Proč je e-identita nutná
Spolehlivé a věrohodné určení jednající osoby je pro právní jednání zcela zásadní, patří mezi nezbytné předpoklady zajištění účinnosti takového jednání. V materiální podobě se dosahuje předložením průkazu, cestovního dokladu nebo jiné listiny, která dostatečně průkazně osvědčí totožnost konkrétní fyzické osoby. Naprosto stejný požadavek musí být naplněn i v digitálním prostředí, jelikož právní předpisy nerozlišují formu úkonu a na elektronickou identitu dopadají ustanovení příslušných předpisů zcela stejně. Jako příklad lze uvést znění
§ 562 nového občanského zákoníku (dále jen „
NOZ“):
„1. Písemná forma je zachována i při právním jednání učiněném elektronickými nebo jinými technickými prostředky umožňujícími zachycení jeho obsahu a
určení jednající osoby
.“
Podobně hovoří i ustanovení příslušných procesních předpisů, které zakotvují požadavek určení, kdo úkon (podání) činí, viz:
Při distančním úkonu v elektronické podobě tedy existuje podmínka určit dostatečně spolehlivě identitu jednající osoby, přičemž k dispozici je několik možností.
Zjištěná identita
Pod tímto názvem se skrývá vlastnost
zaručeného
elektronického podpisu identifikovat fyzickou osobu, se kterou je jednoznačně spojen. Jedná se o jeden z požadavků definovaných
článkem 26 nařízení Evropského parlamentu a Rady (EU) č.
910/2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce, tzv. eIDAS. Spolehlivost identifikace konkrétní osoby je založena také na požadavku, že elektronický podpis byl vytvořen pomocí dat (certifikátu), které má podepisující pod svou výhradní kontrolou. Stejné vlastnosti, a tedy i účinky mají také „vyšší“ formy elektronického podpisu, konkrétně v české legislativě popsaný
uznávaný
elektronický podpis
1) a nařízením eIDAS definovaný
kvalifikovaný
podpis
2).
Jednoznačně je zákonem č.
297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, upravena oblast úkonů a právního jednání orgánů veřejné moci anebo vůči nim. Pro soukromoprávní jednání jsou dle ustanovení tohoto zákona přípustné i jiné typy elektronických podpisů. Je ovšem otázkou, nakolik lze zajistit následnou průkaznost a doložitelnost úkonů v elektronické podobě. Osobně se domnívám, že v současné době se určují hranice a meze toho, co je přípustné a co nikoli. Sleduji v této souvislosti především související judikaturu, ve které převažující přístup velmi dobře ilustruje rozsudek Městského soudu v Praze z 8. 7. 2020
sp. zn. 18 Co 187/2020
:
„… soud identifikuje elektronickým podpisem podepsanou osobu se značnou úrovní důvěry
pouze
při užití podpisu
kvalifikovaného, zaručeného a uznávaného
, které jsou upravené v nařízení eIDAS a v SlužET. Všechny ostatní elektronické podpisy je soud sice povinen přijmout jako důkaz, avšak bez dalších tvrzení a důkazů
nelze
mít za prokázané, že tyto ostatní elektronické podpisy jsou podpisem (údajně) jednající osoby.“
Ke stejným závěrům došly soudy i v řadě jiných kauz, viz např. Krajský soud v Praze a rozsudky sp. zn. 27 Co 327/2018 nebo 28 Co 387/2015, Krajský soud v Ústí nad Labem v rozsudcích sp. zn. 14 Co 268/2014 či 11 Co 703/2014, Krajský soud v Plzni sp. zn. 64 Co 485/2015, Okresní soud v České Lípě v rozsudku sp. zn. 51 C 271/2020-16 anebo Okresní soud v Jihlavě pod sp. zn. 24 C 197/2020-46.
Pro soukromé právní jednání tedy bezpochyby existuje legislativně založená smluvní volnost ohledně typu elektronického podpisu3), který bude použit a vzájemně akceptován, ovšem na druhé straně by se tak mělo dít s vědomím toho, zda lze v případě potřeby dostatečně prokazatelně identifikovat protistranu a zajistit žádoucí vymahatelnost. Kromě podpisů založených na elektronických certifikátech se lze v praxi setkat i s dalšími variantami, jako např. biometrické podpisy, ale také moderovaný videorozhovor, během kterého jsou mobilním telefonem (tabletem apod.) snímána gesta účastníků osvědčující jejich vůli, případně kamerou zaznamenány předložené osobní doklady. Obdobně existuje možnost využít chráněného prostředí na internetu, do kterého vstupují jednotliví účastníci a po provedení identifikace projevují svou vůli, tedy činí úkony soukromého právního jednání.4) Archivovány jsou přitom nejen vzniklé písemnosti, ale i záznamy o provedených krocích právního jednání (např. v podobě logů opatřených elektronickou pečetí).
Zaručená identita
Jedná se o proces, kdy se za provedení identifikace „zaručí“ subjekt, který požívá dostatečnou míru důvěry – v legislativě se označuje jako „kvalifikovaný správce – poskytovatel důvěryhodných služeb“. Takový poskytovatel je povinen projít procesem certifikace (akreditace) a podrobit se kontrolnímu dohledu ze strany příslušného orgánu (v ČR se jedná o Ministerstvo vnitra). Následně poskytuje důvěryhodnou službu identifikace fyzických osob, na kterou se spoléhají další subjekty – nazývané „spoléhající se strana“, které výsledky provedené identifikace převezmou a identitu fyzické osoby považují za prokázanou.
Legislativní podmínky jsou upraveny speciálním zákonem č.
250/2017 Sb., o elektronické identifikaci, který vychází z již zmíněného evropského nařízení eIDAS. Samotný proces identifikace zajišťuje zvláštní portál
, který byl svěřen Správě základních registrů, což je instituce obhospodařující páteřní informační systémy České republiky, včetně registru obyvatel. Portál bývá někdy označován zkratkou NIA, tedy Národní bod pro identifikaci a autentizaci. Možností, kterých lze v praxi využít, je již vícero a jejich počet ještě nemusí být konečný:
Obrázek č. 1: Možnosti elektronické identifikace na portálu eIdentita (NIA)
Každá fyzická osoba si může pořídit a využívat libovolný počet dostupných prostředků, kterými dnes jsou:
–
Mobilní klíč eGovernmentu
, což je aplikace pro mobilní telefony se systémy Android nebo iOS, založená na jednorázových QR kódech. Po jejich sejmutí čtečkou instalovanou v mobilu musí proběhnout přihlášení do aplikace s použitím některého z nastavených způsobů identifikace (PIN, otisk prstu, gesto ad.).
–
eObčanka
představuje státem garantovaný prostředek identifikace, který byl již zveřejněn na seznamu Evropské komise pod označením „cz eID card“
5), a měl by být proto uznáván ve všech členských státech EU. Musí se jednat o občanský průkaz vydaný po 1. 7. 2018, u něhož si jeho držitel aktivoval kontaktní čip (aktivace se provádí při převzetí občanky nebo i později na úřadu, který doklady vydává). eObčanka je vložena do čtečky připojené k počítači, notebooku apod., její použití je navíc chráněno nutností zadat číselný kód.
–
NIA ID
(jméno, heslo, SMS) – digitální identitu lze založit i na přihlašování tímto způsobem, pro jehož aktivaci je ale nutná návštěva některého pracoviště Czech POINTu. K přihlášení pak dojde zadáním jména, hesla a jednorázového kódu obdrženého SMS zprávou.
–
IIG – International ID Gateway
– jedná se v podstatě o rozcestník k identifikačním portálům členských zemí Evropské unie, který mohou použít cizinci při vstupu do systémů státní správy. Identifikují se poté způsobem dle jejich národní legislativy a vybraných technických prostředků. V praxi se ale mohou vyskytnout problémy, které souvisí především se skutečností, že naše národní online dostupné systémy vyžadují ověření identity v základním registru obyvatel ČR, odkud čerpají klíčové informace a cizinec zde musí být zapsán.
–
První certifikační autorita, a. s.
nabízí jako identifikační prostředek čipové karty Starcos (ve verzi 3.5 nebo vyšší) opatřené certifikátem a vložené do čtečky připojené k počítači, notebooku atd. Musí se ale jednat o speciální certifikát vydaný pro tyto účely I.CA – k přihlášení nelze používat certifikáty od této společnosti určené k vytváření elektronických podpisů.
–
mojeID
je služba, kterou poskytuje zájmové sdružení právnických osob s názvem CZ.NIC. Pokud si založíte osobní účet pro mojeID, musíte se navíc vybavit bezpečnostním klíčem, ať už fyzickým v podobě USB tokenu, nebo systémovým na zařízeních s Androidem či Windows. K přihlášení je pak využit zvolený způsob zabezpečení (otisk prstu, scan obličeje a další).
–
Bankovní identita
je v tomto roce zaváděný způsob zprostředkovaný (zatím některými) bankami působícími v České republice. Jedná se o zjištění identity stejnými prostředky a postupy, které jsou využívány pro přihlášení do internetového bankovnictví peněžních ústavů. Byla založena speciální
korporace
Bankovní identita, a. s., zastřešující všechny významnější peněžní ústavy aktivní v ČR a do konce tohoto roku by měli mít možnost využívat bankovní identitu (neboli BankID) klienti téměř všech bank.
V souvislosti s volbou jednotlivých prostředků elektronické identifikace je potřeba mít na paměti, že poskytují různý stupeň tzv.
úrovně záruky
v souladu s nařízením eIDAS. Orgány veřejné moci přitom mohou určit, jakou úroveň budou ve svých systémech vyžadovat, a je proto doporučitelné disponovat alespoň jedním identifikačním prostředkem s maximální úrovní záruky, která je tzv. „vysoká“, čímž je zajištěno, že bude použitelný ve všech dostupných systémech státní správy.
Pro tento způsob vzdálené identifikace je důležité, že celý proces probíhá ve velmi dobře a silně chráněném prostředí centrálního portálu. Teprve po jeho úspěšném dokončení jsou zjištěné údaje se souhlasem a vědomím identifikované osoby předány jinému systému státní správy, navíc v zabezpečené (šifrované) podobě. Rizika zneužití jsou tedy radikálně minimalizována, samozřejmě za předpokladu řádného nakládání s identifikačními prostředky, ochrannými kódy apod.
Ověřená identita
Identitu konkrétní fyzické osoby může ověřit a garantovat také informační systém datových schránek (ISDS). Východiskem je předpoklad, že přihlášení do datové schránky (jak osoby oprávněné, tak i pověřené) je proces navýsost privátní, s přihlašovacími údaji i prostředky je zacházeno tak, aby nemohlo dojít k jejich zneužití nebo neoprávněnému užití, a takto ověřenou identitu lze tedy považovat za spolehlivou. Díky tomu je ověření identity akceptováno např. na novém portálu MOJE daně, eportálu České správy sociálního zabezpečení, u Ministerstva spravedlnosti v evidenci skutečných majitelů anebo v Portálu občana.
Podobně jako na portálu
e
Identita probíhá i v tomto případě samotný proces přihlášení do datové schránky (a následné provedení identifikace) ve velmi dobře zabezpečeném prostředí systému ISDS a až výsledek v podobě údajů fyzické osoby je s jejím souhlasem poskytnut jinému systému státní správy.
Lze přitom využít kteroukoli z možností, které jsou pro přístup do datových schránek k dispozici. To znamená kromě jména a hesla (doplněného případně o SMS nebo jednorázový bezpečnostní kód) také mobilní klíč, eIdentitu či elektronický certifikát.
Je zapotřebí upozornit, že i datové schránky, resp. údaje o jejich uživatelích, jsou propojeny na základní registry a pro úspěšné ověření identity může být toto propojení nezbytnou podmínkou. Příslušnou informaci naleznete po přihlášení do datové schránky v části Nastavení – Osobní údaje, kde v poli „Ztotožněn v registru obyvatel“ musí být uvedeno „Ano“. Pokud tomu tak není, je aktivní tlačítko sloužící k realizaci tohoto procesu, jestliže by se ztotožnění nepodařilo, existuje nějaký podstatný rozdíl mezi údaji v základních registrech a v systému datových schránek. Lze pak doporučit návštěvu některého z pracovišť Czech POINTu a stav napravit.
Obrázek č. 2: Ztotožnění uživatele datové schránky v registru obyvatel
Elektronická identita v EU
Zmiňované nařízení eIDAS definovalo jako jeden z klíčových požadavků celoevropskou použitelnost systémů elektronické identifikace v rámci tzv. interoperability.6) K jejímu dosažení byl Evropskou komisí zřízen seznam systémů elektronické identifikace, kam každý z členských států oznamuje, jaké prostředky (způsoby) vybral, a případně aktualizuje potřebné údaje. Ostatní členské země pak ve stanovené lhůtě zajistí, že jejich systémy veřejné správy (v nařízení eIDAS je používán název „on line služby“) budou schopny takto oznámený způsob identifikace akceptovat.
Nahlédnutím do seznamu Komise lze zjistit, že většinou padla volba na karty vybavené čipem, mezi které patří i nový typ českého občanského průkazu, tzv. eObčanka. Některé země upřednostňují aplikace pro mobilní telefony a např. Švédsko bankovní identitu (BankID). Ale ani tento stav není konečný, v loňském roce byl v rámci strategických priorit oznámen projekt evropské digitální identity (nazývaný také EU ID wallet),7) který by měl přinést možnost prokazování identity u veřejných i soukromých služeb v rámci celé Evropské unie. Klíčovým prvkem je aplikace pro mobilní telefony, zajímavostí je také to, že celý projekt má být založen na technologii blockchain, která byla nejčastěji zmiňována v souvislosti s bitcoiny a jinými kryptoměnami. Harmonogram projektu předpokládá dokončení technické specifikace do konce roku 2021 a koncem září 2022 pak publikování kompletní architektury, nástrojů, norem a realizačních pokynů.
Závěr
Přesun veřejnoprávních i soukromoprávních úkonů do digitálního světa je nepopiratelný fakt a bude pokračovat i nadále. Nezbytnou komponentou tohoto přesunu je prokazování identity elektronickými prostředky. Musí se přitom jednat o proces dostatečně spolehlivý, důvěryhodný a prokazatelný, neméně důležitou otázkou je bezpečnost a transparentnost. Rizika zneužití digitální identity je ovšem nutné minimalizovat i ze strany uživatelů dodržováním základních bezpečnostních pravidel a standardů.
Zdroj: Odborný portál DAUC.cz, 2021. Zveřejněno v časopise Účetnictví v praxi 11/2021.