Kde všude se dají legalizovat elektronické podpisy? Nově už i u advokátů.

Zákon o advokacii počítá s touto možností, formálně označovanou jako "prohlášení o pravosti podpisu", již delší dobu. Teprve nyní ale existuje prováděcí předpis v podobě vyhlášky, která říká, jak konkrétně mají advokáti postupovat: stejně, jako CzechPOINTy. Výsledek pak ale bude jiný, než při ověření elektronického podpisu u notáře.

Není to až tak dávno, co se veřejnoprávní úkony a právní jednání, vyžadující úředně ověřený podpis, nedaly realizovat elektronicky. Důvodem bylo to, že naše právní úprava neměla pro úředně ověřený podpis žádný elektronický ekvivalent. A v zákoně č. 21/2006 Sb. o ověřování byl původně dokonce explicitní zákaz úředního ověření elektronického podpisu.

Dalo se to tehdy jen obejít. A to tak, že se nejprve podepsal listinný dokument, úředně ověřit se nechal podpis na tomto dokumentu, a pak se celý listinný dokument i s doložkou nechal autorizovaně konvertovat do elektronické podoby. Ale přímo v elektronické podobě se takový dokument nedal elektronicky podepsat tak, aby to splňovalo požadavky na úředně ověřený podpis.

Od té doby se ale situace významně změnila. Dnes už je možné rovnou vytvářet takové elektronické podpisy, které mají právní účinky úředně ověřeného podpisu. Stejně tak je možné vzít takový elektronický podpis, který účinky úředně ověřeného podpisu nemá – a nechat jej projít procesem úředního ověření, kterému se také říká legalizace. V souvislosti s elektronickými podpisy spíše eLegalizace.

Vedle již dostupných možností eLegalizace na kontaktních místech veřejné správy (CzechPOINT-ech) a u notářů mají k provádění této činnosti potřebné oprávnění také advokáti, ve svém zákoně č. 85/1996 Sb. o advokacii, konkrétně v jeho § 25a. A to již celé tři roky, od července 2022. Jenže dosud jim chyběl prováděcí předpis, který by stanovil, jak konkrétně mají při eLegalizaci postupovat.

Nyní, k 1. červenci 2025, již potřebný prováděcí předpis existuje (a nabyl účinnosti). Jde o vyhlášku č. 186/2025 Sb., plným názvem „Vyhláška o postupu při provádění prohlášení o pravosti podpisu k dokumentu v elektronické podobě“. Její obsah by se dal shrnout do jediné věty: „postupujte stejně, jako CzechPOINTy“. S tím, že advokáti by měli používat i stejné programové vybavení jako CzechPOINTy.

Takže až budou moci i advokáti (po nezbytných úpravách) využívat pro eLegalizaci „informační systém, jehož prostřednictvím je zajišťován výkon působnosti kontaktních míst veřejné správy“ (jak se formálně říká programovému vybavení CzechPOINTů), můžeme se dočkat prvních „advokátních“ výstupů z eLegalizace.

Je zřejmé, že po technické stránce tyto výstupy budou stejné, jako výstupy z eLegalizace přímo od CzechPOINTů. A právě v tom je určitý problém: celý koncept legalizace elektronických podpisů se u nás “rozjel“ do několik různých větví. A ty se liší jak svým principem, tak i podobou svých výstupů. Takže zatímco notáři vám „zabalí“ váš dokument spolu s ověřovací doložkou do jednoho standardizovaného kontejneru (tzv. ASiC kontejneru, viz dále), CzechPOINTy se vydaly vlastní proprietární cestou. A touto proprietární cestou se nyní vydávají i advokáti.

Sázka na otisky

Kudy vede cesta, kterou se vydaly CzechPOINTy, jsem popisoval podrobněji zde na Lupě v lednu 2024, ve dvou na sebe navazujících článcích (zde a zde). Proto jen stručně: určitým obecným základem je tzv. digitální ústava (zákon č. 12/2020 Sb. o právu na digitální služby), která ve svém § 6 mluví o „nedílném spojení“ dokumentu s ověřovaným elektronickým podpisem a podpisu ověřující osoby (resp. ověřovací doložky). Nepřináší ale žádné explicitní zmocnění pro vydání prováděcího předpisu, který by upřesnil, jak konkrétně má být toto „nedílné spojení“ realizováno.

Odkazuje se ale mj. na postup podle zákona č. 21/2006 Sb. o ověřování, který už svůj prováděcí předpis má: vyhlášku č. 36/2006 Sb. „o ověřování shody opisu nebo kopie s listinou a o ověřování pravosti podpisu“. A ta ve svém § 5b odst. 3 říká alespoň něco:

Připojení ověřovací doložky provede ověřující osoba s využitím informačního systému připojením dokumentu v elektronické podobě obsahujícího ověřovací doložku a otisk dokumentu, na němž je elektronický podpis legalizován.

Reálně to znamená, že vazba je jednosměrná: ověřovací doložka je samostatným dokumentem, a v ní je uveden otisk (hash) toho dokumentu, na kterém se nachází legalizovaný elektronický podpis. Představu ukazuje i následující obrázek.

Jinými slovy: doložka ví, ke kterému dokumentu se vztahuje (vždy jen k jednomu, přes zmíněný otisk), zatímco dokument s legalizovaným podpisem neví nic o tom, zda se na něj nějaká doložka odkazuje. Případně kolik doložek a které.

Celé to mimochodem znamená, že v praxi nemusí být vůbec známo, co všechno patří do „nedílného spojení“, o kterém mluví právní úprava. Stejně tak zvolený způsob realizace nijak nebrání tomu, aby někdo ztratil třeba jen jednu část „nedílného spojení“, a nikoli vše.

Jak jsem popisoval již ve zmiňovaných článcích z ledna 2024, toto řešení má výhodu v tom, že když má jeden dokument více podpisů, mohou být legalizovány i jednotlivě, různými ověřujícími osobami a v libovolném pořadí. Což ostatně bylo i hlavním důvodem pro volbu popisovaného řešení.

Navíc toto řešení pamatuje i na možnost dodatečného podepisování: aby se neporušila integrita již (elektronicky) podepsaného dokumentu, přidávají se další podpisy na podpisové archy v podobě samostatných dokumentů, které se odkazují na podepisovaný obsah stejným způsobem: prostřednictvím otisků. A podpisy na podpisových arších se dají ověřovat obdobně, jako podpisy přímo na původním dokumentu. Tedy i jednotlivě, různými ověřujícími osobami atd.

Za tuto flexibilitu ale zvolené řešení platí svou opravdu nebývalou složitostí, kvůli které – podle mého názoru – je celé řešení pro běžnou praxi téměř nepoužitelné. Další daní pak je i proprietární charakter celého řešení. Vzniklo na zelené louce, a pokud by někdo chtěl implementovat jeho podporu – například v rámci své elektronické podatelny, aby mohla přijímat takto podepsané elektronické dokumenty – musel by si nejprve sám zjistit, jak vlastně funguje. A pak si vše udělat sám, na zelené louce. A doufat, že se použité technické řešení za chvíli nezmění.

Analýzou výstupů z CzechPOINTu lze naštěstí celkem snadno zjistit, že místo jednoho otisku (hashe) CzechPOINTy používají hned čtyři různé otisky, a pro ně si vybraly tyto hashovací funkce: SHA2-256, SHA2-512, SHA3-256 a SHA3-512. Konkrétní hodnoty otisků podle těchto hashovacích funkcí jsou obsaženy v ověřovací doložce (či v podpisovém archu) ve strojově čitelné podobě (v XML souboru, který je přílohou PDFka s doložkou či archem).

Reálný příklad (podpisového archu s ověřovaným podpisem, představovaným prostým elektronickým podpisem v podobě smajlíku) ukazuje následující obrázek.

Standardizované ASiC kontejnery

Jak jsme si již naznačili, kromě CzechPOINTů (a nyní i advokátů) mohou provádět eLegalizaci (aneb: úřední ověření elektronických podpisů, formálně: ověření pravosti elektronického podpisu) také notáři. Mají na to explicitní zmocnění (§ 74a zákona č. 358/1992 Sb. notářský řád) a také vlastní prováděcí předpis, kterým je Nařízení vlády č. 317/2021 Sb. „o postupu notáře při legalizaci elektronického podpisu“, obojí s účinností již od 1. září 2021. Tedy dříve, než nabyla účinnosti právní úprava eLegalizace podle tzv. digitální ústavy (pro CzechPOINTy) a podle advokátního zákona (k 1. červenci 2022).

Stejně tak konkrétní technické řešení, které notářům předepisuje zmiňované nařízení vlády, vzniklo dříve než výše popisované proprietární řešení s otisky, zakotvené ve vyhlášce k zákonu ověřování a používané CzechPOINTy (a nyní i advokáty). Podstatné je, že toto řešení je jiné: není proprietární, ale naopak založené na technických standardech, se kterými počítá i relevantní unijní právní úprava (nařízení eIDAS). Konkrétně na tzv. ASiC kontejnerech, které si lze zjednodušeně představit jako elektronicky podepsaný balíček (kontejner), do kterého se vloží „to, co patří k sobě“ a má tvořit jeden celek. Tedy jak samotný dokument s legalizovanými podpisy, tak i ověřovací doložku. Představu ukazuje následující obrázek.

Zdůrazněme si znovu onu pro praxi velmi nepříjemnou skutečnost: výstupy z eLegalizace se zcela zásadně liší podle toho, zda je vytvořil notář, nebo CzechPOINT (či advokát).

Jsou i další možnosti

Jak jsme si již naznačili, snahy zavést elektronický ekvivalent pro úředně ověřené podpisy se rozeběhly různými cestami. Tak si řekněme ještě o dalších možnostech.

Začněme ale zdůrazněním toho, že dosud popisované možnosti jsou „jednorázové“ – v tom smyslu, že s každý jednotlivým podpisem musíte podstoupit proces jeho eLegalizace (a také za legalizaci každého svého podpisu vždy zaplatit). Proto asi není překvapením, že se v praxi prosazuje spíše další možnost, kterou poskytuje tzv. digitální ústava, alias zákon č. 12/2020 Sb. o právu na digitální služby, konkrétně ve svém § 6 odst. 2.

Tato možnost řeší jiným (a „trvalejším“) způsobem základní problém, kvůli kterému nemá samotný elektronický podpis, založený na kvalifikovaném certifikátu, účinky úředně ověřeného podpisu rovnou a bez dalšího. Důvod je ten, že identita držitele kvalifikovaného certifikátu je sice ověřena dostatečně spolehlivě i vzhledem k požadavkům na úřední ověření – ale v samotném certifikátu není tato identita vyjádřena dostatečně jednoznačně. Zjednodušeně: je tam uvedeno např. jen „Jan Novák“, ale už ne který konkrétní Jan Novák.

Řešením je nějakým způsobem „provázat“ kvalifikovaný certifikát s konkrétní identitou jeho držitele. Dnes se to dá řešit dvěma různými způsoby. Držitel kvalifikovaného certifikátu si jej může sám vložit (zapsat) do svého účtu v základním registru obyvatel (ROB-u), a tím jej spojit se svou konkrétní identitou. Každý elektronický podpis, založený na tomto kvalifikovaném certifikátu (tj. buď uznávaný nebo kvalifikovaný elektronický podpis) pak má automaticky a bez dalšího právní účinky úředně ověřeného podpisu.

Obdobné účinky má i druhý způsob, kterým je to, že již při vydávání kvalifikovaného certifikátu si do něj jeho držitel nechá vložit údaje o svém osobním dokladu (OP či pasu), způsobem dle doporučení agentury DIA.

Podle dostupných informací je tato možnost, v obou dvou variantách, již řadou OVM akceptována, byť mnohde ji také musí ověřovat ručně. Přitom ale mohou vznikat drobné praktické problémy. Například při „ručním“ zkoumání konkrétního certifikátu podle jeho sériového čísla se v rámci různých výpisů (např. z elektronické podatelny a z ROB-u) může sériové číslo zobrazovat jednou v desítkové notaci, a jindy v šestnáctkové (hexadecimální). A ne každý si hned uvědomí, že existuje více různých notací a že může jít o stejné sériové číslo, resp. stejný certifikát.

Významnou předností této možnosti, ať již realizované vložením certifikátu do ROB-u či zapsáním čísla dokladu přímo do certifikátu, je potřeba pouze jednorázového úkonu, který pak automaticky dopadá na všechny elektronické podpisy, založené na příslušném certifikátu. Nehledě na to, že onen jednorázový úkon je zdarma. A třeba vkládání certifikátu do ROB-u se provádí v Portálu občana jednoduchým způsobem.

On-line ověření nejspíše nebude, ale už vlastně je

Právní úprava eLegalizace, konkrétně ta v zákoně č. 12/2020 Sb. o právu na digitální služby, pamatuje ve svém § 6 odst. 1 písm. b) ještě na další možnost: jakousi on-line obdobu „prezenční“ legalizace. V tom smyslu, že místo za „fyzickou“ ověřující osobou se vydáte za strojem (on-line službou).

Osobně jsem toto ustanovení četl tak, že by mělo jít o obecně dostupnou on-line službu (nejspíše na CzechPOINTu či v rámci Portálu občana), kam se uživatel přihlásí s úrovní záruky „vysoká“, uploaduje svůj elektronicky podepsaný dokument, a služba mu vystaví ověřovací doložku. Zřejmě ve stejném provedení, jako při „prezenční“ legalizaci na (fyzické) přepážce CzechPOINTu.

Pokud je mi ale známo, žádná taková služba dosud nevznikla – a nejspíše ani nevznikne. Jak jsem se na jedné odborné akci (od mnou předpokládaných implementátorů) dozvěděl, smysl popisovaného ustanovení (§ 6 odst. 1 písm. b) zákona č. 12/2020 Sb. o právu na digitální služby) je prý jiný: ne že by takováto služba měla vzniknout jako obecná a univerzálně použitelná, pro uživatelem dodané elektronické dokumenty – ale jako specificky zaměřená služba pro konkrétní účel. Jinými slovy: může si ji implementovat konkrétní veřejnoprávní portál pro své specifické potřeby. Pokud bude umožňovat taková podání, která vyžadují úředně ověřený podpis, bude si moci sám legalizovat elektronické podpisy svých uživatelů. Třeba i ty prosté, jen v podobě jména a příjmení, napsaného v dokumentu, který si systém nejspíše vygeneruje sám.

Nicméně pokud někdo potřebuje provést eLegalizaci elektronického podpisu na svém vlastním dokumentu, a to on-line, bez nutnost „fyzické“ návštěvy nějaké přepážky či kanceláře, již dnes tak může učinit - u notářů, on-line, skrze jejich (on-line) jednací síně.  

Mimochodem, k přihlášení do jednací síně notáře stačí i identita občana s úrovní záruky „značná“, nebo bankovní identita. Následně může přihlášený uživatel uploadovat svůj elektronický dokument a požádat notáře o legalizaci svého podpisu na tomto dokumentu. Dodatečné zabezpečení je pak dáno tím, že notář se s žadatelem o legalizaci baví „naživo“ přes videokonferenci.

 Ostatně, takto „na dálku“ vznikl i výše uvedený příklad s legalizací u notáře.

Není jen legalizace, ale i nahrazení

K celé popisované problematice je vhodné dodat, že legalizovat na CzechPOINtu, u notáře či u advokáta lze jakýkoli elektronický podpis, a tedy i takový, kterému se v praxi říká prostý. Ostatně, i výše uváděné příklady ukazují legalizaci prostého podpisu v podobě smajlíku.

Připuštění jakéhokoli (i prostého) elektronického podpisu zde dává smysl – protože na něm a na jeho vlastnostech vůbec nezáleží. To, na čem záleží, je dobrozdání ověřující osoby, resp. obsah ověřovací doložky.

Jinak je tomu pochopitelně u možností s vkládáním certifikátu do ROB-u či údajů o dokladu do certifikátu: zde se musí jednat o kvalifikovaný certifikát. Takže musí jít o elektronický podpis, který je založen na kvalifikovaném certifikátu, což je buď uznávaný, nebo kvalifikovaný elektronický podpis (rozdíl mezi nimi je v míře ochrany soukromého klíče, resp. jeho umístění).

Nicméně právní úprava v § 6 zákona č. 12/2020 Sb. o právu na digitální služby není jen o legalizaci, resp. o dosažení právních účinků úředně ověřeného podpisu, ale také o nahrazení: o možnosti nahradit uznávaný elektronický podpis takto zlegalizovaným elektronickým podpisem. Tedy o možnosti využít i takový elektronický podpis, který není ani uznávaným elektronickým podpisem – a to tam, kde je uznávaný elektronický podpis vyžadován. Což jsou např. elektronická podání vůči orgánům veřejné moci (pokud nejsou činěna z vlastní datové schránky s využitím tzv. fikce podpisu).

Příkladem využití by mohla být situace, kdy někdo nemá vlastní datovou schránku a nechce si pořizovat kvalifikovaný certifikát (kvůli možnosti vytvořit uznávaný elektronický podpis), ale potřebuje učinit nějaké podání elektronicky – a to vyžaduje uznávaný elektronický podpis (např. když je činěno e-mailem). Pak stačí i onen symbolický smajlík (v roli prostého elektronického podpisu) a hlavně následná legalizace dle § 6 odst. 1 zákona o právu na digitální služby.

Zajímavou otázkou ale je, co v případech legalizace elektronických podpisů, konkrétně u notářů a advokátů, podle jejich vlastní právní úpravy. Ta totiž hovoří pouze o legalizaci ve smyslu dosažení právních účinků úředně ověřeného podpisu, ale již explicitně nezmiňuje možnost nahradit svým výstupem i uznávaný elektronický podpis (to dělá jen onen § 6 zákona o právu na digitální služby).

Zdravý rozum by asi velel, že nahrazení je možné i v případě elektronických podpisů legalizovaných notáři či advokáty: sice vznikly podle jejich konkrétní právní úpravy, ale současně by měly vyhovovat i požadavkům § 6 odst. 1 písm. a) zákona o právu na digitální služby, a měly by tak profitovat z účinků, které toto ustanovení přináší. Zvláště když se toto ustanovení v poznámce pod čarou odkazuje na postup nejenom podle zákona o ověřování, ale i podle právní úpravy notářů a advokátů. Při známé mnohočetnosti právních názorů na stejnou otázku to ale nemusí být až tak jednoznačné.

Nicméně třeba z katastru nemovitostí, který elektronickým podáním fandí v ČR asi nejvíce, mi na můj dotaz odpověděli, že „nahrazené“ uznávané podpisy akceptují. A to včetně těch, které jsou výsledkem legalizace u notářů či advokátů:

Pokud by byl elektronický podpis nižší úrovně než je uznávaný legalizován advokátem nebo notářem podle jejich zákonů, takový podpis by katastrální úřady rovněž akceptovaly. Vycházíme z toho, že podle § 6 odst. 1 písm. a) zákona o právu na digitální služby je i takto ověřený elektronický podpis postaven na roveň uznávaného elektronického podpisu, a proto splňuje požadavky § 7 odst. 1 věty třetí katastrálního zákona.“

A když už jsme u katastru, resp. katastrálních úřadů: jejich elektronické podatelny prý přijímají všechny výše popisované varianty legalizovaných elektronických podpisů. S tím že varianty dle § 6 odst. 2 (se zápisem certifikátu do ROB-u či dokladu do certifikátu) již podatelny vyhodnocují automatizovaně. ASiC kontejnery zatím vyhodnocují ručně, přičemž automatizované zpracování má prý dodavatel aktuálně v řešení. No a k legalizacím „s otisky“ (od CzechPOINTů) mi z katastru sdělili, že:

vzhledem k zanedbatelnému množství těchto podání zatím automatizaci neplánujeme

Tak uvidíme, jak se možnost legalizace elektronických podpisů (formálně: prohlášení o pravosti podpisu) u advokátů, realizované ve stylu CzechPOINTů, ujme a rozjede. Zda zůstane u „zanedbatelného množství“, asi nejen u katastrálních úřadů, kvůli kterému se nevyplatí investovat do vývoje jejich podpory na straně potenciálních příjemců, nebo zda se počty zvýší natolik, aby se to už vyplatilo. Osobně jsem v tomto ohledu skeptický.