4.4        Zaručený elektronický podpis, založený na kvalifikovaném certifikátu

Vraťme se nyní zpět k různým variantám elektronických podpisů. Vyšším stupněm elektronického podpisu, než je zaručený elektronický podpis, je zaručený podpis, založený na kvalifikovaném certifikátu. Jak už vyplývá přímo z jeho označení, od „obyčejného“ zaručeného elektronického podpisu se liší právě v požadavku na certifikát: ten musí být kvalifikovaný.

Jak již víme, kvalifikovaný certifikát je označován jako „kvalifikovaný“ právě proto, že jsou na něj kladeny vyšší požadavky. Dokonce takové, které jsou vymezeny přímo v zákoně (viz předchozí odstavec).

Tím pádem u tohoto druhu podpisu již nepřipadají v úvahu příklady toho typu, jaké jsme si ukazovali v souvislosti s literární postavou Josefa Švejka: té by nikdy neměl být vystaven kvalifikovaný certifikát.

Díky využití kvalifikovaného certifikátu je tak i příslušný elektronický podpis (tedy: zaručený elektronický podpis, založený na kvalifikovaném certifikátu) výrazně důvěryhodnější. Přesto se v praxi objevují další požadavky na zvýšení celkové důvěryhodnosti těch zaručených podpisů, které jsou založeny na kvalifikovaném certifikátu.

Tyto další požadavky se obecně mohou ubírat dvěma směry:

·         cestou dalších požadavků na vydavatele kvalifikovaných certifikátů

·         cestou dalších požadavků na vytváření (a ověřování) zaručených elektronických podpisů, založených na kvalifikovaných certifikátech

Praktický rozdíl je pak v tom, že u první varianty je požadována akreditace toho, kdo kvalifikované certifikáty vydává: příslušný poskytovatel certifikačních služeb (certifikační autorita) musí být nejen kvalifikovaný, ale musí také úspěšně projít procesem akreditace (tj. být akreditovaný).

O zaručených elektronických podpisech, které jsou založeny na kvalifikovaných certifikátech od takovéhoto poskytovatele, který je akreditován, se hovoří jako o uznávaných elektronických podpisech (podrobněji viz část 4.5).

V České republice působili v roce 2010 tři kvalifikovaní poskytovatelé certifikačních služeb (tj. takoví, kteří vydávají kvalifikované certifikáty). Všichni tři úspěšně prošli akreditací[59]. 

Ve druhém případě je důraz kladen na to, aby zaručený elektronický podpis byl vytvářen či ověřován pomocí „bezpečného prostředku“: bezpečného prostředku pro vytváření elektronických podpisů[60], resp. bezpečného prostředku pro ověřování elektronických podpisů[61].

O zaručených podpisech, které jsou založeny na kvalifikovaných certifikátech a jsou vytvořeny pomocí prostředku pro bezpečné vytváření elektronických podpisů, se hovoří jako o kvalifikovaných elektronických podpisech[62].

Zajímavé je, že obě varianty - tedy jak uznávaný, tak i kvalifikovaný elektronický podpis - mohou skýtat dostatečně vysokou úroveň důvěryhodnosti, tak aby je bylo možné položit na roveň vlastnoručními podpisu na listinném dokumentu či vyžadovat v „úředním styku“ (při komunikaci s orgány veřejné moci).

Různé země ale mohou dávat přednost jedné či druhé variantě, což lze dokumentovat i na příkladu České republiky a Slovenska: zatímco na Slovensku dávají přednost použití bezpečných prostředků (a tím kvalifikovaným elektronickým podpisům), v České republice je v tomto ohledu dávána přednost požadavkům na vydavatele certifikátu (cestou jeho akreditace) – a tím i uznávaným podpisům.

A to i přesto, že konkrétně náš zákon[63] explicitně řeší i bezpečné prostředky pro vytváření a ověřování elektronických podpisů, když na ně klade konkrétní požadavky a jejich použití explicitně přisuzuje určité konkrétní důsledky. Například když ve svém §3 konstatuje, že:

Použití zaručeného elektronického podpisu, založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu, umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu.

Tomu ale není možné rozumět v tom smyslu, že takovéto ověření umožňuje „až“ (či „pouze“) použití bezpečného prostředku. Umožňuje ho i uznávaný elektronický podpis, a to díky „kvalitě“ své vazby mezi certifikátem a podepsanou osobou. Jen to o něm není takto explicitně konstatováno v zákoně - ale vyplývá to z jeho vlastností a konkrétně i z požadavků na vydavatele certifikátů, které jsou zakotveny v dalších předpisech a vyhláškách[64].