ICT

ICT Zdroj: ICT

Elektronické podpisy je třeba nejenom vytvářet, ale také ověřovat

red

Elektronické podpisy a jejich vytváření se již stává standardním úkonem, a to nejen v oblasti komerční sféry, ale také v oblasti orgánů veřejné moci, a to především v rámci komunikace občana s různými institucemi. Subjekt, který zpravidla elektronické podpisy dokumentů pouze vytváří, neřeší otázku, zda je nutné platnost elektronického podpisu ověřovat. Ta přichází až v případě, kdy obdrží důležitý dokument opatřený elektronickým podpisem. Ověřovat platnost elektronického podpisu dokumentu? Jak postupovat v ověření a zajistit, že je elektronický podpis dokumentu v pořádku?

Obecně lze říci, že pokud elektronický dokument představuje jakýkoliv právní úkon, je třeba mít jistotu, že je správně elektronicky podepsán a je platný, než na jeho základě začne daný subjekt jednat.

Současně na tuto skutečnost pamatuje také legislativa. Nařízení Evropského parlamentu a Rady č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu - eIDAS, jež nabylo účinnosti 1. 7. 2016, s sebou přináší řadu nových skutečností ve světě elektronického podpisu a povinnost ověřovat platnost elektronického podpisu je jednou z nich, a to v čl. 32.

V České republice pak došlo ke zrušení zákona č. 227/2000 Sb., o elektronickém podpisu, a to zákonem č. 297/2016 o službách vytvářejících důvěru pro elektronické transakce (adaptační zákon).

Adaptační zákon pak ponechal v platnosti vyhlášku č. 256/2012 Sb., o podrobnostech výkonu spisové služby, která v § 4 definuje povinnost veřejnoprávního původce při přijetí elektronického dokumentu ověřit platnost podpisu. Metodický návod pro kontrolu výkonu spisové služby vedené prostřednictvím elektronického systému spisové služby u veřejnoprávních původců, uveřejněný Ministerstvem vnitra v říjnu 2016 a vztahující se k témuž tématu, pak postup ověření aktualizuje dle eIDAS.

Pro ověření platnosti elektronického podpisu je možné použít takové technické řešení, které vyhoví následnému auditu. Jeho účelem je prokázat, že systém ověřování podpisu neumožňuje jakékoli manipulace nebo změny. Toto není triviální, s ohledem na skutečnost, že vlastní algoritmy ověřování elektronického podpisu definované příslušnými standardy vyžadují znalost problematiky a mohou se v čase měnit v závislosti na technologickém rozvoji.

Druhou, s ohledem na výše uvedené, velmi komfortní variantou je využití existující služby nebo softwarového řešení, která ověření elektronického podpisu dokumentu zajistí. Nejvyšší formou je využití služby ověřování platnosti elektronického podpisu, poskytované kvalifikovaným poskytovatelem služeb vytvářejících důvěru. Nejen že tuto službu může poskytovat výhradně kvalifikovaným poskytovatelem služeb vytvářejících důvěru, ale navíc má i objektivní odpovědnost při prokazování případné škody – je na ní, aby prokázala, že škoda nastala bez jejího úmyslu či nedbalosti. Současně se jedná o službu, která prošla auditem a byla zařazena na Evropský seznam důvěryhodných služeb dle eIDAS. V případě jiného poskytovatele nese důkazní břemeno osoba uplatňující nárok na náhradu škody.

První certifikační autorita kvalifikovanou službu ověřování platnosti elektronického podpisu poskytuje s přihlédnutím k adaptačnímu zákonu, nejen pro variantu ověřování kvalifikovaného, ale i uznávaného elektronického podpisu.

Služba zajišťuje, že ověřovaný dokument nikdy neopustí prostředí klienta. Knihovna implementovaná např. ve spisové službě získá z dokumentu potřebná validační data, odešle je na zpracování a zpět je zaslán protokol o ověření. Lze očekávat, že stejně jako se použití elektronického podpisu stalo rutinní záležitostí, stane se rutinním i ověřování jeho platnosti.