Lenka Gomez Tomčalová je advokátkou a partnerem v advokátní kanceláři ZCH Legal. Specializuje se na právní poradenství zejména v oblasti pracovního práva včetně zastupování klientů v pracovněprávních sporech a sporovou agendu. Společně s Lenkou jsme se zaměřili na oblast elektronického podepisování a zeptali se jí na pár otázek v tomto segmentu, který je ve firmách stále oblíbenějším.
Elektronické podpisy jsou trendem dnešní doby. Jaké jsou jejich výhody?
Největší výhodou elektronických podpisů je finanční, časová i logistická úspora. Dokumenty lze elektronicky podepsat odkudkoliv, což se osvědčilo zejména v době pandemie a režimu práce z domova.
V případě „vyšších“ elektronických podpisů je další výhodou jistota zachování integrity a nepopiratelnosti dokumentu díky možnostem ověření, že dokument od jeho podpisu nebyl změněn, jakož i zajištění nenapodobitelnosti elektronického podpisu, na rozdíl od toho vlastnoručního.
Opomenout nelze ani ekologické hledisko – díky využití elektronického podpisu se můžeme vyhnout tisku dokumentů, a tak opět šetříme zdroje.
A nevýhody?
Nevýhodou může být pro řadu lidí nutnost zřízení kvalifikovaného certifikátu pro elektronické podpisy (v případě zaručených a kvalifikovaných podpisů), s tím spojené náklady, výběr konkrétního technického řešení a také časově omezená platnost certifikátu.
Výjimkou nejsou ani situace, kdy druhé smluvní straně pro nedostatek zkušeností, informovanosti či z jakéhokoli jiného důvodu elektronické podpisování nevyhovuje nebo jej úplně odmítá.
Existují různé druhy elektronických podpisů – jednoduché, zaručené a kvalifikované. Jaký je mezi nimi rozdíl?
Prostý (jednoduchý) elektronický podpis
Základním typem je prostý (jednoduchý) elektronický podpis, kterým lze nahradit běžný vlastnoruční podpis například při uzavírání smluv mezi dvěma soukromoprávními subjekty. Může mít formu vložení obrázku se skenem vlastnoručního podpisu, podpisové razítko či „nakreslení“ podpisu myší.
Zaručený elektronický podpis
Co se týče zaručeného elektronického podpisu, nevymezuje zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce zaručený elektronický podpis, ale uznávaný elektronický podpis. Jedná se o zaručený elektronický podpis, který je založen na kvalifikovaném certifikátu. To znamená, že je potvrzen jedním z poskytovatelů certifikačních služeb, kterými jsou v České republice Česká pošta, s. p., eIdentity a.s. a První certifikační autorita, a.s., kteří při jeho vydání ověřují totožnost podepisující osoby.
Tento typ elektronického podpisu lze použít v případě podpisu dokumentů, jejichž prostřednictvím právně jednám vůči subjektům veřejného práva nebo jiným osobám v souvislosti s výkonem jejich působnosti.
V souladu s evropským nařízením eIDAS je takový podpis jednoznačně spojen s podepisující osobou, umožňuje její identifikaci, je vytvořen pomocí dat pro vytváření elektronických podpisů s vysokou úrovní důvěry (tzn. kvalifikovaný certifikát) a je k podepsaným datům připojen takovým způsobem, že lze zjistit jakoukoliv následnou změnu dat.
Kvalifikovaný elektronický podpis
Nejvyšší formou elektronického podpisu je kvalifikovaný elektronický podpis. Jedná se o nejjistější a nejbezpečnější způsob elektronického podepisování, protože takový podpis lze vytvořit pouze prostřednictvím kvalifikovaného prostředku na samostatném nepřenositelném nosiči, kterým jsou např. speciální USB tokeny (i v tomto případě je ze strany poskytovatelů certifikačních služeb při jeho vydání ověřována totožnost podepisující osoby).
Tento typ elektronického podpisu je vyžadován u veřejnoprávních podepisujících, tedy například v případě jednání státu či územního samosprávného celku, a také u osob při výkonu jejich působnosti. V případě těchto osob jsou navíc dány další požadavky, jako je připojení kvalifikované elektronické pečeti a kvalifikovaného elektronického razítka.
Kvalifikovaný elektronický podpis plně nahrazuje vlastnoruční podpis ve všech členských státech EU a zaručuje jednoznačné spojení takového podpisu s podepisující osobou. Lze ho využít mimo jiné při elektronickém podání daňového přiznání či při komunikaci s Českou správou sociálního zabezpečení apod.
Elektronické podpisy šetří zdroje.
Ne všechny druhy dokumentů je možné elektronicky podepsat. O jaký druh dokumentů se jedná?
Obecně nebylo donedávna možné elektronicky podepsat ty dokumenty, které vyžadují úředně ověřený podpis. Od 1. července tohoto roku však novela zákona o právu na digitální služby zavedla v tomto směru novinku, tzv. e-legalizaci. Nově je tedy možné nahradit úředně ověřený podpis legalizací elektronického podpisu, a to třemi možnými způsoby – ověřením osobou oprávněnou k legalizaci, ověřením záznamem informačního systému veřejné zprávy a ověřením uznávaného elektronického podpisu.
První způsob znamená v podstatě pouze elektronickou podobu standardního ověření podpisu, tedy například notářem, advokátem pomocí elektronické ověřovací doložky či na Czech POINTu. Takto legalizován může být i prostý elektronický podpis. Další dva způsoby znamenají ověření na dálku, přičemž třetí způsob přímo staví uznávaný elektronický podpis na roveň úředně ověřeného podpisu, a to za podmínky, že bude možné s jistotou přiřadit kvalifikovaný certifikát pro uznávaný podpis k danému podepisujícímu.
A jak je to s elektronickými podpisy v kontextu HR agendy?
Zaměříme-li se na HR agendu a pracovněprávní vztahy, je důležité vzít v úvahu, že pracovní právo rozlišuje zvláštní kategorii dokumentů, u nichž zákoník práce požaduje, aby byly zaměstnanci doručeny do vlastních rukou. Jedná se o písemnosti týkající se vzniku, změn a skončení pracovního poměru nebo dohod o pracích konaných mimo pracovní poměr, odvolání z pracovního místa vedoucího zaměstnance, důležité písemnosti týkající se odměňování a záznam o porušení režimu dočasně práce neschopného pojištěnce. Tyto dokumenty mohou být podepsány uznaným elektronickým podpisem, tedy zaručeným podpisem založeným na kvalifikovaném certifikátu, nebo kvalifikovaným podpisem.
Nově je možné nahradit úředně ověřený podpis legalizací elektronického podpisu.
Jak zaměstnanci takové dokumenty doručit, abychom dostáli požadavkům zákoníku práce?
V případě dokumentů v elektronické podobě lze uvažovat pouze o 2 typech doručení, a to (i) doručení prostřednictvím sítě nebo služby elektronických komunikací (jedná se například o klasický e-mail) a (ii) doručování prostřednictvím datové schránky.
Předpokladem pro úspěšné doručení písemnosti prostřednictvím služby elektronických komunikací je splnění všech následujících podmínek (i) písemný souhlas zaměstnance s tímto způsobem doručování udělený předem (ii) zaměstnanec poskytne zaměstnavateli elektronickou adresu pro doručování (iii) zaměstnavatel písemnost podepíše uznávaným elektronickým podpisem (iv) zaměstnanec potvrdí převzetí písemnosti datovou zprávou a rovněž připojí svůj uznávaný elektronický podpis.
Předpokladem pro úspěšné doručení písemnosti prostřednictvím datové schránky je, aby zaměstnanec s doručováním pracovněprávní dokumentace prostřednictvím datové schránky předem udělil písemný souhlas. Písemnost v tomto případě nemusí být opatřena uznaným elektronickým podpisem a zaměstnanec nemusí její doručení potvrzovat, což vyplývá z povahy datové schránky.
Písemnost se z právního hlediska považuje za doručenou v okamžiku, kdy se zaměstnanec do datové schránky přihlásí. I kdyby tak neučinil, je písemnost považována za doručenou 10. dnem po dodání do datové schránky.
Je z právního hlediska nějaký rozdíl, zda zaměstnanec elektronicky podepíše dokument kliknutím na tlačítko potvrzuji, kliknutím na potvrzení o podpisu, kdy je následně vložen vzor uloženého podpisu zaměstnance do dokumentu, nebo když zaměstnanec reálně vepíše svůj podpis – například pomocí tabletu?
Kliknutí na tlačítko „souhlasím“, „potvrzuji“ apod. má účinky prostého elektronického podpisu. Dynamický biometrický podpis pomocí speciálního tabletu či jiné podpisové destičky je poměrně hojně využívaným způsobem podepisování, jelikož je založen na tom, že snímá jedinečná biometrická data podepisující se osoby a tuto lze tedy na jejich základě identifikovat.
Ačkoliv jde z tohoto úhlu pohledu o jistější propojení podpisu s osobou než v případě kliknutí na tlačítko, tento typ podpisu je z právního hlediska považován rovněž za prostý elektronický podpis. Prostým elektronickým podpisem nelze platně podepsat dokumenty, u nichž zákoník práce vyžaduje, aby byly zaměstnanci doručeny do vlastních rukou. Ostatní dokumenty v podobě například předávacích protokolů či vnitřních předpisů tímto způsobem podepsat lze.
Jak dlouho je nutné archivovat elektronicky podepsaný dokument? Je nutné takový dokument archivovat i v tištěné podobě? Nebo se to liší dle typu dokumentu? Můžete uvést příklady?
Pro uchovávání elektronických dokumentů platí stejné lhůty jako u dokumentů v listinné podobě. Je tedy nutné se řídit zákonnými lhůtami dle platné právní úpravy a povahou dokumentu (např. dle zákona o účetnictví pro účetní doklady či dle zákona o dani z přidané hodnoty pro daňové doklady apod.).
Je třeba rozlišovat, zda se skutečně jedná o elektronický dokument, tzn. dokument, který od počátku vznikl digitálně, byl podepsán elektronickým podpisem a bude také elektronicky archivován.
Při archivaci těchto dokumentů je zásadní dodržet požadavky na věrohodnost původu, neporušitelnost obsahu a čitelnost. Jakékoliv případné změny musí být dohledatelné a dokumenty musí být uloženy na takovém úložišti, které tyto náležitosti zajistí.
Elektronické dokumenty pro účely archivace musí obsahovat časové razítko a elektronickou pečeť a musí být uchovány ve formátu určeném pro archivaci, který zajistí čitelnost – například PDF/A. Tyto dokumenty mohou být uchovávány pouze elektronicky a není třeba je navíc tisknout a uchovávat i v listinné podobě.
Na trhu v současné době existuje několik různých poskytovatelů nabízejících softwary pro řešení elektronických archivů, resp. řešení, které uživatele provede celým životním cyklem elektronického dokumentu včetně archivace.
Jiným případem jsou ovšem dokumenty, které vznikly jako listinné. Ty je potom potřeba uchovávat v jejich originální podobě a nestačí je např. naskenovat, vložit na úložiště a v kanceláři skartovat. Takový způsob archivace by byl z právního hlediska nedostatečný.
Pro uchovávání elektronických dokumentů platí stejné lhůty jako u dokumentů v listinné podobě.
Hrozí v oblasti elektronického podepisování nějaké sankce?
České soudy už mnohokrát řešily problematiku prostého elektronického podpisu. Soudy k tomuto typu podepisování v praxi zachovávají relativně konzervativní postoj, a to právě z toho důvodu, že nelze s jistotou prokázat, zda byl dokument opatřen podpisem právě dané osoby a takovým způsobem, aby bylo možné zjistit jakoukoliv následnou změnu dat.
Soudy tedy například dovodily, že přestože byl po registraci zadáním osobních údajů v rámci webového rozhraní odsouhlasen verifikačním kódem návrh úvěrové smlouvy, nepodařilo se prokázat, že k těmto událostem skutečně došlo a souhlas byl skutečně vyjádřen, a proto úvěrová smlouva nebyla uzavřena a nevznikla z ní žádná smluvní práva ani povinnosti. Ze soudní praxe tedy jednoznačně vyplývá, že mnohdy není vhodné spoléhat se na prostý elektronický podpis a v případě zájmu o elektronické podepisování je za účelem zajištění právní jistoty a lepší důkazní pozice v případném soudním řízení potřeba zřídit certifikát pro kvalifikovaný, nebo dle potřeby alespoň uznávaný elektronický podpis.
Rovněž je třeba zohlednit, že při používání elektronických podpisů založených na různých osobních a komerčních certifikátech, nemusí některé z těchto certifikátů zaručovat totožnost podepisující osoby. I v takovém případě tedy v případě soudního sporu může dojít ke zpochybnění autorství podepisující osoby a k následnému složitému dokazování, zda byl dokument skutečně podepsán oprávněnou osobou či nikoli.
Znáte nějaký případ z praxe, kdy firma chybně využívala elektronické podpisy a dostala za to postih?
Předmětem pozornosti Úřadu pro ochranu osobních údajů bývá relativně často například otázka dynamického biometrického podpisu, a to v souvislosti s evropským nařízením o ochraně osobních údajů (GDPR). Tento typ podpisu zachycuje biometrickou stopu podepisující osoby, která je považována za osobní údaj. Pokud tento podpis má sloužit k jedinečné identifikaci osoby, jak tomu mnohdy bývá u řady finančních institucí, spadá v rámci GDPR do kategorie tzv. zvláštních osobních údajů. Tyto je zakázáno zpracovat, pokud subjekt neudělil výslovný souhlas se zpracováním pro jeden nebo více stanovených účelů. Tomuto je zapotřebí věnovat pozornost, protože sankce ukládané ze strany Úřadu pro ochranu osobních údajů mohou být vysoké.
Pokud chce firma začít využívat elektronické podpisy, co musí splnit? Co je k tomu potřeba?
Navrhovala bych začít vyhodnocením toho, jakou agendu mám v úmyslu prostřednictvím elektronického podpisu podepisovat (obchodní věci, HR agenda apod.) a zvážit limity, které mi v tomto ohledu nastavuje například ve vztahu k HR agendě zákoník práce či které mohou být důležité pro zachování písemnosti, jakož i její důkazní sílu v případném soudním řízení. V závislosti na tomto vyhodnocení pak zvolit typ elektronického podpisu.
Má-li společnost v úmyslu využívat zaručený elektronický podpis, je třeba získat certifikát od jednoho z poskytovatelů certifikačních služeb. Postup získání certifikátu se u jednotlivých poskytovatelů liší, je vhodné tedy vždy vycházet z informací o konkrétních postupech, které jsou poskytovateli relativně přehledně zpracovány. Obvykle se ale jedná o vyplnění elektronické žádosti s osobními údaji, poté návštěvu pobočky (u České pošty jde o Czech POINT) a následnou instalaci certifikátu.
Za účelem získání kvalifikovaného elektronického podpisu bude potřeba navíc instalovat např. USB token či certifikovanou čipovou kartu včetně elektronické pečeti a razítka. Platnost certifikátu je 12 měsíců, poté je potřeba ho obnovit, za tím účelem už ovšem není třeba chodit na pobočku.
Doplňuji, že kromě tří oficiálních certifikačních autorit existují rovněž tzv. externí registrační autority, které jsou jejich partnery. Jedná se například o elektronickypodpis.cz. Tato autorita je partnerem České pošty a nabízí kompletní zařízení certifikátu přímo v kanceláři zájemce, včetně nastavení všeho potřebného na počítači.