Hlavní navigace

Unijní eIDAS přichází. O co přijdeme u elektronických podpisů?

27. 6. 2016
Doba čtení: 13 minut

Sdílet

 Autor: kentoh / depositphotos.com
Jen dny zbývají do účinnosti nařízení EU, které mění mnoho věcí (nejenom) kolem elektronických podpisů. Adaptační zákon se nestihne přijmout včas. Co nastane po 1. červenci?

Naše právní úprava elektronického podpisu je už poměrně letitá. Pochází z roku 2000 a je tvořena především zákonem č. 227/2000 Sb. (o elektronickém podpisu), který sám vychází z ještě o něco starší unijní směrnice 1999/93/ES (o zásadách Společenství pro elektronické podpisy).

Od roku 2000 samozřejmě došlo k určitému vývoji: například jsme si sami přidali časová razítka a začali používat elektronické značky. Ale byla to spíše postupná evoluce, než nějaká „více revoluční“ změna.

K zásadnější změně dochází až nyní. Vlastně již tento pátek, 1. července 2016, kdy nabudou účinnosti relevantní ustanovení Nařízení Evropského parlamentu a Rady (EU) č. 910/2014, plným názvem „o elektronické identifikaci a službách vytvářejících důvěru na vnitřním trhu a o zrušení směrnice 1999/93/ES“. Známější je ale toto nařízení spíše pod jménem eIDAS, od: eID And Signature.

 


Partnerem seriálu o eIDAS, elektronických podpisech a službách vytvářejících důvěru je ASKON International.

Jak už samotný název nového nařízení napovídá, jeho obsah se týká dvou velkých oblastí: jednou je oblast elektronické identifikace, zatímco druhá se týká „služeb vytvářejících důvěru“. Obě si zaslouží podrobnějšího rozboru, ale zde (v tomto a dalších článcích) se budeme věnovat jen oněm „službám vytvářejícím důvěru“. Protože právě ty zahrnují problematiku elektronických podpisů a souvisejících věcí, jakými jsou například časová razítka, elektronické pečetě či dosavadní elektronické značky. A samozřejmě také fungování certifikačních autorit a celého „zázemí důvěry“.

Co by nás mělo zajímat?

I když se tedy omezíme jen na elektronické podpisy a s nimi úzce související aspekty (razítka, značky, pečetě atd.), stejně narazíme na celou řadu zajímavých a důležitých otázek, které si zaslouží alespoň nějaké odpovědi. Jako například: proč se vůbec hovoří o nějakých „službách vytvářejících důvěru“? Kdo vymyslel tak krkolomný novotvar?

Nebo: když si odmyslíme obvyklé povrchní slogany o tom, jak eIDAS konečně nastolí pořádek a sjednotí právní úpravu „věcí elektronických“ přes celou EU, pak je na místě se ptát na to, jaké skutečné změny přináší. Třeba:

  • Co udělá s našimi dosavadními výjimkami, které jsme si zavedli do naší právní úpravy již v roce 2000? Jde například o povinnost používat certifikované čipové karty či tokeny, které jsme se vyhnuli – a tak na nás tato povinnost dnes nedopadá. Bude ale tato naše národní výjimka zachována i nadále, nebo s ní bude utrum? Podobně jiná naše výjimka: tzv. fikce podpisu, kterou jsme si zavedli v souvislosti s datovými schránkami: bude se i nadále „jakoby podepisovat“ již jen tím, že orgánu veřejné moci pošlete nějaký dokument skrze datovou schránku?
  • Mění eIDAS nějak pravidla o tom, kdo a jakým způsobem co podepisuje? Jak to například mají dělat právnické osoby či organizační složky státu? Zůstane nám zachována další naše specialita, kterou jsou elektronické značky, nebo je už nebudeme moci využívat?
  • Když se naše právní úprava za dlouhých 16 let určitým způsobem vyvinula a obohatila o nové prvky (například o jednoznačnou identifikaci podepsané osoby, neodmítnutelnost elektronického podpisu a další), co s nimi eIDAS udělá? Eliminuje takovéto „elektronické výdobytky“ a vrátí vše zase o x let zpět? Nebo naopak přidá něco nového a užitečného? Otevře nějaké nové možnosti?
  • Má eIDAS nějaké zásadnější nedostatky, nedomyšlenosti, či přímo chyby? Nepřinese náhodou více nových problémů, než kolik jich vyřeší?
  • Přináší eIDAS nějaké zásadnější změny do toho, jaké mají elektronické podpisy právní účinky a „celkové postavení“? Rozšiřuje nějak „ochranu“ elektronické podoby v tom smyslu, že by se změnil rozsah situací, kdy je elektronická podoba použitelná stejně tak dobře, jako podoba listinná?

Všem těmto (i dalším zajímavým) otázkám bych se rád věnoval v samostatných článcích, protože to je „na delší povídání“. Takže z toho bude celý menší seriál.

Je zde ale ještě další velmi důležitá otázka, na kterou je vhodné odpovědět co možná nejdříve. Týká se právního stavu, který u nás nastane po 1. červenci. Odpověď na ni je nelehká zejména proto, že dnes je již jasné, že se nepodaří včas přijmout novou národní legislativu, navazující na nařízení eIDAS.

Proč potřebujeme adaptační zákon?

Nové nařízení (eIDAS) je skutečně nařízením, a nikoli směrnicí. To znamená, že se (na rozdíl od směrnice) netransponuje do národní legislativy, formou „transpozičního“ zákona (jakým je náš dosavadní zákon č. 227/2000 Sb. o elektronickém podpisu) – ale je přímo účinné. Tedy: eIDAS platí přímo (rovnou), od okamžiku své účinnosti (v daném případě od 1.7.2016) a má aplikační přednost před národními zákony a dalšími právními předpisy.

Nicméně ani takovýto „přímý účinek“ ještě neznamená, že by nebyly zapotřebí nějaké právní kroky na národní úrovni. Jsou zapotřebí, například k dopracování toho, co nařízení eIDAS záměrně ponechává na dopracování na národní úrovni – což jsou zejména sankce za nedodržení povinností, které nařízení ukládá. Stejně tak je zapotřebí zrušit dosavadní „transpoziční“ zákon č. 227/2000 Sb. o elektronickém podpisu a s ním související vyhlášky a další předpisy.

Proto místo transpozičního zákona, který by „přenesl“ (transponoval) celý obsah směrnice do národní legislativy, potřebujeme nyní zákon, kterému se obvykle říká adaptační. Nejspíše proto, že má „adaptovat“ (připravit) již existující národní právní úpravu na dopady přímo účinného nařízení. Tedy nejenom dodělat to, co nařízení ponechává na dopracování na národní úrovni (zde: sankce), ale také promítnout změny, které nařízení přináší, do dalších národních zákonů, které se nějakým způsobem dotýkají předmětu nařízení.

V jednu chvíli to vypadalo, že budeme mít jen jeden adaptační zákon, který zajistí všechno („dopracování“, zrušení stávající úpravy i promítnutí změn do dalších zákonů). Pak se ale resort vnitra, který vše připravuje, rozhodl pro dnes přeci jen častější řešení: pro rozdělení těchto dvou úkolů do dvou samostatných zákonů:

  • adaptačního zákona, pro který je připraven název: „Zákon o službách vytvářejících důvěru elektronické transakce“ (zkratkou: ZoSVD, ev. ZoSVDET). Jeho úkolem bude ono „dopracování“ a zrušení dosavadní úpravy. Návrh tohoto zákona se v současné době nachází v Poslanecké sněmovně (jako sněmovní tisk č. 763).
  • změnového zákona („Zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o službách vytvářejících důvěru pro elektronické transakce“, lidově označovaného „tlusťoch“, pro svůj typicky velký rozsah). Jeho návrh má podobu sněmovního tisku č. 764.

Oba návrhy se aktuálně nachází mezi druhým a třetím čtením v Poslanecké sněmovně, přičemž třetí čtení se odehraje na schůzi začínající 28. června. Takže je již jisté, že se nestihnou přijmout tak, aby byly účinné k 1.7.2016, kdy nabudou účinnosti relevantní ustanovení nařízení eIDAS. Tím pádem ale bude i po 1.7. stále ještě platit (bude stále účinný) dosavadní zákon o elektronickém podpisu (č. 227/2000 Sb.), protože ještě nebude zrušen (novým „zákonem o službách vytvářejících důvěru“).

Proto je tak důležité vědět, co (jaký právní stav) bude platit po onom magickém 1. červenci.

Co bude po 1.7.2016?

Obecnou odpovědí může být konstatování, že unijní nařízení má aplikační přednost před národní právní úpravou – a to jak tou dosavadní, která zahrnuje dosavadní zákon č. 227/2000 Sb. o elektronickém podpisu, tak tou novou, kterou bude adaptační zákon o službách vytvářejících důvěru (včetně doprovodného „tlusťocha“). Aplikační přednost přitom platí i tam, kde by nařízení bylo v postavení obecnějšího zákona vůči nějaké konkrétnější právní úpravě (a kde by jinak platilo pravidlo „lex specialis derogat generali“, resp. „zvláštní zákon ruší obecný“, podle kterého má speciálnější právní úprava „navrch“ před tou obecnou).

Konkrétně to ale neznamená, že by naše dosavadní národní právní úprava od 1.7.2016, s účinností nařízení eIDAS, přestala platit. Nikoli, stávající zákon o elektronickém podpisu bude obecně platit i nadále (dokud nebude zrušen novým adaptačním zákonem). Platit ale nebudou (resp. účinné nebudou) ty pasáže stávajícího zákona, které jsou v rozporu s obsahem nařízení. 

Přeloženo do češtiny: pokud nařízení něco neřeší nebo to nechává na dopracování na národní úrovni, pak platí to, jak je to ošetřeno v národní právní úpravě (stávající i nové). Ale pokud nařízení něco řeší, pak „přebíjí“ národní právní úpravu a činí ji neplatnou (neúčinnou).

Ukažme si to na konkrétním příkladu – na kterém si současně můžeme osvětlit jednu podstatnou záležitost, týkající se dopadů eIDASu do našeho specifického národního prostředí.

Přijdeme o bezpečnostní výjimku?

Když před rokem 2000 vznikala naše dosavadní právní úprava (stávající zákon č. 227/2000 Sb. o elektronickém podpisu), rozhodli jsme se jít odlišnou cestou než větší část EU (ve které jsme tehdy ještě ani nebyli): zatímco unijní směrnice 1999/93/ES pro elektronické podpisy požadovala používání certifikovaných čipových karet, coby „bezpečných prostředků pro vytváření elektronických podpisů“ (pro nejvyšší a právně závazné formy elektronických podpisů), u nás jsme se rozhodli čipové karty po našich uživatelích nevyžadovat.

Fakticky jde o požadovanou míru bezpečnosti: čipové karty slouží k ukládání soukromých klíčů. A u těch certifikovaných někdo dopředu ověřil, zda jsou dostatečně bezpečné (např. že soukromý klíč skutečně nejde „dostat ven“ z čipové karty).

Pokud tedy unijní směrnice předepisovala povinné používání certifikovaných čipových karet či tokenů (kterým říkala „bezpečné prostředky“), pak fakticky požadovala relativně vysokou míru bezpečnosti – samozřejmě spojenou s určitými náklady (cena certifikované čipové karty se v té době pohybovala někde kolem 3000 Kč).

Tím, že naše právní úprava použití bezpečných prostředků nevyžaduje (a to ani pro nejvyšší a právně závazné formy elektronických podpisů), to pak pro běžné uživatele skutečně vychází levněji. Současně to ale přenáší volbu míry bezpečnosti (při uložení soukromého klíče) na samotného uživatele – který ani nemusí mít dostatek informací a znalostí na to, aby si vůbec uvědomil možná rizika a mohl je zhodnotit.

A jelikož osvěta kolem elektronických podpisů byla nulová, až snad záporná, v praxi to podle toho vypadá: drtivá většina uživatelů si svůj soukromý klíč uchovává na méně bezpečných místech, nejčastěji v systémovém úložišti na svém počítači, a leckdy si ho ani nechrání heslem. Takže pak stačí, aby si v nepřítomnosti uživatele k jeho počítači sedl někdo jiný, a rázem se může platně a právně závazně podepisovat jeho jménem. Je to ostatně podobné, jako nechat někde „jen tak válet“ svou platební kartu, navíc nevyžadující PIN.

Nové unijní nařízení eIDAS se k problematice uložení soukromých klíčů staví stejně jako předchozí směrnice z roku 1999: pro nejvyšší formu elektronického podpisu, kterou klade na roveň vlastnoručnímu podpisu, nadále vyžaduje dostatečně bezpečné uložení soukromého klíče. Tedy certifikovanou čipovou kartu či token. A mění jen terminologii, když místo „bezpečného prostředku pro vytváření elektronických podpisů“ (SSCD, Secure Signature Creation Device) hovoří v této souvislosti o kvalifikovaném prostředku (QSCD, Qualified Signature Creation Device).

Náš nový adaptační zákon (budoucí Zákon o službách vytvářejících důvěru, aktuálně sněmovní tisk č. 763) se k používání kvalifikovaných (dříve: bezpečných) prostředků staví v zásadě stejně jako dosavadní zákon o elektronickém podpisu: nevyžaduje je. Takže fakticky usiluje o zachování našich dosavadních výjimek. I když v jednom ohledu přeci jen odlišně: pro orgány veřejné moci má výjimka (z povinného používání čipových karet) platit jen dva roky – zatímco pro ostatní (právnické a fyzické osoby) má výjimka platit trvale.

Uznávaný, nebo kvalifikovaný el. podpis?

Zkusme si výše popsané skutečnosti přeložit do jiného kontextu: zatímco unijní právní úprava (a to jak ta dosavadní, v podobě směrnice z roku 1999, tak i ta nová, v podobě nařízení eIDAS) označuje nejvyšší formu elektronického podpisu jako kvalifikovaný elektronický podpis, a pro jeho vytváření vyžaduje bezpečné uložení soukromého klíče (použití bezpečného/kvalifikovaného prostředku), u nás to máme jinak.

Až dosud, podle dosavadního zákona o el. podpisu (č. 227/2000 Sb.), je nejvyšší formou elektronického podpisu tzv. uznávaný elektronický podpis. A ten nevyžaduje použití bezpečného (nově: kvalifikovaného) prostředku, neboli certifikovanou čipovou kartu.

Nařízení eIDAS ale náš uznávaný elektronický podpis nezná, a ani ho nijak nezakazuje. Vlastně právě naopak: ve svém recitálu č. 25 dokonce hovoří o tom, že členské země si mohou vytvářet vlastní (národní) služby vytvářející důvěru, a také je používat. Nebudou ale moci těžit z hlavního benefitu, kterým je jednotný způsob uznávání těch služeb, které jsou definovány přímo v nařízení eIDAS (a které není možné měnit, resp. které musí fungovat všude stejně).

Právě řečené lze aplikovat i na situaci po 1.7.2016, kdy ještě nebude účinný adaptační zákon, ale bude nadále platit dosavadní zákon č. 227/2000 Sb. o elektronickém podpisu (protože ještě nebude zrušen): naše dosavadní uznávané elektronické podpisy (tedy „ty, nevyžadující čipové karty“) budeme moci používat i nadále.

A až někdy později nabude účinnosti nový adaptační zákon, budeme je opět moci používat i nadále: orgány veřejné moci ještě další dva roky a právnické a fyzické osoby trvale. Vedle nich samozřejmě budeme moci používat i kvalifikované elektronické podpisy (tedy ty, vyžadující kvalifikovaný prostředek, tj. certifikovanou čipovou kartu) – a pouze takovéto kvalifikované podpisy budou vyžívat té výhody, že je budou muset uznávat i v zahraničí (v celé EU).

Přijdeme o jednoznačnou identifikaci

Možnost nadále používat uznávané elektronické podpisy je příkladem toho, kdy naše národní právní úprava není v rozporu s nařízením eIDAS. Ukažme si nyní opačný příklad: něco, kde naše stávající právní úprava (zákon č. 227/2000 Sb.) naopak je v rozporu s novým nařízením.

Jde opět o záležitost, která se týká uznávaných elektronických podpisů: ty totiž musí být založené na dostatečně důvěryhodném certifikátu, konkrétně na kvalifikovaném certifikátu. No a náš stávající zákon o elektronickém podpisu navíc požaduje, aby kvalifikovaný certifikát, na kterém je založen uznávaný elektronický podpis, obsahoval (vedle jména a příjmení svého držitele) také „údaje, které umožňují jednoznačnou identifikaci podepisující osoby“. V praxi jde obvykle o tzv. identifikátor klienta MPSV (IK MPSV).

Nařízení eIDAS ale má jiný pohled na to, zda a jak mají i ty nejvyšší formy elektronických podpisů jednoznačně identifikovat podepsanou osobu (podrobněji v třetím článku tohoto malého seriálu) – a tak nepožaduje, aby v kvalifikovaném certifikátu byl obdobný „údaj, který umožňuje jednoznačnou identifikaci podepisující osoby“, jako to požaduje náš dosavadní zákon. eIDAS připouští, aby v kvalifikovaném certifikátu takový údaj byl, ale explicitně říká, že to po něm nesmí být požadováno – a že účinky kvalifikovaného certifikátu tím nesmí být omezeny.

Jinými slovy: máme zde rozpor mezi naším stávajícím zákonem o el. podpisu, který požaduje „údaje, které umožňují…“, a nařízením eIDAS, které naopak zakazuje požadovat takovéto další údaje. No a jelikož eIDAS „má navrch“ (má aplikační přednost), stane se od 1.7.2016 požadavek dosavadního zákona o elektronickém podpisu na ony další údaje v kvalifikovaném certifikátu neúčinným. A v budoucím adaptačním zákoně (dnes: sněmovním tisku 763) takovýto požadavek skutečně není (a ani nemůže být, protože by překračoval rámec unijního nařízení).

Jaké to bude mít konkrétní praktické důsledky, je poněkud složitější a nechám si to na další článek. Obecně a ze svého pohledu si dovolím konstatovat alespoň to, že skrze absenci požadavku na jednoznačnou identifikaci držitele certifikátu, resp. podepsané osoby, způsobí eIDAS významnou degradaci elektronických podpisů: již je nepůjde použít tam, kde je zapotřebí, aby se přímo z elektronického podpisu dalo jednoznačně poznat, komu patří.

Jen pro ilustraci a jako upoutávku na další článek: bude je možné použít tam, kde stačí vědět, že podepsanou osobou je „nějaký Jan Novák“ (a kde nevadí, že osob stejného jména je více). Nepůjde je už reálně použít tam, kde je nutné vědět, kterému konkrétnímu Janu Novákovi podpis patří. Půjde třeba o žádost o vystavení voličského průkazu, o vydání výpisu z rejstříku trestů atd.

Jaké je stanovisko ministerstva vnitra?

Pro zájemce o detailnější a oficiálnější informace si dovolím uvést, že nedávno se na vnitru konal seminář (pro veřejnou správu), na kterém tento resort představil svůj pohled na celou problematiku dopadů eIDASu do naší reality.

Na webu MV ČR, v části věnované novému nařízení, najdete například stanovisko, věnované právě tomu, co a jak nastane po 1.7.2016 (kdy ještě nebude účinný adaptační zákon).

BRAND24

Či stanovisko k tomu, zda bude nadále (po 1.7.2016) platit další naše specifická odchylka od dosavadní i nové unijní právní úpravy, kterou je tzv. fikce podpisu (dle § 18 odst. 2 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů). Vnitro podle očekávání zastává názor, že pouhé přenesení z jedné datové schránky do jiné datové schránky dokáže i nadále nahradit skutečné podepsání. Samozřejmě jde o věc, kterou eIDAS nezná a kterou tudíž v zahraničí neuznávají a uznávat nebudou.

Stejně tak na odkazovaných stránkách najdete i prezentace ze zmiňovaného semináře, kde byla zmiňovaná stanoviska (i další zajímavé materiály) představena.

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).