Mgr. Tomáš Lechner, Ph. D
aneb Budoucnost elektronického podpisu v České republice
Zkratka eIDAS se používá pro Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, které bylo publikováno v Úředním věstníku Evropské unie dne 23. července 2014. Toto nařízení se sice plně použije až ode dne 1. července 2016, ale díky jeho významu a rozsahu upravované oblasti je třeba se na něj začít připravovat již nyní. Proto lze bez nadsázky říci, že o tomto nařízení v následujících měsících ještě hodně a často uslyšíme. Krok první Změny v legislativě
Nejprve je třeba si uvědomit, že každé nařízení Evropského parlamentu a Rady (EU) má na základě čl. 288 Smlouvy o fungování Evropské unie obecnou působnost. Není jej tedy třeba transponovat do českého právního řádu, neboť již samo o sobě je závazné v celém rozsahu a přímo použitelné ve všech členských státech EU. Stejně to tedy platí i o zmíněném Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (dále jen „Nařízení eIDAS“).
Neznamená to však, že není v souvislosti s tímto právním předpisem potřeba žádných změn v české legislativě. Vzhledem k tomu, že eIDAS ruší s platností od 1. července 2016 též Směrnici Evropského parlamentu a Rady 1999/93/ES o zásadách Společenství pro elektronické podpisy, v souladu s kterou byl v roce 2000 schválen v ČR zákon o elektronickém podpisu, bude třeba minimálně změny anebo přímo zrušení tohoto zákona. To ovlivní celou řadu dalších zákonů, neboť instituty zavedené zákonem o elektronickém podpisu jsou v nich používány. Jde zejména o procesní právní předpisy, jako je správní řád či daňový řád, dále o zákony upravující oblasti související s informační společností, jako je zákon o informačních systémech veřejné správy, anebo zákon o elektronických komunikacích. Jsou to ale také další právní předpisy, v kterých bychom souvztažnost asi primárně ani nečekali, jako je zákon o účetnictví, zákon o dani z přidané hodnoty, zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti, zákon o veřejných zakázkách, zákon o střetu zájmů, zákon o auditorech, zákon o zdravotních službách, zákon o odpadech, zákon o obalech, zákon o střelných zbraních a střelivu či zákon o posuzování vlivů na životní prostředí a též zákoník práce, zákon o nemocenském pojištění a zákon o úrazovém pojištění zaměstnanců. V neposlední řadě se změny budou muset dotknout též zákona o archivnictví a spisové službě, zákona o rejstříku trestů, zákona o občanských průkazech, zákona o cestovních dokladech anebo zákona o evidenci obyvatel. I z tohoto neúplného výčtu právních předpisů, jichž se dotkne zmíněné Nařízení eIDAS, je zřejmé, že ačkoliv vlastní Nařízení eIDAS nemusí být v českém právním řádu implementováno, bude související změna české legislativy rozsáhlá.
Český zákon o elektronickém podpisu zavádí tři důležité instituty, které mají esenciální vliv na použitelnost elektronických dokumentů. Těmito instituty jsou: uznávaný elektronický podpis, uznávaná elektronická značka a kvalifikované časové razítko.
Pomocí nich lze zvyšovat důvěryhodnost elektronických dokumentů. A právě o důvěryhodnost jde v případě Nařízení eIDAS především. Jak je uvedeno v úvodní části Nařízení eIDAS, upravovala (a do 1. července 2016 zatím stále upravuje) zmíněná Směrnice 1999/93/ES elektronické podpisy, aniž by poskytovala ucelený přeshraniční a meziodvětvový rámec pro bezpečné, důvěryhodné a snadno použitelné elektronické transakce. Jinými slovy, každý stát EU má ve svém právním řádu zakotven vlastní zákon upravující oblast elektronického podpisu trochu odlišným způsobem. Přestože na základě Rozhodnutí Komise Evropských společenství 2009/767/ES, musí být vzájemně uznávány elektronické podpisy založené na kvalifikovaných certifikátech vydaných poskytovatelem certifikačních služeb, který je usazený v kterémkoli členském státě EU, byl-li uvedený kvalifikovaný certifikát vydán v rámci služby vedené v seznamu důvěryhodných certifikačních služeb jako služba, pro jejíž poskytování je poskytovatel certifikačních služeb akreditován, nebo jako služba, nad jejímž poskytováním je vykonáván dohled podle citovaného předpisu EU, není tento stav pro celkový rozvoj elektronických transakcí na vnitřním trhu dostatečný. Proto tedy bylo připraveno a schváleno Nařízení eIDAS s cílem odstranit hlavní problémy, které občanům EU brání ve využívání výhod jednotného digitálního trhu a přeshraničních digitálních služeb tak, jak byly tyto problémy identifikovány např. ve zprávě Komise EU o občanství EU za rok 2010.
Krok druhý
Změny v procesech
Nařízení eIDAS stanoví, mimo jiné, právní rámec pro elektronické podpisy, elektronické pečetě, elektronická časová razítka, elektronické dokumenty, služby elektronického doporučeného doručování a certifikační služby pro autentizaci internetových stránek. Vzhledem k neutuchajícímu tempu technologického vývoje je Nařízení koncipováno jako technologicky neutrální a otevřené inovacím. Normy pro kvalifikované prostředky pro výše uvedené instituty a služby jsou uvedeny v přílohách a mohou být upravovány prováděcími akty, k jejichž přijímání je zmocněna Komise EU, a to na dobu neurčitou.
Jak bylo zmíněno výše, jsou elektronický podpis a časové razítko již v českém prostředí řadu let zavedenými instituty. Naproti tomu elektronická pečeť je nový pojem, který bude třeba implementovat do informačních systémů vytvářejících a ověřujících uvedené bezpečnostní prvky elektronických dokumentů.
Uvedená úprava ale zřejmě nebude složitá, protože elektronická pečeť je určitou obdobou stávající elektronické značky. Hlavní rozdíl je právní, a nikoliv technologický. Zatím co elektronickou značku podle současně platné právní úpravy může vytvářet jak právnická, tak fyzická osoba, elektronickou pečetí může dokumenty pečetit pouze právnická osoba, přičemž u kvalifikované elektronické pečetě platí dle čl. 35 odst.
2 Nařízení eIDAS domněnka integrity dat a správnosti původu těch dat, s nimiž je kvalifikovaná elektronická pečeť spojena.
Požadavky stanovené Nařízením eIDAS na kvalifikované služby elektronického doporučeného doručování se primárně významným způsobem neliší od stávajícího řešení této problematiky v ČR v podobě datových schránek podložených zákonem o elektronických úkonech a autorizované konverzi dokumentů.
Elektronickým dokumentům se Nařízení eIDAS věnuje pouze v obecné rovině posílením právní jistoty při jejich používání.
Konkrétně čl. 46 stanoví, že elektronickému dokumentu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu.
Kromě výše zmíněných institutů zavádí Nařízení eIDAS také pravidla pro služby vytvářející důvěru, čímž se rozumí elektronická služba, která je zpravidla poskytována za úplatu a která podle čl. 3 odst. 16 spočívá: * ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo * ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo * v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami.
Právě problematické a poměrně náročné ověřování elektronických zabezpečovacích prvků u elektronických dokumentů je dle mého názoru jednou z největších překážek rozvoje používání elektronických dokumentů v praxi, a proto se domnívám, že pokud vzniknou opravdu dostupné (technicky i finančně) služby vytvářející důvěru, které zajistí pro spoléhající stranu ověření těchto prvků průkazným způsobem, může být cíle zvýšení důvěryhodnosti v oblasti elektronických transakcí na vnitřním trhu skutečně dosaženo.
Lze očekávat, že o praktických dopadech Nařízení eIDAS také hodně uslyšíme v rámci tradiční konference ISSS 2015, která se již zanedlouho (13. a 14. dubna) bude konat v Hradci Králové.
O autorovi| Mgr. Tomáš Lechner, Ph. D, Autor pracuje ve společnosti Triada jako konzultant pro oblast spisové služby a také působí na VŠE v Praze, kde se zabývá oblastí e-Governmentu.