Minimum pro zacházení s elektronickými dokumenty: Podruhé o správném vytváření elektronických dokumentů
Vítejte v druhém pokračování seriálu. Jak jsme si řekli minule, chceme v několik krátkých článcích srozumitelně informovat o všem, co advokát, právník či právní konzultant potřebují k tomu, aby jeho zacházení s elektronickými dokumenty bylo korektní a aby nevzniklo žádné riziko pro něj nebo jeho klienty. A také o tom, co potřebuje vědět podnikový právník, chce-li mít jistotu, že přechodem na elektronické řešení nevzniká problém.
 |
Neplést: podpis, pečeť a razítko
Právníci již pochopitelně vědí, že existuje elektronický podpis. My pro jistotu doplníme, že časové razítko není elektronickou obdobou razítka, ale slouží k něčemu jinému. Klasickému fyzickému razítku odpovídá spíše elektronická značka (nově se hovoří o elektronické pečeti), což je fakticky podpis spojený nikoliv s fyzickou, nýbrž s právnickou osobou. Nicméně není zapotřebí připojovat k dokumentu obojí. Vzhledem k tomu, že správně připojený elektronický podpis (tedy s časovým razítkem) umožní kdykoliv později přesně určit okamžik připojení podpisu, bude možné také rozhodnout, zda se tak stalo v době, kdy podepisující měl zmocnění zastupovat organizaci v dané věci.
Práce s elektronickým podpisem může na první pohled vypadat velmi jednoduše. Advokát klikne na příslušnou ikonku, počítačový program vytvoří otisk dokumentu, v rámci elektronického podpisu jej k tomuto dokumentu připojí, a je hotovo. Od této chvíle platí, že provedení jakékoliv změny v dokumentu by se okamžitě projevilo (dokument by přestal odpovídat otisku) a že je možné doložit, komu patřil certifikát, kterým byl vytvořen podpis.
Časté chyby při připojování podpisu
Jenže tak jednoduché to není. Čisté a bezvýhradné spoléhání na počítačový program může být někdy ošidné. Problém může být např. v tom, z čeho se počítá kontrolní součet, tedy co je fakticky podepisováno. To je třeba příklad časté chyby, jakou je připojování elektronického podpisu k tělu e-mailu. Protistrana dostane e-mail, uloží dokument do svého počítače… a podpis zmizel!
Dalším problémem může být vytvoření podpisu, resp. kontrolního otisku dokumentu takovým způsobem, aby jiné počítačové programy dokázaly bez problémů rozlišit, zda v dokumentu byly provedeny změny. To znamená, že podpis musí být vytvořen s detailním dodržením určitých norem. Pokud kupř. podepisujete PDF, jedná se o normu PAdES stanovenou Evropským institutem pro telekomunikační standardy (ETSI).
Vedle toho je důležité mít na paměti, že zdaleka ne každý elektronický podpis umožňuje spolehlivě určit podepisující osobu. Jste advokát Jan Novotný a vytváříte elektronické podpisy s označením Jan Novotný. Představte si ale, že si nějaký jiný člověk vytvoří podpisový certifikát s označením Jan Novotný a vaším rodným číslem (vytvoření takového certifikátu zvládne každý podnikový Windows server s funkční interní autoritou) a začne podepisovat dokumenty. Jak rozpoznat dokumenty podepsaný skutečným Janem Novotným od těch ostatních?
Právě z toho důvodu zákon rozlišuje uznávaný elektronický podpis od „běžných“ elektronických podpisů. Rozdíl je v tom, kdo vytvořil podpisový certifikát užitý při podepisování. Uznávaný elektronický podpis byl vytvořen kvalifikovaným certifikátem, tedy certifikátem vystaveným tzv. kvalifikovanou certifikační autoritou, což je firma registrovaná u ministerstva vnitra a splňující zvláštní bezpečnostní a procesní požadavky. Tato kvalifikovaná certifikační autorita je pokládána za důvěryhodnou třetí stranu schopnou dosvědčit totožnost majitele certifikátu.
Pokud certifikát nebyl vystaven kvalifikovanou certifikační autoritou a nejedná se o tzv. kvalifikovaný certifikát (kvalifikovaná certifikační autorita může vystavit různé typy certifikátů, ale tím teď nebudeme čtenáře zatěžovat), je jeho důvěryhodnost i jeho právní účinnost velmi problematická. Může být využit třeba rámci podnikových procesů, ale advokát by jej rozhodně neměl používat pro dokumenty, které používá ve své praxi. Rovněž by neměl takto podepsané dokumenty akceptovat od protistran.
|
Firemní právník a interní certifikáty Podpisové certifikáty vydané interní certifikační autoritou podniku mohou být ovšem využívány v rámci interního schvalování v podniku. V takovém případě je ovšem zapotřebí, aby existovaly jasné předpisy, případně dodatky k pracovním smlouvám, ve kterých se firma se svými zaměstnanci dohodne, že tyto interní podpisy pokládají za závazné a jakou odpovědnost zakládají. V těchto případech je také důležité, aby existovaly jasné předpisy o vydávání interních certifikátů, zabezpečení interní certifikační autority atd. a aby byly vedeny záznamy, z nichž je patrné, že tyto předpisy jsou opravdu dodržovány. Praktická zkušenost ukazuje, že útvary jako IT či finance mají tendenci tento aspekt podceňovat. Patří k roli firemního právníka zajistit, že mu bude věnován dostatek pozornosti. |
Co zaručuje váš elektronický podpis?
Jak vyplývá z předcházejícího, korektní elektronický podpis by měl splňovat dvě skupiny požadavků.
a) Není možné podepisovat čímkoliv. Je zapotřebí používat kvalifikovaný certifikát vydaný kvalifikovanou certifikační autoritou.
b) Vlastní vytvoření podpisu musí být úplně korektní. Nestačí, že někde na obrazovce zasvítí „podepsáno“, ale musí vzniknout dokument, který detailně odpovídá určité normě.
Takovýto podpis se nazývá zaručený elektronický podpis vytvořený na základě kvalifikovaného elektronického certifikátu.
Má-li dokument normě odpovídat a poskytovat dostatečnou míru jistotu, musí být k němu připojeno také časové razítko. To umožní dokument „zastavit v čase“, tedy prokázat, že v určitém okamžiku existoval a od té doby se nezměnil. Nicméně časové razítko je užitečnější i z jiných důvodů. O tom si více řekneme příště.
Martin Vondrouš
Software602
Tel.: (+420) 222 011 602
e-mail: vondrous@602.cz
------------------------------------------
[*] Advokátovo minimum pro zacházení s elektronickými dokumenty: Správné vytváření, k dispozici >>> zde.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
