Stávající právní úprava elektronického podepisování nám pomalu stárne a lze
si tedy zcela oprávněně položit otázku, proč stále ještě plně nefunguje.
Jedním problémem je bezesporu aplikace souvisejících podzákonných právních
předpisů (prováděcí
vyhlášky a nařízení vlády),
která si z pochopitelných důvodů vyžádá ještě nějaký ten čas... Druhým pak
neexistence akreditované certifikační autority (slovy zákona poskytovatele
certifikačních služeb), tedy jakéhosi garanta důvěryhodnosti vyšších
(zaručených) forem elektronických podpisů.
Toto jsou problémy vcelku pochopitelné a provází v zásadě každou novou (a tím
více průřezovou) právní úpravu. Dle mého názoru je však pes zakopán někde úplně
jinde a to v kvalitě samotného zákona o elektronickém
podpisu (dále jen zákon).
Tento zákon totiž, nejenom že obsahuje řadu sporných ustanovení, která velmi
zdržovala práce na prováděcích předpisech (zejména pak na vyhlášce), ale
navíc se v něm objevuje stále více nedostatků, resp. nepříliš vyhovujících
ustanovení, která mohou v budoucnu vytvářet překážky jak v rámci e-commerce, tak
i e-government... V řadě dalších aspektů (užívání v oblasti orgánů veřejné moci)
pak elektronickou komunikaci téměř znemožňují. Dovolte mi zmínit několik - dle
mého soudu velmi závažných - takových chyb.
Největší problém tohoto zákona, aneb kde jsou hranice pojmu "oblast"? (§ 11 zákona)
Jednoznačně nejvíce kontroverzním ustanovením této úpravy je problematický § 11, který říká, že "v oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb". V tomto směru je třeba konstatovat, že je zde použit velmi neostrý pojem "oblast" orgánů veřejné moci a vzniká tedy otázka, zda je nutno používat tuto formu podpisu i tam, kde s takovým orgánem pouze komunikuje soukromý subjekt - fyzická osoba (např. v souvislosti s podáváním daňového přiznání). Vyjdeme-li přitom z obvykle uváděného výkladového vodítka přirovnávajícímu "orgán veřejné moci" k "výkonu této moci" (nejde totiž o statický pojem) nezbývá než konstatovat, že komunikace soukromých subjektů s orgánem veřejné moci není výkonem ani oblastí výkonu této moci a že tedy soukromá osoba podávající podání směrem k orgánu veřejné moci se nemusí (ale může) podepisovat způsobem uvedeným v § 11. Vzhledem k nejasnosti tohoto ustanovení, resp. tohoto pojmu je tedy třeba doporučit upřesnění uvedené formulace, případně vypuštění celého ustanovení. (k tomu více viz. můj článek v časopise Právník č.62000, Úprava elektronického podpisu v právním řádu ČR)
Nejasný přechod odpovědnosti za škodu (§ 5 zákona a násl.)
V souvislosti s odpovědnostními důsledky za porušení právní povinnosti ze strany podepisujících osob dle § 5, není například jasné kdy dochází k přechodu odpovědnosti za škodu. Zákon totiž v § 5 odst. 2 říká, že "za způsobenou škodu (porušením povinností dle odst. 1) odpovídá podepisující osoba podle zvláštních právních předpisů. Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn". Pro určení okamžiku přechodu odpovědnosti je tedy rozhodným okamžikem okamžik (pojem) zneplatnění certifikátu. Zákon však užívá tento pojem, jakož i řadu souvisejících pojmů (jako např. ukončení platnosti) velmi zmatečně a nelze tudíž jednoznačně určit o jaký okamžik vzhledem k časovému sledu jednotlivých úkonů (žádost o zneplatnění, ukončení platnosti, zveřejnění a aktualizace souvisejících seznamů) tedy jde. Vzhledem k požadavku právní jistoty a možným odpovědnostním důsledkům (které je třeba považovat v tomto směru za více než zásadní) této legislativní nepřesnosti je třeba přesněji vymezit okamžik zneplatnění, případně sjednotit zákonnou terminologii (pojem ukončení platnost nahradit pojmem zneplatnění, apod.) .
Užívání pseudonymu, aneb bude mít takový podpis vůbec právní účinky? (§ 12 odst. 1 písm. c) zákona)
Dalším (byť o poznání méně sporným) ustanovením je pak § 12 odst. 1 písm. c, které upravuje náležitosti kvalifikovaného certifikátu, přičemž umožňuje aby takový certifikát obsahoval pseudonym podepisující osoby s příslušným označením, že se jedná o pseudonym. Účinky právního úkonu učiněného prostřednictvím takovéhoto certifikátu, jsou však (vzhledem k určitosti takového úkonu a již existující judikatuře) značně nejisté.
Předkladatel "nemluvil" pravdu, aneb zákon má ke kompatibilitě s právem ES opravdu hodně daleko
Pouze okrajově je dále třeba konstatovat, že tento zákon, resp. řada jeho ustanovení (v rozporu s tvrzením v důvodové zprávě ) zůstává v řadě aspektů neslučitelným s právem Evropských společenství (zejména pak ustanovení § 2, §10, § 11 a § 16) . V tomto ohledu připravuji samostatný článek.
Elektronický podpis ani zdaleka nenahrazuje vlastnoruční podpis
Ačkoli to bylo patrně úmyslem zákonodárce nepodařilo se úpravou elektronického podpisu nahradit podpisy vlastnoruční za podpisy elektronické. Tam kde zákon jednoznačně předpokládá náležitost vlastnoručního podpisu , příp. notářsky či jinak úředně ověřeného podpisu, nelze použít podpis elektronický, a to ani včetně všech jeho vyšších forem. Toto jistě může v praxi činit určité problémy. Vzhledem k dosti sporné (a velmi individuální) problematice substituce podpisů elektronických za podpisy vlastnoruční, je však třeba zvážit možný dopad jednotlivých právních předpisů (viz. analýza dalších předpisů). Samotné srovnání podpisů vlastnoručních a elektronických je totiž velmi obtížně. Je sice nesporné, že ani grafologické expertízy nebývají příliš jednoznačné, avšak jak právní teorie, tak i praxe si s podobnými problémy poradit již umí. Základní problém zde představuje právě samotná podstata rozdílu mezi (zaručeným) elektronickým podpisem a podpisem vlastnoručním. Zatímco u vlastnoručního podpisu se vychází především z toho, že je výsledkem individuálního a relativně stálého písemného projevu člověka, u zaručeného podpisu jde pouze o schopnost provést nějaký úkon, která je vázána na dostupnost prostředku pro vytvoření takového podpisu. Z toho pak vyplývá samotná dokazatelnost, která je v případě zákona koncipována zcela odlišně. Z hlediska dokazování nebude ani tak sporná skutečnost, zda byl právní úkon učiněn osobou, v jejíž dispozici byl tento podpisový prostředek, ale především identifikace té pravé osoby, která tento úkon učinila. Zatímco v případě vlastnoručních podpisů je možno znalecky dokazovat skutečnost, že určitý podpis náleží určité osobě, v případě zaručeného elektronického podpisu toto však možné není. Zatímco u grafologických expertíz je osoba individuálně identifikovatelná asi od 13 let věku a pro určení pravosti podpisu by mělo postačovat 10 nesporně pravých podpisů u elektronických podpisů něco takového nikdy určit nelze. Zde znalec pouze potvrdí (připouštím však, že patrně s větší pravděpodobností), že určitá datová zpráva byla podepsána elektronicky prostřednictvím prostředků určité osoby. Znalec zde potvrzuje pouze skutečnost, že datová zpráva byla podepsaná prostřednictvím konkrétních prostředků a nikoli tedy skutečnost, že ji podepsala určitá konkrétní osoba. To jistě v praxi může činit některé potíže. Samotné vytvoření fikce substituce (zaručeného) elektronického podpisu za podpisy vlastnoruční, případně úředně či jinak ověřené, v tomto směru nepochybně jakkoliv doporučit nelze.
Co tedy říci závěrem
Zákon tedy nejenom, že zůstává nekompatibilní s právem ES (což opravdu může být z právního hlediska -méně pak již z praktického- až podružné), ale také obsahuje řadu dalších podstatně závažnějších nedostatku (viz. výše). Obávám se, že přijetím takovéhoto zákona vnesl náš zákonodárce do elektronické komunikace pouze více otazníků než jistot. Dle mého názoru jediným pozitivem tohoto zákona je diskuse, které se díky tomuto zákonu dostalo.
Zákon navíc obsahuje řadu dalších pochybení a to spíše informaticko-kryptologického rázu. O těch jsem zde raději nehovořil a mohu pouze slíbit, že budou předmětem dalšího (v současné době již připravovaného) článku.
Největším problémem kolem tohoto zákona ani tak není samotný (právně v mnohém chybný) normativní text, ale zejména do očí bijící neschopnost připustit si skutečnost, že zákon rozhodně není ideální a že je třeba jej tedy novelizovat. Velmi často slýchám, že zákon je sice špatný (ať již právně či jinak), ale že k jeho změně a případným doplněním zde již bohužel není politická vůle - toto mne opravdu štve (netřeba snad vysvětlovat proč).
Je to veliká škoda a to především pro samotný rozvoj elektronických podpisů v ČR.