Státní zástupci v něm předkládají úvahu, dle níž je tzv. digitální certifikát EU COVID veřejnou listinou, a to s implikací, že vytvoření či použití certifikátů nepravdivě osvědčujících provedené očkování, test či prodělání nemoci může naplnit skutkovou podstatu trestného činu padělání a pozměnění veřejné listiny.[1]
Úvodem je třeba zodpovědět otázku, co digitální certifikát EU COVID vlastně představuje a v jakých případech, resp. zda vůbec, se může nacházet v dispozici jeho držitele (či jiné osoby). Právní základ, který vymezuje rámec pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, o testu a o zotavení v souvislosti s onemocněním covid-19 za účelem usnadnění volného pohybu během pandemie covid-19, je založen stejnojmenným Nařízením Evropského parlamentu a Rady (EU) 2021/953 ze dne 14. června 2021[2].
Dle v něm obsažené definice se „digitálním certifikátem EU COVID“ rozumí interoperabilní certifikáty obsahující informace o očkování, výsledku testu nebo zotavení držitele vydané v souvislosti s pandemií covid-19, které lze tedy chápat jako jeho jednotlivé druhy. Onou interoperabilitou má být schopnost ověřovacích systémů v členském státě používat údaje zakódované jiným členským státem.
Klíčovým je přitom druhý odstavec třetího článku tohoto nařízení, dle něhož členské státy, nebo určené subjekty jednající jménem členských států, vydávají digitální certifikáty EU COVID v digitálním nebo tištěném formátu nebo v obou formátech, které musí obsahovat interoperabilní čárový kód umožňující ověření jejich pravosti, platnosti a integrity (tj. QR kód).
Pozornější čtenář již patrně postřehl zdánlivou disonanci spočívající v tom, že digitální certifikát EU COVID může být dle uvedeného vydán jak v digitálním, tak v tištěném[3] formátu. Důvodem je poněkud nešťastné použití onoho výrazu digitální (v prvním případě), kterým evropský zákonodárce patrně zamýšlel vystihnout skutečnost, že je certifikát představován nehmotným souborem (elektronických) dat. Tato jeho vlastnost je nicméně stěžejní pro tuzemskou dimenzi trestněprávní (resp. jeho povahu veřejné listiny), k čemuž se dostaneme vzápětí.
Držitel certifikátu (tj. osoba, jíž byl vydán) jej může obdržet od příslušného vydavatele, resp. prostřednictvím systému, který takový vydavatel provozuje, buď inkorporovaný ve hmotném nosiči (tedy v „tištěném formátu“), či mu je zpřístupněn elektronicky v podobě digitální. V případě certifikátů vydaných Ministerstvem zdravotnictví České republiky se tak děje prostřednictvím portálu ocko.uzis.cz a aplikace „Tečka“, kde je obsah certifikátu zobrazen a kde je umožněno vygenerování pdf souboru, který obsahuje údaje z certifikátu v podobě odpovídající jednotnému evropskému vzoru (vč. QR kódu).
Určité otázky mohou vzniknout nad tím, zda je třeba za certifikát považovat pdf soubor generovaný portálem ÚZIS dle jednotného vzoru jako celek, tedy nikoliv jen QR kód v něm obsažený. Byť je nařízení v tomto ohledu ve svých obecných ustanoveních poněkud nekonzistentní, v případě jednotlivých druhů certifikátů jednoznačně stanoví, že mají být vydávány v zabezpečeném a interoperabilním formátu[4], což pdf soubor sám o sobě nesplňuje. Pro úplnost – jakkoliv je to vcelku evidentní, tento soubor není ani tištěným formátem certifikátu ve smyslu nařízení (resp. se jím svým vytištěním nestane).
Datová struktura, mechanismy kódování a další specifikace QR kódů, společně s některými dalšími technickými aspekty certifikátů, jsou stanoveny Prováděcím rozhodnutím Komise[5] vydaným v návaznosti na nařízení. Zjednodušeně řečeno, certifikát je součástí informačního obsahu QR kódu (společně s dalšími daty), který je vydavatelem elektronicky podepsán (na bázi soukromého a veřejného klíče, jak je standardní např. v případě elektronických dokumentů vznikajících prostřednictvím autorizované konverze), přičemž integrita QR kódu, tedy autenticita jeho obsahu, je „při kontrole“ ověřována prostřednictvím validace platnosti elektronického podpisu, resp. pečeti[6]. Jinými slovy, samotný certifikát obsažený v QR kódu v praxi autentizován není.
Podstatné je, že držitel certifikátu předmětný soubor dat, který digitální certifikát v souladu s definicí dle nařízení představuje, jako takový nikdy přímo neobdrží. Dostane se mu jej toliko jako součásti QR kódu, kde je však zašifrován společně s jinými daty.
Veřejná listina
Nyní si stručně přibližme druhou stěžejní dimenzi věci, tedy co trestní zákoník pojmem „veřejná listina“ vlastně rozumí. Dle jeho § 131 je veřejnou listinou listina vydaná soudem České republiky, jiným orgánem veřejné moci nebo jiným subjektem k tomu pověřeným či zmocněným jiným právním předpisem v mezích jeho pravomoci, potvrzující, že jde o nařízení nebo prohlášení orgánu nebo jiného subjektu, který listinu vydal, anebo osvědčující některou právně významnou skutečnost. Veřejnou listinou je i listina, kterou prohlašuje za veřejnou jiný právní předpis.
Odpověď na otázku, zda digitální certifikáty EU COVID tuto definici naplňují, však ve skutečnosti – oproti lapidárnímu konstatování státních zástupců – rozhodně není přímočará (nařízení ani žádný jiný právní předpis certifikát za veřejnou listinu neprohlašuje). Jak z citovaného ustanovení plyne, trestní zákoník vyžaduje současné (kumulativní) splnění tří základních znaků:
– jde o listinu vydanou k tomu oprávněným orgánem nebo jiným oprávněným subjektem,
– jde o listinu vydanou v mezích pravomoci tohoto subjektu, a
– jde o listinu, která má stanovený obsah.[7]
Jediným vydavatelem certifikátů EU COVID v České republice je Ministerstvo zdravotnictví. S ohledem na již zmiňovaný druhý odstavec třetího článku nařízení, který stanoví, že certifikáty vydávají „členské státy nebo určené subjekty jednající jménem členských států“, je první podmínka patrně splněna.
Poněkud méně jednoznačné je však naplnění podmínky druhé, jelikož není právního předpisu, který by takovou pravomoc Ministerstvu zdravotnictví explicitně přiznal. Na tomto místě se sluší připomenout, že jakkoliv faktická situace působí poslední již takřka dva roky dojmem, že český právní řád nic na způsob zásady enumerativnosti veřejnoprávních pretenzí nezná, zakotvuje stále Ústava ve svém čl. 2 odst. 3 (společně s čl. 2 odst. 2 LZPS) alespoň formálně pravidlo, že státní moc lze uplatňovat jen v případech, v mezích a způsoby, které stanoví zákon.
Entity, které jsou orgány veřejné moci, samozřejmě mohou podnikat řadu aktivit, aniž by se jednalo o výkon jejich pravomoci (ve smyslu výkonu veřejné moci). V souvislosti s vystavováním osvědčení ohledně provedeného očkování přitom zná právní řád prozatím pouze očkovací průkaz, přičemž k provádění zápisů do něj je oprávněn toliko poskytovatel zdravotních služeb, který takové očkování provedl[8]. Je proto otázkou, zda je možné při absenci prováděcího předpisu, který by pravomoc k vydávání certifikátů Ministerstvu zdravotnictví výslovně svěřil, považovat za dostatečný právní základ v tomto směru toliko citované ustanovení nařízení (dle autora toho článku nikoliv).
Pokračování článku naleznete zde.
Článek byl publikován v Advokátním deníku.
[1] Stanovisko NSZ: Padělání COVID certifikátů může být trestným činem, 10. 11. 2021, dostupné z https://verejnazaloba.cz/nsz/stanovisko-nsz-padelani-covid-certifikatu-muze-byt-trestnym-cinem/
[2] Dostupné z https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32021R0953
[3] Ostatní jazykové verze používají výraz „papírový“ (EN: paper-based, SK: papierový, DE: papiergestützt)
[4] Čl. 5 odst. 3, čl. ž odst. 3, čl. 7 odst. 3
[5] Prováděcí rozhodnutí Komise (EU) 2021/1073 ze dne 28. června 2021, kterým se stanoví technické specifikace a pravidla k provedení rámce pro důvěryhodnost pro digitální certifikát EU COVID stanoveného nařízením Evropského parlamentu a Rady (EU) 2021/953.
[6] Šestý recitál prováděcího rozhodnutí popisuje praktický postup následovně:
„S cílem zajistit systém interoperability v celé EU proto Komise vybudovala centrální systém – bránu pro digitální certifikát EU COVID (dále jen „brána“), která uchovává veřejné klíče používané pro ověřování. Při naskenování QR kódu certifikátu se digitální podpis ověří pomocí příslušného veřejného klíče, který byl předtím uložen v této centrální bráně. K zajištění integrity a pravosti dat lze použít digitální podpisy. Infrastruktury veřejných klíčů vytvářejí důvěru tím, že zajišťují vazbu veřejných klíčů na vydavatele certifikátů. V bráně se pro zajištění pravosti používá více certifikátů veřejných klíčů. V zájmu zajištění bezpečné výměny dat mezi členskými státy, pokud jde o veřejné klíče, a s cílem umožnit širokou interoperabilitu je nezbytné stanovit certifikáty veřejných klíčů, které je možné používat, a poskytnout informace o tom, jak se mají generovat.“
[7] FRYŠTÁK, Marek. § 131 [Veřejná listina]. In: ŠČERBA, Filip a kol. Trestní zákoník. 1. vydání. Praha: C. H. Beck, 2020, marg. č. 3.
[8] § 47 odst. 2 zákona č. 258/2000 Sb. o ochraně veřejného zdraví. K 1. 1. 2022 vstupuje v účinnost novela zákona č. 378/2007 Sb. o léčivech, která zavádí v § 81fa a § 81fb záznam o očkování jako součást systému eRecept. Ani tato úprava však nezakládá žádnou pravomoc Ministerstva zdravotnictví v souvislosti s vedením předmětných záznamů.
Diskuze k článku ()