Elektronická archivace

Ilustrační foto

Ilustrační foto

Elektronické originály dokumentů představují rovnocennou náhradu listin, kterou je možné archivovat po neomezeně dlouhou dobu. Jak však s nimi správně nakládat?

Základem právní úpravy nakládání s elektronickými originály dokumentů, včetně elektronické fakturace, jsou tři jejich vlastnosti, které musejí být zajištěny: neporušitelnost, věrohodnost a čitelnost.

Problematika využívání a nakládání s dokumenty v elektronické formě a jejich dlouhodobá archivace není pouze otázkou dostupných technologií, ale také platné právní úpravy. Překážky běžného užívání moderních způsobů nakládání s elektronickými dokumenty jsou v praxi spíše psychologického rázu. Společnosti obvykle projevují obavy v případě dlouhodobé elektronické archivace, protože se domnívají, že elektronicky archivované dokumenty nebudou mít dostatečnou důkazní sílu v jednání se správními orgány nebo v případných soudních sporech.

Tyto obavy nejsou namístě, pokud je splňována platná právní úprava a užívány technologické standardy a trendy. Platné právo většinou za informačními a telekomunikačními technologiemi pokulhává, přestože by mělo být technologicky neutrální. Při výběru a implementaci ICT systémů pro důvěryhodnou archivaci je vhodné si nechat poradit od odborníků, kteří mají přehled o standardech a současném vývoji moderních technologií i právní úpravě. Důležitými prvky všech IT systémů je jejich bezpečnost a spolehlivost. Pokud chceme elektronická data ochránit před zneužitím a zachovat je v platnosti a účinnosti po stanovenou dobu, je třeba respektovat současné trendy a vývoj v ICT v technologiích. Cílem bezpečnosti a spolehlivosti je důvěrnost (ochrana před neautorizovaným přístupem), integrita (ochrana před zničením a změnou) a dostupnost elektronických dat (zachování čitelnosti, ale i spolehlivost funkčnosti ICT systémů).

Právní úprava regulace elektronizace právních úkonů a nakládání s elektronickými originály dokumentů je v právním řádu České republiky nesystematická a roztříštěná. Novela zákona o archivnictví a spisové službě č. 167/2012 Sb., která je účinná od července roku 2012, poprvé jasně zakotvila podmínky uchovávání dokumentů v digitální podobě. Z této a další české právní úpravy a z některých dokumentů Evropské unie můžeme odvodit základní vlastnosti, které každý elektronický originál dokumentu musí mít: a) zachovanou neporušitelnost obsahu; b) zajištěnu věrohodnost původu; c) čitelnost.

Zaručený elektronický podpis, tak jak je definován zákonem o elektronickém podpisu, nám umožňuje kromě identifikace podepisovatele (určení věrohodnosti původu dokumentu) zjistit, zda v mezidobí s obsahem dokumentu někdo manipuloval. Elektronický podpis je založený na zašifrování dokumentu, které vychází z jeho textu. Vzhledem k tomu, že se technologie neustále vyvíjejí, je třeba soustavně sledovat, zda šifrovací algoritmus je stále bezpečný. Informace o narušení bezpečnosti šifrovacích algoritmů je možné získat na webových stránkách Národního bezpečnostního úřadu www.nbu.cz.

Platí jednotný podpis

Novela zákona o archivnictví a spisové službě také nepřímo novelizovala zákon o elektronickém podpisu. Příjemnou novinkou, kterou přinesla, je stanovení užívání jednotného typu elektronického podpisu pro komunikaci mezi veřejným a soukromým sektorem. Tímto podpisem je uznávaný elektronický podpis, kterým je zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb.

Zaručené elektronické podpisy, které mají platnost po dobu jednoho roku, vydávají certifikační autority. V Česku jsou to tři subjekty - První certifikační autorita, a. s., Česká pošta, s. p., a eIdentity, a. s. Tyto autority také vydávají časová razítka, tzv. kvalifikovaná časová razítka, která lze pak zakoupit a pořídit i u jiných společností. Platnost časových razítek je vázána na platnost elektronické značky certifikační autority, která bývá tři roky. Časová razítka jsou pro nakládání s elektronickými originály dokumentů důležitá. Umožňují prokázat existenci dokumentu v čase a okamžik, kdy byl dokument podepsán elektronickým podpisem. Tento fakt pak i zpětně dává možnost zjistit, zda v době připojení elektronického podpisu k dokumentu byl elektronický podpis platný a zda nebyla narušena integrita (obsah) dokumentu.

V praxi lze doporučit, aby doklad o platnosti elektronického podpisu byl archivován společně s elektronickým originálem dokumentu. K ověření platnosti elektronického podpisu nebo časového razítka slouží různá softwarová řešení na trhu. Nově se na poskytovatele těchto služeb vztahuje vyhláška o ověřování platnosti zaručeného elektronického podpisu č. 212/2012 Sb., která ale pouze upravuje proces ověřování, nikoli přístup k vyhodnocení výsledku ověření.

Novela zákona o archivnictví a spisové službě, mimo jiné, přinesla i novou formulaci právní domněnky pravosti elektronických dokumentů. Zákon stanoví, že pokud je dokument v digitální podobě podepsán uznávaným elektronickým podpisem, ke kterému je v okamžiku podpisu či za jeho platnosti připojeno kvalifikované časové razítko, považuje se takový dokument za pravý. I když je aplikace tohoto ustanovení na soukromý sektor v odborných kruzích předmětem diskuse, lze doporučit, aby i v soukromoprávním sektoru při jakémkoli uzavírání dvoustranných dohod nebo podepisování jednostranných právních úkonů byl vždy užíván uznávaný elektronický podpis a elektronický dokument byl opatřován kvalifikovaným časovým razítkem. Jinak se snižuje důkazní hodnota elektronického dokumentu. Je třeba upozornit, že aplikace této domněnky vnáší nerovnoprávnost k formě prokazování pravosti dokumentu. V případě, že má být prokázána pravost listinného originálu dokumentu, bude mít tuto povinnost v rámci dokazování vlastník dokumentu, nikoli protistrana, jako je tomu u elektronického originálu dokumentu.

Elektronické originály dokumentů přicházejí do společností například v datových schránkách. Pozor! V případě datových schránek jsou doručené dokumenty uvnitř schránky archivovány pouze po dobu 90 dní. Pokud společnost s originálem elektronického dokumentu řádně nenaloží, nekonvertuje ho do listinné podoby nebo v souladu s právními předpisy nearchivuje v elektronické podobě, o tyto elektronické originály po uplynutí 90 dnů přijde.

ArchivArchiv

Pokud společnost dostává elektronické originály dokumentů, měla by správně ověřit platnost elektronického podpisu, a pokud k dokumentu již nebylo připojeno kvalifikované časové razítko, tak ho k dokumentu připojit ještě před vypršením platnosti elektronického podpisu. Typickými příklady, kdy se rozhodně vyplatí ověřovat elektronické podpisy, jsou elektronické dokumenty vystavené státními orgány a jejich úředníky. Ti leckdy zapomenou, že platnost jejich elektronického podpisu vypršela, a nezbývá nic jiného než na to úředníka upozornit a vyžádat si vystavení nového a platného elektronického originálu dokumentu. Pozor na to, ne všechny úřady používají časová razítka. Proto je třeba, aby si adresát elektronicky doručený dokument časovým razítkem opatřil sám.

Notáři, advokáti a czech pointy

Získala-li společnost elektronický dokument na základě autorizované konverze převodem z listinné formy do elektronické, dokument svou hodnotou nebude originálem, ale opisem se stejnými právními účinky jako originál. Autorizovanou konverzi mohou provádět orgány pověřené legalizací ze zákona, tzn. notáři, kontaktní místa veřejné správy (Czech Pointy) a advokáti.

Pokud chce společnost uchovávat elektronické originály dokumentů po neomezenou dobu, musí výše zmíněné vlastnosti dokumentu zachovat průběžně, po celou archivační dobu. Archivační doba se u jednotlivých typů dokumentů liší a může být, mimo jiné, dána jejich účelem. Pokud už uběhla zákonná archivační doba účetního dokladu, neznamená to, že nemůže existovat jiný důvod, pro který si prozatím příslušný dokument ponechat. Například existence nebo možnost budoucího právního sporu. Z těchto důvodů je vhodné si ve společnosti stanovit vnitřní procesy a podmínit likvidaci dokumentu kromě souhlasu právního oddělení i souhlasem dalších zainteresovaných oddělení společnosti.

Do elektronického archivu by měly být ukládány pouze pravé a platné originály elektronických dokumentů. To znamená, že elektronický dokument by měl projít ověřením ještě před uložením do archivu. Pokud již ověřen byl – to znamená, že elektronický podpis je platný, integrita nebyla narušena a časové razítko bylo připojeno, je třeba časové razítko udržovat neustále v platnosti. To při archivaci elektronických dokumentů v delším časovém horizontu v praxi vede k řetězení časových razítek. Jednoduše řečeno, před vypršením platnosti časového razítka je připojeno nové platné časové razítko. To bude třeba zajistit i dříve v případě, že použitý šifrovací algoritmus již není považován za bezpečný. Snížení bezpečnosti šifrovacího algoritmu umožňuje nezjistitelnou manipulaci s elektronickým dokumentem, vytvoření tzv. kolizního dokumentu, který by mohl být podstrčen jako originál.

A jak je to se zachováním čitelnosti? Software, ale i hardware se rychlým tempem vyvíjejí. Jednou z metod pro zachování čitelnosti je migrace, změna formátu dokumentu. Transformace může změnit strukturu dokumentu, například zvýšit počet stran. Přestože by neměla měnit jeho obsah, je nutné každou manipulaci s elektronickým dokumentem zdokumentovat logy dat, aby později bylo možné v případě potřeby řádné nakládání s elektronickým dokumentem prokázat. Proto některé zahraniční právní řády doporučují i přítomnost notáře při migraci formátů dokumentů. Analogicky by k tomuto závěru bylo možné dojít i regulací autorizované konverze dokumentů, kterou smí provádět pouze státem oprávněné osoby. Proto je při hromadné konverzi dokumentů nebo jejich migraci vhodná přítomnost nezávislé třetí strany, která osvědčí a potvrdí důvěryhodnost celého procesu.

V souvislosti s archivací elektronických originálů dokumentů se můžete setkat i s pojmem „metadata“. Ten je definovaný v zákoně o archivnictví a spisové službě jako data popisující souvislosti, obsah a strukturu dokumentů a jejich správu v průběhu času. Jsou to informace, které stojí v pozadí dokumentu a mimo jiné umožňují v archivu efektivním způsobem vyhledávat. Do této kategorie budou náležet i informace o ověření platnosti elektronického podpisu. Tvorbu a správu metadat zákon o archivnictví a spisové službě nyní nově vyžaduje v rámci definice uchovávání dokumentu v digitální podobě.

Míra zabezpečení je individuální

Společnosti obvykle služby dlouhodobé archivace elektronických dokumentů, které by zachovávaly jejich vlastnosti, „outsourcují“ u provozovatelů tzv. důvěryhodných archivů. Níže je uveden přehled základních charakteristik důvěryhodného archivu, na něž je vhodné myslet při uzavírání smlouvy s poskytovatelem archivní služby. Bohužel v současné době neexistuje žádná státem akreditovaná autorita, která by kvalitu nabízených služeb a jejich soulad s právními předpisy ověřovala a potvrzovala. Pokud to někteří poskytovatelé prohlašují, je to jejich marketingový tah a nemají pravdu.

Při volbě důvěryhodného systému archivace je důležité si uvědomit, že míra jeho zabezpečení bude záviset na mnoha aspektech, např. typu ukládaných dokumentů (obsahují-li důvěrná data, nebo nikoli) nebo na umístění archivu a jeho správě („in-house“ řešení nebo „cloudové“ řešení). Na parametrech archivu by se měla podílet veškerá oddělení společnosti, neboť jejich potřeby a požadavky se mohou značně lišit.

Podcenit by se neměl ani audit archivačního systému nezávislou třetí stranou. Ten pomůže kromě ohodnocení kvality bezpečnosti a spolehlivosti mimo jiné odhalit nepotřebné funkcionality, které budete draze platit, a přitom nezískáte řešení, které je pro vaši společnost vhodné.