V březnu 2004 prošla úspěšně poslaneckou sněmovnou novela zákona o elektronickém podpisu, kterou se mění zákon číslo 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (tzv. zákon o elektronickém podpisu). Vládou i sněmovnou byl tento návrh schválen a poté předložen senátu. Vzhledem k tomu, že se neočekává, že by senát návrh zamítnul, dá se čekat, že zákon vyjde ve Sbírce zákonů zhruba v květnu. Ministerstvo informatiky v současné době již připravuje prováděcí vyhlášky k tomuto zákonu, které se dají očekávat v létě. Schválený návrh zákona je možno získat jednak z webových stránek poslanecké sněmovny a dále na stránkách ministerstva informatiky [1]. Vzhledem k tomu, že novelizace zákona některé části zákona dává do souladu s příslušnou direktivou Evropské unie 1999/93/ES a některé prvky zavádí oproti staré verzi zcela nově (časová znaménka, elektronické značky), je následující text věnován této novelizaci. Článek seznamuje pouze se základními změnami oproti původnímu zákonu, celý návrh zákona je možno najít v [1]. ]







Uznávání zahraničních certifikátů
První významnou změnou je změna § 16 Uznávání zahraničních certifikátů. Podle této změny je kvalifikovaný certifikát uznán ve všech členských státech EU bez ohledu na to, ve kterém členském státě byl vydán. Tj. certifikát vydaný v jiném členském státě EU jako kvalifikovaný, je kvalifikovaný dle tohoto zákona. Ovšem pokud se nejedná o stát Evropské unie, je kvalifikovaným ve smyslu novelizace zákona pouze za určitých podmínek, mezi které patří, že buď poskytovatel splňuje podmínky práva Evropských společenství a byl akreditován v některém státě EU, nebo za něj některý poskytovatel z EU převezme odpovědnost.

Udělování akreditace
Další významné změny se týkají § 10 Podmínky udělení akreditace pro poskytování certifikačních služeb. Jednak již neplatí dřívější bod 5 "…Akreditovaný poskytovatel certifikačních služeb musí mít sídlo na území České republiky", jako tomu bylo dříve. Dále byl zrušen bod 6 tohoto paragrafu, který omezoval činnost poskytovatele certifikačních služeb na advokáta, notáře nebo znalce a byl často kritizován. Tedy i zahraniční žadatelé mohou získat akreditaci podle našeho zákona. Nadále ovšem v zákoně zůstává při kontaktu s orgány veřejné moci nutnost získat certifikáty atd. pouze od akreditovaného poskytovatele.

Další změny
V § 1 se za slovo "upravuje" vkládají slova "v souladu s právem Evropských společenství1, kde odkaz 1 je směrnice 1999/93/ES Evropského parlamentu a Rady ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy. Dále je pro uvedení do souladu se směrnicí možno poskytovatelem zveřejňovat pouze ty kvalifikované certifikáty, k jejich zveřejnění dal držitel souhlas, jedná se hlavně o odstavec 5 písmeno d) § 6 " Kvalifikovaný poskytovatel certifikačních služeb" a dále byl vložen nový § 6a "Povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů", ve kterém mezi povinnosti poskytovatele patří mj. zajistit provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované, k jejichž zveřejnění dal držitel certifikátu souhlas v souladu s § 6 odst. 5 písm. d), a zajistit dostupnost tohoto seznamu i dálkovým přístupem a údaje v seznamu obsažené při každé změně bez zbytečného odkladu aktualizovat.

Časová razítka
Kromě těchto některých dosti zásadních změn v již existujícím zákoně obsahuje novela několik zcela nových možností při použití elektronického podpisu. První z nich je zavedení tzv. časového razítka. V původním zákoně tento institut bohužel vůbec nebyl zaveden, což v řadě případů bránilo přijetí elektronicky podepisovaných dokumentů (např. u soudů). Dá se tedy říci, že toto zavedení odpovídá na potřeby praxe. Jedná se o datovou zprávu, která přesně definovaným důvěryhodným způsobem spojuje data s časovým údajem. Při elektronické komunikaci je často nutno určit, zda daná datová zpráva již existovala v určitém čase. Například je třeba zjistit, zda byl dokument podepsán před zrušením platnosti certifikátu (z jakéhokoliv důvodu). Časové razítko tímto zákonem zaváděné se nazývá "kvalifikované časové razítko", na rozdíl od běžného časového razítka, které již dnes řada firem poskytuje. Tímto "běžným" razítkem se zákon nezabývá. Kvalifikované časové razítko je definováno v § 2 jako "datová zpráva, kterou vydal kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem a zaručuje, že uvedená data v elektronické podobě existovala před daným časovým okamžikem". Jeho náležitosti jsou definovány v § 12b. Dále v nově vloženém § 6b jsou určeny povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání kvalifikovaných časových razítek. Mezi těmito povinnostmi nutno zdůraznit zejména povinnost poskytovatele zajistit, aby časový údaj vložený do kvalifikovaného časového razítka odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného časového razítka, a dále přijmout odpovídající opatření proti padělání kvalifikovaných časových razítek. Ministerstvo informatiky v budoucnu vydá již výše zmíněnou prováděcí vyhlášku, kterou budou upřesněny podrobnosti vydávání časových razítek [2].

Elektronická značka a kvalifikovaný systémový certifikát
Jde o další zcela nový pojem v zákoně. Podle současného pojetí je elektronický podpis založený na kvalifikovaném certifikátu spojen pouze s fyzickou osobou, tedy kvalifikovaný certifikát získává fyzická osoba, a ta také při podpisu zodpovídá za kontrolu podepisovaného dokumentu. V některých případech je ale žádoucí, aby podpis, resp. určité označení bylo učiněno automaticky bez vizuální kontroly podepisujícího. Protože automatický prostředek žádnou takovou kontrolu neprovádí, není možno takové označení nazývat podpisem a je pro ně zaveden termín elektronická značka. Zatímco zaručený elektronický podpis tedy vytváří fyzická osoba vždy pro jednu zprávu, zde se předpokládá, že je pouze iniciována funkce prostředku, a ten potom již bez součinnosti označující osoby provádí označování. Použití se předpokládá zejména ve výpisech z různých úředních databází, celním řízení atd. Předpokládá se, že by užití těchto značek mohlo vést například k vydávání výpisu z katastru nemovitostí, z rejstříku trestů apod. na základě elektronicky podané žádosti a tento elektronický výpis by měl mít stejnou váhu a stejné právní účinky jako "papírový". Elektronická značka je tedy určitou obdobou zaručeného elektronického podpisu a vůči označovaným datům může mít stejný účinek a stejné vlastnosti jako zaručený elektronický podpis vůči podepisovaným datům. V § 2 navrhované novelizace jsou pojmy týkající se elektronických značek vyjádřeny tak, že elektronickou značkou jsou míněny údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které splňují požadavky v zákoně vyjmenované. Je zaveden pojem "označující osoba", což je buď fyzická osoba nebo právnická osoba nebo organizační složka státu, která drží prostředek pro vytváření elektronických značek a označuje datovou zprávu elektronickou značkou. Elektronickou značkou jsou nazvány údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které splňují požadavek jednoznačného spojení s označující osobou a umožňují její identifikaci prostřednictvím kvalifikovaného systémového certifikátu, a některé další určené požadavky, v zákoně přesně vyjmenované. Dále je do zákona vložen § 3a, který se přímo elektronických značek týká a který říká, že použití elektronické značky založené na kvalifikovaném systémovém certifikátu a vytvořené pomocí prostředku pro vytváření elektronických značek umožňuje ověřit, že datovou zprávu označila touto elektronickou značkou označující osoba. V jeho další části je určeno, že "se má se za to, že označující osoba označila datovou zprávu bez předchozí kontroly vlastního obsahu datové zprávy". To je ovšem velký rozdíl proti elektronickému podpisu. V § 4 se za slova "elektronického podpisu" vkládají slova " nebo elektronické značky" a dále je přidán § 5a Povinnosti označující osoby. Elektronická značka stejně jako elektronický podpis zaručuje integritu dat, resp. rozpoznání narušení integrity dat a dále identifikaci označujícího subjektu. Právní účinky označení značkou ( na rozdíl od podpisu) jsou diskutovány v [2], ovšem domnívám se, že skutečnou realitu ukáže až praxe. Elektronická značka je založena na tzv. kvalifikovaném systémovém certifikátu, který je popsán v § 12a, ve kterém jsou podrobně popsány povinné části kvalifikovaného systémového certifikátu.

Služby poskytovatelů
Zatímco dosavadní zákon se zabýval pouze službou vydávání kvalifikovaných certifikátů, v novelizaci jsou určeny požadavky i na další služby. Jedná se o kvalifikovaná časová razítka, kvalifikované systémové certifikáty, prostředky pro bezpečné vytváření elektronických podpisů. Požadavky na tzv. kvalifikovaného poskytovatele certifikačních služeb jsou soustředěny zejména do § 6, 6a, 6b.

E -podatelny
Vzhledem k tomu, že orgány veřejné moci mají dle různých dalších zákonů povinnost přijímat a odesílat datové zprávy, které mají být opatřeny zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu od akreditovaného poskytovatele certifikačních služeb, jsou zde organizace povinny zachovávat řadu bezpečnostních povinností. Protože se jedná o zcela zásadní a dosti složité povinnosti, je možné a vhodné soustředit tyto činnosti do tzv. elektronických podatelen. Jedná se tedy o specializované pracoviště, pro které je navíc možno vydat prováděcí vyhlášky a tak vytvořit možnost jednotného postupu zejména při dosažení vyžadované bezpečnosti. V zákoně se elektronických podatelen týkají zejména § 11, kde se k dosavadnímu textu připojuje další text, ve kterém je mj. definována funkce elektronické podatelny, a to tak, že "orgán veřejné moci přijímá a odesílá datové zprávy podle odstavce 1 prostřednictvím elektronické podatelny". V § 20 odst. 4 je určeno, že ministerstvo (míněno ministerstvo informatiky) stanoví prováděcím právním předpisem (tedy vyhláškou) strukturu údajů, na základě kterých je možné osobu jednoznačně identifikovat, a postupy orgánů veřejné moci uplatňované při přijímání a odesílání datových zpráv prostřednictvím elektronické podatelny podle § 11 odst. 3. Dle informací v článku [2] by připravovaná vyhláška k e-podatelně měla být více technologicky neutrální a tím umožňovat širší škálu různých řešení.

Závěr
V textu článku byly uvedeny pouze základní změny a novelizace oproti staré verzi zákona. Jak bylo uvedeno, novelizace právě prošla sněmovnou. Účinnost zákona bude od data vyhlášení zákona ve Sbírce zákonů, kromě uznávání zahraničních kvalifikovaných certifikátů, které nabudou účinnosti dnem vstupu České republiky do EU. Navrhované změny by teoreticky měly dát mnohem větší možnosti pro použití elektronického podpisu než dnes, měly by skutečně umožnit rozvoj tzv. e-governmentu. Ovšem teorie se často liší od praxe. Vše bude v budoucnu záležet jednak na postupné změně navazujících zákonů, dále na ceně certifikátů, která je stále pro jednotlivce příliš vysoká, a na celkovém prostředí vytvořeném státní správou pro skutečnou realizaci e-governmentu. Vzhledem k tomu, že poskytovatelé certifikačních služeb budou podle novelizace moci rozšířit okruh svých služeb, dá se očekávat, že by v budoucnu snad i cena certifikátu mohla poklesnout. Zejména, pokud by se na trhu certifikačních služeb objevila konkurence v podobě dalšího akreditovaného poskytovatele, mohlo by v rámci konkurenčního boje dojít ke snížení ceny na hodnotu přijatelnou pro normálního občana. Koneckonců i autorka tohoto textu po zralé úvaze usoudila, že žádost o dětské přídavky raději odnese na příslušný úřad osobně, než aby vydala nemalý peníz za certifikát. Stejně tak musíme jen doufat, že postupně dojde ke změnám řady zákonů, které vlastně elektronické podepisování neumožňují, respektive je nutno stejně vést paralelně papírovou podobu dokumentu. Zatím v souvislosti se současnou verzí zákona je situace spíše tristní a výsledek vůbec neodpovídá vloženým prostředkům. Uvidíme tedy po přijetí novelizace, jak se reálná situace vyvine.

Zdroje:
[1] www.micr.cz/scripts/detail.php?id=201
[2] Hobza, J., Nevřalová, H.: Možnosti zákona o elektronickém podpisu, Data security management 6/ 2003, Praha

Autorka článku, Dagmar Brechlerová, působí na Provozně ekonomické fakultě ČZU a také jako lektor a konzultant v oblasti bezpečnosti IS.