Řetězec kontroly pro digitální dokumenty: co skutečně vyžadují auditoři a daňové úřady
Fyzické důkazy mají řetězec kontroly: protokol každé osoby, která s nimi nakládala, kdy a proč. Tento řetězec dokazuje, že důkaz nebyl zmanipulován mezi sběrem a předložením. Soudy fyzické důkazy bez něj nepřijmou.
Digitální dokumenty mají stejný problém a ve většině jurisdikcí EU i stejný požadavek. Otázka nezní, zda je váš dokument někde uložen. Otázka zní, zda dokážete prokázat, co se s ním stalo mezi vznikem a dneškem.
Co znamená řetězec kontroly pro dokument
Řetězec kontroly digitálního dokumentu znamená schopnost prokázat:
- Dokument byl vytvořen v konkrétním čase
- Každá následná úprava, zpracovatelský krok, konverze nebo přenos byl zaznamenán
- Každý krok je přiřaditelný konkrétnímu aktérovi (osobě, systému, službě)
- Žádný krok nebyl vynechán ani zpětně pozměněn
- Dokument prezentovaný dnes je totožný s dokumentem, který těmito kroky prošel
U fyzického předmětu je kontrola nad ním doložena fyzickým předáváním. U digitálního dokumentu ji dokládají kryptografické důkazy: haše, časová razítka a podepsané záznamy auditu.
Co vyžadují daňové úřady v EU
Požadavky se liší podle země, ale sdílejí společnou strukturu.
Německo (GoBD): Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern stanoví, že elektronicky archivované dokumenty musí být chráněny před změnami, musí být vyhledatelné a původní stav musí být rekonstruovatelný. Klíčový pojem je „Unveränderbarkeit” (neměnnost): dokumenty musí být archivovány tak, aby byly následné změny technicky znemožněny nebo alespoň detekovatelné. GoBD také vyžaduje, aby byl samotný proces archivace zdokumentován, tedy aby byl řetězec od původního dokumentu po archiv dohledatelný.
Francie (DGFiP): Direction Générale des Finances Publiques vyžaduje, aby byly elektronické faktury uchovávány v původní podobě se zárukou integrity zajištěnou technickými prostředky. U faktur přijatých ve formátu PDF nebo hybridním formátu musí tato záruka integrity pokrývat celou dobu uchovávání (šest let pro účetní doklady, deset let pro smlouvy).
Nizozemsko (Belastingdienst): Požadavkem je sedmileté uchovávání s možností ověření. Pokyny Belastingdienst k elektronické archivaci výslovně uvádějí, že dokument musí být reprodukovatelný ve čitelné podobě a integrita dokumentu musí být prokazatelná.
Belgie: FPS Finance se řídí směrnicí EU 2006/112/EC: musí být zaručena pravost původu, integrita obsahu a čitelnost. Technické prostředky (EDI, elektronický podpis nebo auditní stopa) musí být zdokumentovány.
Společným jmenovatelem je: samotná archivace dokumentu nestačí. Musíte archivovat také důkazy o integritě.
Co auditoři skutečně hledají
Když auditor požaduje dokument, obvykle chce prokázat:
- Dokument je pravý (nebyl vytvořen zpětně)
- Dokument nebyl od svého vzniku nebo přijetí pozměněn
- Dokument byl zpracován způsobem odpovídajícím vašim deklarovaným postupům
Pro daňové audity jsou stěžejní první dva body. Pro audity shody (GDPR, NIS2, sektorová specifika) je třetí bod často stejně důležitý.
Auditoři obecně nepřijímají odpovědi „věřte mi”. Hledají technické kontroly, které zneužití nebo pozměnění dělají detekovatelnými. Kontroly, které je uspokojí:
Neměnná časová razítka od důvěryhodné třetí strany. Časové razítko, které jste vygenerovali sami, není nezávislým důkazem. Razítko od důvěryhodné autority (kvalifikované TSA podle RFC 3161) jím je. Viz vysvětlení RFC 3161 razítek, jak to v praxi funguje.
Záznamy auditu, které nelze zpětně upravovat. Soubor protokolu na vašem vlastním serveru, ke kterému máte přístup pouze vy, není nezávislým důkazem. Auditní stopa, kde je každý záznam kryptograficky propojen s předchozím (hašový řetězec), znamená, že jakákoli úprava minulého záznamu zneplatní všechny následující záznamy. Auditor to může ověřit lokálně.
Dokumentace shody formátu. Pokud tvrdíte, že faktura byla v souladu s EN16931 k datu odeslání, potřebujete validační zprávu z tohoto data, nikoli validaci provedenou dnes. Zpráva musí být uložena spolu s dokumentem.
Mechanismus hašového řetězce
Hašový řetězec implementuje auditní stopu odolnou vůči manipulaci. Každý záznam obsahuje:
- Data události (co se stalo, kdo, kdy)
- Haš dokumentu v daném okamžiku
- Haš předchozího záznamu
Entry 1: {event: "created", actor: "api:tenant-1", time: "2026-03-01T09:00:00Z",
docHash: "sha256:a3f...", prevHash: "0000...0000"}
entryHash: sha256(Entry 1 data) = "sha256:7c2..."
Entry 2: {event: "validated", actor: "system", time: "2026-03-01T09:00:01Z",
docHash: "sha256:a3f...", prevHash: "sha256:7c2..."}
entryHash: sha256(Entry 2 data) = "sha256:b19..."
Entry 3: {event: "timestamped", actor: "tsa:qualified-eu", time: "2026-03-01T09:00:02Z",
docHash: "sha256:a3f...", prevHash: "sha256:b19..."}
entryHash: sha256(Entry 3 data) = "sha256:f44..."Pokud někdo upraví Entry 2 (například změní aktéra nebo čas), haš Entry 2 se změní. prevHash v Entry 3 již neodpovídá. Řetězec je přerušen. Auditor vypočítávající řetězec od Entry 1 nesoulad odhalí.
Jde o stejný princip, který se používá v blockchainu, ale aplikovaný na auditní stopy dokumentů bez režie distribuovaného registru. Řetězec je lineární, deterministický a ověřitelný pomocí implementace SHA-256.
Propast mezi „uloženo” a „doloženo”
Většina systémů pro správu dokumentů poskytuje úložiště s řízením přístupu. Některé poskytují historii verzí. Málokteré poskytují důkazy.
Propast spočívá v tom, že systém, kde kontrolujete auditní protokol pouze vy, neposkytuje nezávislý důkaz o integritě tohoto protokolu. Pokud můžete mazat nebo upravovat záznamy protokolu, skeptický auditor se na protokol nemůže spolehnout.
Mechanismy, které tuto propast překlenují, jsou: externí ukotvení (kvalifikované RFC 3161 časové razítko od TSA, kterou neprovozujete), integrita hašového řetězce (úprava protokolu je tak detekovatelná) a archivace na úrovni formátu (PDF/A-3, aby se dokument v průběhu času neznehodnotil ani nerenderoval odlišně).
To jsou součásti balíčku právních důkazů. Balíček je jednotkou důkazů, kterou předkládáte, když auditor požaduje dokument.
Doby uchovávání podle typu dokumentu (přehled EU)
| Typ dokumentu | Doba uchovávání | Klíčová jurisdikce |
|---|---|---|
| Faktury k DPH | 7 let | Německo (GoBD), Nizozemsko |
| Faktury k DPH | 10 let | Francie, Belgie |
| Smlouvy | 10 let (obchodní) | Většina členských států EU |
| Personální záznamy | Délka pracovního poměru + 5–10 let | Liší se podle země |
| Účetní záznamy | 10 let | Většina členských států EU |
| Zdravotní záznamy | 10–30 let | Výrazně se liší |
| Veřejné zakázky | 5–10 let po uzavření smlouvy | Směrnice EU 2014/24/EU |
Počátek doby uchovávání se liší v závislosti na typu dokumentu a jurisdikci. U faktur obvykle začíná koncem fiskálního roku, ve kterém byla faktura vystavena, nikoli datem faktury.
SealDoc a řetězec kontroly
SealDoc zaznamenává auditní stopu v podobě hašového řetězce pro každý dokument, který projde jeho pipeline. Řetězec začíná vznikem dokumentu, zahrnuje každý zpracovatelský krok (validaci, konverzi, podepisování, archivaci) a je ukotven RFC 3161 časovým razítkem od kvalifikované EU TSA.
Auditní stopa je exportována jako součást balíčku právních důkazů. Každý záznam je strojově ověřitelný nezávisle na systémech SealDoc. Pokud vaše organizace archivuje dokumenty deset let a SealDoc v osmém roce přestane existovat, balíček důkazů zůstane nezávisle ověřitelný: řetězec se vypočítává z hašů dokumentů a RFC 3161 razítko se ověřuje oproti veřejnému certifikátu TSA, který je veřejně dostupný.
Tato nezávislost je podstatou. Důkaz závislý na dalším provozu vydavatele důkazů není spolehlivým dlouhodobým důkazem.