S železnou pravidelností se v odborných kruzích vrací diskuse o tom, zda a jak je možné v souladu s právním řádem zajistit v elektronickém systému spisové služby (ale i v jiných informačních systémech spravujících dokumenty) hromadné podepisování dokumentů v digitální podobě.

Klíčové pro vedení této diskuse je rozlišení elektronických podpisů na kvalifikované a všechny ostatní. Uvedená diskuse má smysl právě v kontextu kvalifikovaného elektronického podpisu, neboť jen ten má dostatečnou právní váhu a tím i dopady do smluvních vztahů a zejména vztahů mezi veřejnou správou a veřejností. Pouze kvalifikovaný elektronický podpis je také možné považovat za podpis vlastnoruční

„Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu.“

Nařízení eIDAS, článek 25, odst. 2

Současně také platí, že právě podmínky vytváření a používání kvalifikovaného podpisu jsou významným způsobem kodifikovány v relevantních právních normách, zejména v Nařízení eIDAS (Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES).

Požadavky na kvalifikovaný elektronický podpis

Nařízení eIDAS jako jeden ze základních požadavků definuje, že elektronický podpis musí být vytvořen prostředky pod výhradní kontrolou podepisující osoby.

„Zaručený elektronický podpis … je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou“

Nařízení eIDAS, článek 26, písm. c)

Současně platí, že kvalifikovaný podpis je možné vytvářet výhradně prostřednictvím kvalifikovaných prostředků pro vytváření elektronických podpisů a tyto prostředky musí být certifikovány státem k tomu vybranými subjekty (čl. 29 a 30 nařízení eIDAS).

V souhrnu tedy platí, že aby mohl být kvalifikovaný elektronický podpis učiněn validním způsobem, musí k tomu dojít tak, že uživatel bude využívat certifikovaný prostředek a současně bude mít výhradní kontrolu nad daty určenými k vytváření elektronických podpsiů.

V praxi to znamená, že protože je kvalifikovaný certifikát chráněn bezpečnostním kódem PIN (naplnění požadavku 1. d) dle přílohy č. II Nařízení eIDAS), který zajišťuje výhradní kontrolu uživatele, musí být tento kód spolu s daty podpisového certifikátu předáván prostředku vytvářejícímu podpis bez zásahu třetí strany (např. aplikace, která by si PIN „zapamatovala“ pro další použití). Řešení obcházející tento princip není možné považovat za řešení v souladu s požadavky nařízení eIDAS.

Argumentace občanským zákoníkem

V diskusi se také objevuje argument na možnost využití ustanovení občanského zákoníku upravující možnost použití mechanických podpisů

„K platnosti právního jednání učiněného v písemné formě se vyžaduje podpis jednajícího. Podpis může být nahrazen mechanickými prostředky tam, kde je to obvyklé. Jiný právní předpis stanoví, jak lze při právním jednání učiněném elektronickými prostředky písemnost elektronicky podepsat.“

Zákon č. 89/2012 Sb., občanský zákoník, § 561

Tento argument ovšem neobstojí, a to zejména proto, že obcházení závazné právní normy technickými prostředky není totéž, jako nahrazení podpisu jednajícího mechanickým prostředkem. Zejména v kontextu věty třetí, která přímo odkazuje na samostatnou právní úpravu elektronického podpisu.

Hromadné podepisování ano, ale jen certifikovaným prostředkem

Z výše uvedeného vyplývá, že hromadné podepisování dokumentů kvalifikovaným elektronickým podpisem je možné pouze v případě, že kvalifikovaný prostředek pro vytváření elektronických podpisů použitý k takovému podepisování tuto funkci umožňuje a současně se jedná o prostředek certifikovaný odpovídajícím způsobem dle nařízení eIDAS.

Jakýkoliv jiný způsob hromadného podepisování, zejména pak využití aplikací pro správu dokumentů nebo jiných technických prostředků pro simulaci uživatelského potvrzení použití kvalifikovaného prostředku pro vytváření elektronických podpisů, je v příkrém rozporu s nařízením eIDAS.

Problémem je, že na výsledném podepsaném dokumentu není možné rozlišit, zda byl podepsán přímo uživatelem, nebo zda došlo k podpisu s využitím nevalidního postupu. V případě zjištění, že konkrétní osoba nebo instituce využívá k podepisování dokumentů řešení fungující v rozporu s nařízením eIDAS by tak mohlo dojít ke zpochybnění všech dokumentů podepsaných s využitím tohoto řešení, nejen těch, které byly skutečně podepsány hromadně s využitím nevalidní funkce.