Návrh zákona upravující podmínky pro vznik bankovní identity
Dne 4. prosince 2019 Poslanecká sněmovna ve třetím čtení téměř jednohlasně schválila poslanecký návrh zákona, kterým se mění zákon 21/1992 Sb., o bankách, ve znění pozdějších předpisů (dále jen „ZoB“), a zákon 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (dále jen „ZoAML“), v současnosti je návrh projednáván v Senátu. Zákon je navrhován především za účelem vytvoření podmínek pro vznik tzv. bankovní identity, jejíž podstata je vysvětlena níže. Tento článek se dále zabývá podstatnými změnami v ZoB a v ZoAML, ke kterým v souvislosti s přijetím návrhu zákona dojde.
V čem spočívá koncept bankovní identity?
Bankovní identita bude nástrojem, který poslouží k digitálnímu ověřování totožnosti klientů bank (fyzických osob a právnických osob, resp. jejich zástupců, kteří jsou fyzickou osobou) pomocí bezpečnostních metod, které umožňuje jejich elektronické bankovnictví. Tento nástroj rovněž nabídne občanům ČR a právnickým osobám, kteří používají internetové bankovnictví, možnost připojit se k službám e-Governmentu a on-line službám soukromého sektoru. Zatímco klienti bank a stát budou moci ověřovat digitální identitu bez poplatků, poskytovatelé různých digitálních služeb budou za identifikaci svých klientů hradit bankám a pobočkám zahraničních bank poplatek za ověření. Účast bank a poboček zahraničních bank na projektu nebude povinná a bude probíhat na bázi dobrovolnosti.
Kromě toho, že navrhovaná úprava umožňuje otevření trhu se službami v oblasti elektronické identifikace, dojde i ke změně fungování tzv. národního bodu pro identifikaci a autentizaci (dále jen „NIA“) ve vztahu k bankám a pobočkám zahraničních bank.
K tomu, aby projekt mohl úspěšně fungovat, upravuje návrh zákona také přístup bank a poboček zahraničních bank do základních registrů ČR. Přístup bude omezen tak, aby banky a pobočky zahraničních bank byly schopny efektivněji zabraňovat legalizaci výnosů z trestné činnosti a financování terorismu a rovněž předcházet případům, kdy by bankovní identita mohla být zneužita.
Úskalí současné právní úpravy elektronické identifikace a důvody k úpravě ve vztahu k bankám
Elektronická identifikace je v současné době obecně upravena zákonem 250/2017 Sb., o elektronické identifikaci (dále jen „ZoEI“) a nařízením Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen „Nařízení“). ZoEI stanovuje podmínky, za nichž je možné prokázat totožnost s využitím elektronické identifikace v případech, kdy je totožnost prokazována na základě požadavku právního předpisu nebo při výkonu působnosti. Prokazování totožnosti na základě dobrovolnosti v soukromoprávním styku není ZoEI upraveno a záleží tak vždy na vůli a dohodě stran.
Elektronická identifikace umožňuje fyzickým i právnickým osobám pohodlnější a jednodušší přístup ke službám veřejné správy a k regulovaným službám soukromého sektoru, přičemž přístup by měl být realizován při použití jak státních, tak i komerčních prostředků pro elektronickou identifikaci. Pouze za podmínky, že občané mají povědomí o prostředcích pro elektronickou identifikaci a umějí je využívat, může dojít k dalšímu rozvoji on-line služeb a také e-Governmentu.
Banky a pobočky zahraničních bank v současné době disponují soukromými identifikačními nástroji (bankovní autentizační prostředky umožňující přístup do internetového bankovnictví), které jsou snadno dostupné, a především široce známé a masově využívané. Tyto nástroje nemohou za současné právní úpravy existovat jako komerční prostředky elektronické identifikace dle ZoEI, protože to neumožňují podmínky pro přístup do NIA.
ZoB obsahuje taxativní výčet činností, které banka a pobočka zahraniční banky v rámci své podnikatelské činnosti smí vykonávat, přičemž mezi ně nepatří poskytování elektronické identifikace. Subjekty, které mohou vydávat prostředky pro elektronickou identifikaci (dle ZoEI), se považují za tzv. kvalifikované správce kvalifikovaného systému elektronické identifikace. Kvalifikovaný správce, jehož povinností je získat akreditaci od Ministerstva vnitra ČR, musí svůj vlastní kvalifikovaný systém elektronické identifikace zdarma zpřístupnit možným příjemcům elektronické identifikace prostřednictvím NIA. Za současné situace by tak nastala situace, kdy by banky a pobočky zahraničních bank neměly kontrolu nad tím, kdo a v jakém rozsahu využívá jimi vydaný prostředek pro elektronickou identifikaci, což je vystavuje značným rizikům (např. odpovědnosti za nesprávně provedenou identifikaci). Banky a pobočky zahraničních bank rovněž nemají možnost přístupu do základních registrů ČR dle zákona 111/2009 Sb., o základních registrech, ve znění pozdějších předpisů, které obsahují aktuální údaje o jejich klientech. Bez přístupu k těmto registrům nemohou banky a pobočky zahraničních bank efektivně plnit povinnosti dle ZoAML.
ZoAML v současné době předpokládá oprávnění banky a pobočky zahraniční banky (a jiných tzv. povinných osob) provést identifikaci klienta bez jeho fyzické přítomnosti, je-li tato totožnost klienta ověřena s využitím služeb kvalifikovaného poskytovatele služeb vytvářejících důvěru. Tito poskytovatelé však uchovávají jen údaj o identifikaci klienta a mezi jejich služby nepatří potvrzování identity pro účely autentizace a autorizace, což zakládá výrazné omezení pro výše uvedené oprávnění. ZoAML nebyl při přijetí ZoEI novelizován a nestanovuje tak možnost identifikace klienta s využitím služeb kvalifikovaného správce kvalifikovaného systému elektronické identifikace ve smyslu ZoEI (viz níže). Absence úpravy elektronické identifikace v ZoAML tak vytváří právní nejistotu, protože ZoEI umožňuje využití elektronické identifikace pro účely prokázání totožnosti osoby, v případech, kdy prokázání požaduje právní předpis (tj. ZoAML). ZoAML však ověření totožnosti prostřednictvím kvalifikovaného správce podle ZoEI neumožňuje.
Nová právní úprava ZoB a ZoAML umožňující vznik bankovní identity
Návrhem zákona novelizované právní předpisy – ZoB a ZoAML – jsou vůči ZoEI speciální oborovou úpravou a dochází v nich k modifikaci obecných pravidel o elektronické identifikaci.
Vzhledem k výše nastíněnému problému, kdy bankám a pobočkám zahraničních bank chybí kompetence k poskytování elektronické identifikace, dojde v ZoB k doplnění tzv. identifikačních služeb do taxativního výčtu činností, které může banka a pobočka zahraniční banky v rámci své podnikatelské činnosti vykonávat. Termín identifikační služba zahrnuje tyto služby: 1) poskytování elektronické identifikace, autentizace; 2) poskytování služeb vytvářejících důvěru; a 3) poskytování služeb souvisejících s elektronickou identifikací, autentizací a se službami vytvářejícími důvěru.
V zájmu zpřístupnění identifikačních služeb více bank klientům, jednotnosti systémů a nástrojů identifikace má ZoB nově umožnit, aby banka a pobočka zahraniční banky mohla v oblasti elektronické identifikace spolupracovat s poskytovatelem identifikačních služeb, jímž se rozumí „osoba, která není bankou, je na základě jiného právního předpisu oprávněna poskytovat identifikační služby a ve které mají podíl pouze banky nebo pobočky zahraničních bank“.
ZoB rovněž stanoví způsob přístupu banky (pobočky banky nebo poskytovatele identifikačních služeb) k údajům, které jsou vedeny v informačních systémech veřejné správy, kdy banky a pobočky zahraničních bank zřídí a budou spravovat informační systém (tzv. systém pro využívání údajů). Tento systém bude umožňovat dálkové a nepřetržité vyhodnocování záznamů o poskytnutí a využití údajů pro potřeby evidenční ochrany údajů dle zvláštního předpisu[1]. S ohledem na dosavadní praktické zkušenosti v zahraničí se navrhuje, aby byly zpřístupněny údaje identifikované jako podporující efektivní plnění povinností v oblasti identifikace a kontroly klienta podle ZoAML, a také údaje zabraňující neoprávněným dispozicím s prostředky klientů (např. údaj o datu smrti). Je upraven konkrétní rozsah údajů v rámci jednotlivých základních registrů ČR, ke kterým bude bankám a pobočkám zahraničních bank umožněn přístup za předpokladu naplnění kritéria nezbytnosti, aby mohl být daný údaj použit v dané věci.
ZoAML bude doplněn o čtyři postupy umožňující identifikaci klienta povinnou osobou (bankou) bez jeho fyzické přítomnosti. Prvním postupem je identifikace v rámci NIA pomocí prostředku pro elektronickou identifikaci splňující podmínky stanovené prováděcím nařízením Komise (EU) 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci (dále jen „Prováděcí nařízení“) a Nařízením, a který je vydáván a používán v rámci kvalifikovaného systému elektronické identifikace podle ZoEI – např. elektronické občanské průkazy (viz § 11a odst. 1 písm. a) ZoAML).
Dalším postupem je identifikace v rámci NIA pomocí prostředku pro elektronickou identifikaci, který splňuje podmínky Prováděcího nařízení a Nařízení a byl platně oznámen Evropské komisi postupem podle Nařízení – např. notifikované zahraniční prostředky pro elektronickou identifikaci (obdobně jako české elektronické občanské průkazy).
Klienta lze dle novely ZoAML identifikovat i pomocí prostředku pro elektronickou identifikaci, který podle potvrzení pověřené osoby podle ZoEI splňuje technické specifikace, normy a postupy podle Prováděcího nařízení a Nařízení a který byl vydán bankou nebo pobočkou zahraniční banky (dále jen „Uznaný prostředek“). Tento méně přísný způsob identifikace bez fyzické přítomnosti je dovolen pouze bankám a pobočkám zahraničních bank, u nichž je možné předpokládat vysokou důvěryhodnost nastavených procesů. Úprava rovněž zabraňuje nežádoucímu řetězení prostředků pro elektronickou identifikaci, když stanovuje nezbytné podmínky pro jejich vydávání (omezení možnosti použití Uznaných prostředků jen na případy, kdy je na začátku řetězu vždy fyzická identifikace nebo identifikace podle § 11a odst. 1 písm. a) – viz výše). Úpravu doplňuje rovněž podmínka ověření identifikačních údajů klienta v informačních systémech veřejné správy před vydáním Uznaného prostředku.
Poslední postup sloužící k identifikaci klienta je prostřednictvím Uznaného prostředku, který byl vydán poskytovatelem identifikačních služeb podle ZoB, přičemž i zde platí výše popsané podmínky pro vydávání Uznaného prostředku bankou nebo pobočkou zahraniční banky.
Návrh zákona novelizující ZoB a ZoAML má dle schváleného pozměňovacího návrhu nabýt účinnosti 1. ledna 2021. Jelikož v současnosti využívá internetové bankovnictví v České republice přes 5,5 milionu občanů, lze očekávat, že po nabytí účinnosti návrhu zákona, který rozšiřuje úpravu elektronické identifikace do bankovní sféry, dojde k nárůstu využití prostředků elektronické identifikace (bankovní identity) a ke zjednodušení komunikace mezi občany ČR, korporacemi a úřady.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
