Občas se v prováděcí legislativě a nebo v metodikách úřadů objevují pojmy jako “biometrický podpis”, nebo “biometrický elektronický podpis”. Věcně se tím myslí třeba to, že někdo podepíše vlastnoručním podpisem něco na tabletu. Ale pozor, to není správné použití a vznikají tak dvě velice nebezpečné situace:

1. Autor si myslí, že tím řeší podepsání na tabletu, zde ale nejde o nic biometrického a jde o “prostý elektronický podpis”, nebo
2. Autor trvá na obsahu biometrických dat a stopy s tím, že se domnívá, že pak bude možno grafologicky ověřit pravost podpisu. Tím se ale dostává do pasti.

Elektronická verze obrazu vlastnoručního podpisu (tedy onen ztvárněný podpis v dokumentu, učiněný třeba na tabletu), je jednoduše “elektronický podpis” (bez dalších přívlastků) a nebo ještě lépe “prostý elektronický podpis”. Data takového podpisu neobsahují (a ani nesmí) jakékoliv biometrické ukazatele, ať už jde o biometrická data o 3D podobě samotného podpisu, nebo nedej bože o biometrické údaje související třeba s potvrzením podpisu otiskem prstu (jak je tomu v některých rádoby důvěryhodných aplikacích slibujících biometrický podpis).

Má-li elektronický podpis jako data obsahovat třeba biometrická data o 3D dráze podpisu při podepisování, nejsou (a ani nemohou) být tato data součástí samotného elektronického podpisu, jak jej definuje zákon. Tato biometrická data mohou být sice obsažena jako data, ale nesouvisle s daným podpisem. Navíc jde o vysoce citlivá biometrická data, jejichž zpracování podléhá povinnostem souvisejícím se správou a ochranou osobních údajů. Pozor, tato data působí jako data, na základě kterých by bylo možno jednoznačně identifikovat konkrétní podepisující osobu, neboť se může někdo neznalý domnívat, že jejich následnou analýzou by bylo možno určit, zda podpis učinila opravdu ta jedna jediná osoba, ale to není pravda. Nejde o grafologický podklad a nelze si jej takto vykládat. Neexistuje jakákoliv uznávaná zaručená metoda analýzy dat, která by dokázala spojit dva takové podpisy s jednou osobou a samotná tato data nikdy neumožní jednoznačně identifikovat konkrétní fyzickou osobu. Ještě horší by pak bylo, kdyby někdo stavěl identifikaci osoby na datech z biometrického zabezpečení třeba u mobilního telefonu, což bohužel některé obskurní mobilní aplikace slibují. To je pak zcela nepřípustné.

Biometrický podpis jako záruka možnosti později ověřit pravost a platnost podpisu, je tedy nesmysl. U podpisu jde vždy o kombinaci identifikace a podpisu, viz třeba Co je a není podpis. Samotným podpisem ani jakoukoliv jeho kombinací s biometrickými daty nelze (a ani to není zákonem přípustné) jednoznačně identifikovat konkrétní osobu, natož pak určit její identitu na základě těchto dat.

Jak to tedy je?

Ten údajný “biometrický podpis” je ve skutečnosti prostý elektronický podpis, nikoliv ovšem dle zákona 297/2016 Sb. (zákon o EIDS), ale podle eidas s účinkem dle 89/2012 Sb. (občanský zákoník), kterýžto ve spojení s jednoznačnou identifikací osoby, plně postačí jako vyjádření vůle. Tam, kde se vyžaduje elektronický podpis podle zákona 297/2016, musí jít o podpis učiněný speciálními prostředky v rámci vazby podpisu na certifikát a to je úplně jiná oblast. Viz také Druhy elektronického podpisu.