Jak to je nyní s elektronickým podpisem v ČR?

Proto neustále opakuji: podle principu smluvní volnosti je možné, počínaje dnem nabytí účinnosti zákona o elektronickém podpisu, tj. od 1. 10. 2000, sjednat používání elektronického podpisu, a to včetně činností v oblasti bankovnictví, pojišťovnictví apod. – i toto jsou subjekty soukromého práva.

Jistým problémem je, že nejvyšší stupeň důvěryhodnosti a bezpečnosti poskytuje kombinace použití „zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu“, která umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu. Současně platí, že použití zaručeného elektronického podpisu zaručuje, že dojde-li k porušení obsahu datové zprávy od okamžiku, kdy byla podepsána, toto porušení bude možno zjistit.

Vyplývá z toho, že potřebujeme kvalifikovaný certifikát, přičemž poskytovatel certifikačních služeb (certifikační autorita), který vydává kvalifikované certifikáty, je povinen mj. používat bezpečné systémy a nástroje elektronického podpisu a zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují; nástroj elektronického podpisu je bezpečný, pokud odpovídá požadavkům stanoveným tímto zákonem a prováděcí vyhláškou; toto musí být ověřeno Úřadem pro ochranu osobních údajů. A zde je jádro pudla: není podle čeho ověřit, protože vyhláška neexistuje.

Ale znovu opakuji: strany se mohou dohodnout, že budou používat, alespoň pro přechodné období, „obyčejný“ certifikát, protože i ten je lepší nežli žádný, přičemž onen „obyčejný“ certifikát může, až na výše uvedenou podmínku, splňovat všechny ostatní náležitosti pro certifikát kvalifikovaný.

Druhým problémem je komunikace s orgány veřejné moci, protože zákon předepisuje, že v oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb. Čili musí vzniknout alespoň jeden poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty a současně je akreditován Úřadem pro ochranu osobních údajů. A protože akreditace má být opět popsána ve vyhlášce, není zatím akreditace možná.

ÚOOÚ nyní předložil sedmou verzi návrhu vyhlášky, kterou najdete na www.e-podpisy.cz. Je výrazně kvalitnější než předchozí poskytnutá verze, především zmizely pasáže, jež byly v přímém rozporu se zákonem o elektronickém podpisu. Stále ale je třeba ji dopracovat a především právně „vyčistit“. Podle jednání na ÚOOÚ by měla být 10. 3. 2001 předána do meziresortního připomínkovacího řízení; snad se do té doby podaří text zredigovat.

Kromě toho je Úřadem pro veřejné informační systémy připraven k předložení vládě návrh nařízení vlády o tom, jak mají jednotlivé orgány státu postupovat. Ten je již v definitivní podobě po vypořádání všech připomínek, s výjimkou data nabytí účinnosti, jež je opět odvislé od vydání výše uvedené vyhlášky.

Takže abych to shrnul ještě jednou:

1. nemají pravdu články, jejichž autoři spekulují o tom, že vlastně zákon o elektronickém podpisu je natolik předčasný, že není k ničemu.
2. částečně mají pravdu ti, kdo říkají, že nelze komunikovat se státními orgány emailem; pokud orgán je ochoten komunikovat i mimo režim dle zákona o elektronickém podpisu, je to samozřejmě možné, ale nikoliv vynutitelné.
3. mají pravdu ti, kdo říkají, vše se rozjede, až bude vydaná vyhláška ÚOOÚ; k tomu jen podotýkám, že to nebude jen vyhláška, ale již zmíněné nařízení vlády a dále standardy vydané Úřadem pro veřejné informační systémy.