Pojistný obzor je k přečtení ZDE
DBP je bezesporu velmi zajímavým příkladem provedení elektronického podpisu, k němuž se cítí být kompetentní kvalifikovaně se vyjadřovat celá řada odborníků, což jej často obestírá jistou mírou nejistoty co do jeho právní závaznosti a uznatelnosti českými soudy. Technologické společnosti i jejich zákazníci v jeho realizaci vnímají přínosnou bezbariérovou náhradu papírového procesu v zabezpečeném digitálním prostředí. Jeho kritici naopak poukazují na údajná související bezpečnostní rizika a apriori jej odmítají. Jak uvedeme níže, klíčový pohled na závaznost „digitálního“ vlastnoručního podpisu vychází z perspektivy smluvních stran, které jej v soukromém styku chtějí použít a používají. Od toho se musí bezvýjimečně odvíjet právní hodnocení minimálně z pohledu hmotného práva. I v procesním právu by tento pohled měl tvořit základ pro hodnocení jednání stran, byť v případě sporu může být potřeba součinnost dodavatele technologie a jeho (korporátního) zákazníka. Zásadní právní nejistota by nicméně neměla být na místě.
Mohlo by vás zajímat: Martin Diviš: Lidé a svoboda. Tyto dva faktory určují samu podstatu Kooperativy
To by ale nesměl Úřad pro ochranu osobních údajů (ÚOOÚ) v roce 2019 zpochybnit samotnou podstatu DBP. I přes svůj dlouhodobý konstantní (a spíše neutrální) přístup vydal kontroverzní a trhem i právní obcí nikdy nepřijaté, kritizované rozhodnutí, v němž u finanční instituce konstatoval rozpor používání DBP s principy zpracování osobních údajů. Nejenomže ÚOOÚ od té doby své rozhodnutí nezopakoval, ale ani nezměnil své jediné oficiální stanovisko k tematice DBP z roku 2014, které je přesně opačné a použití DBP dovoluje. A navazující diskuze s ÚOOÚ dle jejich aktérů dlouhodobě nevedou k žádnému výsledku, což trhu ani elektronickému jednání obecně příliš nepomáhá. Rádi bychom proto představili svůj názor, jak aktuálně přistupujeme k DBP z pohledu práva, a to samozřejmě nejen v sektoru pojišťovnictví, který DBP relativně hojně používá.
Právní úprava elektronického podpisu
Nelze začít jinak než zopakováním základního právního rámce a rozdělením úrovní elektronického podpisu dle evropského nařízení eIDAS[1] a zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, (ZSVD):
1) Elektronickým podpisem, v českém prostředí často také prostým elektronickým podpisem, se rozumí „data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání“[2]. Jde vlastně o množinu všech elektronických podpisů, jež nejsou součástí následujících kategorií 2–4), v praxi vyjádřenou nespočtem technických provedení, která nejsou založena na asymetrické kryptografii, ač ji mohou využívat pro související operace.
2) Zaručeným elektronickým podpisem je vyšší a důvěryhodnější úroveň, kde je podpis jednoznačně spojen s podepisující osobou a umožňuje její identifikaci, je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou, a je připojen k datům takovým způsobem, že jakákoliv následná změna by byla zjistitelná[3]. Z pohledu českého hmotného práva má však obecně shodné právní účinky jako prostý elektronický podpis.
3) Zaručeným podpisem založeným na kvalifikovaném certifikátu se vracíme do charakteristiky předchozího bodu, nicméně jeho základem je kvalifikovaný certifikát pro elektronické podpisy, který vydává pouze úzký okruh osob v EU (tzv. „kvalifikovaní poskytovatelé služeb vytvářející důvěru pro elektronické transakce“), a proto by měl být opět o stupeň důvěryhodnější než předchozí úrovně elektronických podpisů. I proto by jej měl uznávat český i evropský veřejný sektor[4].
4) Kvalifikovaným elektronickým podpisem definujeme zaručený elektronický podpis vytvořený kvalifikovaným prostředkem pro vytváření elektronických podpisů (hardware) a založený na kvalifikovaném certifikátu pro elektronické podpisy (software).[5] Jde o nejvyšší úroveň elektronického podpisu, kterému nařízení eIDAS přiznává výslovně shodný právní účinek jako vlastnoručnímu podpisu na papír.
Mohlo by vás zajímat: Proč jsou zranění žen při autonehodě závažnější?
V českém právu máme již tradičně i náš vlastní pojem – „uznávaný elektronický podpis“. Nejde o zvláštní úroveň ani typ elektronického podpisu, ale pouze o legislativní zkratku pro podpisy úrovně 3) a 4) výše. Uvedené úrovně elektronického podpisu mají přirozeně různé způsoby uplatnění. Oproti českému veřejnému právu, kde se v zásadě vyžadují vyšší úrovně elektronických podpisů, a DBP proto nelze využít, však české soukromé právo a zejména jeho nejvýznamnější zásady – zásada autonomie vůle, předpoklad spravedlivého a poctivého jednání a zásada bezformálnosti – umožňují každému, aby si zvolil pro své právní jednání jakoukoliv formu, pokud zákon či ujednání mezi jednajícími stranami nestanoví jinak.[6]
S tím souvisí i možnost zvolit si libovolnou formu (či podobu) podpisu, tedy podpis na papír či podpis elektronický, neboť § 7 ZSVD přiznává, nad rámec nařízení eIDAS, všem úrovním elektronického podpisu paritu s vlastnoručním podpisem na papír. Tuto skutečnost bez jakýchkoli pochybností explicitně potvrzuje důvodová zpráva k § 7 ZSVD a obdobně se k ní staví např. výkladové stanovisko právníků z platformy Rozumné právo.[7] Zvláštní zákony mohou ovšem stanovit jinak, např. požadavek jednání na téže listině v katastrálním právu, požadavek určité úrovně elektronického podpisu na důležitých písemnostech v pracovním právu, požadavek úředního ověření podpisu na vybraných zástavních smlouvách či akciích, požadavek veřejné listiny u dohody o uznání dluhu a svolení k vykonatelnosti apod.; v takovém případě samozřejmě platí to, co stanoví zákon.
Mohlo by vás zajímat: Lucie Urválková počtvrté mezi nejvlivnějšími ženami podle Forbesu
Právní obec proto dnes otevřeně či zdrženlivěji připouští možnost prostý elektronický podpis (včetně DBP) užívat pro drtivou většinu soukromoprávních jednání, jelikož má hmotněprávně (ať chceme, nebo ne) stejné účinky jako běžný vlastnoruční podpis. Ojedinělí kritici[8] přes různorodé námitky dovozují zjednodušující závěr, že prostý elektronický podpis je nejen obecně nežádoucí, neboť snižuje míru důvěry v právních vztazích, ale dokonce neplatný, a to absolutně (sic!). Zaměňují však potenciální důkazní problémy s otázkou samotné (ne)platnosti písemného právního jednání opatřeného prostým elektronickým podpisem. V praxi nepochybně vznikne různá míra důkazní spolehlivosti různých úrovní podpisů, ale jejich volba podložená úvahou o jejich dostatečnosti, efektivitě, jednoduchosti či ceně je výhradně záležitostí jednajících a nemá sama o sobě vliv na právní platnost jednání.
Není proto žádoucí ani právně možné považovat prostý elektronický podpis (a tedy ani DBP) za podpis právně a fakticky nedůvěryhodný, nepoužitelný, či dokonce neplatný. To zcela nepochybně plyne i z čl. 25 odst. 1 nařízení eIDAS, který stanoví, že elektronickému podpisu (jakékoli úrovně) nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy.
Proto názor, že by soudy měly v soukromém právu uznávat pouze kvalifikované elektronické podpisy nebo zaručené podpisy založené na kvalifikovaném certifikátu, a nikoli běžné zaručené podpisy nebo prosté elektronické podpisy,[9] považujeme za ničím nepodložený, přímo odporující § 7 ZSVD a tím pádem protiprávní a zcela neudržitelný. Požadavek podepisování pouze vyššími úrovněmi elektronického podpisu je s ohledem na digitální (ne)kompetence všech vrstev naší populace i praktické aspekty nenaplnitelný, zákon ho nevyžaduje a neměla by ho k samotné platnosti elektronického jednání nerealisticky vyžadovat ani judikatura.
Mohlo by vás zajímat: Miroslav Škvára ke zkouškám: Přechodné období skončilo. Co bude dál?
Kvalifikace DBP a problém s identifikací podepisujícího
DBP není v českém (ani evropském) právu výslovně upraven, což umožňuje živelný rozvoj a konstantní vylepšování konkrétních technologických a procesních DBP řešení. Tato řešení v nedávné době umožnila činit DBP i na vlastních zařízeních podepisujících osob (oproti původním certifikovaným signpadům a tabletům), což svědčí o skutečné snaze jejich tvůrců maximálně usnadnit právní jednání a proces podepisování při zachování ještě udržitelné a prokazatelné míry důkazní spolehlivosti.
Dle našeho názoru lze DBP považovat beze zbytku za tzv. „prostý elektronický podpis“, jímž lze stvrdit prakticky jakoukoli konkrétní písemnost v soukromoprávním světě, není-li pro ni výjimečně předepsána jiná než elektronická forma či požadavek na specifický druh podpisu (úředně ověřeného či vyššího elektronického). Tuto úroveň elektronického podpisu by naplnila i pouhá skica podpisu, tedy jen záznam obrázku podpisu vytvořený v digitálním světě.
Mezi DBP a skicou (faksimilií) však zřetelně vnímáme zcela odlišnou důvěryhodnost a míru důkazní spolehlivosti. Zatímco při DBP dochází ke snímání a zaznamenávání podpisu vytvářeného vlastní rukou osoby spolu s dalšími identifikačními prvky (statická a dynamická unikátní stopa) zajišťujícími vyšší právní jistotu jednání, k němuž se vztahuje, skica nemá sama o sobě žádnou další důkazní hodnotu, neboť je jen prostým naskenováním obrazu podpisu. Zatímco DBP může být podkladem pro navazující písmoznalecké i technologické posuzování pravosti podpisu, skica principiálně nikoli (ačkoli z naší praxe víme o případech, kdy se tak u českých soudů stalo). Porovnávat skicu podpisu s vlastnoručním podpisem na papír tedy přirozeně nelze, avšak i pokud by nebyla součástí dostatečně sofistikovaného postupu podepisování (což v praxi v zásadě vždy je), nevidíme důvod, proč ji jako prostý elektronický podpis a priori odmítat. Uznáme-li za dostatečný podpis skicu, musíme to samé učinit i s DBP.
Mohlo by vás zajímat: 1Q 2021: Allianz má čistý zisk + 83,4 %. AXA hlásí celkové výnosy + 2 %
Provedení vlastnoručního podpisu na papír (wet signature) či digitálně (DBP) nám v zásadě neříká nic o jednoznačné identifikaci podepisující osoby a dává nám jen relativně omezenou možnost provést její zcela spolehlivou autentizaci. Obojí je třeba zajistit si jiným nezávislým způsobem. I proto se v digitálním světě elektronickou identifikací zabývá první polovina nařízení eIDAS, celý zákon č. 250/2017 Sb., o elektronické identifikaci, a i proto vznikl projekt bankovní identity. Nepleťme si elektronickou identifikaci věcně ani právně s jakoukoli operací spočívající pouze v podepsání. Současná právní úprava neobsahuje žádné kvalitativní požadavky směrem k identifikaci či určení podepisující osoby; jedinou kvalitativní náležitostí je vysoce obecný odkaz na svého druhu zvyklost podepisující osoby připojit „data užívaná k podepisování“, což mohou být v zásadě jakákoli data v elektronické podobě, včetně biometrických.[10]
Vybrané souvislosti k praktickému použití DBP
Výhody DBP lze spatřovat především v oblasti snížení transakčních nákladů a zajištění větší plynulosti obchodního styku. Vzájemná důvěra stran při používání DBP, resp. prostého elektronického podpisu, hraje zcela zásadní roli. Stejná důvěra je ale potřebná i při použití vlastnoručního podpisu na papír. Není zde totiž žádná třetí strana, jako je např. vydavatel kvalifikovaných certifikátů pro elektronické podpisy, která by byla nezbytnou součástí takového procesu, a ani do tohoto procesu nevstupuje nikdo další (notáři, advokáti), kdo by ověřoval podpis jako takový. Absencí třetí strany je celý proces v konečném důsledku usnadněn a zrychlen. Pokud by i tak strany nebyly spokojeny s „úrovní“ daného podpisu, nic jim nebrání sjednat si jiné podmínky (podepsat dokument v listinné podobě nebo vyšší úrovní elektronického podpisu).
Mohlo by vás zajímat: 3D tisk a robotika ‒ technologie s velkým potenciálem
Není tedy do budoucna žádoucí ani efektivní klást zákonem další nové požadavky, jež by zužovaly okruh subjektů provádějících právní jednání elektronickým způsobem. Není ani žádoucí DBP diskriminovat v relativně liberální množině prostých elektronických podpisů, což by vedlo ke znesnadnění a brždění právního jednání ve významných společnostech na domácím trhu, které již mnoho let systematicky a bez problémů DBP používají každý den k vytvoření obrovského množství elektronických podpisů. Jestliže si strany zvolí určitý typ podpisu, jsou povinny nést riziko případného neprokázání podepisující osoby nebo jejího právního jednání. Stejně jako v případě, kdy pojišťovna zašle poštou listinnou formu smlouvy, je mylné se domnívat, že ji může bezpodmínečně podepsat pouze osoba, které je písemnost adresována, a nikoliv nikdo jiný z jejího okolí. Jestliže ani takovýto podpis nezatracujeme, proč bychom měli zavrhovat DBP?
V praxi jsou řešení DBP integrována do většího celku úkonů (procesu, workflow) a často obsahují jak provedení elektronické identifikace podepisujícího, tak i jeho autorizaci k právnímu jednání; umožňují dosvědčit provedení jednání určitou osobou prostřednictvím svědka a zachytit kompletní historii činností, od vytvoření dokumentu až po konec jeho archivace v důvěryhodném systému. Takovým atributům se při běžném smluvním styku ve světě papíru nelze ani vzdáleně přiblížit. Pokud někdo relativizuje použitelnost dalších důkazů spojených s výsledným dokumentem, staví se do opozice vůči technickému pokroku a stále důmyslnějším technologickým řešením, která budou v blízké budoucnosti fakticky obsluhovat neustále narůstající množinu právních jednání.
Přístup soudů k DBP
V rámci rozhodovací praxe českých soudů dochází k popírání DBP zcela výjimečně. Je tomu tak pravděpodobně proto, že se podepisující, který se skutečně podepsal, cítí svým stvrzením právního jednání vázán pocitově shodně jako při jeho stvrzení na papíře. Samozřejmě nejde jen o pocit, ale také o objektivní možnost trestně stíhat osoby, které by chtěly padělat nebo pozměnit své či cizí podpisy. To také bylo klíčovým důvodem implementace DBP v rámci digitalizačních projektů napříč trhem v posledních letech. Pokud se k českému soudu dostane spor, kde figuruje jako právní základ elektronický dokument podepsaný DBP, je soudu dokument často předložen jako jeho na papír vytištěná kopie. Soud se tak v praxi bez námitky druhého účastníka obecně nezabývá procesem elektronické kontraktace, povahou ani podstatou elektronického podpisu, ani jeho technickými parametry. Pokud je mu však předložen elektronický originál dokumentu a druhý účastník řízení kvalifikovaně popírá, že by kdy podepsal konkrétní dokument, nastupuje hodnocení předložených důkazů účastníka, který se DBP dovolává a spoléhá na něj.
Mohlo by vás zajímat: Vícepilířový penzijní systém může pomoci řešit stárnutí evropské populace
Hodnocení by nemělo spočívat pouze na samotné písemnosti a jejím podpisu, ale také na dalších relevantních souvislostech dle zásady volného hodnocení důkazů. V takovém případě by mohl být DBP popřen snad jen pro neschopnost či nemožnost dodavatele technologie DBP a jeho (korporátního) zákazníka prokázat tvrzený skutkový stav (tedy to, že konkrétní osoba podepsala s pomocí DBP konkrétní dokument), popř. srovnat DBP s vlastnoručními podpisy údajně téže osoby na listinách, které má soud k dispozici (např. daňová přiznání, žádosti o vydání dokladů), což dle našich informací soudy výjimečně požadují. Nám známé implementace DBP takovou eventualitu v zásadě vylučují, když se v mnoha případech již zcela přiblížily funkcím a vlastnostem vlastnoručního podpisu na papír.
V této souvislosti by neměl ujít pozornosti čtenáře zajímavý exkurz do otázky funkční ekvivalence DBP a vlastnoručního podpisu na papír.[11] Ten dochází k závěru, že naplní-li konkrétní systém DBP všech 16 jím definovaných funkcí a požadavků, pak je funkčně ekvivalentní použití vlastnoručního podpisu na papír a obstojí ve stejných právních kontextech jako tradiční řešení. S tímto exkurzem se v zásadě ztotožňujeme a předpokládáme, že pokud dodavatel řešení DBP a jeho (korporátní) zákazník budou schopni třetí osobě doložit takovou ekvivalenci, považujeme důkazní pozici osoby spoléhající na DBP za velmi silnou. V praxi bude přirozeně záležet na tom, o jaký systém pro tvorbu DBP se jedná, jak je zakomponován do procesů (korporátního) zákazníka a zda jej lze považovat za důkazně dostatečný. Na českém trhu bohužel neexistuje žádný standard, který by soudcům, odborníkům a zákazníkům usnadnil základní orientaci v této problematice, což samozřejmě absolutní jistotu v právní či technologické „neprůstřelnosti“ DBP nepřináší.
I pokud si strany zvolí nižší míru spolehlivosti identifikace jednajícího, a tedy akceptují jednodušší proces kontraktace s pomocí DBP, jsou ve smyslu § 565 občanského zákoníku chráněny zakotvenou vyvratitelnou právní domněnkou o uznání pravosti a pravdivosti jakéhokoli dokumentu stojící na kritériu zjevného podpisu konkrétní soukromé listiny. Jsou-li v praxi DBP zařazeny do sofistikovanějšího procesu kontraktace (workflow), opět se jedná o další přínos důkazní pozici osoby spoléhající na DBP.
Mohlo by vás zajímat: Robert Kareš: Jak vyřešit problém se smluvním zdravotním pojištěním cizinců?
Obecný soud by neměl odmítnout DBP na konkrétním dokumentu ani jej označit za neplatný pro rozpor zpracování s ním souvisejících osobních údajů s českou či evropskou právní úpravou na ochranu osobních údajů; notabene v kontextu § 574 občanského zákoníku, který zavádí obecný právní princip, že na právní jednání je třeba hledět spíše jako na platná než jako na neplatná. Naše navazující stručné pojednání k této otázce by mělo být relevantní pouze v rovině sektorových předpisů a veřejnoprávní regulace, nikoli jako předmět sporu u civilního soudu ve vztahu konkrétní osoby a konkrétního dokumentu. Z tohoto pohledu by tedy neměla být narušena právní závaznost ani vynutitelnost dokumentů s DBP, který eventuálně nemusí vyhovovat právní úpravě k ochraně osobních údajů.
DBP ve světle GDPR a z pohledu ÚOOÚ
Na tomto místě nebudeme rozporovat současný právní názor ÚOOÚ, pokud jde o snahu (ne)odborné veřejnosti argumentovat, že uchování biometrických dat prostřednictvím snímacích a čtecích zařízení není a) zpracováním osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů (EU) 2016/679 (GDPR), ani dokonce b) kategorií zvláštních údajů.[12] Pokud by totiž bylo možné takto právně argumentovat, právní základ pro tuto kategorii dat by se hledal jednoduše, resp. nemusel by se hledat vůbec, pokud by se o zpracování osobních údajů nejednalo. Z uvedeného důvodu dáváme tuto problematiku, která je dle našeho názoru již vyřešená, stranou, jelikož zpracování DBP se věnuje řada odborných článků a tomuto tématu již byla věnována náležitá pozornost.[13]
Nicméně určité pochybnosti a znepokojení veřejnosti, zejména té části, která DBP využívá, vyvolalo v roce 2019 svérázné rozhodnutí ÚOOÚ.[14] Z rozhodnutí je zřejmé, že ÚOOÚ zpracování DBP neshledal jako oprávněné. Velmi zjednodušeně lze říci, že byť ke zpracování a vytvoření DBP klientů banky docházelo se souhlasem podepisující osoby, konstatoval ÚOOÚ nadbytečnost takového údaje.
Mohlo by vás zajímat: Michal Skořepa: Ceny nemovitostí a zkažený burger
ÚOOÚ má samozřejmě ve své pravomoci vyhodnotit a konstatovat nadbytečnost zpracování osobních údajů. Nicméně jak dalece se ÚOOÚ zabýval dobrovolností poskytnutého souhlasu a v jakém světle či měřítku jej při vyhodnocení nadbytečnosti posoudil, není z rozhodnutí zřejmé. Zvážení dobrovolnosti souhlasu je patrné jenom z výše pokuty, kdy při jejím ukládání ÚOOÚ zohlednil skutečnost, že DBP byl shromažďován se souhlasem. Pokud se ÚOOÚ staví do role tzv. „pečovatelského státu“, tedy do v angličtině běžně zaužívaného významu pojmu „nanny state“, pak zcela jistě opomíná ústavní zásadu, dle které každý občan může činit, co není zákonem zakázáno, a nikdo nesmí být nucen činit, co zákon neukládá.[15]
Jelikož neznáme podrobnosti spisového materiálu ani obranu, kterou účastník řízení v předmětné kontrole a navazujícím správním řízení zvolil, příp. ani zda řízení dále před správními soudy pokračuje, je těžké činit závěry o (ne)oprávněnosti zpracování, resp. oprávněnosti využívání DBP, pouze z jediného rozhodnutí ÚOOÚ. ÚOOÚ doposud nevydal ani neaktualizoval svá předešlá stanoviska týkající se zpracování biometrických údajů[16], ve kterých by závěry rozhodnutí zobecnil a ve kterých by veřejnosti jasně a zřetelně sdělil svůj pohled na věc, příp. zdůvodnil, proč by měl nastat konec DBP v ČR pro jejich nesoulad s předpisy na ochranu osobních údajů. Z jednoho rozhodnutí nelze (bohudík) obecně dovozovat zákaz zpracování DBP, a to zejména proto, že popisované jediné rozhodnutí ÚOOÚ je rozhodnutím individuální povahy, jímž se v určité věci zakládají, mění nebo ruší práva anebo povinnosti.[17]
Zkoumáním biometrického podepisování v jiných zemích EU, konkrétně v Polsku, Nizozemsku či Portugalsku, lze dospět k závěru, že:
- DBP je běžně považován za zvláštní kategorii osobních údajů;
- dozorové úřady zmíněných států DBP výslovně nezakazují a pro zpracování těchto dat doporučují provést DPIA (posouzení vlivu na ochranu osobních údajů), s cílem snížit rizika zpracování;
- dochází-li ke zpracování biometrických údajů v nějaké formě závislosti, např. na pracovišti, nesmí být takové zpracování založeno na souhlasu z důvodu platnosti tohoto souhlasu, nicméně platí, že v případě „nezávislého“ vztahu je souhlas platným právním základem;
- zmíněné dozorové úřady doposud nevyhodnotily zpracování DBP na základě souhlasu jako nadbytečné, tudíž v rozporu s GDPR.
S ohledem na výše uvedené lze shrnout, že při dodržení podmínek svobodnosti souhlasu,[18] transparentnosti či přijetí technicko-organizačních opatření, která zajistí ochranu biometrických údajů v rámci DBP, je zpracování DBP dle našeho názoru oprávněné a v souladu s GDPR. Doposud nebylo v ČR vydáno žádné stanovisko dozorových orgánů ani soudní rozhodnutí, které by nás mohlo přesvědčit o opaku. S ohledem na výše uvedenou argumentaci takové stanovisko či rozhodnutí ani neočekáváme.
Mohlo by vás zajímat: 1Q 2021: Munich Re vykázal čistý zisk 589 mil. €. Swiss Re 333 mil. USD $
Závěr
V soukromém právu, na rozdíl od práva veřejného, není pro písemnou formu právního jednání obecně stanoven žádný konkrétní požadavek na úrovni elektronické identifikace či elektronického podpisu. Považujeme proto za správné a žádoucí ponechat na vůli konkrétních osob, aby si v souladu se základními principy občanského práva a podle okolností případu svobodně zvolily listinnou či elektronickou podobu svého písemného právního jednání a způsob, jak se př i tomto jednání identifikují a jak jej stvrdí svým podpisem.
DBP svou charakteristikou nepochybně patří mezi nejpokročilejší provedení prostého elektronického podpisu, a z právního pohledu je proto obecně použitelný pro stvrzení písemného právního jednání ve finančním sektoru i v jiných oblastech soukromého práva. Samozřejmě neklade-li mu zvláštní právní předpis překážku např. v podobě požadavku na úředně ověřený podpis nebo na formu notářského zápisu.
Dle našeho názoru neexistuje právní důvod k diskriminaci DBP oproti jiným úrovním a provedením elektronických podpisů nebo vlastnoručnímu podpisu na papír. K zajištění dostatečné důkazní pozice pro případný spor se jeví nezbytné zajistit důkazní materiál od dodavatele DBP i jeho (korporátního) zákazníka ve vztahu ke konkrétnímu podepisujícímu a konkrétnímu dokumentu a ověřit prokazatelnost podpisu a souvisejícího právního jednání.
Mohlo by vás zajímat: Cizinci se budou pět let pojišťovat pouze u Pojišťovny VZP, schválili poslanci
Pokud jde o oprávněnost zpracování DBP z pohledu GDPR, pak v případech, kdy právním základem je řádný souhlas podepisující osoby dle čl. 7 GDPR, zpracování DBP je oprávněné. Správce osobních údajů je oprávněn stanovit si účel zpracování, a to provádět v mezích stanovených zákonem, přičemž stát, resp. ÚOOÚ, by měl prováděné zpracování korigovat a pouze v krajním případě vyhodnocovat jako neoprávněné, či jej dokonce zakazovat. Rozhodnutí ÚOOÚ, dle kterého finanční instituce zpracovávala DBP nadbytečně a porušila tak GDPR, vnímáme jako nešťastně formulovaný a kontroverzní krok, který se nemůže obecně vztahovat na žádné jiné zpracování DBP prováděné jiným subjektem ve finančním sektoru.
Pojistný obzor je k přečtení ZDE
Mgr. František Korbel, Ph.D.
JUDr. Dalibor Kovář
Mgr. Ján Jaroš
Advokátní kancelář HAVEL & PARTNERS
[1] Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
[2] Čl. 3 odst. 10 nařízení eIDAS.
[3] Čl. 3 odst. 11 nařízení eIDAS.
[4] Viz jeho uznávání veřejným sektorem napříč EU dle čl. 27 odst. 2 nařízení eIDAS a dle § 6 odst. 1 ZSVD.
[5] Čl. 3 odst. 12 nařízení eIDAS.
[6] Viz § 559 občanského zákoníku. Využitelnost elektronických podpisů se opírá o § 561 odst. 1 větu třetí občanského zákoníku. Více o aplikaci základních zásad in:Korbel, F. – Kovář, D. – AMLER, P.: Interpretace elektronického podpisu a související identifikace v soukromém právu [on-line]. Dostupné z: https://www.pravniprostor.cz/clanky/obcanske-pravo/interpretace-elektronickeho-podpisu-souvisejici-identifikace-vsoukromem-pravu
[7] Viz Rozumné právo: Je třeba zjednodušit elektronické právní jednání [on-line]. Dostupné z: https://www.rozumne-pravo.cz/cz/stanoviska/je-treba-zjednodusitelektronicke-pravni-jednani/
[8] Viz např. Podaný, J.: Trilogie Podepisování soukromých listin včera, dnes a zítra [on-line], dostupná z: https://www.pravniprostor.cz/autor/mgr-jan-podany; nebo Peterka, J., např. v článku „Zatímco technické obory přitvrzují, právo naopak měkne“, dostupném z: https://www.pravniprostor.cz/clanky/spravni-pravo/zatimco-technickeobory-pritvrzuji-pravo-naopak-mekne
[9] Viz Podaný, J.: Podepisování soukromých listin včera, dnes a zítra, 3. část [on-line]. Dostupné z: https://www.pravniprostor.cz/clanky/obcanske-pravo/podepisovanisoukromych-listin-vcera-dnes-zitra-iii-cast
[10] Matejka, J. – Krausová, A. – Güttler, V.: Biometrické údaje a jejich právní režim. In:Revue pro právo a technologie, roč. 9, č. 17/2018, s. 121.
[11] Kment, V.: Právně funkční analýza podpisů a písemností. Metodologie pro projekt ZANOME 2, Kriminalistický ústav Policie ČR, verze Dec 2019. Zkráceně pak in: Kment, V.: Právo digitálních vlastnoručních podpisů. Kriminalistika 4/2020, s. 309 a násl.
[12] Čl. 9 odst. 1 GDPR: Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. K otázce identifikace srov. např. výklad Smejkal, V.: Dynamický biometrický podpis a nařízení GDPR. Revue pro právo a technologie [on-line]. Rok 2017, č. 16, s. 89–112. [cit. 2019-04-16]. Dostupné z: https://journals.muni.cz/revue/article/view/8282.
[13] Např. https://www.pravniprostor.cz/clanky/pravo-it/je-pouzivani-dynamickehobiometrickeho-podpisu-v-rozporu-s-gdpr, https://www.epravo.cz/top/clanky/konecdynamickeho-biometrickeho-podpisu-v-cr-109593.html
[14] ÚOOÚ, rozhodnutí ze dne 21. března 2019, č. j.: UOOU-10138/18-8: Správní orgán neshledal, že by biometrický podpis klienta byl pro účely uzavření a uchování smluvní dokumentace či zjednodušení tohoto procesu nezbytný, neboť v případě uzavírání smluv v listinné podobě není také vyžadován. Správní orgán považuje dostatečné pro výše uvedené účely zpracovávat účastníkem řízení pouze prostý obraz podpisu klienta na dematerializované smluvní dokumentaci, který je srovnatelný s podpisem na smluvní dokumentaci v listinné formě. Tento závěr správního orgánu ohledně nadbytečnosti zpracování biometrického podpisu pak potvrzuje i skutečnost, že účastník řízení v praxi shromažďuje a uchovává biometrické parametry podpisu, avšak de facto využívá pouze prostý elektronický obraz podpisu klienta a biometrické parametry podpisu není schopen bez technologií dodavatele vytěžit. Správní orgán zdůrazňuje, že skutečnost, že si účastník řízení jako správce osobních údajů nebyl ani vědom toho, že dochází ke zpracování biometrického podpisu i po bezprostředním vytvoření elektronického obrazu podpisu, sama o sobě dostačuje ke konstatování nadbytečnosti takto zpracovávaných údajů.
[15] Čl. 2 odst. 4 Ústavy ČR.
[16] Např. a) stanovisko č. 2/2014 – Dynamický biometrický podpis z pohledu zákona o ochraně osobních údajů; b) stanovisko č. 1/2017 – Biometrická identifikace nebo autentizace zaměstnanců; tisková zpráva; c) upozornění na změnu v posuzování systémů využívajících biometrické údaje (dříve „stanovisko č. 1/2017 – Biometrická identifikace nebo autentizace zaměstnanců“); d) stanovisko č. 3/2012 k vývoji biometrických technologií.
[17] Paragraf 9 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů.
[18] K tomu blíže viz Korbel, F. – Kovář, D. – Nešpůrek, R. – Otevřel, R.: Dynamický biometrický podpis nově vždy jako zvláštní kategorie osobních údajů [on-line]. Dostupné z: https://www.pravniprostor.cz/clanky/pravo-it/dynamicky-biometrickypodpis- nove-vzdy-jako-zvlastni-kategorie-osobnich-udaju
Komentáře
Přidat komentář