Co je třeba udělat?
K plnému nasazení elektronických podpisů do praxe, včetně tolik popularizovaného "podávání daňových přiznání v elektronické formě", tedy bude nejprve třeba rozhodnout a následně kodifikovat příslušná "pravidla hry" definující způsob dosažení zákonem požadované "laťky" (obsah vyhlášek), implementovat systém validací (ověřování shody s požadavky stanovenými ve vyhláškách), a začít skutečně ověřovat všechny potřebné nástroje, prostředky a systémy. Teprve pak mohou jednotliví zájemci o poskytování certifikačních služeb (certifikační autority) začít žádat o tzv. akreditaci, která je nezbytným předpokladem k tomu, aby jimi vydané certifikáty mohly být používány "v rámci veřejné moci", jak vyžaduje zákon.
Vedle těchto aktivit ale musí ještě proběhnout i "příprava" státní správy na používání elektronických podpisů. Také zde půjde o pořádný kus práce, protože orgány státní správy se teprve musí naučit pracovat s elektronickými dokumenty opatřenými elektronickými podpisy - musí na ně pamatovat režimy fungování podatelen, spisové řády a mnohé další náležitosti. Vše bude zřejmě řešeno formou vládního nařízení, které připravuje Úřad vlády.
Teprve až bude všechno toto úspěšně zvládnuto, bude možné používat elektronické podpisy při komunikaci se státní správou, tedy například podávat daňová přiznání elektronickou cestou a ne na papíře. Podle názoru autora tohoto článku to pro daňová přiznání za rok 2000 určitě nebude.
Jak postupují práce?
O postupu prací na přípravě prováděcích vyhlášek k el. podpisu informoval Úřad pro ochranu osobních dat fromou tiskové zprávy a obsáhlejšího odborného stanoviska dne 4. 10. 2000, tedy téměř okamžitě po získání příslušných kompetencí (obojí lze nalézt na WWW stránkách Úřadu, na adrese http://www.uoou.cz). Již dříve přitom Úřad musel odmítnout některé nabídky externích subjektů, že příslušné vyhlášky vypracují za něj a on je pouze převezme (protože takovýto smluvní vztah je ve sporu s jeho statutem nezávislého úřadu, Úřad naopak vyjádřil ochotu použít různé návrhy jako podklady při své práci).
V duchu statutu, který Úřad získal, pracuje na přípravě vyhlášek sám. Jak se uvádí v tiskové zprávě Úřadu ze 4.10.2000,
předseda Úřadu Karel Neuwirt inicioval vznik odborné pracovní komise, která je složena z odborníků pro informační bezpečnost. V této komisi pracují odborníci ze státní správy, školství i komerční sféry. Doporučení této komise Úřad po oponentuře zapracuje do svých dokumentů.
Složení této poradní komise lze nalézt na WWW stránkách úřadu (http://www.uoou.cz, členem je i autor tohoto článku).
Úřad se již také vyjádřil k očekávanému časovému horizontu, ve kterém by vyhlášky měly být připraveny. Ve zmíněné tiskové zprávě se uvádí:
Se zřetelem k vývoji v EU a k faktu, že Úřad získal uvedené kompetence v oblasti elektronického podpisu k datu nabytí účinnosti zákona, tj. k 1. říjnu, lze očekávat vznik pracovní verze vyhlášek, které budou určeny k odborné diskusi, nejdříve na přelomu tohoto a příštího roku.
Přelom roku je ale odhadem pro pracovní verze vyhlášek, po kterém teprve bude následovat celý proces jejich připomínkování a nabytí platnosti. Mezitím samozřejmě musí být nějak vyřešen "zádrhel" s tím, že Úřad nesmí vydávat žádné vyhlášky - toto řešení zřejmě bude mít buď podobu novely zákona o Ochraně osobních údajů (která zmocní Úřad k vydávání obecně závazných předpisů a jejich publikování ve Sbírce) nebo podobu novely zákona o elektronickém podpisu (která by změnila "vyhlášky" na "nařízení vlády"). Obě varianty ale samozřejmě nejsou triviální záležitostí a jejich realizace určitě neproběhne "ze dne na den".
Jak jsem již uvedl výše, samotné vyhlášky jsou jen prvním nezbytným krokem, po kterém musí následovat kroky další - vybudování celého systému pro nezbytné testování shody se stanovenými požadavky (validace), dále akreditace poskytovatelů certifikačních služeb, a mezitím musí proběhnout příprava státní správy na používání el. podpisů atd. Odhadovat, kdy se vše dostane do takového stádia, abychom jako občané mohli komunikovat elektronickou cestou se státní správou, lze jen těžko - podle mého názoru to nebude dříve jak v polovině příštího roku, a to jen v případě příznivého souběhu (např. včasné novelizace zákonů bránících Úřadu vydávat vyhlášky).
Zaspal Úřad?
Bezprostředně poté, co zákon o el. podpisu vstoupil v platnost (k 1. říjnu), se začaly objevovat první kritické názory vůči Úřadu pro ochranu osobních údajů, které jej viní z toho že příslušné vyhlášky ještě nejsou na světě. Například hned 1. října se na WWW serveru "Elektronický podpis" (na adrese www.epodpisy.cz) objevil výrok spoluautora první verze zákona doc. Smejkala:
Orgány státu, které jsou podle zákona o EP odpovědné za vydání prováděcích předpisů, tradičně zaspaly …
Hlasy kritizující Úřad se začaly ozývat i z Parlamentu, a 5. října byli představitelé Úřadu pozváni před sněmovní podvýbor pro telekomunikace, aby zde vysvětlili postup prací na přípravě vyhlášek. O výsledku se lze dočíst například v článku poslance Mlynáře, který vyšel 10.10. na Neviditelném psu (na adrese http://pes.internet.cz/clanky/6654_0_0_0.html), cituji:
Pokud jde o nařízení vlády, kterým se má upravit přijímání e-podpisu ve státní správě (nutno je třeba vydat elektronické formuláře, či stanovit, jak má úřad elektronické podání potvrdit svým úředním e-podpisem), je jeho text již v připomínkovém řízení a během několika týdnů bude údajně schválen. Horší je to s vyhláškami pro akreditované certifikátory, které jediné stát uznává. To je věc Úřadu na ochranu osobních údajů a ten, jak se ukázalo, neudělal téměř nic, a co je nejhorší, jeho šéf Neuwirth se tváří, že se nic neděje a na všechno je hodně času.
Kde je jádro problému?
Hlasy, požadující co nejrychlejší vydání příslušných vyhlášek (a s nimi pak i "dotažení" ostatních předpokladů, zahrnujících validace, udělování akreditací atd.) budou nejspíše dále sílit, s tím jak si stále více lidí uvědomuje potenciál elektronických podpisů a požaduje jeho faktické využití. Pominu-li různě motivované populistické ataky, jsou tyto požadavky logické a určitě i oprávněné - Úřad pro ochranu osobních údajů ani další zúčastněné instituce by rozhodně neměly nic oddalovat či zdržovat.
Na druhou stranu však nelze nevidět, že příprava vyhlášek a navazujících opatření je záležitostí nesmírně složitou, náročnou a také citlivou. Jakákoli chyba, nedomyšlenost či "díra" se zde může opravdu pekelně vymstít (příklad s chybou legislativců, kteří vydáním vyhlášek pověřili Úřad který vyhlášky vydávat nesmí, budiž mementem ukazujícím, jaký druh chyb se také může objevit). Navíc naše tuzemské vyhlášky nevznikají ve vakuu, ale již jen kvůli kompatibilitě našich certifikátů a celé tzv. infrastruktury veřejných klíčů (PKI, Public Key Infrastructure, v zásadě systému certifikačních autorit) i validačních mechanismů atd. musíme postupovat v souladu s postupem prací v rámci EU (kde je cílový termín stanoven na červenec 2001).
Skutečné jádro sporu o rychlost vydání vyhlášek je tedy, alespoň podle mého názoru, v tom zda celý proces zavádění elektronických podpisů do praxe má postupovat rychlostí danou potřebou dosáhnout dostatečně propracovaného a spolehlivého, se zahraničím kompatibilního výsledku, nebo zda má být rychlost zvýšena i za cenu rizika uspěchání celého procesu a nedomyšlení, přehlédnutí či opomenutí něčeho významného, co posléze může přinést nejen významné škody, ale i ohrozit důvěryhodnost elektronických podpisů jako takových.