Pojem „jiný typ elektronického podpisu“ se v naší právní úpravě vyskytuje v zákoně č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce, konkrétně v jeho paragrafu 7. Je zde uveden v kontextu elektronického právního jednání mezi soukromoprávními subjekty, a to v rámci výčtu toho, jaké elektronické podpisy lze při takovémto jednání použít k podepisování. Konkrétními druhy elektronických podpisů, které jsou v tomto výčtu explicitně uvedeny, jsou zaručené elektronické podpisy a uznávané elektronické podpisy.
Co zde naopak není explicitně uvedeno, jsou právní účinky jednotlivých druhů elektronických podpisů, jejichž použití se připouští. Obecně přitom různé druhy elektronických podpisů mají výrazně odlišné vlastnosti, a jejich právní účinky by s jejich vlastnostmi měly korespondovat.
Lze použít i kvalifikovaný elektronický podpis?
Pro snazší vysvětlení toho, co může být oním „jiným typem elektronického podpisu“ si nejprve řekněme, že v onom explicitním výčtu chybí kvalifikované elektronické podpisy. Tedy nejvyšší druh elektronických podpisů, který právní úprava zavádí, a to již na úrovni unijního nařízení eIDAS.
Neznamená to ale, že by kvalifikované elektronické podpisy nebylo možné používat v rámci právního jednání mezi soukromoprávními subjekty. Stačí si totiž uvědomit, jak jsou jednotlivé druhy elektronických podpisů v právní úpravě vymezeny: jako do sebe vnořené právní kategorie. Takže kvalifikované elektronické podpisy jsou již zahrnuty v uznávaných elektronických podpisech, jako jejich zvláštní případ. Proto v uvedeném výčtu nemusí být, a také nejsou explicitně uvedeny.
Kvalifikovaný elektronický podpis je totiž takový uznávaný elektronický podpis, který splňuje ještě jednu další podmínku, a to použití kvalifikovaného prostředku pro vytváření elektronických podpisů. Tak právní úprava označuje certifikovanou čipovou kartu či USB token pro bezpečné uchovávání soukromého klíče.
Uznávaný elektronický podpis by ve výčtu nemusel být
Stejně tak ale platí, že i uznávané elektronické podpisy jsou již zahrnuty v zaručených elektronických podpisech, jako jejich zvláštní případ. Proto by v uvedeném explicitním výčtu také nemusely být uvedeny – ale na rozdíl od kvalifikovaných elektronických podpisů zde uvedeny jsou. Vlastně tedy nadbytečně.
Uznávaný elektronický podpis je totiž takový zaručený elektronický podpis, který splňuje jednu další podmínku: je založen na kvalifikovaném certifikátu. To je takový certifikát, u kterého za správnost jeho obsahu ručí jeho vydavatel. Díky tomu se u platných uznávaných elektronických podpisů můžeme spoléhat na identitu podepsané osoby, protože ji dovozujeme právě z obsahu certifikátu.
Naproti tomu u zaručených elektronických podpisů žádná podmínka ohledně certifikátu vznášena není, takže mohou být založeny na jakémkoli certifikátu. I na takovém, jehož obsah neodpovídá skutečnosti. Takže u zaručených elektronických podpisů se obecně nemůžeme spoléhat na identitu podepsané osoby.
Jiným typem elektronického podpisu je takový, který není zaručeným elektronickým podpisem.
Zdůrazněme si znovu, že v explicitním výčtu v § 7 je uznávaný elektronický podpis vlastně nadbytečný, protože je již zahrnut v zaručeném elektronickém podpisu. Stačilo by tedy, aby právě popisované ustanovení § 7 zmiňovalo jen zaručený elektronický podpis, a pak již jen onen „jiný typ elektronického podpisu“.
No a nyní by už mělo být jasné, co může být oním „jiným typem elektronického podpisu“: to ostatní. To, co není zaručeným elektronickým podpisem. Tedy cokoli, co lze ještě zahrnout pod obecnou definici elektronického podpisu, ale co nesplňuje požadavky, kladené na zaručený elektronický podpis.
Prosté podpisy jako neformální termín, kterým si pomohla praxe
Právní úprava ale nezavádí žádný konkrétní druh, resp. typ elektronického podpisu, který by nebyl současně zaručeným elektronickým podpisem. Tudíž pro ně ani nemá žádné konkrétní označení. To si musela vytvořit až běžná praxe, aby se nemusela vyjadřovat opisem a říkat „takový elektronický podpis, který není zaručeným elektronickým podpisem“.
V praxi se nakonec prosadil pojem „prostý elektronický podpis“, i když někdy se lze setkat i s pojmem „primitivní elektronický podpis“.
Prostý elektronický podpis je chápán jinak, než ostatní druhy podpisů
Zdůrazněme si ale, že neformální pojem „prostý elektronický podpis“ je chápán jinak, než ostatní pojmy práva, které označují konkrétní druhy, resp. typy elektronických podpisů. Rozdíl je v tom, že zatímco pojmy „zaručený elektronický podpis“, „uznávaný elektronický podpis“ či „kvalifikovaný elektronický podpis“ jsou do sebe vnořené pojmové kategorie, jak jsme si ostatně již popisovali, v případě pojmu „prostý elektronický podpis“ tomu tak není.
Jinými slovy: kvalifikovaný elektronický podpis je již zahrnut v uznávaném elektronickém podpisu jako jeho zvláštní případ. Uznávaný elektronický podpis je již zahrnut v zaručeném elektronickém podpisu, jako jeho zvláštní případ. Ale zaručený elektronický podpis není zahrnut v prostém elektronickém podpisu. Ten je vnímán jako jiná, a to disjunktní, neboli oddělená pojmová kategorie, která se nijak nepřekrývá se zaručenými elektronickými podpisy. Je vlastně jejich komplementem, resp. doplňkem.
Co všechno může být prostým elektronickým podpisem?
To, co je zaručeným elektronickým podpisem, musí být považováno za elektronický podpis, a tedy naplňovat jeho definici, a současně musí splňovat – a to kumulativně, neboli současně - čtyři konkrétní požadavky, které nařízení eIDAS zavádí ve svém článku č. 26. Z toho pak lze dovodit, co může být považováno za prostý elektronický podpis: to, co je stále elektronickým podpisem, neboli co také naplňuje definici elektronického podpisu, ale co nesplňuje alespoň jeden z oněch požadavků, kladených na zaručené elektronické podpisy.
Samotná definice elektronického podpisu, tak jak ji zavádí nařízení eIDAS, je přitom velmi obecná a v zásadě připouští, aby elektronickým podpisem bylo „cokoli elektronického“. Fakticky jakákoli data, která mají představovat něčí podpis nějakých jiných dat. Tedy například i nějaký kus textu (napsaný „elektronicky“, v nějakém elektronickém dokumentu), obrázek, smajlík, ikona apod.
Konkrétnější jsou až ony čtyři požadavky, kladené souběžně na zaručené elektronické podpisy. Pojďme si je postupně rozebrat a popsat, jaké důsledky má nesplnění kteréhokoli z nich.
Když podpis není jednoznačně spojen s podepisující osobou
První ze čtyř požadavků, které jsou kladeny na zaručené elektronické podpisy, je požadavek na jednoznačné spojení podpisu s podepisující osobou. To znamená, že podpis by měl být charakteristický a unikátní pro konkrétní osobu. Zjednodušeně jde o to, aby různé osoby měly různé podpisy, a konkrétní podpis se tak dal jednoznačně spojit vždy jen s jednou osobou, a nikoli s více různými osobami současně.
Pokud by u prostého elektronického podpisu nebyl splněn právě tento požadavek, znamenalo by to, že prostý elektronický podpis různých osob může být stejný, a není tudíž možné rozlišit, komu patří. V krajním případě by se všechny osoby mohly podepisovat stejně. Například slovem „podpis“, ikonou smajlíku, číslicí 1 apod.
Když není možné identifikovat podepsanou osobu
Druhý požadavek je o tom, aby existoval nějaký způsob, jak se dozvědět, kdo by měl být považován za podepisující, resp. již podepsanou osobu. Abychom si mohli přečíst alespoň něčí příjmení, a případně i křestní jméno.
U zaručených elektronických podpisů je to řešeno skrze certifikát, ve kterém jsou uvedeny identifikační údaje jeho držitele, alespoň na úrovni jména a příjmení – a z těchto údajů dovozujeme, koho bychom měli považovat za podepsanou osobu. To sice není jednoznačné, stejně jako u čitelných vlastnoručních podpisů, protože osob stejného jména a příjmení může být více. Nicméně jednoznačnost určení podepsané osoby není u zaručených elektronických podpisů požadována.
Stejně tak není u zaručených elektronických podpisů požadováno, aby identifikace podepisující osoby byla spolehlivá. Abychom se mohli spoléhat, že odpovídá skutečnosti. Něco takového je požadováno až od vyšších druhů elektronických podpisů, konkrétně od těch uznávaných a kvalifikovaných.
Nicméně: pokud by u prostého elektronického podpisu nebyl splněn právě tento požadavek, znamenalo by to, že není vůbec možné nějak identifikovat toho, komu by podpis měl patřit. Tedy kdo by měl být považován za podepsanou osobou.
Když nemáte kontrolu nad tím, kdo se podepisuje za vás
Třetí z požadavků, kladených na zaručené elektronické podpisy, mluví o tom, že elektronický podpis, který je sám o sobě kusem dat, je vytvářen z nějakých jiných dat. A to z dat pro vytváření elektronických podpisů, jak právní úprava označuje soukromý klíč. A požadavkem je, aby použití těchto dat mohlo probíhat jen pod výhradní kontrolou toho, komu patří. Důvodem je to, že tato data pro vytváření elektronických podpisů jsou tím, co je specifické a unikátní pro konkrétní podepisující osobu, a co dělá její elektronický podpis jejím podpisem. V praxi jde o onen soukromý klíč, kterým by skutečně neměl vládnout nikdo jiný, než jeho oprávněný držitel.
Pokud by tomu tak nebylo, znamenalo by to, že podpis někoho konkrétního může vytvářet někdo jiný, aniž by nad tím měl kontrolu ten, komu výsledný podpis patří. Neboli: že se za vás může řádně podepisovat někdo jiný.
Když lze přenést podpis z jednoho dokumentu na jiný dokument
Čtvrtý požadavek, kladený na zaručené elektronické podpisy, požaduje, aby se dala detekovat jakákoli změna podepsaných dat. To reálně znamená, že zaručený elektronický podpis je nepřenosný: podpis jednoho dokumentu není možné přenést na jiný dokument, protože to by představovalo změnu podepsaných dat. A takováto změna by byla ihned detekována, protože podpis by byl vyhodnocen jako neplatný, a to z důvodu porušení integrity podepsaných dat, neboli z důvodu jejich změny.
Pokud by u prostého elektronického podpisu nebyl splněn tento požadavek, znamenalo by to, že podpis je možné přenášet mezi dokumenty. Že někdo podepíše jeden dokument, ale pak může být již podepsaný dokument libovolně pozměněn, nebo již vytvořený podpis přenesen na úplně jiný dokument.
I „jiný typ elektronického podpisu“ lze legalizovat
Ať už je nesplněný kterýkoli z uvedených čtyř požadavků, má to dosti zásadní a velmi negativní důsledky pro vlastnosti prostých elektronických podpisů, jak z hlediska určení podepsané osoby, tak i pokud jde o zachycení podepsaného obsahu. Tyto jejich nedostatky však lze napravit při tzv. legalizaci elektronických podpisů, postupem podle zákona o právu na digitální služby, při ověřování pravosti elektronických podpisů u notářů či při prohlášení o pravosti elektronického podpisu u advokátů. Protož zde je jednoznačně zjišťována a spolehlivě zaznamenávána totožnost žadatele o tento úkon, tedy podepisující osoby, a připojením ověřující doložky je podepsaný obsah chráněn proti změně. Proto na vlastnostech samotného legalizovaného, resp. ověřovaného elektronického podpisu vlastně vůbec nezáleží, a může to tedy být jak onen „jiný typ elektronického podpisu“, resp. prostý elektronický podpis, tak i kterýkoli z ostatních druhů elektronických podpisů.
Díky tomu mohou mít takto legalizované či ověřené prosté elektronické podpisy stejné právní účinky, jako úředně ověřené podpisy, a mohou také nahradit uznávané elektronické podpisy tam, kde jsou tyto požadovány.