Hlavní navigace

Vyhláška k e-podpisům je hotova!

Jiří Peterka

Středa 3. října se stala dalším významným mezníkem na cestě k prosazení elektronických podpisů do běžné praxe -- předseda ÚOOÚ podepsal definitivní podobu prováděcí vyhlášky k zákonu o elektronických podpisech. Účinnosti nabude hned, jakmile bude zveřejněna ve Sbírce zákonů. Na co se tedy můžeme těšit? Jaké důsledky to přinese?

Ještě před rokem byla u nás dosti rozšířena představa, že zavedení elektronických podpisů do běžné praxe je jakousi jednorázovou záležitostí, kterou lze zajistit přijetím jednoho konkrétního zákona. Dnes, více jak rok po nabytí účinnosti zákona o elektronických podpisech (zákona č. 227/2001 Sb., s účinností od 1. října 2000), již dávno vzala za své. Stále markantněji se totiž ukazuje, že jde o dlouhodobější proces, který samozřejmě má své milníky, ale rozhodně jej není možné redukovat na nějaké jednorázové mávnutí kouzelným proutkem.

Zrekapitulujme si proto hlavní milníky:

  • Zákon o elektronickém podpisu je schválen (24. května 2000 Poslaneckou sněmovnou, 29. června 2000 Senátem), podepsán prezidentem (10. července 2000), a zveřejněn ve Sbírce zákonů (jako zákon č. 227/2000 v částce 68/2000 Sbírky zákonů)
  • 1. října 2000 zákon č. 227/2000 Sb. (o elektronickém podpisu) nabývá účinnosti
  • 31. května 2001 nabývá účinnosti novela zákona č. 101/2000 Sb. (PDF, 555 KB), která mění statut Úřadu pro ochranu osobních údajů tak, aby mohl publikovat vyhlášky ve Sbírce zákonů (jde o zákon č. 177/2001 Sb.)
  • 1. října 2001 nabývá účinnosti nařízení vlády č. 304/2001 Sb. (PDF, 366 KB) o použití elektronických podpisů v oblasti orgánů veřejné moci
  • 1. října 2001 vznikají první elektronické podatelny (v souladu s nařízením vlády)
  • 3. října 2001 předseda ÚOOÚ podepisuje definitivní verzi prováděcí vyhlášky k zákonu č. 227/2000 Sb., určenou k publikování ve Sbírce.

Do budoucnosti se rýsují nejméně tři další milníky:

  • prováděcí vyhláška nabývá účinnosti (k tomu by mělo dojít v nejbližším možném termínu, jejím publikováním ve Sbírce zákonů)
  • první poskytovatel certifikačních služeb začíná vydávat tzv. kvalifikované certifikáty (nejdříve 30 dnů po nabytí účinnosti vyhlášky)
  • první poskytovatel certifikačních služeb úspěšně absolvuje proces akreditace a stává se akreditovaným poskytovatelem certifikačních služeb – což mu umožňuje vydávat takové certifikáty, jaké jsou zákonem požadovány pro komunikaci „v oblasti orgánů veřejné moci“.

Proč je nutná prováděcí vyhláška?

Nutnost existence prováděcí vyhlášky nemusí být na první pohled zcela zřejmá, a proto si dovolím malé vysvětlení: vydání zákona představuje určité zásadní rozhodnutí koncepčního, strategického (i politického) charakteru, které by mělo (musí) respektovat mnoho souvislostí – v konkrétním případě elektronického podpisu i realit technologických, kryptografických atd. Na druhou stranu by zákon neměl v sobě zakotvovat konkrétní technická řešení a měl by být na nich nezávislý – již jen proto, že „doba obrátky“ při věcné aktualizaci zákonů je podstatně delší než tempo vývoje v oblasti technologií.

Zákon tedy specifikuje jen základní obrysy určitého řešení – např. to, čeho má být dosaženo, jakým principiálním způsobem se tak má stát, kdo a jakým způsobem se na tom má podílet atd. Nezabývá se ale již konkrétními detaily, které naopak přenechává prováděcí vyhlášce. Ta již může mít podstatně kratší „dobu obrátky“ a může se snáze přizpůsobovat důsledkům technologického vývoje. Na druhé straně ani prováděcí vyhláška nemůže měnit zákon, ale může jej pouze konkretizovat (upřesňovat). V tomto ohledu je možné si představit, že zákon specifikuje určité mantinely či interval, v rámci kterého se prováděcí vyhláška může (resp. musí) se pohybovat.

Co vyhláška upřesňuje?

V konkrétním případě zákona o el. podpisu prováděcí vyhláška upřesňuje následující hlavní oblasti:

  • jaké konkrétní podmínky mají splňovat poskytovatelé certifikačních služeb (par. 6 zákona), kteří chtějí vydávat tzv. kvalifikované certifikáty, včetně způsobu dokládání splnění tchto podmínek
  • jaké požadavky splňovat musí nástroje elektronického podpisu, včetně postupu a způsobu vyhodnocování shody s těmito požadavky („nástrojem“ je to, co používá poskytovatel služeb)
  • jaké konkrétní podmínky musí splňovat prostředky pro bezpečné vytváření a ověřování zaručeného elektronického podpisu (§ 17 zákona), včetně způsobu dokládání jejich splnění („prostředkem“ se rozumí to, co používá uživatel/zákazník)

Jde tedy o oblasti, které se snaží zajistit určitou konkrétní „úroveň kvality“ (ve smyslu bezpečnosti, důvěryhodnosti, provozní spolehlivosti atd.) na straně těch subjektů, které chtějí vystupovat jako poskytovatelé certifikačních služeb. Bez zabíhání do přílišných detailů si dovolím konstatovat, že prováděcí vyhláška klade velmi přísné podmínky na fungování těchto subjektů – což by ale, vzhledem k povaze celé problematiky, nemělo vůbec překvapovat.

Příprava této vyhlášky byla ryze odbornou (technickou) záležitostí a musela být pečlivě sladěna i s přípravou obdobných prováděcích předpisů v Evropské unii. Proto také trvalo nezanedbatelnou dobu, než se vyhlášku podařilo dokončit. Mezitím bylo nutné odstranit i jeden legislativní problém – to, že Úřad pro ochranu osobních údajů neměl právo publikovat vyhlášky ve Sbírce zákonů. To se podařilo až s novelou zákona o samotné ochraně os. údajů (k 31. květnu 2001).

Akreditovaní a neakreditovaní poskytovatelé

Podmínky, které prováděcí vyhláška specifikuje, musí splnit všichni poskytovatelé certifikačních služeb – přesněji ti, kteří chtějí vydávat tzv. kvalifikované certifikáty, neboli certifikáty splňující požadavky zákona. Podle litery zákona musí svůj záměr vydávat kvalifikované certifikáty oznámit Úřadu s předstihem 30 dnů (takže prvních kvalifikovaných certifikátů se nedočkáme dříve než měsíc po účinnosti vyhlášky).

Splnění podmínek, kladených na poskytovatele certifikačních služeb, může Úřad pro ochranu osobních údajů kontrolovat kdykoli „ex-post“ (poté, co příslušný poskytovatel zahájil svou činnost). Zákon však pamatuje i na možnost, že poskytovatel sám explicitně požádá o ověření toho, že příslušné podmínky splňuje. Pokud příslušným ověřovacím procesem projde úspěšně, stává se akreditovaným poskytovatelem certifikačních služeb.

Ačkoli věcné podmínky, které musí akreditovaní poskytovatelé splnit, nejsou nijak přísnější oproti podmínkám kladeným na ne-akreditované poskytovatele, přeci jen zákon dává akreditovaným poskytovatelům poněkud odlišný statut než jaký přisuzuje ne-akreditovaným. Konkrétní rozdíl je v tom, že zákon explicitně požaduje aby „v oblasti orgánů veřejné moci“ byly používány pouze kvalifikované certifikáty vydané akreditovanými poskytovateli (tj. nestačí zde tedy pouze ty, které vydali neakreditovaní poskytovatelé).

Jaké jsou konkrétní důsledky?

Úplná shoda o tom, co přesně znamená „v oblasti orgánů veřejné moci“, přitom nepanuje. Jak jsem se snažil ukázat již ve článku Jednosměrný elektronický podpis?, nařízení vlády č. 304 jej fakticky interpretuje tak, že jde o přímý výkon veřejné moci, kterým je komunikace směrem od orgánu veřejné moci, ale nikoli již komunikace opačným směrem, tedy od občana směrem k orgánu veřejné moci. Proto také příslušné nařízení považuje za postačující takový elektronický podpis občana, který je vytvořen s použitím kvalifikovaného certifikátu (ale nikoli nutně vydaného akreditovaným poskytovatelem). Takovéto certifikáty by mohly být vydávány již za měsíc po nabytí účinnosti vyhlášky.

Naproti tomu pro pracovníky orgánů veřejné moci, kteří budou elektronická podání přijímat a ověřovat pravost el. podpisů, nařízení č. 304/2001 požaduje kvalifikované certifikáty od akreditovaných poskytovatelů – tyto budou moci být vydávány až teprve poté, co vyhláška nabude platnosti, na jejím základě bude zahájen proces akreditace a první poskytovatel tímto procesem úspěšně projde a akreditaci získá. To samozřejmě bude ještě nějakou dobu trvat.

Anketa

Za který kalendářní rok podle vás bude možné podat přiznání k dani z příjmu fyzické osoby podepsané pouze elektronickým podpisem?

Našli jste v článku chybu?
DigiZone.cz: Borovský odchází z TV Barrandov

Borovský odchází z TV Barrandov

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák