Dne 23. 7. 2014 bylo vydáno nařízení o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu, známějši pod zkratkou „nařízení eIDAS“ (electronic Identification and Services), které je – s určitými výjimkami – účinné od 1. 7. 2016. Zaměřuje se na více aspektů budování důvěryhodnosti v online prostředí. Jeho hlavním mottem je zajištění interoperability na bázi kvalifikovaných služeb vytvářejících důvěru vykazujících srovnatelnou úroveň bezpečnosti a odpovědnosti v rámci EU.
Jde o dokument, který odstraňuje řadu nepřesností vyplývajících v oblasti elektronického podpisu ze směrnice 1999/93 a jejích národních implementací, které nebyly vždy konzistentní, a to ani vůči směrnici, ani mezi sebou. Nařízení elDAS se snaží integrovat vše, co nějakým způsobem souvisí s elektronickou identifikací a autentizací. Za tímto účelem vystavělo poměrně složitou strukturu nástrojů o různých úrovních co do požadavků na ně kladených. Je ovšem s podivem, že pod heslem „budování důvěryhodnosti“ nařízení elDAS ponechává možnost používání pseudonymů v certifikátech, když poněkud licoměrně říká, že
„Ustanovení o používání pseudonymů v certifikátech by neměla členským státům bránit v tom, aby vyžadovaly identifikaci osob podle práva Unie nebo podle vnitrostátního práva.“
Co se týká elektronických podpisů, uvádí se zde, že
„… nařízení by mělo zavést zásadu, že elektronickému podpisu by neměly být upírány právní účinky na základě skutečnosti, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikovaný elektronický podpis. Ačkoliv k zajištění vzájemného uznávání elektronických podpisů je zapotřebí vysoká úroveň bezpečnosti, měly by být ve zvláštních případech, například v kontextu rozhodnutí Komise 2009/767/ES 10, přijímány rovněž elektronické podpisy s nižší zárukou bezpečnosti. Právní účinky elektronických podpisů v členských státech by však měly být vymezeny vnitrostátním právem, s výjimkou požadavků stanovených v tomto nařízení, podle něhož by měl mít kvalifikovaný elektronický podpis rovnocenný právní účinek jako podpis vlastnoruční.“
Nařízení elDAS – na rozdíl od směrnice 1999/93 – kodifikuje také to, co již známe z českého zákona o elektronickém podpisu: elektronické značky a časová razítka. Zavádí elektronickou pečeť a elektronické časové razítko.
Čl. 46 nařízení elDAS proklamuje něco, co je např. u nás tvrzeno různým způsobem již přes 20 let, tj. že
„Elektronickému dokumentu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu.“
Je otázkou, zda je toto dnes ještě třeba uvádět, protože za posledních 20 let diskuse, zpočátku značně bouřlivá, o uznávání tzv. elektronických důkazů v podstatě utichla a všeobecně se nepochybuje o možnosti použít k dokazování i elektronické stopy.
V našich podmínkách pak lze poukázat na dikci § 3026 odst. 1 ObčZ, podle kterého
„Nevylučuje-li to povaha písemnosti, platí ustanovení tohoto zákona o listině obdobně i pro jinou písemnost bez zřetele na její podobu.“
Stejně tak lze zmínit i relevantní ustanovení procesních předpisů o dokazování. V procesních předpisech není forma důkazu omezována. Lze odkázat na dikci § 125 OSŘ a nález ÚS, podle kterého
„V českém právním systému neplatí tzv. zákonná teorie průvodní, vyžadující, aby určitá skutečnost byla prokázána právě jen určitým druhem důkazu. Naopak podle § 125 OSŘ platí obecná zásada, že ‚za důkaz mohou sloužit všechny prostředky, jimiž lze zjistit stav věci‘.“
Podobně lze odkázat i na § 89 odst. 2 TrŘ, § 51 odst. 1 SpŘ, § 49 odst. 1 zákona č. 182/1993 Sb., o Ústavním soudu, atd. Na druhou stranu text čl. 46 nařízení elDAS ničemu nezaškodí; jeho smysl může spočívat ve snaze unifikovat právní úpravy dokazování napříč členskými státy.
V rámci nově formulovaných definic v nařízení elDAS dochází k celé řadě změn, mnohé z nich mají pouze formální či upřesňující charakter, je však i nemálo těch, které jsou zásadní. Následující tabulka porovnává definice podle zákona o elektronickém podpisu a nařízení eIDAS (podstatné odlišnosti jsou uvedeny kurzívou).
Pojem | Podle dosavadního zákona o elektronickém podpisu | Podle nařízení eIDAS |
podepisující osoba | fyzická osoba, která je držitelem prostředku pro vytváření elektronických podpisů a jedná jménem svým nebo jménem jiné fyzické či právnické osoby | fyzická osoba, která vytváří elektronický podpis |
elektronický podpis | údaje v elektronické podobě, které jsou připojeny k datové zprávě nebo jsou s ní logicky spojeny akteré slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě | data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání |
zaručený elektronický podpis | elektronický podpis, který splňuje následující požadavky: 1. | je jednoznačně spojen s podepisující osobou, | 2. | umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, | 3. | byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, | 4. | je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat |
| zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy |
kvalifikovaný elektronický podpis | není výslovně definován, nicméně je opisován frází „použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu“ – viz § 3 ElPod | elektronický podpis, který splňuje požadavky stanovené v čl. 26: a) | je jednoznačně spojen s podepisující osobou; | b) | umožňuje identifikaci podepisující osoby; | c) | je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou; a | d) | je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat |
|
certifikát pro elektronický podpis | datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování elektronických podpisů s podepisující osobou a umožňuje ověřit její identitu, nebo spojuje data pro ověřování s označující osobou a umožňuje ověřit její identitu | elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby |
data pro vytváření elektronických podpisů | jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu | jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu |
kvalifikovaný certifikát pro elektronický podpis | certifikát, který má náležitosti podle § 12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb Podle § 12: (1) | Kvalifikovaný certifikát musí obsahovat a) | označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, | b) | v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný poskytovatel usazen, | c) | jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym, | d) | zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného certifikátu, | e) | data pro ověřování podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby, | f) | elektronickou značku poskytovatele certifikačních služeb založenou na kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný certifikát vydává, | g) | číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních služeb, | h) | počátek a konec platnosti kvalifikovaného certifikátu, | i) | případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití, | j) | případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít. |
| (2) | Omezení pro použití kvalifikovaného certifikátu podle odstavce 1 písm. i) a j) musí být zjevná třetím stranám. | (3) | Další osobní údaje smí kvalifikovaný certifikát obsahovat jen se svolením podepisující osoby. |
| certifikát pro elektronický podpis, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze I: Kvalifikované certifikáty pro elektronické podpisy obsahují a) | označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronický podpis; | b) | soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty, včetně alespoň členského státu, v němž je poskytovatel usazen, a – | -v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech, | – | -v případě fyzické osoby: jméno osoby; |
| c) | alespoň jméno podepisující osoby nebo pseudonym. Je‐li použit pseudonym, musí být tato skutečnost jasně vyznačena; | d) | data pro ověřování platnosti elektronických podpisů, která odpovídají datům pro vytváření elektronických podpisů; | e) | označení začátku a konce doby platnosti certifikátu; | f) | identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru; | g) | zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává; | h) | údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g); | i) | údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu; | j) | pokud jsou data pro vytváření elektronických podpisů spojená s daty pro ověřování platnosti elektronických podpisů obsažena v kvalifikovaném prostředku pro vytváření elektronických podpisů, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování. |
|
data pro ověřování platnosti | daty pro ověřování elektronických podpisů serozumí jedinečná data, která se používají proověření elektronického podpisu,daty pro ověřování elektronických značek serozumí jedinečná data, která se používají proověření elektronických značek | data, která se používají k ověření platnosti elektronickéhopodpisu nebo elektronické pečeti |
Nařízení eIDAS činí zásadní posun oproti dřívější definici podpisu, když říká, že elektronický podpis jsou
„data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání“.
Nehovoří se již o následné možnosti ověření pravosti podpisu či identity osoby pomocí dat nazvaných „elektronický podpis“, jak vyplývá z definice podle dřívější právní úpravy zákona o elektronickém podpisu a směrnice 1999/93, a k níž dojít ve skutečnosti může, ale také nemusí. Podle nařízení elDAS je nyní jednoznačně položeno rovnítko mezi elektronický podpis a data, „která podepisující osoba používá k podepsání“, což je rozhodně pozitivní změna a nařízení eIDAS tímto uvedlo na pravou míru předchozí nevhodnou definici elektronického podpisu dle směrnice 1999/93. Tím totiž nyní dochází k chápání podpisu podle jeho primární funkce, tj. jako doložení skutečnosti, že určitá osoba projevila svoji vůli, případně že se v určitou dobu nacházela na určitém místě, popř. že stvrzuje platnost určitého dokumentu.
Někdy se objevují námitky především ze strany „ajťáků“, kteří doposud nevnímali jiný druh elektronických podpisů než kryptografických, že „elektronický podpis je výsledek aplikace algoritmu na nějaké datové položky“, někdy dokonce, že je funkcí samou, nikoliv daty. Není tomu tak, protože elektronický podpis podle nařízení elDAS, ale i podle elementární logiky je podpis daty, která podepisující osoba používá k podepsání, bez ohledu na to, zda na ně byl či nebyl aplikován nějaký algoritmus, a už vůbec není podpis funkcí samotnou.
Pokud podepisující osoba používá k podepsání elektronickým podpisem data dle bodu 13 čl. 3 nařízení elDAS, podle kterého
„daty pro vytváření elektronických podpisů jsou jedinečná data, která podepisující osoba používá k vytváření elektronických podpisů“,
pak při použití metody asymetrické kryptografie je těmito daty tajný (soukromý) klíč. U DBP jsou data dvojího druhu: „obrázek“ podpisu a současně biometrická data vypovídající o tom, jak podpis vznikl, resp. jaké má parametry.
Pokud tedy má mít osoba nějaká data (elektronická), jež může použít k podepsání, znamená to, že elektronickým podpisem jsou jakákoliv data v elektronické podobě, která jsou schopna být
„připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena“.
Čili vlastně cokoliv, co můžeme zdigitalizovat. Elektronickým podpisem (prostým) podle nařízení elDAS je tedy PIN, heslo, fráze, obrázek atd., tedy jakýkoliv digitální záznam, který má podobu nul a jedniček a který připojíme k podepisovanému dokumentu. Lze si ale představit i zvukovou nebo audiovizuální nahrávku či jinou formu podpisu.