Nezdržujte se detaily, ale hlídejte soulad s normami

„Na rozdíl od listinných dokumentů, kde se mohou o pravost podpisu spořit strany i soudní znalci, je dokument s elektronickým podpisem ze zákona pravý „nad veškerou pochybnost“.  To je právní princip, který působí ve prospěch těch, kdo přešli z listinných archivů na elektronické. Platí ale jen za určitých podmínek. Po nedávné novele zákona o elektronickém podpisu lze tyto podmínky jednoduše shrnout jako respektování norem ETSI,“ tvrdí v druhém díle tématicky zaměřeného seriálu portál pro finanční ředitele CFO World.

Jak připomíná, od poloviny letošního roku, kdy vstoupila v účinnost novela zákona  o elektronickém podpisu, je možné jasně určit, které formáty elektronického podpisu jsou správné a u kterých je záruka, že úřady budou dokumenty jimi opatřené akceptovat. Zákon je označuje jako tzv. referenční formáty  - článek vysvětluje, že se jedná o PAdES (podepisování PDF), XAdES (podepisování XML dat) a CAdES (podepisování libovolného formátu) definované normami ETSI.

Další část, kde se vysvětluje, jak je možné, že si dokument podrží věrohodnost původu a neporušitelnost obsahu po neomezeně dlouhou dobu, přinášíme v kompletním znění:

Ignorujte detaily, ale hlídejte soulad s normami

Tento výklad neznamená, že by se měl finanční ředitel zajímat o otázky šifrování či výpočtu kontrolního součtu elektronického podpisu. Měl by si však být jistý, že podpisy a časová razítka na dokumentech uložených ve firemním archivu odpovídají PAdES, CAdES nebo XAdES. To je něco, co není možné nechat na IT expertech ani na dodavatelích ujišťujících, že „je to určitě v pořádku“. Nikdo se nechce dostat do situace, že by se až při finanční kontrole ukázalo, že archiv účetních dokladů může být snadno zpochybněn.

Tam, kde dokumenty potřebujeme předložit úřadům, můžeme zase narazit na problém, jestli budou potvrzení o pravosti vydaná naším vlastním systémem akceptována.

Na závěr této části se ještě dotkneme „druhé možnosti“. V některých organizacích se totiž můžeme setkat s archivačními systémy, které hodnověrnost dokumentů odvozují od toho, že hardwarové nebo softwarové zařízení brání provádět v uložených dokumentech změny a vytváří záznamy o tom, kdy byl který dokument uložen. Z technologického hlediska je takové řešení zcela v pořádku. Z finančního, právního a praktického hlediska se ovšem rýsuje problém.

Nezáleží na tom, kde dokument leží, ale jaký je

„Pokud bychom chtěli dokumenty používat jen interně, vlastně bychom takové komplikované řešení ani nepotřebovali. Stačilo by ukládat dokumenty na sdílený disk a požádat IT, aby je znemožnilo mazat a provádět změny,“ říká výkonný ředitel Software602 Jan Petr, který je ve firmě odpovědný i za finanční řízení a schvalovací procesy. „A tam, kde dokumenty potřebujeme předložit úřadům, můžeme zase narazit na problém, jestli budou potvrzení o pravosti vydaná naším vlastním systémem akceptována. Kromě toho by to pro nás znamenalo, že se stáváme závislými na jediném systému, a s případnou výměnou či změnou přijdeme o veškeré doklady.“

V zásadě stejný problém existuje i tam, kde o dokumenty pečuje nějaké nezávislé centrum. I kdyby jej dnes úřady respektovaly, budou jej respektovat ještě za dvacet let? A bude takové centrum ještě vůbec existovat?

„Podstatné není, kde je dokument uložen, ale v jakém je stavu,“ shrnuje to Martin Vondrouš. „Je kontrolní součet neporušený? Jedná se vůbec o PAdESový podpis? To jsou důležité otázky. Určitě bych nikomu nedoporučoval, by se spoléhal na logy nebo jiné záznamy informačního systému.“

Důvěřujte dokumentům, prověřujte formáty

Poučení lze podle CFO Worldu shrnout takto:

  1. Od poloviny letošního roku je možné plně spoléhat na právní účinnost čistě elektronických dokumentů.
  2. Je zapotřebí kontrolovat, zda se jedná o správné verze referenčních formátů.

Související odkazy: