Článok

Pre mnohých z Vás je podpisovanie elektronických dokumentov každodennou záležitosťou. V dnešnej dobe využívanie podpisu v elektronickej podobe v obchodnom či v administratívnom styku nie je ničím nezvyčajným a kto ešte elektronický podpis nepoužil, skôr či neskôr zistí, že práve v podnikateľskej oblasti je čoraz viac potrebnejšie a efektívnejšie tento podpis využívať. Ako a kedy využívať elektronické podpisy, ktorý certifikát je potrebné používať a pri akej príležitosti? To všetko nájdete v našom článku.

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (ďalej len “Nariadenie eIDAS”) upravuje a harmonizuje pravidlá pre transakcie a elektronickú identifikáciu fyzických a právnických osôb. Z pohľadu podnikateľov sú najdôležitejšou časťou tohto právneho predpisu ustanovenia týkajúce sa elektronického podpisu a práve naň sa v tomto článku zameriame.  

Nariadením eIDAS sa s cieľom zabezpečiť riadne fungovanie vnútorného trhu a so zameraním na primeranú úroveň bezpečnosti prostriedkov elektronickej identifikácie a dôveryhodných služieb stanovujú podmienky, za ktorých členské štáty uznávajú prostriedky elektronickej identifikácie fyzických a právnických osôb, ktoré patria do oznámenej schémy elektronickej identifikácie iného členského štátu. Nariadením eIDAS ďalej stanovuje pravidlá pre dôveryhodné služby, najmä elektronické transakcie, a vytvára právny rámec pre elektronické podpisy, elektronické pečate, elektronické časové pečiatky, elektronické dokumenty, elektronické doručovacie služby pre registrované zásielky a certifikačné služby pre autentifikáciu webových sídiel. 

Pre mnohých z Vás je podpisovanie elektronických dokumentov každodennou záležitosťou. V dnešnej dobe využívanie podpisu v elektronickej podobe v obchodnom či v administratívnom styku nie je ničím nezvyčajným a kto ešte elektronický podpis nepoužil, skôr či neskôr zistí, že práve v podnikateľskej oblasti je čoraz viac potrebnejšie a efektívnejšie tento podpis využívať. V súčasnosti sa kvalifikovaný elektronický podpis sa využíva predovšetkým pri využívaní elektronických služieb verejnej správy na portáli www.slovensko.sk. Okrem portálu slovensko.sk je možné tento podpis využiť vo viacerých elektronických službách, ktoré sú určené podnikateľom aj nepodnikateľom (napr. vklad do katastra nehnuteľností, podanie daňového priznania a iné). 

Cieľom Nariadenia eIDAS je uľahčiť prístup k elektronickým interakciám a vybudovať digitálnu identitu EÚ. Vďaka zjednoteniu dosiahnutému vďaka Nariadeniu môže podnikateľ rýchlo a bezpečne digitálne podpisovať elektronické zmluvy v celej EÚ a naopak. Podpisovanie elektronických dokumentov sa však týka aj fyzických osôb - nepodnikateľov, ktorým takýto spôsob podpisovania značne zjednodušuje napríklad komunikáciu s verejnými inštitúciami.  

Nariadenie eIDAS nadobudlo účinnosť dňa 1. júla 2016, odkedy sú jeho ustanovenia o dôveryhodných službách priamo aplikovateľné a priamo záväzné vo všetkých 28 členských krajinách EÚ. Dôveryhodné služby už viac nie sú upravené osobitne národným právom členských štátov. V Slovenskej republike je právna úprava týkajúca sa tejto oblasti doplnená všeobecne záväzným právnym predpisom v podobe zákona č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu (zákon o dôveryhodných službách) v znení neskorších predpisov, ktorý  predstavuje implementačný právny predpis k nariadeniu eIDAS. 

V nariadení eIDAS sa uvádza, že možno rozlíšiť tieto typy podpisov: 

Elektronický podpis - sú to údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme a ktoré podpisovateľ používa na podpisovanie 

Zdokonalený elektronický podpis - ide o elektronický podpis, ktorý je v zmysle čl. 26 nariadenia eIDAS jedinečne spojený s podpisovateľom; umožňuje určenie totožnosti podpisovateľa; je vyhotovený pomocou údajov na vyhotovenie elektronického podpisu, ktoré môže podpisovateľ s vysokou mierou dôveryhodnosti používať pod svojou výlučnou kontrolou, a je prepojený s údajmi, ktoré sa ním podpisujú, takým spôsobom, že každú dodatočnú zmenu údajov možno zistiť. 

Kvalifikovaný elektronický podpis - zdokonalený elektronický podpis vyhotovený s použitím kvalifikovaného zariadenia na vyhotovenie elektronického podpisu a založený na kvalifikovanom certifikáte pre elektronické podpisy. 

V zmysle § 2 ods. 1 a 2 zákona o dôveryhodných službách, cit.: 
„(1) Ak sa v styku s orgánmi verejnej moci používa kvalifikovaný elektronický podpis, kvalifikovaný certifikát pre elektronický podpis vydaný kvalifikovaným poskytovateľom dôveryhodných služieb, ktorému úrad udelil kvalifikovaný štatút, môže ako osobitný atribút obsahovať rodné číslo podpisovateľa; ak mu rodné číslo nebolo pridelené, môže obsahovať číslo pasu alebo číslo identifikačnej karty. 

(2) Ak sa v styku s orgánmi verejnej moci používa kvalifikovaná elektronická pečať, kvalifikovaný certifikát pre elektronickú pečať vydaný kvalifikovaným poskytovateľom dôveryhodných služieb, ktorému úrad udelil kvalifikovaný štatút, môže ako osobitný atribút obsahovať identifikačné číslo pôvodcu pečate.“  

Slovenský občiansky preukaz s elektronickým čipom je tzv. elektronickou identifikačnou kartou (eID karta), ktorá obsahuje: 

• kvalifikovaný certifikát (ACA), prostredníctvom ktorého je možné vytvoriť kvalifikovaný elektronický podpis (KEP),  
  
  KEP obsahuje meno a priezvisko osoby; certifikát môže tiež obsahovať nepovinné údaje, ktorými sú zvyčajne rodné číslo osoby alebo číslo identifikačnej karty. Mandátny kvalifikovaný certifikát pre elektronický podpis musí obsahovať aj údaje o mandantovi a mandáte. Podľa § 8 zákona o dôveryhodných službách mandátny certifikát je kvalifikovaný certifikát pre elektronický podpis vydaný fyzickej osobe, ktorá je oprávnená zo zákona alebo na základe zákona konať za inú osobu alebo orgán verejnej moci alebo v ich mene, alebo fyzickej osobe, vykonáva funkciu alebo činnosť podľa osobitného predpisu. 
   
• certifikát na podpisovanie (PCA), ktorý slúži na podpisovanie elektronickým podpisom ale neumožňuje vytvoriť KEP, preto sa nemá používať pri komunikácii s orgánmi verejnej moci, 
• certifikát na šifrovanie (SCA), ktorý taktiež neumožňuje vytvoriť KEP. 

Nahratie uvedených certifikátov je možné aj online prostredníctvom aplikácie eID klient bez potreby osobnej návštevy oddelenia dokladov. Pre nahratie certifikátov je nutné disponovať eID kartou, čítačkou eID kariet, počítačovým zariadením a mať stiahnutú aplikáciu eID klient. Ak je eID kartou občiansky preukaz, každý občan SR môže mať na ňom bezplatne vyhotovené resp. nahraté certifikáty ku kvalifikovanému elektronickému podpisovaniu. Z vlastnej skúsenosti si Vás dovoľujeme upozorniť, že pokiaľ máte nový biometrický občiansky preukaz, je možné, že staršia čítačka nebude s týmto občianskym preukazom kompatibilná a neprihlásite sa do www.slovensko.sk a nepodarí sa Vám nahrať ani podpisové certifikáty. Na správne fungovanie čítačky tak bude potrebná inštalácia viacerých ovládačov v závislosti od operačného systému Vášho počítačového zariadenia. Pokiaľ chcete predísť zbytočným komplikáciám a chcete si nahrať do nového občianskeho preukazu podpisové certifikáty čo najrýchlejšie, odporúčame Vám zaobstarať si čítačku podľa zoznamu kompatibilných čítačiek zverejneného Ministerstvom vnútra Slovenskej republiky, prípadne odporúčame zaobstarať si čítačku s technológiou Plug & Play, ktorá nevyžaduje inštaláciu dodatočných ovládačov a rozpozná hardvér práve okamžite. Ak už máte správnu čítačku, stačí už len poznať svoj BOK (kód, ktorý ste si zvolili na oddelení dokladov a ktorý je už do eID karty automaticky “nahratý”). 

V prípade vytvorenia certifikátov k eID karte je potrebné zvoliť si pre kvalifikovaný certifikát ACA šesťmiestny kód (KEP PIN) a osemmiestny kód (KEP PUK). Prostredníctvom certifikátov PCA a SCA je možné vytvoriť iba zdokonalený elektronický podpis, ktorý v Slovenskej republike nemá právnu silu, ale v zmysle nariadenia o eIDAS ide o použiteľný formát, ktorý môžu akceptovať napríklad iné členské štáty EÚ, ak takúto úroveň zabezpečenia povoľujú a nevyžadujú zároveň aj ACA certifikát. Vo vzťahu k ostatným krajinám je dôležitým článok 6 kapitoly II Nariadenia eIDAS, v zmysle ktorého keď sa podľa vnútroštátneho práva alebo administratívnej praxe na prístup k službe, ktorú poskytuje subjekt verejného sektora online v jednom členskom štáte, vyžaduje elektronická identifikácia pomocou prostriedkov elektronickej identifikácie a autentifikácia, prostriedky elektronickej identifikácie vydané v inom členskom štáte sa v prvom členskom štáte uznávajú na účely cezhraničnej autentifikácie pre danú službu online, ak sú splnené tieto podmienky: 

• prostriedky elektronickej identifikácie sa vydali v rámci schémy elektronickej identifikácie (uvedená na zozname, ktorý Komisia uverejňuje podľa článku 9), 
• úroveň zabezpečenia prostriedkov elektronickej identifikácie zodpovedá úrovni zabezpečenia, ktorá je rovnaká alebo vyššia ako úroveň zabezpečenia, ktorú vyžaduje príslušný subjekt verejného sektora na prístup k danej službe online v prvom členskom štáte, za predpokladu, že úroveň zabezpečenia daných prostriedkov elektronickej identifikácie zodpovedá úrovni zabezpečenia „pokročilá“ alebo „vysoká“, 
• príslušný subjekt verejného sektora používa vo vzťahu k prístupu k danej službe online úroveň zabezpečenia „pokročilá“ alebo „vysoká“. 

A čo je vlastne kvalifikovaný certifikát? Podľa slovníka ústredného portálu verejnej správy slovensko.sk ide o “elektronický dokument, ktorým vydavateľ certifikátu potvrdzuje, že v certifikáte uvedený verejný kľúč patrí osobe, ktorej je certifikát vydaný (držiteľ certifikátu) ktorý je uložený na občianskom preukaze s čipom.” Takýto certifikát je platný 5 rokov, certifikát na podpisovanie a šifrovanie sa vydáva na dobu platnosti občianskeho preukazu – 10 rokov.  

Čo sa stane v prípade skončenia platnosti kvalifikovaného certifikátu? Podľa portálu slovensko.sk koniec platnosti neznamená koniec platnosti funkcie prihlasovania sa na ústredný portál alebo špecializované portály.  

Kvalifikovaný elektronický podpis umožňuje jasne a presne identifikovať fyzickú osobu, ktorá ho vytvorila. KEP je elektronickou alternatívou písomného vlastnoručného podpisu, ktorým sa autorizujú dokumenty v listinnej forme v rámci elektronickej komunikácie prostredníctvom ústredného portálu verejnej správy s orgánmi verejnej moci a pri komunikácii s komerčným sektorom. 

KEP elektronického dokumentu v zmysle portálu slovensko.sk zabezpečuje: 

• “autenticitu – možno jednoznačne overiť identitu subjektu, ktorý podpis vytvoril; 
• integritu – možno preukázať, že po podpísaní dokumentu nedošlo k žiadnej úmyselnej alebo neúmyselnej zmene obsahu dokumentu, aký bol v čase jeho podpisovania; 
• nepopierateľnosť – autor nemôže tvrdiť, že nevyhotovil daný podpis elektronického dokumentu.” 

V zmysle článku 25 ods. 2 a 3 Nariadenia eIDAS má kvalifikovaný elektronický podpis právny účinok rovnocenný s vlastnoručným podpisom. Kvalifikovaný elektronický podpis založený na kvalifikovanom certifikáte vydanom v jednom členskom štáte sa uznáva ako kvalifikovaný elektronický podpis vo všetkých ostatných členských štátoch. Nariadenie eIDAS zavádza mnohé technické požiadavky, ktoré musia byť splnené, aby bolo možné daný typ podpisu použiť. To sa premieta do pokročilých IT šifrovacích riešení, a preto je v praxi falšovanie elektronického podpisu takmer nemožné. 

Ak ste niekedy namiesto pojmu KEP počuli pojem ZEP (zaručený elektronický podpis), chceli by sme Vás upozorniť, že medzi KEP a ZEP nie je žiaden rozdiel. Pojem ZEP je len starším termínom, ktorý obsahoval zákon č. 215/2002 Z. z. o elektronickom podpise v znení neskorších predpisov, ktorý bol s účinnosťou od 18. októbra 2016 zrušený zákonom č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu (zákon o dôveryhodných službách) v znení neskorších predpisov. V rámci európskych predpisov je správnou terminológiou používanie pojmu KEP. 

V zmysle § 17 ods. 2 zákona o dôveryhodných službách ak sa vo všeobecne záväzných právnych predpisoch používa pojem 

1. zaručený elektronický podpis, rozumie sa tým kvalifikovaný elektronický podpis, 
2. zaručená elektronická pečať, rozumie sa tým kvalifikovaná elektronická pečať, 
3. časová pečiatka, rozumie sa tým kvalifikovaná elektronická časová pečiatka. 

S pojmom elektronický podpis sa spája taktiež pojem „elektronická pečať”, pričom ide o pečať, ktorú môžu používať najmä právnické osoby - spoločnosti, organizácie alebo inštitúcie. Táto pečať pozostáva z údajov, ktoré prepojením alebo doplnením ku konkrétnemu dokumentu zabezpečia jeho celistvosť a autenticitu – teda zabezpečia, že pochádza od danej právnickej osoby a nie je možné dokument priradiť k inej osobe. O pojem „elektronická časová pečiatka“ ide v prípade ochrany integrity, tzn. že elektronická časová pečiatka spája dokument s reálnym časom tým spôsobom, že každá ďalšia zmena zabezpečeného dokumentu bude viditeľná a bude ju možné vyhľadať. 

Ak si ani po prečítaní tohto článku netrúfate na elektronické podpisovanie prostredníctvom KEP a potrebujete ho čo najrýchlejšie využívať, neváhajte sa obrátiť na našu advokátsku kanceláriu Hronček & Partners, s. r. o., kde Vám radi v tejto oblasti poskytneme právne poradenstvo.