Může být padělání covid certifikátů trestným činem?

Následující článek je inspirován poměrně nedávným stanoviskem Nejvyššího státního zastupitelství s názvem „Padělání covid certifikátů může být trestným činem“[1], v němž státní zástupci předkládají úvahu, dle níž je tzv. digitální certifikát EU COVID veřejnou listinou, a to s implikací, že vytvoření či použití certifikátů nepravdivě osvědčujících provedené očkování, test či prodělání nemoci může naplnit skutkovou podstatu trestného činu padělání a pozměnění veřejné listiny.

 

Úvodem je třeba zodpovědět otázku, co digitální certifikát EU COVID vlastně představuje a v jakých případech, resp. zda vůbec, se může nacházet v dispozici jeho držitele (či jiné osoby). Právní základ, který vymezuje rámec pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, o testu a o zotavení v souvislosti s onemocněním covid-19 za účelem usnadnění volného pohybu během pandemie covid-19, je založen stejnojmenným Nařízením Evropského parlamentu a Rady (EU) 2021/953 ze dne 14. června 2021[2].

Dle v něm obsažené definice se „digitálním certifikátem EU COVID“ rozumí interoperabilní certifikáty obsahující informace o očkování, výsledku testu nebo zotavení držitele vydané v souvislosti s pandemií covid-19, které lze tedy chápat jako jeho jednotlivé druhy. Onou interoperabilitou má být schopnost ověřovacích systémů v členském státě používat údaje zakódované jiným členským státem.

Klíčovým je přitom druhý odstavec třetího článku tohoto nařízení, dle něhož členské státy, nebo určené subjekty jednající jménem členských států, vydávají digitální certifikáty EU COVID v digitálním nebo tištěném formátu nebo v obou formátech, které musí obsahovat interoperabilní čárový kód umožňující ověření jejich pravosti, platnosti a integrity (tj. QR kód).

Pozornější čtenář již patrně postřehl zdánlivou disonanci spočívající v tom, že digitální certifikát EU COVID může být dle uvedeného vydán jak v digitálním, tak v tištěném[3] formátu. Důvodem je poněkud nešťastné použití onoho výrazu digitální (v prvním případě), kterým evropský zákonodárce patrně zamýšlel vystihnout skutečnost, že je certifikát představován nehmotným souborem (elektronických) dat. Tato jeho vlastnost je nicméně stěžejní pro tuzemskou dimenzi trestněprávní (resp. jeho povahu veřejné listiny), k čemuž se dostaneme vzápětí.

Držitel certifikátu (tj. osoba, jíž byl vydán) jej může obdržet od příslušného vydavatele, resp. prostřednictvím systému, který takový vydavatel provozuje, buď inkorporovaný ve hmotném nosiči (tedy v „tištěném formátu“), či mu je zpřístupněn elektronicky v podobě digitální. V případě certifikátů vydaných Ministerstvem zdravotnictví České republiky se tak děje prostřednictvím portálu ocko.uzis.cz a aplikace „Tečka“, kde je obsah certifikátu zobrazen a kde je umožněno vygenerování pdf souboru, který obsahuje údaje z certifikátu v podobě odpovídající jednotnému evropskému vzoru (vč. QR kódu).

Určité otázky mohou vzniknout nad tím, zda je třeba za certifikát považovat pdf soubor generovaný portálem ÚZIS dle jednotného vzoru jako celek, tedy nikoliv jen QR kód v něm obsažený. Byť je nařízení v tomto ohledu ve svých obecných ustanoveních poněkud nekonzistentní, v případě jednotlivých druhů certifikátů jednoznačně stanoví, že mají být vydávány v zabezpečeném a interoperabilním formátu[4], což pdf soubor sám o sobě nesplňuje. Pro úplnost – jakkoliv je to vcelku evidentní, tento soubor není ani tištěným formátem certifikátu ve smyslu nařízení (resp. se jím svým vytištěním nestane).

Datová struktura, mechanismy kódování a další specifikace QR kódů, společně s některými dalšími technickými aspekty certifikátů, jsou stanoveny Prováděcím rozhodnutím Komise[5] vydaným v návaznosti na nařízení. Zjednodušeně řečeno, certifikát je součástí informačního obsahu QR kódu (společně s dalšími daty), který je vydavatelem elektronicky podepsán (na bázi soukromého a veřejného klíče, jak je standardní např. v případě elektronických dokumentů vznikajících prostřednictvím autorizované konverze), přičemž integrita QR kódu, tedy autenticita jeho obsahu, je „při kontrole“ ověřována prostřednictvím validace platnosti elektronického podpisu, resp. pečeti[6]. Jinými slovy, samotný certifikát obsažený v QR kódu v praxi autentizován není.

Podstatné je, že držitel certifikátu předmětný soubor dat, který digitální certifikát v souladu s definicí dle nařízení představuje, jako takový nikdy přímo neobdrží. Dostane se mu jej toliko jako součásti QR kódu, kde je však zašifrován společně s jinými daty.

 

Veřejná listina

Nyní si stručně přibližme druhou stěžejní dimenzi věci, tedy co trestní zákoník pojmem „veřejná listina“ vlastně rozumí. Dle jeho § 131 je veřejnou listinou listina vydaná soudem České republiky, jiným orgánem veřejné moci nebo jiným subjektem k tomu pověřeným či zmocněným jiným právním předpisem v mezích jeho pravomoci, potvrzující, že jde o nařízení nebo prohlášení orgánu nebo jiného subjektu, který listinu vydal, anebo osvědčující některou právně významnou skutečnost. Veřejnou listinou je i listina, kterou prohlašuje za veřejnou jiný právní předpis.

Odpověď na otázku, zda digitální certifikáty EU COVID tuto definici naplňují, však ve skutečnosti – oproti lapidárnímu konstatování státních zástupců – rozhodně není přímočará (nařízení ani žádný jiný právní předpis certifikát za veřejnou listinu neprohlašuje). Jak z citovaného ustanovení plyne, trestní zákoník vyžaduje současné (kumulativní) splnění tří základních znaků:

–         jde o listinu vydanou k tomu oprávněným orgánem nebo jiným oprávněným subjektem,

–         jde o listinu vydanou v mezích pravomoci tohoto subjektu, a

–         jde o listinu, která má stanovený obsah.[7]

Jediným vydavatelem certifikátů EU COVID v České republice je Ministerstvo zdravotnictví. S ohledem na již zmiňovaný druhý odstavec třetího článku nařízení, který stanoví, že certifikáty vydávají „členské státy nebo určené subjekty jednající jménem členských států“, je první podmínka patrně splněna.

Poněkud méně jednoznačné je však naplnění podmínky druhé, jelikož není právního předpisu, který by takovou pravomoc Ministerstvu zdravotnictví explicitně přiznal. Na tomto místě se sluší připomenout, že jakkoliv faktická situace působí poslední již takřka dva roky dojmem, že český právní řád nic na způsob zásady enumerativnosti veřejnoprávních pretenzí nezná, zakotvuje stále Ústava ve svém čl. 2 odst. 3 (společně s čl. 2 odst. 2 LZPS) alespoň formálně pravidlo, že státní moc lze uplatňovat jen v případech, v mezích a způsoby, které stanoví zákon.

Entity, které jsou orgány veřejné moci, samozřejmě mohou podnikat řadu aktivit, aniž by se jednalo o výkon jejich pravomoci (ve smyslu výkonu veřejné moci). V souvislosti s vystavováním osvědčení ohledně provedeného očkování přitom zná právní řád prozatím pouze očkovací průkaz, přičemž k provádění zápisů do něj je oprávněn toliko poskytovatel zdravotních služeb, který takové očkování provedl[8]. Je proto otázkou, zda je možné při absenci prováděcího předpisu, který by pravomoc k vydávání certifikátů Ministerstvu zdravotnictví výslovně svěřil, považovat za dostatečný právní základ v tomto směru toliko citované ustanovení nařízení (dle autora toho článku nikoliv).

Obsah digitálního certifikátu EU COVID tvoří dle nařízení taxativně vymezené kategorie osobních údajů, kterými jsou totožnost držitele certifikátu, informace o příslušné očkovací látce, provedeném testu či prodělané infekci, a metadata certifikátu, jako je jeho vydavatel nebo jedinečný identifikátor certifikátu. Informace obsažené v certifikátech musí být rovněž uvedeny ve formátu čitelném pro člověka, a musí být poskytnuty alespoň v úředním jazyce nebo úředních jazycích vydávajícího členského státu, a v angličtině (k tomu dochází prostřednictvím pdf souboru odpovídajícímu jednotnému vzoru).

I kdybychom však shledali naplnění všech ostatních vyžadovaných znaků, klíčovým problémem zůstává, zda digitální certifikáty EU COVID vůbec představují listinu. Trestní zákoník, stejně jako ostatní právní předpisy[9] vychází z představy listiny jako dokumentu či dokladu primárně ve hmotné, tj. listinné podobě (např. občanský průkaz, maturitní vysvědčení, písemné vyhotovení rozhodnutí soudu atd.). NSZ má jistě pravdu v tom, že veřejnými listinami mohou být i elektronické dokumenty, nicméně takovými u nás v praxi bývají zpravidla jen elektronické „mutace“ dokumentů listinných, které mají (vizuálně) víceméně shodnou podobu jako jejich hmotné protějšky (nadto je za veřejnou listinu takřka bezvýjimečně prohlašuje zvláštní právní předpis, jak ostatně z příkladů uvedených samotnými státními zástupci plyne)[10].

To samozřejmě není absolutním pravidlem, nicméně i tak je zřejmé, že veřejnou listinou nemůže být z hlediska podoby svého obsahu cokoliv. Doc. Zuklínová v tomto směru uvádí, že „Veřejná je taková listina, tedy medium, z něhož lze číst, které obsahuje text zrakem vnímatelný, popř. vnímatelnými pomůckami, které vnímání textu umožní.[11] V souladu s tím tedy může být (veřejnou) listinou též elektronický soubor dat, který lze však interpretovat v textové podobě, jíž je z povahy „vnímatelnosti“ písemné vyjádření lidské řeči (tj. nikoliv vlastní záznam kódu příslušného datového souboru, který je sice také textový, avšak pro člověka běžně nesrozumitelný).

Podstatou veřejné listiny je tedy existence média (nosiče) s obsahem majícím určitou jednoznačnou podobu (tj. s nějakým konkrétním textem). Smyslem institutu veřejné listiny nicméně není ochrana onoho nosiče samotného, ale důvěry v pravost a správnost na něm obsažených informací. Tuto koncepci však není z povahy věci možné chápat „obráceně“, tedy že by informace jednou obsažené v nějaké veřejné listině získaly takový atribut samy o sobě. Charakter veřejné listiny totiž nemůže mít pouhá interpretace jejího obsahu – opačný závěr by vedl k absurdním důsledkům, jelikož by dle něj představovalo padělání či pozměnění veřejné listiny už jen nepravdivé tvrzení o tom, co v ní stojí.

Jednoznačně by tedy byl charakter EU COVID certifikátu jakožto (veřejné) listiny dán v případě jeho tištěného formátu, avšak v České republice jsou tyto certifikáty vydávány výhradně digitálně. Jak již bylo uvedeno výše, držitel přitom získá digitální certifikát jen jako součást QR kódu, který sám zrakem vnímatelným textem není, a tedy nemůže být ani veřejnou listinou (portálem generovaný pdf soubor certifikátem ve smyslu nařízení není).

Za veřejnou listinu taktéž není možné považovat pouhé zobrazení obsahu certifikátu v prostředí portálu ocko.uzis.cz, případně v aplikaci „Tečka“ (eventuálně nějakým obdobným způsobem). V takovém případě jde pouze o zmiňovanou sekundární interpretaci obsahu certifikátu, což je podpořeno skutečností, že obrazovka ad-hoc vykreslená v uživatelském rozhraní aplikace mobilního telefonu, či stránka vygenerovaná webovým rozhraním, nemá charakter média o předem dané, jednoznačné podobě; jiný závěr je tedy vyloučen.

 

Padělání a pozměnění veřejné listiny

Uvedené úvahy o tom, zda digitální certifikáty EU COVID veřejnou listinou jsou, či nikoliv, však mají jen omezenou praktickou uplatnitelnost, jak se stane zřejmé při bližším seznámení se skutkovou podstatou. Předmětný trestný čin dle § 348 trestního zákoníku totiž cílí na případy, kdy je veřejná listina padělána, či je podstatně změněn její obsah[12].

Padělání přitom znamená vytvoření falza (imitace), tj. že příslušná listina ve skutečnosti nikdy nevznikla. Slovy komentáře: „Padělaná veřejná listina žádnou veřejnou listinou není, nikdy nebyla a nikdy nebude. Jde tak pouze o legislativní zkratku pro věc, která svou vnější podobou i obsahem imituje veřejnou listinu, ale vytvořila ji účelově osoba, která k tomu není oprávněna, mimo příslušné právním řádem stanovené postupy vzniku této veřejné listiny. Jde tedy o nepřiznané falsum či imitaci.“[13]Jinými slovy, o padělané listině hovoříme tehdy, kdy orgán, o němž tato listina předstírá, že ji vydal, tak nikdy neučinil.

Pozměněná veřejná listina je pak taková, která sice vznikla, avšak o jiném obsahu, který byl následně pachatelem podstatně změněn. Následný obsah veřejné listiny tedy není autentický s obsahem, který do řádně vydané listiny vydávající orgán původně zanesl (z povahy věci je tedy nezbytná – alespoň historická – existence původní, originální listiny).

Na opatření padělané či podstatně pozměněné veřejné listiny a její přechovávání (§ 348 odst. 1 alinea druhá), resp. opatřování prostředků k padělání nebo pozměnění veřejné listiny (§ 348 odst. 1 alinea třetí) se tyto závěry použijí obdobně.

Jak již bylo řečeno výše, digitální certifikáty EU COVID vydává v České republice výlučně Ministerstvo zdravotnictví. Praktický postup je takový, že poskytovatel zdravotních služeb zaznamená údaj o provedeném očkování, testování či nemoci do Informačního systému infekčních nemocí ISIN, spravovaný Ministerstvem zdravotnictví, na základě čehož je následně vydán příslušný certifikát. Tímto postupem vytvořený certifikát tedy bude autentický vždy, což vylučuje možnost, aby se kdokoliv ze zúčastněných mohl tohoto trestného činu dopustit, a to i v situaci, kdy zadané údaje ohledně provedení očkování atp. neodpovídají skutečnosti (čímž samozřejmě není řečeno, že takové jednání nemůže naplnit skutkovou podstatu jiných trestných činů, avšak nepůjde o padělání či pozměnění veřejné listiny)[14]. To přirozeně platí i o následném používání takového certifikátu, a to i tehdy, pokud se jím prokáže jiná osoba, než které byl vydán.

Ohledně dalšího nakládání s certifikátem by se jednalo o jeho padělání či pozměnění tehdy, kdy by došlo k manipulaci s datovým obsahem QR kódu. Z praktického hlediska má však takový postup význam pouze, pokdy by byl QR kód validně elektronicky podepsán, jelikož v opačném případě by nemohl být následně vyhodnocen jako platný. K tomu by však mohlo dojít jen v situaci úniku příslušných klíčů Ministerstva zdravotnictví (v případě certifikátů vydaných v České republice), přičemž autorovi tohoto článku není známo, že by k dnešnímu dni k něčemu takovému došlo. Současně není příliš obtížné takový únik odhalit a použité klíče v krátké době zneplatnit, což by opět vedlo k nepoužitelnosti příslušného certifikátu.

Ve vztahu k případné úpravě, či vytvoření neautentického snímku obrazovky (ať již webového portálu či mobilní aplikace), popřípadě textové části pdf souboru dle jednotného vzoru, je třeba mít na paměti, že v souladu se shora uvedeným výkladem veřejnou listinou nejsou, a proto podobné jednání není způsobilé skutkovou podstatu naplnit. Z praktického hlediska však není zcela zřejmé, proč by tak měl někdo vůbec činit, jelikož certifikát má být při jeho použití validován prostřednictvím QR kódu, jehož obsah by v takovém případě beztak neodpovídal uvedeným údajům.

 

Lze tedy uzavřít, že přinejmenším v současnosti nemůže reálně nastat situace, kdy by vytvoření či použití digitálního certifikátu EU COVID, nepravdivě osvědčujícího provedené očkování, test či prodělání nemoci, naplnilo skutkovou podstatu trestného činu padělání a pozměnění veřejné listiny.

 

Autor Mgr. Jaroslav Kuba je advokátem v Praze, a působí též na Ústavu práva autorského, práv průmyslových a práva soutěžního Právnické fakulty Univerzity Karlovy
Foto: canva.com

 


[1] Stanovisko NSZ: Padělání COVID certifikátů může být trestným činem, 10. 11. 2021, dostupné z https://verejnazaloba.cz/nsz/stanovisko-nsz-padelani-covid-certifikatu-muze-byt-trestnym-cinem/

[2] Dostupné z https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32021R0953

[3] Ostatní jazykové verze používají výraz „papírový“ (EN: paper-based, SK: papierový, DE: papiergestützt)

[4] Čl. 5 odst. 3, čl. ž odst. 3, čl. 7 odst. 3

[5] Prováděcí rozhodnutí Komise (EU) 2021/1073 ze dne 28. června 2021, kterým se stanoví technické specifikace a pravidla k provedení rámce pro důvěryhodnost pro digitální certifikát EU COVID stanoveného nařízením Evropského parlamentu a Rady (EU) 2021/953.

[6] Šestý recitál prováděcího rozhodnutí popisuje praktický postup následovně:

„S cílem zajistit systém interoperability v celé EU proto Komise vybudovala centrální systém – bránu pro digitální certifikát EU COVID (dále jen „brána“), která uchovává veřejné klíče používané pro ověřování. Při naskenování QR kódu certifikátu se digitální podpis ověří pomocí příslušného veřejného klíče, který byl předtím uložen v této centrální bráně. K zajištění integrity a pravosti dat lze použít digitální podpisy. Infrastruktury veřejných klíčů vytvářejí důvěru tím, že zajišťují vazbu veřejných klíčů na vydavatele certifikátů. V bráně se pro zajištění pravosti používá více certifikátů veřejných klíčů. V zájmu zajištění bezpečné výměny dat mezi členskými státy, pokud jde o veřejné klíče, a s cílem umožnit širokou interoperabilitu je nezbytné stanovit certifikáty veřejných klíčů, které je možné používat, a poskytnout informace o tom, jak se mají generovat.“

[7] FRYŠTÁK, Marek. § 131 [Veřejná listina]. In: ŠČERBA, Filip a kol. Trestní zákoník. 1. vydání. Praha: C. H. Beck, 2020, marg. č. 3.

[8] § 47 odst. 2 zákona č. 258/2000 Sb. o ochraně veřejného zdraví. K 1. 1. 2022 vstupuje v účinnost novela zákona č. 378/2007 Sb. o léčivech, která zavádí v § 81fa a § 81fb záznam o očkování jako součást systému eRecept. Ani tato úprava však nezakládá žádnou pravomoc Ministerstva zdravotnictví v souvislosti s vedením předmětných záznamů.

[9] § 567 zák. č. 89/2012 Sb., občanského zákoníku, § 129 ve spojení s § 134 zák. č. 99/1963 Sb., občanského soudního řádu, a § 112 odst. 2 zák. č. 141/1961 Sb., trestního řádu

[10] Komentář trestního zákoníku k tomu uvádí: „Nemusí se jednat jen o listinu ve fyzicky listinné formě, ale i ve formě elektronické, typicky jde-li o veřejnou listinu v písemné formě konvertovanou do dokumentu obsaženého v datové zprávě či v datovém souboru podle § 22 odst. 1 písm. a) ElÚkon či o veřejnou listinu v elektronické podobě podepsanou příslušným elektronickým podpisem či elektronickou pečetí a elektronickým časovým razítkem v souladu s SlužET.“ (PROVAZNÍK, Jan. § 348 [Padělání a pozměnění veřejné listiny]. In: ŠČERBA, Filip a kol. Trestní zákoník. 1. vydání (1. aktualizace). Praha: C. H. Beck, 2021., marg. č. 8.).

[11] doc. JUDr. ZUKLÍNOVÁ, Michaela, CSc.: Soukromá listina a veřejná listina, 31. 8. 2015, dostupné z https://www.pravniprostor.cz/clanky/rekodifikace/komentar-k-noz-soukroma-listina-a-verejna-listina

[12] § 348 Padělání a pozměnění veřejné listiny

(1) Kdo padělá veřejnou listinu nebo podstatně změní její obsah v úmyslu, aby jí bylo užito jako pravé, nebo takovou listinu užije jako pravou, kdo takovou listinu opatří sobě nebo jinému nebo ji přechovává v úmyslu, aby jí bylo užito jako pravé, nebo kdo vyrobí, nabízí, prodá, zprostředkuje nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává nástroj, zařízení nebo jeho součást, postup, pomůcku nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k padělání nebo pozměnění veřejné listiny, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti.

[13] PROVAZNÍK, Jan. § 348 [Padělání a pozměnění veřejné listiny]. In: ŠČERBA, Filip a kol. Trestní zákoník. 1. vydání (1. aktualizace). Praha: C. H. Beck, 2021., marg. č. 13.

[14] Analogicky k tomu komentář: „Za podmínek § 348 však nemůže být trestné padělání či pozměnění a následné užití jako pravých (či jen jejich užití jako pravých) takových listin, které nemají charakter veřejné listiny ve smyslu § 131, za účelem, aby na jejich základě byla vydána veřejná listina pravá a autentická, ovšem s obsahem neodpovídajícím realitě v důsledku toho, že orgán, který ji vydal, vycházel z těchto padělaných a pozměněných podkladů.“ PROVAZNÍK, Jan. § 348 [Padělání a pozměnění veřejné listiny]. In: ŠČERBA, Filip a kol. Trestní zákoník. 1. vydání (1. aktualizace). Praha: C. H. Beck, 2021., marg. č. 11.

Go to TOP