Jiří Peterka, Jan Podaný: Prosté elektronické podpisy a komerční služby pro on-line podepisování – I.
V poslední době se lze stále častěji setkat s podepisováním elektronických dokumentů prostřednictvím komerčních služeb pro on-line podepisování, jako jsou např. DocuSign, Adobe Sign, či tuzemské DigiSign, Podpisovna, Signi a další, a to pomocí tzv. prostých elektronických podpisů. Vznikají i první judikáty, které řeší spory o takto podepsané dokumenty. Co vlastně jsou prosté elektronické podpisy, co na jeden konkrétní případ jejich využití říkají loňská rozhodnutí Obvodního soudu pro Prahu 3 č.j. 20 C 176/2021–220 a Městského soudu č.j. 54 Co 217/2024-259, co naopak neříkají a v čem podle našeho názoru nejsou tato rozhodnutí zcela přesná?
Cílem tohoto článku je podrobněji rozebrat, proč si myslíme, že uvedená rozhodnutí nemají na poli digitalizace právního jednání zásadní přesah, jak je občas prezentováno. Podle našeho názoru z nich totiž nelze dovozovat zachování písemné formy právního jednání v elektronické podobě vždy, když byl připojen prostý elektronický podpis, jak mnozí autoři obecně prosazují.
Aby totiž elektronický podpis postačoval pro zachování písemné formy jednání sám o sobě (a mohl disponovat i domněnkou pravosti podle § 565 o.z.), muselo by jít podle našeho názoru o podpis vyšší úrovně (viz čl. 25 odst. 2 eIDAS ve spojení s § 7 zákona č. 297/2016 Sb. a § 561 o.z.). Jinak jde jen o „podpis“ na úrovni použití mechanických prostředků pro nahrazení vlastnoručního podpisu na papíře. Není zde podstatný rozdíl proti ústnímu souhlasu s písemným dokumentem v elektronické podobě. Právní jednání s prostým elektronickým podpisem ale může být platné i tehdy, pokud pro jeho platnost není zákonem vyžadována písemná forma právního jednání, jako v daném případě.
Pokud ovšem prosté elektronické podpisy vznikají v rámci takových služeb pro on-line podepisování, jako je např. služba DocuSign, jsou k jimi podepisovaným dokumentům připojovány ještě vyšší druhy elektronických podpisů či pečetí služby jako takové, mj. i za účelem spojení prostého elektronického podpisu s podepisovaným obsahem a ochrany proti změně. Dále jsou k podepisovaným dokumentům vytvářeny také související záznamy o tom, co se při podepisování v rámci on-line služby odehrávalo. Příklad ukazuje následující obrázek.
Skrze tyto záznamy (a přidané podpisy či pečeti) již mohou být požadavky na zachování písemné formy naplněny – jak co do určení podepsané (resp. jednající) osoby, tak i co do zachycení podepsaného obsahu (právního jednání). Nikoli však podle § 561 o.z. ve spojení s § 7 zákona č. 297/2016 Sb., jak se uvádí v rozhodnutí, ale podle § 562 o.z., obdobně jako v případě podobného právního jednání, realizovaného bez vyšších úrovní elektronického podpisu v internetovém bankovnictví či jiném podobném řízeném on-line prostředí.
Prostý elektronický podpis zobrazovaný v obsahu dokumentu je v takovém případě spíše „zvykový“ (aby v dokumentu na obvyklém místě „něco bylo“), podstata zachycení projevu vůle totiž spočívá ve skutečnosti v něčem jiném, čím se v daném případě soudy zabývaly jen okrajově (a ani se tím nutně nemusely zabývat), neboť nešlo o právní jednání s povinnou písemnou formou.
Podle našeho názoru ale tato problematika stojí za zobecnění a může přispět k debatě o možnostech při právním jednání v písemné formě v elektronické podobě, která by se neměla zúžit jen na zjednodušující otázku „prostý elektronický podpis ano či ne.“
O co jde?
Služby pro on-line podepisování, zmiňované v perexu, jsou provozovány soukromoprávními subjekty na komerční bázi, obvykle jako placené a s různými cenovými programy, odstupňovanými podle druhu a rozsahu poskytovaných služeb. Některé z nich nabízí svým uživatelům i vyšší druhy elektronických podpisů – zaručené elektronické podpisy, a dokonce i kvalifikované elektronické podpisy. Nejčastěji ale jde pouze o takové elektronické podpisy, které nejsou ani zaručenými elektronickými podpisy. Tedy takové, pro které ani unijní právní úprava (nařízení eIDAS), ani tuzemská právní úprava (zákon č. 297/2016 Sb.) nemají žádné konkrétní pojmenování, a praxe si pro ně musela zavést vlastní neformální označení: prosté elektronické podpisy.
Bylo jen otázkou času, kdy kolem takovýchto podpisů vznikne spor, který bude řešen před soudem. Příkladem prvních soudních verdiktů ve sporu o elektronický dokument, podepsaný pomocí prostého elektronického podpisu, konkrétně v rámci služby DocuSign, jsou loňská Rozhodnutí Obvodního soudu pro Prahu 3 (č. j. 20 C 176/2021-220) a Městského soudu v Praze (č.j. 54 Co 217/2024-259), které řešilo odvolání proti rozsudku Obvodního soudu (a ten potvrdilo). Spor se týkal právního jednání mezi soukromoprávními subjekty, konkrétně se jednalo o smlouvu o zprostředkování a její následnou (částečnou) změnu, označovanou jako „dohoda o koupi nemovitosti“ a uzavíranou již mezi prodávajícím a zájemcem o koupi nemovitosti a také realitním zprostředkovatelem. Předmětem sporu byla jen provize pro realitního zprostředkovatele, který později postoupil svou pohledávku za nezaplacenou provizi dalšímu subjektu.
Nejednalo se tedy ještě o dvoustrannou kupní smlouvu (o skutečné „koupi nemovitosti“), kterou by bylo možné použít pro vklad (zápis práva) do katastru nemovitostí. Takováto smlouva by musela splňovat požadavky § 7 zákona č. 256/2013 Sb. katastrální zákon, který explicitně vyžaduje uznávaný elektronický podpis (kterým je současně i kvalifikovaný elektronický podpis). Zde by tedy tzv. prostý elektronický podpis rozhodně nestačil.
V daném případě elektronického dokumentu, označovaného jako „dohoda o koupi nemovitosti“, řešily oba soudy spor ohledně podpisu jednatele žalované strany, která měla vyplatit provizi realitnímu zprostředkovateli (což neučinila). Žalovaná strana přitom rozporovala jak pravost tohoto podpisu, vytvořeného v rámci služby DocuSign, tak i jeho přípustnost (tj. že prostý elektronický podpis pro daný účel nestačí, a je nutný alespoň zaručený elektronický podpis).
K jakému závěru dospěly soudy?
Ohledně přípustnosti prostého podpisu právního jednání mezi soukromoprávními subjekty dospěly oba soudy ke stejnému obecnému závěru: že podle platné právní úpravy (§ 7 zákona č. 297/2016 Sb. o službách vytvářejících důvěru) prostý podpis postačuje ke splnění požadavku § 561 odst. 1 zákona č. 89/2012 Sb. o. z. na to, aby právní jednání v písemné formě bylo podepsáno.
To ale podle našeho názoru není správné. Použití prostého elektronického podpisu pouze neznamená neplatnost právního jednání (smlouvy o zprostředkování, resp. její pozdější změny). Písemná forma zde totiž není zákonem vyžadována a smlouva by platila ve stejném obsahu, i kdyby nebyla vůbec podepsána a byla např. stvrzena jen ústně. Postačovalo jen jinými důkazy prokázat její uzavření (a obsah).
Ohledně pravosti konkrétního prostého elektronického podpisu na konkrétním elektronickém dokumentu oba soudy také dospěly ke stejnému závěru – že tento konkrétní podpis je pravý, neboli že byl skutečně vytvořen tím, kdo jej vytvořit měl a je prezentován jako podepsaná osoba. Oba soudy to ale dovozovaly z jiných důkazů, než ze samotného prostého elektronického podpisu, vytvořeného v rámci služby DocuSign pro on-line podepisování, tedy reálně jako u ústní smlouvy.
Konkrétně Městský soud, coby odvolací instance, ve svém rozhodnutí konstatuje, že „u prostého elektronického podpisu je třeba pozitivně prokazovat jednak identitu podepisující osoby, jednak skutečnost, že podepisující osoba projevila svoji vůli“. Tedy že pro prostý elektronický podpis neplatí domněnka jeho pravosti, ale že jeho pravost musí být prokázána tím, kdo se sporného dokumentu dovolává ke svému prospěchu. Tak, jak je tomu obecně u soukromých listin (dle § 565 a § 566 o.z.). Nikoli že důkazní břemeno by nesl ten, kdo by tvrdil opak, neboli nepravost, jako je tomu u „zjevně podepsané“ soukromé listiny a i v případě veřejné listiny (např. u doložky úředního ověření podpisu).
Zde, v konkrétním případě prostého elektronického podpisu, vytvořeného v rámci služby DocuSign, prokázání pravosti znamenalo dokázat, že podpis vytvořila skutečně ta osoba, o které příslušná služba tvrdí, že je podepsanou osobou, a dokládá to svými záznamy. Nikoli někdo jiný, kdo se za údajnou podepsanou osobu jen vydával – jako je tomu na následujícím obrázku s jiným prostým elektronickým podpisem, vytvořeným také v rámci služby DocuSign.
Podle obsahu zveřejněného rozhodnutí č.j. 54 Co 217/2024-259 žalující strana povinnost pozitivního prokázání pravosti sporného prostého elektronického podpisu na elektronickém dokumentu „beze zbytku splnila“. Rozhodnutí sice neříká, jak konkrétně – ale naznačuje dovozování pravosti z něčeho jiného, než je samotný prostý elektronický podpis:
V praxi se totiž zpravidla s dokumentem pojí i další přímé a nepřímé důkazy, především následné chování stran při plnění závazku, z něhož obvykle půjde poměrně spolehlivě dovodit, že jeho vzniku předcházel předmětný dokument a zřejmě i co bylo jeho obsahem.
V rozhodnutí soudu prvního stupně je v tomto směru zdůrazňován zejména obsah související vzájemné komunikace stran a svědecká výpověď.
Rozhodnutí obou soudů si tedy můžeme shrnout tak, že prosté elektronické podpisy samy o sobě neprokazují identitu podepsané osoby, a tato musí být v případě sporu pozitivně prokázána. A to z nějakých dalších, resp. „jiných“ důkazů (než je samotný prostý elektronický podpis a jím podepsaný dokument). Samozřejmě jen pokud jsou k dispozici.
V případě prostých elektronických podpisů, vytvořených v rámci služeb pro on-line podepisování (jako je i služba DocuSign), mohou být takovýmito dalšími důkazy také související záznamy této služby, popisující co všechno se v rámci služby při podepisován odehrálo, což v uvedeném sporu bylo u soudu prvního stupně částečně skutkově řešeno, nicméně výsledky byly podřazeny pod ustanovení § 561 o.z. a nikoli pod § 562 o.z.
Ale ani tyto záznamy nemusí postačovat pro prokázání pravosti vytvořeného podpisu. Jak je z předchozího obrázku patrné (a jak si v pokračování tohoto článku ještě podrobněji rozvedeme), v rámci služeb pro on-line podepisování, včetně služby DocuSign, obvykle existuje možnost, jak se úspěšně vydávat za někoho jiného. To samozřejmě má významné důsledky pro prokazování pravosti podpisů, vytvořených v rámci takovýchto služeb. Záleží totiž na tom, jakým způsobem a jak důkladně si taková služba zjišťuje a ověřuje identitu svého uživatele, jehož podpis vytváří a kterou následně promítá i do svých záznamů. Zda připouští i takovou identitu, která je pouze deklarovaná (tvrzená) a není dostatečně ověřována. Což nahrává podvodům a komplikuje dokazování v případě sporu.
Prostý elektronický podpis nemusí určovat podepsanou osobu
Kromě toho je dobré vědět, že právní úprava prostých elektronických podpisů se s postupem času vyvíjela. Původně, podle dnes již neplatného zákona č. 227/2000 Sb. o elektronickém podpisu, musel i prostý podpis „někomu patřit“ a umožňovat ověření toho, komu patří (ověření identity podepsané osoby).
Jak si v pokračování tohoto článku ještě upřesníme, podle současné právní úpravy (unijního nařízení eIDAS) už od prostého elektronického podpisu není nic takového požadováno. Proto dnes může být prostým elektronickým podpisem úplně cokoli elektronického. I něco, co není nijak specifické a unikátní pro podepisující osobu. Takže prosté elektronické podpisy různých osob dnes mohou být úplně stejné a vůbec z nich nemusí vyplývat, komu patří (ani co podepisují). Nemusí tedy identifikovat podepsanou osobu (ani umožňovat ověření její identity). Může to být i třeba jen smajlík, či nějaký jiný emotikon, obecné slovo či slovní spojení (nikoli jméno) apod.
To, komu takový „anonymní“ podpis patří, pak není možné dovozovat ze samotného podpisu, ale je nutné to dovozovat z nějakých dalších podkladů, resp. důkazů. V případě služeb pro on-line podepisování, jako je služba DocuSign, tak jde o „dosvědčení“ této služby: to ona nám říká, koho bychom měli považovat za podepsanou osobu (a dokládá to svými záznamy, které obvykle dává k dispozici).
Tím pádem, alespoň podle našeho názoru, při posuzování takto vytvořených prostých elektronických podpisů, nejde o problematiku § 561 o.z., přes kterou k celému sporu přistupují obě výše popisovaná soudní rozhodnutí. Když to, komu podpis patří a co se podepisuje, dovozujeme z dosvědčení (dobrozdání) příslušné služby, a nikoli z podpisu samotného a obsahu příslušné listiny, jde o problematiku § 562 o.z., týkající se právních jednání činěných „elektronickými nebo jinými technickými prostředky umožňujícími zachycení jeho obsahu a určení jednající osoby“ a také „záznamů údajů o právních jednáních v elektronickém systému“ a jejich spolehlivost.
Jak je to se zachováním písemné formy?
Zdůrazněme si znovu, že když prostý elektronický podpis dnes nemá za úkol ani identifikovat podepsanou osobu, ani umožňovat ověření její identity, pak obecně nemůže, alespoň podle našeho názoru, sám a bez dalšího splňovat požadavek písemné formy podle § 561 o.z., což lze dovozovat z následného § 562 odst. 1 o.z. a jeho požadavku na určení jednající (podepsané) osoby, nezbytného pro zachování písemné formy i bez podpisu. Obě ustanovení by měla být vykládána s elementární logickou provázaností.
Splnit požadavek § 562 odst. 1 a 2 o.z. na určení jednající (podepsané) osoby ale může záznam služby pro on-line podepisování, který zachycuje vše relevantní, co se v rámci příslušné služby pro on-line podepisování odehrálo. Takovéto záznamy mohou být přímou součástí podepisovaného dokumentu, ale častěji jde o samostatný dokument, který se na podepsaný dokument odkazuje přes unikátní identifikátor (jako na následujícím obrázku).
Ovšem ani takovýto záznam, byť vedený korektně a spolehlivý (ve smyslu § 562 odst. 2), nemusí k prokázání pravosti postačovat. Zejména když se někdo může vůči službě úspěšně vydávat za někoho jiného a tím ji uvést v omyl, který pak služba sama přenáší i do svých záznamů. Jako na následujícím obrázku (opět s prostým elektronickým podpisem, vytvořeným v rámci služby DocuSign, kde příslušný záznam je ve spodní části, a budeme si jej podrobněji rozebírat v pokračování tohoto článku).
Pokud jde o další požadavek na zachování písemné formy, týkající se zachycení právního jednání, resp. podepsaného obsahu, zde je situace obdobná. Jak si budeme ještě podrobněji popisovat v pokračování tohoto článku, prosté elektronické podpisy nemají za úkol jakkoli „zachycovat“ či jinak „fixovat“ podepsaný obsah a chránit jej proti změně (to je požadováno až od zaručených elektronických podpisů), takže ve vztahu k obsahu dokumentu jsou samy o sobě v podstatě k ničemu, což potvrdil i procesní postup obou soudů.
Nicméně, jak jsme si již naznačili, služby pro on-line podepisování řeší i tento aspekt – tím, že dokument, opatřený prostým elektronickým podpisem svého uživatele (coby jednající osoby) opatří ještě svým (alespoň zaručeným) elektronickým podpisem, resp. pečetí, jak je patrné i z předchozích obrázků.
Shrnutí
Na závěr si znovu zdůrazněme, že prosté elektronické podpisy samy o sobě nemusí vždy postačovat pro zachování písemné formy. Pokud ale vznikají v rámci takových služeb pro on-line podepisování, jako je např. služba DocuSign, jsou s nimi (resp. s jimi podepisovanými dokumenty) spojovány záznamy o tom, co se při podepisování v rámci on-line služby odehrávalo. Skrze tyto záznamy již mohou být požadavky na zachování písemné formy naplněny – jak co do určení podepsané (resp. jednající) osoby, tak i co do zachycení podepsaného obsahu (právního jednání). Nikoli však podle § 561 o.z. ve spojení s § 7 zákona č. 297/2016 Sb., ale podle § 562 o.z., obdobně jako v případě podobného právního jednání, realizovaného bez vyšších úrovní elektronického podpisu v internetovém bankovnictví či jiném podobném řízeném prostředí. Prostý elektronický podpis zobrazovaný v obsahu dokumentu je v takovém případě spíše „zvykový“ (navíc), podstata zachycení projevu vůle spočívá v něčem jiném.
V dalším pokračování tohoto článku se seznámíme s tím, jak prosté elektronické podpisy v rámci služeb pro on-line podepisování vznikají, a hlavně jak interpretovat záznamy, které tyto služby generují. Ukážeme si také, jak je možné se vůči těmto službám úspěšně vydávat za někoho jiného.
