JUDr. Martin FRIEDRICH, JUDr. Martina SEMANOVÁ
JUDr. Martin Friedrich je absolventom Právnickej fakulty UPJŠ v Košiciach. Od roku 2013 pôsobí ako advokát v Košiciach, od roku 2017 je členom Pracovnej skupiny pre elektronizáciu výkonu advokácie SAK a od roku 2021 je členom X. disciplinárneho senátu SAK.
JUDr. Martina Semanová je absolventkou Právnickej fakulty UPJŠ v Košiciach a v súčasnosti pôsobí ako interná doktorandka na katedre Obchodného práva a hospodárskeho práva Právnickej fakulty UPJŠ v Košiciach. Zároveň pôsobí ako advokátsky koncipient v advokátskej kancelárii v Košiciach.
Cieľom prvej časti tohto článku je objasniť pojem elektronického podpisu a možnosti aplikácie elektronického podpisu pri súkromnoprávnych úkonoch podľa nariadenia eIDAS ako aj pri využívaní služieb e-Governmentu. Poukazujeme na odklony od nariadenia eIDAS v priestore e-Governmentu, ktoré uplatňuje štát pre elektronický podpis, pričom prax smeruje k začleneniu niektorých súkromnoprávnych úkonov do elektronických služieb ponúkaných štátom. Zároveň autori upozornia na to, že slovenská civilnoprávna úprava elektronického podpisovania je zastaralá a v prípade používania elektronickej pečate je v priamom rozpore s nariadením eIDAS.
Úvod*
Napriek tomu, že proces elektronickej kontraktácie nie je nový, používanie elektronických nástrojov pri uzatváraní zmlúv a vykonávaní iných právnych úkonov stále nenaplnilo svoj potenciál. Podmienky čerpania rôznych štátnych dotácií počas pandémie COVID-19 chtiac-nechtiac prinútili mnohé, najmä podnikateľské subjekty, využívať elektronické služby štátu. Manuály a video návody bezpochyby pomohli zjednodušiť proces elektronickej komunikácie so štátom, no samé osebe nevysvetlili význam elektronického podpisu a jeho využiteľnosť aj v iných prípadoch, ako len v komunikácii so štátom. Istotne viaceré subjekty, ktoré vyplnili formulár na čerpanie dotácie a autorizovali ho elektronickým občianskym preukazom, sa vrátili naspäť k používaniu papierových zmlúv navzdory tomu, že „papierový svet“ je možné plnohodnotne nahradiť elektronickým aj čo do právnych účinkov právnych úkonov vykonaných elektronicky. Štatistiky pritom indikujú, že obdobie pandémie neprinieslo výraznejšie využívanie elektronických služieb štátu, pričom podľa zverejnených údajov Eurostatu sa využívanie služieb e-Governmentu za rok 2021 rok prepadlo pod priemer Európskej únie, zatiaľ čo obyvatelia susedných krajiny využívali vo väčšej miere elektronické služby svojich krajín.[1]
Je pritom paradoxom, že každý nákup cez eshop je vo svojej podstate procesom elektronickej kontraktácie s použitím elektronického podpisu, kde sa v zásade už nikto nezamýšľa nad obsahom zaškrknutého políčka – podstatné je vyplniť formulár, zaplatiť a odoslať objednávku. Zatiaľ čo podnikatelia nemusia úplne dôverovať elektronicky uzatvoreným zmluvám, u spotrebiteľov tieto zábrany nebadať. Právne dôsledky nakupovania cez eshop sú schované za kliknutiami myšou a odškrtávaniami políčok. Autori tohto článku sú presvedčení, že lepšie porozumenie právneho rámca elektronických podpisov a elektronickej kontraktácie prispeje k smelšiemu využívaniu elektronických služieb v podnikateľskom prostredí a súčasne v spotrebiteľských vzťahoch umožní pochopiť právne účinky interakcie spotrebiteľa vo webovom rozhraní eshopu.
Článok je rozdelený na dve časti, pričom v prvej časti sa autori zamerajú na teoretickú stránku elektronických podpisov v súkromnom práve a v pomeroch služieb e-Governmentu. V druhej časti článku poukážeme na právne aspekty elektronického podpisovania v procese elektronickej kontraktácie a na relevantnú slovenskú a európsku judikatúru a závery z nich vyplývajúce.
Právny rámec elektronických podpisov a krátky historický exkurz
Základný právny rámec úpravy týkajúcej sa elektronických podpisov môžeme nájsť najmä v nasledujúcich právnych predpisoch:
- nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (ďalej len „nariadenie eIDAS“),
- zákon 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov v znení zákona 211/2019 Z. z. (zákon o e-Governmente) (ďalej len „ZoEG“),
- zákon 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov v znení neskorších zmien a doplnkov (zákon o dôveryhodných službách) (ďalej len „ZoDS“).
Vo vzťahu k nariadeniu eIDAS bolo na európskej úrovni prijatých niekoľko vykonávacích predpisov technického rázu, pričom na účely tohto článku za najdôležitejšie pokladáme vykonávacie rozhodnutie Komisie (EÚ) 2015/1506, ktorým sa ustanovujú špecifikácie týkajúce sa formátov zdokonalených elektronických podpisov a zdokonalených elektronických pečatí, ktoré môžu subjekty verejného sektora uznávať, podľa článkov 27 ods. 5 a 37 ods. 5. nariadenia eIDAS
Je dôležité nezabúdať na právny rámec úpravy elektronického podpisovania, pretože historická skúsenosť slovenskej implementácie elektronického podpisovania je dôkazom tendencie zákonodarcu nerešpektovať európske štandardy.
Predchodcom nariadenia eIDAS bola smernica Európskeho parlamentu a Rady 1999/93/ES z 13. decembra 1999 o rámci spoločenstva pre elektronické podpisy[2] implementovaná zákonom 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov. Slovenská implementácia tejto smernice mala dva problémy,: prvým bola úplná ignorácia jednoduchého (obyčajného) elektronického podpisu, keďže podľa § 3 zákona 215/2002 Z. z. sa za elektronický podpis považoval len podpis vyhotovený minimálne prostredníctvom súkromného kľúča, teda prostredníctvom použitia kryptografických metód. Následne vyhláška NBÚ 542/2002 Z. z. o spôsobe a postupe používania elektronického podpisu v obchodnom a administratívnom styku v § 3 určila, že v obchodnom a administratívnom styku možno používať len elektronický podpis alebo zaručený elektronický podpis.
Druhým problémom bolo zavedenie proprietárneho formátu elektronického podpisu vo formáte XAdES_ZEP, ktorý mimo územia Slovenska nikto nepoznal[3][4] a nepoužíval.
K prelomeniu používania formátu XAdES_ZEP došlo až účinnosťou nariadenia eIDAS. Národný bezpečnostný úrad dokonca vydal stanovisko, v zmysle ktorého „Orgán verejnej moci nesmie po 1. 7. 2016 používať aplikácie na vyhotovenie kvalifikovaného elektronického podpisu/pečate a kvalifikovanej elektronickej časovej pečiatky, ktoré vyhotovujú formát podpisu, alebo pečate v rozpore s prílohou vykonávacieho rozhodnutia Komisie č. 2015/1506, podľa nariadenia Európskeho parlamentu a Rady č. 910/2014.“[5]
Napriek tomu, že aj v roku 2022 je možné sa ešte zriedkavo stretnúť s elektronickými dokumentmi vo formáte s príponami .zep (podpisový kontajner ZEPf) a s príponami .xzep, .zepx (podpisové kontajnery a podpisy XAdES_ZEP), väčší problém vyvolala neurčitosť ohľadom platnosti jednoduchého elektronického podpisu. Fakt, že na Slovensku orgány verejnej moci akceptovali v obchodnom a administratívnom styku platnosť len elektronického podpisu, pri ktorom sa vyžadovala existencia súkromného kľúča, dodnes vyvoláva dojem, že jednoduchý podpis nepredstavuje platný spôsob podpísania elektronických dokumentov.
Ako na to poukážeme v ďalšom texte, ani súčasná právna úprava v podobe bazírovania na mandátnych certifikátoch podľa § 8 ZoDS nie je podľa nášho názoru v súlade s nariadením eIDAS. Nepomáha ani pravidlo podľa § 23 ods. 1 ZoEG, v zmysle ktorého sa na autorizáciu elektronických podaní vyžaduje kvalifikovaný elektronický podpis, ak osobitný zákon neustanovuje inak. Diskvalifikujú sa tak iné technické riešenia umožňujúce využívať služby o e-Governmentu založené na zdokonalenom elektronickom podpise, čo platí napríklad v prípade autorizácie na mobilných zariadeniach.
Navzdory vyššie uvedenému však môžeme konštatovať, že nariadenie eIDAS pomohlo odstrániť slovenské zvláštnosti vnesené pri implementácii smernice 1999/93/ES. Čo však bráni väčšiemu používaniu rôznych druhov elektronických podpisov je fakt, že žiaden predpis súkromného práva plnohodnotne nenadväzuje na úpravu elektronických podpisov a elektronických časových pečiatok a ostatných elektronických služieb uvedených v nariadení eIDAS. Napríklad § 40 Občianskeho zákonníka (ďalej len „OZ“) pracuje pri zachovaní formy len s obsolentným pojmom „zaručený elektronický podpis“, ktorý nariadenie eIDAS nepozná a nepoužíva.
Je dôležité poukázať aj na zásadný rozdiel vo vnímaní elektronického podpisovania medzi súkromnou a verejnou sférou. Zatiaľ čo nariadenie eIDAS upravuje súkromnoprávny rámec elektronických podpisov, ZoEG sa vzťahuje na podpisovanie (rozumej autorizáciu) elektronických podaní v rámci služieb e-Governmentu so svojimi vlastnými charakteristikami. Medzi zásadné rozdiely patrí napríklad vnímanie použiteľnosti elektronických pečatí a spôsob priznávania účinkov úradne osvedčených podpisov elektronickým podpisom (viď nižšie).
Okrem toho, že je metúca existencia dvoch rozdielnych pravidiel elektronického podpisovania, v praxi dochádza k jednoznačnému presahu služieb e-Governmentu do súkromnoprávnych vzťahov. Ako príklad môžeme poukázať na podmienky čerpania dotácií na úhradu nájomného za obdobie sťaženého užívania počas pandémie COVID-19, v zmysle ktorých vyplnenie a autorizácia elektronického formulára oboma zmluvnými stranami má rovnaké účinky ako dohoda medzi prenajímateľom a nájomcom o poskytnutí zľavy z nájomného a o zrieknutí sa plnenia z dotácie na nájomné nájomcom v prospech prenajímateľa.[6]
Elektronický podpis, elektronická pečať a autorizácia
Z technického hľadiska elektronický podpis a elektronická pečať predstavujú údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme a ktoré podpisovateľ používa na podpisovanie (čl. 3 body 10 a 25 nariadenie eIDAS). Zatiaľ čo elektronický podpis sa vzťahuje ku konkrétnej fyzickej osobe, elektronická pečať je vydávaná právnickým osobám vrátane orgánov verejnej moci.
Medzi zvláštnosti slovenskej implementácie patrí diametrálny rozdiel v chápaní elektronickej pečate z pohľadu nariadenia eIDAS a ZoEG. Podľa čl. 35 ods. 2 nariadenia eIDAS elektronická pečať preukazuje domnienku integrity a správnosti elektronického dokumentu, ku ktorému je pripojená. V zmysle nariadenia eIDAS elektronická pečať sama osebe nie je určená na elektronické podpisovanie.[7] Nariadenie eIDAS predpokladá pri právnickej osobe podpisovanie elektronickým podpisom s pripojením pečate. ZoEG v § 23 ods. 1 však bez ďalšieho stotožnil autorizáciu prostredníctvom elektronickej pečate s „vlastnoručným podpisom“ právnickej osoby. To znamená, že zatiaľ čo pri súkromnoprávnych úkonoch elektronická pečať nie je alternatívou elektronického podpisu, pri využívaní služieb e-Governmentu je elektronická pečať plnohodnotne použiteľná na autorizáciu elektronických podaní.
Pojem autorizácia je vnútroštátnym pojmom, ktorý je definovaný v § 3 písm. o) ZoEG. Autorizácia znamená vyjadrenie súhlasu s obsahom právneho úkonu a s vykonaním tohto právneho úkonu. Nariadenie eIDAS pojem autorizácia nepozná a jeho ekvivalentom v súkromnoprávnych vzťahoch by mohol byť pojem elektronický podpis.
Druhy elektronických podpisov a elektronickej pečate
Nariadenie eIDAS rozoznáva tri druhy elektronického podpisu a elektronickej pečate.
- jednoduchý
- zdokonalený
- kvalifikovaný
Obyčajný elektronický podpis si môžeme predstaviť napr. ako vlastnoručný podpis, ktorý si oskenujeme. Výsledkom bude elektronický dokument, ktorý bude obsahovať vyobrazenie (údaje) o podpise, ktoré sa nachádzali na pôvodnom listinnom dokumente. Do tejto kategórie však vieme zaradiť aj podpis pod email alebo skeny vlastnoručných podpisov vnorené do elektronických dokumentov.
Obyčajný elektronický podpis predstavuje najmenšiu úroveň garancie toho, že elektronický dokument bol skutočne elektronicky podpísaný tou osobou, ktorej podpis je na ňom vyobrazený alebo v ňom uvedený.
Elektronická pečať podľa nariadenia eIDAS neslúži na podpisovanie, ale na potvrdenie neporušiteľnosti a nedotknuteľnosti údajov a správnosti pôvodu týchto údajov nachádzajúcich v elektronickom dokumente.
Zdokonalený elektronický podpis a elektronická pečať (čl. 26 a 36 nariadenia eIDAS) musia spĺňať tieto požiadavky:
- musia byť jedinečne spojené s podpisovateľom,
- umožňujú určenie totožnosti podpisovateľa,
- musia byť vyhotovené pomocou údajov na vyhotovenie elektronického podpisu, ktoré môže podpisovateľ s vysokou mierou dôveryhodnosti používať pod svojou výlučnou kontrolou, a sú
- prepojené s údajmi, ktoré sa ním podpisujú, takým spôsobom, že každú dodatočnú zmenu údajov možno zistiť.
Zdokonalený elektronický podpis na rozdiel od obyčajného elektronického podpisu predstavuje vyššiu formu zabezpečenia a istoty, že osoba uvedená v certifikáte je skutočne osobou, ktorá elektronický dokument podpísala alebo je oprávnená za túto osobu elektronické dokumenty podpisovať.
Kvalifikovaný elektronický podpis (ďalej len „KEP“) a kvalifikovaná elektronická pečať (ďalej len „KEPEČ“) (čl. 3 ods. 12 a 27 nariadenia eIDAS) sú elektronický podpis/pečať vyhotovené s použitím kvalifikovaného zariadenia na vyhotovenie elektronického podpisu/pečate a založené na kvalifikovanom certifikáte pre elektronický podpis/pečať.
Kvalifikovaný elektronický podpis má právny účinok rovnocenný s vlastnoručným podpisom (čl. 25 ods. 2 nariadenia eIDAS) a predstavuje najvyššiu formu zabezpečenia zachovania integrity elektronického podpisu a dôvery v totožnosti osoby, ktorá autorizáciu vykonala.
Rozdiel medzi KEP/KEPEČ a zdokonaleným elektronickým podpisom spočíva v tom, že u KEP/KEPEČ musia byť splnené všetky technické podmienky ich použitia súčasne. To znamená, že musia byť vytvorené na certifikovanom kvalifikovanom zariadení na vyhotovenie elektronických podpisov, ktorým je napríklad čipová karta eID alebo elektronicky advokátsky preukaz. Zoznam týchto kvalifikovaných zariadení je zverejnený na webstránkach európskej únie.[8] Zároveň KEP/KEPEČ musia byť vyhotovené použitím kvalifikovaného podpisu/pečate vydaného certifikovanou osobou, ktorých zoznam je taktiež zverejnený na webových stránkach Európskej únie.[9]
Zdokonalený elektronický podpis/pečať môžu, no nemusia byť vyhotovené prostredníctvom kvalifikovaného zariadenia alebo certifikátu. Z technického hľadiska sa za nástroje, u ktorých sa predpokladá, že ich môže podpisovateľ s vysokou mierou dôveryhodnosti používať pod svojou výlučnou kontrolou, sa najčastejšie rozumie využívanie rôznych certifikátov a kryptografických kľúčov prostredníctvom použitia infraštruktúry správy a distribúcie verejných kľúčov z asymetrickej kryptografie.[10]
Certifikácia kvalifikovaných zariadení a certifikátov je zverená jednotlivým národným orgánom, ktorým je na Slovensku Národný bezpečnostný úrad. Pretože platí pravidlo, že KEP/KEPEČ založený na kvalifikovanom certifikáte vydanom v jednom členskom štáte sa uznáva ako KEP/KEPEČ vo všetkých ostatných členských štátoch (čl. 25 ods. 3 a čl. 35 ods. 3 v nariadení eIDAS), neexistuje právna prekážka, pre ktorú by slovenskí užívatelia nemohli pre svoje potreby využívať KEP/KEPEČ vydané certifikovanou osobou kdekoľvek v rámci Európskej únie za predpokladu, že tieto certifikáty spĺňajú podmienky § 2 ZoDS. Napríklad Slovenská advokátska komora zabezpečila pre svojich členov kvalifikované certifikáty vydané První certifikační autorita, a. s. so sídlom v Českej republike.
Pokiaľ by sme sa mali na jednotlivé druhy elektronických podpisov/pečatí pozrieť z právneho hľadiska, rozdiely medzi nimi sú v ich dôveryhodnosti. Otázka, ktorú je potrebné pri elektronických podpisoch/pečatiach zodpovedať, tak nemá znieť, či daný typ elektronického podpisu/pečate vyvoláva právne účinky, ale či danému elektronickému podpisu/pečati je možné dôverovať, aby im následne bolo možné priznať právne účinky. Pokiaľ elektronickému podpisu/pečati dôverujeme, musíme im priznať právny účinok. Právny účinok elektronického podpisu alebo pečate a ich prípustnosť ako dôkazu sa v súdnom konaní nesmie odmietnuť výlučne z dôvodu, že majú elektronickú formu alebo že nespĺňajú požiadavky pre kvalifikované elektronické podpisy/pečate.[11]
Vzťah dôveryhodnosti jednotlivých typov elektronických podpisov/pečatí najlepšie ilustruje nasledujúci graf:
Vzhľadom na vysoké bezpečnostné nároky na tvorbu KEP/KEPEČ, nariadenie eIDAS vytvára dve vyvrátiteľné domnienky: pri KEP sa vychádza už zo spomínaného predpokladu, že má právny účinok rovnocenný s vlastnoručným podpisom. Pri KEPEČ zasa s predpokladu integrity údajov a správnosti pôvodu tých údajov, s ktorými je KEPEČ spojená (článok 35 ods. 2 nariadenia eIDAS). V praxi budú asi veľmi zriedkavé prípady, kedy sa podarí úspešne spochybniť dôveryhodnosť a integritu technických prostriedkov použitých na autorizáciu dokumentov prostredníctvom KEP/KEPEČ. Aj z tohto dôvodu členské štáty nesmú vyžadovať na cezhraničné využívanie elektronických služieb verejného sektora elektronický podpis/pečať vyššej úrovne bezpečnosti ako KEP/KEPEČ.[12] To, prirodzene, nevylučuje prípady, kedy dôjde treťou osobou k zneužitiu zariadenia, na ktorom sa nachádza kvalifikovaný certifikát, ktorá bude zároveň poznať aj prístupové údaje k odomknutiu kvalifikovaného certifikátu. Avšak v takomto prípade nemôžeme hovoriť o zlyhaní alebo obídení certifikovaných služieb, ale o ich neoprávnenom používaní tretími osobami. Podľa nášho názoru pôjde v takom prípade o obdobnú situáciu, aká nastáva v prípade neoprávneného vyrobenia a používania platobného prostriedku podľa § 219 Trestného zákona i keď, samozrejme, nepôjde o trestný čin. Stojí za úvahu otázka, či by neoprávnené vyrobenie a používanie kvalifikovaného zariadenia/certifikátu s ohľadom na možné závažné právne následky nemalo byť rovnako sankcionované trestným právom, ako je tomu pri trestnom čine neoprávneného vyrobenia a používania platobného prostriedku. Zodpovedanie tejto otázky však presahuje ciele tohto článku.
Časové pečiatky
Elektronická časová pečiatka predstavuje údaje v elektronickej forme, ktoré viažu iné údaje v elektronickej forme s konkrétnym časom, čím tvoria dôkaz o existencii týchto iných údajov v danom čase (čl. 3 ods. 33 nariadenia eIDAS). Cieľom elektronickej časovej pečiatky je zvýšiť dôveryhodnosť elektronického dokumentu a elektronického podpisu. Pripojenie elektronickej časovej pečiatky k elektronickému dokumentu garantuje, že elektronický dokument obsahoval informácie existujúce v čase spojenia elektronického dokumentu s elektronickou časovou pečiatkou. Spojenie elektronickej časovej pečiatky s elektronickým podpisom zasa vypovedá o čase, kedy došlo vyhotoveniu elektronického podpisu, čím je možné predísť nežiadúcemu antedatovaniu právnych úkonov zachytených elektronicky.
Rovnako ako pri elektronickom podpise alebo pečati poznáme viacero druhov časovej pečiatky. Nariadenia eIDAS pozná obyčajnú časovú pečiatku a kvalifikovanú časovú pečiatku.
Kvalifikovaná časová pečiatka musí spĺňať tieto požiadavky:
- spája dátum a čas s údajmi spôsobom, ktorý v rozumnej miere zamedzuje možnosť nezistiteľnej zmeny údajov,
- je založená na presnom zdroji času prepojenom s koordinovaným svetovým časom a
- je podpísaná zdokonaleným elektronickým podpisom alebo zapečatená zdokonalenou elektronickou pečaťou kvalifikovaného poskytovateľa dôveryhodných služieb alebo rovnocennou metódou.
Slovenské špecifiká – účinky úradne osvedčeného podpisu, mandátne certifikáty
Účinky úradne osvedčeného podpisu
Zatiaľ čo nariadenie eIDAS ponechalo na vnútroštátne právo, aby vymedzilo právny účinok jednoduchého a zdokonaleného elektronického podpisu, v prípade KEP takúto možnosť zákonodarcovi neponechal- priamo z nariadenia eIDAS má KEP účinky vlastnoručného podpisu fyzickej osoby.
Nariadenie eIDAS nepozná obdobu legalizácie elektronického podpisu, pričom na vnútroštátnej úrovni nedošlo k priamej zmene právnych predpisov, najmä civilných, ktoré by upravili postavenie KEP vo vzťahu k prípadom, kedy sa vyžaduje sprísnená forma úkonov prostredníctvom legalizácie podpisu.
Riešením sa zdá byť aplikácia § 40 ods. 5 OZ.[13] Komentár k tomuto ustanoveniu uvádza, že „ak ide o právny úkon vykonaný elektronicky opatrený kvalifikovaným elektronickým podpisom spolu s kvalifikovanou elektronickou časovou pečiatkou, sa nevyžaduje osvedčenie pravosti podpisu, aj keď to osobitný zákon vyžaduje.“[14]
Prezentovaný právny názor vychádza zo znenia derogačnej klauzuly § 17 ods. 2 ZoDS, ktorý v právnych predpisoch „preklopil“ zaručený elektronický podpis za KEP, zaručenú elektronickú pečať premenil na KEPEČ a časovú pečiatku na kvalifikovanú elektronickú časovú pečiatku.
Citovaný komentár svoj výklad správne zúžil len na KEP, čo je však v rozpore s doslovným znením OZ. Ako sme uviedli vyššie, účelom elektronickej pečate podľa nariadenia eIDAS nie je elektronické podpisovanie, ale potvrdenie integrity elektronického dokumentu vyhotoveného právnickou osobou.
Ďalší problém § 40 ods. 5 OZ vyvoláva otázka, v akom okamihu má byť kvalifikovaná časová pečiatka pripojená ku KEP. Má sa tak stať pred podpisom elektronického dokumentu alebo po ňom?
Zákonodarca na účely využívania služieb e-Governmentu v § 23 ods. 1 písm. b) ZoEG prišiel s odlišným riešením. Podľa tohto ustanovenia „osoba, ktorá nie je orgánom verejnej moci, vykoná autorizáciu elektronického podania kvalifikovaným elektronickým podpisom, ktorého kvalifikovaný certifikát obsahuje minimálny súbor osobných identifikačných údajov reprezentujúcich jedinečným spôsobom fyzickú osobu podľa osobitného predpisu, a ktorý zahrnul do autorizácie aj kvalifikovanú elektronickú časovú pečiatku, ktorá určuje dátum a čas, po ktorom nastala autorizácia, ak je podľa osobitného predpisu náležitosťou podania vlastnoručný podpis, ktorý musí byť úradne osvedčený.“
Elektronickým podaním sa podľa § 3 písm. j) ZoEG rozumejú „údaje vyplnené podľa elektronického formulára, ktoré na účely výkonu verejnej moci elektronicky alebo na účely jeho začatia zasiela orgánu verejnej moci osoba, ktorá je účastníkom konania.“ Elektronickými podaniami tak v zásade môžeme rozumieť všetky zverejnené elektronické formuláre[15] alebo podania v zmysle osobitných procesných predpisov, aj keby pre nich neexistoval formulár.[16] Ak pre prípad právneho úkonu, pre ktorý sa vyžaduje legalizácia podpisu, existuje formulár (teda elektronické podanie), je možné elektronické podanie s priložením kvalifikovanej časovej pečiatky autorizovať s ekvivalenciou úradne osvedčeného podpisu. Na podmienenie zachovania účinkov úradne osvedčeného podpisu využitím len v elektronických podaniach upozorňuje aj Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky vo svojom Usmernení k § 23 ods. 1 písm. b) zákona o e-Governmente,[17] Pojem elektronické podanie tak nie je zameniteľný s akýmkoľvek súkromnoprávnym elektronickým dokumentom. Autorom nie je známy prípad, kedy sa pri elektronickom podaní vyžadoval úradne osvedčený podpis. Ani v usmernení MIRRI neuvádza, pri ktorých elektronických podaniach sa vyžaduje legalizácia podpisu.
Nevidíme logický dôvod, prečo existujú dve rozdielne sady podmienok pre priznanie účinkov úradne osvedčeného podpisu – ak sa podpisuje elektronický dokument, má sa postupovať podľa § 40 ods. 5 OZ. Ak sa má autorizovať elektronické podanie, je potrebné dodržať § 23 ods. 1 písm. b) ZoEG. Domnievame sa, že bez ohľadu na to, či ide o civilnoprávny úkon alebo využitie služieb e-Governmentu, podmienky elektronického podpisovania/autorizácie by mali byť z pohľadu podpisovateľa totožné.
Pokiaľ si odmyslíme limitovanie § 23 ods. 1 písm. b) ZoEG len na elektronické podania v rámci služieb e-Governmentu, tak riešenie podľa ZoEG pokladáme za lepšie, keďže podrobnejšie upravuje proces a podmienky autorizácie s účinkami úradne osvedčeného podpisu.
Podľa § 58 Notárskeho poriadku legalizácia pozostáva z dvoch zložiek: overenia totožnosti podpisujúcej osoby a osvedčenia skutočnosti, že osoba, ktorej podpis má byť osvedčený v prítomnosti notára listinu vlastnoručne podpísala alebo podpis na listine uznala za vlastný.
Zákonodarcom zvolené riešenia v OZ a v ZoEG stojí na dvoch podmienkach: prvou je tá, že ekvivalencia vo vzťahu k úradne osvedčenému podpisu je možná len v prípade použitia KEP (OZ pripúšťa aj KEPEČ, čo je v rozpore s nariadením eIDAS). Pretože KEP je možné vytvoriť len využitím kvalifikovaného elektronického zariadenia a certifikátu, ktoré môžu byť vydané len certifikovanými autoritami, je zaručený vysoký predpoklad totožnosti osoby, ktorá elektronický dokument podpísala. Požiadavku použitia KEP pri účely priznania účinkov úradne osvedčeného podpisu tak považujeme za rozumnú.
Druhou zložkou je povinnosť pripojenia kvalifikovanej elektronickej časovej pečiatky, kedy malo dôjsť k podpisu. Okrem toho, že jej pripojenie ohraničí čas a dátum, kedy mal elektronický podpis vzniknúť, nám nie je úplne zrejmé, prečo práve spojenie časovej pečiatky je nástrojom, ktorý povýši „kvalitu“ elektronického podpisu s účinkami legalizovaného podpisu. Na rozdiel od legalizácie podpisov v postupe podľa OZ a ZoEG chýba nezávislý tretí subjekt (prítomný notár) „osvedčujúci“ elektronický podpis. Tento prvok je však podľa nášho názoru možné nahradiť použitím ďalšieho dodatočného prvku, pri ktorom sa vyžaduje osobitný prvok autentifikácie. V súčasnosti dostupné technické nástroje (napríklad použite tvárovej biometrie alebo odtlačku prsta prostredníctvom pripravovanej aplikácie mobilného ID[18]; využitie Apple Pay a Google Pay, ktoré v sebe obsahujú prvky identity autorizujúcej osoby) by mohli byť použiteľné aj pri podpisovaní KEP-om. Tieto nástroje dodatočnej autentifikácie sa pritom bežne používajú najmä v bankovom sektore pri realizácii platieb. Samozrejmosťou by mala byť možnosť voľby úplného vylúčenia (opt-out) priznania účinku úradne osvedčeného podpisu pri všetkých aktoch elektronického podpisovania pre tých, ktorí si to neželajú.
Mandátne certifikáty
V úvode tohto článku sme uviedli, že jedným z vypuklých problémov implementácie služieb e-Governmentu je zavedenie povinnosti používania mandátneho certifikátu, ktorý nemá oporu v nariadení eIDAS a ide čisto o slovenské špecifikum.
Podľa § 8 ZoDS mandátny certifikát je druhom kvalifikovaného certifikátu pre elektronický podpis vydaný fyzickej osobe oprávnenej zo zákona alebo na základe zákona konať za inú osobu alebo orgán verejnej moci alebo v ich mene, alebo fyzickej osobe, ktorá vykonáva činnosť podľa osobitného predpisu alebo vykonáva funkciu podľa osobitného predpisu.
Zákonodarca odôvodnil zavedenie potreby mandátnych certifikátov bližšie nešpecifikovanými požiadavkami „elektronických agend orgánov verejnej moci a z potreby uchovať kontinuitu ich činností“. Účelom bolo uľahčiť slovenským orgánom verejnej moci, aby boli informovaní „o právnom statuse, pracovnom alebo funkčnom zaradení podpisovateľa.“[19] Zavedenie mandátnych certifikátov tak nebolo robené s úmyslom uľahčiť elektronickú komunikáciu, čo zo samotnej podstaty mandátneho certifikátu ani nie je možné, ale vytvoriť kategóriu osôb, ktorým sa na vnútroštátnej úrovni poskytne výhoda oproti iným tým, že orgán verejnej moci nebude musieť preverovať oprávnenie danej osoby na výkon konkrétnej činnosti. V dôvodovej správe k ZoDS zákonodarca ďalej uviedol, že „nariadenie eIDAS umožňuje definovať v obsahu kvalifikovaných certifikátov na vnútroštátnej úrovni osobitné položky“.[20] Po účinnosti nariadenia eIDAS mandátne certifikáty začali vyvolávať obrovské problémy najmä pri cezhraničnom poskytovaní právnych služieb, keďže zahraniční poskytovatelia služieb nemajú vedomosť o existencii vnútroštátnych mandátnych certifikátov alebo prístup k ich vydaniu.
Z pozorného čítania § 23 ods. 3 ZoEG vyplýva, že používanie mandátnych certifikátov je povinné len pre orgány verejnej moci alebo osoby konajúce v ich mene. Znenie tohto ustanovenia vo vzťahu k používaniu mandátnych certifikátov pochádza z roku 2013 teda z obdobia, kedy neexistovalo nariadenie eIDAS. Skutočnosť, že používanie mandátnych certifikátov bolo určené len orgánom verejnej moci potvrdzuje aj dôvodová správa, v ktorej sa uvádza, že „použitie mandátnych certifikátoch sa predpokladá najmä pre pracovníkov orgánov verejnej moci, kde pre overenie platnosti tohto úkonu je potrebné jednoduchým spôsobom“.[21]
Nariadenie eIDAS v článku 28 vymedzuje dva druhy atribútov, ktoré môže mať kvalifikovaný certifikát: povinné podľa prílohy č. I k nariadeniu eIDAS a nepovinné, ktoré však nesmú mať vplyv na interoperabilitu a uznávanie kvalifikovaných elektronických podpisov.[22]
Príloha č. I k nariadeniu eIDAS v rámci povinných atribútov kvalifikovaného certifikátu stanovuje len požiadavky na identifikáciu fyzickej osoby aspoň v rozsahu uvedenie jej mena alebo pseudonymu. Zo žiadneho povinného atribútu nevyplýva uvádzanie oprávnenia konať za inú osobu alebo v jej mene. Náležitosti mandátneho certifikátu podľa § 8 ZoD sú tak podľa nášho názoru nepovinnými atribútmi podľa prílohy č. I k nariadeniu eIDAS, čo však s poukazom na čl. 28 ods. 3 nariadenia eIDAS musí mať za následok, že autorizácia „nemandátnym“ kvalifikovaným certifikátom nesmie byť orgánom verejnej moci odmietnutá z dôvodu, že na vnútroštátnej úrovni sa požadujú nepovinné atribúty kvalifikovaného certifikátu, t. j. podpis mandátnym certifikátom.
Slovenské orgány verejnej moci doteraz nemajú celkom jasno v tom, či môžu alebo nemôžu vyžadovať, aby elektronické podania a dokumenty boli autorizované s použitím mandátneho certifikátu. Na jednej strane sa totiž mandátne certifikáty vydávajú aj príslušníkom slobodných povolaní, ktorí zároveň nie sú nositeľmi verejnej moci, napríklad advokátom. Na druhej strane advokáti nemajú s odkazom na § 23 ods. 3 ZoEG povinnosť autorizovať elektronické dokumenty/podania svojím mandátnym certifikátom. Myslíme si preto, že osoba vykonávajúca činnosť zo zákona alebo je oprávnená na základe zákona konať za inú osobu, ktorá zároveň nie je orgánom verejnej moci, si môže zvoliť, či elektronický dokument alebo podanie autorizuje prostredníctvom svojho kvalifikovaného certifikátu vydaného napríklad s eID, alebo si zvolí mandátny certifikát. Oba druhy autorizácie musia byť orgánmi verejnej moci akceptované, pretože sú rovnocenné.
Navrhujeme preto, aby došlo k zmene § 8 ZoDS, ktorej výsledkom by bolo jednoznačné určenie, že vydávanie mandátnych certifikátov je vyhradené len pre orgány verejnej moci. Taktiež si myslíme, že vzhľadom na právny stav by bolo vhodné zrušiť Uznesenie predsedníctva Slovenskej advokátskej komory č. 28/4/2020 zo 6. apríla 2020 o povinnosti advokáta mať elektronický preukaz advokáta a ponechať na rozhodnutí advokáta, či chce používať mandátny certifikát. Síce to na jednej strane sťaží boj proti pokútnikom, no orgány verejnej moci si už v súčasnosti vedia veľmi ľahko prostredníctvom služieb na portáli OverSi (https://oversi.gov.sk) zistiť, či daná osoba je oprávnená na výkon tej-ktorej činnosti. Napokon navrhujeme, aby orgány verejnej moci boli jednoznačne inštruované v tom duchu, aby od fyzických osôb, ktoré nie sú orgánmi verejnej moci, nevyžadovali autorizáciu prostredníctvom mandátneho certifikátu. Týmito krokmi by sa odstránil rozpor vnútroštátnej úpravy s nariadením eIDAS.
Tento príspevok vznikol v rámci riešenia grantovej úlohy – APVV-19-0424 – Inovatívna obchodná spoločnosť: vnútrokorporátne premeny, digitálne výzvy a nástup umelej inteligencie a APVV-17-0561- Ľudskoprávne a etické aspekty kybernetickej bezpečnosti.
Názory vyjadrené v tomto článku sú osobnými názormi autorov, a preto nemusia vždy predstavovať stanovisko SAK alebo UPJŠ. Autori tohto článku si dovoľujú poďakovať členom Pracovnej skupiny pre elektronizáciu výkonu advokácie SAK, najmä p. Mgr. Marekovi Kaľavskému a Mgr. Mariánovi Čupríkovi za ich cenné rady a pripomienky pri vypracovaní tohto článku.
RESUMÉ
Vybrané aspekty elektronického podpisovania a elektronickej kontraktácie
1. časť. Elektronické podpisovanie
V prvej časti článku autori analyzujú pojem a význam elektronického podpisu v zmysle nariadenia eIDAS a zákona o e-Governmente. Poukazujú na odlišnosti v používaní elektronických podpisov pri súkromnoprávnych úkonoch a pri využívaní služieb e-Governmentu. Autori upozorňujú na to, že súčasná civilnoprávna úprava elektronického podpisovania je prekonaná a v rozpore s nariadením eIDAS.
SUMMARY
Selected Aspects of Signing Documents Electronically and of Electronic Contracting
Part One. Signing Documents Electronically
In the first part of the article the authors analyse the concept and importance of signing documents electronically within the meaning of the eIDAS Regulation and the e-Government Act. They point to the differences in the use of electronic signatures in private law transactions and in the use of the e-Government services. The authors point out that the existing civil legal legislation on signing documents electronically is outdated and contrary to the eIDAS Regulation.
ZUSAMMENFASSUNG
Ausgewählte Aspekte der elektronischen Signatur und des elektronischem Kontrahierens
1. Teil. Elektronische Signatur
Im ersten Teil analysieren die Autoren des Artikels den Begriff und die Bedeutung des elektronischen Signierens im Sinne der eIDAS-Verordnung und des E-Government-Gesetzes. Sie weisen auf die Unterschiedlichkeiten bei der Verwendung des elektronischen Signierens bei privatrechtlichen Handlungen und bei der Nutzung von E-Government-Diensten hin. Die Autoren verweisen darauf, dass die jetzige zivilrechtliche Regelung der elektronischen Signatur überholt und zuwider der eIDAS – Verordnung ist.
[1] Tomek, R.: Graf dňa: Rozširovanie eGovernmentu sa vlani na Slovensku ako v jedinej krajine regiónu zastavilo, Denník N, N Press, s. r. o., 16. februára 2022, https://e.dennikn.sk/2724194/graf-dna-slovensko-sa-v-elektronickej-komunikacii-so-statom-prepadlo-pod-priemer-eu/, zobrazené dňa 17. 2. 2022
[2] Ú. v. ES L 13, 19. 1. 2000; Mimoriadne vydanie Ú. v. EÚ, kap. 13/zv. 24
[3] Profil XAdES_ZEP – formát zaručeného elektronického podpisu na báze XAdES1, dostupné https://www.ditec.sk/ep/signature_formats/xades_zep/v1.0/index.html, zobrazené dňa 11. 2. 2022
[4] Formáty zaručených elektronických podpisov, Národný bezpečnostný úrad, verzia 3.0, str. 20, dostupné https://www.nbu.gov.sk/wp-content/uploads/doveryhodne-sluzby/docs/formaty_zep.pdf zobrazené dňa 11. 2. 2022
[5]Povinnosti orgánov verejnej moci v súvislosti s legislatívnou zmenou zaručeného elektronického podpisu na kvalifikovaný elektronický podpis, dostupné na https://www.nbu.gov.sk/povinnosti-organov-verejnej-moci-v-suvislosti-s-legislativnou-zmenou-zaruceneho-elektronickeho-podpisu-na-kvalifikovany-elektronicky-podpis/index.html, zobrazené dňa 11. 2. 2022
[6] Dotácie na nájomné, https://najmy.mhsr.sk/zuctovanie.html, zobrazené dňa 9. 3. 2022
[7] Questions & Answers on Trust Services under eIDAS, https://digital-strategy.ec.europa.eu/en/news/questions-answers-trust-services-under-eidas, zobrazené dňa 14. 2. 2022
[8] Qualified Signature/Seal Creation Devices and Secure Signature Creation Devices, https://esignature.ec.europa.eu/efda/notification-tool/#/screen/browse/list/QSCD_SSCD zobrazené dňa 14. 2. 2022
[9] Trusted List Browser https://esignature.ec.europa.eu/efda/tl-browser/#/screen/home zobrazené dňa 14. 2. 2022
[10] Advanced Electronic Signatures (AdES) https://ec.europa.eu/digital-building-blocks/wikis/display/CEFDIGITAL/What+is+eSignature zobrazené dňa 14. 2. 2022
[11] Články 25 ods. 1 a 35 ods. 1 nariadenia eIDAS
[12] Články 27 ods. 3 a 37 ods. 3 nariadenia eIDAS
[13] § 40 ods. 5 OZ: na právne úkony uskutočnené elektronickými prostriedkami, podpísané zaručeným elektronickým podpisom alebo zaručenou elektronickou pečaťou a opatrené časovou pečiatkou sa osvedčenie pravosti podpisu nevyžaduje
[14] (MITTERPACHOVÁ, Jana. § 40 [Forma právneho úkonu]. In: BAJÁNKOVÁ, Jana, DULAK, Anton, FEČÍK, Marián, SEDLAČKO, František, ŠTEVČEK, Marek, TOMAŠOVIČ, Marek a kol. Občiansky zákonník I. 2. vydání. Praha: C. H. Beck, 2019, s. 321, marg. č. 10.)
[15] § 24 zákona o e-Governmente
[16] § 25 zákona o e-Governmente
[17] Usmernenie k § 23 ods. 1 písm. b) zákona o e-Governmente Ministerstva investícií, regionálneho rozvoja a informatizácie SR, https://www.mirri.gov.sk/wp-content/uploads/2019/07/Usmernenie-k-§-23-ods.-1-p%C3%ADsm.-b-zákona-o-e-Governmente.pdf, zobrazené dňa 17. 2. 2022
[18] Kosno, L.: Štát zverejnil plán k Slovensko v mobile. Je to mobilné ID s veľkolepými cieľmi, dá sa pripomienkovať, Ringier Axel Springer Media s. r. o., https://zive.aktuality.sk/clanok/151917/stat-zverejnil-plan-k-slovensko-v-mobile-je-to-mobilne-id-s-velkolepymi-cielmi-da-sa-pripomienkovat/, zobrazené 15. 2. 2022
[19] Osobitná časť dôvodovej správy k § 8 zákona 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách), https://www.nrsr.sk/web/Dynamic/DocumentPreview.aspx?DocID=426794, zobrazené 15. 2. 2022
[20] Ibid. Osobitná časť dôvodovej správy k § 2
[21] Osobitná časť dôvodovej správy k § 23 zákona 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente), https://www.nrsr.sk/web/Dynamic/DocumentPreview.aspx?DocID=384288, zobrazené 15. 2. 2022
[22] Články 28 ods. 2 a 3 nariadenia eIDAS.