Hlavní navigace

Po 16 letech existence přestává platit zákon o elektronickém podpisu

19. 9. 2016
Doba čtení: 10 minut

Sdílet

 Autor: Gajus-Images / Depositphotos.com
Dnes nabývá účinnosti nový zákon o službách vytvářejících důvěru. Ruší nejenom dosavadní zákon o elektronickém podpisu, ale třeba i tzv. vyvratitelnou domněnku pravosti.

Dnešní den, pondělí 19. září 2016, se zapíše do dějin elektronického podpisu v ČR jako významný milník. Jako den, kdy u nás přestal platit dosavadní zákon o elektronickém podpisu, který jsme zde měli plných 16 let – od roku 2000.

Z předchozích článků zde na Lupě, přesněji z celého seriálu o novém unijním nařízení eIDAS, už jistě víte, že to není žádný neočekávaný krok. Právě naopak, jde o krok plně očekávaný, ale bohužel notně zpožděný. Správně měl přijít již k 1. 7. 2016 – protože právě v ten den nabyly účinnosti relevantní pasáže nového unijního nařízení 910/2014 (známého spíše pod názvem eIDAS), které problematiku elektronického podepisování upravilo nově a jednotně pro celou EU.

Naše dosavadní právní úprava, v podobě zákona č. 227/2000 Sb. o elektronickém podpisu, pocházející z roku 2000 a vycházející z původní unijní směrnice 1999/93/ES, byla novým nařízením „přebita“ a bylo zapotřebí ji zrušit. Tedy zrušit jak samotný zákon o elektronickém podpisu (zákon č. 227/2004 Sb. i jeho novelu v podobě zákona č. 440/2004 Sb.), tak i navazující vyhlášky (č. 378/2006 Sb. a č. 212/2012 Sb.), a novelizovat řadu dalších zákonných ustanovení.

Skutečnost, že se tak nestalo – že se nepodařilo včas připravit a přijmout nový zákon, v roli tzv. adaptačního zákona k nařízení eIDAS – způsobila určité komplikace. Konkrétně souběh dvou různých úprav elektronického podpisu, které nejsou plně kompatibilní. A s prioritou unijního nařízení tam, kde jsou obě úpravy vzájemně v rozporu.

Právě dnes ale toto „právní dvojúpraví“ naštěstí končí. Protože nový adaptační zákon k nařízení eIDAS konečně nabývá účinnosti, a to jako zákon č. 297/2016 Sb. Plným jménem „Zákon o službách vytvářejících důvěru pro elektronické transakce“. Vychází ve Sbírce zákonů, konkrétně v její částce 115, rozesílané k dnešnímu dni. A jelikož legislativci nastavili účinnost nového zákona na „dnem jeho vyhlášení“, jde právě o dnešní den.

Stejně tak nabývá účinnosti doprovodný změnový zákon (tzv. tlusťoch), který v souvislosti s novým zákonem č. 297/2016 Sb. mění jiné zákony. Má číslo právě o jedničku větší (je to zákon č. 298/2016 Sb.) a jeho plný název, stejně jako seznam měněných zákonů, si raději přečtěte z následujícího obrázku.

Jaké změny přináší nové zákony?

V již zmiňovaném seriálu o nařízení eIDAS, který vycházel zde na Lupě během prázdnin, jsem podrobně popisoval hlavní dopady nové právní úpravy do oblasti elektronického podepisování. I vzhledem k jejich rozsahu není vhodné je zde popisovat znovu.

Dovolím si proto jen malé, stručné a subjektivní zhodnocení: nové nařízení eIDAS, na které vše navazuje, naši právní úpravu elektronických podpisů spíše zhoršuje, než aby ji vylepšovalo. Zejména v tom, že rezignuje na využití možností, které elektronické podpisy dávají, a nechává je ležet ladem. Konkrétně tak, že degraduje i tu nejvyšší formu elektronického podpisu (kvalifikovaný elektronický podpis) jen na úroveň vlastnoručního podpisu – ačkoli by mohla hrát roli úředně ověřeného podpisu (a v některých aspektech ji i překračovat).

Třeba na Slovensku tomu tak dříve bylo (tamní zaručený elektronický podpis, doplněný časovým razítkem, byl postaven na roveň úředně ověřenému podpisu). U nás jsme to tak měli jen pro některé konkrétní úkony (kdy žádost, která „na papíře“ vyžadovala úředně ověřený podpis, se dala podat v elektronické podobě, opatřené uznávaným elektronickým podpisem).

Další a asi úplně největší problém pak vidím v tom, jak si náš adaptační zákon (nový zákon č. 297/2016 Sb. ve svém §7) „přisadil“ a na roveň vlastnoručnímu podpisu (v soukromoprávních vztazích) postavil i tzv. prostý elektronický podpis. Tedy takový, kterým může být úplně cokoli, co je elektronické a co někdo může mínit jako svůj podpis.

Konkrétně to může být třeba emailová patička, naskenovaný obrázek s nějakým klikyhákem, číselný PIN, nebo třeba také vzorek vašeho vlastnoručního podpisu, nasnímaný na nějakém dotykovém zařízení. Osobně tipuji, že celá Pandořina skříňka v podobě §7, který i takovýmto prostým elektronickým podpisům přiznává (v soukromoprávních vztazích) účinky vlastnoručního podpisu, byla otevřena právě kvůli tzv. dynamickým biometrickým podpisům, které jsou dnes již hojně používány – vy někomu odevzdáte vzorek svého podpisu (podepíšete se mu na jeho snímacím zařízení) a pak spoléháte na jeho korektnost (že vzorek vašeho podpisu použije právě a pouze na stvrzení toho právního aktu, na kterém jste se skutečně dohodli).

Problém je ale v tom, že onen nešťastný §7 v novém zákoně č. 297/2016 Sb. je natolik obecný, že se dá vztáhnout úplně na cokoli. Takže zatímco u dynamických biometrických podpisů ještě je co ověřovat a lze se opírat alespoň o nějaké průmyslové standardy a certifikace konkrétních technických řešení, u věcí typu emailových patiček, různých obrázků, PINů tomu tak být nemusí. Čímž se otevírají zcela nové a netušené možnosti pro toho, kdo by chtěl někoho jiného podvést či jen napálit.

Obávali se i senátoři

Pandořiny skříňky v podobě zmiňovaného §7 se očividně obávali i senátoři, když projednávali návrh zákona (dnes nabývajícího účinnosti jako zákon č. 297/2016 Sb.). Jejich obavy ale nebyly natolik silné, aby kvůli tomu návrh zákon celkově neschválili, či si jen prosadili jeho úpravu. Svou roli přitom zřejmě sehrálo i ujišťování ze strany resortu vnitra, že žádný problém prý nehrozí.

Ostatně, ocitujme si relevantní pasáže z projednávání návrhu na plénu Senátu (plné znění zde). Konkrétně z vystoupení senátora Miloše Vystrčila, který byl senátním zpravodajem k návrhu:

… nás zajímal obsah § 7, který, když to volně přeženu nebo volně řeknu, tak říká, že je možné po dohodě stran v rámci běžného elektronického styku používat tzv. prostý nebo někdo říká také primitivní elektronický podpis, což je něco jiného než kvalifikovaný elektronický podpis, který se používá při komunikaci, velmi zjednodušeně řečeno, s úřady. Obava, jestli § 7 potom nezpůsobí, že když si někdo otevře e-mail a klikne tam na něco, tak to znamená, že uzavřel smluvní vztah a následně bude povinen plnit nějaké smluvní závazky, které ani podepsat nechtěl, existuje. A pokud schválíme tento zákon v podobě, jak je navržen, je reálná. Na druhé straně, pokud bychom tak neučinili, dostáváme se do situace, kdy bychom museli respektovat evropské nařízení, a v evropském nařízení existuje článek 25 odst. 2, který říká, že vlastnoruční podpis je rovný pouze kvalifikovanému elektronickému podpisu. Jinými slovy, dostali bychom se do situace, kdy by skutečně, jak tady říkal pan ministr nebo podle výkladu našich právníků z ministerstva vnitra, zřejmě nebylo možné v elektronické komunikaci uzavírat jednoduché smluvní vztahy tak, jak jsme na to zvyklí dneska.

Vysvětluji to tady takto podrobně proto, že při komunikaci s ministerstvem vnitra bylo slíbeno, že sem dnes přijde přímo pan ministr vnitra Chovanec a řekne tady to, co dneska napsali zřejmě panu ministrovi Dienstbierovi, aby tady přečetl. Jsem rád, že se tak stalo, že tady v zastoupení pana ministra vnitra pan ministr Dienstbier jednoznačně deklaroval, že skutečně jiné cesty není, pokud chceme dál uzavírat nějaké vztahy nebo např. i posílat žádosti o zaměstnání nebo kupovat nějaké věci v e-shopu, než povolit díky § 7 nadále existenci primitivního nebo prostého elektronického podpisu.

Na druhé straně říkám jedním dechem, že vystoupení pana ministra beru tak, že v případě všech komplikací a nebezpečí, které jsou s tím spojeny, na sebe ministerstvo vnitra tímto vzalo odpovědnost největší, neboť ono tvrdí, že jiné řešení neexistovalo. Ono tvrdí, že to je jediná cesta, jak nadále zabezpečit elektronickou komunikaci a uzavírání smluvních vztahů na nižší úrovni.

Jak poběží lhůta pro výjimky?

Pojďme nyní již ke konkrétním věcem, které účinnost nového adaptačního zákona (zákona č. 297/2016 Sb.) a jeho doprovodného změnového zákona (č. 298/2016 Sb.) přináší.

Například účinnost nových zákonů (k dnešnímu dni) stanovuje konkrétní podobu výjimek z unijního nařízení, které jsme si v těchto zákonech prosadili.

Jak jsem popisoval již v prvním dílu prázdninového seriálu, jde mj. o výjimku z povinnosti používat tzv. kvalifikované prostředky pro vytváření elektronických podpisů, což jsou certifikované čipové karty nebo USB tokeny: jejich použití (pro nejvyšší formu elektronického podpisu) požadovala již původní unijní úprava (směrnice 1999/93/ES), ale my jsme si v našem zákoně o elektronickém podpisu (nyní rušeném zákoně č. 227/2000 Sb.) prosadili výjimku a používat jsme je nemuseli. Proto jsme také u nás měli uznávaný elektronický podpis (který nevyžaduje čipovou kartu/token), zatímco jinde pracovali s kvalifikovaným elektronickým podpisem (který čipovou kartu vyžaduje).

No a nyní v této své výjimce hodláme pokračovat: orgány veřejné moci ještě po dva roky nebudou potřebovat čipovou kartu (a občané a firmy po neomezenou dobu). Vzhledem k načasování a formulaci v novém zákoně („Po dobu 2 let ode dne nabytí účinnosti tohoto zákona…“) to znamená, že pro OVM se tato výjimka uplatní do 19. 9. 2018. Obdobně pro další výjimky, které se týkají elektronických značek a časových razítek.

Končí vyvratitelná domněnka pravosti

Je zde ale ještě jedna důležitá konkrétní změna, kterou nepřináší samotný adaptační zákon (zákon č. 297/2016 Sb.), ale jeho doprovodný změnový zákon č. 298/2016 Sb. (tzv. tlusťoch). Jde o ustanovení, které mění zákon č. 499/2004 Sb. o archivnictví a spisové službě, a na první pohled vypadá velmi nevinně:

9. V § 69a se odstavec 5 zrušuje.

Ve skutečnosti jde o dosti důležitou věc, která může mít pro někoho dosti zásadní důsledky. Onen rušený paragraf totiž představuje tzv. vyvratitelnou domněnku pravosti s následujícím zněním:

(5) Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li podepsán uznávaným elektronickým podpisem nebo označen uznávanou elektronickou značkou osoby, která k tomu byla v okamžiku podepsání nebo označení oprávněna, a následně za doby platnosti uznávaného elektronického podpisu a kvalifikovaného certifikátu, na kterém je uznávaný elektronický podpis založen, nebo uznávané elektronické značky a kvalifikovaného systémového certifikátu, na kterém je uznávaná elektronická značka založena, opatřen kvalifikovaným časovým razítkem. To platí i pro dokumenty vzniklé z činnosti původců, kteří nejsou určenými původci.

Toto ustanovení představuje určitý „přechodový můstek“ mezi technickou platností podpisů a časových razítek na straně jedné a právních kategorií pravosti na straně druhé: umožňuje odvozovat z (technické) platnosti (právní) pravost. Což je něco, co nové nařízení eIDAS řeší také, v rámci svých ustanovení o právních účincích elektronických podpisů a dokumentů. Proto zrušení této dosavadní vyvratitelné domněnky pravosti dává smysl.

Problém je ale v jiné věci: toto ustanovení bylo současně využíváno jako určitá záminka k odmítání aktivní péče o elektronické dokumenty v rámci zajišťování tzv. digitální kontinuity. Bylo by to na delší povídání (něco najdete např. zde), proto jen velmi stručně.

Chcete-li mít možnost pracovat se svými elektronickými dokumenty, až dosud jste mohli volit mezi dvěma přístupy:

  • dát na slova „lidí od počítačů a technických standardů“ a jednou za určitou dobu (dnes cca 5 let) ke svým elektronickým dokumentům připojit časové razítko (a v tomto smyslu se o své dokumenty aktivně starat), nebo
  • dát na slova archivářů (lidí z obou archivnictví) a spoléhat se na to, že jeden elektronický podpis a jedno časové razítko vystačí na libovolně dlouho. Tedy že není třeba „přerazítkovávat“ (pravidelně přidávat další časová razítka), protože to prý nikdo nedělá a je to celkově hloupost.

Zastánci tohoto druhého přístupu, se kterými jsem se osobně mnohokráte střetl v nejrůznějších odborných diskusích na téma digitální kontinuity, se opírali právě o zmiňovanou vyvratitelnou domněnku pravosti: podle ní by skutečně jedno časové razítko mohlo stačit na libovolně dlouhou dobu – a chránit podepsaný dokument proti jeho záměně nějakým kolizním dokumentem (tedy dokumentem s jiným obsahem, ale stejným elektronickým podpisem).

Nicméně ani právo a jeho ustanovení, i při sebelepší vůli, nezastaví vývoj v oblasti výpočetní techniky a nezabrání tomu, aby budoucí počítače dokázaly nalézt (vypočítat) kolizní dokument v tak krátké době, aby se to dalo využít (spíše: zneužít). Ostatně, právě proto, aby se dalo čelit rostoucí síle počítačů protistrany, která na nás chce zaútočit nalezením (a následným podstrčením) kolizního dokumentu, je u elektronických podpisů v čase omezována možnost jejich ověření. Nikoli samotná platnost (ta je „napořád“), ale právě možnost ověřit jejich platnost (ta je v čase omezena a musí se prodlužovat právě přidáváním dalších časových razítek).

BRAND24

No, teď už je vše rozhodnuto: vyvratitelná domněnka pravosti byla dnešním dnem zrušena a odpůrci aktivní péče o elektronické dokumenty tak přišli o svůj hlavní a vlastně jediný argument.

Horší je, že smůlu má nyní ten, kdo se na jejich výklad spoléhal. Pokud promeškal nejzazší možný okamžik pro přidání dalšího časového razítka na nějaký svůj starší elektronický dokument, dnes už jej nebude moci využít. Protože elektronický podpis na dokumentu již nepůjde ověřit (resp. nepůjde prokázat, že elektronický podpis na dokumentu je platný), a tudíž nebude možné prokázat ani pravost (autenticitu) dokumentu jako takového. A bez toho by jej žádná protistrana neměla přijmout (tam, kde je požadován podepsaný dokument).

Byl pro vás článek přínosný?

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).