Druhý díl článku o porovnání naší a slovenské úpravy zákona o elektronickém podpisu
V minulém dílu jsme se zaměřili na odlišnosti českého a slovenského zákona v jejich působnosti a v definicích základních pojmů. O důsledcích subjektivní působnosti slovenského zákona se v tomto dílu již zmiňovat nebudem. Vrátíme se ale k rozdílům českého a slovenského zákona v pojímání "běžných" a zaručených elektronických podpisů, protože tyto rozdíly mají zásadní důsledky a také se zaměříme na prokazatelnost času vytvoření elektronického podpisu.
Česká a slovenská právní úprava zaručeného (advanced [1]) elektronického podpisu ve smyslu Směrnice 1999/93/ES se zásadně liší. Slovenský zákon spojuje zaručený elektronický podpis s kvalifikovaným certifikátem. Pouze elektronický podpis založený na kvalifikovaném certifikátu může být označený jako zaručený. Oprávnění vydávat kvalifikované certifikáty má pouze akreditovaný poskytovatel. Jak tato situace odráží požadavky Směrnice 1999/93/ES?
Směrnice neomezuje vydávání kvalifikovaných certifikátů pouze na akreditované poskytovatele. Dobrovolné akreditační systémy mají mít úlohu pouze zajištění vyšší úrovně poskytovaných služeb v rámci vybraných agend, nikoli roli jediných poskytovatelů kvalifikovaných certifikačních služeb (viz preambule a článek 3 Směrnice). Směrnice sice vyžaduje, aby kvalifikované elektronické podpisy [1], [2], [3] bylo možné z právního hlediska považovat za rovnocenné vlastnoručním podpisům za předpokladu, že jsou naplněny požadavky na vlastnoruční podpisy. Zároveň ale požaduje, aby státy nebránily poskytovatelům působit mimo rámec akreditačních schémat a aby tyto neomezovaly soutěž v oblasti certifikačních služeb. Pokud tedy zákony umožňují vytváření právně rovnocenných elektronických podpisů pouze na základě služeb akreditovaných poskytovatelů (tedy na základě určité formy licence), dostávají se do rozporu s požadavky Směrnice [1].
Na druhé straně od zaručeného elektronického podpisu stojí podle slovenského zákona "běžný" elektronický podpis. Ten může podle § 3 odst. 1 sloužit jen jako prostředek ověření integrity dokumentu. Mezi těmito instituty je prázdné místo, zákon jinou formu elektronického podpisu nedefinuje a novelizované zákony (občanský zákoník, správní řád aj.) připouští jen zaručený elektronický podpis. Ač se taková úprava může zdát dosti diskriminující vůči běžným certifikačním autoritám (na základě jejich služeb je možné vytvářet jen běžné elektronické podpisy, které neslouží jako prostředek autentizace podepisující osoby podle tohoto zákona - viz minulý díl), slovenský zákon se vyhýbá nedostatkům českého zákona při implementaci článku 5.2 Směrnice [1].
Český občanský zákoník v § 40 odst. 3 říká, že je-li právní úkon učiněn elektronickými prostředky, může být podepsán elektronicky podle zvláštních předpisů. Těmito předpisy se rozumí zákon č. 227/2000 Sb., o elektronickém podpisu, protože v našem právním řádu je jediným zákonem, který upravuje náležitosti používání elektronického podpisu. Ten v § 3, který je nazván "Soulad s požadavky na podpis" říká, že datová zpráva je podepsána, pokud je opatřena elektronickým podpisem. Pojem elektronický podpis je definován tamtéž v § 2 písm. a), kde se definuje, že elektronický podpis jsou údaje v elektronické podobě, které jsou připojené nebo jinak logicky spojené s datovou zprávou a umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě. Elektronickým podpisem tedy mohou být i iniciály v textu e-mailové zprávy [4]. Podle mého názoru tedy je možné argumentovat, že právní úkon je podle českého občanského zákoníku možné platně elektronicky podepsat i připojením jména podepisující osoby za text datové zprávy. Příčinou tohoto názoru, který doufám vyvrátí příslušné judikáty či lépe novela zákona, je patrně snaha zákonodárce o přisouzení určité váhy elektronickým podpisům, které nejsou kvalifikovanými podpisy.
Jak vidíme, ani český, ani slovenský zákon o elektronickém podpisu nezachází s pojmy elektronický podpis a zaručený elektronický podpis v souladu s požadavky Směrnice. Slovenský zákon podle mého názoru omezuje trh certifikačních služeb na akreditované certifikační autority, protože pouze jejich kvalifikované certifikáty budou použitelné v souladu s platnými předpisy a degraduje úlohu běžných certifikačních autorit, kterým pouze ukládá nové povinnosti. Český zákon o elektronickém podpisu (mimo jiné) vzbuzuje teoretické pochybnosti o adekvátní formě elektronického podpisu pro zachování písemné formy právního úkonu.
Slovenský zákon upravuje i platnost zaručeného elektronického podpisu. Odvozuje ji i od prokazatelnosti doby jeho vytvoření, resp. od prokazatelnosti toho, že příslušný kvalifikovaný certifikát byl v době jeho vytvoření platný. Přesnou dobu platnosti certifikátu je jednoduché určit z intervalu platnosti certifikátu a případně z okamžiku zneplatnění certifikátu - zveřejnění CRL. Obtížnější může být určení okamžiku vytvoření podpisu. Jakým způsobem má být čas jeho vytvoření určen již zákon přímo nestanoví . Zákon zároveň neimplikuje neplatnost podpisu, pokud by tato doba nebyla prokazatelná. Při výkladu prokazatelnosti času vytvoření podpisu bychom se mohli opřít o vyhlášky slovenského Národního bezpečnostního úřadu, který byl zmocněn k provedení některých ustanovení zákona o elektronickém podpisu. Návrhy těchto vyhlášek je již možné najít na internetu na následující adrese http://www.nbusr.sk/index.php?menu=11 [5]. Vyhláška o vytvoření a ověření elektronického podpisu a časového razítka rozlišuje čtyři formy zaručeného elektronického podpisu, přičemž jeho tři vyšší formy jsou spojeny s časovým razítkem. V těchto případech je určení přesného okamžiku vytvoření podpisu jednoznačné, protože časové razítko, při splnění určitých zásad, je dobrým důkazem existence "orazítkovaných" dat před časem v něm uvedeným [6]. V případě zaručeného elektronického podpisu bez časového razítka bude záviset výše zmíněná prokazatelnost podle § 4 odst. 2 slovenského zákona buď na soudu (při řešení případného sporu) nebo na dohodě zúčastněných stran. Tato koncepce tedy umožňuje legální používání zaručeného elektronického podpisu jak s časovým razítkem, tak bez něj. To bezesporu patří k přednostem slovenského zákona před českým zákonem o elektronickém podpisu, který se určením času vytvoření podpisu vůbec nezabývá.
Český zákon a slovenský zákon o elektronickém podpisu se liší v mnoha dalších ohledech, které již nepovažuji za tolik zásadní. Jistě by bylo možné diskutovat o opodstatněnosti úpravy práv a povinností registračních autorit, o rozdílech v provádění dozoru a ukládání pokut, o nekonzistentní terminologii českého zákona apod., ale tyto diference jsou ve srovnání s výše uvedenými již marginální.
Na závěr bych si dovolil malou poznámku k důvodové zprávě ke slovenskému zákonu. Nejen v ní, ale i v mnoha dalších publikacích [např. 6] se uvádí, že přijetím zákona o elektronickém podpisu, případně přijetím prováděcích předpisů k tomuto zákonu, se "zrovnoprávňuje" elektronický podpis s vlastnoručním podpisem. Takovou domněnku je třeba apriori odmítnout. Slovenský zákon ani žádný jiný evropský zákon o elektronickém podpisu toto neprovádí a Směrnice o elektronickém podpisu [1] to také nevyžaduje. Zásadním požadavkem Směrnice je, aby kvalifikované elektronické podpisy splňovaly právní požadavky na podpis ve vztahu k datům v elektronické podobě stejně, jako vlastnoruční podpisy splňují tyto požadavky ve vztahu k datům na papíře. Co to vlastně znamená? Tam, kde právní předpis umožňuje činit právní úkony i v elektronické podobě, kvalifikovaný podpis má mít stejné právní účinky (předpoklad platnosti právního úkonu).
Z tohoto požadavku nevyplývá, že kvalifikovaný podpis má být rovnoprávným substitutem vlastnoručního podpisu, jako náležitost písemné formy právního úkonu. Právní řády členských států, ale i náš právní řád, vyžadují pro různé oblasti práva různou formu a různé podmínky právního úkonu. A tak i kvalifikovaný elektronický podpis lze platně použít pouze tam, kde to zákon připouští.
Pokud tedy občanský zákoník stanoví, že "vlastnoruční závěť musí být vlastní rukou napsaná a podepsaná, jinak je neplatná", nic vám nepomůže elektronický podpis. Kde se tedy můžeme platně elektronicky podepisovat? Všude tam, kde to právní předpis dovoluje (respektive neimplikuje neplatnost nedodržením písemné formy). Jsou to tedy takové úkony, které činíme podle § 34 až 51 občanského zákoníku (např. spotřebitelské smlouvy, kupní smlouvy, ale i smlouvy o dílo apod.). Dále je možné platně elektronicky učinit podání podle správního řádu, zákona o správě daní a poplatků, občanského soudního řádu či trestního řádu.
Poznámky:
[1] |
Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures http://www.volny.cz/honzahobza/Directive.pdf |
[2] |
Policy requirement for certification authorities issuing qualified certificates TS 101 456 |
[3] |
CWA 14167-1 Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures
|
[4] |
MATEJKA, Ján. Úprava elektronického podpisu v právním řádu ČR. Právník 5/2001
|
[5] |
Vyhlášky v době psaní tohoto textu ještě nebyly vydány ve slovenské sbírce zákonu, ale prošly již mezirezortním připomínkovým řízením a jsou dostupné na adrese: http://www.nbusr.sk/index.php?menu=11
|
[6] |
ŘEZNÍČEK, Ladislav. Rovnoprávnost. EURO, 1/2002. Též http://www.epodpisy.cz/index.php?template=rs.html&id=136
|
|