Jak funguje eLegalizace na Czech POINTech? I.
Na webu Czech POINTu je možnost eLegalizace nabízena již od října loňského roku. Skutečně dostupnou se ale stala až počátkem letošního ledna. A jak vlastně funguje a k čemu je dobrá?
Možnost legalizace elektronických podpisů (eLegalizace) na Czech POINTech, díky které takového podpisy mají účinky úředně ověřených podpisů, se otevřela v polovině roku 2022. To když nabyly účinnosti příslušné pasáže (§ 6 odst. 1 písm. a) zákona č. 12/2020 Sb., o právu na digitální služby, a také zákona č. 21/2006 Sb., o ověřování. Těsně předtím, 24. června 2022, se na webu Czech POINTu objevila informace o tom, že „E-legalizace bude dostupná v prostředí informačního systému Czech POINT v průběhu podzimu tohoto roku“. Míněno tedy roku 2022. K tomu ale nedošlo.
Až v říjnu loňského roku (2023) jsem na webu CzechPOINTu, přesněji v jeho úschovně, náhodou narazil na nabídku eLegalizace. V naději, že služba již byla konečně (v tichosti) spuštěna, jsem pomocí těchto stránek připravil vše potřebné.
Tedy vložil dokument s podpisem k legalizaci, vytvořil podpisový arch, nechal si vystavit průvodku i s čárovým kódem a vydal se na nejbližší Czech POINT.
Jenže na žádném Czech POINTu, který jsem tehdy v říjnu navštívil, neměli o nové službě ani tušení. Všude na mne koukali jak na spadlého z višně. Jen na hlavní poště v Praze nějaké tušení měli – že by to mohlo být spuštěno snad počátkem listopadu.
No, ani v listopadu se tak nestalo, další odhad zněl na počátek prosince. Jenže ani tehdy jsem nepochodil. Nakonec to vyšlo až počátkem letošního roku (2024). Všiml jsem si toho opět náhodou, díky tomuto článku na webu Prahy 7.
e-Legalizace na CzechPOINTech již funguje! Dnes se mi (konečně) podařilo legalizovat můj (prostý) elektronický podpis, v podobě smajlíku. Ale jak tohle řešení bude někdo používat v praxi, si nedovedu moc představit. Článek bude na @Lupacz pic.twitter.com/C73gyonNBM
— Jiří Peterka (@jiripeterka) January 10, 2024
To oficiální web Czech POINTu dosud eLegalizaci nijak aktivně nepropaguje. Nicméně „ví o ní“, protože ji má již ošetřenou ve svých podmínkách pro nakládání s osobními údaji (kde je mimochodem zmiňováno spuštění eLegalizace k 3. 1. 2024). Stejně tak na eLegalizaci již pamatuje i nový ceník České pošty, platný od 1. 1. 2024.
Snad jako kdyby nová služba eLegalizace měla být spíše utajována než propagována. Ale možná by to bylo i dobře. Osobně si myslím, že tato služba bude využívána zcela minimálně. A to nejenom kvůli své celkové komplikovanosti, která je důsledkem maximalistického zadání, ale také kvůli zvolenému řešení, které (podle mého názoru) u potenciálních příjemců elektronicky podepsaných dokumentů nejspíše ještě hodně dlouho nebude podporováno. Pokud vůbec.
Ještě si dodejme, že legalizace jednoho podpisu, a to jak toho elektronického v rámci eLegalizace, tak i toho vlastnoručního při klasickém ověřování, zdražila o 20 Kč. Ještě vloni stála 30 Kč, od 1. 1. 2024 (díky novelizaci zákona o správních poplatcích) přijde již na 50 Kč.
Přitom dnes již existují (a u příjemců začínají být reálně akceptovány) i další možnosti, jak u elektronických podpisů dosáhnout účinků úředně ověřených podpisů. A to i takové, které nestojí nic a nevyžadují žádné opakované úkony (ověření u ověřující osoby) pro každý jednotlivý podpis – ale jen jednorázové vložení kvalifikovaného certifikátu do základního registru osob (dle § 6 odst. 2 zákona č. 12/2020 Sb., o právu na digitální služby).
Podle mého názoru právě tato varianta (s vkládáním certifikátu) do budoucna převáží. Určitě u těch podepisujících, kteří potřebují dosáhnout požadovaného efektu opakovaně. A u těch, kteří by to potřebovali jen jednorázově, nejspíše bude mnohem jednodušší a schůdnější klasická „papírová“ cesta.
K čemu je eLegalizace?
Pojďme si nyní alespoň stručně naznačit, k čemu je vlastně eLegalizace dobrá. Zjednodušeně: k tomu, aby se to, co vyžaduje úředně ověřený podpis, dalo dělat elektronicky. Jde například o návrhy vkladu do katastru, souhlasy se zápisem do veřejného rejstříku, hlasovací lístky v insolvencích, některé plné moci atd.
Kromě toho právní úprava eLegalizace (v § 6 odst 1 zákona č. 12/2020 Sb. o právu na digitální služby) přichází i s tím, že legalizovaný elektronický podpis může nahradit také uznávaný elektronický podpis. Tedy „slabší“ podpis, který nemá účinky úředně ověřeného podpisu. Jsou to jakási zadní vrátka pro toho, kdo by chtěl dělat elektronicky něco, co ani nevyžaduje úředně ověřený podpis, ale současně se nechtěl sám řádně elektronicky podepsat, a to pomocí uznávaného elektronického podpisu. Třeba proto, aby si nemusel pořizovat kvalifikovaný certifikát. A tak využije toho, že legalizovaným elektronickým podpisem může být úplně cokoli elektronického. Třeba (pouze) zaručený elektronický podpis (např. založený na certifikátu, který si někdo vystavil sám sobě), nebo dokonce i tzv. prostý elektronický podpis (třeba smajlík, viz dále). Takovýto podpis si nechá (jednorázově, za oněch 50 Kč) legalizovat a pak jej může použít i tam, kde by jinak musel použít svůj uznávaný (či kvalifikovaný) elektronický podpis.
Vraťme se ale zpět k primárnímu účelu eLegalizace, který spočívá v dosažení účinků úředně ověřeného podpisu. Ještě do nepříliš dávné doby jsme žádný elektronický ekvivalent úředně ověřeného podpisu neměli – a tak tam, kde byl vyžadován, nezbývalo než jít na to oklikou: potřebné písemnosti se připravily v listinné podobě, podepsaly vlastnoručními podpisy, ty se nechaly úředně ověřit a pak se celé dokumenty nechaly autorizovaně konvertovat do elektronické podoby.
Na vysvětlenou: „samotné“ kvalifikované (či jen uznávané) elektronické podpisy nemají účinky úředně ověřených podpisů proto, že neidentifikují podepsanou osobu dostatečně jednoznačně. I podle nařízení eIDAS musí stačit, aby tato osoba byla určena jen (křestním) jménem a příjmením (tj. aby příslušný kvalifikovaný certifikát obsahoval jen tyto údaje). Ovšem osob stejného jména a příjmení může být (a je) více.
Proto aby mohl mít elektronický podpis účinky úředně ověřeného podpisu, musí k němu být doplněna vhodná upřesňující informace o podepsané osobě. U vlastnoručních podpisů takovouto informaci obsahuje ověřovací doložka, nedílně spojená se samotným listinným dokumentem a jeho podpisem.
V případě elektronických podpisů lze postupovat více různými způsoby. Jedním z nich je již zmiňované jednorázové vložení kvalifikovaného certifikátu do účtu konkrétního držitele v základním registru obyvatel (ROBu). Tím vzniká ona „upřesňující informace“, která je ale dostupná jen pro toho příjemce podepsaného dokumentu, který má možnost si ji v registru obyvatel ověřit. Tomu, kdo ji nemá, ale může podepisující osoba vyjít vstříc tím, že k podepsanému dokumentu přiloží svůj vlastní výpis z ROBu, kde jsou údaje o vložených kvalifikovaných certifikátech uvedeny (mezi nereferenčními údaji).
V současné době je to asi nejjednodušší řešení, navíc zcela zdarma pro libovolný počet vytvořených podpisů. Vlastně pro všechny platné elektronické podpisy založené na příslušném kvalifikovaném certifikátu a vytvořené v době, kdy byl tento certifikát vložen do základního registru. Funguje ale jen pro uznávané a kvalifikované elektronické podpisy, což jsou právě ty, které jsou založené na kvalifikovaném certifikátu. Nefunguje pro zaručené elektronické podpisy ani pro tzv. prosté elektronické podpisy.
I tato možnost ale stále ještě může narazit na to, že příjemce ji nezná, resp. že jeho systémy ještě neumí takovýto podpis ověřit a zjistit, že má účinky úředně ověřeného podpisu. Řada elektronických podatelen a dalších obdobných služeb popisovanou možnost nepodporuje, a je pak nutné ruční ověření, resp. ruční „dozjištění“, že jde o elektronický podpis s účinky úředně ověřeného podpisu.
Jak připojit ověřovací doložku?
Další možností, jak dosáhnout toho, aby jednotlivý elektronický podpis konkrétní osoby mohl mít účinky úředně ověřeného podpisu, je přidat potřebné „upřesňující informace“ přímo k podepsanému dokumentu a jeho podpisu. Je to vlastně stejný princip jako u klasického ověřování vlastnoručních podpisů, kdy se k listinnému dokumentu a jeho podpisu připojuje ověřovací doložka. Ta obsahuje křestní jméno, příjmení, datum a místo narození i místo pobytu podepsané osoby, které zjistila a v doložce uvedla ověřující osoba.
Vytvořit doložku v elektronické podobě není žádný problém, to už dávno funguje u autorizovaných konverzí. U nich není problémem ani připojení takovéto doložky ke konvertovanému dokumentu, při jeho konverzi z listinné do elektronické podoby: výstupem je nový dokument v datovém formátu PDF, jehož jednou (poslední) stránkou je právě ona doložka v elektronické podobě. No a ověřující osoba pak celý dokument opatří svým kvalifikovaným elektronickým podpisem (a také kvalifikovaným elektronickým časovým razítkem). Je to první a jediný elektronický podpis na výstupu z konverze, který současně vytváří nedělitelné pouto mezi samotným konvertovaným obsahem a doložkou a chrání je proti změně.
Co je problémem, je připojení obdobné doložky k takovému elektronickému dokumentu, který již může být elektronicky podepsán. Ne, že by třeba k již podepsaným PDF dokumentům nešlo přidávat další podpisy – to jde. Ale nejde měnit obsah již dříve podepsaného dokumentu ani jej nějak „prodlužovat“ (něco přidávat), protože to by způsobilo zneplatnění již připojených podpisů. Jinými slovy, obsah ověřovací doložky, o který nám zde jde (tj. onu „upřesňující informaci“), nelze přidat přímo do již elektronicky podepsaného dokumentu (jehož elektronický podpis má být ověřen neboli legalizován).
Co se udělat dá, je vytvořit doložku jako samostatný elektronický dokument, řádně elektronicky podepsaný ověřující osobou (či opatřený její pečetí) a také časovým razítkem. Jenže jak tuto samostatnou doložku spojit s původním dokumentem, ke kterému se doložka vztahuje, do vhodného celku? Navíc tak, aby to bylo korektní – aby se nedalo fixlovat a různě zaměňovat buď dokument s legalizovaným podpisem, či naopak doložku. Tedy aby se dosáhlo toho, co právní úprava požaduje a označuje jako „nedílné spojení“.
Notáři používají ASiC kontejnery
Vhodné řešení (alespoň podle mého názoru) zvolili notáři, kteří legalizaci elektronických podpisů mohou provádět (a již skutečně provádí) od září 2021: notář „zabalí“ doložku i s legalizovaným dokumentem do ASiC kontejneru, který „uzavře“ tím, že jej opatří svým (kvalifikovaným) elektronickým podpisem. Postupuje přitom podle § 3 nařízení vlády č. 317/2021 Sb., o postupu notáře při legalizaci elektronického podpisu, kde je tento postup zakotven.
Samotné ASiC kontejnery, formálně „kontejnery s přidruženým podpisem“, jsou přitom standardizovaným řešením, se kterým počítají i prováděcí předpisy k nařízení eIDAS. Zejména Prováděcí rozhodnutí Komise 2015/1506, „kterým se stanoví specifikace pro formáty zaručených elektronických podpisů a zaručených pečetí uznávaných subjekty veřejného sektoru“ a které veřejnoprávním subjektům mj. ukládá povinnost akceptovat ASiC kontejnery.
Podpora ASiC kontejnerů se může opírat o detailní technické standardy od organizace ETSI. Díky tomu mohou existovat – a skutečně existují – běžně dostupné nástroje a služby pro práci s ASiC kontejnery, stejně jako programové knihovny pro využití při tvorbě nových programů a služeb.
ASiC kontejnery podporují například všechny tuzemské kvalifikované služby pro ověřování platnosti elektronických podpisů. Třeba na Slovensku je používají v hojné míře a mají také řadu nástrojů a služeb, které s nimi pracují (například program QES, QES portál, validátor na portálu Slovensko.sk a další).
To u nás jsou ASiC kontejnery v nemilosti. Ještě donedávna jste je nemohli vložit do datové zprávy v datových schránkách, protože tento formát nebyl pro ně přípustný (je přípustný až od počátku letošního roku). Dodnes nepatří ani mezi výstupní datové formáty dle vyhlášky o podrobnostech výkonu spisové služby a nedávné snahy jej mezi ně zařadit neuspěly.
Při volbě technického řešení eLegalizace na Czech POINTech byly ASiC kontejnery také zvažovány, ale nakonec odmítnuty – a místo nich bylo zvoleno a skutečně implementováno úplně jiné řešení, které si záhy popíšeme.
Výsledkem je velmi nepříjemná situace: jedno a to samé – výstup z eLegalizace – má různou podobu podle toho, zda legalizaci provedl notář, či Czech POINT. To je velká komplikace pro všechny potenciální příjemce elektronických dokumentů, kteří jsou povinni akceptovat elektronické dokumenty s elektronickými podpisy, které mají právní účinky úředně ověřených podpisů. Jejich podatelny, spisové služby a další IT systémy by měly být doplněny o podporu dvou různých a diametrálně odlišných provedení takovýchto dokumentů. A zatímco v případě ASiC kontejnerů mohou být využity již hotové knihovny a další softwarové nástroje, v případě výstupů z Czech POINTů musí být příslušná podpora vyvinuta od základu, tzv. na zelené louce.
Jaké bylo zadání pro Czech POINTy?
Ještě než si popíšeme to řešení, které bylo zvoleno pro Czech POINTy, řekněme si ještě o jedné podstatné věci, která také zásadně ovlivnila jeho výběr. A může pomoci i s pochopením toho, jak eLegalizace na Czech POINTech vlastně funguje. I proč tak funguje.
Jde o to, že místo schůdného a praktického řešení pro nejčastější (ale nikoli všechny možné) situace, jaké zvolili notáři, se hledalo maximalistické řešení, pamatující snad na úplně všechny možné eventuality a potřeby, které by někdo mohl mít. A když si k tomu připočteme averzi vůči ASiC kontejnerům, nemůžeme se úplně divit tomu, jak to dopadlo.
Onen „maximalismus“ spočíval mj. v požadavku na to, aby se elektronické dokumenty daly (elektronicky) podepisovat postupně, resp. dodatečně. Jako např. u nějakého smluvního dokumentu s mnoha stranami, kdy se podaří „sehnat“ ke společnému aktu podepisování jen některé strany a ostatní strany se následně různě „uhání“ individuálně, aby svůj podpis připojily také. Dalším požadavkem bylo to, aby se i eLegalizace dala provádět individuálně: aby si každá podepsaná osoba mohla vybrat, u koho a kdy chce svůj podpis ověřit (legalizovat).
Na papíře, resp. u listinných dokumentů a s vlastnoručními podpisy, se to zajistit dá. A dalo by se to udělat i s ASiC kontejnery, byť by to také nebylo jednoduché. Znamenalo by to ovšem určitou postupnou manipulaci s těmito kontejnery, kdy by jedna ověřující osoba určitým způsobem navazovala na práci jiné ověřující osoby či osob, vycházela z ní a svým způsobem ji posvěcovala – což se ukázalo jako nepřijatelné (pro ověřující osoby). Takže se hledalo takové řešení, které by vyhovělo i tomuto aspektu: aby každé ověření (každá eLegalizace) bylo zcela nezávislé na ostatních ověřeních.
Místo nedílného celku samostatné dokumenty
Po předchozím výkladu si již můžeme říci to asi nejpodstatnější: výstupem eLegalizace na Czech POINTu není jeden celek zahrnující jak originální dokument s legalizovaným podpisem, tak i ověřovací (legalizační) doložku, jako je tomu jinde: jeden ASiC kontejner v případě eLegalizace u notáře, či několik „sešitých“ a přelepkou opatřených listů papíru u klasické legalizace vlastnoručních podpisů na listinných dokumentech (případně jen jeden list s nalepenou doložkou či doložkami).
To u eLegalizace na Czech POINTu je ověřovací (legalizační) doložka zcela samostatným elektronickým dokumentem. Právě takováto samostatná doložka je to, co dostanete od Czech POINTu, když si u něj necháte provést nějakou eLegalizaci. To, co vám (po ověření na přepážce Czech POINTu) buď pošlou do datové schránky, nebo co si na základě vydaného „šatního lístku“ můžete sami vyzvednou v úschovně Czech POINTu.
Jde o samostatné PDFko, opatřené kvalifikovaným elektronickým podpisem ověřující osoby a kvalifikovaným elektronickým časovým razítkem. Příklad ukazuje následující obrázek: vlevo je originální dokument s legalizovaným (kvalifikovaným elektronickým) podpisem, vpravo dokument s ověřovací doložkou, vyzvednutý z úschovny.
Kromě identifikace konkrétní fyzické osoby obsahuje doložka ještě údaje o samotném legalizovaném elektronickém podpisu: jde sice o kvalifikovaný elektronický podpis, ale doložka jej hodnotí jako zaručený elektronický podpis. Z pohledu práva a jeho definic to není chybou, protože kvalifikovaný elektronický podpis je zvláštním případem uznávaného elektronického podpisu, který je zase zvláštním případem zaručeného elektronického podpisu.
Dále v doložce najdete údaje o certifikátu, na kterém je podpis založen. A jelikož jsem svůj podpis opatřil i časovým razítkem, jsou zde uvedeny také údaje o něm (čas připojení razítka a certifikát, na kterém je razítko založeno).
Obojí – tedy použití alespoň zaručeného elektronického podpisu v roli toho podpisu, který má být legalizován, a připojení časového razítka – je ale nepovinné. Elektronickým podpisem, který chcete legalizovat, může být i prostý elektronický podpis, což může být úplně cokoli. Třeba i tečka za větou. Nebo smajlík, jak si ukážeme na dalším příkladu, v pokračování tohoto článku. Pak doplňující údaje o legalizovaném podpisu vypadají například takto:
Podstatné je, že tyto „doplňující údaje“ nepostačují k jednoznačnému určení dokumentu, na kterém se legalizovaný podpis má nacházet. Tedy ke kterému (elektronickému) dokumentu se doložka vztahuje. A ještě přesněji, ke které jeho instanci, protože tento dokument může procházet změnami.
Smysl těchto „doplňujících údajů“ je jiný: určit, o který konkrétní podpis na originálním dokumentu se jedná, protože jich tam může být více. V případě zaručených (a vyšších) elektronických podpisů k tomu slouží údaje o certifikátu, na kterém je podpis založen.
V případě prostých elektronických podpisů jde už i o to, co vlastně je oním podpisem, když to může být úplně cokoli. Třeba některé slovo v textu, nějaké interpunkční znaménko, ikona a podobně. Proto zde ověřující osoba uvádí určité své hodnocení, viz údaje na předchozím obrázku: „Popis grafické podoby podpisu … : smajlík“ či „Popis umístění podpisu na stránce: uprostřed dokumentu“.
Nedílné spojení skrze otisky (hashe)
Čím je tedy dáno to, ke kterému konkrétnímu dokumentu se doložka vztahuje? Zdůrazněme si znovu, že doložka je zcela samostatným dokumentem, který tak existuje „vedle“ originálního dokumentu s legalizovaným podpisem. Jak a čím je mezi oběma samostatnými dokumenty tvořena vazba, o které právní úprava hovoří jako o nedílném spojení?
Odpověď je taková, že doložka se odkazuje na originální dokument prostřednictvím jeho kryptografického otisku neboli tzv. hashe. Což je stejný princip, jaký používají třeba externí elektronické podpisy, které jsou také samostatnými objekty (dokumenty) a na podepsaný obsah (dokument) se odkazují přes jeho otisk.
Zásadní rozdíl je ale v tom, že externí podpisy jsou standardizovaným řešením. Existují pro ně platné standardy, které určují, jak má vše vypadat a fungovat. Díky tomu může být (a dávno je) jejich podpora zabudována všude tam, kde je o ni zájem. Pro programátory jsou k dispozici různé knihovny a další potřebné nástroje usnadňující další zavádění této podpory.
Naproti tomu naše řešení je ryze proprietární. Veškerou jeho podporu bude nutné vybudovat od základu. K tomu je ale nutné nejprve vědět, jak konkrétně. A zde je další kámen úrazu: jediným konkrétním vodítkem je zatím § 5b vyhlášky č. 36/2006 Sb., o ověřování shody opisu nebo kopie s listinou a o ověřování pravosti podpisu. A ani tato vyhláška neříká, o jaký druh kryptografického otisku by se mělo jednat. Navíc nezmiňuje ani to, že by mělo být takovýchto otisků použito více, a to současně. Ani jak by se s nimi mělo pracovat. Například že by měly být dostupné i ve strojově čitelné podobě atd.
Vazbu vytváří hned 4 různé otisky
Zpětnou analýzou výstupu z eLegalizace lze vysledovat, že doložka se na dokument s legalizovaným podpisem odkazuje nikoli jedním, ale hned čtyřmi různými kryptografickými otisky. Tedy otisky, vytvořenými pomocí různých hashovacích funkcí. Což posiluje odolnost vůči postupnému zastarávání těchto funkcí, a lépe chrání před nebezpečím existence tzv. kolizních dokumentů. To jsou takové, které mají jiný obsah, ale stejný otisk.
Tyto otisky lze nalézt v textové podobě přímo v doložce, jak ukazuje následující obrázek.
Je to ale spíše „pro úplnost“, protože těžko někdo bude ručně kontrolovat shodu otisků mezi doložkou a dokumentem, ke kterému se doložka vztahuje. Strojovému zpracování vychází vstříc to, že otisky jsou dostupné i ve strojově čitelné podobě – jako XML dokument, obsažený v PDFku s ověřovací doložkou jako jeho přílohou, viz následující obrázek.
Vyhovuje to požadavkům zákona?
Právě popsané řešení se zcela samostatnou doložkou, která ověřuje (legalizuje) jeden elektronický podpis na jednom dokumentu, pokrývá tu část zadání, která požaduje možnost samostatné a vzájemně nezávislé legalizace každého jednotlivého podpisu, který se na příslušném dokumentu již nachází. Na jeden a tentýž dokument se skrze onu čtveřici otisků může odkazovat libovolný počet samostatných doložek, vytvořených různými ověřujícími osobami nezávisle na sobě.
Na druhou stranu je otázkou, zda to splňuje požadavek zákona (§ 6 odst. 1 zákona č. 12/2020 Sb.) na „nedílné spojení“. Již jen proto, že lze ztratit, či nenávratně smazat jen něco z toho, co je takto „nedílně spojeno“. Třeba samotný dokument s legalizovanými podpisy, ale nikoli doložku. Nebo z jiného pohledu: nemusí být nutně vždy a každému známo, co všechno tvoří „nedílně spojený“ celek. Třeba kolik podpisů na dokumentu bylo legalizováno, resp. kolik ověřujících doložek k jednomu a témuž dokumentu existuje. Připomeňme si, že legalizace jednotlivých elektronických podpisů na témže originálním dokumentu se dá dělat „per partes“, nezávisle na sobě, a žádná povinnost dávat to někomu na vědomí neexistuje.
V dalším pokračování tohoto článku si popíšeme, jak byla vyřešena ta část zadání, která požaduje možnost dodatečného podepsání již dříve elektronicky podepsaného dokumentu. Je to řešeno pomocí podpisových archů – což fakticky znamená, že jeden dokument podepisujete na jiném dokumentu. Ukážeme si, jak se takové podpisové archy vytváří i jak se s nimi pracuje. Naznačíme si také, jaké jsou možnosti ověření toho, co prošlo popisovanou eLegalizací.
