SERIÁL: ELEKTRONICKÉ PODEPISOVÁNÍ V PRAXI

Autor textu: Petr Dolejší | Datum publikace: 9. 9. 2021 | Autor grafiky: iStock

Před rozhodnutím o tom, jakým podpisem podepisovat, je třeba definovat, jaké dokumenty vyžadují el. podpis, případně el. pečeť. Jak bylo zmíněno dříve podpis je nutný primárně pro dokumenty, kde je vyžadován identifikovatelný projev vůle konkrétních osob. Jako příklad je možné uvést smluvní strany na smlouvě nebo např. prokazatelné potvrzení seznámení se s dokumentem. Druhým důvodem pro použití el. podpisu a především el. pečeti je zajištění integrity a původu dokumentu.

Jak víte z předchozího dílu, integrita dokumentu je v případě PKI el. podpisu zajištěna vlastní způsobem jeho vytváření. Prokázání původu dokumentu je již mnohem zásadnějšího právního významu, kdy je možné jednoznačně spojit dokument s konkrétním původce. Pro tyto účely se primárně používá el. pečeť, což jak už dobře víme je automaticky vytvořený el. podpis, který je v rámci základního legislativního rámce určen pouze pro právnické osoby a pouze pro zaručenou nebo vyšší úroveň.

Odhlédneme-li od legálního rozlišení podpis vs. pečeť, je možné, ať se to soudům líbí nebo ne, používat v soukromoprávní praxi libovolnou formu podpisu, na které se jednající strany dohodnou – tedy od prostého podpisu až po podpis kvalifikovaný. Pro rozhodování o tom, jakou formu podpisu zvolit jsou důležité především tyto aspekty: 

• použitelnost dané metody pro jednotlivé účastníky (dostupnost, srozumitelnost a snadnost jejího použití), 
• technické kvality použité metody (zda lze např. zajistit integritu dokumentu, což je něco, co papír snadno neumožňuje) a 
• míra její průkaznosti či nezpochybnitelnosti navzájem nebo vůči třetím stranám. 

V případě technických atributů jako např. integrita dokumentu vyhovují dnes prakticky všechny používané metody uvedené v tomto seznamu: 

• tzv. „dosvědčený“ podpis používaný dnes především bankami či jinými finančními institucemi – integrita je zajištěna el. pečetí poskytovatele, neodmítnutelnost je zajištěna jak úrovní el. pečeti poskytovatele dosvědčeného podpisu (garant dosvědčeného podpisu – např. banka), použitý autorizační mechanismu prokazující identitu podepisující osoby (např. jednorázové heslo či bankovní autorizační aplikace) a příslušné auditní záznamy celého procesu 
• dynamický biometrický podpis (někdy také jako vlastnoruční podpis) používaný především pro účastníky bez předchozí vazby (sjednání smlouvy) spoléhající významně na zvykové chování účastníků simulující klasický podpis na papír – integrita je zajištěna el. pečetí poskytovatele biometrické technologie, neodmítnutelnost obdobně pomocí úrovně pečeti poskytovatele a především unikátní osobní charakteristiky spojené se záznamem provedení podpisu pomocí technického zařízení včetně jejich důvěryhodného zabezpečení 
• zaručený el. podpis založený na osobním certifikátu – integrita je daná procesem podpisu a neodmítnutelnost dle kvality certifikátu (tedy dle podmínek pro vydání daného certifikátu) 
• zaručený el. podpis založený na kval. certifikátu (laicky často nazýván uznávaný podpis, i když nepřesně) používaný primárně v ČR a velmi okrajově jinde v Evropě – integritu zaručuje technologie podpisu a neodmítnutelnost, resp. informace o identitě podepisujícího subjektu zaručuje proces vydávání kval. certifikátu ze strany kvalifikovaného poskytovatele 
• kvalifikovaný el. podpis (nejvyšší obecně uznávaná forma el. podpisu), která navíc proti předchozí variantě garantuje generování a správu podpisových klíčů (legislativně dat pro vytváření podpisu) v bezpečném zařízení (QSCD – Qualified Signature Creation Device) 

Paralelně vedle rozhodování o tom, jakým způsobem konkrétní dokument podepsat, musí být zajištěna dlouhodobá péče o všechny el. podepsané dokumenty (bez ohledu na úroveň podpisu) ve smyslu, jak o tom mluví nařízení eIDAS – tedy funkce či služby uchovávání el. podpisů a pečetí. Obdobně je nutné mít možnost ověřit, zda použitý el. podpis nebo pečeť jsou ověřitelné a důvěryhodné.  

Vyhodnocení, zda dokumenty podepsala správná konkrétní osoba už je ale záležitost mimo výše popsané technické nástroje a obvykle je třeba zajistit související důkazy – např. na základě jakého ověření identity byl vydán příslušný certifikát, zda je osoba jednatelem či osobou oprávněnou k podpisu daného dokumentu (funkce, plná moc, …). O tom zase více v dalších dílech našeho seriálu.