Vícenásobný podpis (multi‑signature) v digitálních službách a ISVS

Tato stránka shrnuje, jak ve veřejné správě navrhovat a realizovat situace, kdy je potřeba „vícenásobný podpis“ – tedy prokazatelný projev vůle více osob k jednomu podání nebo dokumentu. Cílem není vynutit vždy kvalifikované podpisy do PDF, ale zvolit variantu, která je přiměřená právnímu účelu, použitelná pro uživatele, ekonomická a dlouhodobě udržitelná. V praxi se často ukazuje, že největším problémem není technologie, ale špatné zadání: úřad chce replikovat papírový proces bez toho, aby si ujasnil, co přesně má být právně prokázáno a jak se to dá udělat v digitálu.

Vícenásobný podpis je řešení pro situace, kdy je třeba doložit projev vůle více osob k jednomu úkonu. V digitálním světě to není jen „připojit dva podpisy do souboru“, ale hlavně řízený proces: každá osoba musí být identifikovaná, musí být zřejmé, co přesně schválila, kdy se tak stalo a jak lze celý proces zpětně doložit ve spisu. Prakticky jde o kombinaci identity, integrity obsahu a auditní stopy – a teprve podle potřeby o konkrétní typ elektronického podpisu či pečeti.

Častá potíž je, že se „vícenásobný podpis“ plete s „vícenásobným doručením“ nebo s interním schvalováním což může vést k milné představě, že existuje jediné řešení: PDF + kvalifikované podpisy, i když to může být zbytečně složité pro uživatele a drahé pro úřad. Druhým typickým problémem je špatná procesní praxe: dokument se vytiskne, ručně podepíše, naskenuje a pošle datovou schránkou, čímž se degraduje kvalita i dokazování a vytváří se formální vady. Metodiky k elektronickému podepisování přitom dlouhodobě upozorňují na rozdíl mezi podpisem, pečetí, časovým razítkem a na nutnost zachovat integritu elektronického dokumentu v průběhu procesu.

Vícenásobný podpis se objevuje například u společných podání více osob, u jednání za právnické osoby, kde je dle způsobu jednání potřeba více jednajících osob, nebo u situací, kdy se kombinuje podání a zastoupení (plná moc). Důležité je vždy rozlišit, zda jde o digitální úkon vůči orgánu veřejné moci (typicky formulář/portál), nebo o dokument, který má mít účinky i mimo ISVS (například pro třetí strany). Zákon č. 12/2020 Sb., o právu na digitální služby (ZoPDS) zavádí rámec digitálních úkonů a služeb a tím podporuje transakční způsob podání, který se často lépe páruje s víceosobní autorizací než „skládání podpisů do PDF“.

U „podání“ je klíčové prokázat, kdo a kdy učinil vůči OVM digitální úkon a jaký byl jeho obsah. U „dokumentu“ je naopak klíčové, aby samotný soubor (např. PDF) nesl podpisy/pečetě ověřitelné i mimo konkrétní portál. Pokud architekt toto rozlišení neudělá, vzniká zbytečně přísný požadavek na podpisování všeho kvalifikovaným podpisem, což vede k nízké použitelnosti služby a k obcházení digitální cesty. Řešením je volit variantu podle právního účelu a cílového použití výsledku.

Je rozdíl, zda právní předpis výslovně vyžaduje kvalifikovaný elektronický podpis, nebo zda jen prokázat totožnost a projev vůle v rámci digitálního úkonu. ZoPDS definuje digitální úkon a povinnost orgánů veřejné moci digitální úkony přijímat, což dává prostor navrhovat proces „autorizace úkonu“ (včetně více osob) bez nutnosti vytvářet uživatelem služby podepsaný PDF dokument. Kvalifikovaný podpis má své místo, ale nemá být vynucený.

Pokud je digitální služba realizována jako elektronický formulář (typicky portálový scénář) a služba je postavena v souladu se ZoPDS – tedy je evidována jako digitální služba/úkon a umožňuje uživateli prokázat totožnost a učinit digitální úkon – je doporučeným přístupem OHA využít fikci podpisu podle § 8 zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ZoISVS). Praktický význam fikce podpisu je, že projev vůle uživatele je pro účely podání „považován za podepsaný“, pokud byl úkon proveden v režimu, který splňuje zákonné podmínky (zejména spolehlivá identifikace pomocí NIA a průkazný záznam o úkonu). To umožňuje odstranit bariéru kvalifikovaných podpisů pro běžné úkony a zároveň zachovat právní jistotu díky využití garantovaných prostředků elektronické identifikace a opatření podání (výstupu formuláře) službami vytvářející důvěru od provozovatele portálu.

Pro vícenásobný podpis je to zásadní: každá osoba se může nezávisle přihlásit prostředkem elektronické identifikace (NIA/Identita občana) a autorizovat tentýž úkon. NIA je určená k bezpečnému a zaručenému ověření totožnosti uživatele online služeb veřejné správy, a portálové přihlášení je běžný stavební blok pro to, aby úřad věděl, kdo úkon provedl. Ve výsledku tak „podepsání fikcí“ není grafický podpis do souboru, ale kombinace:

• a) ověřené identity,
• b) nezpochybnitelné vazby na obsah podání a
• c) evidovaného projevu vůle v čase.

Aby fikce podpisu obstála, musí mít implementace minimálně tyto vlastnosti:

• Vazba podpisu na obsah: systém musí umět doložit, co přesně podepisující schválil (např. otisk formulářových dat a příloh, identifikátor verze obsahu, opatření službami vytvářející důvěru poskytovatelem služby).
• Auditní stopa: kdo podepsal, kdy, jakým prostředkem eID, v jakém kontextu služby, včetně referencí na transakci.
• Stavový automat: podání musí být řízené jako transakce (vytvořeno → čeká na podpisy → uzavřeno/odesláno → zaevidováno), aby bylo jasné, kdy už obsah nesmí být změněn.
• Asynchronní podpis: spolupodepisující mohou podepsat nezávisle na sobě (v různý čas), přičemž systém chrání obsah proti změně mezi podpisy nebo změnu vynutí jako novou verzi.
• Napojení na spisovou službu: celý obsah podání musí být zanesen do spisové služby jako součást spisu a zaveden transakčním protokolu.

Tento přístup je vhodný všude tam, kde cílem je prokázané podání vůči OVM v režimu digitální služby dle ZoPDS, nikoli vytvoření náhrady na legislativně specifická podání vynucující některé prvky jako např. úředně ověřený podpis.

U dokumentů, které jsou výstupem orgánu veřejné moci (rozhodnutí, osvědčení, potvrzení), je nutné použít kvalifikovanou elektronickou pečeť (a časové razítko). Smyslem je prokázat autenticitu a integritu výstupu „za úřad“ a umožnit adresátovi ověřit, že dokument skutečně pochází z daného OVM a nebyl změněn. Stejný přístup je nutné aplikovat i u fikce podpisu. Při uplatnění fikce podpisu použije úřad v roli poskytovatele služby kvalifikovanou elektronickou pečeť a časové razítko k ubezpečení, že daný výstup byl uživatelem podepsán fikcí a ručí za tuto skutečnost. Příklad můžete najít v metodickém pokynu na přenos podání.

Je-li potřeba umožnit vícenásobný podpis bez toho, aby se lidé museli sejít u jednoho zařízení, je vhodné navrhnout podání jako vícekrokovou transakci. Iniciátor vytvoří podání, systém jej uzamkne do verze a vyzve spolupodepisující (např. notifikací nebo sdíleným odkazem). Zde je nutné zabezpečeit, že iniciující podepisující uvede dostatečné údaje o dalších podepisujících tak, aby bylo následně možné je spárovat při jejich přihlášení. Neboli nelze uvést jako dalšího podepisujícího "Karla Nováka", protože není následně možné zajistit, že přihlášený Karel Novák je ten, kterého původní iniciátor myslel. Systém tedy musí donutit zadat takové údaje, které identifikují konkrétní a právě jednu osobu v registru obyvatel nebo registru osob. Toto ověření může provádět ve svém agendovém informačním systému volání služeb ISZR nebo případně s využitím ověřovacího portálu https://overeni.identita.gov.cz/.

Každý spolupodepisující se přihlásí přes NIA a provede autorizaci úkonu; systém zapisuje podpisové události do protokolu. Po dosažení kvóra (např. „podepsali všichni“ nebo „podepsali dva jednatelé“) se transakce uzavře a odešle do spisové služby nebo vyřizujícímu úřadu například pomocí přenosu podání.

ISDS je primárně důvěryhodný doručovací kanál a základní stavební prvek elektronické komunikace veřejné správy. Není jej ale možné použít jako náhradu vícenásobného podpisu, protože typicky prokazuje doručení/odeslání z datové schránky, nikoliv automaticky projev vůle více osob. Zvlášť problematická je praxe „cizí datové schránky“, kdy podání odešle jiný subjekt; bez doplnění uznávaným/kvalifikovaným podpisem pak může vznikat formální vada a nutnost doplnění. Proto je ISDS vhodné chápat jako kanál a kombinovat jej s jasně definovanou autorizací (podpisem nebo fikcí podpisu) podle toho, co daný proces vyžaduje.

Architekt by měl u každého požadavku na „vícenásobný podpis“ vyžádat odpovědi na tři otázky:

• (1) co je právně nutné prokázat,
• (2) zda jde o digitální úkon v režimu ZoPDS, nebo specifický agendový úkon, a
• (3) kdo je příjemcem důkazu (OVM v rámci své působnosti, nebo třetí strana).

Pokud jde o digitální úkon přes elektronický formulář, preferovanou variantou je fikce podpisu podle ZoISVS v kombinaci s NIA identitou a prostředky zaručující projev vůle dle ZoPDS. Vždy musí vzniknout univerzálně přenositelný dokument, obsahují buď podpisy žadatelů nebo pečetě a razítka OVM.

Bez ohledu na variantu řešení musí návrh splnit minimálně:

• průkaznou identifikaci podepisujících,
• vazbu na konkrétní obsah,
• auditní stopu a
• schopnost rekonstrukce v čase.

U vícenásobného podpisu navíc přibývá potřeba řídit pořadí a uzavření transakce, protože nejčastější chybou je změna obsahu mezi jednotlivými podpisy. Pokud systém neumí doložit, že všichni podepsali tentýž obsah, celý účel „vícenásobného podpisu“ se rozpadá. Proto je stavový automat a verzování obsahu povinný architektonický prvek.

Dobrá praxe začíná tím, že úřad i dodavatel přijmou, že digitál není papír. Pokud je cílem prokázat digitální úkon, je vhodné využít elektronický formulář, přihlášení přes NIA a fikci podpisu a služby vytvářející důvěru ze strany OVM; tím se zásadně zlepší použitelnost a dostupnost služby. Dobrá praxe také striktně odděluje autorizaci na vstupu (kdo úkon provedl) a autenticitu výstupu úřadu (pečeť/razítko úřadu). A konečně dobrá praxe zahrnuje jasné verzování obsahu a jednotné ukládání důkazů do spisové služby, aby bylo možné i po letech doložit, kdo, co a kdy autorizoval.

Nejčastější anti‑pattern je „tisk–podpis–sken–odeslání“, který degraduje elektronické dokumenty a často vede k formálním problémům; obdobně špatné je „podepsání obálky místo dokumentu“ nebo zaměňování pečeti a časového razítka. Další anti‑pattern je, když dodavatel vnucuje kvalifikované podpisy jako jedinou možnost bez analýzy, zda jde o digitální úkon (kde by byla vhodná fikce podpisu). A velmi častým problémem je přeceňování datové schránky jako univerzálního podpisu: ISDS řeší doručení, ale u „cizí datovky“ bez podpisu se mohou objevovat vady a výzvy k doplnění, což uživatele demotivuje od digitální cesty.