Elektronický podpis v českém právu

Důvody vedoucí k právní úpravě elektronického podpisu

S rozvojem elektronického obchodování (e-commerce) a prorůstáním elektronické komunikace do sfér lidského života, u nichž bychom si to před pár lety nedokázali představit, dochází ke stále širšímu používání datových zpráv (např. elektronických dokumentů majících podobu smluv, objednávek, podání na úřady) vytvářených, předávaných, přijímaných a uchovávaných v elektronické podobě. Elektronické transakce přinášejí nová rizika, např. snadnější možnost neoprávněného přístupu k důvěrným informacím, neoprávněnou změnu údajů, odmítnutí odpovědnosti apod. Pro obchod, a nejen pro něj, je přitom zásadní mít k dispozici doklady, které jsou dostatečně průkazné pro zúčastněné strany, aby obstály v případném sporu. Jedním z technologických řešení, které činí elektronické obchodování výrazně bezpečnějším, je používání elektronického podpisu. Pro vytvoření určité právní jistoty v této oblasti je také nutno často zásadně upravit až do nedávné minulosti "elektronicky nepřátelský" právní rámec. (1) To lze učinit jednak cestou zavedení nové speciální právní úpravy, definující mimo jiné co je elektronický podpis, jaké jsou jeho druhy a v jakých právních vztazích je lze používat, kdo nese odpovědnost za jeho použití, jaká je jeho důkazní hodnota apod., jednak novelizací stávajících hmotněprávních i procesněprávních norem, kde tam, kde je to možné, by měla možnost elektronického podpisu být výslovně připuštěna, případně nepředepisována forma podpisu, čímž by bylo možné elektronický podpis pro daný právní úkon použít.

Zákon o elektronickém podpisu, zdroje, z nichž vychází a principy na nichž je postaven:

Zákon o elektronickém podpisu a o změně některých dalších zákonů č. 227/2000 Sb. (Zákon) byl přijat v červenci 2000 a nabyl účinnosti 1. října 2000. Zpracovatelé zákona zareagovali na novou a v této oblasti zásadní směrnici EU č. 1999/93EC o zásadách společenství pro elektronické podpisy, která byla přijata 13. prosince 1999. Přijatý Zákon tak z velké míry vychází z uvedené směrnice EU. Oproti směrnici, která je poměrně liberální a to i ve vztahu k poskytovatelům certifikačních služeb, aby umožnila pokrýt co nejširší okruh služeb souvisejících s elektronickým podpisem, Zákon někdy až příliš direktivně upravuje povinnosti určitých poskytovatelů certifikačních služeb a znesnadňuje tak poskytování plného rozsahu těchto služeb.

Cílem Zákona bylo vytvořit legislativní rámec pro používání elektronického podpisu vycházející z předpokladu, že elektronický podpis nesmí být právně diskriminován proto, že je učiněn v elektronické formě. Zákon pak vychází z níže uvedených principů . (2)

Určení odpovědnosti - Zákon upravuje základní rozsah odpovědnosti poskytovatelů certifikačních služeb (dále jen PCS), podepisující osoby (vlastníka certifikátu) a příjemce elektronicky podepsaného dokumentu. Přesné vymezení odpovědnosti jednotlivých subjektů by mělo posílit důvěru v elektronický podpis, a to následně vést k jeho širokému užívání.

Technologicky neutrální rámec - s ohledem na rychlost vývoje technologií zákon používá termín elektronický podpis, který může být v podstatě realizován jakoukoliv technologií. V současnosti jde o technologii digitálního podpisu založeného na asymetrické kryptografii. Předpokládá se, že v budoucnosti bude elektronický podpis fungovat např. na základě biometrických či jiných metod.

Rozsah působnosti právního předpisu - Zákon předpokládá dostupnost certifikátů veřejnosti, která tak může identifikovat podepisující osobu. Elektronický podpis bude možno využít (po přijetí příslušných souvisejících předpisů) nejenom v soukromoprávní sféře ale i ve veřejnoprávní sféře.

Mezinárodní aspekt - Zákon upravuje způsoby a podmínky, za nichž dochází k vzájemnému mezinárodnímu uznávání certifikátů, a to buď na základě rozhodnutí Úřadu pro ochranu osobních údajů (dále jen Úřad), nebo na základě dvoustranných či mnohostranných mezinárodních smluv.

Dodržením těchto principů v naší úpravě lze očekávat bezproblémové vzájemné mezinárodní uznávání certifikátů a elektronických podpisů, což má velký význam pro rozvoj mezinárodního obchodu.

Definice a vysvětlení používaných pojmů

Zákon definuje pojmy v oblasti elektronického podpisu již "zvykově" používané. Dále zcela nově upravuje a definuje pojmy - bohužel ne zcela konformně se zažitou praxí - které mají zvýšit důvěryhodnost elektronického podepisování dokumentů jak v soukromoprávní, tak veřejnoprávní sféře. Jde o pojmy "zaručený elektronický podpis", "kvalifikovaný certifikát", "PCS vydávající kvalifikované certifikáty", "akreditovaný PCS".

Elektronický podpis

Zákon rozlišuje dva typy elektronického podpisu, odlišujícího se požadavky, které musí splňovat. S tím souvisí i jejich právní váha. První typ elektronického podpisu, "obyčejný" elektronický podpis, je definován jako "údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě". (3) Umožnění ověření totožnosti, tzn. autentizace subjektu, neznamená, že totožnost byla elektronickým podpisem ověřena, ale pouze to, že je možno tuto totožnost ověřit, aniž by byl výsledek tohoto ověření zaručen.

Přestože tento podpis neposkytuje dostatečné záruky, nelze mu automaticky upřít právní důsledky. Uplatnění takového podpisu jako důkazního prostředku v případném sporu může být problematické, ale vzhledem k široké definici možných důkazních prostředků a zásady volného hodnocení důkazů v procesních předpisech nebude vyloučené.

Obyčejným elektronickým podpisem může být naskenovaný podpis elektronicky připojený k dokumentu, otisk prstu převedený do elektronické podoby připojený k dokumentu apod.

Zaručený elektronický podpis musí splňovat následující požadavky: (4)

	"je jednoznačně spojen s podepisující osobou". Toto jednoznačné spojení je v současnosti provedeno nejčastěji prostřednictvím certifikátu nebo kvalifikovaného certifikátu (viz níže). Podepisující osoba tak nebude moci popřít (nepopiratelnost), že je držitelem soukromého klíče, kterým byl daný dokument podepsán. Z toho pak vyplývá vyvratitelná právní domněnka, že osoba daný dokument podepsala a odeslala.
	"umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě". Důvěryhodnost zjištěné identifikace, tedy toho, že osoba je skutečně osobou za kterou se vydává, a nikoliv někým jiným, bude do značné míry závislá na tom, zda připojený certifikát je certifikátem obyčejným, nebo certifikátem kvalifikovaným. Obyčejný certifikát může být získaný např. z internetu anonymním žadatelem a nezaručuje náležité ověření identity držitele veřejného klíče. Naopak při vydávání kvalifikovaného certifikátu je PCS ze Zákona povinen bezpečně ověřit totožnost osoby (autentizace), které se kvalifikovaný certifikát vydává. S tím souvisí i určení subjektu odpovídajícího za případné škody způsobené nedostatečným ověřením totožnosti při vydání certifikátu.
	"byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou". Za bezpečnost svých podepisovacích dat plně odpovídá podepisující osoba. Proto je vhodné uschovávat tato data na disketě či čipové kartě a pokud na počítači, tak v zašifrované podobě, aby je při případném průniku do počítače nebylo možno získat.
	"je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat". Jedná se zde o integritu zprávy, kdy jakákoliv její modifikace bude rozpoznána. V případě, že by došlo ke změně zprávy, bude příjemce zprávy informován o tom, že došlo ke změně zprávy, nikoli však o tom, co bylo změněno, případně jaká byla původní podoba zprávy.

Z výše uvedeného lze učinit závěr, že zaručeným elektronickým podpisem je údaj v elektronické podobě, který spolehlivě identifikuje podepisující osobu, ověřuje její totožnost a ověřuje, zda podepsaná zpráva nebyla od okamžiku podepsání změněna.

Certifikáty

Zákon rozlišuje dva druhy vydávaných certifikátů. "Obyčejný" certifikát a kvalifikovaný certifikát. Certifikátem je "datová zpráva, která je vydána poskytovatelem certifikačním služeb, spojuje data pro ověřování podpisů s podepisující osobou a umožňuje ověřit její totožnost", tzn. spojuje veřejný klíč s podepsanou osobou a potvrzuje identitu této osoby. Tyto certifikáty jsou dnes již běžně vydávány existujícími certifikačními autoritami a na jejich základě jsou elektronicky podepisovány dokumenty.

Kvalifikovaným certifikátem je "certifikát, který má náležitosti stanovené tímto zákonem a byl vydán poskytovatelem certifikačních služeb, splňujícím podmínky stanovené tímto zákonem pro poskytovatele certifikačních služeb vydávajícím kvalifikované certifikáty". Jde tedy o certifikát splňující stanovené náležitosti (5), který byl vydán PCS vydávajícím kvalifikované certifikáty nebo akreditovaným PCS (viz dále).

Poskytovatelé certifikačních služeb

Zákon rozlišuje tři typy PCS. "Běžného" poskytovatele certifikačních služeb, poskytovatele certifikačních služeb vydávajícího kvalifikované certifikáty a akreditovaného poskytovatele certifikačních služeb.

Smyslem existence PCS je především působit jako důvěryhodná třetí strana, která ověřuje vztah mezi určitou osobou a veřejným klíčem, a vystaveným certifikátem pak zaručuje pravost veřejného klíče, jenž se používá při digitálním podepisování. Zákon definuje běžného PCS jako "subjekt, který vydává certifikáty, vede jejich evidenci, zneplatňuje je a poskytuje další služby spojené s elektronickými podpisy".

Současná právní úprava v zásadě předpokládá, že jako PCS budou působit výlučně soukromoprávní podnikatelské subjekty. Obecně platí, že poskytování certifikačních služeb není vázáno na předchozí souhlas či povolení ze strany státního orgánu. (6) Jak již bylo zmíněno, PCS existovaly a poskytovaly certifikační služby v České republice před přijetím Zákona a lze říci, že způsob jejich činnost se v zásadě nezměnil v souvislosti s jeho přijetím. Je však pravděpodobné, že s přijetím prováděcí Vyhlášky k Zákonu (nyní v návrhu - viz níže) začnou někteří PCS vydávat kvalifikované certifikáty, případně požádají o akreditaci. Tím se jejich postavení a požadavky na ně kladené výrazně změní.

Pokud se tedy PCS dobrovolně rozhodne vydávat kvalifikované certifikáty případně požádat o akreditaci Úřad, bude povinen splnit požadavky Zákona a související navrhované prováděcí Vyhlášky.

Poskytovatel certifikačních služeb vydávající kvalifikované certifikáty je povinen zajistit všechny náležitosti stanovené Zákonem a Vyhláškou (v návrhu) pro vydávání kvalifikovaných certifikátů, zejména musí zajistit požadavky na bezpečné podpisové prostředky. Dalším z požadavků je zpracování poměrně rozsáhlé, tzv. předpisové základny, která zahrnuje následující dokumenty: certifikační politiku, certifikační prováděcí směrnici, celkovou bezpečnostní politiku, systémovou bezpečnostní politiku, plán pro zvládání krizových situací a plán obnovy, havarijní plán a plán postupu po narušení bezpečnosti, popisy pracovních postupů pro pracovníky v důvěryhodných a jiných funkcích majících vliv na zajištění certifikačních služeb, případně další dokumenty.

Nejméně třicet dnů před vydáním prvního kvalifikovaného certifikátu musí tento PCS ohlásit Úřadu, že bude vydávat kvalifikované certifikáty. Vůči Úřadu má tedy pouze ohlašovací povinnost. Úřad by měl ve třicetidenní lhůtě prověřit, zda příslušné podmínky jsou splněny. Nečinnost Úřadu však nebrání tomuto PCS začít po třiceti dnech po ohlášení vydávat kvalifikované certifikáty. V průběhu činnosti PCS bude Úřad periodicky provádět audity PCS prověřující, zda všechny povinnosti jsou splněny. V případě, že PCS poruší povinnosti uložené Zákonem, může Úřad i opakovaně ukládat poměrně vysoké pokuty.

Kvalifikované certifikáty mohou být vydávány podepisujícím osobám jen na základě písemné smlouvy, která definuje práva a povinnosti jak podepisující osoby, tak PCS.

Posledním typem PCS je akreditovaný poskytovatel certifikačních služeb, jímž je subjekt, který má sídlo na území České republiky a který splnil v zásadě stejné podmínky jako PCS vydávající kvalifikované certifikáty. Vykonávat činnost jako akreditovaný PCS může začít poté, co mu byla akreditace Úřadem udělena. Splnění podmínek prověřuje dle Zákona Úřad před udělením akreditace.

Pouze na základě kvalifikovaných certifikátů vydaných akreditovaným PCS bude možno vytvářet zaručené elektronické podpisy, na jejichž základě bude možno komunikovat s orgány veřejné správy. Tím, že dle Zákona budou považovány pouze akreditovaní PCS za dostatečně důvěryhodné subjekty pro veřejnou správu, získají tito PCS exkluzivní postavení a to i přesto, že povinnosti kladené na akreditované PCS a na PCS vydávající kvalifikované certifikáty nejsou nijak zásadně odlišné.

Aplikace Zákona v praxi a související návrh prováděcí

Vyhlášky Zákon jako takový není zcela "svéprávný", tzn. k jeho úplnému uvedení v život a využití všech ustanovení v soukromoprávní a především veřejnoprávní sféře je třeba dalších legislativních kroků. Zákon sám předpokládá, že některé konkrétní oblasti týkající se zejména požadavků kladených na PCS a prostředků pro bezpečné vytváření a ověřování zaručených elektronických podpisů budou upraveny prováděcí Vyhláškou. Mezi problémové, zákonem nedořešené oblasti patří například vydávání kvalifikovaných certifikátů, úprava podpisových prostředků, úprava podmínek pro udělení akreditace, provádění auditů PCS. Vzhledem k absenci těchto předpisů a znění §11 Zákona (7) nelze v současnosti používat elektronický podpis při komunikaci občanů s orgány veřejné moci a při vzájemné komunikaci orgánů veřejné moci.

Návrh Vyhlášky, na němž intenzivně pracuje Úřad, detailně specifikuje požadavky kladené na PCS vydávajícího kvalifikované certifikáty a akreditovaného PCS a způsob, jakým se bude jejich splnění dokládat, a požadavky, které musí splňovat nástroje elektronického podpisu, a další, často detailní technické otázky.

Vyhlášku však není v tuto chvíli třeba jen dokončit, ale i vydat (publikovat) ve Sbírce zákonů, aby se mohla stát obecně závazným právním předpisem. To zatím není možné, protože Úřad není v tuto chvíli oprávněn Vyhlášku publikovat. Toto oprávnění získá až na základě novely zákona o ochraně osobních údajů, kterou právě projednává Senát. Dalším právním předpisem, který je nutno v souvislosti s elektronickým podpisem přijmout je nařízení vlády, které stanoví postupy při používání elektronického podpisu v oblasti orgánů veřejné moci a organizaci a technické zajištění při zavádění a používání elektronického podpisu v této oblasti (elektronické podatelny apod.). Lze očekávat, že k přijetí výše uvedených předpisů by mohlo dojít na sklonku léta a k následným akreditacím prvních PCS pak během podzimu. Pokud se vyplní uvedené předpoklady, bude možno podle Zákona elektronicky komunikovat s úřady veřejné správy začátkem příštího roku.

Použití elektronického podpisu v praxi

Jak již bylo zmíněno výše, Zákon vychází z předpokladu, že elektronickému podpisu nelze upřít právní důsledky, platnost a vykonatelnost jen proto, že je učiněn v elektronické podobě. Na druhé straně to ovšem neznamená, že s elektronickým podpisem jsou automaticky spojeny stejné právní účinky jako s vlastnoručním podpisem.

Otázkou zůstává, při jakých právních úkonech lze jakou formu elektronického podpisu použít tak, aby úkon byl považován za platný a právně vymahatelný, tedy aby v případě sporu podpis obstál jako důkazní prostředek. V soukromoprávní oblasti obecně platí princip smluvní volnosti stran a to se týká i určení, jaký typ podpisu budou smluvní strany na dokumentech uznávat (vlastnoruční, elektronický, zaručený elektronický apod.), pokud tento podpis určuje osobu, která právní úkon učinila. Dohodnutý typ podpisu bude pak považován za platný až do okamžiku, kdy takový podpis bude případně jednou smluvní stranou zpochybněn, a bude tak zpochybněna platnost daného právního úkonu a tím např. závazky z něj vyplývající. V tom okamžiku bude rozhodné, jak věrohodně bude možno ověřit pravost podpisu a unést důkazní břemeno ve vztahu k existenci závazku. Je zřejmé, že ověření pravosti obyčejného elektronického podpisu bude obtížnější než v případě zaručeného elektronického podpisu, např. dále založeného na kvalifikovaném certifikátu.

Jiná situace nastává v případech, kdy právní norma obsahuje speciální úpravu pro určité právní úkony a váže platnost právního úkonu na určitou jeho formu případně na určitou formu podpisu. Tam kde je upravena povinnost provést právní úkon formou notářského zápisu případně je požadován notářsky ověřený podpis není pro elektronický podpis místo. Dále existují oblasti, kdy čistě z právního pohledu lze zaručený elektronický podpis použít, nicméně to z praktických důvodů není vhodné. Ilustrujícím příkladem může být zřízení závěti formou, kdy závěť není sepsána vlastní rukou ale v elektronické podobě, k její platnosti se však vyžaduje vlastnoruční podpis a za splnění dalších podmínek i podpis dvou svědků. Lze učinit závěr, že závěť podepsaná zůstavitelem zaručeným elektronickým podpisem před dvěma svědky, kteří ji také podepíší svými zaručenými elektronickými podpisy by byla platná. Jednalo by se totiž o právní úkon učiněný elektronickými prostředky a elektronicky podepsaný podle Zákona. V praxi by však mohl vzniknout problém např. při ukládání takto sepsané a podepsané závěti do notářské úschovy případně jiné problémy související i s možným zpochybněním platnosti závěti notářem.

Další oblastí, kde může být elektronický podpis používán, je oblast komunikace občanů s orgány státní správy, případně vzájemná komunikace těchto orgánů. Použití elektronického podpisu v této oblasti výslovně upravuje Zákon, který stanoví, že "V oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb." Vzhledem k tomu, že zákon novelizuje občanský soudní řád, správní řád, zákon o správě daní a poplatků a trestní řád, v nichž zakotvuje alternativní možnost elektronického podání opatřeného zaručeným elektronickým podpisem, bude možno na základě Zákona, a - doufejme v blízké budoucnosti přijaté - prováděcí Vyhlášky a nařízení vlády, elektronicky komunikovat se státními úřady s použitím zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu vydaném akreditovaným PCS. Použití obyčejného elektronického podpisu, případně zaručeného elektronického podpisu nesplňujícího další požadavky uvedené výše, nebude při komunikaci s úřady státní správy možné.

Závěr

Není pochyb o tom, že používání elektronického podpisu by mělo ve větší či menší míře zjednodušit a urychlit práci téměř kohokoliv, včetně zefektivnění komunikace se státními úřady. Čím bezpečnější typ elektronického podpisu se bude užívat, tím větší bude důvěra v elektronickou komunikaci. Tato důvěra bude však záviset nejen na technologickém zajištění bezpečnosti používání elektronického podpisu, ale i na přesném vymezení práv, povinností a související odpovědnosti subjektů používajících elektronický podpis. V neposlední řadě úroveň rozšíření elektronických podpisů bude záviset i na připravenosti přijímat a vydávat elektronicky podepsané dokumenty i orgány veřejné správy.

Zákon je prvním zákonem svého druhu přijatým v České republice. Nebyl vytvořen na "zelené louce", při jeho přípravě se zpracovatelé zákona nechali inspirovat zkušenostmi z Evropské Unie. Nejedná se a ani se jednat nemůže o dokonalý zákon, poněvadž je to zákon stojící na začátku cesty, která směřuje k rozsáhlé a zřejmě detailní úpravě vztahů v této oblasti a bude se pravděpodobně dále vyvíjet v návaznosti na právní úpravy elektronického obchodování, či přímo v jejich rámci. Je přirozené, že bude významně ovlivňována i dalším legislativním vývojem ve světě, zejména pak v Evropské unii.

Koncové poznámky:

1. Typickými příklady byly a do určité míry stále jsou právní požadavky na listinnou podobu právních dokumentů a vlastnoruční podpis, archivační pravidla požadující archivaci listin apod. (zpátky)

2. Zákon vychází ze stejných principů jako výše uvedená směrnice EU.(zpátky)

3. Text napsaný italikou je vždy citací Zákona.(zpátky)

4. V současnosti se používá technologie digitálního podpisu založeného na asymetrické kryptografii. Dále se předpokládá existence PCS ověřující svým certifikátem vztah mezi fyzickou osobou a veřejným klíčem.(zpátky)

5. Kvalifikovaný certifikát musí podle § 12 Zákona obsahovat: a) označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, b) obchodní jméno PCS a jeho sídlo, jakož i údaj, že certifikát byl vydán v České Republice, c)jméno a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym, d) zvláštní znaky osoby, vyžaduje-li to účel kvalifikovaného certifikátu, e) data pro ověření podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby, f) zaručený elektronický podpis PCS, který kvalifikovaný certifikát vydává, g) číslo kvalifikovaného certifikátu unikátní u daného PCS, h) počátek a konec platnosti kvalifikovaného certifikátu, i) případné údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití, j) případné omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít. (zpátky)

6. Právnická osoba je pouze povinna získat příslušné oprávnění k podnikání, tzn. živnostenský list. Poskytování služeb certifikační autority spadá do živností volných, ohlašovacích. (zpátky)

7. § 11 zákona č. 227/2000 Sb. o elektronickém podpisu stanoví: "V oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb." (zpátky)