UNICORN COLLEGE
Katedra ekonomiky a managementu
BAKALÁŘSKÁ PRÁCE
Elektronický podpis a jeho využití v účetnictví
Autor BP: Roman Fait Vedoucí BP: Ing. David Procházka Ph.D. Rok 2015 Praha
Čestné prohlášení Prohlašuji, že jsem svou bakalářskou práci na téma „Elektronický podpis a jeho využití v účetnictví“ vypracoval samostatně pod vedením vedoucího bakalářské práce a s použitím výhradně odborné literatury a dalších informačních zdrojů. Jako autor této bakalářské práce dále prohlašuji, že v souvislosti s jejím vytvořením jsem neporušil autorská práva třetích osob a jsem si plně vědom následků porušení ustanovení § 11 a následujících autorského zákona č. 121/2000 Sb.
V Praze, dne 8. 1. 2015
…………………………………………….………….….. Roman Fait
Poděkování Děkuji vedoucímu bakalářské práce Ing. Davidu Procházkovi Ph.D. za účinnou metodickou, pedagogickou a odbornou pomoc, doporučení vhodné literatury a další cenné rady při zpracování mé bakalářské práce.
Elektronický podpis a jeho využití v účetnictví Electronic signature and its usage in accounting
6
Abstrakt Bakalářská práce se zabývá problematikou elektronického podpisu a jeho využití v účetnictví a podnikatelské činnosti obecně. Práce je strukturována do tří částí, z nichž první zahrnuje rozbor účetního dokladu, požadavků na něj ze strany zákonů a možné formy vyhotovení. V druhé části je popsán uznávaný elektronický podpis jakožto forma, podpisového záznamu a jeho možného využití na účetním záznamu určeného k přenosu. Ve třetí části je popsáno využití uznávaného elektronického podpisu ve spojení s účetními doklady a dalšího využití uvnitř i vně podniku. Klíčová slova: elektronický podpis, kvalifikované časové razítko, elektronický dokument, účetní dokument, konverze dokumentů, akreditovaná certifikační autorita.
7
Abstract The bachelor thesis deals with electronic signature and its application in accounting and business activities in general. The work is divided into three parts; the first one includes an analysis of the accounting document requirements on it by the laws and the possible forms of document. The study also describes the recognized electronic signature, as a form of signature record possible use in the accounting document to be transmitted. The second part deals with the possibility of using a recognized electronic signature in conjunction with the accounting documents and other uses inside and outside of a company. Keywords: electronic signature, qualified time stamp, electronic document, an accounting document, document conversion, accredited certification authority.
8
Obsah 1.
Úvod ....................................................................................................................................... 11
2.
Charakteristika účetního dokladu .......................................................................................... 12 2.1.
Účetní doklad ................................................................................................................... 12
2.2.
Význam účetních dokladů ................................................................................................ 13
2.3.
Oběh dokladů ................................................................................................................... 13
2.3.1.
3.
2.4.
Prokazatelnost změn účetního dokladu ........................................................................... 15
2.5.
Formy účetních dokladů................................................................................................... 16
2.6.
Změna formy .................................................................................................................... 16
2.6.1.
Autorizovaná konverze ............................................................................................ 20
2.6.2.
Ostatní konverze ...................................................................................................... 21
Elektronický podpis ................................................................................................................ 22 3.1.
Potřeba elektronického podpisu ...................................................................................... 23
3.2.
Vzhled elektronického podpisu ........................................................................................ 24
3.3.
Propojení obsahu s podpisem, identifikace a důvěrnost ................................................. 25
3.4.
Elektronické značky .......................................................................................................... 26
3.5.
Časová razítka .................................................................................................................. 27
3.6.
Klíče a bezpečnost ............................................................................................................ 28
3.7.
Certifikáty ......................................................................................................................... 29
3.8.
Certifikační autority.......................................................................................................... 29
3.9.
Získání elektronického podpisu........................................................................................ 30
3.9.1. 3.10.
4.
Vnitropodniková směrnice oběhu účetních dokladů ............................................... 14
Spojení elektronického podpisu s dokumentem...................................................... 31 Legislativní úprava elektronického podpisu v České republice .................................... 32
3.10.1.
Podpisový záznam dle zákona o účetnictví § 33a .................................................... 34
3.10.2.
Nejasný výklad právní úpravy .................................................................................. 36
Využití elektronického podpisu v účetnictví .......................................................................... 38
9
4.1.
Elektronická fakturace ..................................................................................................... 38
4.1.1.
EDI ............................................................................................................................ 39
4.1.2.
Formát ISDOC ........................................................................................................... 41
4.2.
Využití elektronického podpisu uvnitř podniku ............................................................... 42
4.3.
Orgány státní správy a samosprávy ................................................................................. 44
4.3.1.
Datové schránky ....................................................................................................... 44
4.3.2.
E-podatelny a Daňový portál .................................................................................... 48
4.4.
Archivace účetních dokladů ............................................................................................. 49
5.
Závěr ...................................................................................................................................... 52
6.
Conclusion.............................................................................................................................. 53
7.
Seznam zdrojů........................................................................................................................ 54 7.1.
Literární zdroje ................................................................................................................. 54
7.2.
Internetové zdroje............................................................................................................ 54
7.3.
Legislativní normy ............................................................................................................ 56
7.4.
Ústní sdělení .................................................................... Chyba! Záložka není definována.
8.
Seznam tabulek ...................................................................................................................... 57
9.
Seznam obrázků ..................................................................................................................... 58
10
1.
Úvod
Toto téma jsem si zvolil, jelikož problematiku elektronického podpisu sleduji téměř od jeho uvedení do praxe v České republice a protože se domnívám, že elektronický podpis přináší velké množství výhod pro firmy, podnikatele i soukromé osoby tím, že dokáže zajistit průkazné předávání a automatické zpracovávání veškeré obchodní či úřední komunikace. I v dnešní době však elektronický podpis využívají spíše společnosti, kterým to ukládá zákon, nebo významný odběratel či dodavatel s dostatečnou ekonomickou silou a prostředky pro jeho nasazení a dále některé orgány státní správy a samosprávy. Domnívám se, že příčinou prozatím malého rozšíření elektronického podpisu v České republice jsou hlavně nedostatky v legislativní úpravě a nedostatečné obecné povědomí o této technologii a jejích možnostech. Cílem této práce je seznámit se s problematikou využití elektronického podpisu obecně a v neposlední řadě s jeho praktickým využitím v účetnictví podnikatelů, obchodních společností a orgánů státní správy a samosprávy. Porovnat výhody, nevýhody a případná rizika, dále také zachytit současné platné zákony, jejich požadavky na účetní dokumenty obecně, implementaci jednotlivých prvků týkajících se využití elektronického podpisu, od způsobu přenosu dokumentů po jejich uchování a důvěryhodnost v čase, do legislativy České republiky. Bakalářská práce je rozdělena do tří ucelených částí. První pojednává o charakteristice, významu a formách účetních dokladů, druhá část se zabývá elektronickým podpisem, jeho základními vlastnostmi a ochrannými prvky, dále též legislativními úpravami jeho využití v České republice. Ve třetí, závěrečné části jsem se zaměřil na využití elektronického podpisu v účetnictví a v oblasti státní správy a samosprávy.
11
2.
Charakteristika účetního dokladu
Mezi všeobecné účetní zásady patří princip dokumentace (dokladovosti), který je charakteristickým rysem účetnictví a základní podmínkou průkaznosti účetnictví. Zákon č. 563/1991 Sb., o účetnictví ukládá povinnost účtovat na základě účetních dokladů.
2.1.
Účetní doklad
Hospodářské operace nevstupují do účetnictví přímo, každá účetní operace je prováděna na základě účetního dokladu, který je podkladem pro její zaúčtování. Doklad je vstupní informace, která potvrzuje danou účetní operaci. Účetnictví by bez účetních dokladů nemohlo existovat, a proto jsou na ně kladeny určité požadavky zákonnou normou. Účetní doklady jsou průkazné účetní záznamy, v nichž jsou prvotně zaznamenány hospodářské a účetní operace, které mají být zaznamenány v účetnictví. Podmínka dokazatelnosti musí být dodržována osobami evidujícími účetnictví, tak i těmi, kteří vedou daňovou evidenci.1 Objektivnost je jednou z všeobecných zásad účetnictví, na kterém je postavena účetní legislativa. Touto zásadou je myšleno, že informace poskytnuté a zpracované v účetních zápisech, mohou být kdykoli nezávisle ověřeny a objektivně doloženy fyzicky nebo v elektronické podobě. K doložení slouží účetní doklady, které podle zákona č. 563/1991 Sb., o účetnictví musí obsahovat tyto náležitosti:2 a) označení účetního dokladu b) obsah účetního případu a jeho účastníky c) peněžní částku nebo informaci o ceně za měrnou jednotku a vyjádření množství d) okamžik vyhotovení účetního dokladu e) okamžik uskutečnění účetního případu, není-li shodný s okamžikem podle písmene d) f) podpisový záznam podle § 33a odst. 4 osoby odpovědné za účetní případ a podpisový záznam osoby odpovědné za jeho zaúčtování Označování účetních dokladů slovy „faktura přijatá“ nebo „faktura vydaná“, často používané v praxi, není výše uvedenou právní normou specifikováno, a proto je možné používat pouze kódové označení, kde počátek číselného označení určuje, o jaký doklad se jedná. Například označení „5009866“, kde právě číslo „5“ je označením faktury přijaté. Podle F. Loušy (2001) je za pod-
1
MYŠKOVÁ, Renáta. Dokladovost v účetnictví, aneb, Jak na doklady a co s nimi: [praktická příručka pro praxi malých a středních podnikatelů]. Praha: ČZT, 2004, s. 15 Účetnictví, daně a právo v zemědělství. ISBN 80239-4302-2 2 KOVANICOVÁ, Dana. Abeceda účetních znalostí pro každého. XVII. aktualizované vydání. Praha: Polygon, 2007. 444 s. ISBN 987-80-7273-143-5
12
mínky splnění výše uvedených náležitostí možné považovat za účetní doklad fakturu přijatou i přestože na ní není výslovně uvedeno, že se jedná o účetní doklad. Podpisový záznam je možné nahradit podpisovým kódem, tiskem apod. za dodržení podmínky vedení seznamu používaných forem v souladu s § 33 a 33a zákona o účetnictví. Vnitřními předpisy podniky ustanovují používání podpisových či identifikačních údajů.
2.2.
Význam účetních dokladů
Účetní jednotky jsou povinné vést účetnictví úplně, průkazným způsobem a správně tak, aby zobrazovalo skutečnosti, které jsou jeho předmětem dle § 8 zákona o účetnictví. V úplném účetnictví jsou zaúčtované všechny účetní případy týkající se konkrétního účetního období. Vedení účetnictví průkazným způsobem znamená schopnost doložit všechny účetní případy a zápisy o nich, včetně inventarizace majetku a závazků. Účetnictví účetní jednotky je správné a průkazné, pokud nebyly porušeny povinnosti uložené zákonem a když veškeré hospodářské operace, které se staly předmětem účetnictví, jsou doloženy prvotními účetními doklady. Ty musí obsahovat všechny náležitosti ve smyslu zákona a být uchovány tak, aby byla zajištěna jejich trvalost, neboli musí splňovat povinnosti spojené s úschovou účetních záznamů. Za účelem zajištění průkaznosti účetnictví má význam přezkušování účetních dokladů z hlediska formální a věcné správnosti. Věcná správnost bývá obvykle ověřena účastníky účetního případu (ten kdo případ nařídil nebo schválil), formální správnost obvykle kontroluje účetní. Účetní doklady jako průkazné účetní záznamy by měly být vyhotoveny bez zbytečného odkladu po vzniku účetního případu a to tak, aby bylo možno určit obsah každého jednotlivého dokladu. Význam účetních dokladů ve výčtu: informují o vzniku hospodářské operace zaznamenávají hospodářskou operaci ověřují hospodářskou operaci prokazují uskutečnění hospodářské operace
2.3.
Oběh dokladů
Oběh účetních dokladů je nejen nutnou podmínkou pro řádně vedené účetnictví, ale vůbec pro fungování podniku, včetně nastavení interních kontrol. Což je zpětně důležité pro průkaznost účetnictví a v neposlední řadě i podpůrným argumentem při případné kontrole ze strany finančního úřadu. Způsob oběhu je nastaven vnitropodnikovou směrnicí3 tak, aby byl co nejefektivnější.
3
Povinnost vytvořit směrnici vyplývá z §7 zákona o účetnictví.
13
Směrnice popisuje postup zpracování od vyhotovení / přijetí dokladu až po úschovu a na závěr skartaci. Zároveň jsou zde odpovědné osoby za zpracování a lhůty v jakých musí být doklady vyhotoveny, případně zpracovány. Jde o neustále se opakující cyklus, složení z těchto kroků4: Vyhotovení nebo přijetí dokladu Přezkoušení dokladu – Prověření formalit (úplnost předepsaných náležitostí, formální správnost obvykle kontroluje účetní) a věcné správnosti (soulad účetního dokladu se skutečností včetně početní správnosti číselných údajů, ověřují ti, co účetní případ nařídili nebo schválili). Třídění a číslování – Roztřídění dokladů podle druhu (obsahu) dokladu a podle data přijetí nebo vyhotovení a očíslování dokladů podle zvoleného systému souvislou nepřerušovanou číselnou řadou po celé účetní období. Např. faktury vydané budou očíslované číslem 1 (první faktura číslo 10001, druhá faktura číslo 10002, atd.) Zaúčtování dokladu – Určí se účtovací předpis (předkontace) a provede se zaúčtování do deníku a hlavní knihy. Uložení (archivace) dokladu – Pro účely kontroly a pro objasnění později vzniklých nesrovnalostí. Archivační lhůty jsou dány § 31 a 32 ZUC, registrovaní plátci DPH postupují také dle dílu 5 § 27 zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen "ZDPH"). Skartace – Vyřazení účetních dokladů z archivu po uplynutí stanovené doby úschovy a jejich fyzické zničení na základě souhlasu příslušného archivu.
2.3.1. Vnitropodniková směrnice oběhu účetních dokladů Zachycuje podrobně rozpracovaně postupy v případech, kdy obecně platné předpis nejsou dostatečně detailní. Různorodost podniků z pohledu právní formy, velikosti účetní jednotky, organizační struktury, počtu pracovníků atd. neumožnuje vytvoření univerzální normy. Ke zjištění, jaké předpisy je nutné formulovat pro účetní jednotku, je zpracování seznamu skutečností, které se promítají do účetnictví dané účetní jednotky. Nezbytnost vnitropodnikové směrnice vyplývá nepřímo z potřeby účetnictví, poskytovat úplné, průkazné a správné informace o stavu a pohybu majetku, závazků, kapitálu, nákladech, výnosech a hospodářském výsledku. Velikost a členitost podniku vytváří větší požadavky na tvůrce účetního systému. Předpokladem pro dosažení fungujícího systému, je podrobná znalost systému
4
MYŠKOVÁ, Renáta. Dokladovost v účetnictví, aneb, Jak na doklady a co s nimi: [praktická příručka pro praxi malých a středních podnikatelů]. Praha: ČZT, 2004, s. 52. Účetnictví, daně a právo v zemědělství. ISBN 80239-4302-2.
14
řízení podniku včetně vnitropodnikového řízení. To je provázené s organizační strukturou účetní jednotky, kde jsou nastaveny kompetence a odpovědnosti jednotlivých pracovníků za určité hospodářské operace, schvalující (podpisující) oprávnění a přehled o tom, k jakým operacím je nutný souhlas vyšších orgánů společnosti. Kvalitně zpracovaná účetní směrnice představuje jeden ze základních způsobů řízení účetní jednotky. Kvalitní účetní směrnice se projeví v případech personálních změn, kdy nový pracovník má možnost získat představu o fungování procesu a dochází k jednodušší adaptibilitě. Zároveň dodává větší jistotu vlastníkovi společnosti a vedení samotné účetní jednotky, snižuje předpoklad k nahodilému provádění činnosti nebo k nesprávnému rozhodnutí některého z pracovníků. Řízení firmy samospádem není z dlouhodobého pohledu udržitelné a rovněž není možné následně prokazovat odpovědnost za učiněná rozhodnutí.
2.4.
Prokazatelnost změn účetního dokladu
Zákon o účetnictví říká, že účetní jednotky jsou povinny vést účetnictví tak, aby účetní uzávěrka dokládala věrný a poctivý obraz o jejich hospodaření. Nepřesnosti mohou vznikat v kterékoli části od sběru a zaznamenávání účetnictví až po prováděnou kontrolu. Chyby či odchylky mohou nastat v obsahu účetních dokladů, v účetních uzávěrkách, inventarizačních zprávách apod. K chybě v účetním dokladu může dojít záměrně nebo nevědomě z nedbalosti. Pozměnění dokladu nebo úmyslná chyba má za účel zakrýt určitou skutečnost, případně získat výhodu, které by účetní jednotka nedosáhla bez porušení norem. Neúmyslná chyba může mít za důsledek jak výhodu, tak nevýhodu pro podnik, jelikož vzniká bez úmyslu zodpovědné osoby. K těmto chybám může docházet z různých důvodů jako je nedbalost, nedostatečné proškolení, neodbornost aj. Obvyklou příčinou chybovosti je uspěchanost, stres a nepozornost k rutinním činnostem. Jedná se například o následující chyby:5 opomenutí zaúčtování účetní operace (např. nezaúčtování přijaté faktury či jiného dokladu, případně nezaúčtování operace kvůli chybějícímu dokladu) zaúčtování jedné operace vícekrát (duplicitně) zaúčtování chybné částky (omyl, překlep, posunutí desetinné čárky, záměna měn atd.) zaúčtování operace do špatného účetního období (účtování na přelomu roku, chybné datum atd.) použití chybného účtu (záměna dlouhodobého majetku za materiál) drobné chyby typu použití chybného nákladového střediska, variabilního symbolu, popisu účetní operace atd. 5
TRUPL, Jindřich a Daniel HORAD. Účetní a daňové doklady: vzory písemností. 3., aktualiz. vyd. Praha: Grada, 2001, s. 33-34. ISBN 80-247-0022-0
15
K minimalizaci chyb je nezbytné provádět patřičné kontroly. Správné nastavení kontrolního systému by mělo většinu chyb z nedbalosti odhalit a následně odstranit. K dohledání úmyslných chyb bohužel nepomůže ani sebelepší kontrolní systém. Kromě špatného kontrolního systému, mohou chyby pocházet také z nevyhovujícího oběhu účetních dokladů pro danou účetní jednotku, jako jsou nekvalitní vnitropodnikové účetní směrnice nebo nedostatečné účetní inventarizace daných účtů.
2.5.
Formy účetních dokladů
Automatizace účetnictví a technický pokrok mají za následek, možnost vést účetnictví a účetní doklady v elektronické podobě, namísto historicky známé a dnes stále ještě používané analogové formy. Přesné dělení dle normy je následující:6 a) listinnou formu účetní záznam provedený na analogový nosič rukopisem, psacím strojem, tiskařskými nebo reprografickými technikami anebo tiskovým výstupním zařízením výpočetní techniky, jehož obsah je pro fyzickou osobu čitelný b) technickou formu účetní záznam provedený elektronickým, optickým nebo jiným způsobem nespadajícím pod písmeno a), který umožňuje jeho převedení do formy, v níž je jeho obsah pro fyzickou osobu čitelný c) smíšenou formu účetní záznam v listinné formě obsahující též informace v technické formě pro fyzickou osobu nečitelné, který umožňuje jeho převedení do formy, v níž je jeho obsah pro fyzickou osobu čitelný V případě archivování některých dokumentů, je nezbytné být s názvoslovím opatrný. Například zákon č. 499/2004 Sb. „o archivnictví a spisové službě“, používá slovo „listina“ nezávisle na formě, může i hovořit o listině v elektronické formě.
2.6.
Změna formy
Účetní jednotka může dle vlastní potřeby a možnosti způsobu uložení účetního záznamu provést změnu z jedné formy do jiné, nové formy. Převodem vzniká nový účetní záznam, vždy však musí být zajištěno, že obsah nového účetního záznamu v nové formě je shodný s obsahem původní formy. Nejjednodušším způsobem prokázání shody, je uchování jak původního, tak i nového záznamu k porovnání. V případu uchování jen nového účetního záznamu, je na této účetní jednotce, aby byla schopna prokázat nezpochybnitelnost takového účetního záznamu. Předložení původní formy účetního záznamu musí být dodrženo pouze u záznamů, které jsou označeny skartačními
6
Zákon o účetnictví č. 563/1991 Sb. Část sedmá: Ustanovení společná, přechodná a závěrečná. § 33 Účetní záznam
16
znaky „V“ (pro výběr) nebo „A“ (pro archiválie) dle znění Zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů. Jiným způsobem jak zajistit změnu formy je využití autorizované konverze dokumentů, služba je zajišťována všemi kontaktními místy veřejné správy – Czech POINT. To znamená úplné převedení dokumentu z listinné podoby do elektronické podoby nebo úplné převedení elektronického dokumentu do dokumentu v listinné podobě. Nově vzniklý dokument má shodný právní dopad jako původní dokument. Je třeba zdůraznit, že samotná konverze nepotvrzuje správnost a pravdivost obsažených údajů na vstupu a jejich soulad s právními předpisy7. Z toho důvodu je ke každé konverzi vytvořena ověřovací doložka, která je následně uložena v Centrální evidenci ověřovacích doložek provedených konverzí.
7
Zákon o elektronických úkonech a autorizované konverzi dokumentů č. 300/2008 Sb. § 22 Konverze
17
Samotná konverze dokumentu provedená pracovníkem Czech Pointu neznamená ověření pravosti původního dokumentu. Pouze potvrzuje shodu dokumentu na vstupu a výstupu, ty mají shodnou právní účinnost i v případě změny dokumentu během konverze. Přesněji se k tomuto tématu vyjádřil Petr Stiegler, konzultant MV ČR pro datové schránky, bývalý ředitel sekce eGovernmentu České pošty a jeden ze spolutvůrců systému datových schránek (Datové schránky – skutečnost versus mýty a pověsti, str. 6, 2011): „Autorizovaná konverze dokumentů je obdobou tzv. vidimace (ověření shody), to jest ověřování shody kopie s listinou, jen v režimu papírová listina – počítačový soubor či naopak. Je třeba zdůraznit, že ani při jedné z uvedených úředních činností se
Obrázek 1: Elektronický dokument s grafickým vyobrazením podpisu
Zdroj: http://www.earchiv.cz/b12/b0330001.php3 nezkoumá pravost originálu. Ověřující úředník není soudní znalec a nedokáže poznat, jestli kulaté razítko na listině je pravé nebo falzifikát. Nezjistí ani, jestli úředník, podepsaný pod originálem skutečně existuje, nebo zda byl oprávněn dokument podepsat. Úplně stejně je tomu i s autorizovanou konverzí dokumentů, opět je procesem pravdivého a věrného převedení dat na papír či naopak. Toto je třeba mít na paměti, protože v případě pochybností o pravosti originálu existuje řada způsobů, jak si jeho pravost ověřit.“
18
Nově vytvořené listinné dokumenty mohou mít odlišnou podobu oproti elektronickému originálu jako na obrázku 2 a 3, čímž není narušena právní účinnost a to ani v případě ztráty původního dokumentu. Obrázek 2: Konvertovaný dokument bez vyobrazení podpisů
Zdroj: http://www.earchiv.cz/b12/b0330001.php3 K této změně dochází v případech, kdy je elektronický podpis doplněn o grafické vyobrazení na dokumentu.
19
2.6.1.
Autorizovaná konverze
Autorizovaná konverze z listinné formy do elektronické není v praxi využívána, tak jako naopak, za uplynulé roky je poměr přibližně 3:1 pro konverzi z elektronické formy do listinné viz tabulka níže. I přes veškerý technický pokrok je stále jednodušší uchování dokladů v listinné podobě. K autorizovaným konverzím jsou využívána kontaktní místa Czech POINT a jde o zpoplatněnou službu. Při využití skenovacího zařízení je nezbytné, aby vystavitel opatřil elektronický dokument uznávaným elektronickým podpisem. Tabulka 1: Počet konverzí dle roků
Zdroj: http://www.czechpoint.cz/web/?q=node/488 Doklady doručené v elektronické podobě je možné změnit na listinné pomocí autorizované konverze taktéž na všech kontaktních místech Czech POINT8, tak jako v předchozím případě se jedná o zpoplatněnou službu. Další variantou ověřitelnosti je vytištění a současně uchování technické podoby se všemi náležitostmi po celou dobu životnosti dokumentu, což zajišťuje ověřitelnost elektronického podpisu (více v kapitole Elektronický podpis). Požadavek uchování elektronického dokumentu nemusí být dodržen v případě, kdy je možné spolehlivě prokázat věrohodnost původu a neporušenost obsahu vytištěného dokladu v elektronické podobě. Konverze dokumentů s připojením více než jednoho elektronického podpisu je možná pouze tehdy, pokud poslední připojený podpis je stále platný9. Výjimku tvoří dokumenty, které byly odeslány pomocí informačního systému datových schránek (IS DS) v době platnosti posledního připojeného elektronického podpisu. Při konverzi lze pro ověření tohoto podpisu použit časový okamžik, kdy byl dokument odeslán.
8
Konverze je možná pouze pokud dokument obsahuje platný kvalifikovaný elektronický podpis nebo byl poslán přes datovou schránku 9 PETERKA, Jiří. Jak se konvertují el. dokumenty s více podpisy?. In: Lupa.cz [online]. Praha, 2012, 30. 3. 2012 [cit. 2014-04-10]. Dostupné z: http://www.lupa.cz/clanky/jak-se-konvertuji-el-dokumenty-s-vice-podpisy/
20
2.6.2.
Ostatní konverze
Žádná z norem upravující konverzi dokumentů nezná jiný pojem, než autorizovaná konverze. Z toho by se dalo usoudit, že případné naskenování dokumentu není možné, a však v případech, kdy je účetní dokument vyhotoven na termocitlivý papír (speciální jemný papír, který je potažen chemickou látku, která mění barvu, je-li je vystavena teplu), a možné zajistit jeho archivaci po dobu 5 let, jedná se tak o jediný způsob jeho uchování. Ať jde o naskenování nebo vytvoření fyzické kopie, musí být nově vzniklý dokument vždy podepsán a obsahovat datum vytvoření kopie. Shodný postup platí pro dokumenty, které jsou obdrženy v písemné podobě, a je rozhodnuto pro archivaci v elektronické podobě. Činnost skenování a archivace je též možné přenechat specializované firmě, v tom případě je však potřeba označení dokumentu značkou firmy, která digitalizaci provedla.
21
3.
Elektronický podpis
Pojem elektronický podpis pravděpodobně každý již někdy slyšel, a abych mohl vysvětlit jeho podobu, vznik, používání a další souvislosti, nejdříve uvedu patřičné pojmy a nezbytné názvosloví. Obecně za podpis považujeme ručně psané a často stylizované vypsání jména nebo jiného identifikačního znaku (přezdívky, erbu, monogramu) osoby, která podpis napsala. Došlo se k přesvědčení, že lidský rukopis je nenapodobitelný. Tím dostal podpis význam právní a identifikační, má osobitý ráz, je těžko napodobitelný a je zkratkou osobnosti.10 S pokrokem a používáním výpočetních technologií se nezastavil ani vývoj podpisu. Ano, stále je možné využívat rukou psaný podpis na listinný dokument, avšak v případě elektronické výměny dokumentů je možné využití elektronického podpisu, aby byla zajištěna důvěra v tuto formu výměny dokumentů. Můj osobní názor je, že se více důvěřuje informacím na papíře než těm v elektronické podobě. Přitom již nějakou dobu existují technologie, při jejichž využití je elektronický dokument opatřený elektronickým podpisem bezpečnější než klasický vlastnoruční podpis na papíře. Zjednodušeně řečeno, elektronickým podpisem jsou myšlena specifická data, která v počítači nahrazují klasický vlastnoruční podpis.11 Jde o jeden z prvků ochrany elektronického dokumentu, který zajišťuje integritu obsahu, identifikaci podepsaného a nepopiratelnost. Podpis se připojuje k elektronickému dokumentu, neexistuje sám o sobě. Jde o digitálně vytvořený dokument zpracovávaný a uchovávaný pomocí technických prostředků v elektronické, magnetické, optické anebo jiné formě. Na listinných dokumentech je možné použít vlastnoruční podpis nebo ověřený vlastnoruční podpis. Rozdíl mezi nimi je následující: U ověřeného vlastnoručního podpisu je zajištěno ověření podepisované osoby v místě CZECH POINT (krajské úřady, obecní úřady, újezdní úřady, držitelé poštovní licence), notáře a dalších místech, pokud to umožňuje právní norma. O ověření podpisu je proveden záznam do ověřovací knihy. Na vlastnoruční podpis zákon neklade žádné speciální požadavky. Vychází se z obecně uznávaného přesvědčení, že se každý z nás podepisuje pokaždé stejně, a podle podpisu nás také lze kdykoliv později s určitým konkrétním úkonem identifikovat. Jak vlastnoruční podpis, tak i jeho doplňkové mechanické prostředky (razítko), lze do určité míry napodobit, a tím zpochybnit identifikaci určité osoby s konkrétním právním úkonem.12
10
JÁNSKÝ, Josef. Hodnota podpisu. Grafologie psychologie písma [online]. Praha, 2007, 15. 6. 2014 [cit. 2014-07-27]. Dostupné z: http://www.grafolog.cz/hodnota.php 11 Elektronický podpis. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wiki-media Foundation, 2001, 5. 4. 2014 [cit. 2014-07-22]. Dostupné z: http://cs.wikipedia.org/wiki/Elektronick%C3%BD_podpis 12 FALTUS, Radim. Podpis pohledem právníka. In: Asociace grafologů ČR [online]. Praha, 2006, 3. 5. 2006 [cit. 2014-07-29]. Dostupné z: http://www.lupa.cz/clanky/jak-se-konvertuji-el-dokumenty-s-vice-podpisy/
22
Ekvivalentem výše uvedeného je v případě elektronických dokumentů elektronický podpis nebo uznávaný elektronický podpis. Přívlastků, které je možno přiřadit elektronickému podpisu, je několik13. Ať jde o jakýkoli podpis, úroveň šifrování je shodná, základní rozdíl je v zárukách které daný podpis poskytuje: Elektronický podpis – může být vytvořen kýmkoli na jakékoli jméno Uznávaný elektronický podpis – vytvořený podpis ověřuje certifikační autorita při osobním jednání oproti dokladům totožnosti a je založen na technologii „infrastruktury veřejného klíče“, totožnost držitele je svázána s vydaným certifikátem k podepisování Z výše uvedeného vyplývá, že „obyčejný“ elektronický podpis není schopen poskytnout příjemci žádnou záruku o podepsané osobě. Využitelnost je tam, kde si do budoucna komunikující protistrany fyzicky vymění veřejné klíče, na základě kterých pak ověřují odesílatele a důvěřují si navzájem. S uznávaným elektronickým podpisem může odesílatel dokumentu komunikovat s kýmkoli a dává mu možnost si ověřit, kdo dokument podepsal. Při každém ověření podpisu je nezbytné být on-line, k ověření dochází u vydavatele certifikátu, důvěra tedy přechází na certifikační autoritu. Ta ručí za to, že podepsaný je opravdu tím, za koho se vydává.
3.1.
Potřeba elektronického podpisu
V dnešní době se lidé a firmy nesnaží získat konkurenční výhodu zdokonalováním vlastních dovedností, vyvíjením nových technologií, ale poměrně často se snaží výhody dosáhnout nekalou činností. Zejména se tak stává při využívání elektronické výměny dat, která může být jednoduše napadena podvodníky, o čemž určitě vypovídá i spousta doručených podvodných emailů do vaší elektronické poštovní schránky, které způsobují v mnohých případech velké nepříjemnosti. Co se stane v případě, kdy bude vámi zaslaný dokument zachycen podvodníkem a následně pozměněn? Pak bude vaším jménem například nějakému úřadu, firmě nebo občanovi zaslán dokument, jenž neodpovídá tomu vámi vytvořenému a odeslanému. Kde v těchto případech vzít jistotu, že doručený dokument nebyl na cestě od odesilatele pozměněn nebo dokonce úplně zaměněn za jiný? K ochraně dokumentů v elektronické podobě je možné využít elektronického podpisu osoby, která odsouhlasí správnost uvedených údajů. Dokument je nejen podepsán, ale zároveň poskytuje informaci, zda od okamžiku podpisu došlo k jakékoli změně. Pokud chceme mít jistotu o osobě podepsané na listinný dokument, je nutné, aby byl vlastnoruční podpis ověřený.
13
PETERKA, Jiří. Báječný svět elektronického podpisu. Praha: CZ.NIC, c2011, s. 30, CZ.NIC. ISBN 978-80904248-3-8
23
3.2.
Vzhled elektronického podpisu
Jakoukoli písemnost, v podobě analogové či elektronické je v některých případech vhodné jindy nezbytné podepsat. Zpětné zjištění pravosti podpisu je možné za využití grafologa, což je však časově a finančně náročné. Proto se v některých případech zajišťuje vyšší důvěryhodnost vašeho podpisu notářsky, soudně či úředně ověřeným podpisem, to mluvíme o ověřeném vlastnoručním podpisu. U elektronického podpisu, který ve svém základu nemá žádnou grafickou podobu, by bylo jakékoli porovnání s předešlým podpisem stejné osoby nebo zkoumání grafologem zbytečné. V běžném životě se často můžeme setkat s podpisem ve stylu jako níže na obrázku, nejedná se však o žádný z výše uvedených podpisů, jde pouze grafický doplněk na dokumentu od organizací jako například: banky, pojišťovny, poskytovatelé energií apod. Obrázek 3: Grafický doplněk dokumentu, nikoli elektronický podpis
Zdroj: Certifikát úrovně Anglického jazyka, Cambridge Elektronický podpis je ve své podstatě jen číslo, a to tak velké číslo, že v binárním vyjádření (jako posloupnost nul a jedniček) by bylo nečitelné14. K jednoduššímu zobrazení se používá kódování, které potřebuje mnohem méně znaků. Následný řetězec čísel a písmen je příkladem znázornění elektronického podpisu. IQB1AwUBMVSiA5QYCuMfgNYjAQFAKgL/ZkBfbeNEsbthba4BlrcnjaqbcKgNv+a5kr4537y8RCd+R Hm75yYh5xxA1ojELwNhhb7cltrp2V7LlOnAelws4S87UX80cLBtBcN6AACf11qymC2h+Rb2j5SU+rm XWru+=QFMx Ani takovéto zobrazení není čitelné, proto s elektronickým podpisem vždy pracují programy, které ověří nejen podpis, ale zároveň zkontrolují, zda byl dokument od okamžiku podpisu pozměněn. Tyto informace jsou nám poskytnuty v čitelném zobrazení podpisu, viz příklad kontrola podpisu v programu Microsoft Office 2010 – Word na následující straně.
14
PETERKA, Jiří. Báječný svět elektronického podpisu. Praha: CZ.NIC, c2011, s. 27 CZ.NIC. ISBN 978-80904248-3-8
24
Obrázek 4: Kontrola a zobrazení elektronického podpisu a kontrola integrity
Zdroj: Vlastní
3.3.
Propojení obsahu s podpisem, identifikace a důvěrnost
Dále budeme pozornost věnovat pouze zaručenému elektronickému podpisu, který oproti podpisu vlastnoručnímu poskytuje některé záruky navíc. Výše již bylo předesláno, že (zaručený) elektronický podpis zajišťuje neměnnost dokumentu, přesný výraz je integrita dokumentu. Není možné provádět jakékoli změny, vynechání části textu, záměnu slov a jiné. Aby nedošlo k omylu, elektroObrázek 5: Porušena integrita dokumentu
Zdroj: http://www.lupa.cz/clanky/datove-schranky-pracujeme-snbspepodpisy-v/ nický dokument opatřený elektronickým podpisem, může být změněn, v tom případě však při ověření bude informace o změně reportována. Dokument nedokáže uložit, jaká změna byla pro-
25
vedena, jen informuje, že nějaká změna byla uskutečněna. Pro osobu ověřující integritu dokumentu, je to jasný signál, že není možné důvěřovat pozměněnému dokumentu. Obecně u vlastnoručního podpisu nejsme schopni určit podepisujícího se, většinou jde o různě zakřivené tahy, viz příklad níže. Přitom se jedná o podpis osoby, kterou každý zná, jde o podpis Karla Gotta. Elektronický podpis informaci o podepsaném poskytuje, u fyzických osob zjistíme minimálně jméno a příjmení, u osob zastupujících firmu i název společnosti. Ostatní osobní údaje jsou pouze dobrovolné, jako bydliště, telefonní číslo, emailová adresa apod. Úplné detaily má ve vlastnictví pouze vydavatel certifikátu, na kterém je podpis založen. Obrázek 6: Vlastnoruční podpis
Zdroj: www.grafologie-rozbor-pisma.cz Význam identifikace se v praxi často zaměňuje s pojmem autentizace. Rozlišení je poměrně jednoduché. Když někoho identifikujeme, vyžadujeme odpověď na otázku: „O koho jde?“. Nejběžnějším způsobem jak odpovědět počítači na tuto otázku, je zadání „uživatelského jména“. Pak následuje autentizace, pro počítač otázka ve smyslu: „Je to opravdu ta osoba, za kterou se vydává?“ Většinou k ověření dochází pomocí hesla. Právě zmíněné kroky zajišťují důležité záruky, správně nazvané nepopiratelnost podepsaného, nejenže nemůže popřít dokument, k němuž je elektronický podpis připojen, a zároveň nemůže odmítnout důsledky podpisu. Dosud jsem se věnoval vlastnostem, které může podepsaný nebo následně příjemce dokumentu využít. Důležité je i poskytnout informace o tom, co podpis nedokáže nebo jakou vlastnost. Elektronický podpis nezajišťuje důvěrnost, obsah podepsaného dokumentu může číst i nepovolaná osoba. Pokud to obsah dokument vyžaduje, je důvěrnosti možné dosáhnout pomocí dalšího šifrování.
3.4.
Elektronické značky
V souvislosti s elektronickými podpisy se často hovoří o uznávaných elektronických značkách. V principu získání a používání mají shodné vlastnosti s elektronickým podpisem. Oproti vlastnoručnímu podpisu a elektronickému podpisu, který je využíván pouze lidmi (fyzickými osobami), značka je jakýmsi podpisem právnické osoby, úřadu, organizace apod. Zajímavostí je, že k použití značky na dokumentu nemusí dát pokyn člověk (fyzická osoba), ale může být použita v automatickém procesu počítačovým programem. 26
3.5.
Časová razítka
Pro využití elektronického podpisu v účetnictví jsou kvalifikovaná časová razítka nedílnou součástí. Po technické stránce jde o obdobu zaručeného elektronického podpisu vydaného kvalifikovanou certifikační autoritou, uvedený časový údaj je garantovaný. Při zobrazení podpisu je vždy uveden časový údaj včetně upozornění: „Datum a čas podpisu jsou z hodin na počítači autora podpisu. “Systémové hodiny počítače si však uživatel má možnost změnit a klamat protistranu. Časový údaj máme garantovaný, nicméně doba vzniku dokumentu a jeho podepsání je okamžik někdy před časovým údajem uvedeném na razítku. I časové razítko je založené na algoritmech, které plynutím času zastarávají, a tím pádem se zvyšuje hrozba prolomení šifry. Z toho důvodu, stejně tak jako podpis, mají platnost pouze po určitou dobu. Jednotlivé certifikační autority nabízejí různé doby platnosti od 3 do 6 let. Princip Obrázek 7: Představa principu zachování kontinuity („zafixováním“ dokumentu)
Zdroj: Vlastní obrany proti takovémuto nebezpečí je v zásadě jednoduchý: musíme původní dokument „zafixovat“ tak, aby jej nikdo nemohl nahradit jiným (kolizním) dokumentem15. Na zastarávání algoritmů a tedy úrovně zabezpečení dokumentu, je možné reagovat přerazítkováním časového razítka před ukončením platnosti razítka původního. Tím je myšleno, že k původnímu elektronickému podpisu a časovému razítku přidáme další časové razítko. Tento postup je možné opakovat do doby, dokud potřebujeme zajistit prokazatelnou platnost dokumentu. Každý jednotlivý certifikát, ať podpisu
15
PETERKA, Jiří. Báječný svět elektronického podpisu. Praha: CZ.NIC, c2011, s. 27 CZ.NIC. ISBN 978-80904248-3-8
27
nebo razítka, je možné ověřit. Po uplynutí doby platnosti certifikátu tedy věnujeme pozornost pouze integritě dokumentu.
3.6.
Klíče a bezpečnost
Základem pro elektronické podpisy, značky a časová razítka jsou klíče. Jedná se opět o číselnou řadu, tak jak jsem zmiňoval dříve u elektronického podpisu. Řada čísel vstupuje do procesu při vzniku podpisu, tak i při jeho ověřování. Princip je postaven na různých číslech pro vytváření a pro ověřování. Rozdíl mezi nimi je v tom, kdo s jakým klíčem disponuje: soukromý klíč vlastník nesmí zpřístupnit žádné další osobě veřejný klíč vlastník poskytuje tomu, kdo si bude chtít ověřit jeho platnost Soukromý klíč je to, co potřebujeme k vytvoření podpisu, jde o náš identifikátor16. Kdyby (soukromý klíč) byl v držení jiné osoby, může vytvářet podpis majitele klíče. V nadsázce lze říci, že je to jako někomu dát plně fungující ruku, kterou se běžně podepisujete. K ověření, neboli vyhodnocení podepsaného, slouží klíč veřejný. Ten naopak sdílíme s okolím, které má potřebu ověřit náš podpis. Využití rozdílných klíčů se nazývá asymetrická kryptografie. Tato zajistí existenci klíče soukromého a veřejného, a zároveň zaručí bezpečnostní podmínku nemožnosti vytvořit z veřejného klíče klíč soukromý.
Obrázek 8: Asymetrické klíče
Zdroj: Vlastní
16
PETERKA, Jiří. Báječný svět elektronického podpisu. Praha: CZ.NIC, c2011, 430 s. CZ.NIC. ISBN 978-80904248-3-8
28
Asymetrického šifrování se využívá právě z důvodu potřeby mít rozdílný klíč pro podpis a ověření. Pomocí symetrické kryptografie by vznikla pouze kopie soukromého klíče, kterou by nebylo možné dát někomu dalšímu.
3.7.
Certifikáty
Používají se k ověření identifikace podepsané osoby, certifikát říká, že podpis byl vytvořen soukromým klíčem patřící danému vlastníkovi. Při využití zaručených elektronických podpisů je tento krok již ošetřen zákonem. Na obecné rovině po vytvoření klíčů by bylo třeba najít třetí stranu, dostatečně důvěrnou, aby poskytovala identifikační údaje a bezpečné ověření veřejného klíče na základě vydaného certifikátu. Při ověřování podpisů na účetních dokladech bude ověřování vždy probíhat oproti certifikátu u kvalifikované certifikační autority, přičemž podmínky fungování jsou stanoveny zákony. U opakovaných ověření je možné certifikát uložit přímo do počítače, na kterém ověření provádíme. Zde vzniká riziko, že ověřovaný certifikát mohl být zneplatněn, v literatuře se většinou používá výraz revokován. K revokaci dochází automaticky 1 rok od vydání nebo na žádost držitele. Prodloužení platnosti není povoleno, vždy se na základě držitele převydává certifikát s novou hodnotou. Kvalifikované certifikáty mohou být použity pro: komunikaci elektronickou cestou se státní správou pomocí e-mailu ověřování elektronických podpisů bezpečné ověřování elektronických podpisů zajištění neodmítnutelnosti odpovědnosti archiv dokumentů v elektronické podobě
3.8.
Certifikační autority
Jsou základním kamenem hierarchické struktury. Jejich hlavním úkolem je vydávat, spravovat, obnovovat a rušit certifikáty svých klientů. Klienty certifikačních autorit mohou být koncoví uživatelé nebo certifikační autority nižší úrovně. Poskytovatelů certifikátů je celá škála, a na území České republiky působí dle zákona č. 227/2000SB., o elektronickém podpisu, tři kvalifikované certifikační autority: První certifikační autorita, a. s. Česká pošta, s. p. eIdentity, a. s.
29
Dále mezi uznávané poskytovatele patří všechny autority poskytující služby na území států Evropské unie. Certifikáty vydané mimo členské státy Evropské unie ve smyslu kvalifikovaných, musí splnit tyto podmínky, aby byly považovány za kvalifikované: a) poskytovatel certifikačních služeb splňuje podmínky práva Evropských společenství a byl akreditován k působení jako kvalifikovaný poskytovatel certifikačních služeb v některém z členských států Evropské unie b) poskytovatel certifikačních služeb usazený v některém z členských států Evropské unie, který splňuje podmínky práva Evropských společenství, převezme odpovědnost za platnost a správnost certifikátu ve stejném rozsahu jako u svých kvalifikovaných certifikátů c) pokud to vyplývá z mezinárodní smlouvy Úkolem certifikační autority je ověřit totožnost žadatele o certifikát a jednoznačně svázat jeho identifikaci s daty pro tvorbu elektronického podpisu prostřednictvím certifikátu, který žadateli vydává. Vydaný certifikát následně při komunikaci představuje jakýsi „elektronický průkaz totožnosti“17. Aby vlastník klíčového páru nemusel každé osobě, se kterou chce komunikovat s využitím elektronického podpisu, osobně doručovat svůj veřejný klíč, byla vytvořena tzv. "Infrastruktura veřejného klíče (PKI - Public Key Infrastructure)“. Tato infrastruktura zahrnuje kromě osob používajících elektronický podpis i certifikační autority (CA) a registrační autority (RA). Pro využívání podpisu, který může být použit v administrativním styku se státní správou, je podle zákona o elektronickém podpisu používat právě kvalifikované certifikáty, vydané akreditovanou certifikační autoritou.18
3.9.
Získání elektronického podpisu
Aby mohl být zaručený elektronický podpis použit, je nejdříve nutné podat žádost u kvalifikované certifikační autority. Při prvním vydání je nezbytné, aby se fyzická osoba (případně zmocněnec), pro kterou byl elektronický podpis vyžádán, dostavila osobně na pobočku certifikační autority. Jde o bezpečnostní krok kvůli identifikaci. Pokud se jedná o následný certifikát stále ještě platného certifikátu, je možné jej zajistit on-line. Ověření probíhá na základě platného certifikátu. Při vyplnění on-line žádosti dojde k vygenerování soukromého klíče, jde o velmi důvěrná data, pro uložení se nedoporučuje využívat interního uložiště počítače, ale využít zabezpečené uložiště připojované pře USB rozhraní (zkratka pro anglický výraz Universal Serial Bus). Tento typ 17
Podpora: Elektronický podpis. [online]. 2012 [cit. 2014-04-15]. Dostupné z: http://www.ica.cz/ Elektronicky-podpis 18 PETERKA, Jiří. Báječný svět elektronického podpisu. Praha: CZ.NIC, 2011, str. 43. ISBN 9788090424838.
30
uložiště je nabízen samotnými certifikačními autoritami, nebo je možné jej vytvořit z jiného paměťového média jednoduše připojitelného k počítači. Po odeslání žádosti o certifikát následuje návštěva certifikační autority a identifikace žadatele oproti požadovaným dokladům. Vygenerovaný soukromý klíč držitel nikdy nedává z ruky. Certifikační autorita k němu vystaví certifikát, který slouží jako identifikace.
3.9.1.
Spojení elektronického podpisu s dokumentem
Při podepisování se z dokumentu vytvoří tzv. hash, jde vlastně o zmenšeninu původního dokumentu. O tento proces se stará specializovaný software. Spojením hashe a privátního klíče vzniká elektronický podpis, jednodušeji řečeno dokument s elektronickým podpisem. Obrázek 9: Vznik podepsaného dokumentu a jeho ověření
Zdroj: http://czdva.webnode.cz/ochrana/kryptografie/elektronicky-podpis/ Elektronicky podepsaná data jsou rozkódována veřejným klíčem autora, ověření probíhá přes připojení k internetu. Ověření off-line je možné, pouze v případě kdy byl certifikát předem uložen do počítače. Tato možnost se nedoporučuje, pro případ kdy byl klíč zneplatněn.
31
3.10. Legislativní úprava elektronického podpisu v České republice Základem právní úpravy elektronického podpisu v České republice je zákon č.. 227/2000 Sb. o elektronickém podpisu (dále jen "zákon"). Účelem tohoto zákona je v souladu s platnou evropskou legislativou19 upravit používání elektronického podpisu, elektronické značky, poskytování certifikačních služeb a souvisejících služeb poskytovateli usazenými na území České republiky i sankce za porušení ustanovení tohoto zákona. S účinností od 1. 10. 2000 se do právního řádu promítly principy dohodnuté státy v rámci Evropských společenství v oblasti elektronického podpisu, zejména tzv. zaručeného elektronického podpisu. Největší změnou, kterou zákon přinesl, je určitě zrovnoprávnění elektronicky podepsaných dokumentů s dokumenty v hmotné formě, což přináší rozsáhlé možnosti využití jednak ve veřejném a na druhou stranu i v soukromém sektoru. Na základě zákona byl vytvořen Odbor elektronického podpisu na Úřadu pro ochranu osobních údajů20, což představuje organizačnětechnickou změnu v rámci organizace státní správy na tomto úseku. Zákon ve své první části vymezuje následující pojmy: elektronickým podpisem se rozumí údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené, a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě ve smyslu § 2 zaručený elektronický podpis musí splňovat následující požadavky: 1. je jednoznačně spojen s podepisující se osobou 2. umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě 3. byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou 4. je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat datovou zprávou se rozumí elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou podepisující osobou je fyzická osoba, která je držitelem prostředků pro vytvoření elektronických podpisů a jedná svým jménem, nebo jménem jiné fyzické či právnické osoby
19
Směrnice Evropského parlamentu a Rady 99/93/EC ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy 20 Úřad pro ochranu osobních údajů: Zákon o ochraně osobních údajů [online]. 2013. vyd. [cit. 2014-07-31]. Dostupné z: Zákon č. 101/2000 Sb., o ochraně osobních údajů
32
poskytovatelem certifikačních služeb je fyzická osoba, právnická osoba nebo organizační složka státu, která vydává certifikáty a vede jejich evidenci, případně poskytuje další služby spojené s elektronickým podpisem Ve zmíněném § 2 zákon dále definuje pojmy jako certifikát, časové razítko, akreditace, prostředky pro vytváření a ověřování elektronických podpisů a jejich bezpečné varianty atd. Zákon v dalších paragrafech rozebírá spíše využití zaručeného elektronického podpisu. § 3 odst.. 2 zákona říká, že "použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředků pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu." A podle § 4 "použití zaručeného elektronického podpisu zaručuje, že pokud dojde k porušení obsahu datové zprávy od okamžiku, kdy byla podepsána, toto porušení bude možno zjistit." Zákon rozlišuje také pojmy certifikát, kvalifikovaný certifikát a kvalifikovaný systémový certifikát. "Certifikátem je datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování elektronického podpisu s podepisující osobou a umožňuje ověřit její identitu." Kvalifikovaný (systémový) certifikát je definován jako "certifikát, který má náležitosti stanovené zákonem a byl vydán kvalifikovaným poskytovatelem certifikačních služeb." § 12a dále stanoví náležitosti výše zmíněných certifikátů (unikátní číslo kvalifikovaného certifikátu, jméno a příjmení, popřípadě pseudonym podepisující osoby, začátek a konec platnosti apod.). Zprávou kvalifikovanou časovým razítkem je "datová zpráva, kterou vydal kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem, a zaručuje, že uvedená data v elektronické podobě existovala před daným časovým okamžikem." Následně v § 12b jsou specifikovány její vlastnosti (časová hodnota, unikátní číslo apod.) Elektronickou značkou jsou údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené, a které splňují následující požadavky: jsou jednoznačně spojené s označující osobou a umožňují její identifikaci prostřednictvím kvalifikovaného systémového certifikátu byly vytvořeny a připojeny k datové zprávě pomocí prostředků pro vytváření elektronických značek, které označující osoba může udržet pod svou výhradní kontrolou jsou k datové zprávě, ke které se vztahují, připojeny takovým způsobem, že je možné zjistit jakoukoli následnou změnu dat21
21
Zákon o elektronickém podpisu č. 227/2000 Sb. Část první: Elektronický podpis. § 2 Vymezení některých pojmů
33
§ 11 vymezuje použití elektronických podpisů či značek pro orgány veřejné moci, konkrétně říká, že "v oblasti orgánů veřejné moci je možné za účelem podpisu používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb. To platí i pro výkon veřejné moci vůči fyzickým a právnickým osobám. Písemnosti označené elektronickou značkou založenou na kvalifikovaném systémovém certifikátu mají stejné právní účinky jako veřejné listiny vydané těmito orgány. Orgán veřejné moci přijímá a odesílá datové zprávy prostřednictvím elektronické podatelny." Co se týče povinností podepisující osoby, označující osoby a držitele certifikátu, které mají zejména přispět k bezpečnosti těchto osob, jsou obsaženy v § 5 následovně: zacházet s prostředky, jakož i s daty při vytváření zaručeného elektronického podpisu (značky) s náležitou opatrností tak, aby nemohlo dojít k jejich neoprávněnému použití uvědomit neprodleně poskytovatele certifikačních služeb, který vydal kvalifikovaný (systémový) certifikát, o tom, že hrozí nebezpečí zneužití dat pro vytváření zaručeného elektronického podpisu (značky) odpovědnost za škodu způsobenou nedodržením těchto podmínek nese podepisující (označující) osoba, zprostí se jí pouze při prokázání opaku Držitel certifikátu je povinen podávat přesné, pravdivé a úplné informace poskytovateli certifikačních služeb. Elektronický podpis dále upravují i další předpisy. Například zákon č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, který stanovuje Ministerstvo vnitra České republiky jako instituci zodpovědnou za dohled, vývoj a regulaci nad certifikačními autoritami a elektronickým podpisem. Dále vyhláška č. 378/2006 Sb. určující postupy kvalifikovaných poskytovatelů certifikačních služeb, požadavky na nástroje elektronického podpisu a požadavky na ochranu dat pro vytváření elektronických značek. Elektronický podpis je také zapracován do jiných právních předpisů. Jedná se mimo jiné o zákon č. 89/2012 Sb., občanský zákoník, zákon č. 563/1991 Sb., o účetnictví, zákon č. 499/2004 Sb., o archivnictví a spisové službě, zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů a vyhláška 212/2012 Sb.
3.10.1. Podpisový záznam dle zákona o účetnictví § 33a Výhody spojené s využíváním elektronického podpisu jsou zjevné. Patří mezi ně rychlost, úspora nákladů a v případě dodržení všech požadavků také bezpečnost. Pozice elektronického podpisu v průběhu let sílí. V roce 2004 se tak pojem elektronického podpisu dostává i do účetnictví. Elektronický podpis představuje nový způsob předávání a uznávání účetních záznamů zprostředkova-
34
ných elektronickou formou. Účetní záznamy musí splňovat podmínky § 33a zákona 563/1991 Sb., o účetnictví a zároveň zákona 227/2000 Sb., o elektronickém podpisu aby byly průkazné. V §33a se setkáváme s pojmem „podpisový záznam“, kterým se rozumí odsouhlasení dokladu, jehož obsahem je vlastnoruční podpis nebo uznávaný elektronický podpis podle zvláštního právního předpisu, anebo obdobný průkazný účetní záznam v technické formě, který zaručuje průkaznou a jednoznačnou původnost. Podstata daného paragrafu spočívá ve specifikaci toho, jakým způsobem lze zajistit a doložit korektnost účetního záznamu. Správnost je specifikována v odstavci 1 písm. a), b) a c) a dle tohoto odstavce je zajištěna buďto přímým porovnáním se skutečností, na základě které se účetní záznam pořizuje nebo je pořízen na základě jiných průkazných účetních záznamů, přičemž oba tyto způsoby musí být jednak doložitelné a jednak potvrzené osobou, která má oprávnění takový záznam pořídit.22 Dále je zde specifikováno, co se rozumí podpisovým záznamem a identifikačním záznamem a dále způsob podpisového záznamu v závislosti na formě provedeného účetního záznamu. Laicky řečeno, jde o to, aby každý účetní záznam byl správný, aby byl proveden na základě nějaké doložitelné skutečnosti a aby k němu byl připojen podpis či identifikace člověka, který takový záznam pořizoval a aby daný člověk měl i oprávnění takový záznam pořídit a to bez ohledu na to, zda se jedná o účetní záznam písemný v listinné podobě nebo elektronický. Účetním záznamem je zde jakýkoliv záznam, týkající se účetních skutečností a integrovaný do účetního systému. Podpisovým záznamem rozumíme takový účetní záznam, ke kterému je připojen podpis osoby oprávněné a odpovědné dle odst 10 § 33a, ve formě, která je závislá na formě účetního záznamu, tj. buďto vlastnoruční písemný podpis nebo elektronický podpis dle zvláštního právního předpisu. Stanovení oprávněných osob prokazujících se za danou účetní jednotku je plně v kompetenci dané účetní jednotky. Ta jejich oprávnění, povinnosti i odpovědnost stanoví ve vnitřním předpisu tak, aby byla jednoznačně zřejmá odpovědnost jednotlivých osob za obsah jednotlivých účetních záznamů. Identifikačním záznamem rozumíme takový záznam v účetním systému, který není podpisovým záznamem a je připojen k účetnímu záznamu fyzicky nebo automaticky účetním systémem a lze u něj jednoznačně identifikovat buď určení použitého technického prostředku, nebo fyzické osoby, která daný záznam pořídila.
22
Zákon o účetnictví č. 563/1991 Sb., Část sedmá: Ustanovení společná, přechodná a závěrečná. § 33 Účetní záznam odst. 10
35
3.10.2. Nejasný výklad právní úpravy Elektronický podpis je v právní normě již zakotven od roku 2000, avšak i po 14 letech jsou ve výkladu některých významových definic nesrovnalosti. Pojmy elektronický a digitální podpis jsou chápány jako synonyma s geografickým rozdílem použití. Ve Spojených státech amerických je užíván termín „digitální podpis“, v Evropské unii je v normách používáno označení elektronický podpis. Věcně by bylo správnější označení digitální podpis, kterým se tato práce zabývá, ale v praxi i dikce zákonů a vyhlášek pracují pouze s pojmem elektronický podpis.23 Přívlastek „digitální“ vypovídá o tom, že něco je zpracováváno číselně, resp. číslicově (digitálně), neboli je „vypočítáváno“, resp. zpracováváno formou výpočtu, a má proto charakter čísla. To platí právě pro ten druh podpisu, kterým se v celé této práci zabýváme. Naproti tomu přívlastek „elektronický“ vypovídá o tom, jak konkrétně reprezentujeme čísla, resp. číslice, a je alternativou například k přívlastku „optický“ (kdy číslice reprezentujeme opticky), „magnetický“, „mechanický“ apod.“24 Z výše uvedeného vyplývá, že je nezbytné do právní úpravy vložit přesnou definici elektronického podpisu, která by řadila digitální a elektronický podpis na stejnou úroveň. Směrnice Evropské unie je přenesena do české legislativy zákonem č. 227/2000 Sb., jež specifikuje elektronický podpis jako „údaje v elektronické podobě“. Tato nejasnost je součástí předpisu od samého počátku, i když na to bylo upozorněno.25 Dle J. Peterky tento návrh zákona, vypracovaný odbornou skupinou (na jejíž práci měl možnost se podílet), toto omezení na elektronickou podobu dat neobsahoval s cílem nediskriminovat žádnou konkrétní podobu (reprezentaci) dat. Přesto se ale omezení jen na elektronickou podobu digitálních dat do finální verze zákona znovu dostalo.26 Tato nepřesnost tedy nevymezuje, zda i vlastnoruční podpis přenesen do elektronické podoby naskenováním, je také elektronickým podpisem.
23
PETERKA, Jiří. Báječný svět elektronického podpisu. Praha: CZ.NIC, c2011, s. 30 CZ.NIC. ISBN 978-80904248-3-8 24 PETERKA, Jiří. Báječný svět elektronického podpisu. Praha: CZ.NIC, c2011, s. 27 CZ.NIC. ISBN 978-80904248-3-8 25 PETERKA, Jiří. Názvoslovné omyly světa počítačů - III. In: EArchiv.cz [online]. Praha, 2000, 14. 04. 2014 [cit. 2014-05-23]. Dostupné z: http://www.earchiv.cz/anovinky/ai3731.php3 26 Pan Peterka byl součástí skupiny nezávislých odborníků pověřené uskupením SPIS a Úřadem pro státní informační systém pro vytvoření návrhu zákona o elektronickém podpise, který byl následně v upravené formě schválen a od kterého se tato skupina později veřejným prohlášením distancovala
36
Další nejasnost nastává u zaručeného elektronického podpisu, jehož definice je dána těmito vlastnostmi:
být jednoznačně spojen s podepisující osobou
umožnit identifikaci podepisující osoby ve vztahu k datové zprávě
být vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou
být k datové zprávě, ke které se vztahuje připojen takovým způsobem, že je možno zjistit jakoukoli změnu dat Tato definice vyjadřuje, že jakýkoli elektronický podpis založený na certifikátu, tak jak je
prezentováno v této bakalářské práci, je zaručeným elektronickým podpisem. Pozor, tímto zákonem není specifikována míra důvěryhodnosti certifikátu. Z toho je možné vyvodit, že přídomek „zaručený“, zajištuje pouze rozpoznání změny dokumentu, tedy narušení integrity provedené po jeho podepsání. V takovém případě není možné podpis považovat za právně závazný, jelikož nesplňuje požadavek nepopiratelnosti. Ta je splněna až vydáním kvalifikovaného certifikátu k tomuto elektronickému podpisu akreditovanou certifikační autoritou. Tato podmínka byla některými právními úpravami až do novelizace účinné od 1. července 2012 opomíjena. Překážkou pro hromadné použití elektronického podpisu je, dle odborníků, zanášení nových diskutabilních nařízení společně s upřesněním stávajících vymezení. Například novela zákona o elektronickém podpisu č. 167/2012 Sb., která ve své podstatě ukládá osobě komunikující s orgány veřejné správy a nepoužívající formátů předem určených směrnicí 2011/130/EU, zapracované i do tohoto zákona, povinnost zpřístupnění „k neomezenému a bezplatnému užití způsobem umožňujícím dálkový přístup aplikaci, která umožní okamžité ověření uznávaného elektronického podpisu nebo uznávané elektronické značky27.“ Z praktického hlediska tento požadavek momentálně splňuje pouze služba Secustamp, která však není bezplatná a pracuje pouze se soubory ve formátu PDF, navíc je schopna ověřit pouze platnost podpisového certifikátu.
27
Zákona o elektronickém podpisu ve znění pozdějších předpisů č. 227/2000 Sb. Část první: Elektronický podpis. § 11 odst. 5 písm. b)
37
4.
Využití elektronického podpisu v účetnictví
Z obecného pohledu je možné elektronický podpis využívat nejen v podnikatelské, ale i v soukromé sféře. Využití se nabízí v případech, kdy je potřeba šifrovat data, určení autora (podepsanou osobu souhlasící s obsahem dokumentu), zaručení neporušitelnosti a i v mnoha dalších. Z pohledu účetnictví patří k nejrozšířenějším oblastem využití služeb elektronického podpisu především k elektronické fakturaci, využití pro interní účely, komunikace s orgány státní správy a samosprávy a archivace účetních dokladů.
4.1.
Elektronická fakturace
Fakturace v dnešní době může probíhat dvěma způsoby, buď prostřednictvím tištěného anebo elektronického účetního dokladu. V praxi se stále lze setkat se situací, kdy papírové faktury jsou vyhotovitelem tištěny a odesílány poštou příjemci, u něhož následně zodpovědný pracovník tyto faktury zaúčtuje. Tento proces je velice časově a finančně neefektivní. Tabulka 2: Náklady na tisk faktur a jejich zasílání Celkové náklady na tisk a poštovné Náklady na odeslaný dopis Obyčejný dopis Obálka Tisk faktury (2x papír A4, náklady na tisk) Náklady na odeslání faktury
11,00 Kč 0,59 Kč 4,00 Kč 15,59 Kč
Zdroj: Vlastní propočet Jinou možností, momentálně používanou nejčastěji, je nahrazení fyzického přenosu faktury elektronickým způsobem, pomocí emailové zprávy a faktury například ve formátu PDF podepsané elektronickým podpisem nebo elektronickou značkou založenou na kvalifikovaném certifikátu. Příjemce zprávy takto obdržený doklad vytiskne a dále s ním pracuje jako s účetním dokladem v listinné podobě. Tento způsob však skrývá nebezpečí. Pokud účetní jednotka nemá prostředky nebo nechce takovýto doklad archivovat v elektronické formě, pak je nutná jeho konverze předepsaným zákonem28. V případě běžného vytištění dokumentu dojde ke znehodnocení připojeného elektronického podpisu vystavitele faktury. Povinnost konverze předepsaným způsobem se netýká dokumentů, u kterých ani jedna ze stran nezpochybní proces jejich převodu, a dokumentů specifikovaných zákonem o archivnictví a spisové službě29.
28
Zákona o účetnictví ve znění pozdějších předpisů č. 563/1991 Sb. Část sedmá: Ustanovení společná, přechodná a závěrečná. § 33 Účetní záznam 29 Zákon o archivnictví a spisové službě ve znění pozdějších předpisů č. 499/2004
38
Výše uvedené způsoby fakturace mezi obchodními partnery jsou však velice neefektivní a vyznačují se vysokou pravděpodobností výskytu chyby. Chybujícím článkem v procesu fakturace je nejčastěji lidský faktor, který je do procesu zapojený jak na straně odesilatele, tak i na straně příjemce. Moderní technologické způsoby nabízejí možnost fakturace s absencí slabého článku v procesu, popsané v následujících dvou podkapitolách. V současnosti je stále nejběžnějším způsobem zasílání faktur mezi obchodními partnery prostřednictvím e-mailu. Hlavním důvodem využívání tohoto způsobu zasílání je naše ekonomika, kterou tvoří převážně malé a střední firmy, které nemusí mít dostatečný kapitál na zajištění investice do informačních technologií za účelem využití elektronické fakturace, případně náklady na pořízení a používání vysoce přesahují úspory z nich plynoucí. Z dat Českého statistického úřadu (ČSU) vyplývá, že za rok 2013 bylo více než polovina podniků (konkrétně 56 %) schopno odeslat elektronickou fakturu a více než tři čtvrtiny podniků (79 %) fakturu touto cestou přijalo. Jen 8 % podniků připojilo elektronický podpis k zasílaným fakturám.30 Při využití elektronického podpisu není nutné se jen omezovat na elektronickou fakturaci. Technologii elektronického podpisu založeného na kvalifikovaném certifikátu je možné využít při výměně jakýchkoli dokumentů (např. objednávek, konfirmací, apod.) či e-mailových zpráv se zaručením ověření odesílatele a zachování integrity dat. Při nahrazení komunikačního kanálu pro výměnu informací mezi podniky z používání fyzické výměny dokumentů (např. pošta) na využívání e-mailových schránek není plně využito výhod elektronické faktura. Ta spočívá ve využití výměny strukturovaných dat a automatizaci zpracování. Tímto způsobem odesílá faktury pouze 11 % podniků a přijímá 24 %, oproti tomu ve Finsku, které v tomto směru vévodí Evropské unii, je schopno přijímat a odesílat strukturovaná data 60 % podniků.31
4.1.1.
EDI
EDI je běžně používaný zkrácený výraz z anglického „electronic data interchange“. Česky „elektronická výměna dat“, která představuje komunikační technologii založenou na bezpapírovém obchodním styku mezi podnikatelskými subjekty. Původně byla tato technologie prosazována silnými hráči na trhu, kteří své obchodní partnery nutili k využívání tohoto typu komunikace. S dalším vývojem a moderním řešením se EDI stalo nepostradatelným pomocníkem mnoha velkých i malých firem, jelikož nabízí možnost efektivní výměny a zpracovaní dokumentů od elektronických objednávek až po faktury. 30
ŠTŮLOVÁ, Šárka. ICT UNIE Z. S. ISDOC [online]. Praha, 2009, 6. 2. 2014 [cit. 2014-12-23]. Dostupné z: http://www.isdoc.cz/index.php?id=1153&no_cache=1&tx_ttnews[tt_news]=391&tx_ttnews[backPid]=14 31 ŠTŮLOVÁ, Šárka. ICT UNIE Z. S. ISDOC [online]. Praha, 2009, 6. 2. 2014 [cit. 2014-12-23]. Dostupné z: http://www.isdoc.cz/index.php?id=1153&no_cache=1&tx_ttnews[tt_news]=391&tx_ttnews[backPid]=14
39
Využívání EDI se stalo standardem mezi dodavateli a odběrateli především u obchodních firem.32 Při navazování nových obchodních vztahů bývá tento typ komunikace dokonce předmětem smluv a je na ni kladen důraz. Elektronická výměna dokumentů je postavena na úroveň logistických služeb a při výběru nového obchodního partnera je významným faktorem konkurenceschopnosti, často bývá i podmínkou. Není možné opomenout, že EDI není pouze komunikační kanál, ale ve většině případů je součástí podnikových informačních systémů nebo je do nich implementován. V tom je zakotvena přidaná hodnota využití. Po vytvoření objednávky je možné její okamžité odeslání protistraně, není zde možná ztráta dokumentu a doručení je prokazatelné. V nejideálnější formě je proces plně automatizován, kdy objednávka je vytvořena při na minimálním stavu zásob nebo predikci prodeje. U protistrany dochází k automatickému zpracování objednávky do informačního systému. Na základě automatické objednávky je možné vystavit dodací list, potažmo fakturu bez možnosti překlepu při přepisování apod. Ačkoli je tento systém komunikace intenzivně rozvíjen od konce 90. let a daňové zákony zahrnují elektronickou komunikaci od roku 2004, není tento systém vhodný pro všechny firmy napříč trhem. Pro podniky s jednou fakturou za týden je časová úspora na zpracování zanedbatelná oproti náročnosti integrace do firemního informačního systému. Odběratelé na využití EDI často trvají, což by pro menší podnik mohlo znamenat ztrátu odbytiště. V těchto případech je možné využít EDI bez integrace, existuje software, který následně funguje podobně jako emailový klient. Tvůrci software tyto verze poskytují v řádech stovek korun, maximálně několika tisíc. Pro malý podnik tedy nemusí být praktickým přínosem, ale za malý náklad mohou získat více odběratelů. Hlavní výhody EDI:33 Přehlednější procesy – rychlé a snadné dohledání všech dokladů a souvisejících informací včetně zjištění aktuálního stavu rozpracovanosti. Úspora lidských zdrojů – procesy jako zadávání údajů do počítače, ruční zpracování dokumentů, balení, distribuce nebo archivace probíhají automaticky. Rychlejší procesy – doklad je doručen adresátovi téměř okamžitě, odesílatel vždy obdrží potvrzení o doručení dokumentu a jeho dalším zpracování (kontrola správnosti
32
KOTYK, Václav. Trendy EDI komunikace v roce 2012: Výměna kmenových dat, více zpráv, partnerů a integrace. In: SystemOnLine [online]. Praha, 2012, 2. 8. 2014 [cit. 2014-05-01]. Dostupné z: http://www.systemonline.cz/it-pro-logistiku/trendy-edi-komunikace-v-roce-2012.htm 33 REICHEL, David. Nástup EDI do informačního systému: Je EDI moderní nástroj obchodní ko-munikace, nebo luxusní hračka retailových řetězců?. In: SystemOnLine [online]. Praha, 2008, 2. 8. 2014 [cit. 2014-0420]. Dostupné z: http://www.systemonline.cz/erp/nastup-edi-do-informacnich-systemu.htm
40
údajů, zaúčtování, proplacení). Automatický proces párování dokladů umožňuje, aby likvidace elektronických faktur proběhla zcela automaticky bez dalších lidských zásahů. Přenos dat je zajištěn pomocí internetu nebo Value-added network (síť s přidanou hodnotou), která funguje v prostředí internetu. U využití internetu jsou přenášené informace kódovány pomocí AS2 protokolu (Applicability Statement 2). Jde o dvoubodové propojení s jednotlivými partnery, což znamená, že počet partnerů odpovídá počtu propojení, o které se podnik musí starat. To je náročné na interní zdroje. Využití VAN je v tomto směru méně náročné, jedná se zprostředkovanou službu VAN operátora. Podnik se stará pouze o jedno připojení k operátorovi.
4.1.2.
Formát ISDOC
Formát ISDOC (Information System Document) není způsobem elektronické komunikace, ale jde o formát souboru, který byl vytvořen speciálně pro použití v elektronické fakturaci. Je používán od roku 2009, kdy 14 významných firem na trhu podnikových informačních systémů podepsalo "Deklaraci o společném postupu v oblasti řešení elektronické fakturace v České republice", k podpisu deklarace došlo necelý rok před spuštěním nového formátu. Dalšími signatáři byli zástupci státu, jmenovitě ministr financí Miroslav Kalousek a náměstek ministra vnitra Zdeněk Zajíček. Do dnešního dne se k signatářům připojilo dalších 35 firem z oboru.34 ISDOC je strukturovaný formát, umožňující import do podnikových informačních systémů. Stejně tak jako data posíláná v rámci EDI, i soubor ve formátu ISDOC může být záslán přes EDI. Prioritou vzniku byla podpora posílání elektronických daňových dokladů a možnost využití menšími firmami a živnostníky. Tento formát umožňuje poloautomatické zpracování. Soubor z e-mailu uložíme do počítače, a kde v účetní program zvolíme načtení dat, tudíž odpadá manualní zpracovaní, nic se nepřepisuje ručně. V současnosti každý účetní systém podporuje práci s dokumenty ve formátu ISDOC.35 I v případech kdy na tento formát není příjemce připraven, je možné z internetových stránek www.isdoc.org stáhnout software ke čtení tohoto formátu (software je zdarma). Po technické stránce se jedná o moderní dokument založený na UBL (Universal Business Language). Ačkoli formát umožňuje kromě daňového dokladu vyhotovit ještě dalších pět druhů dokumentů, navazující dokumenty mezipodnikové komunikace jako např. objednávka nebo výdejka není možné vytvořit.
34
ŠTŮLOVÁ, Šárka. ICT UNIE Z. S. ISDOC [online]. Praha, 2009, 15. 3. 2014 [cit. 2014-04-23]. Do-stupné z: http://www.isdoc.cz/index.php 35 KUBÍČKOVÁ, Ilona. Elektronická fakturace a formát ISDOC: Cesta k modernímu podnikání. In: SystemOnLine [online]. Praha, 2013 [cit. 2014-04-23]. Dostupné z: http://www.systemonline.cz/spravadokumentu/elektronicka-fakturace-a-format-isdoc.htm
41
4.2.
Využití elektronického podpisu uvnitř podniku
Množství využití v interním prostředí firmy nebo v rámci celého holdingu je již z logiky věci nespočetně více. V rámci vnitřní komunikace není kladen takový důraz na míru zabezpečení, jako v přímé komunikaci s obchodními partnery. V tomto případě se při ověřování platnosti elektronického podpisu nabízí využití komerčního certifikátu před kvalifikovaným. Tato možnost byla vysvětlena v kapitole Certifikáty, ty si pro své účely může firma (holding) vydávat sama a tím se vyhnout nákladům na jeho pořízení a obnovu od kvalifikovaného poskytovatele certifikačních služeb. Naproti tomu musí počítat s nárůstem požadavků na zabezpečení interní databáze obsahující certifikáty. Jedno z možných použití vyplývá při spojení s kapitolou 4.1. pro interní účely podniku, a to v případě víceúrovňového schvalování dokumentů. Například může sloužit při vyhotovení požadavku na objednávku, která je v první řadě vystavena zaměstnancem z výrobního oddělení. Následně je dokument elektronicky odeslán nákupnímu oddělení, které požadavek schválí a podepíše koncept objednávky. Ten putuje například k finančnímu řediteli, který v případě schválení připojí elektronický podpis, již založený na uznávaném kvalifikovaném certifikátu. Běžně se pro přihlášení do firemního počítače používá uživatelské jméno a heslo, tento přihlašovací způsob není zcela bezpečný a zde se nabízí možnost nahrazení elektronickým podpisem. Ačkoli přihlašovací jméno a heslo je nejrozšířenější způsob autentizace osob, je z hlediska bezpečnosti považován za nejslabší. V případě nahrazení elektronickým podpisem je certifikáty nutné spárovat s jednotlivými účty oprávněných osob v systémech společnosti. Samotné ověřování probíhá dvojím způsobem. Obrázek 10: První princip přihlášení klienta do informačního systému podniku
Zdroj: Vlastní
42
Na předchozím obrázku je vidět, jak v prvním případě nejprve server odešle náhodný datový řetězec na počítač přihlašující se osoby, která tato data následně zašifruje svým soukromým klíčem a společně s certifikátem odešle pro ověření serveru. Oproti tomu v druhém případě (str. 40), je na server zaslán certifikát, pomocí veřejného klíče v něm obsaženého je uzamknut obdobný datový řetězec jako v prvním případě a zaslán nazpět přihlašující se osobě. Ta svým soukromým klíčem tento elektronický podpis odemkne a vrátí zpět serveru, který provede ověření. Při použití v praxi se vychází z první ukázky (metody) autentizace pomocí elektronického podpisu. Ještě je nezbytné doplnit, že přihlašování probíhá po navázání zabezpečené komunikace kupříkladu protokolem SSL (Secure Sockets Layer = doslova vrstva bezpečných socketů).36 Obrázek 11: Druhý princip přihlášení klienta do informačního systému podniku
Zdroj: Vlastní V návaznosti na použití elektronického podpisu k autentizaci přístupu do počítače je možné využít jeho dalších výhod, jako například možnost dohledání původních účetních záznamů po jejich případné změně. Protože v takovém případě by se oprávněná osoba přihlásila do účetního systému a mohla účtovat. Software by po provedení účetní operace automaticky podepsal provedený úkon soukromým klíčem osoby, který by byl uložen na alternativním uložišti USB flash disku nebo čipové kartě. Pokud by jiná osoba provedla úpravu již provedené a podepsané účetní operace, byla by tato změna opět podepsána. Je na každém podniku, zda využije tento stupeň bezpečnosti pro ochranu účetních záznamů, neboť jde o složitý a časově náročný způsob pro použití v běžných situacích. V praxi je možné se nejčastěji setkat s využitím elektronického podpisu k podepisování a šifrování e-mailových zpráv. Podepsání e-mailu je jednoduché a ve většině případů je nutné klik36
PETERKA, Jiří. Báječný svět elektronického podpisu. Praha: CZ.NIC, c2011, 317 s. CZ.NIC. ISBN 978-80904248-3-8
43
nout pouze na jedno jediné tlačítko. Příjemce si tedy může být při ověření certifikátu jistý, kdo zprávu poslal a podepsal. V případě přenosu citlivých dat a jejich ochrany je nezbytné tato data chránit. E-mail podepsaný soukromým klíčem tuto ochranu nezajištuje, k tomu lze využít veřejného klíče příjemce. V uložišti odesílatele musí být veřejný klíč doručitele uložen. Veřejný klíč je možné získat dvěma způsoby: Z předchozí přijaté zprávy podepsané soukromým klíčem odesílatele, nebo bude veřejný klíč doručen elektronicky či kurýrem. Jinou možností je výměna veřejných klíčů při předchozím osobním setkání obchodních partnerů. Takto šifrovanou zprávu může přečíst pouze držitel soukromého klíče.
4.3.
Orgány státní správy a samosprávy
Mezi hlavní důvody pořízení a používání elektronického podpisu založeného na kvalifikovaném certifikátu vydaného akreditovanou certifikační autoritou je jednoznačně možnost komunikace s orgány státní správy a samosprávy. Příklady využití:37
zasílání elektronických podání různým úřadům prostřednictvím e-podatelen podávání daňových přiznání zasílání dokumentů ČSSZ (České správě sociálního zabezpečení) při žádostech o dotace z EU při žádostech o výpisy z obchodních rejstříků zasílání zpráv prostřednictvím datových schránek
a další
Při prodeji zboží a služeb státní správě není možné využití elektronických faktur ve strukturovaných datech. Přičemž změna byla v programovém prohlášení nynější vlády, protože se jedná o zájem občanů a i efektivnější správu země. Sdružení a asociace působící v oboru informačních a komunikačních technologií38 vyzvaly premiéra a členy vlády, aby koaliční kabinet začal konkrétně uskutečňovat priority, ke kterým se zavázal ve svém programovém prohlášení.39
4.3.1.
Datové schránky
Doručování dokumentů mezi orgány veřejné moci navzájem, mezi orgány veřejné moci a právnickými osobami, podnikajícími fyzickými osobami či fyzickými osobami je možné pomoci informač37
Vyhláška 496/2004 Sb., o elektronických podatelnách ICT UNIE je profesní sdružení firem z oboru informačních technologií a elektronických komunikací, dalších podnikatelských a vzdělávacích subjektů. 39 ČAPEK, David. ICT průmysl vyzval vládu k realizaci programových priorit. ICT Unie [online]. Praha. 2014, 2014-10-29 [cit. 2014-12-22]. Dostupné z: http://www.ictu.cz/index.php?id=1153&no_cache=1&tx_ttnews[tt_news]=792&tx_ttnews[backPid]=14 38
44
ního systému datových schránek (dále IS DS). Kromě toho je také možné provádět úkony směrem k orgánům veřejné moci. Správcem zajištujícím bezpečnost a důvěryhodnost celého systému je Ministerstvo vnitra České republiky a provozovatelem je držitel poštovní licence, konkrétně Česká pošta, s. p. Jedná se o datové uložiště, do kterého orgány veřejné moci, právnické osoby a další zasílají zprávy,40 tento způsob doručení má stejnou právní váhu jako doporučený dopis. Komunikace může probíhat všemi směry, není zde žádné omezení. Úřad veřejné moci může tímto způsobem komunikovat směrem k fyzickým osobám, osobám samostatně výdělečně činným nebo právnickým osobám, stejně tak i oni mohou kontaktovat úřad veřejné moci. Případně mohou komunikovat mezi sebou. Prozatím ne každý má zákonnou povinnost vlastnit datovou schránku. V seznamu držitelů datových schránek naleznete fyzické osoby, podnikající fyzické osoby, právnické osoby a orgány veřejné moci, které mají zřízenou a zpřístupněnou datovou schránku. Časové milníky datových schránek: 1. 5. 2009 – Start pilotního ověřování IS DS na vybraných úřadech a organizacích. 1. 6. 2009 – Spuštění otevřeného rozhraní pro uživatele ISDS pro účely testování. 1. 7. 2009 – Spuštěn provoz IS DS. 1. 11. 2009 – Nejzazší termín pro aktivaci datové schránky pro právnické osoby. 1. 1. 2010 – Zahájena komerční komunikace mezi datovými schránkami fyzických osob, podnikajících fyzických osob a právnických osob, pouze pro faktury. 1. 7. 2010 – Zahájení komerční komunikace mezi datovými schránkami fyzických osob, podnikajících fyzických osob a právnických osob navzájem, bez omezení. 1. 1. 2014 – Fyzické osoby podnikající mají povinnost komunikovat směrem k České správě sociálního zabezpečení pomocí datových schránek, případně mohou nahradit datovou schránku využitím elektronického podpisu.
40
Datová schránka: Technické řešení. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001-, 2012 [cit. 2014-05-01]. Dostupné z: http://cs.wikipedia.org/wiki/Datov%C3%A1_schr%C3%A1nka
45
Obrázek 12: Schéma IS DS
Zdroj: www.aipsafe.cz Od zprovoznění datových schránek dne 1. 7. 2009 jsou orgány veřejné moci povinny komunikovat s právnickými osobami pomocí této formy komunikace. Od 1. 1. 2010 se datová schránka stala zaručeným komunikačním kanálem pro zasílání elektronických faktur a podobných výzev k zaplacení mezi právnickými osobami, fyzickými podnikajícími osobami a fyzickými osobami. Od 1. 7. 2010 může být věcný obsah dokumentů vložených do datové schránky libovolný. Fyzické osoby podnikající měly původně povinnost zřídit datovou schránku od 1. 1. 2013, z důvodu jejich nepřipravenosti byl tento termín posunut na 1. 1. 2014. Schéma IS DS zobrazuje přístupy k datovým schránkám. Uživatelský přístup, si občané mohou zajistit dobrovolně. Pro pravnické osoby vyplývá povinnost zřízení datové schránky ze zákona od počátku využívání. Pro OSVČ byla tato povinnost naplánována od 1. 1. 2013, z důvodu nepřipravenosti podnikajících osob, bylo toto stanovisko pozměněno. Nyní se vyčkává a dokonce Ministerstvo práce a sociálních věcí přemýšlí o úplném zrušení povinnosti založení datové schránky pro OSVČ. Nynější odklad je platný do 31. 12. 2014. Administrátorské rozhraní slouží pro přístup soudů, Policie České republiky a dalším orgánům dle zákona. Příchozí zprávy do datových schránek jsou po 90 dnech od doručení automaticky smazány, služba nazývající se Datový trezor, který umožňuje archivaci přijatý zpráv. Ke smazání dojde pouze na žádost uživatele. Využitím tohoto způsobu uložení přijatého dokumentu, odpadá práce s jeho 46
bezpečným uložením nebo autorizovanou konverzí do listinné podoby. U dokumentů s elektronickým podpisem nevyprší jejich platnost, čímž odpadá dotatečné přidávání časového razítka za účelem prodloužení plastnosti podpisu. Pokud to okolnosti vyžadují, je vždy možné dokument autorizovaně konvertovat do listinné podoby. Výhody komunikace přes datové schránky: Prokazatelnost (vždy dokážete, že jste dokument poslali v pořádku a včas) Garantované dodání (elektronická obdoba doporučené zásilky) Ověřená identita odesílatele (na rozdíl od běžné elektronické pošty přesně víte, kdo s vámi komunikuje) Bezpečnost (PDZ využívá Informační systém datových schránek) Pohodlnost (PDZ posíláte přímo ze svého počítače) Úspora času (vaše zpráva dorazí rychleji než doporučená zásilka, nemusíte nic tisknout a nikam chodit) Úspora nákladů (neplatíte za obálku, papír ani tisk dokumentu) Tabulka 3: Ceník za odeslání datové zprávy
Zdroj: http://www.postovnidatovazprava.cz/cenik.html U datových schránek není možné využít návaznost přímo na informační systém podniku, takže výhodnost využití pro komunikaci mezi velkými podniky se zde nenabízí. Dalším nedostatkem datových schránek je nenomožnost podpisu dvou a více osob. K odesílanému dokumentu připojují podpis pouze osoby přihlášené pod svým uživatelským jménem ke schránce. V případech, kdy je nezbytný podpis například dvou jednatelů, nezbývá než využít uznávaného elektronického podpisu. Slabostí je táké omezená velikost souboru, jež je možné připojit přes schránku a odeslat, a to i přes neomezenou kapacitu datové schránky. Co do bezpečnosti, je slabým místem podniky vnímána bezpečnost všech dat, jelikož k šifrování je používán certifikát, který si Česká pošta sama vydala prostřednictvím vlastní akreditované certifikační autority
47
PostSignum. Zabezpečení proti chybě nebo záměrné manipulaci provozovatele systému samotného je tedy diskutabilní.41 Podíl společností využívajících datové schránky rozdělené dle velikosti (počet zaměsntanců). Obrázek 13: Využívání datových schránek při komunikaci s veřejnou správou za rok 2012
Zdroj: Dotazníkový průzkum Českého statistického úřadu z roku 2012
4.3.2.
E-podatelny a Daňový portál
Pro komunikaci se státní správnou je možné kromě datových schránek využívat tzv. e-podatelny. Jak bylo zmíněno v předchozí podkapitole, ne všechny typy podniků musí disponovat datovou schránkou. Pro takové případy jsou zřízeny e-podatelny, což jsou e-mailové schránky určené pro tyto účely (např. Vláda České republiky),42 ale může se jednat i o komplexní webové stránky jako například portál Ministerstva spravedlnosti České republiky. Zákon stanovuje povinnost zřízení takovéto e-mailové schránky pro každou organizaci státní správy. Každá e-podatelna má jiné nároky na způsob a podobu elektronického podání, ale ve všech případech musí být datová zpráva opatřena uznávaným elektronickým podpisem. Přihlášení do webové služby musí být vždy provedeno pomocí kvalifikovaného certifikátu vydaného akreditovanou certifikační autoritou. V případech podání úplného elektronického daňového přiznání je možné využít specifické e-podatelny daňového portálu, tento portál slouží pro jakoukoli písemnost vůči orgánům Finanční správy. Provozovatelem této služby je Generální finanční ředitelství. Způsoby elektronického podání jsou:43
dokumenty podepsané uznávaným elektronickým podpisem dokumenty odeslané prostřednictvím datové schránky dokumenty s ověřenou identitou podatele způsobem, kterým se lze přihlásit do jeho datové schránky 41
SMEJKAL, Vladimír a Michal Altair VALÁŠEK. Jak na datové schránky: praktický manuál pro každého. Praha: Linde, 2012, 197 s. ISBN 978-808-6131-801 42 Vyhláška 496/2004 Sb., o elektronických podatelnách 43 Zákon daňový řád ve znění pozdějších předpisů č. 280/2009 Sb. Část druhá: Obecná část o správě daní. § 71 odst. 1
48
4.4.
Archivace účetních dokladů
Dnešní možnosti výpočetní techniky a způsoby komunikace v elektronické podobě přímo nabízí možnost využívání elektronických účetních dokladů. Odtud plynou jisté výhody (např. není nutné mít skladovací prostor) avšak i nevýhody, mezi ty vážnější patří nutnost archivace. S klasickými doklady v listinné podobě nemůžeme hovořit o nějakých zásadnějších překážkách. Naopak, podniky mají možnost využít služeb firem, které se na tuto činnost specializují. S archivací elektronických dokumentů je to poměrně složitější z důvodu požadavku na prokazatelnost a neměnnost v čase. Případné využití autorizované konverze pro převod dokladů do listinné podoby je možné, ale tato metoda je poměrně nákladná a omezená ze zákona pouze na dokumenty ve formátu PDF nebo PDF/A. Základní požadavky na elektronický doklad se neliší od požadavků na doklad na papírovém nosiči, v obou případech musí splňovat: Dostupnost Čitelnost Pravost Dostupnost patří mezi nejsnáze zajistitelné podmínky, čemuž napomáhají pokročilé technologie a existuje mnoho formátů pro strukturované i nestrukturované dokumenty. Problém nastává s nutností archivace a zajištěním čitelnosti pro fyzickou osobu. Pokud budu předpokládat, že dokumenty v takové formě nejsou, musí osoba zodpovědná za archivaci disponovat prostředky pro zajištění čitelnosti v patřičné podobě. Jde například o dříve používaná media jako floppy disky, která se dnes již nepoužívají. Účetní doklady je někdy nutné archivovat po dlouhou dobu, například pro účetní závěrky je požadavek na archivaci po dobu 10 let. Zatímco dokument na papírovém nosiči uložíme do skladu, a dokud ho neodneseme, bude tam stále ležet, avšak na druhou stranu je nutné zajistit správné řazení pro případnou potřebu a prostory náležitě zabezpečit. U elektronických dokladů vzniká problém s uložením nejen v různých formátech, a zároveň také na různá média. K tomu ještě přidejme vývoj a změny používaného softwaru, který má zajistit čitelnost. Z toho vyplývá, že doklady se v průběhu času stanou nečitelnými ve své původní podobě s vysokou pravděpodobností ještě před uplynutím požadavku na dobu archivace. Za účelem dlouhodobé archivace je nezbytné využít jednu z následujících tří základních metod:
Emulace
Virtualizace
Migrace Emulace znamená, že aktuálně používaný software vytvoří prostředí, jaké bylo používáno
pro původní soubory v minulosti, ty jsou potom jakoby ve svém domovském prostředí. Tato mož49
nost je značně omezena nejen aktuálně využívaným systémem softwaru, ale závisí i na ostatní výbavě počítače po softwarové stránce. Virtualizací je počítači umožněno přistupovat k dostupným zdrojům jiným způsobem. Na novějším hardware lze vytvořit prostředí, které existovalo v minulosti i přes různé generace programového a hardwarového vybavení počítačů. Třetí a pro naší potřebu nejpřijatelnější metodou je migrace. Při té dochází ke konverzi dat ze starého a nepodporovaného formátu do formátu aktuálně přijatelného. Problémem této metody je spjatost dokumentu s elektronickým podpisem, zajišťující jeho integritu až na úrovni bitů. Z logiky věci vychází, že při konverzi dojde ke změně, čímž je narušena integrita dokumentu. Řešením může být užití důvěryhodné instituce, která migraci provede s tím, že sice budou porušeny původní bezpečnostní mechanismy dokumentu, ale při migraci vzniknou nové, vytvořené dostatečně důvěryhodnou a nezpochybnitelnou institucí.44 Dle zákona 499/2004 Sb., o archivnictví a spisové službě, se dokument považuje za pravý, byl-li „podepsán platným uznávaným elektronickým podpisem nebo označen platnou elektronickou značkou osoby, která k tomu byla v okamžiku podepsání nebo označení oprávněna, osoby odpovědné za převedení z dokumentu v analogové podobě nebo změnu formátu dokumentu v digitální podobě nebo osoby odpovědné za provedení autorizované konverze dokumentů a opatřen kvalifikovaným časovým razítkem.“ Z toho vyplývá, že před archivací je nezbytné doklad zkontrolovat, zda je připojen uznávaný elektronický podpis a zároveň i platné kvalifikované časové razítko, jelikož jejich platnost musí být prokazatelná i kdykoli později. Jedinou možností jak zajistit stálou platnost podpisu i časového razítka, je vždy před vypršením časové platnosti certifikátů, připojit další kvalifikované časové razítko. Tento proces musí být opakován vždy před revokací použitého certifikátu. Prokázání pravosti je důležité především pro daňové doklady z důvodu potřeby zajištění nepopiratelnosti, oproti archiváliím obecně, kde je nejdůležitějším požadavkem čitelnost a zachování integrity dokumentu. Důvodem je, že význam jako archiválie může mít i falzifikát. S důrazem na dlouhodobou archivaci dokumentů se stává velice závažným problémem elektronického podpisu i stárnutí použitých algoritmů. V budoucnu je možné, že například budou dostupné takové postupy a kapacita výpočetní techniky, že například z veřejného klíče bude možné odvodit klíč soukromý, a kdokoli by se mohl podepisovat na dokumenty za kohokoli, ovlivněny by však byly pouze budoucí dokumenty. Zastaralé algoritmy by mohli vést k dopočítání shodného hashe pro pozměněný dokument, čímž by vznikl falzifikát, který by se při ověření choval jako originál. Možným řešením by bylo k účetním dokladům přikládat jednotlivé průkazní záznamy (např. objednávka, potvrzení objednávky, atd.). 44
BUDIŠ, Petr. Elektronický podpis a jeho aplikace v praxi. s. 145 1. vyd. Olomouc: ANAG, 2008, 157 s. ISBN 978-80-7263-465-1
50
Jako řešení popsaných problémů se nabízí možnost používat jednodušší formáty, které nepodléhají častým změnám a nejsou spojeny jen s jedním tvůrcem softwaru či technologií. Jde například o formát PDF/S, který byl přijat jako standard ISO. Jedná se o novější verzi oproti původnímu PDF, která byla vytvořena za účelem dlouhodobé archivace. Tím splňuje následující předpoklady:45 nezávislost na platformě všechny informace potřebné pro správné zobrazení jsou uvnitř souboru (např. fonty, definice barev, atd.) metadata jsou ve formátu XMP žádné šifrování, žádná ochrana hesly apod. žádný audio nebo video obsah žádný JavaScript nebo spustitelné soubory nepoužívá se LZW komprese Formát XMP (eXtensible Metadata Platform) je založený na jazyce XML a umožňuje vkládat do souborů metadata. Byl vynalezen, stejně jako formát PDF, firmou Adobe a podporuje ho i velké množství ostatního programového vybavení počítače. LZW komprese je pak univerzální bezztrátový kompresní algoritmus navržený pro rychlou implementaci. Legislativa upravuje pouze první z uvedených příkladů. Od července roku 2013 byly sjednoceny pojmy v novelách zákonů č. 227/2000 Sb., o elektronickém podpisu a č. 499/2004 Sb., o archivnictví. Po novele jsou jednoznačně dány přijatelné referenční formáty ETSI (Evropský ústav pro telekomunikační normy), PAdES, CAdES, XAdES. Jde o formáty zajišťující dlouhodobou archivaci tzv. LTV (Long Term Validation), jejichž požadavky vychází z následujících principů:
všechno důležité uvnitř dokumentu nezávislost na uložišti odolnost vůči vnějším událostem nezpochybnitelnost po neomezenou dobu Pro potřeby dlouhodobé archivace jsou důležité především formáty PAdES LTV (Long Term Validation), CAdES-A (Archival) a XAdES-A .Orgány veřejné moci jsou navíc dle této novely povinny vést spisovou službu pouze v elektronické podobě.
45
TALO, Tieteiden. NPES. Preserving documents into the future: PDF/A update [online (PDF)]. Helsinki, 2006, 16. 11. 2006 [cit. 2014-07-13]. Dostupné z: http://www.aiimhost.com/DLM/DLMHelsinki_MarcStraat.pdf
51
5.
Závěr
Pojem elektronický podpis byl zanesen do směrnice Evropské unie v roce 1999. Do naší legislativy byl implementován v roce 2000 zákonem o elektronickém podpisu. Definice elektronického podpisu tímto právním předpisem byla značně nekompletní a nejasná, to mělo za následek velmi omezené možnosti využití. Aktualizace v roce 2004, jež přinesla nejen upřesnění samotného elektronického podpisu, zároveň definovala další pojmy jako časové razítko, certifikát či certifikační autorita. Množství uživatelů využívající této technologie postupně stále narůstá. V roce 2012 byla učiněna zatím poslední významná úprava zákona, která řeší mnohé nedostatky týkající se především archivace účetních dokladů a komunikace se státní správou. Mezi největší výhody elektronického podpisu patří především zajištění zachování integrity podepsaného dokumentu, pokud je podpis založen na kvalifikovaném certifikátu, pak také zajistí jednoznačnou identifikaci podepsané osoby a neodvolatelnost právního úkonu. Tyto charakteristiky vyplývají z podstaty jeho používání. Mezi další nesporné výhody patří možnost podepsání jakéhokoli datového souboru v jakémkoli formátu, čí přímo přenosu dat. Oproti vlastnoručnímu podpisu nabízí okamžité ověření pravosti a platnosti. Naproti tomu mezi nedostatky patří především neinformovanost veřejnosti o charakteristických rysech elektronického podpisu. Velký podíl osob zaměňuje elektronický podpis za pouhé naskenování nebo vytištění na dokument, tak jak vidíme na obrázku 3 na straně 21. Bezpečnost elektronického podpisu je často považována za neprolomitelnou. Při využití současných výpočetních kapacit by k překonání šifrovacího algoritmu bylo potřeba velmi mnoho času. A to tolik, že platnost certifikátu na jeden rok je prozatím dostatečnou zárukou bezpečnosti. Velký potenciál má elektronický podpis v administrativních procesech nejen v rámci podnikatelské činnosti, ale také v životě soukromých osob. Konkrétně se jedná o využití při elektronické fakturaci, která velice často probíhá prostřednictvím zasílání dokumentů e-mailem. Účetní doklady, jež jsou předmětem této komunikace, musí být archivovány po zákonem stanovenou dobu. V případě archivace dokumentů v elektronické podobě zatím nejsou zcela vyřešeny veškeré problémy s ní spojené a ani konverze písemností do listinné podoby není bez omezení. Před elektronickým podpisem je ještě dlouhá cesta, než bude běžně využíván firmami tak jako vlastnoruční podpis. Bez dostatečné opory v zákoně a další propagace plně elektronické komunikace s orgány veřejné správy to nebude možné. Přesto si myslím, že budoucí vývoj použití elektronického podpisu je příznivý zejména v oblasti výměny obchodní dokumentace a účetních záznamů.
52
6.
Conclusion
The concept of the electronic signature was introduced in the European Union directive in 1999. In our legislation was implemented in 2000 by the Law of Electronic Signature. The definition of electronic signature, was very incomplete and unclear, it resulted in very limited possibilities of use. Updates in 2004, which brought not only clarity in the actual electronic signature field, it also defined other terms such as time stamp, certificate or certification authority. Number of users using this technology is gradually increasing. In 2012 was made the most significant amendment to the Act, which solves problems relating primarily to archival records and communication with the government. One of the biggest advantages of the electronic signature belongs primarily to ensure preservation of the integrity of the signed document, if the signature is based on a qualified certificate, and then also ensure unambiguous identification of the signatory and the finality of the transaction. These characteristics are inherent to its use. Other distinct advantages include the ability to signing any data file format, or direct data interchange. Compared to a handwritten signature provides instant verification of the authenticity and validity. In contrast, the setbacks are mainly public ignorance of the characteristic features of the electronic signature. A large proportion of people substitute the electronic signature for just scanned or printed on paper signature, as it is shown in Figure 3 on page 21. For the security of electronic signature is often considered to be unbreakable, so often generalized, but when uses existing computing resources to overcome the encryption algorithm, too much time is needed. So much, so the limited validity of the certificate for 1-year is a sufficient guarantee. The great potential of the electronic signature in administrative processes not only within the entrepreneurial activities, but also in the lives of individuals. Specifically, the use of the electronic invoicing, which very often takes place by sending documents by email. Accounting documents which are the subject of this communication must be filed after the statutory period. In the case of archiving electronic documents, are not yet completely solved all the problems associated with it and even convert documents in paper form is not without limitations. The long journey is ahead of the electronic signature before it is commonly used by companies such as handwritten signature. It will not be possible without sufficient government support through laws and other publicity of fully electronic communication with public authorities. Still, I think that the future development of the electronic signature is favorable especially in the exchange of business documents and accounting records.
53
7.
Seznam zdrojů
7.1.
Literární zdroje
A. DOBDA, Luboš. Ochrana dat v informačních systémech. 1. vyd. Praha: Grada Publishing, 1998, 286 s. ISBN 80-716-9479-7 B. BUDIŠ, Petr. Elektronický podpis a jeho aplikace v praxi. s. 145 1. vyd. Olomouc: ANAG, 2008, 157 s. ISBN 978-80-7263-465-1 C. KOVANICOVÁ, Dana. Abeceda účetních znalostí pro každého. XVII. aktualizované vydání. Praha: Polygon, 2007. ISBN 987-80-7273-143-5 D. MYŠKOVÁ, Renáta. Dokladovost v účetnictví, aneb, Jak na doklady a co s nimi: [praktická příručka pro praxi malých a středních podnikatelů]. Praha: ČZT, 2004, 135 s. Účetnictví, daně a právo v zemědělství. ISBN 80-239-4302-2 E. PETERKA, Jiří. Báječný svět elektronického podpisu. Praha: CZ.NIC, c2011, 430 s. CZ.NIC. ISBN 978-80-904248-3-8 F. SMEJKAL, Vladimír a Michal Altair VALÁŠEK. Jak na datové schránky: praktický manuál pro každého. Praha: Linde, 2012, 197 s. ISBN 978-808-6131-801 G. TRUPL, Jindřich a Daniel HORAD. Účetní a daňové doklady: vzory písemností. 3., aktualizované vydání Praha: Grada, 2001, 145 s. ISBN 80-247-0022-0
7.2.
Internetové zdroje
A. ČAPEK, David. ICT průmysl vyzval vládu k realizaci programových priorit. ICT Unie [online]. Praha. 2014, 2014-10-29 [cit. 2014-12-22]. Dostupné z: http://www.ictu.cz/index.php?id=1153&no_cache=1&tx_ttnews[tt_news]=792&tx_ttnews[backP id]=14
B. Datová schránka. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001, 25. 3. 2014 [cit. 2014-05-01]. Dostupné z: http://cs.wikipedia.org/wiki/Datov%C3%A1_schr%C3%A1nka C. Elektronický podpis. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001, 5. 4. 2014 [cit. 2014-07-22]. Dostupné z: http://cs.wikipedia.org/wiki/Elektronick%C3%BD_podpis D. JÁNSKÝ, Josef. Hodnota podpisu. Grafologie psychologie písma [online]. Praha, 2007, 15. 6. 2014 [cit. 2014-07-27]. Dostupné z: http://www.grafolog.cz/hodnota.php
54
E. KUBÍČKOVÁ, Ilona. Elektronická fakturace a formát ISDOC: Cesta k modernímu podnikání. In: SystemOnLine [online]. Praha, 2013 [cit. 2014-04-23]. Dostupné z: http://www.systemonline.cz/sprava-dokumentu/elektronicka-fakturace-a-format-isdoc.htm
F. ŠTŮLOVÁ, Šárka. ICT UNIE Z. S. ISDOC [online]. Praha, 2009, 15. 3. 2014 [cit. 2014-04-23]. Dostupné z: http://www.isdoc.cz/index.php G. ŠTŮLOVÁ, Šárka. ICT UNIE Z. S. ISDOC [online]. Praha, 2009, 6. 2. 2014 [cit. 2014-12-23]. Dostupné z: http://www.isdoc.cz/index.php?id=1153&no_cache=1&tx_ttnews[tt_news]=391&tx_ttnews[ backPid]=14 H. KOTYK, Václav. Trendy EDI komunikace v roce 2012: Výměna kmenových dat, více zpráv, partnerů a integrace. In: SystemOnLine [online]. Praha, 2012, 2. 8. 2014 [cit. 2014-05-01]. Dostupné z: http://www.systemonline.cz/it-pro-logistiku/trendy-edi-komunikace-v-roce2012.htm I.
REICHEL, David. Nástup EDI do informačního systému: Je EDI moderní nástroj obchodní komunikace, nebo luxusní hračka retailových řetězců?. In: SystemOnLine [online]. Praha, 2008, 2. 8. 2014 [cit. 2014-04-20]. Dostupné z: http://www.systemonline.cz/erp/nastup-edi-doinformacnich-systemu.htm
J.
TALO, Tieteiden. NPES. Preserving documents into the future: PDF/A update [online (PDF)]. Helsinki, 2006, 16. 11. 2006 [cit. 2014-07-13]. Dostupné z: http://www.aiimhost.com/DLM/DLMHelsinki_MarcStraat.pdf
K. PETERKA, Jiří. Názvoslovné omyly světa počítačů - III. In: EArchiv.cz [online]. Praha, 2000, 14. 04. 2014 [cit. 2014-05-23]. Dostupné z: http://www.earchiv.cz/anovinky/ai3731.php3 L. PETERKA, Jiří. Jak se konvertují el. dokumenty s více podpisy?. In: Lupa.cz [online]. Praha, 2012, 30. 3. 2012 [cit. 2014-04-10]. Dostupné z: http://www.lupa.cz/clanky/jak-se-konvertujiel-dokumenty-s-vice-podpisy/ M. FALTUS, Radim. Podpis pohledem právníka. In: Asociace grafologů ČR [online]. Praha, 2006, 3. 5. 2006 [cit. 2014-07-29]. Dostupné z: http://www.lupa.cz/clanky/jak-se-konvertuji-eldokumenty-s-vice-podpisy/
55
7.3.
Legislativní normy
A. Směrnice Evropského parlamentu a Rady 99/93/EC ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy B. SMĚRNICE RADY 2010/45/EU, o společném systému daně z přidané hodnoty, pokud jde o pravidla fakturace C. Vyhláška 496/2004 Sb., o elektronických podatelnách D. Zákon č. 190/2009 Sb., kterým se mění zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, a další související zákony E. Zákon č. 227/2000 Sb., o elektronickém podpisu F. Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů G. Zákon č. 235/2004 Sb., o dani z přidané hodnoty H. Zákon č. 563/1991 Sb., o účetnictví I.
Zákon č. 101/2000 Sb., o ochraně osobních údajů
J.
Zákon č. 280/2009 Sb., daňový řád
56
8.
Seznam tabulek
Tabulka 1: Počet konverzí dle roků .................................................................................................. 20 Tabulka 2: Náklady na tisk faktur a jejich zasílání ............................................................................ 38 Tabulka 3: Ceník za odeslání datové zprávy..................................................................................... 47
57
9.
Seznam obrázků
Obrázek 1: Elektronický dokument s grafickým vyobrazením podpisu ........................................... 18 Obrázek 2: Konvertovaný dokument bez vyobrazení podpisů ........................................................ 19 Obrázek 3: Grafický doplněk dokumentu, nikoli elektronický podpis ............................................. 24 Obrázek 4: Kontrola a zobrazení elektronického podpisu a kontrola integrity ............................... 25 Obrázek 5: Porušena integrita dokumentu ...................................................................................... 25 Obrázek 6: Vlastnoruční podpis ....................................................................................................... 26 Obrázek 7: Představa principu zachování kontinuity („zafixováním“ dokumentu) ......................... 27 Obrázek 8: Asymetrické klíče ........................................................................................................... 28 Obrázek 9: Vznik podepsaného dokumentu a jeho ověření ............................................................ 31 Obrázek 10: První princip přihlášení klienta do informačního systému podniku ............................ 42 Obrázek 11: Druhý princip přihlášení klienta do informačního systému podniku .......................... 43 Obrázek 12: Schéma IS DS................................................................................................................ 46 Obrázek 13: Využívání datových schránek při komunikaci s veřejnou správou za rok 2012 ........... 48
58
