Obsah
Vysvětlení k elektronickým podpisům a jejich druhům
- Typ:
- Dokument, Vysvětlení, Učební podklad
- Anotace:
- Ucelený přehled problematiky elektronických podpisů a jejich druhů a souvisejících úskalí
- Autoři:
- EGdílna, Michal Rada, Jana Čížková, Věra Kopřivová
- Verze:
- 1.0
- Datum:
- 2025-01-21
- Stav:
- vydané
- Téma:
- Elektronický podpis, eIDAS, Důvěryhodnost
Stručné shrnutí
V rámci elektronických podpisů se často setkáváme s různými pojmy, které reprezentují (měly by) jednotlivé typy/druhy elektronických podpisů využívaných při elektronické komunikaci.
- Máme tři základní druhy podpisu: Prostý podpis, zaručený podpis a kvalifikovaný podpis. Pouze druhé dva jsou spojené s identifikací podepisující osoby a mají zaručenou právní důvěru.
- Na evropské úrovni upravuje podpisy jako součást důvěryhodnosti nařízení EUR 910/2014 (eIDAS), v České republice důvěryhodnost v rámci veřejnoprávního práva upravuje zákon 297/2016 Sb. (eIDAS zákon).
- Pro styk s veřejnoprávními subjekty je podstatné to, že je nutné využívat podpis spojený s identifikací podepisujícího. Takovým podpisem je jen zaručený (na základě certifikátu) a kvalifikovaný (se všemi úrovněmi zabezpečení).
- V soukromoprávním či neregulovaném styku pak postačí klidně i prostý elektronický podpis, pokud je identifikována podepisující osoba.
Základní pojmy
Důležité pojmy spojené s elektronickými podpisy:
Certifikát pro elektronický podpis : certifikátem pro elektronický podpis se rozumí elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby
elektronický podpis : elektronickým podpisem se rozumí data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání.
Kvalifikovaný certifikát pro elektronický podpis (QSC) : kvalifikovaným certifikátem pro elektronický podpis se rozumí certifikát pro elektronický podpis, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze I
Kvalifikovaný elektronický podpis : kvalifikovaným elektronickým podpisem se rozumí zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy
Osobní identifikační údaje : osobními identifikačními údaji se rozumí soubor údajů vydaných v souladu s právem Unie nebo vnitrostátním právem a umožňujících určit totožnost fyzické či právnické osoby nebo fyzické osoby zastupující jinou fyzickou či právnickou osobu
Podepisující : podepisující osobou se rozumí fyzická osoba, která vytváří elektronický podpis
Spoléhající se strana : fyzická nebo právnická osoba, které se spoléhají na elektronickou identifikaci, evropské peněženky digitální identity nebo jiné prostředky pro elektronickou identifikaci nebo na službu vytvářející důvěru
Zaručený elektronický podpis : zaručeným elektronickým podpisem se rozumí elektronický podpis, který splňuje požadavky Čl 26 Nařízení eIDAS a který především možňuje jednoznačně identifikovat podepisující osobu
Druhy elektronického podpisu
V rámci elektronických podpisů rozlišujeme několik druhů, které se liší jednak svým technickým provedením a jednak i důvěryhodností takového podpisu.
elektronický podpis : elektronickým podpisem se rozumí data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání.
Zaručený elektronický podpis : zaručeným elektronickým podpisem se rozumí elektronický podpis, který splňuje požadavky Čl 26 Nařízení eIDAS a který především možňuje jednoznačně identifikovat podepisující osobu
Kvalifikovaný elektronický podpis : kvalifikovaným elektronickým podpisem se rozumí zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy
Druhy elektronických podpisů definuje nařízení EUR 910/2014 (eIDAS), které je v oblasti elektronických podpisů transponováno do právního řádu ČR zákonem 297/2016 Sb. (eIDAS zákon).
První je definice elektronického podpisu jako takového, ale zároveň opravdu může existovat elektronický podpis bez dalšího přívlastku - tedy Prostý elektronický podpis.
Druhé dva jsou už podpisy s určitou jasnou mírou záruky jednoznačné identifikace podepisující osoby. Zaručený i kvalifikovaný je elektronický podpis podle zákona 297/2016, musí jít o podpis učiněný speciálními prostředky v rámci. Jedná se o podpisy založené na kriptografii a certifikátech.
Níže jsou jednotlivé druhy seřazené dle důvěryhodnosti a zaručenosti podepisující osoby:
- Kvalifikovaný: Je založen na kvalifikovaném certifikátu a učiněn kvalifikovaným prostředkem, tedy je nejdůvěryhodnější.
- Zaručený (u nás také uznávaný): je vytvořen na základě certifikátu, nejlépe kvalifikovaného certifikátu
- Prostý: sám o sobě nemá jednoznačnou vazbu na podepisující osobu
Typy podpisu dle formy a důvěryhodnosti
Prostý elektronický podpis
V rámci elektronických podpisů existuje jeden druh podpisu, který nemá nic společného s popisy na certifikáty a kriptografií. Obecně totiž elektronický podpis jako takový je souborem dat pro podepsání a nemá s certifikáty nic moc společného.
Elektronický podpis bez přívlastků a nebo tzv. prostý elektronický podpis jsou takřka jakákoliv data reprezentující podpis.
Definici elektronického podpisu obsahuje nařízení EUR 910/2014 (eIDAS):
elektronický podpis : elektronickým podpisem se rozumí data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání.
Příkladem je podepsání stylusem v rámci dokumentu na tabletu. Pokud v kombinaci třeba s e-mailem, nebo s jiným určením osoby, jej lze považovat za dostatečný a platný.
Elektronický podpis podle zákona 297/2016
Jde o elektronický podpis přinášející úroveň důvěry, že jej učinil vlastník podpisu a tedy že jej je možno spojit s konkrétní podepisující osobou, kterou lze jednoznačně identifikovat.
Zákon pro podpisy definuje v souladu s nařízením EUR 910/2014 (eIDAS) dvě hlavní úrovně:
Zaručený elektronický podpis : zaručeným elektronickým podpisem se rozumí elektronický podpis, který splňuje požadavky Čl 26 Nařízení eIDAS a který především možňuje jednoznačně identifikovat podepisující osobu
Jde o podpis založený na certifikátu, který jednoznačně identifikuje podepisující osobu a u kterého lze s dostatečnou mírou záruky předpokládat, že je pod vlastní kontrolou právě jen jedné podepisující osoby. Jde tedy o podpis, který obsahuje identifikaci podepisujícího. Podpis je většinou založen na kvalifikovaném certifikátu vydaném kvalifikovaným poskytovatelem, který vydá certifikát jen jedinečně ztotožněné osobě a tento certifikát obsahuje takové osobní identifikační údaje, díky kterým bude každý podpis svázán s identitou této osoby.
Důležité poznámky
Nic jako biometrický podpis neexistuje
Občas se v prováděcí legislativě a nebo v metodikách úřadů objevují pojmy jako “biometrický podpis”, nebo “biometrický elektronický podpis”. Věcně se tím myslí třeba to, že někdo podepíše vlastnoručním podpisem něco na tabletu. Ale pozor, to není správné použití a vznikají tak dvě velice nebezpečné situace:
- Autor si myslí, že tím řeší podepsání na tabletu, zde ale nejde o nic biometrického a jde o “prostý elektronický podpis”, nebo
- Autor trvá na obsahu biometrických dat a stopy s tím, že se domnívá, že pak bude možno grafologicky ověřit pravost podpisu. Tím se ale dostává do pasti.
Elektronická verze obrazu vlastnoručního podpisu (tedy onen ztvárněný podpis v dokumentu, učiněný třeba na tabletu), je jednoduše “elektronický podpis” (bez dalších přívlastků) a nebo ještě lépe “prostý elektronický podpis”. Data takového podpisu neobsahují (a ani nesmí) jakékoliv biometrické ukazatele, ať už jde o biometrická data o 3D podobě samotného podpisu, nebo nedej bože o biometrické údaje související třeba s potvrzením podpisu otiskem prstu (jak je tomu v některých rádoby důvěryhodných aplikacích slibujících biometrický podpis).
Má-li elektronický podpis jako data obsahovat třeba biometrická data o 3D dráze podpisu při podepisování, nejsou (a ani nemohou) být tato data součástí samotného elektronického podpisu, jak jej definuje zákon. Tato biometrická data mohou být sice obsažena jako data, ale nesouvisle s daným podpisem. Navíc jde o vysoce citlivá biometrická data, jejichž zpracování podléhá povinnostem souvisejícím se správou a ochranou osobních údajů. Pozor, tato data působí jako data, na základě kterých by bylo možno jednoznačně identifikovat konkrétní podepisující osobu, neboť se může někdo neznalý domnívat, že jejich následnou analýzou by bylo možno určit, zda podpis učinila opravdu ta jedna jediná osoba, ale to není pravda. Nejde o grafologický podklad a nelze si jej takto vykládat. Neexistuje jakákoliv uznávaná zaručená metoda analýzy dat, která by dokázala spojit dva takové podpisy s jednou osobou a samotná tato data nikdy neumožní jednoznačně identifikovat konkrétní fyzickou osobu. Ještě horší by pak bylo, kdyby někdo stavěl identifikaci osoby na datech z biometrického zabezpečení třeba u mobilního telefonu, což bohužel některé obskurní mobilní aplikace slibují. To je pak zcela nepřípustné.
Biometrický podpis jako záruka možnosti později ověřit pravost a platnost podpisu, je tedy nesmysl. U podpisu jde vždy o kombinaci identifikace a podpisu, viz třeba Co je a není podpis. Samotným podpisem ani jakoukoliv jeho kombinací s biometrickými daty nelze (a ani to není zákonem přípustné) jednoznačně identifikovat konkrétní osobu, natož pak určit její identitu na základě těchto dat.
Jak to tedy je?
Ten údajný “biometrický podpis” je ve skutečnosti Prostý elektronický podpis, nikoliv ovšem dle zákona 297/2016 Sb. (eIDAS zákon), ale podle EUR 910/2014 (eIDAS) s účinkem dle 89/2012 Sb. (občanský zákoník), kterýžto ve spojení s jednoznačnou identifikací osoby, plně postačí jako vyjádření vůle. Tam, kde se vyžaduje Elektronický podpis podle zákona 297/2016, musí jít o podpis učiněný speciálními prostředky v rámci vazby podpisu na certifikát a to je úplně jiná oblast. Viz také Druhy elektronického podpisu.