3/2.3 PRÁVNÍ ÚPRAVA ELEKTRONICKÉHO PODPISU

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.1, str. 1 3/2.3 PRÁVNÍ ÚPRAVA ELEKTRONICKÉHO PODPISU 3/2.3.1 ÚVOD A HISTORIE ELEKTRONICKÉHO PODPISU 1 Je zcela zřejmé, že v současné době dochází k patrně nejrozsáhlejšímu rozkvětu informačních technologií v historii naší společnosti. Užívání mobilních telefonů, počítačů a internetu a řady dalších elektronických prvků se stalo během několika posledních let běžnou součástí našeho života. Tyto prvky navíc stále více zasahují prakticky do všech odvětví lidské činnosti, společenské vztahy vznikající při obchodu, v každodenním životě i námezdní práci a vztahy s tím související Úvod 1 Obsah této kapitoly byl již publikován v řadě periodických publikací, a to se zaměřením na konkrétní oblast právních vztahů, zejména pak následujících: Matejka, J., Úprava elektronického podpisu v právním řádu ČR, Právník, 5/2001, s. 582-611; Matejka, J., K využití elektronického podpisu v pracovněprávních vztazích, Právo a zaměstnání, 5/2001, s. 5-11; Matejka, J., Vybrané právní překážky elektronického obchodu, Parlamentní zpravodaj, 3/2002, s. 12-13; Matejka, J., Chum, V., Obecnost neznamená nejednoznačnost, aneb ještě malá poznámka k některým nedostatkům zákona o elektronickém podpisu před jeho novelizací, Bulletin advokacie 1/2003, s. 73-79

část 3, díl 2, kap. 3.1, str. 2 BEZPEČNÁ POČÍTAČOVÁ SÍŤ nevyjímaje. Za jednu takovou novinku je třeba považovat i nově se rozmáhající užívání elektronických podpisů namísto již tradičních (mechanicky učiněných či vlastnoručních) podpisů. Stávající právní úprava umožňuje, a to bez ohledu na nepříliš velkou čestnost, užívat elektronické podpisy v celé řadě právních vztahů, a to napříč právem veřejným (typicky správním), tak i soukromým (pracovním, občanským, apod.). Je třeba říci, že Česká republika patřila k jedné z prvních zemí na světě 2, která formou zvláštního zákona přijala právní úpravu elektronického podepisování, je však otázkou, zda toto prvenství lze vůbec v podmínkách právního prostředí ČR považovat za prospěšné. Není jistě jen zajímavou náhodou, že zákon o elektronickém podpisu byl, resp. bude od konce roku 2000 (kdy nabyl účinnosti) změněn přesně tolikrát, kolik let existoval (nemluvě o změnách a derogacích dalších souvisejících předpisů). Zákon o elektronickém podpisu bohužel již od svého vzniku reprezentoval spíše tu skupinu právních předpisů, která byla přijímaná s heslem Podstatné není, jak kvalitní je přijatý právní předpis, ale v jak krátké době a s kolika posbíranými politickými body je přijímán. Zákonodárce si totiž není vždy vědom toho, že právní norma je dále studována, vykládána a ve svém důsledku pak zejména aplikována v každodenní praxi (ať již úřední, soudní, advokátní či jiné). 3 Nejinak tomu bylo i případě zákona o elektronickém podpisu. 2 V tomto ohledu dokonce cca o jeden měsíc v některých aspektech předběhla i USA. 3 V zásadě jakýkoliv, byť sebemenší formulační nedostatek právní normy pak má za následek, že se jím tato praxe zatěžuje, vyvolává četné spory o výklad, zbytečné polemiky a porady o skutečném obsahu právního předpisu či jeho jednotlivých právních norem.

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.1, str. 3 Právě těmito novými problémy souvisejícími s elektronickým podepisováním se bude zabývat i následující část této publikace, která se zaměří zejména na problematiku elektronického podpisu jako nástroje pro bezpečnou komunikaci uvnitř počítačových sítí. Historicky vzato, lze za samotné počátky či základy podepisování, resp. přesněji identifikace účastníků považovat existenci erbů, která ačkoliv nenabízela účastníkům závaznost při právních úkonech, erby pomáhaly k identifikaci účastníka při běžných úkonech 4. Postupně, zvláště během 15. století, se erb stal podkladem pro vyobrazení na pečetích. Pečetě čerpaly z heraldiky natolik, že mezi nimi běžný člověk těžko rozlišoval 5. Již ve starém Rakousku bylo rovněž alternativou podpisu u osob nemohoucích se podepsat tzv. znamení ruky. Jednalo se o jeden či tři křížky nebo otisk palce (což bylo hodnoceno jako bezpečnější než podpis 6 ) za účasti svědků či notáře. Za velmi zajímavou podobnost s elektronickým podepisováním, stejně jako s historicky zajímavým erbem či pečetí, lze považovat japonské vyjádření podpisu. Japonský podpis totiž není ve skutečnosti napsán rukou, ale projeven pomocí mechanických prostředků. Každý Japonec vlastní tzv. hanko, což je razítko, kterým jsou stvrzovány písemné úkony. Historie elektronického podpisu 4 Erbovní znamení se malovala na štíty a jiné části zbroje urozených rytířů a jejich čeledi, avšak stejně velký význam jim náležel při užívání na pečetích. Českým šlechticům 13. století přišla tato výsada nahrazující podpis obzvláště vhod, protože jak byli zběhlí v zacházení se zbraní, a dokonce i ve společenském chování, tak číst a psát uměli jen zřídka. K tomu více Janáček J., Louda J. - České erby, Albatros, Praha, 1988, s. 7 5 Krejčík, T. - Pečeť v kultuře středověku, Ostravská univerzita v Ostravě, 1998, s. 119 6 Rouček F., Sedláček J. - Komentář k československému obecnému zákoníku občanskému, IV. díl, reprint původního vydání, Codex, Praha, 1998, s. 207

část 3, díl 2, kap. 3.1, str. 4 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Tato japonské tradice sahá až k počátku 17. století. Hanko se používají dva druhy podle závažnosti daného úkonu. Pro přebírání doporučené pošty či např. uzavření smlouvy o běžném účtu stačí běžné hanko. Pro zcizování automobilu či zatěžování nemovitosti je třeba mít formální hanko (tzv. inkan). Co se našeho území týče, není tomu tak dávno, kdy bylo možno užívat elektronický podpis v soukromoprávních vztazích pouze na základě úpravy obsažené v občanském zákoníku. 7 Tehdejší právní úprava byla především z pohledu soukromoprávního vcelku vyhovující a plně tak respektovala zásadu smluvní svobody. Jako nepříliš vyhovující se však zdála být ne zcela jasná a ucelená úprava elektronické komunikace se státními úřady v oblasti práva veřejného. Zejména z těchto důvodů došlo k legislativní iniciativě Společnosti pro informační společnost (dále jen SPIS) 8, která nakonec vyústila v přijetí zákona o elektronickém podpisu. Jedním z prvních signálů otevírajícím prostor pro přípravu tohoto zákona byl dokument nazvaný Státní informační politika - cesta k informační společnosti, ve kterém bylo mimo jiné konstatováno, že pro rozvoj informační společnosti v České republice chybí legislativní zázemí, které by se zabývalo oblastí elektronického obchodu, elektronického podpisu a používání dokumentů v elektronické podobě. Hlavním cí- 7 2 odst. 3 občanského zákoníku stanoví: Účastníci občanskoprávních vztahů si mohou vzájemná práva a povinnosti upravit dohodou odchylně od zákona, jestliže to zákon výslovně nezakazuje a jestliže z povahy ustanovení zákona nevyplývá, že se od něj nelze odchýlit. 8 Sdružení SPIS je profesním sdružením 45 firem z oblasti ICT (informačních a komunikačních technologií), jehož cílem je prosazování informační společnosti. K tomu více na www.spis.cz

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.1, str. 5 lem tohoto dokumentu je poskytnout subjektům, které chtějí elektronickou formu styků ve svých vztazích sokolním prostředím využívat, jistotu, že se již jedná o dostatečně bezpečnou, prakticky i formálně akceptovanou formu jednání. Jedním z prioritních úkolů je zde uzákonit elektronický podpis (tedy spolehlivě potvrdit identitu uživatele, který provádí jakoukoli transakci prostřednictvím telekomunikační sítě) a dát dokumentům v elektronické podobě stejnou právní váhu jako dokumentům klasickým. 9 Při samotné tvorbě tohoto zákona se pak vycházelo znávrhu vzorového zákona UNCITRAL 10 o elektronickém obchodu (dále jen modelový zákon UN- CITRAL 11 ), na jehož základě byl vytvořen první návrh tohoto zákona, předložený Poslanecké sněmovně ČR ke schválení v listopadu 1999, který byl však pro nesystematické zpracování, vnitřní rozpory a řadu dalších odborných chyb vrácen k přepracování 12. V prosinci 1999 byla přijata směrnice Evropské Unie pro elektronický podpis 13 (dále jen Směrnice). Krátce po tomto přijetí došlo ke shodě zástupců Úřadu pro státní UNCITRAL 9 Tento dokument přijala Vláda ČR usnesením vlády č. 525 ze dne 31. května 1999. K tomu více na http://www.vlada.cz/cgi-bin/usnredir.il2.cgi?8206 10 Komise OSN pro mezinárodní obchodní právo (United Nations Commission on International Trade Law) je od roku 1966 Valným shromážděním OSN pověřena harmonizací a unifikací této oblasti práva. V tomto směru také zaujímá nejdůležitější postavení mezi ostatními mezinárodními organizacemi a orgány, které vyvíjejí obdobné aktivity. 11 Modelový zákon (UNCITRAL model law on electronic commerce) byl přijat dne 16. prosince 1996 rezolucí Valného shromáždění OSN pod číslem 51/162. Jde však o návrh velmi obecný, který má sloužit všem zemím, jež v souladu s technologickým pokrokem potřebují modernizovat svoji legislativu. Z tohoto pohledu obsahuje také řadu kompromisů, které se stále častěji ukazují jako nevyhovující pro úpravu v zemích ES. 12 K tomu více související zpráva ČTK, která cituje mluvčího vlády a kterou převzala většina médií. 13 Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures - Official Journal L 013, 19/01/2000 p. 0012-0020

část 3, díl 2, kap. 3.1, str. 6 BEZPEČNÁ POČÍTAČOVÁ SÍŤ informační systém 14 a SPIS na dalším společném postupu při prosazování přijetí zákona o elektronickém podpisu. Právě z tohoto postupu pak vycházel další (druhý) návrh zákona o elektronickém podpisu, který byl v červenci 2000 pod číslem 227/2000 Sb. přijat Parlamentem ČR. Dnešní zákon tedy vychází především jak z výše uvedené Směrnice, tak i z modelového zákona UNCITRAL. Stejně jako obě tyto normy reagoval i tento zákon na stále častější úpravy této problematiky ve světě. 15 Prvním dnem měsíce října minulého roku se stal tedy účinným zákon č. 227/2000 Sb. o elektronickém podpisu a o změně některých dalších zákonů (dále jen ZoEP), čímž Česká republika zároveň v této oblasti harmonizovala svoji legislativu s legislativou ES. ZoEP ve své původní podobě pamatoval i na příslušné změny souvisejících právních norem, jako jsou občanský zákoník, zákon o správě daní a poplatků, správní řád, občanský soudní řád a na změnu trestního řádu. De lege ferenda si však nelze odpustit poznámku, že na změny řady dalších, a to neméně souvisejících předpisů, však bohužel již nepamatoval. Na stejném základě je i častý výskyt gramatických a typografických chyb nacházejících se v této normě. V tomto směru lze očekávat řadu dalších dílčích novelizací. 14 Na základě 11 odst. 1, 2, 3 zákona č. 365/2000 Sb. o informačních systémech veřejné správy a o změně některých dalších zákonů byl dne 23. 10. 2000 ÚSIS zrušen. Dosavadní působnost, jakož i práva a povinnosti z pracovněprávních a jiných vztahů ÚSIS, přechází na Úřad pro veřejné informační systémy. 15 Vůbec první norma související s úpravou elektronického podpisu byla přijata v roce 1995 (Utah, Digital Signature Act). Dále pak jde zejména o německý zákon o digitálním podpisu z roku 1997, ale i o úpravu v dalších zemích (Velká Britanie, Itálie apod.)

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.1, str. 7 Podstatným prvkem této normy je existence orgánu, který vykonává dozor nad dodržováním povinností stanovených tímto zákonem. Podle dřívějších verzí zákona měl být tento dohled vykonáván samostatným Úřadem pro elektronické podpisy. Zákonodárce však nakonec svěřil příslušné kompetence a povinnosti Úřadu pro ochranu osobních údajů (dále jen Úřad). S účinností ode dne 1. ledna 2003 pak přešla veškerá působnost na Ministerstvo informatiky České republiky (později pak na Ministerstvo vnitra, dále jen Ministerstvo), a to zákonem č. 517/2002 Sb. ze dne 14. listopadu 2002, kterým se provádějí některá opatření v soustavě ústředních orgánů státní správy a mění některé zákony. Postavení Úřadu upravil nejprve zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. 16 ZoEP však tuto normu novelizoval, čímž stanovil výše zmíněný dohled a řadu dalších povinností. Problematika ochrany osobních údajů, jakkoli blízká problematice osobních podpisů, se ale posléze ukázala jako velmi rozdílná, a Úřadu se nepodařilo rychle se vyrovnat se dvěma dosti odlišnými úkoly. I to ostatně bylo jednou z příčin přechodu působnosti v oblasti elektronického podpisu na Ministerstvo. 16 V souvislosti se zřízením tohoto Úřadu je však také třeba zmínit usnesení vlády č. 642 z 21. 6. 2000, které specifikuje potřebné kroky k zahájení činnosti tohoto úřadu. K tomu více na http://www.vlada.cz/cgibin/sqwf1250.cgi/sqw/usnvlad/usntext.sqw? CID=10046

část 3, díl 2, kap. 3.1, str. 8 BEZPEČNÁ POČÍTAČOVÁ SÍŤ

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.2, str. 1 3/2.3.2 OBECNÝ VÝZNAM (ELEKTRONICKÉHO) PODPISU V PRÁVNÍCH VZTAZÍCH Podpis představuje velmi významnou součást veškerých právních úkonů činěných v právních vztazích. Samotný normativní význam podpisu vyplývá především ze skutečnosti, že podpis jednající osoby je předpokladem platnosti písemných právních úkonů ( 40 odst. 3 občanského zákoníku 17 ). Tato úprava pak tvoří jakýsi normativní základ významu podpisu v platné právní úpravě, představuje tak určité vodítko a základ pro jiné právní oblasti, zejména pak pro právo pracovní a obchodní. V tomto smyslu podpis navenek osvědčuje určitý akt, typicky pak právní úkon (např. uzavření smlouvy, potvrzení o doručení apod.). Písemná forma právního Význam podpisu 17 Občanský zákoník č. 40/1964 Sb., v platném znění (dále jen občanský zákoník)

část 3, díl 2, kap. 3.2, str. 2 BEZPEČNÁ POČÍTAČOVÁ SÍŤ jednání tak tedy kromě jiných obecných náležitostí 18 vyžaduje, aby byl příslušný projev vůle zachycen na médiu, které má právní povahu listiny, a dále pak aby byl tento projev vůle podepsán. Uvedené však platí zejména pro vztahy soukromoprávní (vymezené zejména občanským zákoníkem), o poznání jiný režim je pak dán např. režimem zákoníku práce, který obsahuje relativně zvláštní právní úpravu, nicméně tato úprava je zákonem výslovně umožněna. Na rozdíl od občanského zákoníku stanoví zákon č. 262/2006 Sb., zákoník práce, v platném znění, v ustanovení 334 a násl. doručování v pracovněprávních vztazích, přičemž vychází z principu, že prostřednictvím sítě nebo služby elektronických komunikací může zaměstnavatel písemnost doručit výlučně tehdy, jestliže zaměstnanec s tímto způsobem doručování vyslovil písemný souhlas a poskytl zaměstnavateli elektronickou adresu pro doručování, tato písemnost doručovaná prostřednictvím sítě nebo služby elektronických komunikací musí být podepsána elektronickým podpisem založeným na kvalifikovaném certifikátu. Písemnost doručovaná prostřednictvím sítě nebo služby elektronických komunikací je doručena dnem, kdy převzetí potvrdí zaměstnanec zaměstnavateli datovou zprávou podepsanou svým elektronickým podpisem založeným na kvalifikovaném certifikátu. Doručení písemnosti prostřednictvím sítě nebo služby elektronických komunikací je neúčinné, jestliže se písemnost zaslaná na elektronickou adresu zaměstnance vrátila zaměstnavateli jako nedoručitelná nebo jestliže zaměstnanec do 3 dnů od odeslání písem- 18 Jako např. svoboda, vážnost, určitost a srozumitelnost právního úkonu, včetně právně způsobilého subjektu ( 37 a násl. občanského zákoníku)

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.2, str. 3 nosti nepotvrdil zaměstnavateli její přijetí datovou zprávou podepsanou svým elektronickým podpisem založeným na kvalifikovaném certifikátu. Jak ostatně vyplývá z výše uvedeného, jako velmi podstatné se zdá být doktrinálně vhodné vymezení pojmu listina, písemnost a podpis. O tom, co je listina v právním slova smyslu, neobsahuje (až na jednu výjimku) náš právní řád jedinou výslovnou zmínku. Řada zákonných ustanovení však o listině poměrně často hovoří. Legální definice listiny ale v platné právní úpravě obsažena není. 19 Nezbývá než souhlasit s K. Eliášem 20, že nejde o vytýkatelný nedostatek současné právní úpravy, a že je tento problém řešitelný vcelku úspěšně teoreticky. Literatura i praxe se navíc shodly, že za listinu lze považovat (kromě běžných listin papírových) jakékoliv jiné hmotné médium (např. kůra, kámen či hliněná tabulka) na něž lze zachytit písemný projev, příp. cokoliv jiného, na čem může být písmo zachyceno s tím, že je lhostejno, na jaké látce a jakou látkou 21 je projev vůle sepsán (tedy např. text zachycený rytím na bronzovou sochu, příp. v písku na písečné pláži či na zahrádce z květin). Obecně lze tedy konstatovat, že listinou se v našem právním řádu tedy rozumí cokoliv psaného. Dále je zde třeba souhlasit s J. Burešem al.drápalem 22, podle nichž teoretické spory kolem Listina 19 Je však třeba mít v této souvislosti na paměti ustanovení 40 odst. 4 občanského zákoníku, stanovící, že písemná forma je zachována, je-li právní úkon učiněn telegraficky, dálnopisem nebo elektronickými prostředky, jež umožňují zachycení obsahu právního úkonu a určení osoby, která právní úkon učinila. 20 Eliáš, K., Právní úkony na soukromých listinách se zvláštním zřetelem k jejich podepisování. AD NOTAM, 1996, č. 3, s. 53 21 Krčmář, J., Právo občanské, díl V. - Právo dědické, Všehrd, Praha, 1930, s.22 22 Bureš, J., - Drápal, L., Občanský soudní řád. Komentář. Praha, C. H. Beck 1996, s. 61

část 3, díl 2, kap. 3.2, str. 4 BEZPEČNÁ POČÍTAČOVÁ SÍŤ listiny nemají praktického významu. Písemná forma právního úkonu ale nepředpokládá pouhé zachycení obsahu právního úkonu v textu listiny, ale též - jak již bylo naznačeno - existenci podpisu. V tomto směru je však třeba podotknout, že písemná forma právního úkonu může podmiňovat platnost právního úkonu, nikoliv však jeho dokazatelnost. Dojde-li proto ke ztrátě či zničení listiny, není vyloučeno domáhat se nároků z tohoto právního úkonu. Lze-li ovšem tento právní úkon i splnění formy dokázat jinak (např. svědky apod.). Obdobně, jak je tomu v případě pojmu listina, neobsahuje náš právní řád legální definici pojmu podpis. To však již - na rozdíl od tohoto pojmu - přináší řadu jak praktických, tak i teoretických problémů. Jednak není příliš jasné, jak úplný podpis je z hlediska práva ještě dostatečný a jaký již nikoliv. Nejenom, že není zdaleka zřejmé, zda postačuje podpis typu Váš otec 23, příp. Tvůj kolega Jaroslav, ale ani nelze jednoznačně odpovědět na otázku, zda postačuje strojový či jinak mechanicky na listině vytištěný podpis (řetězec znaků typu: Max Mayer), příp. vlastnoruční podpis (lidově zvaný jako klikyhák ), či zda je třeba uvést skutečné a úplné jméno tak, jak je zapsáno v matrice a osobních dokladech jednající osoby (tedy nejenom včetně jména a příjmení, ale také i titulů, případně bydliště, rodného čísla apod.). Těžko však hledat jednoznačnou odpověď. S tím ale velmi úzce souvisí i jednotlivé skupiny (kategorie) podpisu užívané v našem právním řádu. Vyjma některých - spíše 23 Viz. poznámka č.7

BEZPEČNÁ POČÍTAČOVÁ SÍŤ Dle soudu autora této práce je nesporné, že každá z výše uvedených skupin splňuje znaky podpisu 29. Zákonodárce velmi často obligatorně vyžaduje náležitost podpisu. V řadě případů však zákon výslovně požaduje vlastnoruční podpis, v jiných případech - ať již notářsky, soudně nebo úředně - ověřený podpis. Podpis (bez dalších adjektiv) tedy - s ohledem na logickou právní argumentaci - lze považovat za pojem obecný (nejužší), jehož náležitost může být zásadně splněna jakoukoliv další (vyšší) formou podpisu. Podpis notářsky (či jinak úředně) ověřený je v některých případech zákonem vyžadován jako jakási nejvyšší forma podpisu, která je výsledkem lečást 3, díl 2, kap. 3.2, str. 5 překladových nesrovnalostí 24 - lze totiž ze (striktně) právního hlediska rozlišovat: podpis 25 vlastnoruční podpis 26 ověřený podpis (ať již soudně, notářsky nebo úředně, případně advokátem) 27 elektronický podpis (včetně jeho vyšších forem, kterými se budeme zabývat dále) 28 24 Jde zejména o pojmy vlastní podpis, podpis vlastní rukou (např. čl. 3 odst. 1 sdělení č. 179/1996 Sb.), které považuji s ohledem na dikci jednotlivých ustanovení za synonymické pojmu vlastnoruční podpis. Dále s ohledem na 74 zákona č. 358/1992 Sb. za variantu podpisu nepovažuji podpis na listině, který osoba uznala za vlastní či jiné jeho obdoby. 25 Pojem podpis se - bez dalších adjektiv - vyskytuje v našem právním řádu ve více než 1400 dokumentech v počtu větším než 4 000 výrazů (z toho však jen cca 1 000 výrazů se nachází ve necelých 300 zákonných předpisech) 26 Pojem vlastnoruční podpis již bývá zákonodárcem výslovně užíván velmi zřídka. Lze hovořit pouze o několika desítkách výrazů. 27 Viz např. zákon č. 358/1992 Sb., o notářích a jejich činnosti (dále jen notářský řád) v platném znění 28 Viz zákon č. 227/2000 Sb. o elektronickém podpisu a o změně některých dalších zákonů (dále jen zákon) 29 Alespoň dle 40 odst. 3. občanského zákoníku

část 3, díl 2, kap. 3.2, str. 6 BEZPEČNÁ POČÍTAČOVÁ SÍŤ galizace. Takovýto podpis je např. vyžadován u všech smluv, na základě kterých jsou katastrálním úřadem vkládána vlastnická či jiná věcná práva k nemovitostem do katastru nemovitostí. S ohledem na zaměření této části publikace - vyjma některých souvisejících otázek 30 - se již však úředně ověřenými podpisy dále zabývat nehodlám. Vzhledem k samotnému zákonnému rozlišování jednotlivých skupin podpisů, lze tam, kde není požadován výslovně podpis vlastnoruční (příp. notářsky či jinak ověřený), vystačit i se strojovým či jinak mechanicky na listině vytištěným podpisem. 31 V občanskoprávních vztazích je ovšem třeba respektovat omezení náhrady podpisu mechanickými prostředky pouze na případy, kdy je to obvyklé ( 40 odst. 3 občanského zákoníku). Pro účely pracovněprávních vztahů (včetně těch souvisejících) však dále budeme hovořit pouze o podpisu, resp. o jeho možném substitutu - podpisu elektronickém 32. K obecným aspektům elektronického podepisování Jak již bylo řečeno výše, písemná forma právního úkonu zůstává zachována, je-li právní úkon učiněn elektronickými prostředky, jež umožňují zachycení obsahu právního úkonu a určení osoby, která právní úkon učinila. Z toho tedy vyplývá, že činit (písemné) právní úkony elektronickými prostředky (např. počítač, mobilní telefon, palmtop apod.) je za předpokladu splnění výše uvedených podmínek možné. V této souvislosti je však třeba zmínit nově upravené právo (nikoli tedy výslovnou povinnost) jednající osoby, která 30 Vyjma problematiky ověřování elektronického podpisu, o které budeme hovořit dále. 31 K tomu však srovnej rozdílný výklad, poznámka č. 7 32 Viz zákon č. 227/2000 Sb. o elektronickém podpisu a o změně některých dalších zákonů (dále jen zákon)

BEZPEČNÁ POČÍTAČOVÁ SÍŤ Z uvedeného tedy jasně vyplývá, že užitím elektronického podpisu, coby údaje připojeného k datové zprávě, jsou naplněny obě výše uvedené podmínky aplikace elektronických prostředků coby nástroje k vytvoření písemného právního úkonů. Tento výklad také ostatně potvrzuje i přímo ZoEP, který ve svém 3 odst. 1 říká, že datová zpráva je podepsána, pokud je opatřena elektronickým podpisem. Zákon rovněž zavádí vyvratitelnou právní domněnku, že pokud se nečást 3, díl 2, kap. 3.2, str. 7 učinila právní úkon elektronickými prostředky, podepsat jej elektronicky podle zvláštních předpisů. To je sice výslovně uvedeno pouze v občanském zákoníku, ale - dle názoru autora této části publikace - to lze aplikovat i na pracovněprávní a s tím související vztahy. Jediným takovým platným zvláštním předpisem je v současné době právě zákon č. 227/2000 Sb., o elektronickém podpisu, v platném znění. Datovou zprávou elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou. Elektronickým podpisem pak údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě, Z uvedených definic vyplývá, že datová zpráva umožňuje zachycení obsahu právního úkonu, čímž je tedy splněna jedna ze zákonných podmínek užití elektronického prostředku coby nástroje pro vytvoření právního úkonu. Možnosti určit osobu, která právní úkon učinila (tedy druhá zákonná podmínka aplikace elektronického prostředku), je pak již přímo vlastností elektronického podpisu.

část 3, díl 2, kap. 3.2, str. 8 BEZPEČNÁ POČÍTAČOVÁ SÍŤ prokáže opak, má se za to, že se podepisující osoba před podepsáním datové zprávy s jejím obsahem seznámila. Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu. Vzhledem k celé řadě nedostatků původní právní úpravy schválila Poslanecká sněmovna Parlamentu ČR zatím jednoznačně nejrozsáhlejší novelu zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů 33. Tato novela byla provedena zákonem č. 440/2004 Sb. Předmět úpravy této novely lze rozdělit do několika oblastí. První z nich je již výše zmíněná snaha o dosažení plné kompatibility s právem ES, resp. se Směrnicí 1999/93/ES Evropského parlamentu a Rady o zásadách Společenství pro elektronické podpisy (směrnice 1999/93/ES). Tuto směrnici, ačkoli v době přijímání tohoto zákona již existovala, se dosud nepodařilo do našeho právního řádu implementovat (byť již původní text zákona tvrdil, že je s touto směrnici kompatibilní). Další oblasti je zejména zavedení nového institutu časových razítek, resp. kvalifikovaných časových razítek. Právě neexistence časových razítek byla poměrně často této právní úpravě vytýkána, a to zejména z řad odborníků z praxe. Význam časových razítek totiž spočívá ve skutečnosti, že při elektronické komunikaci lze považovat nezbytné přesné určení existence zprávy v čase. Právě v souvislosti s elektronickým podpisem může být totiž velmi významný údaj, že podepsaná datová 33 Poslanci tuto novelu přijali se všemi pozměňovacími návrhy Senátu

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.2, str. 9 zpráva existovala v době platnosti certifikátu, na kterém je elektronický podpis založen, resp. zda byla podepsána dříve, než byl certifikát zneplatněn. Vnovele se dále objevilo rovněž poměrně zajímavé zakotvení možnosti používat tzv. elektronické značky, což je jakési označení datové zprávy označující osobou bez předchozí kontroly vlastního obsahu, pokud tato osoba iniciovala funkci prostředku pro jejich vytváření a vymezila pravidla pro výběr zpráv, které mají být označeny. Přínos zakotvení možnosti jejich používání spočívá patrně ve skutečnosti, že na rozdíl od zaručeného elektronického podpisu, který vytváří fyzická osoba vždy pro jednu určitou datovou zprávu, mohou být elektronickými značkami datové zprávy označovány tak, že je iniciována funkce prostředku, který je vytváří, a označování datových zpráv může probíhat bez další přímé součinnosti označující osoby. V tomto ohledu se tedy předpokládá, že elektronické značky budou využívány v agendách týkajících se například celních řízení, při vydávání elektronických výpisů z úředních databází, při potvrzování přijetí elektronických zpráv apod. Rozsah vydaných časových razítek dokládají grafy níže. Jedním z dalších takových pilířů této novely je rozšíření okruhu služeb, které poskytovatelé certifikačních služeb zajišťují a na jejichž poskytování se stanovují požadavky. V tomto případě stojí za zmínku zejména již výše zmíněné vydávání časových razítek, různých systémových certifikátů nebo prostředků pro bezpečné vytváření elektronických podpisů. V souvislosti s tím zde stojí za zmínku i nově stanovená povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání kvalifikovaných časových razítek, kde je nezbytné zdůraznit povinnost poskytovatele zajistit, aby Elektronické značky

část 3, díl 2, kap. 3.2, str. 10 BEZPEČNÁ POČÍTAČOVÁ SÍŤ časový údaj vložený do kvalifikovaného časového razítka odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného časového razítka, a dále přijmout odpovídající opatření proti padělání kvalifikovaných časových razítek. V tomto ohledu je zde rovněž o poznání lépe než v předchozím případě vhodně upřesněna povinnost orgánů veřejné moci přijímat a odesílat zprávy ( 11), které jsou podepsány uznávaným elektronickým podpisem prostřednictvím definice zvláštních pracovišť - elektronických podatelen. V původním znění byl tedy 11 tohoto zákona formulován značně nejednoznačně a neostře, což bylo vzhledem ke klíčové povinnosti, kterou tento paragraf zaváděl, vskutku na pováženou. Ustanovení ( 11), byť obsahovalo pouze jedinou větu, původně stanovilo, že v oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb. Byl zde tedy použit velmi neostrý pojem oblast orgánů veřejné moci a bylo tedy v některých případech sporné, zda bylo nutno používat tuto (jistě důvěryhodnou, avšak také nákladnou) formu podpisu i tam, kde s takovým orgánem pouze komunikuje soukromý subjekt - fyzická osoba (např. v souvislosti s podáváním daňového přiznání). V tomto smyslu se rovněž počítá s vydáním prováděcí vyhlášky pro elektronické podatelny, a tím tedy vytvořit možnost jednotného postupu pro dosažení potřebné (požadované) bezpečnosti. Zákon tak stanoví, že orgán veřejné moci přijímá a odesílá datové zprávy podle odstavce 1 prostřednictvím elektronické podatelny.

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.2, str. 11 K vybraným podzákonným aspektům právní úpravy elektronického podepisování Vyhláška Úřadu pro ochranu osobních údajů o upřesnění podmínek stanovených v 6a17zá- kona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu. Podle 20 ZoEP se Ministerstvo, resp. původně Úřad, zmocňuje vydávat vyhlášky k upřesňování podmínek stanovených v 6 a 17 a způsobu, jakým se jejich splnění bude dokládat, a k upřesnění požadavků, které musí splňovat nástroje elektronického podpisu, a k náležitostem postupu a způsobu vyhodnocování shody nástrojů elektronického podpisu s těmito požadavky. Původním zmocněncem podle tohoto ustanovení byl však Úřad pro ochranu osobních údajů, který také vydal dosud platnou a účinnou vyhlášku ze dne 3. října 2001 o upřesnění podmínek stanovených v 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpis. Vyhláška nabyla účinnosti dnem vyhlášení, tj. dnem 10. 10. 2001 avzásadě upřesňovala podmínky stanovené v 6 a 17 zákona o elektronickém podpisu a způsob, jakým se jejich splnění bude dokládat, požadavky, které musejí splňovat nástroje elektronického podpisu, a náležitosti postupu a způsobu vyhodnocování shody nástrojů elektronického podpisu s těmito požadavky ( 1 vyhlášky). Vyhláška byly s účinností ke dni 17. srpna 2006 zrušena, a to vyhláškou Ministerstva informatiky č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na Prováděcí předpisy

část 3, díl 2, kap. 3.2, str. 12 BEZPEČNÁ POČÍTAČOVÁ SÍŤ ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb (viz níže). Vyhláška Ministerstva informatiky č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb). Tato vyhláška nabyla účinností ke dni 17. srpna 2006, čímž tak nahradila dosavadní vyhlášku č. 366/2001 Sb. Ministerstvo informatiky touto vyhláškou stanovilo podle 20 odst. 1, 2, 3 a 5 zákona č. 227/2000 Sb., o elektronickém podpisu, zejména: způsob splnění informační povinnosti podle 6 odst.1 písm. a) a f) a odst. 3 zákona, kvalifikační požadavky podle 6 odst. 1 písm. b) zákona, požadavky na bezpečné systémy a bezpečné nástroje podle 6 odst. 1 písm. c) a d) zákona, způsob uchovávání informací a dokumentace podle 6 odst. 5 a6 zákona a způsob, jakým se splnění těchto požadavků dokládá, způsob zajištění bezpečnosti seznamů podle 6a odst. 1 písm. e) a f) zákona, určení data a času podle 6a odst. 1 písm. g) zákona, náležitosti opatření podle 6a odst. 1 písm. h) zákona, způsob splnění informační povinnosti podle 6a odst. 1 písm. i) zákona, způsob ochrany a zajištění souladu dat podle 6a odst. 2 zákona, způsob zneplatnění certifikátů podle 6a odst. 3 a 4 zákona a způsob, jakým se splnění těchto požadavků dokládá,

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.2, str. 13 způsob zajištění přesnosti času při vytváření kvalifikovaného časového razítka podle 6b odst. 1 písm. b) zákona, způsob zajištění souladu dat podle 6b odst. 1 písm. c) zákona, náležitosti opatření podle 6b odst. 1 písm. d) zákona, způsob splnění informační povinnosti podle 6b odst. 1 písm. e) zákona a způsob, jakým se splnění těchto požadavků dokládá, způsob zajištění postupů, které musí podporovat prostředky pro bezpečné vytváření elektronických podpisů při ochraně dat pro vytváření elektronických podpisů podle 17 zákona a prostředky pro vytváření elektronických značek při ochraně dat pro vytváření elektronických značek podle 17a zákona, a způsob, jakým se splnění těchto požadavků dokládá. Vyhláška č. 496/2004 Sb., k elektronickým podatelnám, upravuje postup 34, jak mají orgány veřejné moci přijímat a odesílat datové zprávy prostřednictvím elektronické podatelny. Tato vyhláška navazuje na nařízení vlády č. 495/2004 Sb., k elektronickým podatelnám, které nařizuje orgánům veřejné moci elektronickou podatelnu zřídit, a má sloužit jako návod, jak naplnit podmínky dané tímto nařízením vlády. 35 Vyhláška nabyla účinnosti k 1. lednu 2005. Vyhláška č. 496/2004 Sb. k elektronickým podatelnám, v platném znění 34 Ministerstvo informatiky tak využilo možnost tyto aspekty provést vyhláškou stanovenou 20 odst. 4 zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění zákona č. 226/2002 Sb., zákona č. 517/2002 Sb. a zákona č. 440/2004 Sb.)į. 35 Resp. přesněji je třeba říci, že předmětem vyhlášky je stanovení postupů pro orgány veřejné moci uplatňované při přijímání a odesílání datových zpráv prostřednictvím elektronické podatelny a strukturu údajů kvalifikovaného certifikátu, na základě kterých je možné podepisující osobu při přijímání datových zpráv prostřednictvím elektronické podatelny jednoznačně identifikovat.

Tato doručená datová zpráva se pak ukládá do úložiště doručených datových zpráv ve tvaru, ve kterém byla přijata. Je-li k datové zprávě připojen kvalifikovaný certifikát a zaručený elektronický podpis založený na tomto certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb (dále jen uznávaný elektronický podpis ) nebo kvalifikovaný systémový certifikát a elektronická značka založená na tomto certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb (dále jen uznávaná elektronická značka ), ukládají se spolu se zprávou. Doručená datová zpráva se v elektronické podatelně: eviduje a dále se předává v souladu se zvláštními právními předpisy upravujícími evidenci doručečást 3, díl 2, kap. 3.2, str. 14 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Jako poměrně podstatný prvek předmětné vyhlášky je zde uvedeno podrobné vymezení okamžiku přijetí a doručení datové zprávy, a to tak (nestanoví-li vyhláška jinak), že datová zpráva je považována za doručenou orgánu veřejné moci, pokud je dostupná elektronické podatelně provozované podle zvláštního právního předpisu 36. Pokud je u přijaté datové zprávy zjištěn výskyt chybného formátu nebo počítačového programu, jež jsou způsobilé přivodit škodu na informačním systému nebo na informacích zpracovávaných orgánem veřejné moci (dále jen škodlivý kód ), může být datová zpráva uložena jen mimo elektronickou podatelnu, a to za předpokladu, že není ohrožena bezpečnost informačního systému orgánu veřejné moci ani bezpečnost zpracovávaných informací. Taková datová zpráva není dostupná elektronické podatelně. 36 Nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů.

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.2, str. 15 ných písemností a další nakládání s nimi s tím, že čas doručení datové zprávy je zaznamenán s přesností na sekundu, a označuje identifikátorem elektronické podatelny, který má charakter podacího razítka. Samotné doručení datové zprávy se pak potvrzuje odesilateli neprodleně zasláním datové zprávy v souladu s ustanovením 3, pokud je orgán veřejné moci schopen z přijaté datové zprávy zjistit elektronickou adresu odesilatele. Součástí zprávy o potvrzení doručení je uznávaný elektronický podpis oprávněného zaměstnance orgánu veřejné moci nebo uznávaná elektronická značka orgánu veřejné moci, datum a čas s uvedením hodiny, minuty a sekundy, kdy byla datová zpráva doručena, a charakteristika doručené datové zprávy umožňující její identifikaci U doručené datové zprávy elektronická podatelna zjišťuje, zda datová zpráva odpovídá technickým parametrům, které orgán veřejné moci zveřejnil podle zvláštního právního předpisu 37, je připojen uznávaný elektronický podpis nebo uznávaná elektronická značka, případně zda je připojeno kvalifikované časové razítko, pokud zvláštní právní předpis stanoví povinnost připojit je k datové zprávě, 37 Nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů.

Pokud elektronická podatelna zjistí, že kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát podle odstavce 6 písm. c) byly v době doručení datové zprávy neplatné, a pokud lze usuzovat, že zaručený elektronický podpis nebo elektronická značka byly vytvořeny v době platnosti tohoto certifikátu, orgán veřejné moci za účelem zjištění platnosti elektronické značky nebo zaručeného elektronického podpisu ověří, zda je připojeno platné kvalifikované časové razítko podepsané nebo označené datové zprávy a zda toto razítko bylo vytvořeno před okamžikem zneplatnění certifikátu datové zprávy a zda je platné, nebo uvědomí podepsanou osobu, není-li připojeno platné kvalifikované časové razítko, že nemá možnost provést veškeré úkony potřebné k tomu, aby ověřil, že zaručený elektronický podpis nebo elektronická značka jsou platné a jejich kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát nebyly znečást 3, díl 2, kap. 3.2, str. 16 BEZPEČNÁ POČÍTAČOVÁ SÍŤ zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn ( 5 odst. 2 zákona) nebo elektronická značka je platná a její kvalifikovaný systémový certifikát nebyl zneplatněn ( 5a odst. 3 zákona), případně zda je platné kvalifikované časové razítko, pokud zvláštní právní předpis stanoví povinnost připojit jej k datové zprávě, je připojen kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát podle písmene b) nebo zda je uveden akreditovaný poskytovatel certifikačních služeb, který certifikát vydal a vede jeho evidenci, a kvalifikovaný certifikát obsahuje údaje, na jejichž základě je možné osobu, která podepsala datovou zprávu, jednoznačně identifikovat.

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.2, str. 17 platněny před vytvořením zaručeného elektronického podpisu nebo elektronické značky. Úkony potřebné k ověření, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn nebo že elektronická značka je platná a její kvalifikovaný systémový certifikát nebyl zneplatněn nebo že kvalifikované časové razítko je platné podle odstavce 6 písm. c), jsou uvedeny v příloze k této vyhlášce. O výsledku zjištění skutečností uvedených v odstavcích 6 a 7 se při doručení do identifikátoru elektronické podatelny zaznamenávají údaje, které tyto skutečnosti dokládají 38. V 4 této vyhlášky je dále stanovena povinnost, že údaj, na jehož základě je možné osobu jednoznačně identifikovat, se uvádí ve struktuře desetimístného čísla v desítkové soustavě v rozsahu 1 100 100 100 až 4 294 967 295 a je spravován ústředním orgánem státní správy. Jeho hodnota není zaměnitelná s rodným číslem a nesmí být osobním údajem podle zvláštního právního předpisu. 39 38 Odesílaná datová zpráva se v elektronické podatelně ukládá do úložiště vypravených datových zpráv ve tvaru, ve kterém byla odeslána. Je-li k datové zprávě připojen uznávaný elektronický podpis oprávněného zaměstnance orgánu veřejné moci a jeho kvalifikovaný certifikát nebo uznávaná elektronická značka orgánu veřejné moci a její kvalifikovaný systémový certifikát, ukládají se spolu s datovou zprávou. Před odesláním z orgánu veřejné moci prochází datová zpráva kontrolou výskytu škodlivého kódu. Odesílaná datová zpráva se v elektronické podatelně eviduje v souladu s vnitřními předpisy orgánu veřejné moci upravujícími evidenci vypravovaných písemností s tím, že čas odeslání datové zprávy je zaznamenán s přesností na sekundu. 39 4 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v platném znění

část 3, díl 2, kap. 3.2, str. 18 BEZPEČNÁ POČÍTAČOVÁ SÍŤ

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.3, str. 1 3/2.3.3 DRUHY ELEKTRONICKÉHO PODPISU A JEJICH VÝZNAM Jak již bylo uvedeno výše, při tvorbě ZoEP se vycházelo především ze související legislativy Evropského společenství, zejména pak ze Směrnice. To se samozřejmě projevilo též na samotné terminologii zákona, která se - až na některé výjimky - striktně drží tzv. evropského pojetí elektronického podpisu, resp. jeho jednotlivých forem. Evropské pojetí elektronického podpisu Z pohledu platné právní úpravy elektronického podpisu v ČR a se zřetelem k aplikaci této normy lze rozlišovat zejména následující kategorie: elektronický podpis zaručený elektronický podpis zaručený elektronický podpis založený na kvalifikovaném certifikátu

část 3, díl 2, kap. 3.3, str. 2 BEZPEČNÁ POČÍTAČOVÁ SÍŤ zaručený elektronický podpis založený na kvalifikovaném certifikátu od akreditovaného poskytovatele certifikačních služeb zaručený elektronický podpis založený na kvalifikovaném certifikátu a vytvořený pomocí prostředku pro bezpečné vytváření podpisu Z pohledu zahraniční a s ní související evropské právní úpravy v ES lze též rozlišovat: kvalifikovaný podpis s dlouhodobou platností digitální podpis General electronic signature Elektronický podpis Jak již bylo výše zmíněno, legální definice pojmu elektronický podpis na rozdíl od pojmu podpis existuje. Pojem elektronický podpis je v našem právním řádu vymezen v 2 písm. a) ZoEP, který říká, že jde o údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou snílogicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě 40 Vymezení tohoto pojmu v našem právním řádu je navíc téměř totožné s úpravou ve Směrnici ES. Výklad tohoto pojmu tak - obdobně jak je tomu v ES - přináší některé problémy. Nejprve je třeba si uvědomit, zda běžný e-mail, resp. text připojený k datové zprávě odeslaný (např. Ahoj, plně souhlasím. Honza) z vaší obvyklé e-mailové adresy a odeslaný vašemu známému 40 Původní znění před novelou tuto vlastnost vymezovalo jinak, a to tak, že šlo pouze o údaje, které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě, tedy šlo o úpravu o poznání širší.

BEZPEČNÁ POČÍTAČOVÁ SÍŤ V tomto směru se tedy lze shodnout, že jméno (podpis) připojené k běžnému e-mailu (datové zprávě) může být elektronickým podpisem ve smyslu ZoEP. Stejně tak nemusí elektronický podpis představovat pouhé uvedení jména (řetězcem znaků), ale lze za něj považovat též faksimile vlastnoručního podpisu dané osoby zaslané např. formou přílohy, speciální kód (PIN) apod. Je tedy třeba zásadně odmítnout názory, že běžný e-mail 41, resp. jeho část (text), případně naskenovaný vlastnoruční podpis připojený k datové 42 zprávě nemůže být elektronickým podpisem dle 2 písm. a) ZoEP. Elektronický podpis však není nerozlučně spjat pouze s elektronickou poštou. I prostřednictvím www 43 stránek, pagerů a mobilních telečást 3, díl 2, kap. 3.3, str. 3 prostřednictvím některé k tomu určené aplikace (např. MS Outlook) naplňuje výše uvedené pojmové znaky elektronického podpisu. Dle soudu autora této části práce tomu tak je. S ohledem na výše uvedenou definici datové zprávy, totiž není sporu o tom, že i e-mail bez uvedení odesílatele, předmětu a samotného textu zprávy může být datovou zprávou ve smyslu 2 ZoEP. K tomu, aby pak došlo k připojení elektronického podpisu k takové datové zprávě, postačuje téměř jakýkoliv text (řetězec znaků), který je způsobilý jednoznačně ověřit identitu podepsané osoby (tedy např. uvedení e-mailové či poštovní adresy skutečného odesílatele, případně i jméno odesílatele, které adresát zná, a je tak tedy umožněno ono ověření totožnosti). 41 Např. Pitner, T., Utajená síla podpisu, Connect, listopad 2000, s. 52 42 Tamtéž 43 World Wide Web (www) - služba na internetu. Jde o graficky orientované zpracování informací, sestavených do www stránek, které využívá formátovaný text, grafiku, animace, zvuky apod.

část 3, díl 2, kap. 3.3, str. 4 BEZPEČNÁ POČÍTAČOVÁ SÍŤ fonů se lze za předpokladu splnění výše uvedených podmínek elektronicky podepisovat. Advanced electronic signature Zaručený elektronický podpis Pojem zaručený elektronický podpis je v našem právním řádu vymezen v 2 písm. b) ZoEP, který říká, že jde o elektronický podpis, který splňuje následující požadavky: jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat, Obdobně jak je tomu u výše uvedeného pojmu elektronický podpis, odpovídá i legální definice pojmu zaručený elektronický podpis právní úpravě v ES. 44 Oproti velmi obecnému pojmu elektronický podpis obsahuje zaručený elektronický podpis již řadu dalších aspektů (záruk), které vyplývajících přímo z jednotlivých požadavků zákona. Jde především o tzv. jednoznačnost 45, která spočívá ve zvýšené ochraně příjemce datové zprávy ve vztahu k elektronickému 44 Advanced electronic signature means an electronic signature which meets the following requirements: (a)it is uniquely linked to the signatory; (b)it is capable of identifying the signatory; (c)it is created using means that the signatory can maintain under his sole control; (d)it is linked to the data to which it relates in such a manner that any subsequent change of the data is detectable. 45 Často též nepříliš přesně označovanou jako nepopiratelnost. To je způsobeno zejména názory řady matematiků a kryptologů, z jejichž úhlu pohledu nepochybně o nepopiratelnost jde. Z právního hlediska je však situace zcela jiná.

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 3, díl 2, kap. 3.3, str. 5 podpisu odesílatele (elektronický podpis je jednoznačně spojen s podepisující osobou), dále pak o tzv. identifikaci a autentizaci 46 umožňující identifikaci podepisující osoby ve vztahu k datové zprávě a integritu, která pak umožňuje zjistit jakoukoliv následnou změnu dat. Posledním požadavkem zákona je, aby byl zaručený elektronický podpis vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou. Uvedený požadavek tak nepřímo vyplývá z povinností podepisující osoby ( 5 zákona). Požadavek na míru bezpečnosti takovýchto prostředků však v případě této formy podpisu zákonem požadována není. Je tedy právně nedůležité, zda používáte hardware či software, který je bezpečný či nikoliv. Tento podpis je tedy vzhledem k držiteli podpisu jednoznačný, umožňuje identifikaci (autentizaci) oprávněné osoby v souvislosti s datovou zprávou a byl vytvořen a připojen k datové zprávě způsoby, které jsou pod kontrolou oprávněné osoby a je k datové zprávě, jíž se týká, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. Tento druh elektronického podpisu však nepředstavuje (a ani dle původního návrhu ZoEP nepředstavoval) ekvivalent 46 Stanovit přesný rozdíl mezi identifikací a autentizací není jednoduché. Nicméně náš právní řád tyto pojmy vymezuje hned ve dvou právních předpisech. Prvním je vyhláška Národního bezpečnostního úřadu č. 76/1999 Sb., o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu, v platném znění, kde se autentizací rozumí proces potvrzení, a tím i ustavení identity uživatele, procesu nebo jiného prvku s požadovanou mírou záruky ( 2 písm. g). Dále se o autentizaci hovoří v další vyhlášce Národního bezpečnostního úřadu č. 56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu, kde se autentizací subjektu rozumí proces ověření jeho identity splňující požadovanou míru záruky ( 2 písm. f).

část 3, díl 2, kap. 3.3, str. 6 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Advanced electronic signature using qualified certificate ověřeného podpisu na papíru, jak nesprávně uvádí důvodová zpráva. Stejně tak, jak vyplývá z výše uvedeného a na rozdíl od tvrzení v důvodové zprávě, neposkytuje pouze tento podpis dostatečnou právní platnost. Lze však plně souhlasit s tvrzením, že zákon je zaměřen právě a především na používání tohoto (a vyšších forem) elektronického podpisu. Lze konstatovat, že tento podpis má - na rozdíl od běžného (elektronicky) podepsaného e-mailu - podstatně vyšší vypovídací hodnotu. Samotnému užívání tohoto podpisu navíc nemusí předcházet vznik nějakého nového zvláštního právního vztahu. Zde plně postačí instalace a následné užívání jakéhokoliv z řady počítačových programů, které tuto službu poskytují 47. Navíc lze i tuto formu elektronického podpisu splnit řadou jiných způsobů, než jen elektronickou poštou. 48 Zaručený elektronický podpis založený na kvalifikovaném certifikátu Tento pojem není v zákoně výslovně vymezen. Jeho existence však - kromě zásady smluvní svobody - vyplývá z řady jeho ustanovení. K samotnému vymezení tohoto pojmu je třeba - vyjma pojmu zaručený elektronický podpis - třeba nejprve zmínit některé vybrané legální definice, a to zejména: certifikát ( 2 písm. g) kvalifikovaný certifikát ( 2 písm. h) poskytovatel certifikačních služeb ( 2 písm. e) 47 Např. velmi rozšířené programy založené na standartu OpenPGP - tzv. software Pretty Good Privacy (PGP) 48 Poměrně často bývá elektronicky podepsán obsah příslušné www stránky, k níž je obvykle přiložen i příslušný certifikát. Když si pak nějaký uživatel internetu tuto stránku načte do svého browseru, ten ověří pravost podpisu (identifikace) a dá uživateli najevo, zda je vše v pořádku (autentizace), i to, zda obsah stránky nebyl od svého podpisu změněn (integrita). Stejně tak může být tento podpis proveden prostřednictvím řady dalších zařízení (např. mobilních telefonů, pagerů apod.)