Podpis, jak jej známe, slouží jako prostředek k osobitému vyjádření v písemné formě. Je tedy pro určitou osobu jedinečný a do jisté míry nenapodobitelný. Doba internetu a masivního nasazení výpočetní techniky si však vyžaduje, aby bylo možné ověřovat autentičnost dokumentů v elektronickém prostředí. Autentičnost vyjadřuje fakt, že jsou nám určitá data poskytnuta skutečně osobou, od které je očekáváme, a že se tedy nejedná o podvrh. Systém elektronického podpisu zahrnuje několik důležitých procesů. Dva nejzákladnější jsou podepsání dat a ověření jejich autentičnosti. Celý postup přenosu podepsaných dat v elektronickém prostředí nastíním na jednoduchém modelu:

Subjekt A chce předat data (např. objednávku na zboží) subjektu B prostřednictvím určitého elektronického média (internet apod.). Subjekt A tedy poté, co vytvoří datovou zprávu, použije konkrétní prostředek pro vytváření elektronického podpisu (obvykle speciální software), který vygeneruje k této datové zprávě s použitím dat k vytváření EP (elektronického podpisu) elektronický podpis. Takto získaný elektronický podpis připojí k datové zprávě a předá v rámci elektronického média Subjektu B. Subjekt B obdrží požadovanou informaci (objednávku), ale navíc si může ověřit, zda ji skutečně získal od daného subjektu (subjekt A) tím, že použije prostředek pro ověřování EP (software využívající podobné postupy jako ten, který použil subjekt A k vytvoření EP). Tento prostředek za použití datové zprávy, elektronického podpisu a dat pro ověřování EP dokáže jednoznačně zjistit, zda je datová zpráva skutečně podepsána subjektem A a zda došla k příjemci (subjektu B) neporušena a nezměněna.

Schématické znázornění elektronického podepisování.

Z předchozího textu není zřejmý vztah mezi daty pro ověřování EP (dále DO) a daty pro vytváření EP (dále DV). Jsou to taková data, že k určitým DO existují pouze jedna DV a naopak. Zároveň není možné jakkoliv jednoznačně určit existující DV - tedy ani se znalostí DO. Každá osoba A, která se chce elektronicky podepisovat musí vlastnit DV a každá osoba B, která si chce podpis osoby A ověřit musí mít k dispozici příslušná DO.

Právní úprava elektronického podpisu v ČR

V rámci Českého právního řádu upravuje elektronický podpis a pravidla jeho použití zákon o elektronickém podpisu 227/2000 Sb. (dále jen "zákon"). Právní úprava v této oblasti však není ještě stále kompletní, neboť dosud nebyly vydány prováděcí předpisy k tomuto zákonu. Právě tyto předpisy mají mj. stanovit konkrétní pravidla pro použití EP především v oblasti státní správy a také definovat standarty prostředkům pro vytváření a ověřování EP.

Výrazy v předcházejícím textu korespondují s příslušnými pojmy, jak je definuje zákon.

Poskytovatel certifikačních služeb

Pokud chci ověřit elektronický podpis, musím mít k dispozici data pro ověřování podpisu podepisující osoby. Mohu je samozřejmě získat přímo od podepisující osoby elektronickou cestou, ale tento způsob mi nezaručí jejich pravdivost. Musím tedy mít možnost získat data pro ověřování elektronického podpisu příslušné osoby spolu se základními identifikačními znaky této osoby (minimálně jméno a příjmení) od někoho třetího, důvěryhodného. Tato osoba je nazývána poskytovatelem certifikačních služeb a data pro ověřování podpisu určité osoby spolu s identifikačními znaky této osoby nazývá zákon certifikátem.

Každý poskytovatel certifikačních služeb eviduje pro každou osobu příslušná DO, která zpřístupňuje v rámci vydávaných certifikátů široké veřejnosti a každá z těchto osob vlastní DV a odpovídá za jejich zneužití (§5 zákona), tudíž je v jejím vlastním zájmu tato DV uchovat mimo dosah kohokoliv jiného. Z tohoto je patrné, že DO a DV mají naprosto rozdílný charakter.

Certifikát, který splňuje požadavky zákona je nazýván kvalifikovaným certifikátem. Je to takový certifikát, který vydává certifikační autorita splňující požadavky §6 až §9 a který má náležitosti definované v §12.

V praxi elektronického podepisování musíme počítat s tím, že vydané certifikáty nemají časově neomezenou platnost, ba naopak mohou platit po dobu určitou (což je možné zjistit přímo z certifikátu - §12 odst. 1h zákona) a nebo mohou být za určitých okolností zneplatněny (§6 odst. 7,8). Proto je nutné si v případě ověřování podpisu obstarat aktuální certifikát a pokud máme certifikát, který by měl být platný podle jím obsažených údajů, tak si alespoň ověříme, zda nebyl zneplatněn (§6 odst. 1g,h).

Dále jsou pro certifikáty charakteristická různá omezení jejich použití, a to buď vzhledem k maximální hodnotě podepisovaných transakcí, či vzhledem k charakteru dokumentů, které mohou být příslušným EP podepisovány. Informace o těchto omezeních jsou taktéž obligatorní součástí certifikátů vydávaných v souladu se zákonem.

Díky tomu, že každý zaručený certifikát obsahuje mj. elektronický podpis certifikační autority splňující požadavky zákona, je zaručena autentičnost vydávaných certifikátů.

Autentičnost elektronického podpisu z pohledu českého práva

Z §3 zákona zjistíme, jaké náležitosti musí být splněny, aby byla naplněna právní domněnka pravosti elektronického podpisu. Datovou zprávu považujeme dle českého právního řádu za podepsanou v případě, že byl použit zaručený elektronický podpis založený na kvalifikovaném certifikátu a vytvořený pomocí prostředku pro bezpečné vytváření elektronického podpisu. Obsah pojmu elektronický podpis je definován v §2 odst. b. Prostředek pro bezpečné vytváření elektronického podpisu musí splňovat předpoklady stanovené v §17.

V oblasti veřejného práva jsou však na elektronické podpisy kladeny zákonem vyšší nároky (§11), neboť jsou ověřovány na základě kvalifikovaných certifikátů, které musí vydat akreditovaný poskytovatel certifikačních služeb. Takový poskytovatel musí splňovat nejen podmínky stanovené pro poskytovatele vydávající kvalifikované certifikáty stanovené v §6 ale musí být také akreditován podle §9 a §10.

Odpovědnost poskytovatele certifikačních služeb za škodu

Poskytovatelé odpovídají za škodu podle občanského zákoníku, ale pouze do výše, která byla sjednána mezi poskytovatelem a osobou, jejíž elektronický podpis má certifikát ověřovat (§7). V tomto bodě bych se chtěl blíže věnovat praktickým aspektům vztahu uvedených subjektů. Poskytovatelé certifikačních služeb obvykle budou poskytovat certifikáty široké veřejnosti bezplatně, či pouze v ceně vynaložených nákladů. Jejich profit se bude zakládat na financích poskytnutých ze strany osob, jejichž elektronické podpisy mají být certifikáty ověřovány. Tyto subjekty spolu uzavřou smlouvu (§6 odst.1n) jejíž předmětem bude poskytování certifikátu. Jedná se o úplatný kontrakt a částka, za kterou bude tato smlouva zpoplatněna, bude odvozena od hodnoty transakcí, které mohou být v budoucnu elektronickým podpisem podepsány. Samozřejmě, že obsah uvedené smlouvy zahrne také omezení hodnoty podepisovaných transakcí. Je zřejmé, že poskytovatel bude žádat větší částku za vydávání certifikátu, jímž mohou být ověřovány podpisy např. pod objednávkami zboží za milióny korun, než za certifikát, který bude ověřovat elektronické podpisy v oblasti soukromé korespondence.

Úřad pro ochranu osobních údajů – http://www.uoou.cz

Mnohé pravomoci na poli elektronického podepisování jsou svěřeny Úřadu pro ochranu osobních údajů (dále jen „úřad“). Pro běžného uživatele elektronického podpisu je důležité, že úřad informuje o udělených akreditacích a ověřuje bezpečnost nástrojů elektronického podpisu. To, které nástroje elektronického podepisování můžeme používat, bychom se měli dozvědět prostřednictvím vyhlášky úřadu (§6 odst. 1j a §9 odst. 2e).

Velmi diskutovaným problémem elektronického podpisu je absence fyzické přítomnosti subjektů na jednom místě v okamžiku podepisování. To sebou přináší nezanedbatelný problém. Pokud podepisujeme určitý dokument současně s adresátem na stejném místě, je snadné si zajistit kopii tohoto dokumentu, případně potvrzení o doručení. Taktéž pokud využíváme klasických poštovních služeb můžeme podepsaný dokument zaslat doporučeně. V tomto případě, ale nemůžeme jednoznačně prokázat, co bylo obsahem doporučené zásilky. Nejhorší situace je však u EP, který nezná nic podobného doručence a ani zákon se této problematice nevěnuje. Jak budu moci prokázat, že jsem své daňové přiznání zaslal včas elektronickou cestou? Další příklad si můžeme vzít z komerčního sektoru. Pokud si kupující objedná zboží elektronickou cestou, zaváže se zboží odebrat a zaplatit. Prodávajícímu sice vznikne formální povinnost zboží dodat (kupující bezvýhradně souhlasil s nabídkou prodávajícího, tudíž vznikla smlouva – nejčastěji kupní), ale jak ji kupující prokáže, to skutečně nevím, neboť se touto otázkou nezabývá ani zákon. Bude jen na prodávajícím, zda bude zasílat potvrzení o přijetí objednávky. Pozor! Musíme si uvědomit závažnou skutečnost. Smlouva vznikne již v okamžiku akceptace nabídky ze strany kupujícího. Pokud by nabídka obsahovala také ustanovení, že smlouva vznikne až v okamžiku doručení potvrzení o přijetí objednávky, byl by v nevýhodě pro změnu prodávající, neboť ten by vznik smlouvy nijak nemohl prokázat. A tím se dostáváme do začarovaného kruhu. Doručení elektronického dokumentu může prokázat jednoznačně pouze jeho adresát.

Přes všechny problémy nově zrozeného institutu je uvedení zákona o elektronickém podpisu do právního řádu naší země kladným přínosem pro moderní společnost. Je však nutné, aby byly co nejdříve přijaty prováděcí předpisy, které by měly usnadnit uvedení elektronického podpisu do každodenního života a umožnit jeho použití také v oblasti veřejného práva.