Elektronický podpis a pečať umožňuje rovnaké postavenie elektronického a papierového dokumentu.

• Povinnosti subjektu verejného sektora pri vyhotovovaní a validácii kvalifikovaných elektronických podpisov a pečatí (QES)
• Používanie elektronického podpisu v obchodnom a administratívnom styku (Vzhľadom na zrušenie zákona o EP, navrhujeme úplne odstrániť tento odkaz a uviesť odkaz na výnos o štandardoch špecifikujúci formáty dokumentu. Zároveň navrhujeme uviesť odkaz na elektronický dokument pozostávajúci z viacerých súborov spojených v ZIP, ktorý definuje výnos o štandardoch ako degradovaný Associated Signature Containers v § 57b písm. a), obsahujúci rôzne súbory, napr. rôzneho formátu ako PDF a PNG, z ktorých sa skladá elektronický dokument a tieto súbory sú uložené v koreňovom ZIP adresáre.)

Národná rada Slovenskej republiky prijala v septembri 2016 zákon č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov Zákon o dôveryhodných službách upravuje podmienky poskytovania dôveryhodných služieb, definovaných v čl. 3 ods. 16 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014
o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28. 8. 2014). Ďalej definuje povinnosti poskytovateľov dôveryhodných služieb, pôsobnosť Národného bezpečnostného úradu v oblasti dôveryhodných služieb a sankcie za porušenie povinností podľa nariadenia (EÚ) č. 910/2014 tohto zákona. Ústredným orgánom štátnej správy pre dôveryhodné služby je Národný bezpečnostný úrad (NBÚ).

Čo je elektronický podpis, elektronická pečať a ako sa delia podľa úrovne bezpečnosti

• Elektronický podpis podľa nariadenia (EÚ) č. 910/2014 sú údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme a ktoré podpisovateľ používa na podpisovanie.

• Zdokonalený elektronický podpis  je elektronický podpis, ktorý spĺňa požiadavky stanovené
  v článku 26 nariadenia (EÚ) č. 910/2014.

• Kvalifikovaný elektronický podpis (QES) je zdokonalený elektronický podpis vyhotovený
  s použitím zariadenia na vyhotovenie kvalifikovaného elektronického podpisu (QSCD)
  a založený na kvalifikovanom certifikáte pre elektronické podpisy.

• Pôvodca pečate je právnická osoba, ktorá vyhotovuje elektronickú pečať.

• Elektronická pečať sú údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme s cieľom zabezpečiť pôvod a integritu týchto pridružených údajov.

• Zdokonalená elektronická pečať je elektronická pečať, ktorá spĺňa požiadavky stanovené
  v článku 36 nariadenie (EÚ) č. 910/2014.

• Kvalifikovaná elektronická pečať je zdokonalená elektronická pečať vyhotovená pomocou zariadenia na vyhotovenie kvalifikovanej elektronickej pečate a založená na kvalifikovanom certifikáte pre elektronickú pečať.

Podpisovateľ vyhotoví elektronický podpis dokumentu uzamknutím odtlačku dokumentu (hash hodnoty) súkromným kľúčom podpisovateľa. Do podpisu priloží podpisovateľ svoj certifikát. Certifikát je elektronický dokument obsahujúci verejný kľúč podpisovateľa na overenie podpisu (teda na odomknutie odtlačku dokumentu uzamknutého svojim súkromným kľúčom), identitu podpisovateľa a dobu (validity), počas ktorej je možné overovať platnosť certifikátu. Počas doby uvedenej v certifikáte (validity) je možné požiadať o zrušenie certifikátu, čo vydavateľ certifikátu zverejní, aby umožnil overenie platnosti certifikátu.

Zverejnenie stavu certifikátu je buď v zozname zrušených certifikátov – CRL, alebo od 1.1.2018 povinne v databáze OCSP. Z OCSP databázy je možné získať OCSP odpoveď o stave konkrétneho certifikátu, pričom OCSP odpoveď je aktualizovaná len v časovom intervale (validity) certifikátu a zasielaná je na základe žiadosti zaslanej cez OCSP protokol a takúto OCSP žiadosť o stave certifikátu je prakticky možné zaslať kedykoľvek, aj o 10 rokov po expirovaní certifikátu, teda po ukončení doby (validity) certifikátu.

Ak certifikát neobsahuje http adresu na zaslanie OCSP žiadosti, potom je adresa na OCSP uvedená v dôveryhodnom zozname (TL), ktorý zverejňuje NBÚ, v zázname pre vydavateľa kvalifikovaných certifikátov, ktorému NBÚ udelilo kvalifikovaný štatút.

Na overenie podpisu slúži verejný kľúč, ktorý je uložený v priloženom elektronickom dokumente nazvanom certifikát. Na overenie totožnosti podpisovateľa slúži certifikát - elektronický dokument, ktorý spája údaje na overenie podpisu (verejný kľúč) s identifikačnými údajmi osoby a potvrdzuje platnosť týchto údajov o osobe pomocou CRL alebo OCSP odpovede. Certifikáty vydávajú certifikačné autority – poskytovatelia dôveryhodných služieb, pričom kvalifikovaný certifikát pre elektronický podpis  je certifikát pre elektronický podpis, ktorý vydáva kvalifikovaný poskytovateľ dôveryhodných služieb a ktorý spĺňa požiadavky stanovené v prílohe I nariadenia (EÚ) č. 910/2014 a kvalifikovaný  certifikát  pre  elektronickú  pečať je   certifikát   pre   elektronickú   pečať,   ktorý   vydáva   kvalifikovaný   poskytovateľ dôveryhodných  služieb  a  ktorý  spĺňa  požiadavky  stanovené  v  prílohe  III nariadenia (EÚ) č. 910/2014.

Osoba, pre ktorú je certifikát vydaný, je povinná požiadať o zrušenie certifikátu, ak sa zmenia ľubovoľné údaje uvedené v certifikáte. Zrušenie platnosti certifikátu pri zmene údajov uvedených v certifikáte je dôležité najmä pre overovateľa (strana spoliehajúca sa na overenie podpisu dokumentu), aby si overovateľ mohol byť istý, že údaje uvedené v certifikáte v čase vydania certifikátu boli v čase použitia súkromného kľúča na podpísanie správne. Čas podpisu sa určuje k času pridanej kvalifikovanej elektronickej časovej pečiatky podpisu (QTS), napr. podpisovateľom, a ak nie je QTS pridaná k podpisu, tak k aktuálnemu času. Napr. ak je v certifikáte uvedené, že podpisovateľ zastáva určitú funkciu v čase podpisu (čo už nie je pravda v čase podpisu), alebo mu bol súkromný kľúč aj so zariadením (čipová karta - QSCD) odcudzený, ak tento podpisovateľ nepožiada o zrušenie certifikátu, je zodpovedný za škody a dôsledky vyplývajúce zo zneužitia falošne vyhotovených elektronických podpisov deklarujúcich v priloženom certifikáte nepravdivé údaje.

Právne účinky elektronických podpisov

1. Právny účinok elektronického podpisu a jeho prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť výlučne z dôvodu, že má elektronickú formu alebo nespĺňa požiadavky pre  kvalifikované elektronické podpisy.
2. kvalifikovaný elektronický podpis má právny účinok rovnocenný s vlastnoručným podpisom.
3. Kvalifikovaný elektronický podpis založený na kvalifikovanom certifikáte vydanom v jednom členskom štáte sa uznáva ako kvalifikovaný elektronický podpis vo všetkých ostatných členských štátoch.

Právne účinky elektronických pečatí

1. Právny účinok elektronickej pečate a jej prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť výlučne z dôvodu, že má elektronickú formu alebo že nespĺňa požiadavky pre kvalifikované elektronické pečate.
2. Pri kvalifikovanej elektronickej pečati platí domnienka integrity údajov a správnosti pôvodu tých údajov, s ktorými je kvalifikovaná elektronická pečať spojená.
3. Kvalifikovaná elektronická pečať založená na kvalifikovanom certifikáte vydanom v jednom členskom štáte sa uznáva ako kvalifikovaná elektronická pečať vo všetkých ostatných členských štátoch.

Podmienky pre vyhotovenie kvalifikovaného elektronického podpisu:

1. Podpisovateľ musí vlastniť súkromný kľúč, na ktorého párový verejný kľúč je vydaný platný kvalifikovaný certifikát.
2. Súkromný kľúč podpisovateľa musí byť uložený v certifikovanom zariadení pre vyhotovenie kvalifikovaného elektronického podpisu (QSCD, napr. čipová karta). Súkromný kľúč je v tomto zariadení priamo vyhotovený a nijako ho nie je možné z tohto zariadenia získať do externého prostredia. Tým je zabezpečené, že súkromný kľúč nie je možné kopírovať
   a zneužiť. Súkromný kľúč môže použiť iba ten podpisovateľ, ktorému bol vydaný kvalifikovaný certifikát a to po autentifikácii, ktorá neumožní nikomu inému než tomuto podpisovateľovi jeho použitie, napr. zadaním PIN na čítačke čipových kariet.
3. Orgán verejnej moci pri vyhotovovaní kvalifikovaného elektronického podpisu musí použiť aplikácie spĺňajúce nariadenie (EÚ) č. 910/2014, čo si overí napr. prostredníctvom deklarácie výrobcu aplikácie. Napr. nevyplnený formulár, ktorý vyplní dodávateľ aplikácie a jeho korektnosť preverí organizácia, ktorá aplikáciu certifikovala, napr. NBÚ, čo sa deklaruje podpisom alebo pečaťou vyplneného formulára.

Podmienky pre vyhotovenie kvalifikovanej elektronickej pečate sú primerané podmienkam pre vyhotovenie kvalifikovaného elektronického podpisu, pričom vyhotovovateľ pečate je právnická osoba.

Časová pečiatka

• Elektronická časová pečiatka podľa nariadenia (EÚ) č. 910/2014 sú údaje v elektronickej forme, ktoré viažu iné údaje v elektronickej forme s konkrétnym časom, čím tvoria dôkaz o existencii týchto iných údajov v danom čase.

• Kvalifikovaná elektronická časová pečiatka  je elektronická časová pečiatka, ktorá spĺňa požiadavky stanovené  v článku 42 nariadenia (EÚ) č. 910/2014.

• Elektronický dokument  je akýkoľvek obsah uložený v elektronickej forme, najmä text alebo zvukový, obrazový či audiovizuálny záznam.
  

Právny účinok elektronických časových pečiatok

1. Právny účinok elektronickej časovej pečiatky a jej prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť výlučne z dôvodu, že má elektronickú formu alebo nespĺňa požiadavky kvalifikovanej elektronickej časovej pečiatky.
2. Pri kvalifikovanej elektronickej časovej pečiatke platí domnienka správnosti dátumu a času, ktorý uvádza, a integrity údajov, s ktorými je dátum a čas spojený.
3. Kvalifikovaná elektronická časová pečiatka vydaná v jednom členskom štáte sa uznáva ako kvalifikovaná elektronická časová pečiatka vo všetkých členských štátoch.

Validovanie kvalifikovaných certifikátov a zahraničných kvalifikovaných certifikátov

Každá členská krajina EÚ zverejnila národný zoznam poskytovateľov dôveryhodných služieb
a kvalifikovaných poskytovateľov dôveryhodných služieb, ako napr. vydavateľa kvalifikovaného certifikátu, ktorý je uvedený v zozname Trusted List (TL). Validácia kvalifikovaných certifikátov
(aj kvalifikovaných certifikátov vydaných zahraničnými vydavateľmi) sa realizuje v EÚ jednotne, a to na základe stavu kvalifikovaného certifikátu v CRL alebo OCSP odpovedi a stavu vydavateľa tohto kvalifikovaného certifikátu, ktorý musí byť ako kvalifikovaný poskytovateľ dôveryhodných služieb uvedený v dôveryhodnom zozname v čase vydania kvalifikovaného certifikátu a v čase vydania CRL a OCSP odpovede.

Validácia certifikátu kvalifikovanej elektronickej časovej pečiatky, validácia vydavateľa kvalifikovaného certifikátu alebo validácia potvrdenia o stave platností alebo zrušenia platnosti kvalifikovaného certifikátu (OCSP) sa musí vykonať prostredníctvom dôveryhodné zoznamu, v ktorom je tento certifikát uvedený a je tam uvedený aj jeho stav platnosti v danom čase.

Podrobnejšie informácie o štandardoch nájdete na webovom sídle Národného bezpečnostného úradu, kde sú zároveň uvedené všetky potrebné vzory a formuláre, vrátane informácií
o správnych poplatkoch.