V dnešním, v pořadí již šestém pokračování seriálu o návrhu zákona o „další elektronizaci postupů OVM“, zkratkou DEPO, začneme tím, co v něm bylo, ale nakonec z něj vypadlo: návrh, aby zprávy v datových schránkách fyzických osob (a také spolků) nemizely po 90 dnech, ale zůstávaly v nich dlouhodobě. Podpora datových schránek, metodou cukru a biče, tím asi definitivně zmutovala do podoby aplikovatelné i na diabetiky: žádný cukr a jen samý bič. Hlavně v podobě onoho automatického zřizování datových schránek „ex offo“, viz předchozí díly.
Další díly seriálu:
- Přijímání poštovních datových zpráv se už podnikatelé nevyhnou
- Senátoři chtějí odložit automatické zřizování datových schránek o rok
- Automaticky zřizovaným datovým schránkám se nevyhnou ani podnikatelé
- Automatické zřízení datové schránky pro informačně gramotné
- Místo zmocnění v zákoně bude stačit jen zápis v registru
Dnes si ale řekneme i o dalších změnách, které se do výsledné podoby návrhu již dostaly. Konkrétně o návrzích na:
- změny u autorizované konverze (jde hlavně o obsah doložky a sjednocení evidence konverzí)
- zavedení nové fikce podpisu (pro úkony realizované elektronicky v rámci informačních systémů veřejné správy)
- upřesnění toho, jak se mají elektronicky podepisovat „veřejnoprávní podepisující“
- omezení u legalizace elektronických podpisů: možné bude už jen uznání existujícího podpisu za vlastní, nikoli podepsání přímo před ověřující osobou
- rozšíření možnosti legalizace el. podpisů, přesněji „prohlášení o pravosti podpisu“: budou jej moci vydávat i advokáti a jejich koncipienti
Mazání datových zpráv po 90 dnech
Jeden z dílčích návrhů, které byly v některé fázi projednávání návrhu DEPO po určitou dobu „na stole“, se týkal i způsobu mazání datových zpráv. Připomeňme si, že dnes je maže systém sám, a to po 90 dnech (od okamžiku přihlášení uživatele oprávněného číst zprávu, nebo po 3 letech, pokud se nikdo nepřihlásil). Z pohledu uživatele to znamená, že on sám nemá možnost smazat zprávu dříve (ani když sám usoudí, že ji ve schránce nepotřebuje). A naopak, pokud by zprávu potřeboval uchovávat ve své datové schránce déle, je pro něj jedinou možnosti placená komerční služba České pošty s názvem Datový trezor. Nebo si své zprávy může uchovávat offline, ve vlastní režii.
Poslanci chtěli tento stav změnit již při přípravě dnešního zákona č. 12/2020 Sb., o právu na digitální služby – a to tak, že ve (všech) datových schránkách zřizovaných na žádost by zprávy zůstávaly bez časového omezení (a bezplatně). Nicméně tento návrh neprošel. Možná i proto, že byl „odložen“ do následného zákona DEPO.
V návrhu zákona DEPO se obdobný návrh skutečně objevil znovu. Nikoli ještě ve vládním návrhu zákona, ale v obou komplexních pozměňovacích návrzích od sněmovních výborů (prvním i druhém). A s určitou změnou oproti předchozímu návrhu (v rámci příprav zákona o digitálních službách): dlouhodobé uchovávání se nyní mělo týkat jen datových schránek spolků a dále schránek zřízených na žádost fyzických osob:
V § 20 odst. 4 věta první zní: „Ministerstvo zajistí uložení dodané datové zprávy v datové schránce spolku a v datové schránce zřízené na žádost fyzické osoby bez omezení a v jiných datových schránkách po minimální dobu.“
Zdůrazněme si, vzhledem ke skutečnostem diskutovaným v předchozích dílech tohoto seriálu, že takto formulovaný návrh by nepokrýval datové schránky zřizované automaticky („ex offo“) při prvním použití elektronické identifikace (přihlášení „přes NIA“). A to proto, že nepůjde o schránky zřizované na žádost (podrobněji).
No, tipuji, že takovéto vyloučení schránek ex offo nebylo úmyslem (ale spíše nedomyšleností). Nicméně je to jedno, protože celý návrh jako takový neprošel a nedostal se do výsledného sněmovního návrhu odeslaného do Senátu.
Jak funguje archiv na Portálu občana?
Důvody, proč tento dílčí návrh neprošel, mohou souviset s tím, že možnost dlouhodobějšího uložení datových zpráv mají uživatelé na Portálu občana, kde je aktuálně inzerována dostupná kapacita 1 GB. Je ale dobré mít na paměti, že – na rozdíl od placeného datového trezoru – je tento zdarma poskytovaný archiv na Portálu občana „best effort“ službou, poskytovanou bez záruky. Nemůžete se tedy úplně spoléhat na to, že zprávy v archivu budou kdykoli později stále dostupné. Například v mém konkrétním případě jsou čtyři nejstarší položky (uložené v roce 2018, nedlouho po spuštění portálu) dnes již nedostupné.
A když už jsme u tohoto archivu v rámci Portálu občana: je dobré vědět, jak vlastně funguje. Vedle „ruční“ archivace (až na žádost uživatele) nabízí také možnost automatické archivace všech zpráv, tj. bez zásahu uživatele. To ale má ten praktický důsledek, že jakmile nějaká nová datová zpráva dorazí do vaší datové schránky (je do ní dodána), portál ji „převezme“, aby ji mohl uložit do archivu – čímž ale způsobí její okamžité doručení. Pozor na to.
Stejně tak je dobré vědět, že archiv na Portálu občana se nestará o zajištění digitální kontinuity uložených zpráv a funguje jako souborové úložiště, které nijak nemění ukládaný obsah. S tím souvisí to, že k připojení elektronické pečeti a (výstupního) časového razítka na datovou zprávu dochází k okamžiku jejího stahování z datové schránky (při jejím ukládání do archivu v rámci Portálu občana). Takže pokud si necháte v tomto archivu nějakou datovou zprávu X let a poté si ji stáhnete, bude na ní pečeť a (výstupní) časové razítko z doby před X lety. Nikoli aktuální pečeť a aktuální časové razítko.
Pro srovnání: placený datový trezor, integrovaný přímo v datových schránkách, se o digitální kontinuitu zpráv také nijak nestará. Ale na rozdíl od archivu na Portálu ani nemůže: v době, kdy je datová zpráva v datovém trezoru, ještě nemá ani elektronickou pečeť, ani (výstupní) časové razítko. Tyto prvky se ke zprávě přidávají až v okamžiku jejího stahování z datové schránky (ať je, či není v trezoru), takže jde o „aktuální“ pečeť a razítko.
Vše je přitom důsledkem toho, že datový trezor je integrován přímo do datových schránek, zatímco Portál občana se vůči nim chová jako (kterákoli jiná) externí aplikace. Dobře vidět je to na tom, že když propojujete svou datovou schránku se svým účtem na Portálu občana, musíte udělit svůj souhlas s tím, aby se portál přihlašoval (jako externí aplikace) k vaší datové schránce. A jelikož se přihlašuje jako aplikace, má přístup ke všem zprávám, včetně těch do vlastních rukou.
Při každém takovém přihlášení pak Portál způsobí doručení všech zpráv, dodaných do vaší datové schránky. Dochází k tomu pokaždé, když se vy sami přihlásíte k Portálu (aby vám mohl zobrazit obsah vaší datové schránky), nebo automaticky každých několik málo hodin (bez jakékoli vaší aktivity), máte-li zapnuté notifikace od Portálu či automatickou archivaci zpráv (podrobněji). Takže pozor na to.
Změny u autorizované konverze
S datovými schránkami souvisí i některé další změny, které návrh DEPO připravuje pro autorizovanou konverzi podle zákona č. 300/2008 Sb.
Například v požadavcích na obsah doložky autorizované konverze mají přibýt dva nové body, pamatující na dvě specifické situace. Jedna z nich se týká něčeho, co už dlouho na CzechPOINTech funguje – když ke konverzi do listinné podoby přinesete „dokument, obsažený v datové zprávě“ (jak zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi, označuje to, čemu se jinak běžně říká elektronický dokument). Ale nikoli přímo tento dokument, nýbrž rovnou celou datovou zprávu, ve které je tento dokument (třeba i spolu s dalšími dokumenty) obsažen a která byla skutečně přenesena skrz systém ISDS (z jedné datové schránky do jiné datové schránky). Může to být nezbytné, protože kdybyste stejný dokument přinesli samotný, CzechPOINT by mohl odmítnout jeho konverzi – například tehdy, pokud je dokument nepodepsaný. Ale pokud jej přinesete „zabalený“ ve skutečné datové zprávě, CzechPOINT se může spokojit s podpisem (ve skutečnosti: pečetí) na datové zprávě a nepodepsaný dokument zkonvertuje. Podle mé interpretace příslušných ustanovení zákona č. 300/2008 Sb., zejména § 24 odst. 4 písm. g) zákona č. 300/2008 Sb., včetně příslušné poznámky pod čarou, by to dělat neměl, ale to by bylo na jinou (a delší) diskusi.
Podstatné je, že požadavky kladené zákonem na doložku autorizované konverze dosud nepamatovaly na případ, kdy je vstupní dokument („dokument obsažený v datové zprávě“) u konverze do listinné podoby takto skutečně obsažen ve (skutečné) datové zprávě. A tak návrh DEPO přidává nový bod, týkající se této situace a požadující, aby doložka obsahovala také údaje o samotné datové zprávě:
… údaj o tom, zda vstupem byl dokument obsažený v datové zprávě odeslané z datové schránky, a údaje o jejím odeslání z datové schránky umožňující alespoň identifikaci datové zprávy, datové schránky odesílatele a datové schránky adresáta a datum a čas dodání datové zprávy do datové schránky adresáta…
Druhou situací, na kterou má obsah doložky nově pamatovat, je autorizovaná konverze výstupu z legalizace elektronických podpisů. Ta bude aktuální až v příštím roce a dnes ještě není známo, jaké konkrétní technické řešení bude pro legalizaci zvoleno (například jaký druh kontejneru bude použit pro „nedílné spojení“ dokumentu a jedné či více legalizačních doložek). Nicméně DEPO už přichází s poněkud „neurčitým“ požadavkem, který je motivován právě legalizací a požaduje, aby doložka obsahovala:
… údaj o tom, zda integrita vstupu byla zajištěna jiným způsobem než podle § 24 odst. 1 písm. b), a byl-li při zajištění integrity vstupu užit způsob založený na certifikátu, identifikaci tohoto způsobu alespoň v rozsahu identifikačního čísla certifikátu, údajů identifikujících vydavatele certifikátu a údajů identifikujících osobu, pro kterou byl certifikát vydán, lze-li tyto skutečnosti ze vstupu zjistit“
Dále by se v doložce (autorizované konverze do listinné podoby) měl nově objevovat i „název datového souboru, v němž je obsažen vstup“. Ani to v ní dosud nebylo. Opravena má být také nejednoznačnost s počtem listů u konverze z listinné do elektronické podoby: místo o počtu listů, který nevypovídá nic o tisku jen z jedné strany či oboustranně, má být nově uváděn počet stran.
Ještě další změna se týká evidence provedených autorizovaných konverzí, které mohou (podle zákona č. 300/2008 Sb.) provádět nejenom kontaktní místa veřejné správy, ale třeba také advokáti, notáři či exekutoři. Dnes přitom drtivá většina konverzí probíhá prostřednictvím CzechPOINTu, který zajišťuje jejich centrální evidenci (včetně přidělování jednoznačných identifikátorů a zajišťování centrálního úložiště doložek). Nicméně zákon to dosud takto („centralizovaně“) nepředepisuje a připouští, aby si subjekty vedly svou vlastní („decentralizovanou“) evidenci.
Nově, resp. podle návrhu zákona DEPO, už tomu tak být nemá – a evidence konverzí, i přidělování identifikátorů (pořadových čísel) jednotlivým konverzím, již budou povinně centralizované, v režii samotného Ministerstva vnitra. Reálně by to mělo znamenat povinné použití CzechPOINTu místo možnosti mít vlastní řešení.
A hlavně: z pohledu uživatelů, kteří dostanou do ruky nějaký autorizovaně konvertovaný dokument, to přinese možnost obrátit se na jedno místo (veřejně dostupné „centrální úložiště ověřovacích doložek“) a zde si ověřit autenticitu každé provedené konverze. Dosud zde nutně nemusela být každá doložka.
Nová fikce podpisu
Další novinkou, se kterou návrh DEPO přichází, je rozšíření tzv. fikce podpisu. Ta vychází z ustanovení § 18 odst. 2 zákona č. 300/2008 Sb. a týká se pouze právních úkonů činěných vůči orgánům veřejné moci skrze datové schránky. Zjednodušeně: umožňuje, aby odesílaný dokument (obsahující onen „úkon“) nemusel být elektronicky podepsaný. Návrh zákona DEPO chce tento koncept přenést i mimo datové schránky. Vlastně rozšířit jej na úkony, činěné skrze všechny informační systémy veřejné správy.
Myšlenka je taková, že když se (jako fyzická osoba) do nějakého informačního systému veřejné správy přihlásíte a zde provedete nějaký právní úkon (například napíšete a odešlete nějaký požadavek, nebo svůj požadavek vyjádříte vložením nějakého již předem připraveného elektronického dokumentu, případně když projevíte svůj souhlas s nějakým jiným obsahem apod.), má být tento úkon „považován za podepsaný“, obdobně jako u datových schránek.
Ocitujme si text, který má být „vsunut“ jako nový paragraf do zákona č. 365/2000 Sb., o informačních systémech veřejné správy:
Účinky podpisu
§ 8
Úkon, jehož náležitostí má být podpis toho, kdo jej činí, učiněný prostřednictvím informačního systému veřejné správy se považuje za podepsaný, umožňuje-li informační systém veřejné správy prokázání totožnosti toho, kdo úkon činí, s využitím elektronické identifikace, autorizaci úkonu tím, kdo úkon činí, a zpětné prokázání projevu vůle toho, kdo úkon činí.“.
Trochu si to rozeberme: stejně jako u datových schránek se zde hovoří o „podepsání“. Výsledek by tedy měl odpovídat úrovni podpisu ve smyslu podpisu bez přívlastku (resp. vlastnoručnímu), a nikoli úrovni úředně ověřeného podpisu.
Zásadním rozdílem oproti fikci podpisu v datových schránkách je ale možnost hledání odpovědi na to, komu by takovýto „fiktivní“ podpis měl patřit. Čí podpis by to měl být. Resp. kdo by měl být považován za podepsanou osobu. Zde, v případě nově navrhovaného ustanovení, by to snad mohlo být jednoduché a nesporné – měl by to být (fiktivní) podpis té osoby, která se přihlásila.
To u datových schránek je to mnohem složitější a bylo kolem toho mnoho nejasností a sporů – kvůli tomu, že v praxi mnohdy jediným „záchytným bodem“ je konkrétní datová schránka, ze které bylo odesláno. Nicméně uživatelů, kteří mohli odesílat, může být více (protože to mohou být obecně všechny oprávněné osoby a také ty pověřené osoby či administrátoři, které mají zaškrtnutý příznak umožňující „technické“ odesílání datových zpráv).
Otázka tedy zněla tak, zda zkoumat, kdo odeslal nějakou konkrétní nepodepsanou datovou zprávu (na kterou se má uplatnit fikce podpisu), aby to byl podpis této osoby, nebo zda si nekomplikovat život nějakým zkoumáním a fiktivní podpis „přišít“ někomu, kdo je snadno identifikovatelný ve vztahu k příslušné datové schránce (nejlépe: její držitel).
Nakonec zřejmě převážilo to, že systém datových schránek si konkrétní identitu odesílající osoby nechává pro sebe – a tak judikatura rozhodla, že právní výklad fikce podpisu v datových schránkách se uzpůsobí tomu, jak systém ISDS funguje. Tedy že na skutečném odesilateli nemá záležet a podpis vzniklý fikcí se „přišije“ buď držiteli datové schránky (v případě datových schránek nepodnikajících a podnikajících fyzických osob), nebo někomu (komukoli) z těch, kteří mají právo jednat za držitele (v případě datových schránek právnických osob). Podrobněji.
V čem může být problém?
Nicméně stejně jako u datových schránek bude i u této fikce stále řada otevřených otázek, či přímo problémů. Například: navrhované ustanovení nezmiňuje žádné „zachycení obsahu“ příslušného úkonu. Zjednodušeně: nemluví o nějakém jeho sepsání (přičemž podpis je náležitostí především u písemné formy úkonu). No, asi se takovýto požadavek dá odvodit jako nezbytný z jiných požadavků (třeba na prokázání vůle).
Nicméně, a to je stejné jako u fikce podpisu v rámci datových schránek: co když takovéto „zachycení“ opustí ten informační systém, ve kterém k úkonu došlo a který ví, že fikce na něj může být aplikována? U datových schránek je to otázka toho, co se stane, když vyjmete příslušný dokument z datové zprávy, ve které byl přenesen, a chcete s ním pracovat dále. Třeba jej postoupit nějakému jinému orgánu veřejné moci apod. Jakým způsobem se „zachová“ informace o podepsání skrze fikci podpisu? To je dosud nevyřešený problém, který se v praxi obchází alespoň předáváním celého „nosiče“ (celé datové zprávy).
Jak se to ale bude řešit zde, pro nově navrhované ustanovení? Co když „zachycení úkonu“ (představujme si nějaký elektronický dokument) bude nutné použít někde mimo příslušný („zdrojový“) informační systém, kde k aplikaci fikce došlo?
Bude se to řešit „aktuálně“, připojením nějakého druhu doložky (se kterou ale navrhovaná právní úprava nepočítá)? Nebo přes „osvědčení digitálního úkonu“, se kterými počítá § 5 zákona č. 12/2020, o právu na digitální služby? Nebo jen nějak „potenciálně“, v případě sporu, přes požadovanou schopnost („zdrojového“) informačního systému prokázat totožnost toho, kdo úkon činí, i jeho autorizaci a projev vůle? Nejspíše tedy povoláním soudního znalce, který bude zkoumat fungování příslušného informačního systému, jeho záznamy (logy) atd.
To jiný problém může proti tomu působit jako úplná banalita: navrhované ustanovení neříká, do jaké míry si má být příslušný informační systém jist identitou toho, jehož podpis má skrze fikci s úkonem spojit. Jak dobře ho má znát, resp. být si jist, že je to skutečně příslušná osoba. Chybí totiž jakýkoli požadavek na úroveň záruky při přihlašování (skrze elektronickou identifikaci). Takže by mělo být v zásadě jedno, zda se uživatel přihlašuje s úrovní záruky „nízká“ (třeba jen jménem a heslem), nebo s úrovní „značná“ či „vysoká“. Ale pravdou je, že u datových schránek je to od začátku stejné – i zde se lze přihlašovat tím nejméně bezpečným způsobem, jen pomocí jména a (opakovaně použitelného) hesla, přičemž fikce podpisu si způsobu přihlášení vůbec nevšímá. A může být aplikována na právní úkony zcela zásadního významu a dopadu, které s nízkou mírou spolehlivostí identifikace a autentizace (při přihlašování) vůbec nekorespondují.
Úkony vs. právní jednání
U právě popsaného návrhu nové fikce je důležité, že se týká pouze úkonů, a nikoli právního jednání. I to má svůj význam. Proto nejprve trocha právnické osvěty: pojem „právní jednání“ se správně týká jednání mezi fyzickými a právnickými osobami. Orgánů veřejné moci se může týkat také, ale jen tehdy, pokud tyto právě nevykonávají svou veřejnou působnost (například když jako zákazníci nakupují nějaké zboží apod.). Jinými slovy a zjednodušeně jde pouze o soukromoprávní „právní jednání“ v rámci soukromoprávních vztahů.
Naproti tomu pojem „úkon“, resp. „právní úkon“, by se (od 1. 1. 2014, s účinností nového občanského zákoníku) měl týkat jen situace, kdy na jedné straně je orgán veřejné moci (případně fyzická či právnická osoba, která právě vykonává veřejnoprávní působnost). Takže „právní úkon“ je například podání fyzické či právnické osoby vůči orgánu veřejné moci, třeba soudu (tady konkrétně jde o procesněprávní úkon účastníka). Stejně tak je ale „právním úkonem“ například rozhodnutí orgánu veřejné moci (např. rozsudek soudu), které se týká fyzické či právnické osoby a je jí následně doručován (zde také jde o procesněprávní úkon, konkrétně o individuální právní akt).
Výše popisovaný návrh s novou fikcí podpisu, hovořící o „úkonu“, by se i z tohoto pohledu měl týkat jen fyzických osob (když kvůli prokazování totožnosti by zde neměly připadat v úvahu právnické osoby jako takové). A to jen ve vztahu k orgánům veřejné moci, například pro podání vůči soudům či úřadům apod. Neměl by se týkat právního jednání, a tím ani soukromoprávních vztahů (mezi fyzickými či právnickými osobami navzájem, či orgánem veřejné moci, který právě nevykonává svou působnost).
Po této malé exkurzi do oblasti práva si již můžeme snáze popsat smysl další, na první pohled poněkud „podezřelé“ změny, kterou DEPO navrhuje provést v zákoně č. 297/2016 Sb., o službách vytvářejících důvěru (a u které opět chybí odůvodnění). Zřejmě by se ale mělo jednat jen o „vyčištění“ právní terminologie, než o nějakou skutečnou změnu toho, jak se má elektronicky podepisovat či pečetit.
Konkrétně § 5 tohoto zákona dnes (v písmenu a) řeší to, jak se má podepisovat tzv. „veřejnoprávní podepisující“ (zjednodušeně: orgán veřejné moci), a (v písmenu b) pak to, jak se má podepisovat někdo jiný (fyzická či právnická osoba, např. notář či exekutor), pokud právě vykonává veřejnoprávní působnost. A říká, že musí používat kvalifikované elektronické podpisy. Neboli, jinými slovy: že nestačí „zaručené elektronické podpisy, založené na kvalifikovaném certifikátu“. Ještě jinak: tito podepisující musí mít svůj soukromý klíč bezpečně uložený na certifikované čipové kartě či tokenu (tzv. kvalifikovaném prostředku pro elektronické podepisování).
Jistý problém je v tom, že „veřejnoprávní podepisující“ (ve skutečnosti jeho oprávněný zaměstnanec) se může podepisovat jak v rámci veřejnoprávních vztahů (kdy jde o úkon), tak v rámci soukromoprávních vztahů (kdy i u něj jde o právní jednání). Dosavadní znění §5 přitom pro obě situace používá pojem „právní jednání“, který by ale správně měl odpovídat jen jednání v rámci soukromoprávních vztahů. Je to tedy určitá terminologická nepřesnost, která navíc otevírá prostor pro praktickou otázku toho, zda veřejnoprávní podepisující musí používat kvalifikované elektronické podpisy i tam, kde jednají v rámci soukromoprávních vztahů (a ne v rámci své veřejnoprávní působnosti).
Na tuto otázku chtěl odpovědět pozměňovací návrh poslance Ondřeje Profanta, který chtěl říci „ne“. Nicméně neprošel a místo něj prošel jiný návrh, který fakticky říká „ano“. A to tak, že terminologii zmíněného § 5 uvádí na pravou míru: v případě „veřejnoprávních podepisujících“ přikazuje používat kvalifikované elektronické podpisy jak v případě „činění úkonů“ (tj. v rámci veřejnoprávních vztahů), tak i v případě „právního jednání“ (tj. v rámci soukromoprávních vztahů). A u ostatních subjektů (např. notářů, exekutorů atd.) jen v případě „činění úkonů“ (tedy jen v rámci veřejnoprávních vztahů).
K obdobným úpravám (změnám mezi „úkony“ a „právním jednáním“) by podle návrhu DEPO mělo dojít i u ostatních paragrafů, které se týkají podepisování, pečetění a připojování časových razítek (§ 6 až § 11).
Na místě jen uznání za vlastní
Další změny, se kterými přichází návrh zákona DEPO, se vlastně také týkají elektronického podepisování. Konkrétně nového institutu legalizace elektronických podpisů, který je již zakotven v § 6 zákona č. 12/2020 Sb., o právu na digitální služby, a také v zákoně č. 21/2006 Sb., o ověřování – ale na svou účinnost teprve čeká (do 1. 2. 2022).
Osobně si o samotné potřebě a vhodnosti legalizace elektronických podpisů myslím své – že bychom ji vůbec neměli zavádět. Že velmi složitě a nákladně řešíme problém, který jinde nemají (když místo hledání různých náhražek raději podporují informační gramotnost širší populace a chtějí, aby se lidé řádně elektronicky podepisovali sami). Ale když už byl u nás tento institut protlačen do zákona, je třeba jej naplnit.
Návrh zákona DEPO tak přichází s řadou dílčích „dodělávek“, na které se zapomnělo – jako třeba možnost, aby prováděcí právní předpis (vyhláška) stanovil, jak se má legalizace provádět u podpisů na elektronických dokumentech, včetně způsobu připojení ověřovací doložky. Mimochodem, to se ukazuje jako pěkně zapeklitý problém, který nemá žádné jednoduché řešení. I když to z pohledu zákona vypadá jako úplná trivialita.
Nicméně aby se alespoň trochu ulehčilo praktickému naplnění celého konceptu legalizace elektronických podpisů, přichází návrh DEPO i s jednou zásadnější změnou charakteru omezení, která se týká „prezenčního“ způsobu legalizace elektronických podpisů. Tedy situace, když s elektronickým dokumentem jdete (osobně) za ověřující osobou, která má legalizaci provést.
Dosud se předpokládalo, že to bude fungovat úplně stejně jako u legalizace vlastnoručních podpisů na listinných dokumentech: že je buďto podepíšete přímo před ověřující osobou, nebo že již existující podpis na dokumentu uznáte před ověřující osobou za vlastní.
První varianta v elektronickém provedení, tedy podepsání přímo před ověřující osobou, je ale problematická hned z několika důvodů, od praktických po bezpečnostní – a tak se od ní má nově upustit. Zůstala by tak pouze možnost uznat již existující elektronický podpis za vlastní. V tomto smyslu chce návrh DEPO aktualizovat příslušná ustanovení zákona o ověřování: že u listinných dokumentů je možné jak jejich vlastnoruční podepsání před ověřující osobou, tak i uznání již existujícího podpisu za vlastní – zatímco u elektronických dokumentů je možné jen uznání již existujícího elektronického podpisu za vlastní:
(1) Legalizací se ověřuje, že žadatel před ověřující osobou
a) listinu vlastnoručně podepsal nebo podpis na listině uznal za vlastní, nebo
b) elektronický podpis na dokumentu v elektronické podobě uznal za vlastní.
Nicméně ani toto omezení (jen na „uznání za vlastní“) by nemělo úplně bránit dodatečnému podepsání nějakého dokumentu, na kterém třeba již jsou nějaké legalizované elektronické podpisy. Jen by se muselo jednat o externí elektronický podpis, který by dodatečně podepisující osoba musela předem vhodně doručit ověřující osobě.
Ještě další navrhovanou změnou je pak ta, že z obecních úřadů mají legalizaci podpisů na dokumentech v elektronické podobě vykonávat jen ty, které jsou kontaktními místy veřejné správy.
Legalizovat elektronické podpisy budou moci i advokáti
Na druhu stranu návrh zákona DEPO elektronickou legalizaci dále významně rozšiřuje tím, že dává možnost ji provádět i advokátům. Již s tím, že může jít jen o uznání za vlastní, a nikoli o podepsání přímo před advokátem. Formálně ale půjde ze strany advokáta o prohlášení („prohlášení o pravosti podpisu“), které by i v případě elektronického podpisu (uznávaného za vlastní) také mělo nahrazovat úředně ověřený podpis.
Až dosud mohli takovéto prohlášení vydávat advokáti jen k vlastnoručním podpisům na listinných dokumentech, podle § 25a zákona č. 85/1996 Sb., o advokacii. Nově mají mít možnost tak činit i pro elektronické podpisy:
(1) Prohlášením o pravosti podpisu (dále jen „prohlášení“) advokát prohlašuje, že jednající osoba dokument před ním vlastnoručně podepsala nebo elektronický podpis na dokumentu uznala za vlastní. Prohlášení se provádí na žádost jednající osoby a má stejné účinky jako úřední ověření podpisu.
(2) Prohlášení musí být vyhotoveno na listině nebo na listu pevně s ní spojeném. Jde-li o elektronický podpis, prohlášení se vyhotoví v elektronické podobě a s elektronicky podepsaným dokumentem se spojí tak, aby nedošlo k porušení integrity dokumentu, na němž je elektronický podpis jednající osoby.
Nově navrhovaná úprava připouští dokonce i to, aby legalizaci místo advokáta prováděl jeho koncipient. Dosud to u vlastnoručních podpisů šlo také, ale byl zde požadavek na to, aby takový koncipient měl alespoň dva roky praxe. To nyní už požadováno není.
Striktně vzato ale nově navrhovaná právní úprava není prakticky použitelná, protože vznáší požadavek, jehož splnění není reálné očekávat snad od žádného advokáta: chce se totiž, aby prohlášení (o pravosti elektronického podpisu) bylo opatřeno kvalifikovaným elektronickým podpisem advokáta (což není problém splnit), ale také „jeho kvalifikovaným elektronickým časovým razítkem“. A to už je velký problém: mít „vlastní“ a současně „kvalifikované“ elektronické časové razítko by vyžadovalo, aby advokát byl současně sám i kvalifikovaným poskytovatelem služeb vytvářejících důvěru, a to konkrétně v souvislosti se službou vydávání kvalifikovaných časových razítek.
Samozřejmě jde o další chybičku, která se do návrhu vloudila. Nejspíše kvůli nepochopení toho, k čemu elektronická časová razítka slouží i jak fungují (trochu jinak než klasická „gumová“ razítka), a bude nutné to překlenout vhodným výkladem, nebo další novelou.