Lhůta je časový interval, během kterého máte udělat něco obvykle jednorázového. Například splatit nějaký svůj dluh či podat nějaké podání apod. Naproti tomu doba je časový interval, během kterého má něco probíhat opakovaně, či dokonce trvale. Například když si koupíte „na týden“ přístup do nějaké služby (třeba do nějakého archivu článků, TV pořadů, hudebního archivu apod.), nejspíše čekáte, že to bude na 7×24 hodin od konkrétního počátečního okamžiku (např. okamžiku zaplacení).

Je to sice dost „právničina“, ale snad nezaškodí si to trochu rozebrat: jde totiž o rozdíl mezi lhůtou a dobou .

No, ač se to zdá divné, je tomu skutečně tak. Díky novému občanskému zákoníku, konkrétně jeho § 605 odst. 2 , u nás skutečně doby, počítané na týdny, měsíce či roky, trvají o den déle.

Stručně by se vše dalo popsat tak, že od zítřka už celá veřejná správa musí používat pouze kvalifikované elektronické podpisy , pouze kvalifikované elektronické pečeti a také pouze kvalifikovaná elektronická časová razítka . Dosud, přesněji do dnešního dne včetně, mohla veřejná správa vystačit jen s tzv. uznávanými elektronickými podpisy (či pečetěmi), případně ještě s elektronickými značkami, a jakýmikoli časovými razítky (od kvalifikovaného poskytovatele).

Naopak počítání dob, většinou spojených s nějakým nárokem či právem, starý občanský zákoník neřešil. A tak se doby neprodlužovaly, ani v případě počítání dob na celé kalendářní dny (a ne na hodiny, minuty a sekundy), a žádný den navíc se nepřidával. Například když jste s někým uzavřeli nájemní smlouvu na dobu 1 roku od 1. ledna, vycházel poslední den nájmu na 31. prosinec téhož roku.

Nicméně nový občanský zákoník, ve svém § 605 odst. 2, sjednotil počítání dob i lhůt, a to ve smyslu původního počítání lhůt:

Konec lhůty nebo doby určené podle týdnů, měsíců nebo let připadá na den, který se pojmenováním nebo číslem shoduje se dnem, na který připadá skutečnost, od níž se lhůta nebo doba počítá. Není-li takový den v posledním měsíci, připadne konec lhůty nebo doby na poslední den měsíce.

Dnes proto u stejné nájemní smlouvy (na jeden rok od 1. ledna) vychází poslední den nájmu nikoli na 31. prosince téhož roku, ale až na 1. ledna následujícího roku.

Ze stejného důvodu výjimka na 2 roky, účinná od 19. 9. 2016, platí ještě dnes (19. 9. 2018) a nebude platit teprve od zítřka (20. 9. 2018).

Co se reálně mění?

Vraťme se ale zpět k samotným dvouletým výjimkám. Reálný dopad jejich konců (na veřejnou správu) lze ve stručnosti popsat následovně:

každý úředník, který se v rámci svých služebních povinností elektronicky podepisuje, musí být od zítřka vybaven funkčním a provozuschopným kvalifikovaným prostředkem pro vytváření elektronických podpisů (alias QSCD, reálně: certifikovanou čipovou kartou nebo USB tokenem). Dále potřebuje takový kvalifikovaný certifikát pro elektronický podpis, který má v sobě nastaven příznak uložení soukromého klíče v kvalifikovaném prostředku (nestačí nahrát si na QSCD původní certifikát bez tohoto příznaku)

každý úředník, který v rámci svých služebních povinností elektronicky pečetí, tj. opatřuje nějaké elektronické dokumenty el. pečetí, musí být od zítřka vybaven funkčním a provozuschopným kvalifikovaným prostředkem pro vytváření elektronických pečetí (QSealCD). Nebo může využívat službu vzdáleného pečetění (kterou pod názvem RemoteSeal nabízí I.CA, viz dále). Dále potřebuje kvalifikovaný certifikát pro elektronické pečeti, který má v sobě nastaven příznak uložení soukromého klíče v kvalifikovaném prostředku.

stejná povinnost (ohledně prostředku či vzdáleného pečetění a certifikátu) platí i pro každý informační systém, který generuje elektronické dokumenty sám, bez přímé účasti člověka, a opatřuje je elektronickou pečetí.

orgán veřejné moci, který produkuje elektronické dokumenty, musí mít rozmyšleno (a rozpracováno do příslušných procesů a pracovních postupů), které elektronické dokumenty budou podepisovány a které pečetěny.

generované elektronické podpisy, stejně jako elektronické pečeti, musí být kvalifikované (proto požadavek na kvalifikovaný prostředek pro jejich vytváření). Kromě toho musí být každý podepsaný či pečetí opatřený dokument (s jednou výjimkou) opatřen ještě také kvalifikovaným elektronickým časovým razítkem. Ona výjimka se týká strojově generovaných výpisů (které nepředstavují právní jednání). Samozřejmostí by měly být i tzv. referenční formáty elektronických podpisů a pečetí, jak požadují prováděcí předpisy k nařízení eIDAS. O nutnosti využití hashovacích funkcí SHA2 (a nikoli SHA1) ani nemluvě.

S čím bude problém?

Nejmenší problém asi bude s kvalifikovanými elektronickými časovými razítky: ty jsou již delší dobu běžně dostupné od tří našich kvalifikovaných poskytovatelů (I.CA, PostSignum a eIdentity). Ale stejně tak je možné je odebírat i od zahraničních poskytovatelů (jako to dělá např. Správa základních registrů, viz předchozí článek).

Větší problém může být s podepisováním, protože ne každý subjekt veřejné správy musel stihnout vybavit všechny své „podepisující“ zaměstnance vším potřebným. Ačkoli se o této povinnosti vědělo nejméně dva roky (po celou dobu platnosti současné výjimky), někteří to mohli nechat doslova na poslední chvíli. Vyloučit asi nelze ani takové případy, kdy popisovanou povinnost některý subjekt veřejné správy (orgán veřejné moci) vůbec nezaznamenal či pochopil nesprávně.

Co všechno?

Dalším problémem může být samotné „zmapování“ toho, co všechno by mělo být opatřováno elektronickým autentizačním prvkem, ať již v podobě podpisu, či pečeti. Třeba i takové automaticky generované emaily, potvrzující přijetí nějakého podání na podatelnu: ty se dosud obvykle opatřovaly (uznávanými) elektronickými značkami, případně (uznávanými) elektronickými podpisy pracovníků podatelny – a nově by měly být opatřovány kvalifikovanými elektronickými pečetěmi, či kvalifikovanými elektronickými podpisy. Ale co třeba „obyčejné“ úřední emaily?

Zde by, alespoň podle mého názoru, mohlo pomoci jednoduché pravidlo, které jsem zmiňoval už v jednom z předchozích článků: nějakým autentizačním prvkem (podpisem či pečetí) by mělo být opatřeno všechno, co „opouští“ svého původce (který je tzv. veřejnoprávním podepisujícím či osobou vykonávající veřejnoprávní působnost, viz § 5 zákona č. 297/2016 Sb.) a může dále „žít vlastním životem“. Tedy něco, co má podobu souboru (či zprávy) a co si lze stáhnout, někam přenést atd., a dále zpracovávat jako samostatný celek. Protože u takovéhoto celku (který právo definuje jako dokument) chceme, aby bylo možné – a to i po stažení, přenesení atd. – se ujistit o autenticitě příslušného celku (dokumentu). Ve smyslu: zda se dokument nezměnil a od koho pochází či kdo ho podepsal. A právě k tomu slouží ony autentizační prvky, v podobě elektronického podpisu či pečeti.

Nebo opačně: samostatným autentizačním prvkem nemusí být opatřováno to, co „nemůže žít samostatným životem“, odděleně od svého původce. Například různé texty, napsané přímo na webových stránkách nějakého orgánu veřejné moci, bez možnosti stáhnout si je jako samostatný soubor. Protože takovýto obsah (text) je autentizován již tím, jak je autentizován server, na kterém se text nachází jako jeho integrální součást.

Kde je dělící čára?

Další problém může být s „dělící čárou“ mezi tím, co by ještě mělo být podepisováno, a tím, co by již mělo být pečetěno. Příslušné ustanovení zákona (§ 8 zákona č. 297/2016 Sb.), které jsem podrobněji rozebíral v tomto článku, by se zjednodušeně dalo interpretovat takto: pokud „na papíře“ podepisuješ, pak podepisuj i v elektronické podobě. Jinak připoj pečeť.

Pomoci zde může připomenutí skutečnosti, že podpis „patří“ fyzické osobě, je jejím projevem vůle (nejčastěji: souhlasu) a může být připojen i k cizímu dokumentu. Naproti tomu pečeť „patří“ právnické osobě (nebo orgánu veřejné moci) a není jejím projevem vůle – místo toho je vyjádřením původu, ve smyslu „toto je ode mne“, resp. „jsem původcem tohoto“. Proto nejde připojovat pečeť na cokoli „cizího“.

I tak ale zbývá dost prostoru k nejasnostem a různým právním výkladům: co třeba s různými věstníky, tiskovými zprávami, stanovisky, rozhodnutími (včetně anonymizovaných rozhodnutí soudů), oznámeními toho či onoho, nabídkami volných míst apod.: pečetit je, nebo podepisovat?

Dostupnost QSealCD

Svou roli při tomto rozhodování může sehrát i skutečnost, že zatímco kvalifikované prostředky pro vytváření elektronických podpisů jsou již vcelku běžně dostupné, s kvalifikovanými prostředky pro vytváření elektronických pečetí je to mnohem horší.

Od minulého článku z konce června se situace přeci jen změnila v tom, že na našem trhu je již reálně dostupný nejméně jeden kvalifikovaný prostředek pro vytváření elektronických pečetí: karta ProID+Q. Česká pošta (resp. PostSignum) ji už nabízí i jako QSealCD, a nejenom jako QSCD. Tedy nejenom jako kvalifikovaný prostředek pro vytváření elektronických podpisů, ale i jako kvalifikovaný prostředek pro vytváření elektronických pečetí. A to díky souhlasnému stanovisku dozorového orgánu s vydáváním karty jako QSealCD.

Zdůrazněme si, že karta ProID+Q představuje řešení použitelné jen pro „ruční“ pečetění, ale je – z praktických důvodů, kvůli rychlosti i potřebě opakované autentizace – nevhodná pro „strojové“ pečetění. Tedy například pro použití v informačních systémech, které pečetěmi opatřují automaticky generované výpisy (kterých může být i velmi mnoho během krátkých časových intervalů).

Pro „strojové“ pečetění jsou nutné kvalifikované prostředky (pro vytváření elektronických pečetí) v podobě tzv. HSM modulů (Hardware Security Module). Ty jsou u nás nejhůře dostupné, ale první nabídky se přeci jen objevují (jde o variantu, kdy je u zákazníka umístěn HSM modul spravovaný kvalifikovaným poskytovatelem, konkrétně autoritou PostSignum).

Další možností pak je vzdálené pečetění: HSM modul (se soukromým klíčem zákazníka) je umístěn u (kvalifikovaného) poskytovatele služby. Když zákazník chce nějaký dokument opatřit svou elektronickou pečetí, pošle poskytovateli jeho otisk (tzv. hash, nikoli celý dokument). Tento otisk je pak v HSM modulu opatřen pečetí a ta je vrácena zpět zákazníkovi, který si ji už sám připojí ke svému dokumentu. Pod názvem RemoteSeal takto fungující službu vzdáleného pečetění u nás provozuje společnost I.CA.

Kde lze čekat problémy?

Právě tam, kde je nutné nasazení HSM modulů, lze asi čekat největší problémy – způsobené obtížnou dostupností (spíše nedostupností) a vysokou cenou HSM modulů.

Týkat by se to mělo především toho, co je generováno strojově. Konkrétně třeba výpisů z veřejných rejstříků, které by již od zítřka měly být opatřovány kvalifikovanými elektronickými pečetěmi. Jde například o výpisy z obchodního rejstříku, z rejstříku trestů, z živnostenského rejstříku apod. Stejně tak jde o výpisy i z neveřejných rejstříků, které si můžete (jste-li k tomu oprávněni) vyžádat skrze svou datovou schránku – jako třeba výpis z rejstříku trestů, z bodového konta řidiče apod.

Ještě včera jsem si pro potřeby tohoto článku stáhl či nechal poslat do své datové schránky všechny strojově generované výpisy, o jejichž dostupnosti vím. Výsledek byl dosti tristní: ani jeden výpis nebyl opatřen kvalifikovanou elektronickou pečetí, jak by již od zítřka měl být. A že by se do zítřka situace radikálně změnila, asi nelze moc očekávat.

Většina včera získaných výpisů byla opatřena pouze uznávanou elektronickou pečetí – což znamená, že příslušný původce sice již používá kvalifikovaný certifikát pro elektronickou pečeť, ale ještě nemá kvalifikovaný prostředek pro vytváření elektronických pečetí. V daném případě, jelikož jde o strojově generované výpisy, nemá modul HSM (ani nepoužívá službu vzdáleného pečetění).

Pouze jeden výpis (konkrétně z insolvenčního rejstříku) nebyl opatřen ani uznávanou elektronickou pečetí, ale jen „obyčejnou“ (tj. zaručenou) elektronickou pečetí. Příslušný certifikát tedy není ani kvalifikovaný. Pravdou je, že až do dneška je to díky výjimce možné – a od zítřka už to možné nebude stejně, jako nebude možné použití pouze uznávané elektronické pečeti.

Na obrázku si můžete povšimnout ještě jedné zvláštnosti: provozovatel insolvenčního rejstříku, stejně jako Správa základních registrů, své výpisy opatřuje tzv. certifikačním podpisem, a nikoli podpisem „schvalujícím“. To je něco, co si zavedla firma Adobe a co náš právní řád vůbec nezná (a tedy ani nezakazuje, ani tomu nepřisuzuje nějak odlišný účinek).

Certifikační podpisy byly původně zamýšleny (firmou Adobe) pro podepisování elektronických formulářů – aby se ten, kdo je vyplňuje, mohl spoléhat na to, od koho formulář pochází. Dnes to asi u SZR (a provozovatele insolvenčního rejstříku) vyvolalo asociaci s rolí dnešních pečetí (které mají také potvrzovat původ) – a tak své výpisy (nikoli formuláře určené k vyplnění) opatřují pečetí v podobě takovéhoto certifikačního podpisu. Nicméně o tom, že jde o pečeť (a jakou), stejně rozhoduje příslušný certifikát.

Osobně to nepovažuji za chybu, ale ani za příliš rozumné řešení. Už jen proto, že jiné programy a služby pro ověřování platnosti podpisů a pečetí (než je Adobe Reader) obě varianty neznají, a nerozlišují tak mezi certifikačním a schvalujícím podpisem – což může uživatele zbytečně mást.

Na druhou stranu: právě insolvenční rejstřík a Správa základních registrů opatřují své výpisy kvalifikovaným elektronickým časovým razítkem, což ostatní nedělají. Ale ani oni nepoužívají pro své výpisy předepsané referenční formáty – ty jsem našel jen u výpisu z rejstříku živnostenského podnikání.

Mimochodem, stejně jako s vytvářením kvalifikovaných pečetí může být problém i s jejich správným rozpoznáním: některé programy, používané pro práci s elektronickými podpisy a pečetěmi, ještě nejsou připraveny na jejich kvalifikované varianty. Ovšem to, jak poznat, co je podpis a co pečeť, a jak rozlišit jejich uznávané a kvalifikované varianty, si necháme na další samostatný článek.

Jak je to s ověřovacími doložkami?

Zajímavá je situace kolem autorizované konverze dokumentů z listinné do elektronické podoby, prováděné podle zákona č. 300/2008 Sb. a jeho § 22 až 26. Tedy konverze, kterou z moci úřední provádí (jen „pro sebe“, neboli v rámci své působnosti) orgány veřejné moci a na žádost (pro kohokoli, kdo si za to zaplatí) pak kontaktní místa veřejné správy (hlavně Czech POINTy) a také advokáti.

Zde totiž příslušné ustanovení, konkrétně § 25 odst. 1 písm. h) zákona č. 300/2008 Sb., explicitně požaduje, aby (ověřovací) doložka obsahovala jako svou povinnou náležitost i kvalifikovaný elektronický podpis, nebo kvalifikovanou elektronickou pečeť:

§ 25 Doložka



(1) Doložka konverze do dokumentu obsaženého v datové zprávě se považuje za součást výstupu a obsahuje



……



h) kvalifikovaný elektronický podpis osoby, která konverzi provedla, nebo kvalifikovanou elektronickou pečeť subjektu, který konverzi provedl, byla-li konverze provedena automatizovaně.

Je zajímavou otázkou, zda se i na tento (dosti explicitní) požadavek dala (či naopak nedala) aplikovat ona nyní končící dvouletá výjimka (formulovaná v § 19 odst. 1 zákona č. 297/2016 Sb.) z povinného používání kvalifikovaných elektronických podpisů a pečetí.

Samozřejmě na to existovaly a existují různé právní názory – a není jistě těžké si domyslet, kterou variantu až dosud zastávali ti, kterých se to týká především. Tedy ti, kteří by měli opatřovat doložky svým elektronickým podpisem či pečetí. Dokládá to například oznámení Czech POINTu na následujícím obrázku, upozorňující na konec možnosti aplikovat dvouletou výjimku:

Stejný názor má očividně i Česká advokátní komora, a to pokud jde o aplikaci oné dvouleté výjimky i na konverze, prováděné (podle stejného zákona č. 300/2008 Sb.) advokáty – také je upozorňuje, že od 20. 9. 2018 už nebudou moci podepisovat doložky pouze uznávaným elektronickým podpisem, ale budou potřebovat kvalifikovaný elektronický podpis.

Nejsa právník, mohu se asi jen ptát, jak se mohla výjimka – udělená tzv. veřejnoprávním podepisujícím a osobám vykonávajícím (veřejnoprávní) působnost – vztahovat i na právníky, kteří (podle stanoviska jejich vlastní profesní komory) nevykonávají autorizovanou konverzi v rámci výkonu veřejnoprávní působnosti, ale „v souvislosti s poskytováním právních služeb“ (a kvůli tomu za provedené konverze neinkasují správní poplatky, ale smluvní odměny).

Jaká je praxe u ověřovacích doložek?

Jak jsem si mohl sám ověřit na několika konkrétních příkladech, praxe hovoří jednoznačně ve prospěch aplikace výjimky i na (ověřovací) doložky autorizované konverze. Což mělo i svou logiku: těsně po 19. 9. 2016, kdy nabyl účinnosti adaptační zákon a kdy bylo současně novelizováno i příslušné ustanovení týkající se náležitostí doložky (§ 25 odst. 1 písm. h) zákona č. 300/2008 Sb.), ještě nebylo k dispozici vše potřebné pro vytváření kvalifikovaných elektronických podpisů, natož pak kvalifikovaných elektronických pečetí.

Nicméně přechod od uznávaných elektronických podpisů k těm kvalifikovaným nejspíše není ani na Czech POINTech úplně dokončen. Někde už na kvalifikované elektronické podpisy přešli, zatímco jinde asi ještě nikoli.

Na následujícím obrázku vidíte příklad z července z Prahy 13: elektronický podpis na doložce už je kvalifikovaný.

Další obrázek pak ukazuje příklad konverze z Prahy 5, provedené toto pondělí (17. 9. 2018): doložka je opatřena stále pouze uznávaným elektronickým podpisem.

Jak obrázek také ukazuje, nejde o žádný „starý“ certifikát, jehož držitel by čekal s vydáním nového (resp. následného) certifikátu doslova až na poslední den – jde o kvalifikovaný certifikát, vydaný méně jak před měsícem. Ovšem ještě bez příznaku o uložení soukromého klíče na kvalifikovaném prostředku (QSCD). Proto je elektronický podpis, vytvořený s využitím tohoto certifikátu, pouze uznávaným elektronickým podpisem, a nikoli kvalifikovaným elektronickým podpisem.

Nejspíše si tedy na Praze 5 neuvědomili, že nestačí jen pořídit si nové kvalifikované prostředky pro vytváření elektronických podpisů (certifikované čipové karty či USB tokeny) a „jakékoli“ nové kvalifikované certifikáty – ale že je nutné, aby ony nové kvalifikované certifikáty měly nastaven příslušný příznak o umístění soukromého klíče na kvalifikovaném prostředku (QSCD).

Což v praxi znamená, že při generování žádosti o vydání takového certifikátu je nutné zvolit umístění nově vytvářeného soukromého klíče v kvalifikovaném prostředku. Raději si to připomeňme na následujícím obrázku, na kterém je generování žádosti o nový certifikát od PostSignum skrze její program iSignum: zde konkrétně je zvoleno umístění klíče na tokenu TokenME, ale obdobně je tomu i pro jiné kvalifikované prostředky. Chybou je naopak zvolit pro umístění „Windows“ (protože jeho systémové úložiště není kvalifikovaným prostředkem).

Co říci na závěr?

Od zítřka počínaje by tedy všechny elektronické dokumenty, ve výše popisovaném smyslu a rozsahu, již měly být podepisovány výhradně kvalifikovanými elektronickými podpisy, nebo opatřovány kvalifikovanými elektronickými pečetěmi (a také kvalifikovanými elektronickými časovými razítky).

Je zajímavou otázkou, co se stane, když tomu tak nebude – když takovéto dokumenty budou nadále opatřovány jen uznávanými elektronickými podpisy či jen uznávanými elektronickými pečetěmi. Podle mého názoru takovéto dokumenty, bez předepsaných náležitostí a bez možnosti aplikovat právě skončenou výjimku, nebudou mít takové právní účinky, jaké jim zákon jinak uděluje.

Takže třeba výstup z autorizované konverze, jehož doložka nebude opatřena kvalifikovaným elektronickým podpisem či kvalifikovanou elektronickou pečetí, nebude mít stejné právní účinky jako „vstup“ (jako dokument, jehož převedením výstup z konverze vznikl). Stejně tak třeba elektronické stejnopisy (například u soudních či správních rozhodnutí), které také musí být od zítřka podepisovány již jen kvalifikovanými elektronickými podpisy. To vše může v reálné praxi přinést řadu i hodně nepříjemných komplikací, které raději nechci ani domýšlet.