V první části představují jednotlivé druhy elektronických podpisů a zabývají se otázkou, které dokumenty lze elektronicky podepsat. Druhá část seriálu bude věnována tématu, jak lze provést ověření pravosti elektronického podpisu a představí možnosti ověřování orgány veřejné moci, notáři a advokáty. Ve třetí části se budou autoři zabývat elektronickými právními jednáními notářů a advokátů, zejména problematikou notářských zápisů sepisovaných na dálku či konání valných hromad distanční formou.
Výchozím bodem pro úvahy předestřené níže jsou zákonné požadavky na formu právních jednání. Zatímco některá právní jednání nevyžadují písemnou formu (např. nájemní smlouva, smlouva o dílo), jiná vyžadují písemnou formu s prostým (vlastnoručním) podpisem (např. pracovní smlouva) nebo s ověřeným podpisem (např. smlouva o převodu podílu ve společnosti s ručením omezeným). Další právní jednání naopak musí být sepsána formou veřejné listiny, vyhotovené českým notářem (např. projekt fúze), aby nabyla účinnosti. V podnikatelské praxi lze však velkou část právních jednání uzavřít ústně, pokud si strany výslovně neujednají písemnou formu.
Otázka, zda je elektronický podpis rovnocenný podpisu vlastnoručnímu, je tedy relevantní zejména tehdy, pokud zákon nebo ujednání stran vyžadují písemnou formu. Pokud si strany neujednají žádnou formu a zákon ji rovněž nevyžaduje, lze právní jednání učinit v jakékoli formě.
1. Prostý elektronický podpis (Simple Electronic Signature / SES)
Prostým elektronickým podpisem se rozumí data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a které podepisující osoba používá k podepsání [viz čl. 3 bod 10) nařízení Evropského Parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce ve vnitřním trhu a o zrušení směrnice 1999/93/ES („nařízení eIDAS“)]. Identitu podepisující osoby přitom nelze spolehlivě ověřit.
Příkladem jsou (i) uvedení strojově psaného jména na konci e-mailu, (ii) vložení naskenovaného podpisu do dokumentu ve formátu MS Word nebo PDF, ale také (iii) podpis provedený prostřednictvím služby DocuSign, DigiSign a podobných platforem pro elektronické podpisy. Například v případě užití DocuSign jako prostého elektronického podpisu vychází proces podepisování obvykle z žádosti, kterou podepisující osoba obdrží na e-mail spolu s odkazem na portál DocuSign, kde dokument podepíše. V takovém případě jsou jedinými údaji, které lze použít k prokázání identity, jméno, datum podpisu, e-mailová adresa a IP adresa – žádný z těchto údajů však nezaručuje, že podepisující osoba nepoužila falešnou identitu.
2. Zaručený elektronický podpis (Advanced Electronic Signature / AES)
Podepisující osoba používá jedinečný soukromý klíč, na jehož základě je vytvořen certifikát, kterým může být podepisující osoba identifikována a který zajišťuje, že jakákoli následná změna dat je rozpoznatelná. Podepisující osoba si může také sama vytvořit vlastní certifikát pomocí veřejně dostupných nástrojů a tento certifikát použít k podpisu.
Nevýhodou však je, že v případě vlastního certifikátu, ale i v případě třetích stran, které nejsou kvalifikovanými poskytovateli, není možné ověřit identitu podepisujícího. Identita podepisující osoby nemusí být zjistitelná, pokud si podepisující osoba vytvoří fiktivní identitu. Tento podpis může být rovněž proveden prostřednictvím služby DocuSign, která zde provádí ověření identity například pomocí potvrzovací textové zprávy a zaslání fotografie průkazu totožnosti. Ani tento postup však nezaručuje, že nebyla použita falešná identita (falešné telefonní číslo a falešný průkaz totožnosti).
3. Uznávaný elektronický podpis (Recognized Electronic Signature / RES)
Uznávaným elektronickým podpisem se rozumí zaručený elektronický podpis (AES) založený na kvalifikovaném certifikátu pro elektronický podpis nebo kvalifikovaný elektronický podpis (QES) [viz § 6 odst. 2 zákona č. zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, v platném znění („zákon o službách vytvářejících důvěru pro elektronické transakce“)]. Uznávaný elektronický podpis je speciální podtyp elektronického podpisu, jehož úprava se vyskytuje pouze v českém právním řádu. Nařízení eIDAS vymezuje pojmy prostý (SES), zaručený (AES) a kvalifikovaný (QES) elektronický podpis. Členské státy následně mohou upravit doplňkové instituty, jako je například uznávaný elektronický podpis (RES) upravený v zákoně o službách vytvářejících důvěru pro elektronické transakce.
Certifikát v daném případě vydává akreditovaná certifikační autorita, díky čemuž je identita podepisující osoby zjistitelná. Na rozdíl od prostého elektronického podpisu a zaručeného elektronického podpisu může být uznávaný elektronický podpis použit při komunikaci s českými orgány veřejné moci.
4. Kvalifikovaný elektronický podpis (Qualified Electronic Signature / QES)
V České republice má ze zákona pouze kvalifikovaný elektronický podpis právní účinky rovnocenné vlastnoručnímu podpisu. Kvalifikovaný elektronický podpis má nejvyšší úroveň důvěryhodnosti a je jedinou formu, kterou mohou používat orgány státní správy. Identita podepisující osoby je zjistitelná.
Stačí, aby podepisujícímu byl vydán příslušný certifikát jednou z certifikačních autorit EU uvedených na níže uvedeném odkazu, přičemž podpisy opatřené takovým certifikátem jsou v ostatních členských státech uznávány jako vlastnoruční podpisy: eIDAS Dashboard. Při vydání certifikátu je certifikační autoritou spolehlivě ověřena identita osoby. K samotnému podpisu musí mít podepisující osoba k dispozici svůj kvalifikovaný certifikát a zároveň privátní klíč pro podepisování uložený na příslušném zařízení (tzv. kvalifikované zařízení pro tvorbu podpisu), což může být například USB token, čipová karta nebo token v mobilu (existují například aplikace, které fungují jako digitální token, podobným způsobem funguje též eObčanka).
Již zmiňovaná služba DocuSign je uvedena na seznamu certifikačních autorit (trust service providers) EU ve Francii (DocuSign France), prostřednictvím které lze získat kvalifikovaný certifikát pro QES. Zároveň DocuSign podporuje i použití kvalifikovaných certifikátů, které již existují a jsou vydané příslušnou certifikační autoritou (trust service provider) EU. Je ale nezbytné mít příslušnou verzi služby, která QES podporuje (tj. ne všechny DocuSign licence tuto možnost podporují). Aby měl podpis vytvořený prostřednictvím DocuSign kvalitu QES, je tedy nezbytné použití kvalifikovaného certifikátu vydaného příslušnou certifikační autoritou, ověření identity podepisující osoby, bezpečné uložení klíče pro podepisování a technická integrace těchto prvků v systému DocuSign.
Na okraj zmiňme možnost zápisu kvalifikovaného certifikátu do registru obyvatel. Na základě zápisu dojde k propojení daného certifikátu s identitou občana v centrálním registru, stát tedy garantuje, že podpis patří konkrétní osobě (v případě certifikátu vydaného soukromým kvalifikovaným poskytovatelem ověřuje identitu osoby tento poskytovatel). Úřady následně mohou elektronickému podpisu založenému na certifikátu zapsaném v registru obyvatel přisoudit účinky úředně ověřeného podpisu v případech, kdy právní předpis stanovuje požadavek úředního ověření podpisu. Praktická využitelnost je tedy nejen v komunikaci s úřady (podepisování formulářů a žádostí online), ale například i při elektronickém zakládání společností (podrobněji k elektronickým notářským zápisům viz níže). Údaje o svém kvalifikovaném certifikátu může uživatel z registru obyvatel také kdykoliv smazat.
Uživatel musí dbát na bezpečnost svého elektronického podpisu, aby nedošlo k jeho zneužití. Nahraje-li uživatel údaje o svém certifikátu do registru obyvatel, mohou být následky z případného zneužití elektronického podpisu vyšší, neboť v daném případě mohou úřady přisoudit elektronickému podpisu právní účinky úředně ověřeného podpisu.
5. Datová schránka
Datová schránka je nástroj pro elektronickou výměnu zpráv / korespondence, který je od roku 2009 dostupný právnickým i fyzickým osobám, stejně jako soudním a správním orgánům. Datová schránka je povinně zřizována orgánům veřejné moci a všem podnikajícím fyzickým a právnickým osobám zapsaným v registru osob (tzn. ze zákona všem podnikatelům). Ostatní osoby si mohou datovou schránku zřídit dobrovolně.
Podání učiněná vůči orgánům veřejné moci prostřednictvím datové schránky se považují za podání podepsaná vlastní rukou držitele datové schránky a jsou tedy postavena na roveň písemným podáním.
V praxi představuje datová schránka nejdůležitější způsob komunikace s českými úřady a podávání dokumentů.
6. Písemná forma právního jednání
Vhodnost jednotlivých forem elektronických podpisů je třeba posuzovat na základě různých, částečně protichůdných právních předpisů [viz nařízení eIDAS, zákon o službách vytvářejících důvěru pro elektronické transakce, §§ 561 a násl. zákona č. 89/2012 Sb., občanský zákoník, v platném znění („občanský zákoník“)].
§ 561 odst. 1 věta třetí občanského zákoníku ve spojení s § 5 až 7 zákona o službách vytvářejících důvěru pro elektronické transakce („Prováděcí zákon“) vyžaduje následující minimální standardy pro uvedené případy:
- kvalifikovaný elektronický podpis (QES) při jednání orgánů veřejné moci (stát, územní samosprávné celky apod.),
- uznávaný elektronický podpis (RES) při jednání vůči orgánům veřejné moci,
- prostý elektronický podpis (SES) ve všech ostatních případech.
Pokud však zákon nebo dohoda stran vyžadují písemnou formu, je k naplnění písemné formy právního jednání nezbytné, aby bylo učiněno písemně a bylo podepsáno (§ 561 odst. 1 a § 562 odst. 1 občanského zákoníku: „K platnosti právního jednání učiněného v písemné formě se vyžaduje podpis jednajícího. (…) Jiný právní předpis (i.e. Prováděcí zákon) stanoví, jak lze při právním jednání učiněném elektronickými prostředky písemnost elektronicky podepsat. (…) Písemná forma je zachována i při právním jednání učiněném elektronickými nebo jinými technickými prostředky umožňujícími zachycení jeho obsahu a určení jednající osoby.“).
Podle části právní praxe postačuje buď prostý elektronický podpis (SES), a to za předpokladu, že je možná identifikace podepisující osoby (např. přiložením naskenovaného podpisu nebo použitím sjednaného kódu), nebo postačuje samotná ověřitelnost obsahu právního jednání a podepisující osoby (i bez podpisu) [viz Beran in Petrov, Občanský zákoník, § 561 bod 8,9; § 562 bod 1, 2 a násl.; Městský soud v Praze, sp. zn. 54 Co 217/2024 ze dne 10. září 2024: I. i II. instance uznaly platnost prostého elektronického podpisu prostřednictvím DocuSign podle § 7 Prováděcího zákona, přičemž podepisující obdržela odkaz na svou e-mailovou adresu, pomocí kterého vyjádřila souhlas s uzavřením smlouvy za použití kódu zaslaného SMS.].
Jiná část praxe připouští jako dostatečný i samotný prostý elektronický podpis bez dalšího, případně alternativně i samotnou zjistitelnost obsahu a osoby podepisující (např. přihlášením prostřednictvím kódu, použitím tokenu, rozpoznáním obličeje, otisku prstu, zasláním SMS atd.) [viz Janoušek in Lavický et kol. Občanský zákoník, § 561 bod 50; § 562 bod 8 a násl.].
Další autor však požaduje kombinaci elektronického podpisu se zjistitelností obsahu a osoby podepisující, přičemž zároveň nastoluje otázku, zda prostý elektronický podpis je vůbec dostačující [viz Pelikán, Digitální právní jednáni, Právní rozhledy 15-16/2023, 515.].
Shrnutí
Na rozdíl od dříve převládajícího právního názoru, že pouze kvalifikovaný elektronický podpis má právní účinky vlastnoručního podpisu (ve smyslu čl. 25 odst. 2 nařízení eIDAS: „Kvalifikovaný elektronický podpis má stejný právní účinek jako vlastnoruční podpis.“), právní praxe v poslední době uznává pro zachování písemné formy i prostý elektronický podpis (za předpokladu, že lze identifikovat podepsanou osobu). Prostý elektronický podpis je tedy v zásadě možný v případech, kdy neexistují žádné formální požadavky (ani zákonné, ani smluvní), ale podle praxe také v případech, kdy existuje požadavek písemné formy.
Tento přístup je výrazně liberálnější než požadavky v právních řádech sousedních států [srov. § 126a německého občanského zákoníku (BGB): „Má-li být zákonem předepsaná písemná forma nahrazena elektronickou formou, musí osoba, která činí právní jednání, připojit své jméno a opatřit elektronický dokument svým kvalifikovaným elektronickým podpisem.“; § 4 rakouského zákona o elektronickém podpisu a důvěryhodných službách (SVG): „Kvalifikovaný elektronický podpis splňuje právní požadavek písemnosti ve smyslu § 886 rakouského občanského zákoníku (ABGB).“], avšak s rizikem, že manipulaci s takto podepsanými dokumenty nelze zcela vyloučit a že taková právní jednání nemusí být v jiných zemích uznávána. Zároveň by v případném soudním sporu bylo nutno tvrzené skutečnosti prokázat, což bude pravděpodobně snazší v případě užití vyšších forem elektronického podpisu.
Naším doporučením pro podnikatele, statutární orgány právnických osob atd. je – pokud se rozhodnou pro digitální právní jednání – opatřit si kvalifikovaný certifikát vydaný některou z certifikačních autorit EU, Islandu, Norska nebo Lichtenštejnska (tzv. trust service providers), neboť takový certifikát je automaticky uznáván jako kvalifikovaný v celé EU, tedy i v České republice.
Stejný postup doporučujeme i občanům zemí mimo EU/EHP (často tuto situaci budou řešit občané Spojených států amerických nebo Velké Británie po jejím vystoupení z EU, neboť certifikáty vydané ve Velké Británii již nejsou automaticky uznávané v EU). Nejjednodušší cestou ke kvalifikovanému elektronickému podpisu uznávanému v EU je opatřit si kvalifikovaný certifikát u evropského poskytovatele. Certifikát vydaný mimo EU/EHP může být uznán jako kvalifikovaný, pokud (i) poskytovatel certifikačních služeb splňuje podmínky práva EU a je akreditován v některém členském státě EU, nebo (ii) jiný poskytovatel certifikačních služeb v EU převezme odpovědnost za platnost a správnost certifikátu, nebo (iii) existuje mezinárodní smlouva, která takové uznání umožňuje.
Autory analýzy jsou Mgr. Thomas Rechberger Ph. D., Partner a Mgr. Barbora Antalíková, Senior Associate kanceláře Taylor Wessing e|n|w|c advokáti v.o.s.
