eIDAS a elektronické podpisy: degradace, ale i zákaz diskriminace

11. 7. 2016
Doba čtení: 17 minut

Sdílet

Nové nařízení zakazuje odmítat elektronickou podobu jenom proto, že je elektronická. I nejvyšší formu elektronického podpisu ale degraduje na roveň vlastnoručního podpisu.

V dalším dílu tohoto malého seriálu o novém unijním nařízení eIDAS, které nedávno (k 1.7.2016) nabylo účinnosti, si popíšeme ty možná nejzásadnější změny v oblasti elektronických podpisů, které nařízení přináší. Týkají se právních účinků elektronických podpisů, ale i celých elektronických dokumentů.

Zrovnoprávnění elektronické a listinné podoby

Jedním ze sloganů, které doprovázejí nástup nového unijního nařízení, je tvrzení, že poprvé zrovnoprávňuje elektronickou a listinnou (papírovou) podobu.

 


Partnerem seriálu o eIDAS, elektronických podpisech a službách vytvářejících důvěru je ASKON International.

Pamětníci si možná vzpomenou, že stejným sloganem – o zrovnoprávnění elektronických a listinných dokumentů – se kdysi dávno oháněli již autoři eGONa. A měli v zásadě pravdu, protože direktivně (abych nepsal rovnou násilím) přinutili právnické osoby přijímat veškerou komunikaci od státu v elektronické podobě (do jejich povinně zřizovaných datových schránek).

Že to „tak úplně nedopadlo“, že na to ani jedna ze stran nebyla dostatečně připravena a že ani dnes nejsou vyřešeny zdaleka všechny problémy přechodu na elektronickou podobu písemností, nechme prozatím stranou.

Všimněme si spíše toho, že určité zrovnoprávnění elektronické a listinné podoby přinesla již původní unijní směrnice o elektronických podpisech z roku 1999 (směrnice 1999/93/ES). Ta totiž požadovala, aby

“elektronickým podpisům nebyly odpírány právní účinky a aby nebyly odmítány jako důkazy v soudním řízení pouze z důvodu, že mají elektronickou podobu, nebo se nezakládají na kvalifikovaném osvědčení, nebo se nezakládají na kvalifikovaném osvědčení vydaném akreditovaným ověřovatelem, nebo nejsou vytvořeny prostředkem pro bezpečné vytváření podpisu”.

Pokud vám přijde divné, proč se takovýto požadavek týkal jen soudních řízení, pak vězte, že může jít o ne zcela správný překlad anglického „legal proceedings“: v novém nařízení je obdobný požadavek cílený stejně (má se týkat „all legal proceedings“) – a tentokráte je to již přeloženo jako „v soudních a správních řízeních“. Což už je něco podstatně jiného než jen soudní řízení (správní řízení se týká činnosti většiny úřadů).

Navíc je zajímavou otázkou (kterou rád přenechám právníkům), zda nyní je překlad již skutečně správný.

Princip nediskriminace

Zde si všimněme něčeho jiného: v novém nařízení je zmíněný požadavek – obvykle prezentovaný jako zákaz diskriminace elektronické podoby – rozšířen tak, že se netýká jen elektronických podpisů, ale nově i elektronických pečetí, časových razítek, elektronických dokumentů, a také toho, co je přenášeno systémy elektronického doporučeného doručování (což je další služba vytvářející důvěru, o které jsme si zatím ještě neříkali).

Navíc samotná formulace je poněkud zjednodušena (oproti té z původní směrnice), když zde již nejsou vyjmenovávány všechny možné „vady na kráse“, ale jsou shrnuty do obecnějšího „nesplnění požadavků“ na nejvyšší formu el. podpisů (obdobně pro razítka, pečetě atd.).

Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy.

Jak ale tomuto požadavku na nediskriminaci rozumět? Určitě ne tak, jak se to mnohde již začíná prezentovat – že když je něco v elektronické podobě, už na ničem dalším nezáleží a musí to být akceptováno. To by bylo o něčem úplně jiném (o jakémsi zbožštění elektronické podoby, či o její nadřazenosti podobě listinné). Ono musí záležet i „na tom dalším“.

Představme si to třeba takto: někomu (u soudu či na úřadě, v rámci správního řízení) se nechce pracovat s čímkoli elektronickým. Třeba proto, že to dotyčný či dotyčná neumí, protože celý život pracoval(a) jen s papírem a vede jen papírové spisy. A tak jakékoli vstupy v elektronické podobě apriorně odmítá a požaduje je „na papíře“ (v listinné podobě). To už nově (s účinností nového nařízení, od 1.7.2016) nebude smět, alespoň u dokumentů a jejich podpisů, pečetí a časových razítek.

Takže když už nově u soudu (či na úřadě, v rámci správního řízení) něco v elektronické podobě dostanou, musí se tím začít zabývat. Musí začít zkoumat, zda to má všechny náležitosti, které to má mít. Například zda tam, kde jde o právní jednání, u kterého je předepsán podpis, je příslušný dokument řádně podepsán. Tedy opatřen takovým druhem podpisu, jaký je pro dané právní jednání požadován. A pokud tomu tak není, mají právo dokument v elektronické podobě odmítnout, nebo prohlásit podání za vadné a požadovat nápravu (podle toho, o co konkrétně jde).

Jinými slovy: i nově, po účinnosti nového nařízení, může být dokument v elektronické podobě odmítnut. Ale ne z toho titulu, že má elektronickou podobu. Může to být jen z titulu nesplnění nějakého konkrétního požadavku. Třeba že není podepsán. Nebo je podepsán, ale někým jiným, než kým by podepsán být měl. Případně že podpis není takovým druhem elektronického podpisu, jaký je pro daný případ požadován.  

Jak si co odpovídá?

Předchozí text nám jemně připomněl, že pro různé úkony (dnes spíše: právní jednání) jsou zapotřebí různé druhy podpisů. A to i v listinné (papírové) podobě: pomineme-li zvláštní případy, kdy žádný podpis není požadován, nebo kdy stačí jen nějaká parafa, otisk podpisového razítka či něco podobného, je obvykle požadován vlastnoruční podpis. A jen tam, kde je zapotřebí větší míra spolehlivosti, důvěryhodnosti a také znalost konkrétní identity podepsané osoby, je vyžadován úředně ověřený podpis.

Ovšem pokud jde o elektronickou podobu, zde naše současná právní úprava explicitně neřeší, čemu co odpovídá. Třeba zda vlastnoručnímu podpisu odpovídá uznávaný elektronický podpis. Praxe je ale taková, že náš dnešní uznávaný elektronický podpis je „někde mezi“ vlastnoručním podpisem a úředně ověřeným (vlastnoručním) podpisem.

Ve většině případů, kdy v listinné podobě má něco být podepsáno vlastnoručním podpisem, je v elektronické formě požadován právě uznávaný elektronický podpis. Existují ale konkrétní úkony, které v listinné podobě vyžadují úředně ověřený podpis, zatímco v elektronické podobě na ně stále stačí stejný uznávaný elektronický podpis. Jde i o tak zásadní věci, jakými jsou třeba návrh na zahájení insolvenčního řízení, žádost o vystavení voličského průkazu, stažení kandidatury na prezidenta či zřízení datové schránky.

Zdůrazněme si, že to má logiku, protože nejvyšší formy elektronických podpisů (u nás: uznávaný elektronický podpis) přeci jen dokáží nabídnout víc, než co dokáže nabídnout vlastnoruční podpis na listinném dokumentu.

Co elektronické podpisy umí, a co vlastnoruční podpis nedokáže

Nejvyšší formy elektronického podpisu dokáží nabídnout stejnou „kvalitu“, jako úředně ověřený podpis. Třeba jednoznačnou identifikaci podepisující osoby: u úředně ověřeného podpisu ji pokaždé znovu ověřuje notář, advokát atd., zatímco u uznávaného podpisu ji ověřuje certifikační autorita (byť jen jednorázově, při vydávání kvalifikovaného certifikátu, který se pak dá použít opakovaně).

Stejně tak může být s nejvyšší formou elektronického podpisu spojená stejná presumpce pravosti, jaká je spojována s úředně ověřeným podpisem (jde o předpoklad, že podpis skutečně vytvořila ta osoba, která je uváděna jako podepsaná osoba). V praxi takováto presumpce znamená, že pravost není nutné prokazovat – zatímco případný opak by se prokazovat musel. Například pokud by někdo tvrdil, že podpis „není jeho“ (není pravý), musel by to prokázat on.

U elektronických podpisů to souvisí s jejich důležitou vlastností, označovanou jako neodmítnutelnost či nepopiratelnost (anglicky: non-repudiation): ta říká, že z platnosti elektronického podpisu (což je technický pojem a technická záležitost) vyplývá také jeho pravost (což je naopak právní pojem a „právní záležitost“). 

Takováto neodmítnutelnost (nepopiratelnost) ale může být spojena jen s vyššími formami elektronických podpisů, kde lze mít jistotu ohledně toho, kdo má ve své moci příslušný soukromý klíč (ke kterému mu byl vystaven příslušný kvalifikovaný certifikát). Dnes je takováto presumpce pravosti zakotvena v § 3 odst. 2 zákona č. 227/2000 Sb., o elektronickém podpisu, a to pro kvalifikované elektronické podpisy (tedy ty, které se opírají o kvalifikovaný certifikát a byly vytvořené pomocí bezpečného prostředku, neboli certifikované čipové karty). Nikoli pro uznávané elektronické podpisy.

Ale zmínit bychom měli i mnohem banálnější, byť nesmírně důležitou věc: zatímco vlastnoruční podpis na listinném dokumentu jej nijak nechrání proti dodatečným změnám (vlastnoručně lze podepsat „bianco šek“, na který se pak dodatečně dá napsat cokoli), i pouhý zaručený elektronický podpis (a samozřejmě i podpis uznávaný) zajišťuje integritu a umožňuje detekovat jakoukoli dodatečnou změnu podepsaných dat (§ 2 písm. c) bod 3. zákona č. 227/2000 Sb., o elektronickém podpisu).

Nehledě na takové „drobnosti“ jako je třeba nečitelný klikyhák v roli vlastnoručního podpisu, ze kterého nic nepřečteme a jen doufáme, že takovýmto klikyhákem se podepisuje právě ten, koho máme na mysli. To u elektronických podpisů žádné nečitelnosti (klikyháky) neexistují.

Na Slovensku šli nejdále

Naše dosavadní právní úprava tedy všelijak „lavíruje“ mezi tím, zda uznávaný elektronický podpis je, či není schopen plnit roli elektronické alternativy k úředně ověřenému podpisu. Řeší  to „případ od případu“: pro některé konkrétní úkony je schopen, obecně ale nikoli.

To na Slovensku v tom mají jasno: svůj dosavadní zaručený elektronický podpis, doplněný o časové razítko, postavili na roveň úředně ověřenému (vlastnoručnímu) podpisu (viz § 40 ods. 5 zákona č. 40/1964 Zb. občiansky zákonník). 

K tomu si dodejme důležitou informaci, zmiňovanou již v předchozím článku: že slovenský „zaručený elektronický podpis“ rozhodně není to samé, co náš (český) zaručený elektronický podpis. Důvodem je to, že u našeho zaručeného není kladen žádný požadavek na kvalitu certifikátu – takže může být založen na skutečně jakémkoli certifikátu (třeba i testovacím, který si může vyrobit kdokoli a napsat si do něj, cokoli ho jen napadne, třeba jméno někoho úplně jiného). Proto náš zaručený el. podpis nedokáže zaručit, komu patří.

Naproti tomu slovenský „zaručený elektronický podpis“ už vyžaduje kvalifikovaný certifikát, a tedy takový, ve kterém už mohou být jen pravdivé údaje (za což ručí vydávající certifikační autorita). Proto by slovenský zaručený el. podpis měl odpovídat spíše našemu uznávanému el. podpisu, který také vyžaduje kvalifikovaný certifikát.

Nicméně ani slovenský „zaručený elektronický podpis“ není úplně shodný s naším dosavadním uznávaným elektronickým podpisem. Liší se ve dvou významných aspektech:

  • slovenský zaručený el. podpis musí být vytvářen pomocí bezpečného prostředku (fakticky: certifikované čipové karty), zatímco náš uznávaný el. podpis nikoli (viz naše národní výjimka, popisovaná v prvním článku)
  • kvalifikovaný certifikát, potřebný pro slovenský zaručený el. podpis, obsahuje rodné číslo svého držitele (a skrze něj umožňuje jednoznačnou identifikaci podepsané osoby). Což není zrovna ideální řešení, protože rodné číslo je dosti citlivý osobní údaj, zatímco certifikáty by obecně měly být veřejné. Naproti tomu kvalifikovaný certifikát, potřebný pro náš uznávaný el. podpis, musí obsahovat „údaje, které umožňují jednoznačnou identifikaci podepisující osoby“ (v praxi obvykle IK MPSV).

Přijde vám, že je v tom docela zmatek? Když si různé země různě definují, co je pro ně nejvyšší formou elektronického podpisu, a také jaké má právní účinky? Pak možná doceníte záměr nového unijního nařízení eIDAS, které se v tom snaží udělat konečně pořádek a zavést jednotu.

Jenže to by konkrétní členské země nesměly jít proti tomuto proudu zaváděním (či zachováváním) nejrůznějších výjimek. Třeba jako Česká republika: my se snažíme udržet si svou výjimku z povinnosti používat certifikované čipové karty (obecně: kvalifikované, dříve bezpečné prostředky), viz první článek.

eIDAS degraduje elektronické podpisy

Problém je ale i opačný: tím, jak se nařízení eIDAS snaží nastolit v elektronických podpisech jednotu, nutně přitom musí „někde přidat, jinde ubrat“. A bohužel se to týká – možná dokonce především – výše popisované ekvivalence mezi různými variantami elektronických podpisů na straně jedné a různými variantami „listinných“ podpisů na straně druhé.

Takže tedy: nařízení eIDAS označuje nejvyšší formu elektronického podpisu jako kvalifikovaný elektronický podpis (zkratkou QES: Qualified Electronic Signature). Vyžaduje pro ni jak kvalifikovaný certifikát, tak použití kvalifikovaného prostředku pro vytváření elektronických podpisů (dříve se mluvilo o „bezpečných prostředcích“). No a tuto nejvyšší formu elektronického podpisu (tedy kvalifikovaný elektronický podpis) klade na roveň pouze vlastnoručnímu podpisu !!!!

Ano, čtete správně: eIDAS nevyužívá nic z toho, co vyšší formy elektronických podpisů dokáží nabídnout „nad“ to, co dokáží vlastnoruční podpisy. Tím je výrazně degraduje.

eIDAS ani u kvalifikovaných elektronických podpisů nezavádí presumpci jejich pravosti, popisovanou výše  (dnes je ještě obsažena v již zmiňovaném  § 3 odst. 2 dosavadního zákona č. 227/2000 Sb., o elektronickém podpisu). To u kvalifikovaných elektronických pečetí eIDAS určitou presumpci naopak zavádí – ale jde o „domněnku integrity dat a správnosti původu těch dat, s nimiž je kvalifikovaná elektronická pečeť spojena“.

Takže při sporu o pravost kvalifikovaného podpisu to bude stejné jako u vlastnoručního podpisu: pravost prokazuje ten, kdo se jí dovolává. Ale jak se bude taková pravost prokazovat, když držitel soukromého klíče nově nemá (zákonem) stanovenou povinnost náležitě si chránit svůj soukromý klíč? Ani povinnost včas revokovat příslušný certifikát. Či jen se seznámit s tím, co vlastně bylo podepsáno (viz minulý článek)?

U kvalifikovaných elektronických pečetí to bude naopak: zde eIDAS presumpci správnosti původu (i integrity) zavádí, a tak nebude nutné ji prokazovat. Prokazovat by naopak musel ten, kdo by tvrdil opak. 

Absence jednoznačné identifikace

Nařízení eIDAS je v degradaci nejvyšší formy elektronických podpisů (jen na úroveň vlastnoručních podpisů) bohužel důsledné – a to i v tom ohledu, že od ní nepožaduje jednoznačnou identifikaci podepsané osoby.

Je to vlastně logické: od vlastnoručního podpisu jednoznačnou identifikaci také neočekáváme. I když je vlastnoruční podpis čitelný (což být nemusí, viz již jednou zmiňovaný klikyhák), a přečteme si z něj třeba „Jan Novák“, stejně nám samotný podpis neřekne, o kterého konkrétního Jana Nováka jde. To si musíme zjistit nějak jinak (třeba z obsahu podepsaného dokumentu), a pak doufat, že jde o podpis téže osoby. Teprve v případě sporu pak musí nastoupit písmoznalec a porovnat podpis na dokumentu s podpisy již jednoznačně identifikované osoby (konkrétního Jana Nováka), a posuzovat jejich shodu.  

To u úředně ověřeného podpisu je to celé jinak: ten, kdo podpis ověřuje, musí zjistit identitu konkrétní osoby, která se před ním podepisuje (nebo uzná podpis za svůj), a údaje o jeho identitě napíše do ověřovací doložky (obvykle: datum a místo narození, bydliště, číslo OP).

Podobně to může být i u kvalifikovaného certifikátu: ten, kdo jej vydává, také musí (zcela jednoznačně a konkrétně) zjistit identitu žadatele o certifikát. A vedle jeho jména a příjmení pak může do certifikátu (podobně jako do ověřovací doložky) napsat ještě „něco dalšího“, co umožňuje držitele jednoznačně identifikovat. Něco, co umožňuje rozlišit mezi všemi osobami se stejným jménem a příjmením.

Dnes a u nás (zde v ČR) to je nejčastěji identifikátor klienta MPSV (IK MPSV), a naše stávající úprava elektronického podpisu (zákon č. 227/2000 Sb., o elektronickém podpisu) takovýto „další“ údaj v kvalifikovaném certifikátu dokonce explicitně požaduje (má-li být na tomto certifikátu založen uznávaný elektronický podpis).

Jenže jak jsme si již naznačili v prvním článku, nové nařízení mluví jinak: připouští, aby v kvalifikovaném certifikátu bylo vedle jména a příjmení uvedeno i ono „něco dalšího“. Ale zakazuje to po něm požadovat. Což je ale přesně to, co dělá náš dosavadní zákon o elektronickém podpisu, ve vztahu k uznávanému podpisu. A jak jsme si také již popisovali v prvním článku, nařízení má aplikační přednost – a v případě rozporu tak „přebíjí“ národní úpravu.

To má dva konkrétní důsledky. Prvním je to, že připravovaný adaptační zákon (aktuálně sněmovní tisk č. 763), který v rámci výjimek hodlá zachovat dosavadní uznávaný elektronický podpis, jej nově definuje – tak, aby již nepožadoval ono „něco navíc“ v kvalifikovaném certifikátu.

Co dříve šlo, nově už nepůjde

Druhý důsledek je možná ještě závažnější: z naší právní úpravy postupně začínají mizet ty případy, kdy je v listinné podobě požadován úředně ověřený podpis, a v elektronické podobě bylo dosud možné použít uznávaný elektronický podpis.

Například přímo v tzv. tlusťochovi (změnovém zákonu, který mění další zákony v souvislosti se zákonem o službách vytvářejících důvěru, sněmovní tisk 764) je takto likvidována možnost požádat o výpis z rejstříku trestů elektronickou cestou, s podepsáním žádosti pomocí uznávaného elektronického podpisu. Zdůvodnění v důvodové zprávě nenechává na pochybách o důvodech:

Od uplynutí přechodných období zákona o službách vytvářejících důvěru nebude mít uznávaný elektronický podpis takové vlastnosti, aby umožňoval jednoznačnou identifikaci podepisující osoby. Jelikož je pro vydání výpisu z rejstříku trestů nezbytné obdržet identifikační údaje o osobě žadatele umožňující ověřit totožnost žadatele, byla vyloučena možnost podávat žádosti o vydání výpisu z rejstříku trestů v elektronické podobě podepsané uznávaným elektronickým podpisem.

Podobně tomu bude třeba u dražeb:

Jelikož je v rámci elektronické dražby nezbytné ověřit totožnost dražebníka, byla vyloučena možnost při úkonech učiněných při elektronické dražbě nahradit úředně ověřený podpis uznávaným elektronickým podpisem.

V nadcházejícím volebním období nejspíše bude podstatné, že již nepůjde požádat o vystavení voličského průkazu elektronicky, s podepsáním žádosti pomocí (uznávaného) elektronického podpisu. Chystané novely volebních zákonů totiž navrhují vypuštění této možnosti, s následujícím zdůvodněním:

Vypouští se možnost žádat o voličský průkaz (a vzdát se kandidatury na prezidenta republiky) prostřednictvím elektronického podpisu. Předkladatel se tak rozhodl na základě vyhodnocení rizika, které je spjato s elektronickým podpisem; zatímco doposud je uznávaný elektronický podpis vedle jména a příjmení spojen i s „identifikátorem MPSV“, který umožňuje osobu jednoznačně identifikovat, nově bude – v souvislosti s nařízením EP a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce (nařízení eIDAS) – u kvalifikovaného elektronického podpisu jen jméno a příjmení; při znalosti dalších údajů o osobě, které se zapisují do žádosti o voličský průkaz, by ten, kdo má stejné jméno a příjmení, mohl „požádat za jiného“ a popřípadě ho zbavit práva volit. Obdobné riziko platí pro vzdání se kandidatury na funkci prezidenta republiky.

Jsou možné i pseudonymy

Pro úplnost si ještě dodejme, že nařízení eIDAS připouští, aby v kvalifikovaném certifikátu byl místo jména a příjmení uveden pseudonym. Tedy třeba „Mickey Mouse“, „úžasný borec“, či cokoli jiného, co někoho napadne použít místo svého skutečného jména a příjmení. Pravdou je, že u takovéhoto pseudonymu musí být explicitně uvedeno, že jde o pseudonym.

Skutečností je, že obdobné použití pseudonymů připouští i naše dosavadní právní úprava (stávající zákon č. 227/2000 Sb. o elektronických podpisech) – ale pro uznávaný el. podpis jen v povinné kombinaci s oním jednoznačným identifikátorem. Kvůli nařízení eIDAS ale i tento souběh padá, a ani po kvalifikovaném certifikátu „na pseudonym“ nesmí být požadováno, aby obsahoval jakýkoli další rozlišující (zde spíše: určující) identifikátor.

Vše tedy odpovídá tomu, že nové nařízení eIDAS je ve své degradaci elektronického podpisu skutečně důsledné a chce, aby ani nejvyšší formy elektronických podpisů (kvalifikovaný el. podpis, u nás „nový“ uznávaný el. podpis) nesloužily k jednoznačné identifikaci podepsané osoby. Tak jako ji neumožňuje ani vlastnoruční podpis.

Identifikace až při ověřování?

Jenže to by zde nesmělo být jedno (dosti nejasné) ustanovení v nařízení eIDAS, konkrétně v článku 32, které říká, že při ověřování platnosti elektronického podpisu

spoléhající se straně je řádně poskytnut jedinečný soubor dat identifikujících podepisující osobu v certifikátu.

Jak tomu ale rozumět? Může jít o ono „něco navíc“, které když není obsaženo přímo v certifikátu, musí být při ověřování „dodáno“ nějak jinak? Není to jen jiná forma požadavku na jednoznačnou identifikaci podepisující osoby?

No, s tím je trochu ve sporu konkrétní formulace, která nehovoří o „souboru dat jednoznačně identifikujících podepisující osobu“, ale o „jedinečném souboru dat identifikujících podepisující osobu“. Takže se nehovoří o jednoznačné identifikaci (osoby), ale pouze o identifikaci prostřednictvím „něčeho jedinečného“. Co by to ale mohlo být?

Co třeba takový atributový certifikát, schopný dodat další údaj (atribut), nutný k jednoznačné identifikaci? Takovýto atributový certifikát by byl unikátní (již jen díky svému sériovému číslu), a mohl by poskytnout takovou míru jednoznačnosti identifikace, jaká je pro daný účel potřebná (přičemž volba by byla na podepisující osobě, která by si sama volila, jaké atributové certifikáty připojí ke svému podpisu). Má to ale dva háčky: prvním je to, že atributové certifikáty se zatím moc nepoužívají (ani nevydávají). Druhým háčkem je to, že resort vnitra to vidí úplně jinak.

V prvním článku jsem zmiňoval, že ministerstvo vnitra, které má u nás problematiku elektronického podpisu na starosti, nedávno zveřejnilo několik svých stanovisek k nařízení eIDAS. Mezi nimi je i metodický materiál, týkající se právě ověřování elektronických podpisů dle nového nařízení. A v něm se určitým způsobem vykládá i právě zmíněný požadavek „poskytnout jedinečný soubor dat identifikujících podepisující osobu“: vnitro to interpretuje tak, že jde o sériové číslo certifikátu a údaj o jeho vydavateli:

Uživateli jsou přehledným způsobem zobrazeny údaje obsažené v kvalifikovaném certifikátu pro elektronický podpis – jméno a příjmení podepisující osoby, případně další atributy z předmětu certifikátu, sériové číslo certifikátu, údaje jednoznačně identifikující kvalifikovaného poskytovatele služeb vytvářejících důvěru,…

Pravdou je, že samotné sériové číslo a identita vydavatele potenciálně stačí k jednoznačné identifikaci držitele certifikátu (s tím i podepisující osoby).

Problém je v tom „potenciálně“: když ověřujete elektronický podpis, založený na kvalifikovaném certifikátu, ve kterém je uvedeno jméno „Jan Novák“, můžete se zkusit zeptat příslušné autority, kterému Janu Novákovi vydala certifikát s konkrétním sériovým číslem.

Ale certifikační autorita vám odpovědět nesmí. Ledaže jste soudem nebo orgánem činným v trestním řízení, pak vám odpoví. Jinak ale na sdělení osobních údajů o držiteli certifikátu, umožňujících jeho jednoznačnou identifikaci, nemáte právo. Takže reálně je vám tato možnost – tak jak ji interpretuje vnitro – k ničemu.

Ještě si to schválně srovnejme se situací, kdy je přímo v certifikátu obsažen identifikátor klienta MPSV: zjistit, komu konkrétně byl přidělen (ve smyslu: kterému konkrétnímu Janu Novákovi), mohou jen některé orgány veřejné moci, které k tomu mají potřebné zmocnění. Což mohou být třeba právě ty orgány veřejné moci, které přijímají elektronické žádosti o zřízení datové schránky nebo o vystavení průkazu voliče či vydávají výpis z rejstříku trestů apod. Ale ostatní mají i v tomto případě smůlu a k jednoznačné identifikaci držitele certifikátu přes IK MPSV se také nedostanou.

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).