Minimum pro zacházení s elektronickými dokumenty: Vytváření dlouhodobých dokumentů
Vítejte ve třetím pokračování seriálu. Jedná se o sadu krátkých článků, které mají srozumitelně vysvětlit všechno, co právníci potřebují k tomu, aby jejich práce s elektronickými dokumenty byla korektní a prostá všech rizik a zároveň, aby advokáti nebyli rukojmími dodavatelů počítačových programů. K tomu potřebují alespoň základní porozumění klíčovým principům.
 |
Proč to bez časového razítka nejde
Nesmíme ale zapomenout na časové razítko. Jedná se o komponentu důvěryhodného elektronického dokumentu, která umožní prokázat:
- že během doby od připojení časového razítka nebyla provedena žádná změna,
- kdy bylo časové razítko připojeno.
To může být podstatné třeba pro rozhodnutí, zda byl dokument podepsán v době, kdy podepisující ještě měl potřebnou pravomoc. Ale řeší také jednu nepříjemnou vlastnost elektronického podpisu, a to tu, že podpisový certifikát může být zneplatněn. Zneplatnění může proběhnout třeba tak, že osoba, která připojila podpis, zatelefonuje do certifikační autority a požádá o zneplatnění certifikátu. V řádu minut nebo hodin bude číslo certifikátu uvedeno na tzv. CRL (seznam zneplatněných certifikátů). A pokud není k podpisu připojeno i časové razítko, nebude možné už nikdy jednoznačně rozhodnout, zda byl podpis připojen před zneplatněním certifikátu nebo až po něm. Stává se neověřitelným, není možné rozlišit, zda je dokument pravý nebo nikoliv. Aby nepříjemností nebylo málo, elektronický podpisový certifikát má omezenou časovou platnost a ověřitelnost. Tato ověřitelnost je zpravidla jeden rok od data vydání certifikátu, nikoliv vytvoření podpisu (v krajním případě je tedy představitelné vypršení ještě týž den, kdy byl podpis připojen).
Časové razítko je tudíž povinnou součástí důvěryhodného dokumentu s elektronickým podpisem. A podobně jako je tomu u elektronického podpisu, existuje nepřeberně mnoho způsobů, jak časové razítko připojit k dokumentu. Je proto zapotřebí, aby zvolený způsob přesně odpovídal specifikacím relevantní normy. A opět - stejně jako u elektronického podpisu - není razítko jako razítko. Je třeba dbát na to, aby se jednalo o kvalifikovaná časová razítka poskytovaná kvalifikovanou certifikační autoritou (to jsme blíže objasnili v minulém dílu).
Dlouhodobý nebo krátkodobý dokument?
Při vytváření elektronických dokumentů je zapotřebí rozlišovat dlouhodobé a krátkodobé dokumenty. Pokud si je advokát jist, že dokument nebude potřebovat déle než po dobu pěti let, stačí připojit zaručený elektronický podpis a kvalifikované časové razítko. Vedle toho pochopitelně potřebujete mít jistotu, že váš počítačový program detailně dodržuje normy.
Takové krátkodobé dokumenty mají jediný problém. Po letech bude velmi obtížné udělat z nich dlouhodobé dokumenty. Dlouhodobé dokumenty totiž musí obstát v mnohem delším časovém úseku, a během dlouhé doby se může stát ledacos. Může zaniknout certifikační autorita, která měla dosvědčit totožnost původce. Může dojít k zásadní technologické změně. Může se stát, že šifra, která dnes působí naprosto bezpečně, bude přece jen prolomena. Proto existuje speciální způsob zpracování dokumentu, který s těmito riziky počítá a čelí jim.
Důvěřuj, ale prověřuj. I počítačový program
Z hlediska uživatele to může znamenat, že klikne na tlačítko „vytvoř dlouhodobý dokument.“ Jeho počítačový program se spojí s kvalifikovanou certifikační autoritou, získá od ní údaje, které mohou být v budoucnu potřebné pro ověření pravosti dokumentu, připojí je k dokumentu a přidá podpis a časové razítko. Způsob, jakým to má být provedeno, popisuje detailně norma. Pro PDF dokumenty je to PAdES LTV.
Doporučujeme držet se stejné zásady, jakou jsme doporučovali již dříve. Využívejte automatizovaný nástroj, ale nespoléhejte na počítačový program bez výhrad. Nejlépe je čas od času využít nějakou službu, která vám potvrdí, že zpracování vašich dokumentů skutečně odpovídá PAdES LTV.
U dlouhodobých dokumentů ale můžeme narazit na ještě jeden problém. Pokud si chcete počítačový program pro jejich vytváření nastavit sami, zjistíte, že je to dost obtížné. Nechat si řešení programovat je zase drahé, o speciálních hardwarových archivech nemluvě. Vhodnou cestou může být použití produktu typu Long-Term Docs, který můžete snadno využívat ze svého zařízení, nebo instalovat do svého systému a který vše automatizuje. Právě produkt Long-Term Docs má ještě jednu výhodu. Využívá stejnou technologii jako Czech POINT a datové schránky, a tudíž jakou používá celá česká veřejná správa k ověřování dokumentů. Lepší míru souladu s požadavky už asi nejde zajistit ani teoreticky.
|
Podnikový právník a dlouhodobé dokumenty Otázka, jak uchovat prokazatelnou autenticitu dokumentů po dlouhou dobu, se občas stává předmětem sporů ve firmách. IT útvary totiž někdy mívají tendenci chápat archivaci jako čistě technologickou záležitost a pokrýt ji nákupem zařízení, jehož dodavatel tvrdí, že je „v souladu s předpisy“, aniž by blíže vysvětloval, o soulad s jakými předpisy se jedná. Jenže IT manažer ani jeho dodavatel nebudou tím, kdo by hodnověrnost dokumentu hájil při důkazním řízení. Je tedy na podnikovém právníkovi, aby ohlídal, že bude nejen nasazeno správné technologické řešení, ale že je správně ošetřen každý jednotlivý dokument. K soudu či kontrole totiž ponesete právě ten jednotlivý dokument, nikoliv informační systém. |
Martin Vondrouš
Software602
Tel.: (+420) 222 011 602
e-mail: vondrous@602.cz
------------------------------------------
[*] Advokátovo minimum pro zacházení s elektronickými dokumenty: Správné vytváření, k dispozici >>> zde.
[**] Minimum pro zacházení s elektronickými dokumenty: Podruhé o správném vytváření elektronických dokumentů, k dispozici >>> zde.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
