikační autority se vztahují vůči státu. Jde většinou o odpovědnost administrativně správní - za přestupky a jiné správní delikty související s podnikatelskou činností. Sankcemi zde jsou ukládání pokut, popř. odebrání oprávnění. V určitých případech by mohlo dojít i k trestněprávní odpovědnosti statutárních orgánů subjektu provozujícího certifikační autoritu.

Jako certifikační autorita mohou působit výlučně soukromoprávní podnikatelské subjekty. Ač se bude jednat především o právnické osoby, právní předpisy nevylučují, aby si certifikační autoritu zřídil i podnikatel fyzická osoba. Vzhledem k nákladům spojeným s vybudováním certifikační autority to však v praxi bude spíše teoretická možnost.

Aby nedošlo k neoprávněnému podnikání, je subjekt provozující certifikační autoritu povinen získat živnostenský list (7) na "služby v oblasti administrativní správy", jehož obsahovou náplní je mimo jiné poskytování certifikačních služeb v oblasti elektronického podpisu, plnění funkce důvěryhodné třetí strany, vydávání certifikátů a provozování seznamu zneplatněných certifikátů (CRL). Jako zajímavost je možno uvést, že uvedená živnost zahrnuje i sekretářské služby, archivní služby, poskytování úvěrů a půjček nebankovními subjekty, odkup pohledávek, tedy značně různorodé činnosti spolu nesouvisející.

Vzhledem k tomu, že subjekt provozující certifikační autoritu bude většinou zpracovávat osobní údaje, a to zřejmě nejenom na základě zákona, lze doporučit oznámení této skutečnosti úřadu pro ochranu osobních údajů (dále jen Úřad).

Další veřejnoprávní povinnosti jsou pak spojeny s vydáváním kvalifikovaných certifikátů dle Zákona, kdy mimo jiné je nutno ohlásit Úřadu nejméně 30 dnů před vydáním prvního kvalifikovaného certifikátu tento záměr. Akreditovaná certifikační autorita se nesmí za takovouto vydávat až do okamžiku akreditace úřadem a při ukončení činnosti musí tento záměr oznámit Úřadu nejméně tři měsíce před plánovaným datem ukončení činnosti a musí vynaložit veškeré možné úsilí na to, aby platné kvalifikované certifikáty byly převzaty jinou akreditovanou certifikační autoritou. Pokud toto nelze zajistit, předá evidenci kvalifikovaných certifikátů Úřadu a informuje o tom dotčené osoby.

S porušením výše uvedených povinností jsou spojeny nepříjemné sankce většinou finanční povahy. Porušení živnostenského zákona (viz neoprávněné podnikání) může být pokutováno částkou až do výše 500 tisíc Kč, porušení zákona na ochranu osobních údajů (viz zpracování osobních údajů) částkou až do výše 10 miliónů Kč, při opakovaném porušení až do výše 20 miliónů Kč, porušení zákona o elektronickém podpisu může vést k uložení pokut až do výše 10 miliónů Kč, při opakovaném do výše 20 miliónů Kč, případně k odnětí akreditace.

Soukromoprávní

Soukromoprávní povinnosti a odpovědnost certifikační autority se projevuje vůči jiným soukromým subjektům, tzn. klientům, případně třetím osobám spoléhajícím se na certifikát. Povinnosti, které musí certifikační autorita dodržovat, jsou jednak speciální související se specifickou povahou její činnosti, a jsou upravené Zákonem, a dále obecné, upravené jinými právními předpisy týkajícími se všech podnikatelů (těmito obecnými povinnostmi se zde nebudu zabývat). Dle Zákona je certifikační autorita zejména povinna náležitě prověřit všechny údaje, které jsou obsahem kvalifikovaného certifikátu, i informace týkající se zneplatnění certifikátu a prověřit, zda odpovídají data pro vytvoření a ověření podpisu. Z prováděcí vyhlášky k Zákonu specifikující mimo jiné náležitosti dokumentační základny, kterou musí certifikační autorita přijmout, vyplývají další rozsáhlé povinnosti certifikační autority.

Následkem porušení právní povinnosti, ať už speciální či obecné, může být povinnost nahradit způsobenou škodu, která musí být prokázána poškozeným, bezplatně odstranit vady případně zaplatit smluvní pokutu. Trestněprávní odpovědnost ani v těchto případech není vyloučena.

Certifikační autorita je zásadně odpovědná za zavinění, jedná se o odpovědnost subjektivní a této odpovědnosti se lze zprostit, pokud se podaří certifikační autoritě prokázat, že škodu nezavinila (na rozdíl od odpovědnosti objektivní, kdy se odpovídá za objektivně způsobený následek). Důkazní břemeno při takovém prokazování leží na certifikační autoritě. Toto prokazování za účelem zproštění se odpovědnosti může být obtížné zejména u nevědomé nedbalosti, tedy tehdy, kdy osoba (např. zaměstnanec) nevěděla, že svým jednáním může způsobit škodlivý následek, ale vzhledem ke svým osobním poměrům to vědět mohla a měla (např. přístroj se přehřívá, osoba odpovědná za obsluhu přístroje ho má vypnout).

Povinnosti podepisující se osoby a její odpovědnost

Držiteli soukromého klíče vznikají z tohoto titulu pouze soukromoprávní povinnosti, případně odpovědnost. Jeho povinností je podávat přesné, pravdivé a úplné informace certifikační autoritě ve vztahu ke kvalifikovanému certifikátu a dodržovat případná omezení v kvalifikovaném certifikátu uvedená. Pomineme-li však tuto dosti zřejmou povinnost, je jeho hlavní povinností zacházet se soukromým klíčem, tzn. s prostředky a daty pro vytváření elektronického podpisu tak, aby nemohlo dojít k jejich neoprávněnému použití. V případě odcizení či podezření na odcizení soukromého klíče je držitel certifikátu povinen neprodleně uvědomit certifikační autoritu a požádat ji o zneplatnění certifikátu. Zde je nutno upozornit na to, že Zákon jednoznačně neupravuje okamžik, kdy dochází k přechodu odpovědnosti za škodu způsobenou zneužitím soukromého klíče. Pouze přijetí novely Zákona či v určité míře soudní rozhodnutí může vyjasnit rozhodný okamžik, kdy v procesu zneplatnění certifikátu odpovídá za škodu certifikační autorita, držitel certifikátu a tudíž soukromého klíče či strana spoléhající se na certifikát.

I v případě podepisující se osoby jde o odpovědnost za zavinění.

Povinnosti osoby spoléhající se na certifikát

Tato osoba má v zásadě jedinou povinnost, a to ověřit si, zda kvalifikovaný certifikát podepisující se osoby je platný (nevypršela lhůta platnosti na něm uvedená), a zda nebyl zneplatněn (před ukončením lhůty platnosti). Toto lze ověřit v seznamu zneplatněných certifikátů (CRL) vydávaném pravidelně certifikační autoritou a neustále dostupném. Jak jsem však již uvedla výše, vzhledem k nešťastné právní úpravě lze jen doporučit, aby osoba, která se na certifikát spoléhá provedla ověření toho, že nebyl zneplatněn nejen v okamžiku přijetí dokumentu s elektronickým podpisem a certifikátem, ale i v následné aktualizaci seznamu zneplatněných certifikátů.

Další služby certifikační autority

Činnost certifikační autority nespočívá jen ve vydávání certifikátů, jejich evidenci, obhospodařování a zneplatňování, tak jak nařizuje Zákon. Dalšími službami, přestože Zákonem neupravenými, které může certifikační autorita poskytovat jsou:

Časové razítko

- časová razítka nebo časové značky ověřují, ke kterému okamžiku elektronicky podepsaný dokument existoval. Toto ověření je nesmírně důležité nejen z hlediska určení takového okamžiku, ale i z hlediska ověření, že dokument byl podepsán v době platnosti certifikátu. Tento druhý aspekt nabývá na významu zejména pokud se taková skutečnost ověřuje po mnoha letech. Časová razítka by měla být i součástí certifikátů a údajů o jejich zneplatnění.

Doručenky

- potvrzení přijetí dokumentu příjemcem. Tato služba je obdobou nám známého dopisu s doručenkou či potvrzení z podatelny úřadu o učiněném podání. Díky tomu, že certifikační autorita je nezávislý subjekt, může být doručenka cenným dokladem pro obě strany smluvního vztahu a v kombinaci s časovým razítkem vytvořit dokonalý důkazní materiál ověřující čas podepsání a čas doručení daného dokumentu.

Archivační služby

Cílem této služby, jejíž poskytování by opět mělo být zajištěno důvěryhodnou stranou s přesně vymezeným a do značné míry veřejností kontrolovatelným způsobem fungování by bylo zajistit bezpečnou archivaci dokumentů při níž se klienti i třetí strany budou moci spolehnout na to, že archivované dokumenty bude možno kdykoliv vyhledat a stvrdit jejich atributy způsobem přijímaným jak soukromými subjekty, tak úřady státní správy a soudy. Z tohoto důvodu by nemělo jít jen o prostou archivaci dokumentů, ale o převzetí elektronických dokumentů k archivaci při němž by došlo k ověření pravosti elektronického podpisu klienta, neporušenosti dat a připojení podpisu archivační autority s časovým razítkem. Klient by následně, a to i po velmi dlouhé době, mohl požádat archivační autoritu o vystavení potvrzení o pravosti a neporušenosti dokumentu, platnosti podpisu či údaje k jakému okamžiku dokument existoval. Dále by archivační autorita mohla vytvořit duplikát dokumentu v elektronické či listinné podobě.

Veškeré výše uvedené služby mohou certifikační autority po technické stránce zajistit již nyní. Rozhodující pro jejich rozšíření do praxe však bude jednak vývoj v legislativní oblasti (na Slovensku je např. časové razítko dle zákona o elektronickém podpisu vyžadováno a certifikační autority tuto službu budou povinny poskytovat a klienti na druhé straně využívat) a jednak zájem klientů o tyto služby. Ten bude podmíněn nejen tím, že o existenci takových služeb a jejich přínosech se budou muset dozvědět, ale i cenou těchto služeb.

Koncové poznámky:

1. Ve své praxi jsem se častokrát setkala s tím, že společnost začala zavádět např. systém elektronické fakturace, kdy odpovědní pracovníci z IT oddělení případně od vnějšího dodavatele implementovali dobře fungující technologii aniž by zvažovali, zda zavedení takové aplikace s sebou nepřinese negativní právní resp. daňové dopady např. v podobě neuznatelnosti vydaných/přijatých faktur finančním úřadem s dopady jak na daň z příjmů, tak na daň z přidané hodnoty. (zpátky)

2. Jde o novely zákona o správě daní a poplatků, občanského soudního řádu, správního řádu, trestního řádu a dalších. (zpátky)

3. Zaručený elektronický podpis musí dle zákona o elektronickém podpisu splňovat tyto požadavky: a) je jednoznačně spojen s podepisující osobou, b) umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, c) byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, d) je k datové zprávě, k níž se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat.(zpátky)

4. Bezpečnost certifikační autority je široký pojem a zahrnuje mimo jiné zpracování a přijetí dokumentační základny obsahující certifikační politiku, certifikační prováděcí směrnici, celkovou bezpečnostní politiku, systémovou bezpečnostní politiku, plán pro zvládání krizových situací a plán obnovy, odhad dostatečnosti finančních zdrojů a doklady o tom, že disponuje těmito finančními zdroji.(zpátky)

5. Kvalifikovaný certifikát musí podle ZoEP obsahovat: a) označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, b) obchodní jméno PCS a jeho sídlo, jakož i údaj, že certifikát byl vydán v České Republice, c)jméno a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym, d) zvláštní znaky osoby, vyžaduje-li to účel kvalifikovaného certifikátu, e) data pro ověření podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby, f) zaručený elektronický podpis PCS, který kvalifikovaný certifikát vydává, g) číslo kvalifikovaného certifikátu unikátní u daného PCS, h) počátek a konec platnosti kvalifikovaného certifikátu, i) případné údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití, j) případné omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít.(zpátky)

6. Odpovědnost je jakousi sekundární povinností vzniklou na základě porušení primární povinnosti, která má zásadně sankční povahu.(zpátky)

7. Tato povinnost vyplývá z nařízení vlády č. 140/2000 Sb., které stanoví seznam oborů živností volných, a dále nařízení vlády č. 469/2000 Sb., kterým se stanoví obsahové náplně jednotlivých živností. (zpátky)