Presentace z workshopu zaměřeného na konkrétní dopady Nařízení Rady Evropy eIDAS na elektronické systémy spisové služby, který seznamuje účastníky se situací po osmi měsících nabytí účinnosti eIDAS a upozorňuje na nejčastější chyby, kterých se původci v oblasti dokumentů v digitální podobě vzhledem k této směrnici dopouštějí.
1. Praktické dopady eIDAS na
správu dokumentů v digitální
podobě, například na
elektronickou spisovou službu
Praha, 21. 2. 2017
2. eIDAS - krátká rekapitulace
• eIDAS Nařízení Evropského parlamentu a Rady (EU)
č._910/2014 ze dne 23. července 2014, o elektronické
identifikaci a službách vytvářejících důvěru pro elektronické
transakce na vnitřním trhu a o zrušení směrnice
1999/93/ES
Část e-podpis, pečeť, razítko – od 1.7.2016
Část e-identita, e-doručování – od 9.2018
3. eIDAS - krátká rekapitulace
• E-podpis, pečeť, razítko
– Elektronický podpis – projev vůle (vyjádřený podepsáním)
– Elektronická pečeť – integrita dat a správnost původu
– Elektronické časové razítko – existence dat v daném čase
• E-identita – sloužící pro identifikaci osoby (v rámci on-line
služeb)
• E-doporučené doručování – sloužící k doručování
na vnitřním trhu
4. eIDAS - krátká rekapitulace
• Výsledky ověření ukládat jako důkaz
včetně e-dokumentu a e-podpisu
• Odpovědnost za škodu
při nepřijetí e-dokumentu s odpovídajícím e-podpisem, z EU
• Vytvářet PDF/A-2
podpis PAdES nelze plnohodnotně vložit do starších verzí PDF/A
5. Národní legislativa, navazující
na nařízení eIDAS
• Zákon 297/2016 Sb. (účinný od 19.9.2016), o službách
vytvářejících důvěru pro elektronické transakce
Zrušení zákona 227/2000 Sb., o elektronickém podpisu a zrušení dalších 18
zákonů, vyhlášek nebo jejich částí.
6. Národní legislativa, navazující
na nařízení eIDAS
• Zákon 298/2016 Sb. (účinný od 19.9.2016), kterým se mění
některé zákony v souvislosti s přijetím zákona o službách
vytvářejících důvěru pro elektronické transakce
Změna zákona 499/2004 Sb., o archivnictví a spisové službě
Změna zákona 300/2008 Sb., o elektronických úkonech a autorizované
konverzi dokumentů a změny dalších 64 zákonů.
7. Národní legislativa, navazující
na nařízení eIDAS
• Autorizovaná konverze dokumentů
§ 22 zákona č. 300/2008 Sb. odst. 2) Dokument, který provedením
konverze vznikl (dále jen „výstup“), má stejné právní účinky jako
dokument, jehož převedením výstup vznikl (dále jen „vstup“).
• Převedení, změna datového formátu
§ 69a zákona č. 499/2004 Sb. odst. 4) Dokument vzniklý
převedením nebo změnou datového formátu opatří určený původce
doložkou….Takový dokument má stejné právní účinky jako ověřená
kopie dokumentu, jehož převedením nebo změnou datového
formátu vznikl.
8. Národní legislativa, navazující
na nařízení eIDAS
Zákon č. 297/2016 §11 - Veřejnoprávní podepisující, který podepsal
elektronický dokument, kterým právně jedná, způsobem podle § 5, a
osoba, která podepsala elektronický dokument, kterým právně jedná
při výkonu své působnosti, způsobem podle § 5, opatří podepsaný
elektronický dokument kvalifikovaným elektronickým časovým
razítkem.
Zákon č. 297/2016 §11 - Veřejnoprávní podepisující, který zapečetil
elektronický dokument, kterým právně jedná, způsobem podle § 8, a
osoba, která zapečetila elektronický dokument, kterým právně jedná
při výkonu své působnosti, způsobem podle § 8, opatří zapečetěný
elektronický dokument kvalifikovaným elektronickým časovým
razítkem.
9. Národní legislativa, navazující
na nařízení eIDAS
Zákon č. 499/2004 §69 odst. 5)
- Neprokáže-li se opak, dokument v digitální podobě se považuje za
pravý, byl-li podepsán uznávaným elektronickým podpisem nebo
označen uznávanou elektronickou značkou osoby, která k tomu byla
v okamžiku podepsání nebo označení oprávněna, a následně za doby
platnosti uznávaného elektronického podpisu a kvalifikovaného
certifikátu, na kterém je uznávaný elektronický podpis založen, nebo
uznávané elektronické značky a kvalifikovaného systémového
certifikátu, na kterém je uznávaná elektronická značka založena,
opatřen kvalifikovaným časovým razítkem. To platí i pro dokumenty
vzniklé z činnosti původců, kteří nejsou určenými
10. Současný stav a možná rizika,
která z něj vyplývají
„národní“ legislativa, navazující na nařízení eIDAS, měla
zpoždění – adaptační zákon k části nařízení
o důvěryhodných službách nabyl účinnosti 19. 9. 2016.
Adaptační zákon k části týkající se elektronické identifikace
je zatím stále ve stádiu příprav.
11. Současný stav a možná rizika,
která z něj vyplývají
Tři tuzemské certifikační autority, původně akreditované
podle předchozí právní úpravy, mají díky přechodným
ustanovením nařízení eIDAS dočasný statut kvalifikovaného
poskytovatele služeb vytvářejících důvěru (do 1.7.2017).
Mají tak čas na získání tohoto statutu již podle nové právní
úpravy a v mezidobí mohou řádně fungovat.
12. Současný stav a možná rizika,
která z něj vyplývají
Kvalifikované (ale i komerční a jiné) certifikáty, vydané ještě
podle původní právní úpravy, mohou jejich držitelé nadále
používat až do konce řádné doby jejich platnosti.
13. Současný stav a možná rizika,
která z něj vyplývají
Nové certifikáty, potřebné pro vytváření kvalifikovaných
elektronických podpisů, vydávají již dvě autority: I.CA a
PostSignum. Obě také nabízejí kvalifikované prostředky pro
vytváření elektronických podpisů.
14. Současný stav a možná rizika,
která z něj vyplývají
Již se začínají používat elektronické pečeti, zavedené novým
nařízením (místo našich el. značek). Přešel na ně už např.
Obchodní rejstřík.
15. Současný stav a možná rizika,
která z něj vyplývají
Naplňování povinností z nového nařízení a adaptačního zákona
„není ideální“: nejrůznější výpisy z veřejných rejstříků stále
nejsou opatřovány časovými razítky a jejich podpisy (značky,
pečeti) nemají požadované referenční formáty. Výstupy
autorizované konverze do elektronické podoby stále nemají
předepsanou náležitost (kvalifikovaný el. podpis osoby, která
konverzi provedla).
16. Současný stav a možná rizika,
která z něj vyplývají
Jak příjemce pozná, o jaký druh podpisu jde? Jak pozná zda
jde o podpis, nebo jiný autentizační prvek?
To vše totiž potřebuje znát, aby dokázal určit, zda jsou
splněny požadavky, které jsou na konkrétní úkon (právní
jednání) kladeny samotným nařízením eIDAS či dalšími
právními předpisy, jako je zákon o službách vytvářejících
důvěru, nebo další zákony a prováděcí předpisy.
17. Současný stav a možná rizika,
která z něj vyplývají
Aby příjemce (spoléhající se strana) mohl vyhovět všem požadavkům,
které na něj mohou být kladeny, potřebuje znát odpovědi ze tří
různých okruhů otázek:
zda jde o elektronický podpis, elektronickou značku či
elektronickou pečeť.
o jaký druh elektronického podpisu jde: zda o kvalifikovaný el.
podpis, uznávaný el. podpis, zaručený el. podpis či jiný druh
podpisu. Obdobně pro značky a pečetě.
jaký je formát elektronického podpisu (značky, pečetě): zda jde
o úroveň B, T, LT či LTA, případně o podpis na „kontejneru“, nebo
o jiný formát.
18. Současný stav a možná rizika,
která z něj vyplývají
Kvalifikovaný elektronický podpis (QES, Qualified
Electronic Signature): po „technické“ stránce musí jít
o zaručený elektronický podpis (AdES, Advanced
Electronic Signature), musí být založen na
kvalifikovaném certifikátu pro elektronický podpis a
musí být vytvořen pomocí kvalifikovaného (dříve,
podle původní terminologie: bezpečného)
prostředku pro vytváření elektronických podpisů. Tak
se říká čipovým kartám a USB tokenům, které prošly
potřebnou certifikací.
19. Současný stav a možná rizika,
která z něj vyplývají
Zaručený elektronický podpis, založený na
kvalifikovaném certifikátu: liší se od
kvalifikovaného el. podpisu absencí požadavku
na použití kvalifikovaného prostředku (čipové
karty/tokenu). Stále tedy musí jít o zaručený
elektronický podpis a musí být založený na
kvalifikovaném certifikátu. V praxi: k jeho
vytvoření není nutný kvalifikovaný prostředek
(certifikovaná čipová karta/token).
20. Současný stav a možná rizika,
která z něj vyplývají
Zaručený elektronický podpis (AdES, Advanced
Electronic Signature): na certifikát, na kterém je založen,
nejsou kladeny žádné požadavky. Může to tedy být
jakýkoli certifikát, třeba i testovací (který si může vyrobit
kdokoli a napsat si do něj cokoli chce).
„prostý“ elektronický podpis (též: elektronický podpis
bez přívlastku, anglicky: ES, Electronic Signature):
takovýmto podpisem může být cokoli, co má
elektronickou podobu a co někdo použije jako svůj
podpis.
21. Současný stav a možná rizika,
která z něj vyplývají
„Zákon o službách vytvářejících důvěru“
zachovává dosud používaný pojem „uznávaný
elektronický podpis“, ale dává mu jiný obsah a
význam, než jaký měl dosud: nově jde o jakousi
legislativní zkratku za dva různé druhy
elektronických podpisů: za kvalifikovaný el.
podpis a za zaručený podpis, založený na
kvalifikovaném certifikátu pro elektronický
podpis
22. Současný stav a možná rizika,
která z něj vyplývají
Formát elektronického podpisu:
úroveň B (B-level, od: Basic): jde o výchozí úroveň, bez časového
razítka,
úroveň T (T-level, od: Time, resp. Timestamp): jde o úroveň B,
rozšířenou o časové razítko,
úroveň LT (LT-level, od: Long Term): jde o úroveň T, doplněnou
o revokační informace (CRL seznam či odpověď OCSP serveru),
úroveň LTA (LTA-level, od: Long Term Archiving): jde o úroveň LT,
doplněnou o dokumentové (tzv. archivní) časové razítko.
23. EU se domnívá, že eIDAS –
vyřešil problém 24 hodin
eIDAS článek 24. odstavec 3 - jestliže se
kvalifikovaný poskytovatel služeb vytvářejících
důvěru, vydávající kvalifikované certifikáty
rozhodne určitý certifikát zneplatnit, zaeviduje
toto zneplatnění ve své databázi certifikátů a
zneplatnění certifikátu včas a v každém případě
do 24 hodin od obdržení žádosti zveřejní.
Zneplatnění nabývá účinku okamžitě po
zveřejnění.
24. Ministerstvo vnitra ČR má jiný názor.
Aby spoléhající se strana měla jistotu, že kvalifikovaný certifikát, na
kterém je založen uznávaný elektronický podpis nebo uznávaná
elektronická pečeť, nebyl zneplatněn v době vytvoření podpisu
nebo pečeti, měla by spoléhající se strana počkat s finálním
ověřením platnosti uznávaného elektronického podpisu nebo
uznávané elektronické pečeti až 24 hodin od okamžiku vzniku
podpisu nebo okamžiku vzniku pečeti. V případě, kdy ověření
probíhá minimálně 24 hodin po prokazatelném vzniku
podpisu/pečeti, není nutné čekat 24 hodin. V certifikačních
politikách pro vydávání kvalifikovaných certifikátů se kvalifikovaný
poskytovatel může nicméně zavázat tento čas zkrátit.
25. Současný stav a možná rizika,
která z něj vyplývají
Připadá Vám to složité, tak vězte, že se nemýlíte, ale
nezoufejte, v brzké době si budete moci u
soukromých firem zaplatit kvalifikovanou službu
ověřování podpisů, pečetí a časových razítek.
Za peníze daňových poplatníků se pak zbavíte právní
odpovědnosti za škodu, která by mohla vzniknout z
chybného výsledku ověření, tato právní odpovědnost
se totiž přenese na kvalifikovaného poskytovatele
ověřovací služby.
26. DĚKUJI ZA POZORNOST.
„Jen profesionálové s odpovídající kvalifikací
umožní důvěryhodnou a konkurence schopnou
správu dokumentů.“ (Ing. Martina Macek)