1.8
Elektronický podpis, elektronická pečeť a časové razítko
Mgr. Mgr. Radana Burešová
V podnikatelské praxi se stále více prosazuje elektronická komunikace. Řada zásadních otázek se řeší prostřednictvím e-mailu nebo on-line formulářů, jejichž prostřednictvím dochází i k uzavírání smluv, a to nejen v e-shopech. K identifikaci účastníků takové komunikace zpravidla dochází prostým uvedením jména a příjmení jednající osoby.
V některých případech však zúčastnění takovouto identifikaci nepovažují za dostatečně důvěryhodnou k tomu, aby bylo spolehlivě ověřeno, kdo s nimi on-line jedná. Pro takové případy se nabízí možnost využití tak zvaného elektronického podpisu, elektronické pečeti, případně i "časového razítka". Takovéto "podpisy" lze využívat nejen ke komunikaci s orgány veřejné moci, ale i mezi soukromoprávními subjekty v obchodních transakcích.
Elektronický podpis byl do českého právního řádu zaveden zákonem č. 227/2000 Sb., o elektronickém podpisu, který prováděl směrnici Evropského parlamentu a Rady 99/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy. Tato směrnice byla nahrazena nařízením Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále též jen "eIDAS").
eIDAS má jakožto nařízení přímý účinek, některé otázky však ponechalo na úpravě členských států. V České republice tyto otázky řeší zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, a zákon č. 250/2017 Sb., o elektronické identifikaci. Až do 19. září 2018 však bylo na základě přechodných ustanovení zákona č. 297/2016 Sb. možno používat zaručené elektronické podpisy založené na kvalifikovaných certifikátech pro elektronický podpis a elektronické značky podle staré právní úpravy.
NahoruZákladní pojmy
Elektronický podpis je podle eIDAS představován daty v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání. Elektronické podpisy používají fyzické osoby a mohou jimi podepsat i dokumenty vytvořené jinými osobami (např. smlouvu). Právnickým osobám, tj. orgánům veřejné moci i soukromoprávním subjektům, např. obchodním společnostem jsou určeny elektronické pečetě; elektronickou pečeť s ohledem na její účel uvedený níže nelze připojit k dokumentu, který vytvořila jiná osoba.
NahoruElektronický podpis
eIDAS elektronickou pečeť definuje jako data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu; má tedy identifikovat osobu, o jejíž projev vůle se jedná (původ) a potvrdit neporušenost (integritu) podepsaného dokumentu. Bod 65 odůvodnění eIDAS uvádí, že vedle ověření pravosti dokumentu vydaného právnickou osobou lze elektronické pečetě použít k autentizaci jakéhokoli digitálního předmětu dotyčné právnické osoby, například softwarového kódu nebo serverů.
V dalším textu bude pro zjednodušení pro elektronickou pečeť i elektronický podpis používáno označení "elektronický podpis".
eIDAS zná tři stupně důvěryhodnosti elektronického podpisu. Nejméně důvěryhodný je prostý "elektronický podpis" (obvykle uvedení jména a příjmení pod textem, naskenovaný vlastnoruční podpis nebo tzv. biometrický podpis učiněný dotykovým perem na speciálním tabletu).
Důvěryhodnější je "zaručený elektronický podpis", který musí splňovat požadavky stanovené článkem 26 eIDAS: Musí být jednoznačně spojen s podepisující osobou a umožnit identifikaci podepisující osoby, je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou, a je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.
Nejdůvěryhodnější je "kvalifikovaný elektronický podpis", který má rovněž nejširší použití (viz níže). Jedná se o zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy.
Rovněž v případě elektronických pečetí eIDAS analogicky rozlišuje elektronickou pečeť, zaručenou elektronickou pečeť a kvalifikovanou elektronickou pečeť.
Kvalifikovaným prostředkem pro vytváření elektronických podpisů je prostředek pro vytváření elektronických podpisů, který splňuje požadavky stanovené v příloze II eIDAS. Slouží k ukládání příslušných certifikátů a generování tzv. klíčů při elektronickém podepisování a jsou chráněny různými bezpečnostními prvky, např. PINy.
V praxi se jedná o USB tokeny nebo čipové karty, které splňují příslušné požadavky a které za úplatu vydávají tzv. kvalifikovaní poskytovatelé služeb vytvářejících důvěru, jejichž seznam lze nalézt na internetových stránkách ministerstva vnitra .
Kvalifikovaným prostředkem pro vytváření elektronických podpisů je i občanský průkaz s čipem vydaný po 1. červenci 2018. Je však vhodné ověřit u vybraného kvalifikovaného poskytovatele, zda umožňuje jeho využití pro účely elektronického podpisu.
Čipové karty včetně občanského průkazu lze používat pouze v případě, že je zařízení, na němž mají být elektronické podpisy generovány (stolní počítač, notebook, chytrý telefon), vybaveno příslušnou čtečkou čipových karet (vestavěnou, nebo externí, dodatečně zakoupenou).
Ve spojení s kvalifikovanými certifikáty lze pomocí kvalifikovaných prostředků vytvářet kvalifikované elektronické podpisy.
NahoruKvalifikované certifikáty
Kvalifikované certifikáty rovněž vydávají kvalifikovaní poskytovatelé služeb vytvářejících důvěru, a to na základě elektronicky vygenerované žádosti. Přesné pokyny jak postupovat, uvádějí jednotliví kvalifikovaní poskytovatelé na svých internetových stránkách.
Kvalifikované certifikáty je pak třeba (v elektronické podobě) osobně vyzvednout u příslušného poskytovatele a předložit při tom požadované dokumenty; vyzvednutí na základě plné moci není možné.
Kvalifikované certifikáty jsou uloženy buď na kvalifikovaném prostředku pro vytváření elektronických podpisů, nebo je třeba nainstalovat je přímo do počítače – v takovém případě však neumožňují vytváření kvalifikovaného podpisu, jelikož není splněn požadavek vytvoření podpisu kvalifikovaným prostředkem; lze jimi vytvářet "pouze" tzv. zaručené elektronické podpisy založené na kvalifikovaném certifikátu pro elektronický podpis, viz níže.
Kvalifikované prostředky pro vytváření elektronických podpisů mají vyšší stupeň zabezpečení, jelikož z nich nelze exportovat soukromý klíč, což jiná zařízení (počítače) umožňují, takže jejich bezpečnost je nižší. Právě proto jsou kvalifikované elektronické podpisy považovány za důvěryhodnější. Na druhou stranu uložení certifikátu do počítače umožňuje jeho export a vytvoření zálohy, popř. jeho uložení do dalších zařízení, na nichž je pak také možno elektronicky podepisovat (nikoli kvalifikovaně), aniž by bylo třeba připojovat externí zařízení (USB token nebo čtečku čipových karet).
České právo v § 6 zákona č. 297/2016 Sb., zavedlo další druh elektronického podpisu, a sice uznávaný…