Proces postupné digitalizace společnosti pokračuje tempem převyšujícím představy řady spisovatelů sci-fi literatury, přičemž klade nemalé požadavky na běžné uživatele v podobě nutnosti přizpůsobení se tomuto trendu posledních let. Změny se nevyhnuly ani oblasti elektronického podepisování, identifikace a autentizace, tedy oblasti, kterou u nás donedávna upravoval zákon č. 227/2000 Sb. , o elektronickém podpisu, ve znění pozdějších předpisů. Tím základním posunem byla několik let připravovaná nová úprava v rámci Evropské unie, která byla schválena jako nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen „eIDAS“). Na toto nařízení navázala tuzemská legislativa v podobě jednak nového zákona č. 297/2016 Sb. , o službách vytvářejících důvěru pro elektronické transakce, a dále zákona č. 298/2016 Sb. , 1) kterým bylo upraveno několik desítek jiných předpisů. V současné době probíhá připomínkové řízení k návrhu zákona o elektronické identifikaci, který doplňuje předchozí legislativní změny a přináší některé nové instituty a podmínky.
Digitalizuji, digitalizuješ, digitalizujeme
Vydáno:
18 minut čtení
Digitalizuji, digitalizuješ, digitalizujeme
Milan
Vodička,
daňový poradce, č. osvědčení 1366
Motto: „Budoucnost už není, co bývala.“
1. Evropský rozměr elektronické identifikace
Pokud mají být úspěšné procesy sbližování a zjednodušování elektronických transakcí (procesů), ke kterým dochází mezi subjekty z různých členských států Evropské unie, je nezbytnou podmínkou existence důvěryhodné identifikace takových subjektů a kompatibilní legislativní rámec právního jednání a úkonů. Mezi evropskými státy platila proto již od raných devadesátých let směrnice č. 1999/93/ES, o zásadách Společenství pro elektronické podpisy, promítnutá v České republice do zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (dále jen „ZEP“). Kromě jiného tento zákon připouštěl možnost, kdy podepisující osoba byla držitelem kvalifikovaného certifikátu vydaného v zahraničí.2) I z vlastní zkušenosti mohu potvrdit, že se záhy začaly objevovat nedostatky evropské směrnice a digitální úkony držitele kvalifikovaného certifikátu vydaného např. v Německu nebo Itálii vůči orgánům finanční správy byly značně omezeny nebo znemožněny.3)
Právě uvedené problémy jsou shrnujícím způsobem popsány v obsáhlé studii, kterou si nechala v roce 20034) vypracovat Evropská komise při tvorbě iniciativy
Digitální
jako součást agenda
pro Evropu Strategie Evropa 2020
.5) Bylo zjištěno, že k zásadním problémům při elektronické komunikaci dochází především v případě přeshraničních transakcí, kdy ověřující subjekt (tzv. spoléhající se strana) má jen omezené možnosti, jak získat dostatečně spolehlivou identifikaci osoby, která se elektronicky podepsala.Jako neúspěšná se ukázala snaha evropských orgánů tento stav napravit vydáním
Rozhodnutí č. 2009/767/ES ze dne 16. října 2009, kterým se stanovují opatření pro usnadnění užití postupů s využitím elektronických prostředků prostřednictvím „jednotných kontaktních míst“ podle směrnice EP a Rady 2006/123/ES o službách na vnitřním trhu
. Toto rozhodnutí kladlo členským státům za úkol zveřejnit seznamy poskytovatelů certifikačních služeb, kteří jsou oprávněni vydávat kvalifikované certifikáty a jsou k této činnosti akreditováni nebo jsou pod dozorem státem určeného orgánu. K očekávané nápravě nedošlo, kromě jiného i kvůli liknavému přístupu řady zemí, které navzdory dalšímu Rozhodnutí č. 2010/425/EU nenaplnily seznamy tzv. důvěryhodných služeb (anglicky TSL – Trusted Services Lists), které měly být k dispozici ve strojově i lidsky čitelné podobě.A tak bylo rozhodnuto o přípravě zcela nové a obsáhlé normy s cílem komplexně řešit prostředí digitálních pod- pisů, služeb, identifikace a důvěryhodnosti na celoevropské úrovni. Vlastní realizaci nařízení eIDAS předcházela studie proveditelnosti pod názvem IAS 1 (zkratka IAS je odvozena z anglického identification, authentization, signature), dokončená v roce 2012,6) která měla za cíl zjistit, za jakých podmínek lze tak ambiciózní cíl naplnit, a následně posloužila jako návrh samotného nařízení eIDAS.
2. Nařízení eIDAS
Nařízení č. 910/2014 eIDAS cílí na
„služby, které jsou poskytovány veřejnosti a mají vliv na třetí strany“
, vyjmuty z působnosti jsou „uzavřené systémy s omezeným počtem účastníků“
, např. podnikové nebo profesní systémy, ale také třeba veřejné rejstříky nebo katastr nemovitostí. Hlavními sledovanými parametry jsou interoperabilita, důvěryhodnost a technologická neutralita.Interoperabilita
vyjadřuje schopnost různých systémů vzájemně spolupracovat a kooperovat, především díky používání vhodných nástrojů. Nezbytnou podmínkou pak ale logicky je, že tyto systémy a nástroje vycházejí z jednotných technických standardů, ale také z navzájem kompatibilní legislativy. Právě uvedené lze zdokumentovat na příkladu elektronicky podepsané žádosti českého občana směrované na francouzský obchodní rejstřík, kdy musí být zajištěna nejen technická platforma umožňující ověření podpisu, ale i patřičný stupeň důvěryhodnosti takového ověření, a současně musí být legislativně založena povinnost francouzského rejstříku akceptovat písemnost v elektronické podobě za dodržení závaznosti a vymahatelnosti.Důvěryhodnost
elektronických transakcí je stěžejní a bez ní by k rozvoji digitálního světa nemohlo dojít. Je nezbytné mít jistotu, že komunikace probíhá skutečně s konkrétním subjektem. eIDAS definuje tři úrovně záruky ověření totožnosti, pro nejvyšší z nich pak zavádí rozlišení v podobě značky důvěry EU.Technologická neutralita
je velmi důsledně dodržována v celém nařízení eIDAS. Pokud má mít toto nařízení déletrvající použitelnost, nemůže se vázat pouze na dnes známé a již využívané postupy a prostředky. Na to je vývoj příliš rychlý a nepředvídatelný. Elektronická identifikace je proto umožněna na základě oznámení konkrétního systému komisi EU, která prověří dosažení všech podmínek, a pokud dojde k závěru, že byly splněny, zveřejní systém identifikace v Úředním věstníku EU a v příslušném seznamu. Ve lhůtě dvanácti měsíců pak musí orgány členských států EU zajistit akceptaci dokumentů, u nichž je identifikace provedena takto oznámeným postupem. Seznam oznámených systémů elektronické identifikace se může plnit již nyní, povinnost jeho respektování byla ale posunuta až na září roku 2018.Záhy po zveřejnění eIDAS začala přibývat prováděcí rozhodnutí komise EU upravující blíže např. spolupráci členských států, úrovně záruky, formáty podpisů a pečetí ad. Jsou přitom využívány praktické poznatky a zkušenosti z mezinárodních projektů se zkratkou LSPs (Large scale pilots), do nichž se zapojovala i Česká republika. Projekty řešily vždy určitou oblast digitálního světa nebo veřejné správy jako kupř. národní elektronickou identitu (eID), bankovní služby (eBanking), akademickou sféru (eLearning), úkony v rámci justice (e-
Codex
), veřejné zakázky (Peppol), elektronické doručování (e_Delivery) a řadu dalších. Nadstavbovými projekty pak byly STORK, STORK 2.0 a e-SENS, které jednotlivé komponenty integrovaly do „celoevropských“ řešení.7)Podrobný rozbor jednotlivých ustanovení nařízení eIDAS přesahuje rámec tohoto článku,8) uvedu dále proto jen základní cíle, definice a dopady.
3. Vybrané cíle nařízení eIDAS
Cíle eIDAS lze stručně definovat jako souhrn opatření směřujících k vytvoření dostatečně důvěryhodného digitálního prostředí, ve kterém mohou v elektronické podobě probíhat procesy pořizování, podepisování, doručování a ověřování dat, stejně jako identifikace osob. Cíle jsou popsány v preambuli nařízení a patří mezi ně zejména:
–
zvýšení důvěry elektronických transakcí na vnitřním trhu (bod 2 preambule),
–
zajištění
přístupu k přeshraničním on-line službám
(bod 12 ve smyslu bodu 15),–
stanovení
jednotné úrovně záruky
pro elektronickou identifikaci při určování totožnosti osob (bod 16),–
určení
odpovědnosti
poskytovatelů tzv. služeb vytvářejících důvěru (body 22, 28, 36, 37 a 47),–
stanovení
požadavků na kvalifikované prostředky
pro vytváření elektronických podpisů (bod 56),–
určení
povinností
poskytovatelů v rámci služby autentizace webových stránek (bod 67),–
zrovnoprávnění elektronických podpisů s vlastnoručními a elektronických dokumentů s listinnými
(body 49 a 63),–
přijímání a vzájemné uznávání elektronických podpisů s nižší než vysokou úrovní bezpečnosti (bod 48),
–
zajištění
dlouhodobého uchovávání informací a platnosti
elektronických podpisů a pečetí (bod 61),–
možnost použít (přeshraniční) služby vytvářející důvěru jako důkaz v soudním a správním řízení
ve všech členských státech
EU,–
určení
orgánů dohledu
členských států nad plněním ustanovení eIDAS, které budou mít pravomoci nad kvalifikovanými i nekvalifikovanými poskytovateli služeb vytvářejících důvěru (bod 30 ve smyslu bodu 36),–
vytvoření
značky důvěry EU
k (dobrovolnému) značení kvalifikovaných služeb vytvářejících důvěru (bod 47),–
používání
elektronických pečetí
(body 58, 60 a 65),–
možnost použití
pseudonymů
(bod 33),–
vytvoření
podpisu na dálku
(body 51 a 52) s využitím služby třetí strany,–
stanovení právního rámce panevropské služby elektronického
doporučeného doručování
(bod 66).4. Vybrané pojmy z nařízení eIDAS
Definici pojmů je věnován článek 3 nařízení eIDAS. Jsou mezi nimi především:
Elektronická identifikace
jako „postup používání osobních identifikačních údajů v elektronické podobě, které
jedinečně
identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující právnickou osobu“.
Autentizace
, tedy „elektronický postup, který umožňuje
potvrdit
elektronickou identifikaci fyzické či právnické osoby nebo původ a integritu dat v elektronické podobě“.
Podobný proces v ČR známe jako ověření identity např. na ePortálu ČSSZ, kdy autentizaci zajišťuje systém datových schránek.Elektronický podpis
, což jsou „data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena, a která podepisující osoba používá k podepsání
“.Kvalifikovaný elektronický podpis
, čímž je míněn „zaručený elektronický podpis,
9) který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy“.
Certifikát pro elektronický podpis
, což je „elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby“.
Kvalifikovaný poskytovatel
služeb vytvářejících důvěru, jímž se míní „poskytovatel služeb vytvářejících důvěru, který poskytuje jednu či více kvalifikovaných služeb vytvářejících důvěru, a kterému orgán dohledu udělil
status
kvalifikovaného poskytovatele“.Kvalifikovaná elektronická pečeť
, za kterou je považována „zaručená elektronická pečeť,
10) která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a je založena na kvalifikovaném certifikátu pro elektronickou pečeť“.
Elektronické časové razítko
, které představují „data v elektronické podobě, která spojují jiná data v elektronické podobě s určitým okamžikem a prokazují, že tato jiná data existovala v daném okamžiku“
. Kvalifikované časové razítko pak musí splňovat nároky dle článku 42 eIDAS.Služba elektronického doporučeného doručování
je „služba, která umožňuje přenášet data mezi třetími osobami elektronickými prostředky a poskytuje důkazy týkající se nakládání s přenášenými daty, včetně dokladu o odeslání a přijetí dat, a která chrání přenášená data před rizikem ztráty, odcizení, poškození nebo neoprávněných změn“.
5. Legislativní reflexe nařízení eIDAS v ČR
Tak zásadní změna digitálních procesů identifikace a autentizace se nutně musela promítnout i do národní legislativy. Je záhodno připomenout, že nařízení eIDAS patří mezi předpisy s tzv. přímým účinkem, a je tedy nadřazeno národní legislativě, pokud by s ní bylo v rozporu. V České republice byl s okamžitou účinností ve Sbírce zákonů (částka 114) zveřejněn 19. 9. 2016 nový zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (dále jen „ZSDET“), který byl v předkládací zprávě popsán takto:
Navrhovaný zákon zaujímá ve vztahu k nařízení Evropského parlamentu a Rady (EU) č. 910/2014 „minimalistický přístup“, v zákoně je tak upraveno pouze to, co nařízení výslovně nechává na úpravu vnitrostátním právním řádem. Úprava obsažená v navrhovaném zákoně proto zejména stanoví některé postupy poskytovatelů služeb vytvářejících důvěru pro elektronické transakce a požadavky na služby vytvářející důvěru. Navrhovaný zákon rovněž stanovuje orgán dohledu nad poskytovateli služeb vytvářejících důvěru, kterým bude Ministerstvo vnitra, a dále sankce za jednání v rozporu s nařízením.
ZSDET mimo jiné zrušil do té doby stěžejní zákon č. 227/2000 Sb., o elektronickém podpisu, a převzal úlohu speciálního předpisu, na který odkazuje celá řada jiných legislativních norem. Pro jednotlivé typy právního jednání a v závislosti na podepisujícím subjektu pak v § 5 až 7 definuje přípustné druhy elektronického podpisu.
K podepisování elektronickým podpisem lze použít pouze
kvalifikovaný
elektronický podpis, podepisuje-li elektronický dokument, kterým právně jedná,
a) stát, územní samosprávný celek, právnická osoba zřízená zákonem nebo právnická osoba zřízená nebo založená státem, územním samosprávným celkem nebo právnickou osobou zřízenou zákonem (dále jen „veřejnoprávní podepisující“), nebo
b) osoba neuvedená v písmenu a) při výkonu své působnosti
.(1) K podepisování elektronickým podpisem lze použít pouze uznávaný elektronický podpis, podepisuje-li se elektronický dokument, kterým se právně jedná vůči veřejnoprávnímu podepisujícímu nebo jiné osobě v souvislosti s výkonem jejich působnosti.
(2) Uznávaným elektronickým podpisem se rozumí zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis nebo kvalifikovaný elektronický podpis.
Citované ustanovení umožňuje při právním jednání vůči orgánům veřejné moci použití kvalifikovaných podpisů dle evropské legislativy, stejně jako podpisů, které jsou založeny na kvalifikovaných certifikátech vydávaných do účinnosti nařízení eIDAS. Pro soukromoprávní úkony je pak možné využít i jiné typy elektronického podpisu v souladu s eIDAS, a to včetně „prostého“podpisu např. v podobě zápatí ve zprávě elektronické pošty.
6. Vybrané praktické dopady
Rozsah působnosti nové úpravy elektronické identifikace, podepisování a autentizace dobře ilustruje doprovodný zákon č. 298/2016 Sb., který obsahuje 66 změn jiných předpisů, především procesních postupů elektronických podání, ve smyslu jejich podepisování, pečetění, používání časových razítek ad. Úpravy se týkají především postupu při elektronickém podepisování písemnosti. Jako příklad lze uvést aktuální znění § 71 odst. 1 zákona č. 280/2009 Sb., daňového řádu, ve znění pozdějších předpisů:
(1) Podání lze učinit písemně, ústně do protokolu nebo datovou zprávou
a) podepsanou způsobem,
se kterým jiný právní předpis spojuje účinky
vlastnoručního podpisu, nebo…
V případě potřeby se tak lze dovolat přímého účinku článku 25 bodu 2 nařízení eIDAS, kde je elektronický podpis postaven na roveň vlastnoručnímu. V dalších ustanoveních je také nepochybně deklarována rovnoprávnost elektronických dokumentů s papírovými, navíc je zajištěna použitelnost kvalifikovaných elektronických podpisů v celé Evropské unii. Článek 25 eIDAS je v tomto smyslu jednoznačný:
1. Elektronickému podpisu
nesmějí být upírány právní účinky
a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy.
2. Kvalifikovaný elektronický podpis má právní účinek
rovnocenný
vlastnoručnímu podpisu.
3. Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis
ve všech
ostatních členských státech.
Jako ekvivalent identifikace fyzické osoby cestou elektronického podpisu byla zavedena kvalifikovaná elektronická pečeť (obdoba u nás již dříve používané elektronické značky) identifikující právnickou osobu.
Certifikáty použitelné pro veřejnoprávní úkony musí i nadále být vydány jako kvalifikované a to takovými poskytovateli důvěryhodných služeb, kteří jsou označeni jako kvalifikovaní. eIDAS navíc zavede požadavek na připojení podpisu prostřednictvím kvalifikovaných prostředků pro vytváření elektronických podpisů (tokeny, čipové karty).
Díky ustanovení eIDAS odpadl požadavek na jednoznačné určení fyzické osoby způsobem, který v ČR zajišťoval tzv. jedinečný identifikátor IK MPSV. Podle bodu 54 preambule eIDAS je sice na vnitrostátní úrovni možné zahrnout do kvalifikovaných certifikátů i specifické atributy (identifikátory), ale nesmí to bránit přeshraniční interoperabilitě a uznávání certifikátů z jiných členských zemí. Je tedy možné, že bude u nás i nadále IK MPSV používán, ale nemůže se jednat o jediný způsob identifikace podepisující osoby.
Byla definována kvalifikovaná elektronická časová razítka, jejichž význam by měl vzrůst mimo jiné i kvůli požadavku na ověřování podpisu k okamžiku připojení k datům (okamžiku podepsání), což lze zajistit jedině s použitím časových razítek.
V praxi se může rozvinout definovaná služba elektronického doporučeného doručování jako přenos dat mezi třetími osobami, kdy je zajištěna ochrana před ztrátou, odcizením, poškozením nebo neoprávněnou změnou dat, stejně jako je prokazatelně zmapováno odeslání a přijetí dat.
Dochází k regulaci certifikátů pro autentizaci internetových stránek, čímž mj. dochází k propojení webových stránek s osobou (fyzickou či právnickou), které je certifikát vydán.
Byl definován dohled státních orgánů nad poskytovateli služeb vytvářejících důvěru, ale také jejich odpovědnost, včetně odpovědnosti za případné škody. Obdobně jsou ale nastaveny povinnosti i na úrovni členských států EU.
V rámci připomínkového řízení jsem měl možnost seznámit se s připraveným zákonem o elektronické identifikaci, který by měl nabýt účinnosti k 1. 1. 2018. Tento zákon zavádí národní bod pro identifikaci a autentizaci jako sdílenou službu systému základních registrů, která zajišťuje identifikaci osob nejen na národní úrovni, ale v dikci nařízení eIDAS i pro přeshraniční interoperabilitu.11)
7. Závěr
Jak by mohlo probíhat praktické naplňování nových předpisů pro oblast elektronické identifikace, napovídá novelizované znění § 3 odst. 7 zákona č. 328/1999 Sb., o občanských průkazech:
„(7) Do kontaktního elektronického čipu lze zapsat data pro vytváření elektronických podpisů spolu s
kvalifikovaným certifikátem pro elektronický podpis
obsahujícím data pro ověřování elektronických podpisů odpovídající těmto datům a s daty nezbytně nutnými pro užívání elektronického podpisu. Data a kvalifikovaný certifikát podle věty první zapisuje do kontaktního elektronického čipu držitel občanského průkazu.“
S pomocí takto vybaveného občanského průkazu pak bude možné činit právní úkony vůči veřejnoprávním subjektům v rámci celé Evropské unie. Předpokladem je, že bude systém čipových občanských průkazů uveden na příslušném seznamu komise EU, což založí povinnost jejich
akceptace
v zemích EU. Ověření identity proběhne prostřednictvím národního bodu pro identifikaci a autentizaci, který bude vybaven garantovanými informacemi ze základního registru obyvatel. Je otázkou, zda bude celý proces probíhat také se zapojením nestátních subjektů v postavení kvalifikovaných poskytovatelů důvěryhodných služeb dozorovaných příslušnými státními orgány. Osobně se domnívám, že k tomu (i přes značně vysoké kauce
a komplikovaný proces akreditace) časem dojde, protože digitální svět se rozšiřuje a množství v něm prováděných transakcí bude bezesporu i nadále strmě stoupat.1) Plný název zní
Zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o službách vytvářejících důvěru pro elektronické transakce, zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, a zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů.
2) Viz § 16 zrušeného zákona č. 227/2000 Sb., o elektronickém podpisu.
3) Jedním z důvodů byl požadavek na existenci českého identifikátoru IK MPSV v elektronickém certifikátu.
4) Celá studie pod názvem „The legal and market aspects of electronic signatures“ je dostupná z: electronic_sig_report.pdf.
5) U nás byla zpracována navazující strategie
Digitální Česko 2.0 Cesta k digitální ekonomice,
dostupné z: https://ec.europa.eu/epale/cs/resource-centre/content/strategie-digitalni-cesko-20.6) Blíže o studii s názvem „Feasibility study on anelectronicIdentification, Authentication and Signaturepolicy“ viz a dostupné z:
7) Bližší informace o těchto projektech viz a dostupné z: https://ec.europa.eu/digital-single-market/en/cross-border-pilots.
8) Zájemce mohu odkázat na článek VODIČKA, DRÁBKOVÁ,
Nařízení eIDAS – směřujeme k digitální Evropě.
Bulletin č. 7-8/2016 Komory daňových poradců ČR, s. 7-14.9) Tzn. elektronický podpis, který splňuje podmínky uvedené v článku 26 eIDAS.
10) Tzn. splňující definici podle článku 36 eIDAS.
11) Dle článku 12 odst. 1 nařízení eIDAS.