e IDAS Radek Hol e IDAS Nov nazen

“e. IDAS “ Radek Holý

e. IDAS • • Nové nařízení e. IDAS platné od 1. 7. 2016 o „elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu“. Z nařízení vyplývá, že elektronický dokument podepsaný kvalifikovaným podpisem lze doručit libovolným způsobem. „Od 1. 7. 2016 nemůže veřejná správa požadovat pouze listinnou podobu a odmítat elektronický dokument pro jeho formu. “ „Na elektronický dokument podepsaný kvalifikovaným elektronickým podpisem se nahlíží stejně jako na dokument v listinné podobě s vlastnoručním podpisem. “ Povinnosti: – – – – Má povinnost ověřit podpis na dokumentu dvakrát během 24 hodin. Pokud je u podpisu časové razítko, a je jasné, že podpis je starší než 24 hodin, stačí ho ověřit jen jednou. Musí umět ověřit podpis napříč EU. Pokud přijde dokument datovou schránkou, podpis mít nemusí. Pokud ho ale má, je nutné jej ověřit. Státní správa má povinnost dokument přijmout a uložit. Výjimku představují zavirované dokumenty. Pokud chybí podpis, nebo je nevalidní, podávající má 3 -5 dnů na to, aby vše uvedl do pořádku. Organizace nemá povinnost o tom podávajícího informovat. Pokud není náprava sjednána, bere se jako by k podání nedošlo. Elektronický dokument podepsaný elektronickým podpisem (kvalifikovaným) je rovnocenný jako dokument v listinné podobě a úřad jej nesmí odmítnout Mít technologická rozhraní, která dokáží pracovat s definovanými formáty elektronických podpisů a elektronických pečetí

Legislativa • e. IDAS Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES Část e-podpisy - od 1. 7. 2016 Část e-identita, e-doručování – od 9. 2018 • 19. září 2016 ve Sbírce zákonů vyhlášený a ihned účinný zákon č. 297/2016 Sb. , o službách vytvářejících důvěru pro elektronické transakce („ZSVDET“), který mimo jiné zcela ruší zákon o elektronickém podpisu a v nezbytném rozsahu doplňuje Nařízení, zejména o národní pravidla opatřování dokumentů elektronickými podpisy, pečetěmi a časovými razítky. • Vedle ZSVDET byl vyhlášen a nabyl účinnosti též změnový zákon č. 298/2016 Sb. , který upravuje desítky stávajících zákonů.

Legislativa • E-podpis, pečeť, razítko – Elektronický podpis projev vůle (vyjádřený podepsáním) – Elektronická pečeť integrita dat a správnost původu – Elektronické časové razítko – existence dat v daném čase • E-identita – sloužící pro identifikaci osoby (v rámci on-line služeb) • E-doporučené doručování – sloužící k doručování na vnitřním trhu • Výsledky ověření ukládat jako důkaz včetně e-dokumentu a e-podpisu • Odpovědnost za škodu • při nepřijetí e-dokumentu s odpovídajícím e-podpisem, z celé EU (!!) Vytvářet PDF/A-2 podpis PAd. ES nelze plnohodnotně vložit do starších verzí PDF/A

Elektronický podpis • Dle Nařízení je nejvyšší formou elektronického podpisu tzv. kvalifikovaný elektronický podpis, jehož vytvoření vyžaduje použití kvalifikovaného prostředku pro vytváření elektronických podpisů, v praxi např. zvláštní čipové karty či tokeny. – – V ČR existovala již před účinností Nařízení výjimka díky existenci uznávaného elektronického podpisu, u nějž jsme se obešli bez potřeby čipové karty. Výjimka tak bude díky ZSVDET platit i nadále, pro veřejnost bez omezení, pro orgány veřejné moci (definované v § 5 ZSVDET) pouze do 19. září 2018. po uvedenou dobu tak má každý možnost volby, zda používat nový standard kvalifikovaného elektronického podpisu akceptovaného po celé EU, či zůstat u uznávaného elektronického podpisu. • Nařízení přikazuje hledět na kvalifikované podpisy jako na podpisy vlastnoruční. • ZSVDET obsahuje v Nařízení chybějící způsoby elektronického právního jednání mezi různými osobami. – Fyzické a právnické osoby nově mohou k jednání vůči orgánům veřejné moci zvolit buď dosavadní uznávaný elektronický podpis, nebo nový kvalifikovaný podpis.

Elektronický podpis • Nařízení e. IDAS vymezuje typy elektronických podpisů: – – • kvalifikovaný elektronický podpis (QES, Qualified Electronic Signature): po „technické“ stránce musí jít o zaručený elektronický podpis (Ad. ES, Advanced Electronic Signature), musí být založen na kvalifikovaném certifikátu pro elektronický podpis a musí být vytvořen pomocí kvalifikovaného (dříve, podle původní terminologie: bezpečného) prostředku pro vytváření elektronických podpisů. Tak se říká čipovým kartám a USB tokenům, které prošly potřebnou certifikací. zaručený elektronický podpis, založený na kvalifikovaném certifikátu: liší se od kvalifikovaného el. podpisu absencí požadavku na použití kvalifikovaného prostředku (čipové karty/tokenu). Stále tedy musí jít o zaručený elektronický podpis a musí být založený na kvalifikovaném certifikátu. V praxi: k jeho vytvoření nutný kvalifikovaný prostředek (certifikovaná čipová karta/token). zaručený elektronický podpis (Ad. ES, Advanced Electronic Signature): na certifikát, na kterém je založen, nejsou kladeny žádné požadavky. Může to tedy být jakýkoli certifikát, třeba i testovací (který si může vyrobit kdokoli a napsat si do něj cokoli chce). „prostý“ elektronický podpis (též: elektronický podpis bez přívlastku, anglicky: ES, Electronic Signature): takovýmto podpisem může být cokoli, co má elektronickou podobu a co někdo použije jako svůj podpis. V nově přijatém zákoně O službách vytvářejících důvěru jsou již nové definice - hovoří o Zaručeném elektronickém podpisu – s jednoznačnou identifikací, vytvořený dle e. IDAS a Kvalifikovaném elektronickém podpisu – založeném na kvalifikovaném certifikátu a vytvořeném na kvalifikovaném prostředku.

Elektronický podpis • Struktura formátů - tyto úrovně: – úroveň B (B-level, od: Basic): jde o výchozí úroveň, bez časového razítka – úroveň T (T-level, od: Time, resp. Timestam): jde o úroveň B, rozšířenou o časové razítko – úroveň LT (LT-level, od: Long Term): jde o úroveň T, doplněnou o revokační informace (CRL seznam či odpověď OCSP serveru) – úroveň LTA (LTA-level, od: Long Term Archiving): jde o úroveň LT, doplněnou o dokumentové (tzv. archivní) časové razítko. • Prováděcích předpisů již k novému nařízení e. IDAS, z 8. září 2015 - vynechává nejvyšší úroveň (LTA), určenou k dlouhodobé péči o elektronické dokumenty.

24 hodin • Nové nařízení mění základní principy kolem revokace certifikátů a zveřejňování příslušných (revokačních) informací. – • Jestliže se kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty rozhodne určitý certifikát zneplatnit, zaeviduje toto zneplatnění ve své databázi certifikátů a zneplatnění certifikátu včas a v každém případě do 24 hodin od obdržení žádosti zveřejní. Zneplatnění nabývá účinku okamžitě po zveřejnění. Zhoršení pro žadatele o revokaci: dříve mohla být jeho žádost vyřízena co nejdříve a certifikát ihned revokován – a teprve pak nastupovala ona maximální lhůta 24 hodin. Pokud by byla skutečně čerpána (což se prakticky neděje), byl držitel certifikátu již chráněn (jeho certifikát byl již revokován, v analogii s platební kartou: tato již byla zablokována).

24 hodin • Zveřejnění revokací - Hlavní možnosti jsou dvě: – na principu nástěnky: certifikační autorita provozuje něco jako nástěnku, na kterou vyvěšuje seznamy těch certifikátů, které revokovala (předčasně zneplatnila). Říká se jim seznamy CRL (od: Certificate Revocation List). Adresa „nástěnky“ je obsažena v každém certifikátu (kterého se tato možnost týká). – na principu dotaz&odpověď: certifikační autorita provozuje službu, které se lze zeptat, jaký je stav revokace konkrétního certifikátu (dle jeho sériového čísla). A služba v odpovědi poskytne požadovanou odpověď. Pro komunikaci obou stran je zde využíván protokol OCSP (Online Certificate Status Protocol) a v každém certifikátu (kterého se to týká) je uvedena adresa tzv. OCSP responderu (kterému se kladou otázky a on odpovídá). • • OCSP je nově povinné – a zdarma „zneplatnění nabývá účinku okamžitě po zveřejnění“. Jak přesně tomu rozumět? – že okamžikem, ke kterému byl certifikát revokován, je přímo okamžik zveřejnění informace o jeho revokaci. – že okamžikem, ke kterému byl certifikát revokován, je okamžik, o kterém rozhodla autorita (poskytovatel služby vytvářející důvěru). Ale že celý akt revokace (předčasného zneplatnění) zůstává neúčinný, dokud nedojde ke zveřejnění.

Elektronická pečeť • Pro kvalifikované elektronické pečetě platí dle Nařízení domněnka integrity dat a správnosti původu pečetí označených dat (tj. že určitý elektronický dokument vydala určitá právnická osoba). • Elektronickou pečetí na rozdíl od dosavadní elektronické značky právnická osoba může označit pouze takový dokument, jehož je sama původcem. • Vůči orgánům veřejné moci musí právnické osoby používat kvalifikovanou elektronickou pečeť. I zde však stanoví přechodná ustanovení možnost do 19. září 2018 označit dokument doposud známou (a nyní již formálně právně neexistující) elektronickou značkou podle zákona o elektronickém podpisu. • Pokud budete z jakéhokoli důvodu přechodně užívat elektronické značky, je nutné si uvědomit, že nemají – jako česká specialita – žádné účinky v zahraničí. • Orgány veřejné moci budou povinně opatřovat relevantní dokumenty kvalifikovanými elektronickými pečetěmi bez výjimky.

Elektronické časové razítko • Kvalifikovaná elektronická časová razítka nesou dle Nařízení domněnku správnosti udávaného data, času a integrity dat, s nimiž jsou datum a čas spojeny. • ZSVDET v tomto ohledu stanoví explicitně povinnost pro orgány veřejné moci, které musí elektronický dokument označit kvalifikovaným elektronickým časovým razítkem při jeho elektronickém podepsání anebo pečetění. • ZSVDET i zde prodlužuje možnost používat dosavadní formu elektronického časového razítka po následující dva roky.

Služba vytváření důvěry • Definice služeb vytvářejících důvěru je obsažena v rámci čl. 3, odst. 16, podle něhož: – – Službou vytvářející důvěru se rozumí elektronická služba, která je zpravidla poskytována za úplatu a spočívá: ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami • V rámci „Questions & Answers“ pak Evropská komise upřesňuje, že e. IDAS se nevztahuje ani na služby elektronické archivace. Problém se službami elektronické archivace však může nastat v okamžiku, kdy daný provozovatel nabízí více než jen pouhé „ukládání“ dokumentů a svým zákazníkům poskytuje, další služby jako např. časová razítka (včetně přerazítkování). V tomto případě se již jedná o službu vytvářející důvěru. • V případě ověřování kvalifikovaných certifikátů; pokud daná služba poskytuje informaci o tom, zda certifikát byl či nebyl vydán některou kvalifikovanou certifikační autoritou v EU (podle e. IDAS poskytovatelem důvěryhodných služeb), nejedná se dle e. IDAS o službu vytvářející důvěru. Pokud však takováto služba nabízí již více informací/funkcí, zejména ověření platnosti certifikátu a jeho případné revokace, jedná se již o službu vytvářející důvěru.

Služba vytváření důvěry • Kvalifikovaní poskytovatelé služeb vytvářejících důvěru zároveň mají mnohem širší povinnosti (definované především čl. 24), za jejichž porušení hrozí sankce stanovené národní legislativou – u nás dle § 17 zákona o službách vytvářejících důvěru konkrétně až 0, 5 – 2 milionu Kč dle typu deliktu. a) 500 000 Kč, jde-li o správní delikt podle odstavce 3 písm. c) a g), b) 1 000 Kč, jde-li o správní delikt podle odstavce 2 písm. b), odstavce 3 písm. a), e) a m), c) 2 000 Kč, jde-li o správní delikt podle odstavce 1, odstavce 2 písm. a) a c), odstavce 3 písm. b), d), f), h) až l), n) a odstavce 4 až 7. • Pro všechny (tj. i nekvalifikované) poskytovatele je díky e. IDAS nově pod sankcí až 2 mil. Kč zavedena poměrně obecná povinnost spočívající v přijetí vhodných technických a organizačních opatření k řízení rizik ohrožujících bezpečnost jimi poskytovaných služeb vytvářejících důvěru, zejména pak musí přijmout opatření k zabránění bezpečnostních incidentů, k minimalizaci jejich dopadů a k informování zúčastněných stran o nepříznivých dopadech těchto incidentů. • S tímto bodem poměrně úzce souvisí další povinnost, a to bez zbytečného odkladu, max. však do 24 hodin, vyrozumět orgán dohledu/dotčený subjekt o každém narušení bezpečnosti nebo ztrátě integrity, jež má významný dopad na poskytovanou službu vytvářející důvěru nebo na uchovávané osobní údaje s tím, že za porušení této povinnosti hrozí pokuta až ve výši 1 mil. Kč.

Shrnutí • Elektronické podepisování: jako doposud (uzn. vany el. podpis) nebo kvalifikovany el. podpis dle e. IDAS. Kvalifikovany certifikát nemusí obsahovat údaje jednoznačně identifikující podepisující osobu. • Elektronické značky + pečetě: elektronick. značka jako doposud, bez vy znamné změny (podle zákona o elektronickém podpisu), pouze terminologické změny + povinnost uznávat kvalifikované el. pečetě dle e. IDAS (místo stávající el. značky). • Používání elektronicky ch časovy ch razítek: elektronické časové razítko jako doposud, bez vy znamné změny (podle zákona o elektronickém podpisu), pouze terminologické změny.

Soulad s EIDAS - karanténa - kontrola na vstupu a opět po 24 h automatické napojení na EUTL (nyní pouze ruční) konverze do PDF/A prokazatelnost elektronických dokumentů pomocí XAd. ES prokazatelnost elektronických dokumentů pomocí PAd. ES vytvoření validační doložky strojové čitelné (XML) i člověku čitelné (PDF)

Konec vyvratitelné domněnky pravosti • Důležitá novinka - změnový zákon č. 298/2016 Sb. (Zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o službách vytvářejících důvěru pro elektronické transakce, zákon č. 106/1999 Sb. , o svobodném přístupu k informacím, ve znění pozdějších předpisů, a zákon č. 121/2000 Sb. , o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů) – Ruší ustanovení - § 69 a odst. 5 zákona č. 499/2004 Sb. o archivnictví a spisové službě. Právě toto ustanovení zavádělo tzv. vyvratitelnou domněnku pravosti elektronických dokumentů. Na jeho základě se vyvinula praxe, kdy se pravost elektronických dokumentů odvozovala od technické platnosti a elektronické dokumenty byly označovány časovým razítkem „jednou provždy“. Zastánci tohoto přístupu odvozovali z domněnky pravosti závěr, podle něhož by jediné časové razítko mělo stačit po libovolně dlouhou dobu, a praxe přerazítkovávání již není nutná. – Zrušení vyvratitelné domněnky pravosti by mělo znamenat, že je potřeba se o elektronické dokumenty aktivně starat a v pravidelných intervalech je technicky vhodnou cestou označovat dalšími časovými razítky, pokud není možné pro daný dokument využít domněnky pravosti dané parametry bezpečného úložiště ve smyslu § 562 odst. 2 občanského zákoníku.

Spisová služba • Podatelna přijímá elektronická podání podle správního řádu libovolným kanálem a důvodem odmítnutí podání nesmí být to, že podání je elektronické, ale ani to, že podání není podepsáno kvalifikovaným elektronickým podpisem. • Podle § 6 odst. 1 zákona č. 297/2016 Sb. se pro podání připouští také zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis jako alternativa podpisu, tedy povinné náležitosti podání podle § 37 odst. 2 správního řádu. Avšak ani úplná absence elektronické alternativy vlastnoručního podpisu podle nařízení e. IDAS nebo podle zákona č. 297/2016 Sb. nesmí být (dle výše uvedeného) důvodem k odmítnutí přijetí podání. • Vždy je třeba postupovat dle § 37 odst. 3, který říká, že nemá-li podání předepsané náležitosti nebo trpí-li jinými vadami, pomůže správní orgán podateli nedostatky odstranit nebo ho vyzve k jejich odstranění a poskytne mu k tomu přiměřenou lhůtu. V dřívějším znění správního řádu (účinném před 19. září 2016) byla tato lhůta pro nepodepsaná elektronická podání striktně stanovena v odst. 5 téhož paragrafu. Toto však již nyní není přesně stanoveno žádným konkrétním ustanovením.

Spisová služba • Ověření elektronického podpisu není podmínkou pro přijetí podání. To však neznamená, že by podatelna měla přestat elektronické dokumenty ověřovat. • Povinnost ověření elektronického podpisu, elektronické značky (dobíhající), elektronické pečetě (začínající) a elektronického časového razítka na vstupu do spisové služby je stále zachována a platí. • e. IDAS zakotvuje celoevropský princip, že důvěryhodnost digitálního dokumentu musí primárně vycházet z dokumentu samotného a z jeho atributů. Z tohoto důvodu prováděcí rozhodnutí EU 2018/1506 zavádí povinnost používat zaručené elektronické podpisy a zaručené elektronické pečetě v souladu se specifikací ETSI (PAd. ES, XAd. ES, CAd. ES). • Dlouhodobě ověřitelný elektronický podpis pro PDF dokumenty (PAd. ES) je možné plnohodnotně vložit pouze do „novějšího“ formátu PDF/A-2 a vyšší (založeného na PDF verzi 1. 7). Doposud běžně užívaný formát PDF/A-1 (založeného na PDF verzi 1. 4) bude již nedostatečný.