Jednoduchý elektronický podpis: iluze bezpečnosti
Jednoduchý elektronický podpis, zkráceně SES, je to, co si většina lidí pod digitálním podpisem představí. Někdo klikne na „podepsat“, jeho jméno se objeví jako důkaz, že to udělal, a časové razítko zaznamená, kdy se tak stalo. A to je vše.
Žádné ověření totožnosti. Žádný speciální certifikát. Žádné šifrování. Žádná ochrana proti manipulaci. SES můžete padělat zkopírováním obrázku cizího podpisu. Dokument můžete po podpisu změnit a SES tam bude sedět úplně spokojeně dál. Z technického hlediska je SES sotva něčím víc než metadaty připojenými k souboru.
A teď to podstatné: SES je podle nařízení eIDAS v EU technicky právně platný. Soudy se jím budou zabývat. Pokud ale někdo později prohlásí, že dokument nikdy nepodepsal, bojujete do kopce. V podstatě říkáte „nemám ponětí, od koho to skutečně přišlo, ale doufám, že to byl on“. To není silná pozice.
SES se hodí pro interní firemní použití: schvalovací formuláře, interní potvrzování procesních změn, potvrzení rozpočtu v rámci vaší organizace, kde si stejně všichni navzájem věří. Jakmile do hry vstoupí externí strany nebo cokoli nese reálné riziko, SES se stává rizikem převlečeným za řešení.
Pokročilý elektronický podpis: praktický standard
Pokročilý elektronický podpis, zkráceně AES, je tam, kde by měla žít většina obchodních smluv. Toto je kategorie, která skutečně něco znamená.
AES vyžaduje kvalifikované digitální certifikáty. To znamená, že certifikační autorita před vydáním certifikátu ověřila totožnost osoby do určité míry. Nevyžaduje skenování průkazu totožnosti – to je území QES – ale vyžaduje skutečné ověření. Často ověření telefonního čísla v kombinaci s kontrolou identity jinými kanály.
Jakmile je certifikát zaveden, stává se podpis při použití AES matematicky navázaný na dokument. Po podpisu nelze dokument změnit, aniž by se podpis stal neplatným. Změňte jediný znak a celé to přestane fungovat.
Toto je úroveň, která pokrývá seriózní obchodní potřeby bez režie spojené s procesy ověřování identity podle státních průkazů. Obchodní smlouvy: AES funguje bezvadně. NDA: AES je standard. Pracovní smlouvy: AES je zvládá. Leasingové smlouvy: AES je solidní. Smlouvy o dílo: AES vás pokryje.
AES má podle eIDAS silnou právní pozici. Pokud někdo podpis napadne, argumentuje proti kvalifikovaným certifikátům, šifrování a detekci manipulace. Jste ve výrazně silnější pozici než u SES, ale ještě nejste na úrovni, kdy zákon předpokládá platnost podpisu, pokud se neprokáže opak – to je QES.
Kvalifikovaný elektronický podpis: když na tom opravdu záleží
Kvalifikovaný elektronický podpis, zkráceně QES, je těžká váha. Používá se tam, kde je selhání skutečně drahé nebo právně komplikované.
QES vyžaduje kvalifikovaný certifikát vydaný státem schváleným poskytovatelem důvěryhodných služeb. Před vydáním certifikátu někdo osobně ověří vaši totožnost pomocí oficiálních státních dokumentů — pasu, občanského průkazu nebo ekvivalentu. Stojí to víc a trvá to déle než u AES, protože je to skutečně důkladné.
Ale zde je právní rozdíl: podle eIDAS má QES přesně stejnou právní váhu jako vlastnoruční podpis. Tečka. Soudy jej nezpochybňují. Důkazní břemeno se obrací. Pokud někdo QES podpis napadne, musí prokázat, že byl padělaný nebo zmanipulovaný. Vy nemusíte dokazovat, že byl legitimní.
Na tom záleží u fúzí a akvizic, kde dokumenty nesou mnohamilionovou odpovědnost. Záleží na tom u pracovních smluv s vážnými odstupnými klauzulemi. Záleží na tom u úvěrových smluv, zdravotnické dokumentace a citlivých právních smluv. U všeho, kde by sporný podpis mohl vaší firmě skutečně ublížit.
Cenový rozdíl mezi AES a QES bývá menší, než lidé čekají. Často jen několik eur na podpis. Rozdíl v právní ochraně je však obrovský.
Jak se rozhodnout: rozhodovací strom
Pokládejte si tyto otázky v tomto pořadí:
- Jde o interní dokument nebo proces? Použijte SES. Žádné externí strany znamenají, že podpisy používáte jen pro sledování workflow.
- Jde o standardní obchodní smlouvu s externí stranou? Přejděte na AES. Obchodní dohody, NDA, podmínky služby, leasingové smlouvy. AES je standardem z dobrého důvodu.
- Zahrnuje smlouva významné částky, právní složitost nebo regulační požadavky? Použijte QES. Pracovní smlouvy se skutečným odstupným. Fúze a akvizice. Úvěrové smlouvy. Zdravotnictví. Nemovitosti.
- Žádá si protistrana konkrétní typ podpisu? Použijte to, co vyžaduje. Vždy respektujte konkrétní požadavky zakotvené ve smlouvě nebo diktované standardy odvětví.
Poctivé shrnutí
Většina firem potřebuje AES jako svůj základ. Je to volba uvažujícího člověka. Platíte za skutečnou bezpečnost bez režie plného ověřování totožnosti podle státních průkazů. Kryjete si záda u běžných obchodních smluv bez zbytečné komplikovanosti.
Některé firmy občas potřebují QES pro konkrétní smlouvy s vysokou hodnotou. Pro takové situace si to zaveďte do workflow. Vězte, kdy to potřebujete.
A SES? Pokud jej nepoužíváte interně nebo pro ty nejtriviálnější potvrzení, berete zbytečné riziko. Když se něco pokazí, právní krytí tam není.
| Vlastnost | Jednoduchý (SES) | Pokročilý (AES) | Kvalifikovaný (QES) |
|---|---|---|---|
| Ověření identity | Žádné | Založeno na certifikátu (telefon/e-mail) | Státní ID + QTSP certifikát |
| Detekce manipulace | Žádná | Ano — podpis se zneplatní při změně | Ano — šifrováno + časové razítko |
| Právní váha (eIDAS) | Platný, ale snadno zpochybnitelný | Silný — napadnutelný, ale solidní | Rovný vlastnoručnímu podpisu |
| Důkazní břemeno | Na vás | Převážně na vás | Na tom, kdo napadá |
| Vhodný pro | Interní workflow | NDA, smlouvy, HR | M&A, finance, právní listiny |