Stávající právní úprava elektronického podepisování nám pomalu stárne a lze si tedy zcela oprávněně položit otázku, proč stále ještě plně nefunguje. Jedním problémem je bezesporu aplikace souvisejících podzákonných právních předpisů (prováděcí vyhlášky a nařízení vlády), která si z pochopitelných důvodů vyžádá ještě nějaký ten čas… Druhým pak neexistence akreditované certifikační autority (slovy zákona poskytovatele certifikačních služeb), tedy jakéhosi garanta důvěryhodnosti vyšších (zaručených) forem elektronických podpisů.
Toto jsou problémy vcelku pochopitelné a provází v zásadě každou novou (a tím více průřezovou) právní úpravu. Dle mého názoru je však pes zakopán někde úplně jinde a to v kvalitě samotného zákona o elektronickém podpisu (dále jen zákon).
Tento zákon totiž, nejenom že obsahuje řadu sporných ustanovení, která velmi zdržovala práce na prováděcích předpisech (zejména pak na vyhlášce), ale navíc se v něm objevuje stále více nedostatků, resp. nepříliš vyhovujících ustanovení, která mohou v budoucnu vytvářet překážky jak v rámci e-commerce, tak i e-government… V řadě dalších aspektů (užívání v oblasti orgánů veřejné moci) pak elektronickou komunikaci téměř znemožňují. Dovolte mi zmínit několik – dle mého soudu velmi závažných – takových chyb.
Co znamená pojem „oblast“ (§ 11 zákona)
Velmi sporným a podstatným ustanovením této zákonné úpravy je problematický § 11, který říká, že: „V oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb.“
V tomto směru je třeba konstatovat, že je zde použit velmi neostrý pojem „oblast“ orgánů veřejné moci a vzniká tedy otázka, zda je nutno používat tuto formu podpisu i tam, kde s takovým orgánem pouze komunikuje soukromý subjekt – fyzická osoba (např. v souvislosti s podáváním daňového přiznání). Až na jednu výjimku (že by potvrzovala pravidlo? :-)) neznám právníka, který by znal jasnou odpověď'.
Vyjdeme-li přitom z obvykle uváděného výkladového vodítka přirovnávajícího „orgán veřejné moci“ k „výkonu této moci“ (nejde totiž o statický pojem – záleží na činnosti orgánu, kterou právě vykonává), nezbývá než konstatovat, že komunikace soukromých subjektů s orgánem veřejné moci není výkonem ani oblastí výkonu této moci a že tedy soukromá osoba podávající podání směrem k orgánu veřejné moci se nemusí (ale může) podepisovat způsobem uvedeným v § 11. Vzhledem k nejasnosti tohoto ustanovení, resp. tohoto pojmu je tedy třeba doporučit upřesnění uvedené formulace, případně vypuštění celého ustanovení… Pojem „oblast“ je právně totiž velmi volný a nepřesný. Důvod pro novelu jak vyšitý.
Nejasný přechod odpovědnosti za škodu (§ 5 zákona a násl.)
V souvislosti s odpovědnostními důsledky za porušení právní povinnosti ze strany podepisujících osob dle § 5 není například jasné, kdy dochází k přechodu odpovědnosti za škodu. Zákon totiž v § 5 odst. 2 říká, že za způsobenou škodu (porušením povinností dle odst. 1 zákona) odpovídá podepisující osoba podle zvláštních právních předpisů. Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn. Pro určení okamžiku přechodu odpovědnosti je tedy rozhodným okamžikem okamžik (pojem) zneplatnění certifikátu. Zákon však užívá tento pojem, jakož i řadu souvisejících pojmů (jako např. ukončení platnosti) velmi zmatečně a nelze tudíž jednoznačně určit o jaký okamžik vzhledem k časovému sledu jednotlivých úkonů (žádost o zneplatnění, ukončení platnosti, zveřejnění a aktualizace souvisejících seznamů) tedy jde. Vzhledem k požadavku právní jistoty a možným odpovědnostním důsledkům (které je třeba považovat v tomto směru za více než zásadní) této legislativní nepřesnosti je třeba přesněji vymezit okamžik zneplatnění, případně sjednotit zákonnou terminologii (pojem ukončení platnosti nahradit pojmem zneplatnění apod.).
Užívání pseudonymu (§ 12 odst. 1 písm. c) zákona)
O poznání méně sporným ustanovením je § 12 odst. 1 písm. c), které upravuje náležitosti kvalifikovaného certifikátu, přičemž umožňuje, aby takový certifikát obsahoval pseudonym podepisující osoby s příslušným označením, že se jedná o pseudonym. Účinky právního úkonu učiněného prostřednictvím takovéhoto certifikátu, jsou však (vzhledem k určitosti takového úkonu a již existující judikatuře) minimálně značně nejisté.
Některé další „drobnosti“
Za zmínku (v tomto případě spíše technického charakteru) také jistě stojí ustanovení § 6 odst. 3, které zakazuje poskytovateli certifikačních služeb, který vydává kvalifikované certifikáty, uchovávat a kopírovat data pro vytváření zaručeného elektronického podpisu osob, kterým poskytuje své certifikační služby. V tomto směru není příliš těžké si uvědomit, že toto ustanovení je zcela nerealizovatelné a je třeba zde pamatovat na skutečnost, že i přenos na médium podepisující osoby je také kopírováním.
Elektronický podpis ani zdaleka nenahrazuje vlastnoruční podpis
Ačkoli to bylo patrně úmyslem zákonodárce (viz důvodová zpráva k § 2), nepodařilo se úpravou elektronického podpisu nahradit podpisy vlastnoruční podpisy elektronickými. Tam, kde zákon jednoznačně předpokládá náležitost vlastnoručního podpisu, příp. notářsky či jinak úředně ověřeného podpisu, nelze použít podpis elektronický, a to ani včetně všech jeho vyšších forem. Toto jistě může v praxi činit určité problémy. Vzhledem k dosti sporné (a velmi individuální) problematice substituce podpisů elektronických za podpisy vlastnoruční, je však třeba zvážit možný dopad jednotlivých právních předpisů (viz. analýza dalších předpisů). Samotné srovnání podpisů vlastnoručních a elektronických je totiž velmi obtížné. Je sice nesporné, že ani grafologické expertízy nebývají příliš jednoznačné, avšak jak právní teorie, tak i praxe si s podobnými problémy poradit již umí. Základní problém zde představuje právě samotná podstata rozdílu mezi (zaručeným) elektronickým podpisem a podpisem vlastnoručním. Zatímco u vlastnoručního podpisu se vychází především z toho, že je výsledkem individuálního a relativně stálého písemného projevu člověka, u zaručeného podpisu jde pouze o schopnost provést nějaký úkon, která je vázána na dostupnost prostředku pro vytvoření takového podpisu. Z toho pak vyplývá samotná dokazatelnost, která je v případě zákona koncipována zcela odlišně. Z hlediska dokazování nebude ani tak sporná skutečnost, zda byl právní úkon učiněn osobou, v jejíž dispozici byl tento podpisový prostředek, ale především identifikace té pravé osoby, která tento úkon učinila. Zatímco v případě vlastnoručních podpisů je možno znalecky dokazovat skutečnost, že určitý podpis náleží určité osobě, v případě zaručeného elektronického podpisu toto však možné není. Zatímco u grafologických expertíz je osoba individuálně identifikovatelná asi od 13 let věku a pro určení pravosti podpisu by mělo postačovat 10 nesporně pravých podpisů, u elektronických podpisů něco takového nikdy určit nelze. Zde znalec pouze potvrdí (připouštím však, že patrně s větší pravděpodobností), že určitá datová zpráva byla podepsána elektronicky prostřednictvím prostředků určité osoby. Znalec zde potvrzuje pouze skutečnost, že datová zpráva byla podepsána prostřednictvím konkrétních prostředků a nikoli tedy skutečnost, že ji podepsala určitá konkrétní osoba. To jistě v praxi může činit některé potíže.
Slučitelnost s právem ES
Pouze okrajově je dále třeba konstatovat, že tento zákon, resp. řada jeho ustanovení (v rozporu s tvrzením v důvodové zprávě (Část E) zůstává v řadě aspektů neslučitelným s právem Evropského společenství (zejména pak ustanovení § 2, §10, § 11 a § 16).
Co říci závěrem
Zákon tedy nejenomže zůstává nekompatibilní s právem ES (což je dle mého soudu až podružné), ale také obsahuje řadu dalších podstatně závažnějších nedostatků (viz výše). Obávám se, že přijetím takovéhoto zákona vnesl náš zákonodárce do elektronické komunikace pouze více otazníků než jist. Dle mého názoru jediným pozitivem tohoto zákona je diskuse, které se díky tomuto zákonu dostalo.