TMD vs TMK : rozdiely v práve a praxi

Úvod : prečo rozlišovať TMD a TMK ?

V ekosystéme európskej digitálnej dôvery sú pojmy Trustmark Údajov (TMD) a Trustmark Kľúčov (TMK) — označujúce resp. mechanizmy označovania dôvery pre elektronické údaje a pre infraštruktúru kryptografických kľúčov — často zdrojom zmätku u právnych pracovníkov a IT manažérov. Ich právne režimy, technické dosahu a praktické dôsledky sú však zásadne odlišné. Tento článok vysvetľuje oba mechanizmy, predstavuje ich príslušné regulačné rámce a sprievodca organizáciami B2B pri výbere najvhodnejšieho riešenia pre ich dokumentárne toky.

---

Čo je TMD (Trustmark Údajov) ?

TMD, alebo mechanizmus označovania dôvery aplikovaný na údaje, označuje súbor postupov a kryptografických atribútov umožňujúcich certifikovať integritu a autentickosť súboru údajov alebo elektronického dokumentu. Opiera sa najmä o mechanizmy kvalifikovanej elektronickej pečate (qualified electronic seal) v zmysle nariadenia eIDAS.

Technické základy TMD

Z technického hľadiska je TMD založené na :

• Hašovacej funkcii (SHA-256, SHA-3) aplikovanej na zdrojové údaje, generujúcej jedinečný digitálny odtlak ;

• Digitálnom certifikáte vydanom Kvalifikovaným poskytovateľom služieb dôvery (QPSD), garantujúcom totožnosť vydávajúcej entity ;

• Kvalifikovanej elektronickej časovej pečati v súlade s normou ETSI EN 319 421, poskytujúcej spôsobilý dôkaz o čase.

Tieto tri prvky v kombinácii dávajú TMD vysokú dôkaznu hodnotu, porovnateľnú s auténtickým listom v mnohých členských štátoch EÚ. Podrobnejšie informácie o právnej hodnote dokumentov s časovou pečiatkóu nájdete v našom úplnom sprievodcovi elektronickým podpisom.

Privilegované oblasti aplikácie TMD

TMD je obzvlášť vhodné v kontextoch, kde organizácia musí certifikovať integritu veľkých objemov údajov bez potreby aktívneho zapojenia identifikovanej fyzickej osoby. Nachádza sa najmä v :

• Certifikácii účtovných a finančných tokov (auditné záznamy, súčtové bilancií) ;

• Právnej ochrane digitálnych dôkazov (archivovanie dôkazov v súlade s NF Z 42-013) ;

• Výmenách EDI medzi obchodnými partnermi v dodávateľských reťazcoch.

---

Čo je TMK (Trustmark Kľúčov) ?

TMK, alebo mechanizmus označovania dôvery zameraný na kryptografické kľúče, je zameraný iným spôsobom : necertifikuje samotné údaje, ale infraštruktúry verejného kľúča (PKI) a zariadenia na vytváranie podpisov používané podpisovateľmi. Je úzko spojený s pojmami Kvalifikované zariadenie na vytváranie podpisov (QSCD) definované v Prílohe II nariadenia eIDAS.

Kryptografická architektúra TMK

TMK zahŕňa :

• HSM modul (Hardware Security Module) certifikovaný CC EAL 4+ alebo FIPS 140-2 level 3, garantujúci, že súkromné kľúče nikdy neopustia bezpečné zariadenie ;

• Dokumentovanú politiku certifikácie (CPS – Certification Practice Statement) publikovanú QPSD ;

• Mechanizmy zrušenia v reálnom čase prostredníctvom OCSP (Online Certificate Status Protocol) alebo CRL (Certificate Revocation List).

Pevnosť TMK sa preto opiera o fyzickú a logickú bezpečnosť zariadení na generovanie a skladovanie kľúčov. Aby ste pochopili, ako sa tieto požiadavky spájajú s celkovým regulačným rámcom, náš sprievodca nariadením eIDAS 2.0 predstavuje základný zdroj informácií.

Privilegované oblasti aplikácie TMK

TMK je nevyhnutné v scenároch, kde musí byť právna zodpovednosť identifikovanej fyzickej osoby určite angažovaná :

• Podpisovanie zmlúv s vysokou právnou hodnotou (cesie podnikateľských fondov, obchodné nájmov, demateriálizované notárske listiny) ;

• Procesy silného overovania v portáloch medzi verejnou správou a podniky (colné API, platforma Chorus Pro) ;

• Schvaľovanie príkazov na platbu v finančných inštitúciách podľa DSP2.

---

Právna komparácia : TMD vs TMK

Najzákladnejší rozdiel medzi TMD a TMK spočíva v ich právnom ukotvení v rámci nariadenia eIDAS (č. 910/2014) a jeho nástupcu eIDAS 2.0 (nariadenie EÚ 2024/1183).

Režim zodpovednosti

| Kritérium | TMD | TMK | |---|---|---| | Zodpovedná entita | Právnická osoba (organizácia) | Identifikovaná fyzická alebo právnická osoba | | Úroveň dôvery | Pokročilá alebo kvalifikovaná (pečať) | Kvalifikovaná (kvalifikovaný elektronický podpis) | | Právna domnienka | Integritu údajov | Súhlas a totožnosť podpisovateľa | | Cezhraničný dosah | Automatické uznanie v EÚ | Automatické uznanie v EÚ (čl. 25 eIDAS) |

TMD zaväzuje zodpovednosť vydávajúcej entity : ak je integritu certifikovaných údajov narušená, musí za to odpovedať organizácia. TMK na druhej strane zaväzuje individuálnu zodpovednosť držateľa kľúča — čo z neho robí nepostrádateľný nástroj pre akýkoľvek čin, v ktorom sa musí preukázať individuálna vôľa bez neistoty.

Dôkazná sila pred francúzskymi súdmi

V francúzskom práve článok 1366 Občianskeho zákonníka stanoveného, že « elektronický dokument má rovnakú dôkaznu silu ako dokument na papierovom nosičí, pokiaľ sa dá riadne identifikovať osoba, od ktorej pochádza, a pokiaľ sa establishes a uchovávajú takovým spôsobom, aby sa zaručila jeho integritu ». Táto formulácia pokrýva oba mechanizmy, ale so značnými nuansami :

• Dokument chránený kvalifikovaným TMD má prospech z domnienky integrity, čo vracia dôkazné bremeno ;

• Dokument podpísaný kvalifikovaným TMK má prospech navyše z domnienky priraditeľnosti — podpisovateľ sám musí dokázať, že nepodpisal, čo je mimoriadne zložité.

Táto asymetria v dôkaznej sile vysvetľuje, prečo právnici a právnické kancelárie používajúce elektronický podpis dávajú prednosť TMK pre činy podľa zákona.

Interoperabilita a vzájomné uznanie

eIDAS 2.0 posilňuje interoperabilitu prostredníctvom európskych digitálnych identifikačných peňaženiek (EDIW), ktoré budú nativne integrovať mechanizmy TMK pre občanov a odborníkov. TMD sa spoliehajú viac na národné zoznamy dôvery (Trusted Lists) publikované každým členským štátom. Francúzsko publikuje svoj zoznam prostredníctvom ANSSI a všetci kvalifikovaní QPSD sú v ňom uvedení. Ak chcete porovnať konkrétne riešenia na trhu, náš prehľad riešení elektronického podpisu vám poskytnú praktické prvky pre rozhodovanie.

---

Praktické dôsledky pre podniky B2B

Výber medzi TMD a TMK podľa typu dokumentu

Zlaté pravidlo je jednoduché : úroveň právneho rizika dokumentu určuje mechanizmus, ktorý sa má nasadiť.

• Dokumenty s miernym rizikom (objednávky, ponuky, všeobecné obchodné podmienky, štandardné zmluvy o mlčanlivosti) : postačuje TMD s pokročilou pečaťou. Ponúka robustnú ochranu integrity bez nákladov spojených s kvalifikáciou QSCD.

• Dokumenty s vysokým rizikom (pracovné zmluvy, procurácie, cesie, finančné záväzky nad 50 000 €) : odporúčaný, ba často požadovaný kvalifikovaný TMK v určitých regulovaných sektoroch (bankách, poisťovňách, zdravotníctve).

Pre tímy HR, ktoré spravujú veľké objemy pracovných zmlúv, naše riešenie elektronického podpisu pre HR nativne integruje úroveň dôvery prispôsobenú každému typu dokumentu.

Náklady a lehoty nasadenia

TMD je všeobecne menej nákladné na nasadzovanie, pretože si nevyžaduje proces silného overovania identity (KYC/AML) pre každého podpisovateľa. Integrácia cez API v systéme správy dokumentov (GED) alebo ERP trvá v priemere 2 až 6 týždňov v závislosti od zložitosti IT prostredia.

TMK v dôsledku požiadaviek QSCD a procesu overenia identity spôsobuje lehotu pripravovania nového používateľa od 3 do 10 pracovných dní na podpisovateľa. Pre organizácie spravujúce veľa externých partnerov to môže predstavovať faktor trenia, ktorý je potrebné predpokladať pri manažmente zmien.

Archivovanie a uchovávanie

Bez ohľadu na zvolený mechanizmus musí každá organizácia podliehajúca francúzskemu právu dodržiavať zákonné lehoty uchovania : 10 rokov na komerčné zmluvy (článok L. 110-4 Obchodného zákonníka), 5 rokov na súvisiace osobné údaje (GDPR čl. 5). Systém archívovania dôkazov v súlade s normou NF Z 42-013 zaručuje, že právna hodnota TMD alebo TMK je zachovaná v čase, dokonca aj v prípade technologickej migrácie.

Právny rámec vzťahujúci sa na TMD a TMK

Nariadenie eIDAS a jeho evolúcia

Základný regulačný rámec mechanizmov TMD a TMK tvorí nariadenie (EÚ) č. 910/2014 Európskeho parlamentu a Rady z 23. júla 2014, nazývané nariadenie eIDAS. Tento zakladajúci text stanovuje hierarchiu úrovní dôvery (jednoduchá, pokročilá, kvalifikovaná) a definuje podmienky cezhraničného uznania služieb dôvery v rámci Európskej únie.

V roku 2024 nariadenie (EÚ) 2024/1183 (eIDAS 2.0) podstatne upravilo tento rámec, introducuje najmä :

• Európske digitálne identifikačné peňaženky (EDIW) povinné pre členské štáty do roku 2026 ;

• Nové kategórie služieb dôvery, vrátane kvalifikovaných elektronických osvedčení atribútov ;

• Zvýšené požiadavky na QPSD v oblasti kybernetickej bezpečnosti (zarovnanie s NIS2).

Občianský zákonník Francúzska : články 1366 a 1367

Podľa vnútroštátneho práva články 1366 a 1367 Občianskeho zákonníka (vychádzajúce z vyhlášky č. 2016-131 z 10. februára 2016) stanovujú podmienky dôkaznej hodnoty elektronického dokumentu. Článok 1367 presne povedá, že kvalifikovaný elektronický podpis (založený na kvalifikovanom TMK a QSCD) « vytvára jednoduchú domnienku spoľahlivosti ». Táto domnienka sa dá vyvrátiť, ale vracia dôkazné bremeno v prospech príjemcu podpisu.

Normy ETSI

Technické špecifikácie TMD a TMK sú normalizované ETSI (Európskym inštitútom pre telekomunikačné normy) :

• ETSI EN 319 132 : pokročilý elektronický podpis XAdES ;

• ETSI EN 319 122 : podpis CAdES ;

• ETSI EN 319 142 : podpis PAdES (PDF) ;

• ETSI EN 319 421 : politika kvalifikovanej elektronickej časovej pečati ;

• ETSI EN 319 401 : všeobecné požiadavky na QPSD.

GDPR a ochrana údajov

Nasadzovanie TMD a TMK znamená spracovávanie osobných údajov (totožnosť podpisovateľa, metadáta podpisu). Nariadenie (EÚ) 2016/679 (GDPR) vyžaduje :

• Explicitnú právnu bázu na spracovávanie (výkon zmluvy, čl. 6.1.b, alebo právna povinnosť, čl. 6.1.c) ;

• Register spracúvaní dokumentujúci toky údajov k QPSD ;

• Zmluvy prispôsobené, ak je QPSD usadený mimo EÚ alebo používa subdodávateľov mimo Európy.

Smernica NIS2 a kybernetická bezpečnosť infraštruktúry PKI

Smernica (EÚ) 2022/2555 (NIS2), transponovaná do francúzskeho práva zákonom z 17. apríla 2024, zavesuje kvalifikovaných QPSD zvýšeným povinnostiam v oblasti riadenia kybernetických rizík, hlásenia incidentov (lehota 24 hodín na počiatočné hlásenie ANSSI) a periodických auditov. Pre používajúce podniky sa to premieta do povinnosti zvýšenej starostlivosti pri výbere svojho poskytovateľa dôvery.

Konkrétne scenáre použitia

Scenár 1 : malá priemyselná spoločnosť spravujúca 300 zmlúv so dodávateľmi ročne

Malá priemyselná spoločnosť s približne stoma zamestnancami, špecializujúca sa na výrobu mechanických komponentov, spravuje ročne približne 300 zmlúv so dodávateľmi (nákupy surovín, služby údržby, logistické rámcové zmluvy). Doteraz tieto dokumenty prechádzali poštou alebo nezabezpečenou poštou, s priemernými lehotami na podpis 12 až 18 pracovných dní.

Nasadením kvalifikovaného TMD pre zmluvy s hodnotu nižšou ako 20 000 € a kvalifikovaného TMK pre záväzky vyššie alebo viackončitého, spoločnosť skrátila priemerné lehoty na podpis na 1,8 pracovného dňa, čo predstavuje skrátenie o viac ako 85 %. Spory súvisiace s spochybňovaním integrity dokumentov, ktoré predstavovali 2 až 3 spory ročne, za 18 mesiacov od nasadenia padnú na nulu — právna domnienka spojená s kvalifikovanými mechanizmami odrádzajúc pokusy o spochybňovanie.

Scenár 2 : nemocničný zväz s približne 600 lôžkami

Nemocničný zväz verejného sektora spravujúci niekoľko zariadení musí ročne podpísať niekoľko tisíc dokumentov : zmluvy s lekármi, protokoly klinických výskumov, dohovory s univerzitným a farmaceutickými partnermi. Sektor zdravotníctva ukladá špecifické regulačné požiadavky (HDS — Hosťovanie zdravotných údajov, PGSSI-S).

Zväz nasadí kvalifikovaný TMK na podpisy lekárov (angažujúc ich lekársku a právnu zodpovednosť) a pokročilý TMD na certifikáciu tokov údajov pacientov medzi zariadeniami. Kombinácia oboch mechanizmov umožňuje znížiť náklady na tlač, skenovanie a fyzické archivovanie o 45 000 € ročne a zároveň posilňuje súlad s GDPR a HDS. Audity súladu, ktoré doteraz vyžadovali 3 týždne prípravy dokumentov, sa redukujú na 4 dni vďaka automatizovaným auditným záznamom.

Scenár 3 : poradňa zaoberajúca sa fúziami a akvizíciami strednej veľkosti

Poradňa špecializujúca sa na M&A sprevádzajúca približne desať operácií ročne musí spravovať listy v úmysle (LOI), posilnené zmluvy o mlčanlivosti, protokoly dohody a cesie. Hodnota operácií sa pohybuje medzi 5 M€ a 80 M€. Akékoľvek spochybňovanie autenticity dokumentu môže blokovaní transakciu na mesiace.

Tým, že kontraktne uloží používanie kvalifikovaného TMK pre všetky transakčné dokumenty od fázy due diligence, poradňa vylúči riziká formálneho spochybňovania. Zahraniční partneri (najmä britskí a americkí po Brexite) uznávajú dôkaznu hodnotu kvalifikovaných podpisov eIDAS v rámci doložiek s právom aplikovateľným v Európe. Priemerný čas na uzavretie dokumentácie sa skraňuje z 22 dní na 8 dní, čo je zisk 63 % na lehotách na finalizáciu.

Záver

TMD a TMK sa nedajú zameniteľne používať : prvá certifikuje integritu údajov v rozsahu organizácie, druhá zaväzuje individuálnu zodpovednosť podpisovateľa s maximálnou dôkaznou silou predpokladanou eIDAS. Pochopenie tohto rozdielu je teraz predpokladom pre akúkoľvek serióznu politiku riadenia dokumentov v prostredí B2B. Výber správneho mechanizmu priamo závisí od úrovne právneho rizika každého typu dokumentu a sektorových obmedzení.

Certyneo vás sprevádzame pri zavedení stratégie digitálnej dôvery kombinujúcej TMD a TMK podľa vašich skutočných dokumentárnych tokov. Naša platforma podporuje oba mechanizmy, integruje požiadavky eIDAS 2.0 a prispôsobuje sa vášmu existujúcemu IT. Požiadajte o demonštráciu alebo porovnajte naše ponuky na stránke Ceny Certyneo — naši právni a techničtí experti sú k dispozícii na bezplatný audit vašej situácie.