Elektronický podpis pohledem aktuální právní úpravy

Zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, stanovuje, že k platnosti právního jednání učiněného v písemné formě se vyžaduje podpis jednajícího. Vzhledem ke skutečnosti, že písemná forma může vedle listinné podoby nabývat také podoby elektronické, je nezbytné vymezit, jak elektronický podpis správně použít, aby zamýšlené právní jednání vyvolávalo své předpokládané účinky.
 

Právní úprava vztahující se k úpravě elektronického podpisu má v současnosti základ v unijním právu, a to v podobě nařízení Evropského parlamentu a Rady č. 910/2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES („eIDAS“). Účelem tohoto nařízení je zejména zvýšit na evropské úrovni důvěryhodnost elektronických transakcí na vnitřním trhu tím, že poskytuje společný základ pro bezpečnou elektronickou komunikaci mezi občany, podniky a orgány veřejné moci, čímž posiluje efektivnost veřejných a soukromých on-line služeb, elektronického podnikání a elektronického obchodu v Evropské unii. Hned v úvodu tohoto nařízení je uvedeno, že budování důvěryhodnosti on-line prostředí má pro hospodářský a sociální rozvoj klíčový význam. Nedostatečná důvěra, zejména v důsledku pocitu nedostatku právní jistoty, vede k tomu, že se spotřebitelé, podniky a orgány veřejné moci zdráhají provádět transakce elektronickými prostředky a přijímat nové služby. [1] Jedním z cílů tohoto nařízení je také odstranění stávajících překážek přeshraničního využívání prostředků pro elektronickou identifikaci, které se v členských státech používají k autentizaci, a to alespoň pro účely veřejných služeb.[2]

K provedení, resp. adaptaci, tohoto nařízení na národní úrovni byl v České republice přijat zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů (dále jen „zákon č. 297/2016 Sb.“). Nařízení eIDAS totiž stanovuje, že některé oblasti právní úpravy budou dodefinovány na národní úrovni. Jedná se zejména o část nařízení eIDAS týkající se služeb vytvářejících důvěru, která je použitelná od 1. července 2016.

V nařízení eIDAS a zákoně č. 297/2016 Sb. lze identifikovat následující typy elektronického podpisu:

• Elektronický podpis (prostý)
• Zaručený elektronický podpis
• Zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis (uznávaný podpis)
• Kvalifikovaný podpis

Elektronický podpis (prostý)

Jedná se o základní, nejjednodušší a zjevně také nejfrekventovanější typ elektronického podpisu. Do této kategorie totiž lze zařadit mnoho metod technického provedení elektronického podpisu. Mezi tyto metody patří zejména napsání jména a příjmení (na konci dokumentu nebo v e-mailové zprávě), zaškrtnutí políčka „souhlasím“ na webové stránce (např. „souhlasím s obchodními podmínkami“), vložení obrázku s naskenovaným vlastnoručním podpisem (např. na konci dokumentu), vzor podpisu vytvořený elektronickou tužkou a další. Tento typ elektronického podpisu najde uplatnění zejména mezi dvěma soukromoprávními subjekty tam, kde je vyžadován vlastnoruční podpis (při uzavírání smlouvy). Záleží však vždy na samotných stranách, jaké podmínky pro elektronický podpis si nastaví.

Smluvní strany se rovněž mohou dohodnout, že pro uskutečnění právního jednání budou vyžadovat některou z následujících „vyšších“ forem elektronického podpisu.

Zaručený elektronický podpis

Podle eIDAS musí zaručený elektronický podpis splňovat hned několik podmínek:

• je jednoznačně spojen s podepisující osobou;
• umožňuje identifikaci podepisující osoby;
• je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou;
• je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.[3]

Výše uvedené podmínky spolu se samotným pojmenováním tohoto typu elektronického podpisu evokují, že tento typ elektronického podpisu poskytuje vysokou úroveň jistoty, a tudíž by se smluvní strany neměly bát použití tohoto typu elektronického podpisu při uskutečňování právních jednání. Opak je však pravdou. Tento podpis sice zaručuje, že je možné zjistit jakoukoliv následnou změnu dat a umožňuje rovněž identifikaci podepisující osoby, nicméně to zřejmě nejdůležitější nezaručuje, tedy kdo je jeho autorem. Jelikož má podepisující osoba pod svou výhradní kontrolou data pro vytvoření tohoto elektronického podpisu, může si podepisující osoba vytvořit zaručený elektronický podpis jakékoliv osoby. Použití tohoto typu elektronického podpisu je v současnosti proto nepraktické a dokonce nebezpečné. Název tohoto podpisu vznikl nepřesným překladem z anglického „Advanced Electronic Signature“, což plete osoby nejen z řad veřejnosti, ale také zákonodárce. Stále tak můžeme v právních předpisech nalézt požadavek na „zaručený elektronický podpis“ tam, kde by měl být vyžadován jiný typ elektronického podpisu (např. vyhláška č. 62/2015 Sb., o provedení některých ustanovení zákona o zdravotnických prostředcích).

Uznávaný elektronický podpis

Tento pojem nevychází přímo z eIDAS, ale je zaveden v zákoně č. 297/2016 Sb. Jedná se přitom o zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis nebo o kvalifikovaný elektronický podpis (viz dále). Z uvedeného vyplývá, že na rozdíl od výše uvedeného „prostého“ či pouze „obyčejného“ zaručeného elektronického podpisu, musí být tento „potvrzen“ certifikační autoritou (v ČR První certifikační autorita, a. s., Česká pošta, s. p., a eIdentity a. s.). Tím dojte k záruce, že použitý uznávaný elektronický podpis je skutečně spojen s osobou, jíž byl vystaven. Byť samozřejmě nezaručuje, že právě tato osoba jej jako svůj podpis použila (v úvahu přichází např. situace, kdy osoba, jíž byl certifikát vystaven, umožní použití tohoto certifikátu, tj. de facto uznávaného elektronického podpisu, jiné osobě). Takovou záruku však neposkytuje žádný typ elektronického podpisu.

Podle zákona č. 297/2016 Sb. je tento druh elektronického podpisu vyžadován pro podepisování elektronického dokumentu, kterým se právně jedná vůči veřejnoprávnímu podepisujícímu nebo jiné osobě v souvislosti s výkonem jejich působnosti. Pokud tedy občané chtějí učinit podání vůči veřejnoprávnímu subjektu elektronicky, přičemž nemají zřízenou datovou schránku, je nutné k platnosti použít minimálně tento druh elektronického podpisů (nebo „vyšší“).

Kvalifikovaný podpis

Jde o „nejvyšší“ formu elektronického podpisu. Nařízení eIDAS definuje tento typ jako zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy. Jedná se o nejsilnější formu elektronického podpisu, protože oproti uznávanému elektronickému podpisu je nezbytné při jeho vytvoření použít kvalifikovaný prostředek pro vytváření elektronických podpisů, který je na samostatném nosiči a nelze jej přenést jinam (např. USB token). Použití samostatného nosiče v tomto případě zastává funkci ověření totožnosti podepisující osoby, neboť bez fyzického držení nosiče nelze tento druh elektronického podpisu vytvořit. Nelze tedy tento elektronický podpis zneužít k odcizení identity podepisujícího bez toho, aby zároveň došlo k odcizení nosiče samotného. Podle zákona č. 297/2016 Sb. je tento typ podpisu vyžadován vždy u veřejnoprávních podepisujících. Tento zákon přitom stanoví pro tyto podepisující další požadavky, jako je povinnost použít kvalifikovanou elektronickou pečeť a kvalifikované elektronické razítko. Nicméně, ani v tomto případě nelze vyloučit případné zneužití tohoto elektronického podpisu, a proto ani tuto „nejvyšší“ úroveň elektronického podpisu nelze stavět na úroveň úředně ověřeného vlastnoručního podpisu.

Používání elektronického podpisu v České republice

V českém právním prostředí představuje zákon č. 297/2016 Sb. obecný právní předpis, co se týče úpravy elektronického podepisování. Tento zákon stanoví, jaký typ elektronického podpisu musí pro dokumenty použít každý, kdo jedná vůči orgánu veřejné moci a také jaký typ elektronického podpisu musí obligatorně používat veřejnoprávní podepisující. Je však nutné pamatovat, že se jedná o obecná pravidla, a pokud tedy jiný „speciální“ zákon v konkrétním případě stanoví mírnější požadavek, bude pro vyhovění platnosti právního jednání postačovat druh elektronického podpisu stanovený tímto zákonem (a naopak v případě, že speciální zákon stanoví přísnější pravidla). Např. zákon č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, v § 211 odst. 5 stanoví, že nejde-li o komunikaci uskutečňovanou prostřednictvím elektronického nástroje nebo datové schránky, musí být datová zpráva opatřena platným uznávaným elektronickým podpisem, pokud jde o:

• výzvu určenou účastníkům zadávacího řízení,
• oznámení o výběru dodavatele,
• rozhodnutí o nejvhodnějším návrhu v soutěži o návrh,
• vyloučení účastníka zadávacího řízení.

V tomto případě tedy postačí použití uznávaného elektronického podpisu i v případě, kdy bude zadavatelem veřejnoprávní subjekt, který má obecně povinnost při podepisování elektronickým podpisem používat kvalifikovaný elektronický podpis.

Zákon č. 297/2016 Sb. dále určuje v § 7, že k podepisování elektronickým podpisem lze použít zaručený elektronický podpis, uznávaný elektronický podpis, případně jiný typ elektronického podpisu, podepisuje-li se elektronický dokument, pokud nejde o veřejnoprávní subjekt, nebo jednání směrem k veřejnoprávnímu subjektu. Toto ustanovení tedy dává všem druhům elektronického podpisu účinky vlastnoručního podpisu. Jedná se přitom o rozšíření tohoto účinku oproti eIDAS, neboť toto nařízení stanoví, že pouze kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu. Je však nutno dodat, že pouze kvalifikovaný elektronický podpis má tu vlastnost, že musí být uznáván ve všech členských státech, jak vyplývá z eIDAS.

Pokud jde o používání elektronických podpisů mezi soukromoprávními subjekty, záleží vždy na nich, jaké požadavky si pro platnost zamýšleného právního jednání nastaví. Zákon v tomto případě minimální podmínky nevymezuje. Nedohodnou-li se strany jinak, k platnosti právního jednání v zásadě postačí připojit elektronický podpis „prostý“.

Závěr

Do budoucna stojí jistě za zvážení vytvoření druhu elektronického podpisu, který by měl účinky úředně ověřeného podpisu. Byť lze snadno definovat obtíže s tímto spojené, což může být důvodem, proč k tomuto kroku zatím nedošlo. Elektronický podpis bude ze své povahy vždy jen souborem elektronických dat přemisťujícím se nejčastěji prostředím internetu. Ať už by byl elektronický podpis vytvořen sebebezpečněji a podepisující by byli při jeho používání nanejvýš obezřetní, vždy existuje riziko, že někdo tento soubor elektronických dat na dálku v síti zachytí, zkopíruje a zneužije.

Osobní návštěva podepisujícího, ať už třeba na poště, u notáře nebo jinde (např. u advokáta, srov. prohlášení o pravosti podpisu), a následné klasické „fyzické“ ověření podpisu jinou osobou, představuje stále nejvyšší formu záruky, že právní jednání činí skutečně podepisující osoba a ze své vlastní vůle.