Elektronické dokumenty

Kvalifikované elektronické dokumenty v rámci EU

V prvé řadě je potřeba si uvědomit, že elektronickým dokumentem není kterýkoliv dokument, který dotyčný pošle svým emailem, nýbrž musí splňovat určité zákonné prvky. V rámci Evropské unie bylo přijato v rámci ulehčení mezinárodní komunikace nařízení č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (eIDAS) (dále jen „Nařízení eIDAS“). Nařízení eIDAS dohlíží na elektronickou identifikaci a důvěryhodné služby pro elektronické transakce na vnitřním trhu EU. Upravuje elektronické podpisy, elektronické transakce, definuje zúčastněné subjekty a procesy, aby zajistilo bezpečnost pro uživatele podnikající on-line, například při elektronickém převodu finančních prostředků nebo při komunikaci s veřejnými službami. Nařízení eIDAS upravuje tři ochranné prvky, které je možné použít u elektronických dokumentů:

• elektronický podpis, který identifikuje konkrétní fyzickou osobu, 
• elektronická pečeť, která identifikuje konkrétní právnickou osobu,  
• elektronické časové razítko, které prokazuje existenci dokumentu v daném okamžiku. 

Tyto ochranné prvky jsou poskytovány na různých úrovních zabezpečujících důvěryhodnost ochranných prvků a dělí se na nízkou, střední a nejvyšší úroveň zabezpečení. U nejvyšší formy zabezpečení, které jsou uznávané v rámci celé EU, hovoříme o kvalifikovaných prostředcích. Právě tyto kvalifikované prostředky jsou jedinými, kterými jsou takto zabezpečené dokumenty považovány za originály a to v rámci celé EU. Kvalifikované prostředky se od jiných elektronických dokumentů liší tím, že obsahují certifikát v kvalifikované podobě, přičemž takový certifikát může vydat pouze kvalifikovaný poskytovatel.  
Kvalifikovanými poskytovateli v ČR jsou: 

• První certifikační autorita, a.s.,
• Software602 a.s.,
• Česká pošta, s.p., 
• eIdentity a.s.,
• Správa základních registrů,
• SEFIRA spol. s r.o.,
• TECHNISERV IT, spol. s r. o.

(seznam byl aktualizován k 25.08.2022)

Podnikatel pochopitelně má možnost zajistit si kvalifikovaný prostředek od jakéhokoliv jiného kvalifikovaného poskytovatele z jiné členské země, není tedy omezen pouze nabídkami výše uvedených českých kvalifikovaných poskytovatelů. Výběr kvalifikovaného poskytovatele je tak výlučně na uživateli. U rámci podnikatelů, kteří působí ve více než jedné členské zemi je naopak často výhodné, aby všechny pobočky měly jediného kvalifikovaného poskytovatele. Na webových stránkách Evropské komise lze ověřit, kteří kvalifikovaní poskytovatelé mohou působit v jednotlivých členských zemích EU. Certifikáty v tzv. kvalifikované podobě zároveň musí být vždy uloženy na kvalifikovaném externím prostředku – čipové kartě, tokenu nebo s použitím speciálního hardwaru označovaného jako „HSM modul“ (v závislosti na nabídce kvalifikovaného poskytovatele). Rozdíl mezi kvalifikovaným elektronickým podpisem a elektronickou pečetí je v tom, že elektronickým podpisem se ověřuje identita určité fyzické osoby, kdežto elektronická pečeť ověřuje identitu právnické osoby. Elektronická pečeť tak může mít využití např. při vydávání různých certifikátů jakosti, záručních listů apod. Elektronické časové razítko je založeno na tom, že zajišťuje existenci a platnost elektronického podpisu či pečeti k určitému časovému okamžiku. Jeho používání není povinné, a to ani pro komunikace s úřady veřejné správy; jedná se tedy spíše o doprovodným kvalifikovaný prostředek k elektronickému podpisu a elektronické pečeti. Výhodou jeho používání je nicméně skutečnost, že díky jeho použití spolu s elektronickým podpisem či pečetí se prodlužuje platnost certifikátu těchto kvalifikovaných prostředků na 5 let.  Jinak je platnost kvalifikovaného podpisu či pečeti je omezena délkou licence certifikátu, což je 1 rok, potom je nutné takový dokument znovu označit kvalifikovaným prostředkem. Nevýhodou kvalifikovaných prostředků je, že nelze technicky zabránit tomu, aby byly pořízeny rozmnoženiny dokumentu opatřeného kvalifikovaným prostředkem. Pokud by třetí osoba učinila jakoukoli změnu v dokumentu, ochranný prvek certifikátu však již nebude souhlasit a z dokumentu bude patrné, že byl upraven. Jinými slovy, již se nebude jednat o originální dokument, který takto označil oprávněný držitel kvalifikovaného prostředku. Cenová náročnost kvalifikovaných prostředků je poměrně nízká a jednoroční certifikát k podpisu či pečeti včetně čipové karty vyjde přibližně na 1200 – 1500,- Kč. Cena za časové razítko se odvíjí o četnosti jeho používání a činí přibližně 2 – 3,- Kč za jedno razítko.Pokud tedy obdržíte elektronický dokument s kvalifikovaným prostředkem, můžete si tedy snadno výše uvedeným způsobem ověřit, že certifikát vydat oprávněný certifikační subjekt a zda je tedy takový dokument možné považovat za originál. 

Vlastní ověřovací certifikát

Kromě výše uvedeného je též možné zvážit vygenerování vlastního ověřovacího certifikátu a ten připojovat k dokumentům. Toto technické řešení však sebou nese jisté nevýhody, jednak není takový certifikát důvěryhodný jako certifikát vydaný certifikační autoritou (kvalifikovaným poskytovatelem) a není ani uznatelný v rámci jiných zemí EU. K vygenerování vlastního certifikátu lze využít např. volně dostupný program OpenSSL. Následně již stačí vygenerovaný certifikát nahrát do úložiště v počítači (nejlépe pomocí aplikace, v níž bude certifikát využíván), a podepsat s ním dotyčný dokument. Takový certifikát má neomezenou platnost, nicméně není důvěryhodný a uznatelný jako originál. Jeho platnost totiž může ověřit pouze držitel certifikátu. 

Information Rights Management (IRM) ochrana dokumentů

Spíše pro úplnost zmíníme také toto poměrně nové technické řešení v podobě tzv. IRM ochrany dokumentů. IRM je postaveno na DRM (Digital Rights Management) ochraně, jež je často využívána k ochraně obsahu určeného spotřebitelům (např. u hudebních děl). Nasazení IRM může probíhat na vlastních serverech (např. Vitrium Security Enterprise, Adobe LiveCycle atd.) nebo pomocí SaaS (např. sealpath irm, některé produkty Vitrium atd.). Náklady na IRM řešení jsou však značné a pohybují v řádech tisíců až stovek tisíců korun ročně podle zvoleného produktu.Podstatou této ochrany je omezení přístupu k obsahu pomocí softwarové ochrany. Ta obvykle spočívá v zašifrování obsahu souboru, kdy k odšifrování obsahu pak dochází po ověření identity příjemce pomocí komunikace se serverem. Zároveň dochází k vázání obsahu k danému zařízení (resp. autorizování zařízení). Příjemci však musí mít na svém zařízení klientský software, který zajistí odšifrování a autorizování zařízení.Obsah samotný je pak uložen v souboru, který nemá omezená oprávnění. Při přenesení na jiné neautorizované zařízení však díky výše uvedeným technickým opatřením nebude možné přistoupit k obsahu souboru. Je však třeba doplnit, že jakmile je možné soubor zobrazit, tak nelze zcela zabránit možnosti vytvořit jeho nechráněnou kopii (např. pomocí snímku obrazovky). Nadto nelze zcela vyloučit možnost odstranění ochrany souboru (známé jsou případy hudebních děl nebo elektronických knížek).Výhodou je nastavitelnost časové neomezené platnosti, která může být limitována neobnovením zakoupené licence. Pro obchodní styk nebo komunikaci s orgány veřejné správy je však toto řešení spíše nevhodné a hlavně drahé. Jak již bylo uvedenou výše, vhodné uplatnění však toto řešení najde při poskytování licencí spotřebitelům u hudebních, filmových či softwarových děl.