Navazuji na téma mého příspěvku z ledna 2014, který se v poslední době stal velmi navštěvovaným viz odkaz [Jak podepsat dokument a jak používat časové razítko].
Pár důležitých drobností k elektronickému podpisu
– elektronický podpis neslouží k identifikaci osoby, slouží k projevu vůle a je právně zcela rovnocenný vlastnoručnímu podpisu
– kvalifikovaný elektronický podpis = vlastnoruční podpis musí být uložen na bezpečném prostředku - token nebo čipová karta. Před vložením podpisu je nutné zadávat pin/kód.
– posláním „datovkou“ není brán dokument jako elektronicky podepsaný; datová zpráva je pouze systém doručení/potrubní pošta, kterou je dokument doručen a vůbec nesouvisí s doručovaným obsahem
– kromě kvalifikované elektronického podpisu potřebujeme také časové razítko (TSA).
K podpisu PDF dokumentu stačí běžný volně dostupný [Adobe Acrobat Reader DC]. Otevřu PDF soubor, vpravo je seznam nástrojů a poslední je 
více nástrojů
vyberu
a nad dokumentem je pak vidět podepisovací panel
Pokud mám v počítači k dispozici elektronický podpis, mohu „Digitálně podepsat.“
Aby byl podpis opravdu platný, dokument vyžaduje ještě „Časové razítko.“ Jedná se o zpoplatněnou službu certifikační autority; opět k ní musí existovat smlouva a na základě ní vydané přihlašovací údaje.
V Adobe Acrobat Readeru v Úpravy – Předvolby – Podpisy
Mám podpis uložený v počítači a nikoli na tokenu? Můžu ho použít?
Ano, ale takový podpis nikdy nebude mít právní váhu EU 910/2014. Některými úřady je akceptován a některé naše úřady dokonce mohou vyžadovat informace uložené v certifikátu sloužící k hlubší identifikaci.
Jak poznám, že je dokument podepsán správně mnou, či např. smluvní protistranou.
V panelu podpisu podepsaného dokumentu je vše potřebné
Nejprve dokument podepsaný „špatně,“ tedy ne podle EU 910/2014.
Kdy kvalifikovaný elektronický podpis není uložený na tokenu/bezpečném prostředku.
všechno vypadá správně, ale podpis není podle EU 910/2014
Správně podepsaný dokument má tento panel podpisu. Je to u podpisu přímo napsané a je z toho jasné, že podpis byl uložen na bezpečném prostředku/tokenu a právně je podpis rovnocenný vlastnoručnímu podpisu – proto EU 910/2014 vzniklo.
takto má vypadat správně podepsaný dokument včetně časového razítka
Problém, který se aktuálně stále děje, že některá ze stran, která podpisuje smlouvu stále nemá svůj podpis na tokenu a pak vznikne něco, co je vlastně neplatné a je na nás o jak důležitou smlouvu jde a zda ji budeme akceptovat – obě/všechny podpisující strany mají správně použít podpis podle EU 910/2014 a všichni zúčastnění mají dokument orazítkovat časovým razítkem. Teoreticky by stačilo, kdyby časové razítko umístil poslední podepisující; když podepisuju poslední, tak si to pohlídám, pokud podepisuju jako první, tak navrhuji vždy dokument vrátit s tím, že není právně v pořádku!
Typicky jedna strana podepsala správně, druhá strana nesprávně.
Proč je vyžadováno časové razítko (TSA) a co vlastně umí?
Zmrazí dokument v čase. Běžná životnost kvalifikovaného elektronického podpisu, tedy samotného certifikátu je jeden, myslím, že maximálně dva roky, když je povoleno žádání dlouhodobých certifikátů. Tedy obvykle jeden rok. Uzavírám elektronicky smlouvu - já podepíšu PDF soubor, druhá strana také. Když dokument otevřu, vidím v panelu podpisu, že oba podpisy jsou platné. Protože právě teď jsou. Smlouvu si uložím. Je platná elektronicky, její vytištění je pouze kopie, která nemá žádnou právní váhu. Co když PDF soubor otevřu za několik měsíců, když už některý z certifikátů, která byly k podpisu použity, pozbyl platnosti. V panelu podpisu vidím, že některé nebo oba certifikáty jsou neplatné. Protože již vypršely.
Řešení je časové razítko. Je to další certifikát, který je obvykle zpoplatněn od kusu – třeba jedno časové razítko za dvě koruny. Prodávají se v balíčkách, něco jako kredit do telefonu. Umístění časového razítka udělá to, že ověří všechny použité podpisy - zda jsou platné a přidá informaci, že v čase umístění časového razítka byly všechny podpisy platné.
Časové razítko je jen další certifikát/podpis, který má výrazně delší životnost než certifikáty elektronických podpisů. Obvykle tři až pět let. Podrobněji na [webu] vydavatele TSA.
Ano, po vypršení životnosti časového razítka bude opět dokument neplatný, takže pokud ho archivujeme v rámci elektronické spisové služby, můžeme se dostat do stavu, kdy bude nezbytné všechny dokumenty, které potřebujeme mít platné znovu přerazítkovat. Tady doporučím jednoduché třídění elektronicky podepsaných dokumentů na ty, které opravdu potřebujeme udržet při životě desítky let. Tohle je jeden z důvodů, proč komerčně nabízená datová úložiště elektronicky podepsaných dokumentů nejsou levná.
Jak získat takový kvalifikovaný elektronický podpis?
Podpis vydává certifikační autorita viz [1]. Mám zkušenost pouze s [Postsignum] provozovaným Českou poštou. Již při generování první žádosti o certifikát musí být v počítači přítomen bezpečný prostředek k uložení žádosti – typicky token [2]. Nabízí se možnost použít úložiště na moderním občanskému průkazu, který ho možná právě pro tyto případy má; ale stejně musíte pořídit k počítači čtečku a řekl bych, že podpisový token je lepší/bezpečnější, protože jej na rozdíl od občanky můžete nechat v kanceláři v trezoru.
Je potřeba uzavřít smlouvu s certifikační autoritou a vyplnit tedy nějaké formuláře – jiné pro organizaci, jiné pro OSVČ etc. Systém C.K. Pošty je naprosto netransparentní, takže není vůbec na škodu zavolat na telefonickou podporu 800 104 410 a nechat si celý postup podrobně vysvětlit; je to určitě lepší než opakovaně čekat ve frontě a řešit věci na pobočce Czech POINTu na poště, kde v malých městech většinou poradit opravdu nedokážou.
Existuje zajímavá možnost, vyřizovat s Postsignum všechno elektronicky - tedy že nemusí statutár organizace, či pověřená osoba na pobočku pošty nosit formuláře se žádostí o změny nebo o zavedení nového zaměstnance aj. A všechno se dá vyřídit přes velmi strohé až spartánské webové rozhraní, ověření je dvoufázové a systém je po pár lekcích s telefonickou podporou použitelný a funkční.
Vím, že podpisy v dokumentu jsou platné a stejně se neověří správně
Do počítače, kde chci podpisovat a kde chci ověřovat elektronicky podepsané dokumenty musím nainstalovat kořenové certifikáty všechny certifikačních autorit, jejichž podpisy chci ověřovat. Postsignum to má jako instalaci [3]. Při prvotní komunikaci se zahraničními partnery může dojít k tomu, že kořenové certifikáty jejich autorit v počítači nainstalované nemám.
Post scriptum
Jestli vám přijde systém elektronických podpisů a časových razítek poněkud nepřehledný až zmatečný, tak nevím, jak nazvat legislativní kolotoč, který vás čeká, až budete chtít pořídit pro firmu „šifrovací službu“ nabízenou Českou poštou. Mně se to úspěšně povedlo, ale o tom příště.