2.3 PRÁVNÍ ÚPRAVA ELEKTRONICKÉHO PODPISU

BEZPEČNÁ POČÍTAČOVÁ SÍŤ

část 3, díl 2, kap. 3.1, str. 1 díl 2, Legislativa

3/2.3 PRÁVNÍ ÚPRAVA ELEKTRONICKÉHO PODPISU 3/2.3.1 ÚVOD A HISTORIE ELEKTRONICKÉHO PODPISU1 Je zcela zřejmé, že v současné době dochází k patrně nejrozsáhlejšímu rozkvětu informačních technologií v historii naší společnosti. Užívání mobilních telefonů, počítačů a internetu a řady dalších elektronických prvků se stalo během několika posledních let běžnou součástí našeho života. Tyto prvky navíc stále více zasahují prakticky do všech odvětví lidské činnosti, společenské vztahy vznikající při obchodu, v každodenním životě i námezdní práci a vztahy s tím související

1

Úvod

Obsah této kapitoly byl již publikován v řadě periodických publikací, a to se zaměřením na konkrétní oblast právních vztahů, zejména pak následujících: Matejka, J., Úprava elektronického podpisu v právním řádu ČR, Právník, 5/2001, s. 582 - 611; Matejka, J., K využití elektronického podpisu v pracovněprávních vztazích, Právo a zaměstnání, 5/2001, s. 5 - 11; Matejka, J., Vybrané právní překážky elektronického obchodu, Parlamentní zpravodaj, 3/2002, s. 12 - 13; Matejka, J., Chum, V., Obecnost neznamená nejednoznačnost, aneb ještě malá poznámka k některým nedostatkům zákona o elektronickém podpisu před jeho novelizací, Bulletin advokacie 1/2003, s. 73 - 79

srpen 2008

část 3, díl 2, kap. 3.1, str. 2


díl 2, Legislativa

nevyjímaje. Za jednu takovou „novinku“ je třeba považovat i nově se rozmáhající užívání elektronických podpisů namísto již tradičních (mechanicky učiněných či vlastnoručních) podpisů. Stávající právní úprava umožňuje, a to bez ohledu na nepříliš velkou čestnost, užívat elektronické podpisy v celé řadě právních vztahů, a to napříč právem veřejným (typicky správním), tak i soukromým (pracovním, občanským, apod.). Je třeba říci, že Česká republika patřila k jedné z prvních zemí na světě2, která formou zvláštního zákona přijala právní úpravu elektronického podepisování, je však otázkou, zda toto prvenství lze vůbec v podmínkách právního prostředí ČR považovat za prospěšné. Není jistě jen zajímavou náhodou, že zákon o elektronickém podpisu byl, resp. bude od konce roku 2000 (kdy nabyl účinnosti) změněn přesně tolikrát, kolik let existoval (nemluvě o změnách a derogacích dalších souvisejících předpisů). Zákon o elektronickém podpisu bohužel již od svého vzniku reprezentoval spíše tu skupinu právních předpisů, která byla přijímaná s heslem „Podstatné není, jak kvalitní je přijatý právní předpis, ale v jak krátké době a s kolika posbíranými politickými body je přijímán“. Zákonodárce si totiž není vždy vědom toho, že právní norma je dále studována, vykládána a ve svém důsledku pak zejména aplikována v každodenní praxi (ať již úřední, soudní, advokátní či jiné).3 Nejinak tomu bylo i případě zákona o elektronickém podpisu. 2

V tomto ohledu dokonce cca o jeden měsíc v některých aspektech předběhla i USA. 3 V zásadě jakýkoliv, byť sebemenší formulační nedostatek právní normy pak má za následek, že se jím tato praxe zatěžuje, vyvolává četné spory o výklad, zbytečné polemiky a porady o skutečném obsahu právního předpisu či jeho jednotlivých právních norem.

srpen 2008



Právě těmito novými problémy souvisejícími s elektronickým podepisováním se bude zabývat i následující část této publikace, která se zaměří zejména na problematiku elektronického podpisu jako nástroje pro bezpečnou komunikaci uvnitř počítačových sítí. Historicky vzato, lze za samotné počátky či základy podepisování, resp. přesněji identifikace účastníků považovat existenci erbů, která ačkoliv nenabízela účastníkům závaznost při právních úkonech, erby pomáhaly k identifikaci účastníka při „běžných“ úkonech4. Postupně, zvláště během 15. století, se erb stal podkladem pro vyobrazení na pečetích. Pečetě čerpaly z heraldiky natolik, že mezi nimi běžný člověk těžko rozlišoval5. Již ve starém Rakousku bylo rovněž alternativou podpisu u osob nemohoucích se podepsat tzv. znamení ruky. Jednalo se o jeden či tři křížky nebo otisk palce (což bylo hodnoceno jako bezpečnější než podpis6) za účasti svědků či notáře.

Historie elektronického podpisu

Za velmi zajímavou podobnost s elektronickým podepisováním, stejně jako s historicky zajímavým erbem či pečetí, lze považovat japonské vyjádření podpisu. Japonský podpis totiž není ve skutečnosti napsán rukou, ale projeven pomocí mechanických prostředků. Každý Japonec vlastní tzv. hanko, což je razítko, kterým jsou stvrzovány písemné úkony. 4

Erbovní znamení se malovala na štíty a jiné části zbroje urozených rytířů a jejich čeledi, avšak stejně velký význam jim náležel při užívání na pečetích. Českým šlechticům 13. století přišla tato výsada nahrazující podpis obzvláště vhod, protože jak byli zběhlí v zacházení se zbraní, a dokonce i ve společenském chování, tak číst a psát uměli jen zřídka. K tomu více Janáček J., Louda J. - České erby, Albatros, Praha, 1988, s. 7 5 Krejčík, T. - Pečeť v kultuře středověku, Ostravská univerzita v Ostravě, 1998, s. 119 6 Rouček F., Sedláček J. - Komentář k československému obecnému zákoníku občanskému, IV. díl, reprint původního vydání, Codex, Praha, 1998, s. 207

srpen 2008



díl 2, Legislativa

Tato japonské tradice sahá až k počátku 17. století. Hanko se používají dva druhy podle závažnosti daného úkonu. Pro přebírání doporučené pošty či např. uzavření smlouvy o běžném účtu stačí „běžné“ hanko. Pro zcizování automobilu či zatěžování nemovitosti je třeba mít „formální“ hanko (tzv. inkan). Co se našeho území týče, není tomu tak dávno, kdy bylo možno užívat elektronický podpis v soukromoprávních vztazích pouze na základě úpravy obsažené v občanském zákoníku.7 Tehdejší právní úprava byla především z pohledu soukromoprávního vcelku vyhovující a plně tak respektovala zásadu smluvní svobody. Jako nepříliš vyhovující se však zdála být ne zcela jasná a ucelená úprava elektronické komunikace se státními úřady v oblasti práva veřejného. Zejména z těchto důvodů došlo k legislativní iniciativě Společnosti pro informační společnost (dále jen SPIS)8, která nakonec vyústila v přijetí zákona o elektronickém podpisu. Jedním z prvních signálů otevírajícím prostor pro přípravu tohoto zákona byl dokument nazvaný Státní informační politika - cesta k informační společnosti, ve kterém bylo mimo jiné konstatováno, že pro rozvoj informační společnosti v České republice chybí legislativní zázemí, které by se zabývalo oblastí elektronického obchodu, elektronického podpisu a používání dokumentů v elektronické podobě. Hlavním cí-

7

§ 2 odst. 3 občanského zákoníku stanoví: „Účastníci občanskoprávních vztahů si mohou vzájemná práva a povinnosti upravit dohodou odchylně od zákona, jestliže to zákon výslovně nezakazuje a jestliže z povahy ustanovení zákona nevyplývá, že se od něj nelze odchýlit.“ 8 Sdružení SPIS je profesním sdružením 45 firem z oblasti ICT (informačních a komunikačních technologií), jehož cílem je prosazování informační společnosti. K tomu více na www.spis.cz

srpen 2008



lem tohoto dokumentu je poskytnout subjektům, které chtějí elektronickou formu styků ve svých vztazích s okolním prostředím využívat, jistotu, že se již jedná o dostatečně bezpečnou, prakticky i formálně akceptovanou formu jednání. Jedním z prioritních úkolů je zde uzákonit elektronický podpis (tedy spolehlivě potvrdit identitu uživatele, který provádí jakoukoli transakci prostřednictvím telekomunikační sítě) a dát dokumentům v elektronické podobě stejnou právní váhu jako dokumentům klasickým.9 Při samotné tvorbě tohoto zákona se pak vycházelo z návrhu vzorového zákona UNCITRAL10 o elektronickém obchodu (dále jen modelový zákon UNCITRAL11), na jehož základě byl vytvořen první návrh tohoto zákona, předložený Poslanecké sněmovně ČR ke schválení v listopadu 1999, který byl však pro nesystematické zpracování, vnitřní rozpory a řadu dalších odborných chyb vrácen k přepracování12. V prosinci 1999 byla přijata směrnice Evropské Unie pro elektronický podpis13 (dále jen Směrnice). Krátce po tomto přijetí došlo ke shodě zástupců Úřadu pro státní

UNCITRAL

9

Tento dokument přijala Vláda ČR usnesením vlády č. 525 ze dne 31. května 1999. K tomu více na http://www.vlada.cz/cgi-bin/usnredir.il2.cgi?8206 Komise OSN pro mezinárodní obchodní právo (United Nations Commission on International Trade Law) je od roku 1966 Valným shromážděním OSN pověřena harmonizací a unifikací této oblasti práva. V tomto směru také zaujímá nejdůležitější postavení mezi ostatními mezinárodními organizacemi a orgány, které vyvíjejí obdobné aktivity. 11 Modelový zákon (UNCITRAL model law on electronic commerce) byl přijat dne 16. prosince 1996 rezolucí Valného shromáždění OSN pod číslem 51/162. Jde však o návrh velmi obecný, který má sloužit všem zemím, jež v souladu s technologickým pokrokem potřebují modernizovat svoji legislativu. Z tohoto pohledu obsahuje také řadu kompromisů, které se stále častěji ukazují jako nevyhovující pro úpravu v zemích ES. 12 K tomu více související zpráva ČTK, která cituje mluvčího vlády a kterou převzala většina médií. 13 Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures - Official Journal L 013 , 19/01/2000 p. 0012 - 0020 10

srpen 2008



díl 2, Legislativa

informační systém14 a SPIS na dalším společném postupu při prosazování přijetí zákona o elektronickém podpisu. Právě z tohoto postupu pak vycházel další (druhý) návrh zákona o elektronickém podpisu, který byl v červenci 2000 pod číslem 227/2000 Sb. přijat Parlamentem ČR. Dnešní zákon tedy vychází především jak z výše uvedené Směrnice, tak i z modelového zákona UNCITRAL. Stejně jako obě tyto normy reagoval i tento zákon na stále častější úpravy této problematiky ve světě.15 Prvním dnem měsíce října minulého roku se stal tedy účinným zákon č. 227/2000 Sb. o elektronickém podpisu a o změně některých dalších zákonů (dále jen ZoEP), čímž Česká republika zároveň v této oblasti harmonizovala svoji legislativu s legislativou ES. ZoEP ve své původní podobě pamatoval i na příslušné změny souvisejících právních norem, jako jsou občanský zákoník, zákon o správě daní a poplatků, správní řád, občanský soudní řád a na změnu trestního řádu. De lege ferenda si však nelze odpustit poznámku, že na změny řady dalších, a to neméně souvisejících předpisů, však bohužel již nepamatoval. Na stejném základě je i častý výskyt gramatických a typografických chyb nacházejících se v této normě. V tomto směru lze očekávat řadu dalších dílčích novelizací.

14

Na základě § 11 odst. 1, 2, 3 zákona č. 365/2000 Sb. o informačních systémech veřejné správy a o změně některých dalších zákonů byl dne 23. 10. 2000 ÚSIS zrušen. Dosavadní působnost, jakož i práva a povinnosti z pracovněprávních a jiných vztahů ÚSIS, přechází na Úřad pro veřejné informační systémy. 15 Vůbec první norma související s úpravou elektronického podpisu byla přijata v roce 1995 (Utah, Digital Signature Act). Dále pak jde zejména o německý zákon o digitálním podpisu z roku 1997, ale i o úpravu v dalších zemích (Velká Britanie, Itálie apod.)

srpen 2008



Podstatným prvkem této normy je existence orgánu, který vykonává dozor nad dodržováním povinností stanovených tímto zákonem. Podle dřívějších verzí zákona měl být tento dohled vykonáván samostatným Úřadem pro elektronické podpisy. Zákonodárce však nakonec svěřil příslušné kompetence a povinnosti Úřadu pro ochranu osobních údajů (dále jen Úřad). S účinností ode dne 1. ledna 2003 pak přešla veškerá působnost na Ministerstvo informatiky České republiky (později pak na Ministerstvo vnitra, dále jen Ministerstvo), a to zákonem č. 517/2002 Sb. ze dne 14. listopadu 2002, kterým se provádějí některá opatření v soustavě ústředních orgánů státní správy a mění některé zákony. Postavení Úřadu upravil nejprve zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.16 ZoEP však tuto normu novelizoval, čímž stanovil výše zmíněný dohled a řadu dalších povinností. Problematika ochrany osobních údajů, jakkoli blízká problematice osobních podpisů, se ale posléze ukázala jako velmi rozdílná, a Úřadu se nepodařilo rychle se vyrovnat se dvěma dosti odlišnými úkoly. I to ostatně bylo jednou z příčin přechodu působnosti v oblasti elektronického podpisu na Ministerstvo.

16

V souvislosti se zřízením tohoto Úřadu je však také třeba zmínit usnesení vlády č. 642 z 21. 6. 2000, které specifikuje potřebné kroky k zahájení činnosti tohoto úřadu. K tomu více na http://www.vlada.cz/cgibin/sqwf1250.cgi/sqw/usnvlad/usntext.sqw? CID=10046

srpen 2008


srpen 2008




3/2.3.2 OBECNÝ VÝZNAM (ELEKTRONICKÉHO) PODPISU V PRÁVNÍCH VZTAZÍCH

Podpis představuje velmi významnou součást veškerých právních úkonů činěných v právních vztazích. Samotný normativní význam podpisu vyplývá především ze skutečnosti, že podpis jednající osoby je předpokladem platnosti písemných právních úkonů (§ 40 odst. 3 občanského zákoníku17). Tato úprava pak tvoří jakýsi normativní základ významu podpisu v platné právní úpravě, představuje tak určité vodítko a základ pro jiné právní oblasti, zejména pak pro právo pracovní a obchodní.

Význam podpisu

V tomto smyslu podpis navenek osvědčuje určitý akt, typicky pak právní úkon (např. uzavření smlouvy, potvrzení o doručení apod.). Písemná forma právního

17

Občanský zákoník č. 40/1964 Sb., v platném znění (dále jen občanský zákoník)

srpen 2008



díl 2, Legislativa

jednání tak tedy kromě jiných obecných náležitostí18 vyžaduje, aby byl příslušný projev vůle zachycen na médiu, které má právní povahu listiny, a dále pak aby byl tento projev vůle podepsán. Uvedené však platí zejména pro vztahy soukromoprávní (vymezené zejména občanským zákoníkem), o poznání jiný režim je pak dán např. režimem zákoníku práce, který obsahuje relativně zvláštní právní úpravu, nicméně tato úprava je zákonem výslovně umožněna. Na rozdíl od občanského zákoníku stanoví zákon č. 262/2006 Sb., zákoník práce, v platném znění, v ustanovení § 334 a násl. doručování v pracovněprávních vztazích, přičemž vychází z principu, že prostřednictvím sítě nebo služby elektronických komunikací může zaměstnavatel písemnost doručit výlučně tehdy, jestliže zaměstnanec s tímto způsobem doručování vyslovil písemný souhlas a poskytl zaměstnavateli elektronickou adresu pro doručování, tato písemnost doručovaná prostřednictvím sítě nebo služby elektronických komunikací musí být podepsána elektronickým podpisem založeným na kvalifikovaném certifikátu. Písemnost doručovaná prostřednictvím sítě nebo služby elektronických komunikací je doručena dnem, kdy převzetí potvrdí zaměstnanec zaměstnavateli datovou zprávou podepsanou svým elektronickým podpisem založeným na kvalifikovaném certifikátu. Doručení písemnosti prostřednictvím sítě nebo služby elektronických komunikací je neúčinné, jestliže se písemnost zaslaná na elektronickou adresu zaměstnance vrátila zaměstnavateli jako nedoručitelná nebo jestliže zaměstnanec do 3 dnů od odeslání písem-

18

srpen 2008

Jako např. svoboda, vážnost, určitost a srozumitelnost právního úkonu, včetně právně způsobilého subjektu (§ 37 a násl. občanského zákoníku)



nosti nepotvrdil zaměstnavateli její přijetí datovou zprávou podepsanou svým elektronickým podpisem založeným na kvalifikovaném certifikátu. Jak ostatně vyplývá z výše uvedeného, jako velmi podstatné se zdá být doktrinálně vhodné vymezení pojmu listina, písemnost a podpis. O tom, co je listina v právním slova smyslu, neobsahuje (až na jednu výjimku) náš právní řád jedinou výslovnou zmínku. Řada zákonných ustanovení však o listině poměrně často hovoří. Legální definice listiny ale v platné právní úpravě obsažena není.19 Nezbývá než souhlasit s K. Eliášem20, že nejde o vytýkatelný nedostatek současné právní úpravy, a že je tento problém řešitelný vcelku úspěšně teoreticky. Literatura i praxe se navíc shodly, že za listinu lze považovat (kromě běžných listin papírových) jakékoliv jiné hmotné médium (např. kůra, kámen či hliněná tabulka) na něž lze zachytit písemný projev, příp. cokoliv jiného, na čem může být písmo zachyceno s tím, že je lhostejno, „na jaké látce a jakou látkou“21 je projev vůle sepsán (tedy např. text zachycený rytím na bronzovou sochu, příp. v písku na písečné pláži či na zahrádce z květin). Obecně lze tedy konstatovat, že „listinou“ se v našem právním řádu tedy rozumí cokoliv psaného. Dále je zde třeba souhlasit s J. Burešem a L. Drápalem22, podle nichž „teoretické spory kolem

Listina

19

Je však třeba mít v této souvislosti na paměti ustanovení § 40 odst. 4 občanského zákoníku, stanovící, že písemná forma je zachována, je-li právní úkon učiněn telegraficky, dálnopisem nebo elektronickými prostředky, jež umožňují zachycení obsahu právního úkonu a určení osoby, která právní úkon učinila. 20 Eliáš, K., Právní úkony na soukromých listinách se zvláštním zřetelem k jejich podepisování. AD NOTAM, 1996, č. 3, s. 53 21 Krčmář, J., Právo občanské, díl V. - Právo dědické, Všehrd, Praha, 1930, s. 22 22 Bureš, J., - Drápal, L., Občanský soudní řád. Komentář. Praha, C. H. Beck 1996, s. 61

srpen 2008



díl 2, Legislativa

listiny nemají praktického významu“. Písemná forma právního úkonu ale nepředpokládá pouhé zachycení obsahu právního úkonu v textu listiny, ale též - jak již bylo naznačeno - existenci podpisu. V tomto směru je však třeba podotknout, že písemná forma právního úkonu může podmiňovat platnost právního úkonu, nikoliv však jeho dokazatelnost. Dojde-li proto ke ztrátě či zničení listiny, není vyloučeno domáhat se nároků z tohoto právního úkonu. Lze-li ovšem tento právní úkon i splnění formy dokázat jinak (např. svědky apod.). Obdobně, jak je tomu v případě pojmu „listina“, neobsahuje náš právní řád legální definici pojmu „podpis“. To však již - na rozdíl od tohoto pojmu - přináší řadu jak praktických, tak i teoretických problémů. Jednak není příliš jasné, jak úplný podpis je z hlediska práva ještě dostatečný a jaký již nikoliv. Nejenom, že není zdaleka zřejmé, zda postačuje podpis typu „Váš otec“23, příp. „Tvůj kolega Jaroslav“, ale ani nelze jednoznačně odpovědět na otázku, zda postačuje strojový či jinak mechanicky na listině vytištěný podpis (řetězec znaků typu: Max Mayer), příp. vlastnoruční podpis (lidově zvaný jako „klikyhák“), či zda je třeba uvést skutečné a úplné jméno tak, jak je zapsáno v matrice a osobních dokladech jednající osoby (tedy nejenom včetně jména a příjmení, ale také i titulů, případně bydliště, rodného čísla apod.). Těžko však hledat jednoznačnou odpověď. S tím ale velmi úzce souvisí i jednotlivé skupiny (kategorie) podpisu užívané v našem právním řádu. Vyjma některých - spíše

23

srpen 2008

Viz. poznámka č.7



překladových nesrovnalostí24 - lze totiž ze (striktně) právního hlediska rozlišovat: • podpis25 • vlastnoruční podpis26 • ověřený podpis (ať již soudně, notářsky nebo úředně, případně advokátem)27 • elektronický podpis (včetně jeho vyšších forem, kterými se budeme zabývat dále)28 Dle soudu autora této práce je nesporné, že každá z výše uvedených skupin splňuje znaky podpisu29. Zákonodárce velmi často obligatorně vyžaduje náležitost podpisu. V řadě případů však zákon výslovně požaduje vlastnoruční podpis, v jiných případech - ať již notářsky, soudně nebo úředně - ověřený podpis. Podpis (bez dalších adjektiv) tedy - s ohledem na logickou právní argumentaci - lze považovat za pojem obecný (nejužší), jehož náležitost může být zásadně splněna jakoukoliv další (vyšší) formou podpisu. Podpis notářsky (či jinak úředně) ověřený je v některých případech zákonem vyžadován jako jakási nejvyšší forma podpisu, která je výsledkem le-

24

Jde zejména o pojmy „vlastní podpis“, „podpis vlastní rukou“ (např. čl. 3 odst. 1 sdělení č. 179/1996 Sb.), které považuji s ohledem na dikci jednotlivých ustanovení za synonymické pojmu „vlastnoruční podpis“. Dále s ohledem na § 74 zákona č. 358/1992 Sb. za variantu podpisu nepovažuji „podpis na listině, který osoba uznala za vlastní“ či jiné jeho obdoby. 25 Pojem „podpis“ se - bez dalších adjektiv - vyskytuje v našem právním řádu ve více než 1 400 dokumentech v počtu větším než 4 000 výrazů (z toho však jen cca 1 000 výrazů se nachází ve necelých 300 zákonných předpisech) 26 Pojem „vlastnoruční podpis“ již bývá zákonodárcem výslovně užíván velmi zřídka. Lze hovořit pouze o několika desítkách výrazů. 27 Viz např. zákon č. 358/1992 Sb., o notářích a jejich činnosti (dále jen notářský řád) v platném znění 28 Viz zákon č. 227/2000 Sb. o elektronickém podpisu a o změně některých dalších zákonů (dále jen zákon) 29 Alespoň dle § 40 odst. 3. občanského zákoníku

srpen 2008



díl 2, Legislativa

galizace. Takovýto podpis je např. vyžadován u všech smluv, na základě kterých jsou katastrálním úřadem vkládána vlastnická či jiná věcná práva k nemovitostem do katastru nemovitostí. S ohledem na zaměření této části publikace - vyjma některých souvisejících otázek30 - se již však úředně ověřenými podpisy dále zabývat nehodlám. Vzhledem k samotnému zákonnému rozlišování jednotlivých skupin podpisů, lze tam, kde není požadován výslovně podpis vlastnoruční (příp. notářsky či jinak ověřený), vystačit i se strojovým či jinak mechanicky na listině vytištěným podpisem.31 V občanskoprávních vztazích je ovšem třeba respektovat omezení náhrady podpisu mechanickými prostředky pouze na případy, kdy je to obvyklé (§ 40 odst. 3 občanského zákoníku). Pro účely pracovněprávních vztahů (včetně těch souvisejících) však dále budeme hovořit pouze o podpisu, resp. o jeho možném substitutu - podpisu elektronickém32. K obecným aspektům elektronického podepisování Jak již bylo řečeno výše, písemná forma právního úkonu zůstává zachována, je-li právní úkon učiněn elektronickými prostředky, jež umožňují zachycení obsahu právního úkonu a určení osoby, která právní úkon učinila. Z toho tedy vyplývá, že činit (písemné) právní úkony elektronickými prostředky (např. počítač, mobilní telefon, palmtop apod.) je za předpokladu splnění výše uvedených podmínek možné. V této souvislosti je však třeba zmínit nově upravené právo (nikoli tedy výslovnou povinnost) jednající osoby, která

30

Vyjma problematiky ověřování elektronického podpisu, o které budeme hovořit dále. 31 K tomu však srovnej rozdílný výklad, poznámka č. 7 32 Viz zákon č. 227/2000 Sb. o elektronickém podpisu a o změně některých dalších zákonů (dále jen zákon)

srpen 2008



učinila právní úkon elektronickými prostředky, podepsat jej elektronicky podle zvláštních předpisů. To je sice výslovně uvedeno pouze v občanském zákoníku, ale - dle názoru autora této části publikace - to lze aplikovat i na pracovněprávní a s tím související vztahy. Jediným takovým platným zvláštním předpisem je v současné době právě zákon č. 227/2000 Sb., o elektronickém podpisu, v platném znění. Datovou zprávou elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou. Elektronickým podpisem pak údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě, Z uvedených definic vyplývá, že datová zpráva umožňuje zachycení obsahu právního úkonu, čímž je tedy splněna jedna ze zákonných podmínek užití elektronického prostředku coby nástroje pro vytvoření právního úkonu. Možnosti určit osobu, která právní úkon učinila (tedy druhá zákonná podmínka aplikace elektronického prostředku), je pak již přímo vlastností elektronického podpisu. Z uvedeného tedy jasně vyplývá, že užitím elektronického podpisu, coby údaje připojeného k datové zprávě, jsou naplněny obě výše uvedené podmínky aplikace elektronických prostředků coby nástroje k vytvoření písemného právního úkonů. Tento výklad také ostatně potvrzuje i přímo ZoEP, který ve svém § 3 odst. 1 říká, že datová zpráva je podepsána, pokud je opatřena elektronickým podpisem. Zákon rovněž zavádí vyvratitelnou právní domněnku, že pokud se ne-

srpen 2008



díl 2, Legislativa

prokáže opak, má se za to, že se podepisující osoba před podepsáním datové zprávy s jejím obsahem seznámila. Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu. Vzhledem k celé řadě nedostatků původní právní úpravy schválila Poslanecká sněmovna Parlamentu ČR zatím jednoznačně nejrozsáhlejší novelu zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů33. Tato novela byla provedena zákonem č. 440/2004 Sb. Předmět úpravy této novely lze rozdělit do několika oblastí. První z nich je již výše zmíněná snaha o dosažení plné kompatibility s právem ES, resp. se Směrnicí 1999/93/ES Evropského parlamentu a Rady o zásadách Společenství pro elektronické podpisy (směrnice 1999/93/ES). Tuto směrnici, ačkoli v době přijímání tohoto zákona již existovala, se dosud nepodařilo do našeho právního řádu implementovat (byť již původní text zákona tvrdil, že je s touto směrnici kompatibilní). Další oblasti je zejména zavedení nového institutu časových razítek, resp. kvalifikovaných časových razítek. Právě neexistence časových razítek byla poměrně často této právní úpravě vytýkána, a to zejména z řad odborníků z praxe. Význam časových razítek totiž spočívá ve skutečnosti, že při elektronické komunikaci lze považovat nezbytné přesné určení existence zprávy v čase. Právě v souvislosti s elektronickým podpisem může být totiž velmi významný údaj, že podepsaná datová 33

srpen 2008

Poslanci tuto novelu přijali se všemi pozměňovacími návrhy Senátu



zpráva existovala v době platnosti certifikátu, na kterém je elektronický podpis založen, resp. zda byla podepsána dříve, než byl certifikát zneplatněn. V novele se dále objevilo rovněž poměrně zajímavé zakotvení možnosti používat tzv. elektronické značky, což je jakési označení datové zprávy označující osobou bez předchozí kontroly vlastního obsahu, pokud tato osoba iniciovala funkci prostředku pro jejich vytváření a vymezila pravidla pro výběr zpráv, které mají být označeny. Přínos zakotvení možnosti jejich používání spočívá patrně ve skutečnosti, že na rozdíl od zaručeného elektronického podpisu, který vytváří fyzická osoba vždy pro jednu určitou datovou zprávu, mohou být elektronickými značkami datové zprávy označovány tak, že je iniciována funkce prostředku, který je vytváří, a označování datových zpráv může probíhat bez další přímé součinnosti označující osoby. V tomto ohledu se tedy předpokládá, že elektronické značky budou využívány v agendách týkajících se například celních řízení, při vydávání elektronických výpisů z úředních databází, při potvrzování přijetí elektronických zpráv apod. Rozsah vydaných časových razítek dokládají grafy níže.

Elektronické značky

Jedním z dalších takových pilířů této novely je rozšíření okruhu služeb, které poskytovatelé certifikačních služeb zajišťují a na jejichž poskytování se stanovují požadavky. V tomto případě stojí za zmínku zejména již výše zmíněné vydávání časových razítek, různých systémových certifikátů nebo prostředků pro bezpečné vytváření elektronických podpisů. V souvislosti s tím zde stojí za zmínku i nově stanovená povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání kvalifikovaných časových razítek, kde je nezbytné zdůraznit povinnost poskytovatele zajistit, aby srpen 2008



díl 2, Legislativa

časový údaj vložený do kvalifikovaného časového razítka odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného časového razítka, a dále přijmout odpovídající opatření proti padělání kvalifikovaných časových razítek. V tomto ohledu je zde rovněž o poznání lépe než v předchozím případě vhodně upřesněna povinnost orgánů veřejné moci přijímat a odesílat zprávy (§ 11), které jsou podepsány uznávaným elektronickým podpisem prostřednictvím definice zvláštních pracovišť - elektronických podatelen. V původním znění byl tedy §11 tohoto zákona formulován značně nejednoznačně a neostře, což bylo vzhledem ke klíčové povinnosti, kterou tento paragraf zaváděl, vskutku na pováženou. Ustanovení (§ 11), byť obsahovalo pouze jedinou větu, původně stanovilo, že „v oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb“. Byl zde tedy použit velmi neostrý pojem „oblast“ orgánů veřejné moci a bylo tedy v některých případech sporné, zda bylo nutno používat tuto (jistě důvěryhodnou, avšak také nákladnou) formu podpisu i tam, kde s takovým orgánem pouze komunikuje soukromý subjekt - fyzická osoba (např. v souvislosti s podáváním daňového přiznání). V tomto smyslu se rovněž počítá s vydáním prováděcí vyhlášky pro elektronické podatelny, a tím tedy vytvořit možnost jednotného postupu pro dosažení potřebné (požadované) bezpečnosti. Zákon tak stanoví, že „orgán veřejné moci přijímá a odesílá datové zprávy podle odstavce 1 prostřednictvím elektronické podatelny“.

srpen 2008



K vybraným podzákonným aspektům právní úpravy elektronického podepisování Vyhláška Úřadu pro ochranu osobních údajů o upřesnění podmínek stanovených v § 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu.

Prováděcí předpisy

Podle § 20 ZoEP se Ministerstvo, resp. původně Úřad, zmocňuje vydávat vyhlášky k upřesňování podmínek stanovených v § 6 a 17 a způsobu, jakým se jejich splnění bude dokládat, a k upřesnění požadavků, které musí splňovat nástroje elektronického podpisu, a k náležitostem postupu a způsobu vyhodnocování shody nástrojů elektronického podpisu s těmito požadavky. Původním zmocněncem podle tohoto ustanovení byl však Úřad pro ochranu osobních údajů, který také vydal dosud platnou a účinnou vyhlášku ze dne 3. října 2001 o upřesnění podmínek stanovených v § 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpis. Vyhláška nabyla účinnosti dnem vyhlášení, tj. dnem 10. 10. 2001 a v zásadě upřesňovala podmínky stanovené v § 6 a 17 zákona o elektronickém podpisu a způsob, jakým se jejich splnění bude dokládat, požadavky, které musejí splňovat nástroje elektronického podpisu, a náležitosti postupu a způsobu vyhodnocování shody nástrojů elektronického podpisu s těmito požadavky (§ 1 vyhlášky). Vyhláška byly s účinností ke dni 17. srpna 2006 zrušena, a to vyhláškou Ministerstva informatiky č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na

srpen 2008



díl 2, Legislativa

ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb (viz níže). Vyhláška Ministerstva informatiky č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb). Tato vyhláška nabyla účinností ke dni 17. srpna 2006, čímž tak nahradila dosavadní vyhlášku č. 366/2001 Sb. Ministerstvo informatiky touto vyhláškou stanovilo podle § 20 odst. 1, 2, 3 a 5 zákona č. 227/2000 Sb., o elektronickém podpisu, zejména: • způsob splnění informační povinnosti podle § 6 odst. 1 písm. a) a f) a odst. 3 zákona, kvalifikační požadavky podle § 6 odst. 1 písm. b) zákona, požadavky na bezpečné systémy a bezpečné nástroje podle § 6 odst. 1 písm. c) a d) zákona, způsob uchovávání informací a dokumentace podle § 6 odst. 5 a 6 zákona a způsob, jakým se splnění těchto požadavků dokládá, • způsob zajištění bezpečnosti seznamů podle § 6a odst. 1 písm. e) a f) zákona, určení data a času podle § 6a odst. 1 písm. g) zákona, náležitosti opatření podle § 6a odst. 1 písm. h) zákona, způsob splnění informační povinnosti podle § 6a odst. 1 písm. i) zákona, způsob ochrany a zajištění souladu dat podle § 6a odst. 2 zákona, způsob zneplatnění certifikátů podle § 6a odst. 3 a 4 zákona a způsob, jakým se splnění těchto požadavků dokládá,

srpen 2008



• způsob zajištění přesnosti času při vytváření kvalifikovaného časového razítka podle § 6b odst. 1 písm. b) zákona, způsob zajištění souladu dat podle § 6b odst. 1 písm. c) zákona, náležitosti opatření podle § 6b odst. 1 písm. d) zákona, způsob splnění informační povinnosti podle § 6b odst. 1 písm. e) zákona a způsob, jakým se splnění těchto požadavků dokládá, • způsob zajištění postupů, které musí podporovat prostředky pro bezpečné vytváření elektronických podpisů při ochraně dat pro vytváření elektronických podpisů podle § 17 zákona a prostředky pro vytváření elektronických značek při ochraně dat pro vytváření elektronických značek podle § 17a zákona, a způsob, jakým se splnění těchto požadavků dokládá. Vyhláška č. 496/2004 Sb., k elektronickým podatelnám, upravuje postup34, jak mají orgány veřejné moci přijímat a odesílat datové zprávy prostřednictvím elektronické podatelny. Tato vyhláška navazuje na nařízení vlády č. 495/2004 Sb., k elektronickým podatelnám, které nařizuje orgánům veřejné moci elektronickou podatelnu zřídit, a má sloužit jako návod, jak naplnit podmínky dané tímto nařízením vlády.35 Vyhláška nabyla účinnosti k 1. lednu 2005.

Vyhláška č. 496/2004 Sb. k elektronickým podatelnám, v platném znění

34

Ministerstvo informatiky tak využilo možnost tyto aspekty provést vyhláškou stanovenou § 20 odst. 4 zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění zákona č. 226/2002 Sb., zákona č. 517/2002 Sb. a zákona č. 440/2004 Sb.)į. 35 Resp. přesněji je třeba říci, že předmětem vyhlášky je stanovení postupů pro orgány veřejné moci uplatňované při přijímání a odesílání datových zpráv prostřednictvím elektronické podatelny a strukturu údajů kvalifikovaného certifikátu, na základě kterých je možné podepisující osobu při přijímání datových zpráv prostřednictvím elektronické podatelny jednoznačně identifikovat.

srpen 2008



díl 2, Legislativa

Jako poměrně podstatný prvek předmětné vyhlášky je zde uvedeno podrobné vymezení okamžiku přijetí a doručení datové zprávy, a to tak (nestanoví-li vyhláška jinak), že datová zpráva je považována za doručenou orgánu veřejné moci, pokud je dostupná elektronické podatelně provozované podle zvláštního právního předpisu36. Pokud je u přijaté datové zprávy zjištěn výskyt chybného formátu nebo počítačového programu, jež jsou způsobilé přivodit škodu na informačním systému nebo na informacích zpracovávaných orgánem veřejné moci (dále jen „škodlivý kód“), může být datová zpráva uložena jen mimo elektronickou podatelnu, a to za předpokladu, že není ohrožena bezpečnost informačního systému orgánu veřejné moci ani bezpečnost zpracovávaných informací. Taková datová zpráva není dostupná elektronické podatelně. Tato doručená datová zpráva se pak ukládá do úložiště doručených datových zpráv ve tvaru, ve kterém byla přijata. Je-li k datové zprávě připojen kvalifikovaný certifikát a zaručený elektronický podpis založený na tomto certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb (dále jen „uznávaný elektronický podpis“) nebo kvalifikovaný systémový certifikát a elektronická značka založená na tomto certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb (dále jen „uznávaná elektronická značka“), ukládají se spolu se zprávou. Doručená datová zpráva se v elektronické podatelně: • eviduje a dále se předává v souladu se zvláštními právními předpisy upravujícími evidenci doruče36

srpen 2008

Nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů.



ných písemností a další nakládání s nimi s tím, že čas doručení datové zprávy je zaznamenán s přesností na sekundu, a • označuje identifikátorem elektronické podatelny, který má charakter podacího razítka. Samotné doručení datové zprávy se pak potvrzuje odesilateli neprodleně zasláním datové zprávy v souladu s ustanovením § 3, pokud je orgán veřejné moci schopen z přijaté datové zprávy zjistit elektronickou adresu odesilatele. Součástí zprávy o potvrzení doručení je • uznávaný elektronický podpis oprávněného zaměstnance orgánu veřejné moci nebo uznávaná elektronická značka orgánu veřejné moci, • datum a čas s uvedením hodiny, minuty a sekundy, kdy byla datová zpráva doručena, a • charakteristika doručené datové zprávy umožňující její identifikaci U doručené datové zprávy elektronická podatelna zjišťuje, zda • datová zpráva odpovídá technickým parametrům, které orgán veřejné moci zveřejnil podle zvláštního právního předpisu37, • je připojen uznávaný elektronický podpis nebo uznávaná elektronická značka, případně zda je připojeno kvalifikované časové razítko, pokud zvláštní právní předpis stanoví povinnost připojit je k datové zprávě,

37

Nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů.

srpen 2008



díl 2, Legislativa

• zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn (§ 5 odst. 2 zákona) nebo elektronická značka je platná a její kvalifikovaný systémový certifikát nebyl zneplatněn (§ 5a odst. 3 zákona), případně zda je platné kvalifikované časové razítko, pokud zvláštní právní předpis stanoví povinnost připojit jej k datové zprávě, • je připojen kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát podle písmene b) nebo zda je uveden akreditovaný poskytovatel certifikačních služeb, který certifikát vydal a vede jeho evidenci, a • kvalifikovaný certifikát obsahuje údaje, na jejichž základě je možné osobu, která podepsala datovou zprávu, jednoznačně identifikovat. Pokud elektronická podatelna zjistí, že kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát podle odstavce 6 písm. c) byly v době doručení datové zprávy neplatné, a pokud lze usuzovat, že zaručený elektronický podpis nebo elektronická značka byly vytvořeny v době platnosti tohoto certifikátu, orgán veřejné moci za účelem zjištění platnosti elektronické značky nebo zaručeného elektronického podpisu • ověří, zda je připojeno platné kvalifikované časové razítko podepsané nebo označené datové zprávy a zda toto razítko bylo vytvořeno před okamžikem zneplatnění certifikátu datové zprávy a zda je platné, nebo • uvědomí podepsanou osobu, není-li připojeno platné kvalifikované časové razítko, že nemá možnost provést veškeré úkony potřebné k tomu, aby ověřil, že zaručený elektronický podpis nebo elektronická značka jsou platné a jejich kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát nebyly zne-

srpen 2008



platněny před vytvořením zaručeného elektronického podpisu nebo elektronické značky. Úkony potřebné k ověření, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn nebo že elektronická značka je platná a její kvalifikovaný systémový certifikát nebyl zneplatněn nebo že kvalifikované časové razítko je platné podle odstavce 6 písm. c), jsou uvedeny v příloze k této vyhlášce. O výsledku zjištění skutečností uvedených v odstavcích 6 a 7 se při doručení do identifikátoru elektronické podatelny zaznamenávají údaje, které tyto skutečnosti dokládají38. V § 4 této vyhlášky je dále stanovena povinnost, že údaj, na jehož základě je možné osobu jednoznačně identifikovat, se uvádí ve struktuře desetimístného čísla v desítkové soustavě v rozsahu 1 100 100 100 až 4 294 967 295 a je spravován ústředním orgánem státní správy. Jeho hodnota není zaměnitelná s rodným číslem a nesmí být osobním údajem podle zvláštního právního předpisu.39

38

Odesílaná datová zpráva se v elektronické podatelně ukládá do úložiště vypravených datových zpráv ve tvaru, ve kterém byla odeslána. Je-li k datové zprávě připojen uznávaný elektronický podpis oprávněného zaměstnance orgánu veřejné moci a jeho kvalifikovaný certifikát nebo uznávaná elektronická značka orgánu veřejné moci a její kvalifikovaný systémový certifikát, ukládají se spolu s datovou zprávou. Před odesláním z orgánu veřejné moci prochází datová zpráva kontrolou výskytu škodlivého kódu. Odesílaná datová zpráva se v elektronické podatelně eviduje v souladu s vnitřními předpisy orgánu veřejné moci upravujícími evidenci vypravovaných písemností s tím, že čas odeslání datové zprávy je zaznamenán s přesností na sekundu. 39 § 4 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v platném znění

srpen 2008


srpen 2008




3/2.3.3 DRUHY ELEKTRONICKÉHO PODPISU A JEJICH VÝZNAM

Jak již bylo uvedeno výše, při tvorbě ZoEP se vycházelo především ze související legislativy Evropského společenství, zejména pak ze Směrnice. To se samozřejmě projevilo též na samotné terminologii zákona, která se - až na některé výjimky - striktně drží tzv. evropského pojetí elektronického podpisu, resp. jeho jednotlivých forem.

Evropské pojetí elektronického podpisu

Z pohledu platné právní úpravy elektronického podpisu v ČR a se zřetelem k aplikaci této normy lze rozlišovat zejména následující kategorie: • elektronický podpis • zaručený elektronický podpis • zaručený elektronický podpis založený na kvalifikovaném certifikátu

srpen 2008



díl 2, Legislativa

• zaručený elektronický podpis založený na kvalifikovaném certifikátu od akreditovaného poskytovatele certifikačních služeb • zaručený elektronický podpis založený na kvalifikovaném certifikátu a vytvořený pomocí prostředku pro bezpečné vytváření podpisu Z pohledu zahraniční a s ní související evropské právní úpravy v ES lze též rozlišovat: • kvalifikovaný podpis s dlouhodobou platností • digitální podpis General electronic signature

Elektronický podpis Jak již bylo výše zmíněno, legální definice pojmu „elektronický podpis“ na rozdíl od pojmu „podpis“ existuje. Pojem „elektronický podpis“ je v našem právním řádu vymezen v § 2 písm. a) ZoEP, který říká, že jde o • údaje v elektronické podobě, • které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a • které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě40 Vymezení tohoto pojmu v našem právním řádu je navíc téměř totožné s úpravou ve Směrnici ES. Výklad tohoto pojmu tak - obdobně jak je tomu v ES - přináší některé problémy. Nejprve je třeba si uvědomit, zda běžný e-mail, resp. text připojený k datové zprávě odeslaný (např. Ahoj, plně souhlasím. Honza) z vaší obvyklé e-mailové adresy a odeslaný vašemu známému 40

srpen 2008

Původní znění před novelou tuto vlastnost vymezovalo jinak, a to tak, že šlo pouze o údaje, „které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě“, tedy šlo o úpravu o poznání širší.



prostřednictvím některé k tomu určené aplikace (např. MS Outlook) naplňuje výše uvedené pojmové znaky elektronického podpisu. Dle soudu autora této části práce tomu tak je. S ohledem na výše uvedenou definici datové zprávy, totiž není sporu o tom, že i e-mail bez uvedení odesílatele, předmětu a samotného textu zprávy může být datovou zprávou ve smyslu § 2 ZoEP. K tomu, aby pak došlo k připojení elektronického podpisu k takové datové zprávě, postačuje téměř jakýkoliv text (řetězec znaků), který je způsobilý jednoznačně ověřit identitu podepsané osoby (tedy např. uvedení e-mailové či poštovní adresy skutečného odesílatele, případně i jméno odesílatele, které adresát zná, a je tak tedy umožněno ono ověření totožnosti). V tomto směru se tedy lze shodnout, že jméno (podpis) připojené k běžnému e-mailu (datové zprávě) může být elektronickým podpisem ve smyslu ZoEP. Stejně tak nemusí elektronický podpis představovat pouhé uvedení jména (řetězcem znaků), ale lze za něj považovat též faksimile vlastnoručního podpisu dané osoby zaslané např. formou přílohy, speciální kód (PIN) apod. Je tedy třeba zásadně odmítnout názory, že běžný e-mail41, resp. jeho část (text), případně naskenovaný vlastnoruční podpis připojený k datové42 zprávě nemůže být elektronickým podpisem dle § 2 písm. a) ZoEP. Elektronický podpis však není nerozlučně spjat pouze s elektronickou poštou. I prostřednictvím www43 stránek, pagerů a mobilních tele41

Např. Pitner, T., Utajená síla podpisu, Connect, listopad 2000, s. 52 Tamtéž 43 World Wide Web (www) - služba na internetu. Jde o graficky orientované zpracování informací, sestavených do www stránek, které využívá formátovaný text, grafiku, animace, zvuky apod. 42

srpen 2008



díl 2, Legislativa

fonů se lze za předpokladu splnění výše uvedených podmínek elektronicky podepisovat. Advanced electronic signature

Zaručený elektronický podpis Pojem „zaručený elektronický podpis“ je v našem právním řádu vymezen v § 2 písm. b) ZoEP, který říká, že jde o elektronický podpis, který splňuje následující požadavky: • jednoznačně spojen s podepisující osobou, • umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, • byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, • je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat, Obdobně jak je tomu u výše uvedeného pojmu elektronický podpis, odpovídá i legální definice pojmu zaručený elektronický podpis právní úpravě v ES.44 Oproti velmi obecnému pojmu elektronický podpis obsahuje zaručený elektronický podpis již řadu dalších aspektů (záruk), které vyplývajících přímo z jednotlivých požadavků zákona. Jde především o tzv. jednoznačnost45, která spočívá ve zvýšené ochraně příjemce datové zprávy ve vztahu k elektronickému 44

Advanced electronic signature ‘means an electronic signature which meets the following requirements: (a)it is uniquely linked to the signatory; (b)it is capable of identifying the signatory; (c)it is created using means that the signatory can maintain under his sole control; (d)it is linked to the data to which it relates in such a manner that any subsequent change of the data is detectable. 45 Často též nepříliš přesně označovanou jako nepopiratelnost. To je způsobeno zejména názory řady matematiků a kryptologů, z jejichž úhlu pohledu nepochybně o nepopiratelnost jde. Z právního hlediska je však situace zcela jiná.

srpen 2008



podpisu odesílatele (elektronický podpis je jednoznačně spojen s podepisující osobou), dále pak o tzv. identifikaci a autentizaci46 umožňující identifikaci podepisující osoby ve vztahu k datové zprávě a integritu, která pak umožňuje zjistit jakoukoliv následnou změnu dat. Posledním požadavkem zákona je, aby byl zaručený elektronický podpis vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou. Uvedený požadavek tak nepřímo vyplývá z povinností podepisující osoby (§ 5 zákona). Požadavek na míru bezpečnosti takovýchto prostředků však v případě této formy podpisu zákonem požadována není. Je tedy právně nedůležité, zda používáte hardware či software, který je bezpečný či nikoliv. Tento podpis je tedy vzhledem k držiteli podpisu jednoznačný, umožňuje identifikaci (autentizaci) oprávněné osoby v souvislosti s datovou zprávou a byl vytvořen a připojen k datové zprávě způsoby, které jsou pod kontrolou oprávněné osoby a je k datové zprávě, jíž se týká, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. Tento druh elektronického podpisu však nepředstavuje (a ani dle původního návrhu ZoEP nepředstavoval) ekvivalent 46

Stanovit přesný rozdíl mezi identifikací a autentizací není jednoduché. Nicméně náš právní řád tyto pojmy vymezuje hned ve dvou právních předpisech. Prvním je vyhláška Národního bezpečnostního úřadu č. 76/1999 Sb., o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu, v platném znění, kde se autentizací rozumí proces potvrzení, a tím i ustavení identity uživatele, procesu nebo jiného prvku s požadovanou mírou záruky (§ 2 písm. g). Dále se o autentizaci hovoří v další vyhlášce Národního bezpečnostního úřadu č. 56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu, kde se autentizací subjektu rozumí proces ověření jeho identity splňující požadovanou míru záruky (§ 2 písm. f).

srpen 2008



díl 2, Legislativa

„ověřeného podpisu“ na papíru, jak nesprávně uvádí důvodová zpráva. Stejně tak, jak vyplývá z výše uvedeného a na rozdíl od tvrzení v důvodové zprávě, neposkytuje pouze tento podpis dostatečnou právní platnost. Lze však plně souhlasit s tvrzením, že zákon je zaměřen právě a především na používání tohoto (a vyšších forem) elektronického podpisu. Lze konstatovat, že tento podpis má - na rozdíl od běžného (elektronicky) podepsaného e-mailu - podstatně vyšší vypovídací hodnotu. Samotnému užívání tohoto podpisu navíc nemusí předcházet vznik nějakého nového zvláštního právního vztahu. Zde plně postačí instalace a následné užívání jakéhokoliv z řady počítačových programů, které tuto službu poskytují47. Navíc lze i tuto formu elektronického podpisu splnit řadou jiných způsobů, než jen elektronickou poštou.48

Advanced electronic signature using qualified certificate

Zaručený elektronický podpis založený na kvalifikovaném certifikátu Tento pojem není v zákoně výslovně vymezen. Jeho existence však - kromě zásady smluvní svobody - vyplývá z řady jeho ustanovení. K samotnému vymezení tohoto pojmu je třeba - vyjma pojmu zaručený elektronický podpis - třeba nejprve zmínit některé vybrané legální definice, a to zejména: • certifikát (§ 2 písm. g) • kvalifikovaný certifikát (§ 2 písm. h) • poskytovatel certifikačních služeb (§ 2 písm. e) 47

48

srpen 2008

Např. velmi rozšířené programy založené na standartu OpenPGP - tzv. software Pretty Good Privacy (PGP) Poměrně často bývá elektronicky podepsán obsah příslušné www stránky, k níž je obvykle přiložen i příslušný certifikát. Když si pak nějaký uživatel internetu tuto stránku načte do svého browseru, ten ověří pravost podpisu (identifikace) a dá uživateli najevo, zda je vše v pořádku (autentizace), i to, zda obsah stránky nebyl od svého podpisu změněn (integrita). Stejně tak může být tento podpis proveden prostřednictvím řady dalších zařízení (např. mobilních telefonů, pagerů apod.)



Jak již název napovídá, pojem zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu naplňuje všechny znaky zaručeného elektronického podpisu (viz výše). Je zde však navíc přidán kvalifikovaný certifikát. Certifikátem se zde rozumí datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování elektronických podpisů s podepisující osobou a umožňuje ověřit její identitu, nebo spojuje data pro ověřování elektronických značek s označující osobou a umožňuje ověřit její identitu (§ 2 písm. k). Kvalifikovaným certifikátem certifikát, který má náležitosti podle § 12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb (§ 2 písm. l). Pojem kvalifikovaného certifikátu je tedy nerozlučně spjat jak s pojmem certifikát, tak i s pojmem poskytovatel certifikačních služeb. Poskytovatel certifikačních služeb je pak fyzická osoba, právnická osoba nebo organizační složka státu, která vydává certifikáty a vede jejich evidenci, případně poskytuje další služby spojené s elektronickými podpisy (§ 2 písm. h). Poskytování certifikačních služeb v oblasti elektronického podpisu bylo nařízením vlády49 zařazeno do seznamu oborů volných živností v rámci služeb v oblasti administrativní správy a služeb organizačně hospodářské povahy u fyzických a právnických osob. Poskytovatel certifikačních služeb je však povinen ohlásit Ministerstvu nejméně 30 dnů před vydáním prvního kvalifikovaného certifikátu, že bude vydávat

49

Nařízení vlády č. 468 /2000 Sb., kterým se mění nařízení vlády č. 140/2000 Sb., kterým se stanoví seznam oborů živností volných

srpen 2008



díl 2, Legislativa

kvalifikované certifikáty (§ 6 odst. 2 ZoEP). Ministerstvo pak dále vykonává dozor nad činností těchto poskytovatelů, ukládá jim opatření k nápravě (§ 14 ZoEP) a pokuty za porušení povinností (§ 18 ZoEP). Dále pak vede jejich evidenci (§ 9 odst. 2 písm. c) a pravidelně uveřejňuje jejich přehled. Požadavky a povinnosti50 poskytovatele certifikačních služeb, který vydává kvalifikované certifikáty, jsou obsaženy v § 6 ZoEP a na základě zmocnění v § 20 ZoEP51 též pak podstatným způsobem konkretizovány v prováděcích předpisech. Nespornou zajímavostí zákona je však možnost užívání pseudonymů na kvalifikovaném certifikátu (§ 12 odst. 1 písm. c). V takovém případě je pak místo jména a příjmení podepisující osoby (odesílatele) na kvalifikovaném certifikátu uveden pseudonym podepisující osoby s označením, že se jedná o pseudonym. Příjemce datové zprávy pak samozřejmě přímo nezná identitu podepisující osoby. Takováto „anonymní“ podepisující osoba pak samozřejmě může být dohledána prostřednictvím údajů, které má k dispozici poskytovatel certifikačních služeb. V tomto ohledu je rozhodně třeba podotknout, že účinky právního úkonu učiněného prostřednictvím takovéhoto certifikátu, jsou však (vzhledem k určitosti takového úkonu a již existující judikatuře) minimálně značně nejisté.

50

V Evropském společenství řeší tuto otázku dokument Policy Requirements for CSPs Issuing Qualified Certificates ( ETSI TS 101 456 V1.1.1, 2000 -12). 51 Úřad je v tomto směru zmocněn nejenom k upřesňování podmínek stanovených v § 6, ale také způsobu, jakým se jejich splnění bude dokládat.

srpen 2008



Zaručený elektronický podpis založený na kvalifikovaném certifikátu od akreditovaného poskytovatele certifikačních služeb Tato forma zaručeného elektronického podpisu se v zásadě příliš neliší od naposledy uvedené. Rozdíl spočívá právě a jen ve skutečnosti, že poskytovateli certifikačních služeb, který vydává (tyto) kvalifikované certifikáty, byla udělena akreditace ministerstvem (Úřadem), případně nově Ministerstvem (o tom viz níže). Další podmínky zde stanoveny nejsou. Akreditovaný poskytovatel certifikačních služeb je z hlediska zákona o elektronickém podpisu tedy chápán jako jakýsi vyšší - důvěryhodnější - poskytovatel těchto služeb, na kterého jsou kladeny přísnější požadavky na přesné formáty pro vytváření a přenos elektronických podpisů. Používání formátů se rozšiřuje o stanovení požadavků na formáty kvalifikovaných certifikátů a o další související formáty (žádost o vydání certifikátu apod.)52.

Electronic signature using qualified certificate issued by accredited Certificationservice-provider

Tento druh podpisu je jedním z klíčových a z hlediska důvěry svou povahou také jedním z nejbezpečnějších. Praktickou výhodou této formy podpisu je zejména zvýšená možnost určení odesílatele, který může být identifikován (příp. autentizován) prostřednictvím kvalifikovaného certifikátu. Důvěra v obsah certifikátu je pak zejména dána právě důvěrou samotného poskytovatele certifikačních služeb, který certifikát vydal, a dále pak v osvědčení (akreditaci) Úřadu (Mi-

52

Toto je upraveno např.v ETSI: Qualified Certificates Profile ( ETSI TS 101 862 V1.1.1, 2000-12)

srpen 2008



díl 2, Legislativa

nisterstva), že tento poskytovatel certifikačních služeb splňuje stanovené podmínky a následný dohled Ministerstva, které tak vykonává dozor nad činností akreditovaných poskytovatelů certifikačních služeb a ukládá jim opatření k nápravě a pokuty za porušení povinností. Zároveň pak vede evidenci a pravidelně uveřejňuje přehled udělených akreditací. V neposlední řadě pak také odpovědnostními důsledky za porušení povinností stanovených zákonem. V případě, že se akreditovaný poskytovatel certifikačních služeb rozhodne vydávat kvalifikované certifikáty, není povinen - na rozdíl od výše uvedeného ohlásit tuto skutečnost Ministerstvu.

Qualified electronic signature

Zaručený elektronický podpis založený na kvalifikovaném certifikátu a vytvořený pomocí prostředku pro bezpečné vytváření podpisu Tento druh - ačkoliv zákonem výslovně neupraven je považován z hlediska důvěry a dokazování za nejdokonalejší. To - poněkud nejistě - říká i zákon. V § 3 odst. 2. je vyslovena nepříliš normativní a s ohledem na další ustanovení také velmi fiktivní domněnka, že použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu. Této formě elektronického podpisu se s ohledem na zahraniční právní úpravu velmi často říká kvalifikovaný podpis. V dokumentech EU se uvažuje, že by mohl být používán v situaci, kde se v písemné podobě vyžaduje vlastnoruční podpis. Rozdíl spočívá právě v použití prostředku pro bezpečné vytváření podpisu. Technické a programové požadavky na takovýto

srpen 2008



prostředek jsou obecně uvedeny v zákoně (§ 17) a dále pak konkretizovány v prováděcích předpisech. Digitální podpis Okrajově je nepochybně třeba se též zmínit o podpisu digitálním, který nebyl do naší právní úpravy výslovně zapracován, a jehož obecnější variantou je právě elektronický podpis.

Digital signature

Historicky se objevuje pojem digitálního podpisu souběžně se vznikem asymetrické kryptografie v druhé polovině sedmdesátých let. Asymetrická kryptografie používá určitým způsobem propojenou dvojici kryptografických klíčů. Jeden klíč (veřejný) je používán k šifrování dat, druhý klíč (soukromý) slouží k dešifrování zašifrovaného obsahu dat. Přitom ze znalosti např. pouze veřejného klíče nelze odvodit hodnotu druhého (soukromého) klíče. Samotné fungování digitálního podpisu si lze představit následujícím způsobem: Podepisující strana zašifruje příslušný dokument v elektronické podobě svým soukromým klíčem. Kdokoliv, kdo má přístup k zveřejněnému veřejnému klíči (a ověří si, kdo je jeho skutečným majitelem), může nyní pomocí tohoto veřejného klíče dešifrovat podepsaný dokument a ověřit tak příslušný podpis tohoto dokumentu. Elektronický podpis v sobě totiž - na rozdíl od podpisu digitálního - zahrnuje také možnost využití celé škály různých biometrických metod, zejména pak fyziologicky založené techniky, které měří nějakou fyziologickou charakteristiku dané osoby (např. otisky prstů, charakteristiky duhovky, obličej, geometrie cév, charakteristiky uší, vůně, analýza obrazců DNA, charakteristiky potu atd.), nebo behaviorálně založené techniky, které se zabývají měřením chování příslušné srpen 2008



díl 2, Legislativa

osoby (např. verifikaci ručně psaných podpisů - dynamika podpisu, charakterizace úderů do klávesnice, analýza řečového projevu atd.). Bývá pak obvykle vymezen tak, aby byl co možná nejméně závislý na existujících technologiích, což - jak se ukázalo - je velmi výhodné pro obecnou zákonnou úpravu. Další možné formy elektronických podpisů

Výše uvedené formy elektronických podpisů zdaleka nepředstavují výčet všech možných variant, se kterými se můžeme na trhu s elektronickými podpisy setkat. Tyto formy zde byly použity převážně pro demonstraci těch zásadnějších vlastností elektronických podpisů. Jak ostatně vyplývá z jednotlivých uvedených forem, každý z poskytovatelů může vydávat certifikáty a téměř jakékoliv možné kombinace elektronických podpisů, včetně těch, jejichž existence není zákonem výslovně upravena. Na rozdíl od běžných poskytovatelů certifikačních služeb se však režim zákona vztahuje přímo na akreditované poskytovatele certifikačních služeb nebo poskytovatele certifikačních služeb vydávajících kvalifikované certifikáty, kteří pak mohou vydávat v podstatě libovolné formy elektronických podpisů.

srpen 2008



3/2.3.4 POJEM A DRUHY POSKYTOVATELŮ CERTIFIKAČNÍCH SLUŽEB

O poskytovatelích certifikačních služeb (často též označovány jako certifikační autority) jsme již - z důvodů jejich velmi úzké provázanosti - hovořili u jednotlivých forem elektronických podpisů. Jak ostatně vyplývá z výše uvedených forem těchto podpisů, zákon ve vazbě na ně striktně rozlišuje následující kategorie: • poskytovatel certifikačních služeb • poskytovatel certifikačních služeb vydávající kvalifikované certifikáty • akreditovaný poskytovatel certifikačních služeb

Certifikační autority

Hraničním určovatelem rozlišujícím jednotlivé typy těchto poskytovatelů je právě oprávnění působit coby poskytovatel jednotlivé formy zaručených elektronických podpisů, kterými jsme se právě z tohoto důvodu již věnovali. srpen 2008



díl 2, Legislativa

Poskytovatel certifikačních služeb

Poskytovatelem certifikačních služeb je fyzická osoba, právnická osoba nebo organizační složka státu, která vydává certifikáty a vede jejich evidenci, případně poskytuje další služby spojené s elektronickými podpisy. Za další služby spojené s elektronickými podpisy lze považovat zejména služby registračních a archivačních autorit.53 Zákon však pro (běžného) poskytovatele certifikačních služeb nestanoví téměř žádné další konkrétní povinnosti. K poskytování služeb od tohoto poskytovatele není zapotřebí existence speciální právní úpravy ve formě zákona o elektronickém podpisu. Tito poskytovatelé již v České republice působí řadu let54. Stejně tak neplatí omezující podmínka55, že musí jít o podnikatele.

Poskytovatel certifikačních služeb vydávající kvalifikované certifikáty

Poskytování certifikačních služeb v oblasti elektronického podpisu bylo nařízením vlády zařazeno do seznamu oborů volných živností v rámci služeb v oblasti administrativní správy a služeb organizačně hospodářské povahy u fyzických a právnických osob.56 Poskytovatel certifikačních služeb ale podléhá oznamovací povinnosti dle § 6 odst. 2 a musí Ministerstvu vnitra ohlásit nejméně 30 dnů před vydáním prvního kvalifikovaného certifikátu, že bude vydávat kvalifikované certifikáty. 53

Registrační autority provádějí zejména záznam některých požadavků souvisejících s vydáním (kvalifikovaného) certifikátu a ověřuje údaje, které jsou požadovány pro vydání těchto certifikátů, a pořizují, případně ukládají kopie dokumentů, které byly předloženy (jde zejména o předkládání a kopírování částí občanských průkazů a dalších obdobných dokumentů). Archivační autority pak archivují související elektronické dokumenty po dlouhou dobu 54 Bez ohledu na existenci lex specialis pro tuto oblast, působí u nás celá řada těchto poskytovatelů. Jde o I.CA (http://www.ica.cz/), TrustCert (http://www.trustcert.cz), KPNQwest (http://www.kpnqwest.cz/), Secunet (http://www.secunet.cz/), Certifis (http://www.certifis.cz/), UEP a.s. (http://www.uep.cz/), Česká pošta (http://www.cpost.cz/) 55 § 10 odst. 2 písm. a) a § 12 odst. 1 písm. b) zákona 56 Nařízení vlády č. 468 /2000 Sb., kterým se mění nařízení vlády č. 140/2000 Sb., kterým se stanoví seznam oborů živností volných

srpen 2008



Nejvyšší požadavky uplatňuje zákon vůči akreditovaným poskytovatelům certifikačních služeb, tedy těm poskytovatelům, kterým bylo Ministerstvem (Úřadem) vydáno osvědčení (akreditace), že splňují podmínky stanovené zákonem pro výkon činnosti akreditovaného poskytovatele certifikačních služeb.

Akreditovaný poskytovatel certifikačních služeb

Žádost o udělení akreditace k výkonu činnosti akreditovaného poskytovatele certifikačních služeb může požádat každý (běžný) poskytovatel certifikačních služeb. Podání žádosti o akreditaci podléhá správnímu poplatku dle zákona č. 634/2004 Sb., o správních poplatcích, v platném znění, ve výši 100 000 Kč. Ze zákona však podléhají akreditovaní poskytovatelé certifikačních služeb řadě dalších omezení.

srpen 2008


srpen 2008




3/2.3.5 ODPOVĚDNOST A DOKAZOVÁNÍ

Jednotlivé kategorie poskytovatelů certifikačních služeb byly popsány v předchozím textu. Vyjma obecné soukromoprávní odpovědnosti se jako poměrně významná jeví také odpovědnost veřejnoprávní, případně i trestněprávní. Jeden z nejdůležitějších nástrojů jsou zde pokuty, které je Ministerstvo vnitra na základě § 18 zákona oprávněno udělit. Pokud akreditovaný poskytovatel certifikačních služeb nebo poskytovatel certifikačních služeb vydávající kvalifikované certifikáty poruší povinnost uloženou zákonem, může mu Ministerstvo uložit pokutu až do výše 10 000 000 Kč. Pokud do jednoho roku ode dne, kdy nabylo rozhodnutí o uložení pokuty právní moci, neplní opakovaně povinnosti uložené mu zákonem, může mu být uložena pokuta do výše 20 000 000 Kč. V případě, že akreditovaný poskytovatel certifikačních služeb nebo poskytovatel certifikačních služeb vydávající kvalifi-

Odpovědnost poskytovatelů certifikačních služeb

srpen 2008



díl 2, Legislativa

kované certifikáty maří kontrolu prováděnou Ministerstvem, může být potrestán pořádkovou pokutou do výše 1 000 000 Kč, a to i opakovaně. Zajímavé je i velmi široké ustanovení § 18 odst. 4, které opravňuje Ministerstvo k uložení pokuty do výše 25 000 Kč, a to i opakovaně každé osobě, která byť z nedbalosti, neposkytne Ministerstvu při výkonu kontroly potřebnou součinnost. Při rozhodování o výši pokuty se přihlíží zejména ke způsobu jednání, míře zavinění, závažnosti, rozsahu, době trvání a následkům protiprávního jednání. Pokutu lze pak uložit do jednoho roku ode dne, kdy příslušný orgán porušení povinnosti zjistil, nejdéle však do tří let ode dne, kdy k porušení povinnosti došlo. Výnos pokut je příjmem státního rozpočtu České republiky. Odpovědnost podepisujících osob (§ 5 zákona)

Zákon obsahuje zvláštní právní úpravu odpovědnosti v souvislosti s porušením povinností podepisující osoby, tedy fyzické osoby, která má prostředek pro vytváření podpisu a jedná jménem svým nebo v zastoupení jiné fyzické či právnické osoby. V zákoně je totiž stanoveno, že za škodu způsobenou porušením povinností (vyjmenovaných v § 5 odst. 1) odpovídá podepisující osoba podle občanského zákoníku. Odpovědnosti se pak podepisující osoba může zprostit, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn. Ve smyslu této zvláštní úpravy je pak pamatováno především na možnost zneužití elektronického podpisu ze strany třetích osob. V tomto smyslu je pak i konstruována odpovědnost podepisujících osob.

srpen 2008



Jak již bylo zmíněno výše, autorství pravého odesílatele datové zprávy, tedy toho, čí vůle byla projevem vůle manifestována, tento zákon pochopitelně nezaručuje. Zákon nám zde pouze pomáhá potvrdit to, že datová zpráva byla elektronicky podepsána prostřednictvím dat (případně prostředku) pro vytváření těchto podpisů a nikoli tedy to, že datovou zprávu podepsala osoba, o které předpokládáme, že tak učinila. Takový případ je ostatně v některých směrech srovnatelný s krádeží (či nalezením) osobních dokladů a jejich následného zneužití (např. při zapůjčení osobního automobilu na základě těchto dokladů a jeho násl. odcizení). Hlavní problém pak spočívá ve složitém a mnohdy komplikovaném dokazování. Nelze však vyloučit možnost, že se podaří jednoznačně prokázat, že datovou zprávu podepsala či naopak nepodepsala uvedená osoba (např. v e-mailu či na certifikátu). V praxi to ale nebude rozhodně bez komplikací. S ohledem na výše uvedená rizika, která se nepochybně snižují v závislosti na používání jednotlivých forem elektronických podpisů, byl v § 5 odst. 1 je podepisující osoba povinna: • zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití, • uvědomit neprodleně poskytovatele certifikačních služeb, který vydal kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření zaručeného elektronického podpisu. Za prostředek zaručeného elektronického podpisu může být považován veškerý hardware potřebný k pro-

srpen 2008



díl 2, Legislativa

vedení samotného elektronického podpisu, za data zaručeného elektronického podpisu naopak veškeré programové vybavení, jehož je k podpisu užito. Co se rozumí náležitou péčí ve vztahu k výše uvedenému, není příliš snadné vyložit. Žádný zákon - a co je mi známo, ani žádné soudní rozhodnutí - neobsahuje legální definici tohoto pojmu. Obecně však lze konstatovat, že jde o takové zacházení, které nejenom, že je na potřebné odborné úrovni, ale spočívá i v dodržování výše uvedených zásad. Dále je zde vyjádřena oznamovací povinnost ve vztahu k poskytovateli certifikačních služeb ohledně existence - byť sebemenší - možnosti hrozby nebezpečí zneužití programového vybavení, jehož je k podpisu užito. Výraz neprodleně je třeba chápat vzhledem k okamžiku zjištění samotné možnosti takové hrozby (a tedy subjektivně). Za škodu způsobenou porušením jakékoliv z výše uvedených povinností se tedy odpovídá - až na jednu výjimku57 podle občanského zákoníku. Povinnosti označující osoby (§ 5a zákona)

Podle ustanovení § 6a zákona má označující osoba obdobné povinnosti jako osoba podepisující, a tedy povinna, • zacházet s prostředkem, jakož i s daty pro vytváření elektronických značek s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití, • uvědomit neprodleně poskytovatele certifikačních služeb, který vydal kvalifikovaný systémový certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření elektronických značek.

57

srpen 2008

§ 5 odst. 2 druhá věta zákona



Vzhledem k povaze označující osoby je však dále povinna zajistit, aby prostředek pro vytváření elektronických značek, který používá, splňoval požadavky stanovené tímto zákonem (§ 5a odst. 2 zákona). Poměrně zajímavá je pak konstrukce ustanovení § 5a odst. 3, podle kterého za škodu způsobenou porušením těchto povinnosti pak odpovídá, i když škodu nezavinila, podle zvláštních právních předpisů, odpovědnost za vady podle zvláštních předpisů tím není dotčena58, a to zejména ve vztahu k poněkud ojedinělé koncepci objektivní odpovědnosti. Jak ostatně uvádí ustanovení § 5b zákona, držitel certifikátu je povinen bez zbytečného odkladu podávat přesné, pravdivé a úplné informace poskytovateli certifikačních služeb ve vztahu ke kvalifikovanému certifikátu a ve vztahu ke kvalifikovanému systémovému certifikátu.

Povinnosti držitele certifikátu (§ 5b zákona)

S ohledem na výše uvedené je však třeba již nepochybně zmínit otázky dokazování, které, ačkoli se jejich úprava příliš nezměnila, představují nepochybně jednu z nejdůležitějších otázek spojenou s užíváním elektronické komunikace v souvislosti s právními úkony. Hmotně právní úprava tedy stanoví platnost těchto právních úkonů. Procesně právně pak může být na jejich základě uplatňován určitý právní nárok. S ohledem na ustanovení § 125 občanského soudního řádu, mohou za důkaz sloužit všechny prostředky, jimiž lze zjistit stav věci, zejména výslech svědků, zna-

Dokazování

58

Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že elektronická značka je platná a její kvalifikovaný systémový certifikát nebyl zneplatněn.

srpen 2008



díl 2, Legislativa

lecký posudek, zprávy a vyjádření orgánů, fyzických a právnických osob, notářské zápisy a jiné listiny, ohledání a výslech účastníků. V tomto smyslu sice nepochybně lze vést teoretické spory ohledně výkladu pojmu „jiné listiny“, resp. o to, zda lze právní úkon, jenž byl učiněn elektronickými prostředky a podepsán elektronicky podle zvláštních předpisů subsumovat pod pojem „jiných listin“, nicméně s ohledem na nepochybně příkladný výčet uvedený v tomto ustanovené by šlo opět o spor výlučně a jen teoretický59. S ohledem na tuto - nepochybně - velmi širokou škálu přípustných důkazů je nesporné, že právní úkon, jenž byl učiněn elektronickými prostředky a podepsán elektronicky podle zvláštních předpisů, může sloužit jako důkaz v občanskoprávním řízení. Způsob provedení takového důkazu pak určí soud (§ 125 občanského soudního řádu, věta druhá). Obdobně, jak je tomu v případě občanského soudního řadu, kde je důkaz chápan velmi široce, za důkaz v trestním řízení může sloužit vše, co může přispět k objasnění věci, zejména výpovědi obviněného a svědků, znalecké posudky, věci a listiny důležité pro trestní řízení a ohledání (§ 89 odst. 2 trestního řádu). V tomto smyslu tedy nepředstavuje dokazování, jehož předmětem je jakákoliv forma elektronického podpisu, jakýkoliv závažnější problém.

59

srpen 2008

A je tedy třeba opět souhlasit s J. Burešem a L. Drápalem, viz poznámku č. 6



3/2.3.6 K PROBLEMATICE OBLASTI ORGÁNŮ VEŘEJNÉ MOCI

Zákon ve svém původním znění § 11 obsahoval výkladově poněkud problematické ustanovení. Z dikce tohoto paragrafu vyplývalo omezení, že v oblasti orgánů je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb. Výklad tohoto ustanovení byl donedávna předmětem teoretického sporu. V tomto ohledu lze zmínit např. články kolegů P. Matese a V. Smejkala, Právní nebo technické normy, Bulletin advokacie 8/2002, (s. 61-63), kde se tito autoři snaží nastínit možné příčiny, resp. jednu z příčin nestability našeho právního řádu, a to především se zřetelem k jeho přílišné kasuistice. Článek výše uvedených autorů je bezpochyby přínosem, pokud pojednává o obecných aspektech této problematiky, případně, a i to s výhradou, o některých aspektech elektronického podepisování či doktrinárním

Problematické ustanovení § 11

srpen 2008



díl 2, Legislativa

výkladu pojmu „orgán veřejné moci“60. Dle názoru autora této části publikace jej však lze považovat za zcela zavádějící a nesprávný v celé řadě dalších aspektů. V dalších řádcích se autor pokusí vysvětlit proč. Jak tedy vyplývá z obsahu výše citovaného článku, jeho autoři kritizují (mnohdy jistě nevhodnou) kasuistiku našeho právního řádu, resp. jeho právních norem, přičemž se dožadují požadavku jejich obecnosti. Dle jejich názoru je totiž právní norma jakýmsi obecným pravidlem chování61, avšak (jak dále uvádějí) náš právní řád jde prý v linii opačné a někdy se zdá, jakoby zákonodárce chtěl pamatovat na všechny možné detaily a varianty, takže obsah právních předpisů připomíná spíše technické normy, podrobně určující každý krok, který je třeba vykonat, čemuž pak odpovídá obsah i terminologie zákonů. Takovýto přístup, posílený nedostatečnou sebedůvěrou ve výklad obecně formulovaného předpisu, pak mnohdy, jak tvrdí výše uvedení autoři, způsobuje mimo jiné soustavné změny právního řadu. Z toho pak výše uvedení autoři dovozují, že není třeba se dožadovat v případě jakékoli nejasnosti okamžité změny zákona, ale vhodnější je počkat si na výklad, který učiní praxe.

60

Co se týče výkladu tohoto pojmu, je autor této práce s výše uvedeným názorem zajedno. 61 V tomto ohledu se však, patrně vědomě, dopouštějí nikoli nepodstatného zjednodušení. Právní normy jistě mohou být vymezeny z různých aspektů a k jejich definici lze tudíž přistupovat různým způsobem. Převládají definice, které chápou právní normy jako určitým způsobem kvalifikovaná pravidla lidského chování, stejně tak ale existují i jiné. Obecnost se však k pojmu právní normy per definicionem váže zejména ve smyslu její závaznosti. I kasuistická (nikoli tedy obecná) právní norma, pokud je obecně závazná, je nepochybně normou právní.

srpen 2008



Odhlédneme-li na okamžik od samotné právní (ne)závaznosti takovéhoto výkladu, klíčovou problematiku zde představuje ještě jedna otázka. Autoři totiž nesprávnost výše uvedeného přístupu demonstrují na příkladu výkladu ustanovení § 11 zákona o elektronickém podpisu, které považují právně za dostatečně obecné, jasné, a tedy prosté jakékoliv potřeby jej novelizovat. V tomto ohledu výše uvedení autoři rovněž polemizují s některými již publikovanými právními názory62 na tuto problematiku. V těchto článcích mimo jiné také autor uvádí63, že zákon o elektronickém podpisu obsahuje, či dnes přesněji obsahoval64, řadu právně nepříliš vyhovujících ustanovení. Mimo jiné je zde také uváděno (a v tom je příčina sporu s výše uvedenými autory), že § 11 zákona o elektronickém podpisu je formulován dosti nejednoznačně a neostře, což je vzhledem ke klíčové povinnosti, kterou zavádí, vskutku na pováženou. Toto ustanovení (§ 11), byť obsahuje pouze jedinou větu, říká, že „v oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb“. V tomto směru je třeba především zastávat názor, že je zde použit velmi neostrý pojem „oblast“ orgánů veřejné moci a může být tedy v některých případech sporné, zda je nutno používat tuto (jistě důvěryhodnou, avšak také nákladnou)

62

Zejména pak s kritickými poznámkami k zákonu o elektronickém podpisu uvedenými v článku K právní úpravě elektronického podpisu, Bulletin Advokacie, 3/2002, s. 27 - 41 a dále pak s článkem Matejka, J., Úprava elektronického podpisu v právním řádu ČR, Právník, č. 6, 2001, s. 557 - 586 63 Matejka, J., Chum, V., K právní úpravě elektronického podpisu, Bulletin Advokacie, 3/2002, s.39-41 64 Zákon o elektronickém podpisu byl s účinností od 1. 7. 2002 v tomto ohledu novelizován (k tomu více v závěru tohoto článku).

srpen 2008



díl 2, Legislativa

formu podpisu i tam, kde s takovým orgánem pouze komunikuje soukromý subjekt - fyzická osoba (např. v souvislosti s podáváním daňového přiznání). Uvedené jsme demonstrovali právě na zjevně neostré hranici pojmu „oblast“, který lze jen sotva jednoznačně vyložit. Autor této části publikace vycházel z obvykle uváděného výkladového vodítka přirovnávajícímu „orgán veřejné moci“ k „výkonu této moci“ (nejde totiž o statický pojem) a nezbývalo nám než konstatovat, že komunikace soukromých subjektů s orgánem veřejné moci není výkonem ani oblastí výkonu této moci a že tedy soukromá osoba podávající podání směrem k orgánu veřejné moci se patrně nemusí (ale může) podepisovat způsobem uvedeným v § 11. Jinými slovy autor neviděl důvod uvedené ustanovení (jde o kogentní veřejnoprávní normu) vykládat extenzivně, tj. interpretovat uvedené ustanovení tak, aby se povinnost v této právní normě stanovená vztahovala i na fyzické či právnické osoby. Vzhledem k nejasnosti tohoto ustanovení, resp. tohoto pojmu, autor této práce tedy doporučoval upřesnění uvedené formulace, případně vypuštění celého ustanovení, a to i z celé řady dalších důvodů (jako např. jeho neslučitelnost s právem ES apod.).65 Autoři výše uvedeného článku však argumentují zjevně opačně, a to mimo jiné i tím, že podle jejich názoru je třeba chápat pojem „oblast orgánů veřejné moci“ nikoli „jednosměrně“, a to zejména z toho důvodu, že pokud by zákonodárce chtěl tento smysl ustanovení § 11 dát, pak by tak nepochybně i výslovně učinil. Dle našeho názoru však v tomto případě nejde

65

srpen 2008

K tomu více Matejka, J., Úprava elektronického podpisu v právním řádu ČR, Právník, č. 6, 2001, s. 580 a násl.



o argumentaci relevantní, a to zejména vzhledem k veřejnoprávní povaze tohoto ustanovení, kde by naopak zákonodárce měl výslovně stanovit, že se toto ustanovení na tzv. „jednosměrnou“ komunikaci vztahuje66. V podobném duchu je ze strany autorů dále argumentováno, že pouze zaručený elektronický podpis ve smyslu § 2 písm. b) zákona o elektronickém podpisu zaručuje potřebnou vysoce jistou verifikaci osoby i obsahu úkonu, který činí, a že tedy není možno dospět k jinému závěru, než že právě ten má na mysli § 11 zákona, a to i v případě, že soukromý subjekt činí podání k orgánu veřejné moci. K tomuto argumentu je však třeba dodat zejména to, že samotný zaručený elektronický podpis (bez kvalifikovaného certifikátu, apod.) toho v tomto ohledu příliš mnoho nezaručuje a vypovídací hodnota takového podpisu nemusí, ale může být zcela srovnatelná (snad vyjma požadavku integrity) s běžným elektronickým podpisem (např. údajem o odesílateli SMS zprávy, označením odesílatele e-mailu, apod.). Navíc v tradiční papírové a co do podpisu vlastnoruční podobě také nikde nenalezneme obdobu požadavku vysoce jisté verifikaci osoby i obsahu úkonu, tak jak uvádějí oba autoři. V tomto ohledu tento argument považujeme tedy za zavádějící. Ať již má však pravdu kdokoliv, je třeba zdůraznit, že spory ohledně § 11 navíc provází tento zákon již od jeho počátku. V žádném z předložených návrhů tohoto zákona se povinnost podobné té v § 11 nevyskytovala a do samotného textu zákona se toto ustanovení dostalo mezi jeho druhým a třetím čtením jako důsle-

66

Viz čl. 2 odst.3 čl. 4 odst. 1 Listiny základních práv a svobod

srpen 2008



díl 2, Legislativa

dek přijatého pozměňovacího návrhu. Důvodová zpráva k tomuto zákonu je tedy pochopitelně nepoužitelná. Pár měsíců po nabytí účinnosti tohoto zákona se nad výkladem ustanovení § 11 začalo diskutovat, zřídkakdy však s jednoznačným výsledkem. Schůzek, konferencí a různých porad, které se rozsahem (extenzí) § 11 zabývaly, bylo v tomto ohledu rovněž nepočítaně67 a publikovaných názorů, vzhledem k pozornosti, které elektronický podpis v odborné literatuře získal, pak také. V zásadě zde však šlo pouze o názor na předmětnou problematiku, resp. na nejasnost výkladu § 11. Prvním významným činem (a rovněž medializovaným) či spíše klíčovým příspěvkem z řad kritiků tohoto zákona byla reakce ministerstva práce a sociálních věcí ČR (MPSV), které právě z důvodů nejasnosti § 11 tohoto zákona zastavilo zásadní projekt zavádění elektronického podpisu do státní správy. Zastavení tohoto projektu bylo ze strany MPSV rovněž několikráte zdůvodňováno68. Této nepříliš jasné situace si zjevně povšimla také Vláda České republiky, která dne 9. ledna 2002 přijala usnesení č. 20 k Zelené knize o elektronickém obchodu, jehož obsahem byl mimo jiné i její závazek novelizací konkretizovat §11 zákona o elektronickém podpisu69. 67

Jako zřejmě nejvýznamnější zde uvádím zejména akce Sdružení pro informační společnost (SPIS), a to zejména diskusní setkání ředitelů odborů informatiky ministerstev a dalších orgánů statní správy na téma implementace elektronického podpisu do státní správy v Kaiserštejnském paláci (dne 13.2.2002), dále pak v Tuchlovicích (patrně dne 25. 5. 2001) a další. Tato problematika však byla předmětem řady porad a jednání v rámci Úřadu pro ochranu osobních údajů. 68 Např. Kučera, R., MPSV: Elektronický podpis nebude?!, 11.12.2001, zive.cz 69 Toto usnesení vlády, resp. jeho příloha č. 2 (Návrh analýzy právních předpisů) v tomto ohledu výslovně konstatuje, že § 11 zákona o elektronickém podpisu je výkladově problematický, v tomto ohledu pak také stanoví související závazky.

srpen 2008



Dle našeho názoru lze tedy sotva souhlasit s autory výše citovaného článku, že výklad tohoto ustanovení je (a vždy byl) jasný a že tedy nebylo třeba se dožadovat případné změny zákona a precizovat tak (dosud spornou) extenzi tohoto ustanovení. Je nepochybně pravdou, a v tom lze s autory výše citovaného článku jistě souhlasit, že právní normy, a to zejména ty zákonné, mají být obecné. Je však třeba poznamenat, a tomu se autoři ve svém textu k jejich škodě nevěnovali, že obecnost v tomto smyslu nesmí znamenat vágnost a nejednoznačnost právní normy, ať již jako celku, nebo její části. K tomu, abychom mohli určitou normu považovat za normu právní, je třeba, aby její závaznost byla obecná, a to včetně předmětu její úpravy. Obecností co do předmětu se v tomto ohledu rozumí zejména to, že právní norma obecně vymezuje svou skutkovou podstatu (např. tak, že stanoví povinnost používat určitý typ elektronického podpisu), tj. že nikdy nemůže řešit určitý konkrétní případ. Tato stránka obecnosti právní normy je ale celkem nepochybná. O poznání složitější je však otázka obecnosti právní normy co do jejích adresátů (subjektů právní normy) a o tu v tomto případě také jde. Z požadavku obecnosti právní normy co do jejích subjektů (adresátů) však zároveň vyplývá, že nemůže být adresována jmenovitě toliko určité osobě (např. konkrétnímu pracovníkovi, koncipientovi či advokátovi), obecnost právní normy tedy nespočívá pouze v předmětu její úpravy, ale též ve způsobu určení jejich adresátů. Adresát právní normy tedy musí být určen a vymezen určitými obecnými znaky, resp. množinou těchto znaků. Obecnost právní normy v tomto smyslu (tedy

srpen 2008



díl 2, Legislativa

co do jejích subjektů - adresátů) je pak dána tehdy, jestliže jejím subjektem jsou všechny subjekty práv, které jsou prvkem dané množiny. Dalším nezbytným, byť navýsost souvisejícím a potřebným požadavkem je pak srozumitelnost, tj. jasnost a jednoznačnost formulace právní normy. Právní norma je totiž dále studována, vykládána a ve svém důsledku pak zejména aplikována v každodenní praxi (ať již úřední, soudní, advokátní či jiné). V zásadě jakýkoliv, byť sebemenší formulační nedostatek právní normy pak má za následek, že se jím tato praxe zatěžuje, vyvolává četné spory o výklad, zbytečné polemiky a porady o skutečném obsahu právního předpisu či jeho jednotlivých právních norem.70 Pokud zákonodárce formuluje právní normu tak, že její předmět co do subjektů (adresátů) váže na právně značně nejednoznačný a nejasný pojem „oblast“, tak lze skutečně jen hádat (resp. ji složitě vykládat) a polemizovat nad jejím skutečným obsahem. Vyjma výše uvedených problémů, pak takový přístup zbytečně nabourává tolik nezbytný požadavek právní jistoty. Jedním z dalších, dle našeho soudu nesprávných závěrů obou výše uvedených autorů je tvrzení, že ustanovení § 11 tohoto zákona je zcela v souladu s příslušnou směrnicí ES, resp. s jejím čl. 3 odst. 7, které, jak uvádějí autoři v poznámce pod čarou, údajně dovoluje členským státům podmínit používání elektronického podpisu ve veřejném sektoru případnými doplňujícími podmínkami. Čl. 3 odst. 7 této směrnice vskutku obdobné ustanovení obsahuje, avšak zároveň,

70

srpen 2008

K tomu více Knapp, V., Tvorba práva a její současné problémy, Linde Praha, 1998, s. 34 a násl.



a to v tomtéž článku, dále uvádí, že „Tyto podmínky musí být objektivní, transparentní, úměrné a prosté diskriminace a smí se vztahovat výlučně na specifické charakteristiky daného použití. Tyto podmínky však nesmějí pro občany vytvářet překážky pro využívání služeb přesahující hranice či přeshraniční služby.“71 Při dočtení uvedeného článku do konce je tedy zjevné, že tyto podmínky nesmějí být překážkou pro služby poskytované občanům „přes hranice“. Hlavní zákonnou podmínkou pro užívání elektronického podpisu ve veřejném sektoru je však v případě ČR (alespoň pokud dáme autorům při jejich výkladu § 11 za pravdu), ta skutečnost, že musí jít o zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb (§ 11). Zákon o elektronickém podpisu byl v minulosti rovněž předmětem řady expertiz a stanovisek, kde byla vyslovena jeho zjevná nekompatibilita s právem ES, a to i výslovně vůči ustanovení § 11 tohoto zákona72. Zákon tak zůstává, bohužel v celé řadě dalších ustanovení (v rozporu s tvrzením v důvodové zprávě73) neslučitelný s právem Evropských společenství (zejména pak ustanovení § 2, § 10, § 11 a § 16).

71

Member States may make the use of electronic signatures in the public sector subject to possible additional requirements. Such requirements shall be objective, transparent, proportionate and non-discriminatory and shall relate only to the specific characteristics of the application concerned. Such requirements may not constitute an obstacle to cross-border services for citizens. 72 Např. stanovisko Odboru kompatibility s právem ES Úřadu vlády ze dne 23. 8. 2001, kde byla tímto odborem jasně stanovena neslučitelnost zákona o elektronickém podpisu s právem ES (prováděcí vyhláška k tomuto zákonu však byla shledána zcela slučitelnou), další expertiza (se stejným výsledkem) pak byla provedena Parlamentním institutem. 73 Viz část E důvodové zprávy

srpen 2008



díl 2, Legislativa

S účinností od 1. 7. 2002 byl přijat zákon č. 226/2000 Sb., kterým se vyjma klíčových procesních norem, na které se v některých otázkách při přijetí zákona o elektronickém podpisu jaksi pozapomnělo (trestní řád, správní řád, zákon o správě daní a poplatků) mění a doplňuje také § 11 zákona o elektronickém podpisu. Pátá část této novely tak doplňuje a konkretizuje extenzi dosud problematického § 11 zákona o elektronickém podpisu, kde se za dosud existující ustanovení tohoto paragrafu doplňuje text „To platí i pro výkon veřejné moci vůči fyzickým a právnickým osobám. Pokud je zaručený elektronický podpis založený na kvalifikovaném certifikátu užíván v oblasti orgánů veřejné moci, musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznačně identifikovatelná.“ Zde zákonodárce svým způsobem odstraňuje řadu nejasností spočívajících v dosavadní celkové neurčitosti a zavádí tzv. jednoznačný identifikátor (tedy údaj uvedený na certifikátu), který se ukázal jako nezbytný pro potřeby praxe. Jedním z důsledků této poslední novely zákona o elektronickém podpisu je také to, že pro komunikaci s orgánem veřejné moci nelze používat anonymní certifikát. V souvislosti s touto novelou pak také ministerstvo práce a sociálních věcí zahájilo projekt podávání žádostí o dávky sociální podpory elektronickou cestou. Jako součást kvalifikovaného certifikátu tak MPSV (zcela v souladu s touto novelou) vyžaduje identifikátor klienta MPSV. Tento identifikátor si musí nechat podepisující se osoba zapsat do svého kvalifikovaného certifikátu při jeho vystavení. Tato novela (dále jen novela) reflektuje většinu požadavků jak praxe74,

74

srpen 2008

Faltýnek, M., Zákon o elektronickém podpisu v daňové správě, Daně, 1/2001, s. 12



tak i právní teorie75. K těmto krokům se, jak již bylo výše uvedeno, rovněž nedávno zavázala i vláda.76 Jak vyplývá z výše uvedeného, nedomníváme se tedy, že nebylo třeba se dožadovat novelizace § 11 zákona o elektronickém podpisu ve smyslu upřesnění jeho extenze. Dle našeho názoru skutečně nelze zjevné nedostatky právního řádu odstraňovat pouhým výkladem. Opačný přístup by nejenom nabourával požadavek právní jistoty, ale zejména by v obdobných případech vytvářel řadu dalších překážek v již poměrně komplikované problematice e-government. V posledních letech bohužel dochází stále častěji k vytváření aplikačně velmi problematických zákonů, kde se pak stává téměř běžné, že se nepostupuje podle zákona, ale pouze podle výkladu tohoto zákona77.

75

Např. Matejka, J., Vybrané první překážky elektronického obchodu, Parlamentní zpravodaj, 3/2002, s. 12 - 13 Viz. dokument Zelená kniha o elektronickém obchodu, který vláda přijala na svém zasedání ze dne 9. 1. 2002 77 Není pochyb, že problémů, které takovýto přístup pak přináší, je celá řada, jejich komplexní zpracování by nedalo ne na článek, ale na samostatnou monografii. 76

srpen 2008


srpen 2008




3/2.3.7 ELEKTRONICKÝ PODPIS V PRÁVU ES

Evropské společenství se vydalo cestou velmi obsáhlé a vše objímající úpravy. Již několikráte zmíněná Směrnice ES č. 1999/93/EC o zásadách Společenství pro elektronické podpisy78 stanovila pouze určité nezbytné minimum s tím, že budou následovat další kroky upravující v rámci stávajícího právního rámce např. otázku odpovědnosti za škodu, obchodování na dálku, cel a daní, dálkového zaměstnání apod. Ve světě existují stovky norem upravujících problematiku elektronických podpisů79.

Obecné aspekty právní úpravy

Obdobně jako vzorový zákon UNCITRAL je i tato směrnice dosti obecná a obsahuje řadu kompromisů,

78

Directive 1999/93/EC of 13 December 1999 on a Community framework for electronic signatures - http://www.ict.etsi.org/eessi/e-sign-directive.pdf 79 Jaroslav Pinkava: Přehled norem pro elektronický podpis a související okruhy problematik - http://www.uoou.cz/normy.html

srpen 2008



díl 2, Legislativa

z nichž některé představují pro právní řády členských států, jakož i pro odborníky na technologii elektronického podepisování řadu problémů. Ty ostatně vyplývají právě ze skutečnosti, že neexistuje jiný, výkladový nebo technologický dokument pocházející z ES, který by na Směrnici navazoval a vysvětloval její jednotlivé principy. Výstupy jiných organizací a sdružení, např. často citovaného EESSI, nejsou zcela kompatibilní se Směrnicí a bude chvíli trvat, než dojde k jejich sladění, pokud se tak vůbec stane. Navzdory výše uvedenému však v zemích ES existuje řada poskytovatelů certifikačních služeb. Samotná Směrnice však vychází z některých základních principů. Jedním z nejdůležitějších je zde - obdobně jako je tomu u našeho zákona - technologická neutralita. Směrnice tedy výslovně nehovoří o žádné konkrétní technologii, což otevírá prostor pro řadu dalších nejenom biometrických metod. Dále zde musí existovat systém dohledu nad poskytovateli certifikačních služeb, včetně instituce ověřující správnost zařízení pro vytváření elektronických podpisů. Tato zařízení pro vytváření a ověřování elektronických podpisů, která splňují podmínky direktivy, musí mít pak povolen volný pohyb na trhu členských zemí ES. Jednou z dalších podmínek je zde neexistence jakéhokoliv přímého či nepřímého omezení týkajícího se počtu poskytovatelů certifikačních služeb. Jedním z dalších velmi zajímavých požadavků Směrnice je předpoklad, že zaručený elektronický podpis lze užívat rovnoprávně s vlastnoručním podpisem. S tím ostatně souvisí i požadavek uznávání elektronických podpisů coby důkazních prostředků v soudním řízení, který výslovně zakazuje členským zemím omezovat použitelnost elektronických podpisů jako důkazních prostředků jen na základě toho, že je v elektronické srpen 2008



podobě, či že není odvozen z kvalifikovaného certifikátu. Členské země ES musejí pak zajistit, že poskytovatel certifikačních služeb odpovídá za škody způsobené osobám, které se spoléhaly na správnost příslušného certifikátu, a to minimálně vzhledem ke kvalifikovaným certifikátům. Směrnice i český zákon jsou zaměřeny na právní aspekty daleko více než na technologické řešení, což vedlo k jistému nepochopení ze strany potenciálních poskytovatelů certifikačních služeb i uživatelů. Stále se opakují námitky, že zákon neřeší to či ono. Je třeba si ale uvědomit, že zákony nejsou ani technickými normami, ani technologickými předpisy, ani programovacími manuály. Už tak silný ohled na technologie, který bohužel do zákona vnesla zmíněná směrnice EU, považuji za nešťastný a v budoucnosti (s ohledem na vývoj technologií apod.) také za omezující. Seznam souvisejících právních a normativních předpisů • Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (Zákon o elektronickém podpisu) - a předpisy jej provádějící • Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů • Zákon č. 151/2000 Sb., o telekomunikacích a o změně dalších zákonů - a předpisy jej provádějící • Zákon č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (Zákon o poštovních službách) - a předpisy jej provádějící • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím

Zákonné předpisy v ČR

srpen 2008



díl 2, Legislativa

Podzákonné předpisy

• Vyhláška Úřadu pro ochranu osobních údajů o upřesnění podmínek stanovených v § 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu. • Vyhláška Ministerstva informatiky č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb)

Doporučující předpisy ČR

• Státní informační politika • Národní telekomunikační politika • Akční plán realizace státní informační politiky do roku 2003 • Národní akční plán eEurope+ (Česká republika) • Koncepce budování informačních systémů veřejné správy • Koncepce státní informační politiky ve vzdělávání • Bílá kniha o elektronickém obchodu • Zelená kniha o elektronickém obchodu • Návrh základních opatření pro podporu elektronického obchodu v České republice

Platná právní úprava v EU

Směrnice: • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v oblasti elektronické komunikace (Směrnice o soukromí a elektronické komunikaci) • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2002/22/ES ze dne 7. března 2002 o uni-

srpen 2008



verzální službě a uživatelských právech týkajících se sítí a služeb elektronických komunikací (Směrnice o univerzální službě) • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (Rámcová směrnice) • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2002/20/ES ze dne 7. března 2002 o oprávnění k zajišťování sítí a poskytování služeb elektronických komunikací (Autorizační směrnice) • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2002/19/ES ze dne 7. března 2002 o přístupu k sítím elektronických komunikací a přiřazeným zařízením a o jejich vzájemném propojení (Přístupová směrnice) • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2001/29/ES ze dne 22. května 2001 o harmonizaci určitých aspektů autorského práva a práv s ním souvisejících v informační společnosti • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu (Směrnice o elektronickém obchodu) • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 1999/5/ES ze dne 9. března 1999 o rádiových zařízeních a telekomunikačních koncových zařízeních a vzájemném uznávání jejich shody

srpen 2008



díl 2, Legislativa

• SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 98/34/ES ze dne 22. června 1998 o postupu při poskytování informací v oblasti technických norem a předpisů • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 98/10/ES ze dne 26. února 1998 o uplatnění otevřeného přístupu k síti (ONP) pro telefonní službu a pro vytvoření univerzální služby v oblasti telekomunikací v konkurenčním prostředí • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 97/33/ES ze dne 30. června 1997 o propojení v odvětví telekomunikací s cílem zajistit univerzální službu a interoperabilitu uplatněním zásad otevřeného přístupu k síti (ONP) • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 97/7/ES ze dne 20. května 1997 o ochraně spotřebitele v případě smluv uzavřených na dálku • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 97/13/ES ze dne 10. dubna 1997 o společném rámci pro obecná povolení a individuální licence v oblasti telekomunikačních služeb • SMĚRNICE KOMISE 96/2/ES ze dne 16. ledna 1996, kterou se mění směrnice 90/388/EHS s ohledem na mobilní a osobní komunikaci • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 95/62/ES ze dne 13. prosince 1995 o aplikaci poskytování otevřené sítě (ONP) na hlasovou telefonii • SMĚRNICE KOMISE 94/46/ES ze dne 13. října 1994, kterou se mění směrnice 88/301/EHS a směrnice 90/388/EHS, zejména s ohledem na satelitní komunikaci

srpen 2008



• SMĚRNICE RADY 92/44/EHS ze dne 5. června 1992 o uplatňování otevřeného přístupu k síti pro pronajaté okruhy • SMĚRNICE RADY 91/263/EHS ze dne 29. dubna 1991 o sbližování právních předpisů členských států týkajících se koncových telekomunikačních zařízení včetně vzájemného uznávání jejich shody • SMĚRNICE RADY 91/287/EHS ze dne 3. června 1991 o kmitočtovém pásmu, které má být určeno pro koordinované zavádění evropských digitálních bezdrátových telekomunikací (DECT) ve Společenství • SMĚRNICE RADY 91/250/EHS ze dne 14. května 1991 o právní ochraně počítačových programů • SMĚRNICE KOMISE 90/388/EHS ze dne 28. června 1990 o hospodářské soutěži na trhu telekomunikačních služeb • SMĚRNICE RADY 90/387/EHS ze dne 28. června 1990 o vytvoření vnitřního trhu telekomunikačních služeb zavedením otevřeného přístupu k telekomunikační síti • SMĚRNICE KOMISE 88/301/ES ze dne 16. května 1988 o hospodářské soutěži na trhu s telekomunikačními koncovými zařízeními • SMĚRNICE RADY 87/372/ES ze dne 25. června 1987 o kmitočtových pásmech vyhrazených pro koordinované zavedení veřejných celoevropských buňkových digitálních pozemních mobilních komunikačních systémů ve Společenství • SMĚRNICE RADY 91/250/EHS ze dne 14. května 1991 o právní ochraně počítačových programů SMĚRNICE RADY 93/98/EHS ze dne 29. října 1993 o harmonizaci doby ochrany autorského práva a určitých práv s ním souvisejících srpen 2008



díl 2, Legislativa

Předpisy doporučující povahy a programy

srpen 2008

Nařízení: • NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (ES) č. 733/2002 ze dne 22. dubna 2002 o zavádění domény nejvyšší úrovně .eu • NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob při zpracování osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů • NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (ES) č. 2887/2000 ze dne 18. prosince 2000 o zpřístupnění účastnických vedení • Akční plán eEurope 2005 • Akční plán eEurope 2002 • Akční plán eEurope+ • Zpráva o pokroku eEurope+ (červen 2002) • Závěry ministrů (Evropská ministerská konference o informační společnosti, červen 2002) • http://europa.eu.int/ISPO/ida/jsps/index.jsp eContent • http://www.cordis.lu/econtent/ IST (Technologie pro informační společnost) • http://www.cordis.lu/ist/home.html Akční plán pro bezpečnější internet • http://europa.eu.int/information_society/programmes/iap/index_en. htm eTen • http://europa.eu.int/information_society/programmes/eten/index_en .htm GoDigital • http://europa.eu.int/information_society/topics/ebusiness/godigit al/index_en.htm 34



Jak vyplývá z výše uvedeného, platná právní úprava elektronického podpisu nemůže svými účinky (a ani k tomu bohužel od svého počátku nesměřuje) nahradit podpis v případech, kdy právní řád vyžaduje vlastnoruční nebo notářsky či jinak úředně ověřenou formu. Elektronický podpis je však bezesporu řešením, které nepochybně zefektivní řadu běžných činností, čímž se snad podaří odstranit některé problémy související se skutečností, že je stále větší poptávka po využívání elektronických médií i pro nejrůznější úkony, pro které je v dnešní době stále ještě vyžadována „papírová forma“ včetně vlastnoručního podpisu.

Závěrem k elektronickému podepisování

Obecně však jde o podstatně širší škálu právních úkonů začínající u spolehlivé komunikace a končící u uzavírání smluvních vztahů elektronickou cestou. Lze si představit, že řada pracovněprávních úkonů bude v budoucnu probíhat elektronickou cestou. Vzhledem k neexistenci výše zmíněných prováděcích předpisů a řadě odlišností v rámci pracovněprávních vztahů však dnes nelze jednoznačně popsat veškerý dopad pracovněprávní úkonů činěných elektronicky dle zákona o elektronickém podpisu.

srpen 2008


srpen 2008


2.3 PRÁVNÍ ÚPRAVA ELEKTRONICKÉHO PODPISU

Recommend Documents