Výzvy a milníky nařízení eIDAS

Přijetí nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (dále jen „eIDAS“) znamenalo posun v rozvoji on-line transakcí a ve zvyšování důvěryhodnosti elektronické komunikace v rámci Evropské unie. Toto nařízení nahradilo směrnici Evropského parlamentu a Rady 1999/93/ES, která byla prvním pokusem o přeshraniční právní úpravu elektronických podpisů.

Základním cílem nařízení eIDAS je poskytnout občanům, společnostem a rovněž i státním orgánům členských států společný právní základ pro bezpečnou elektronickou komunikaci, jež by zvýšila důvěryhodnost elektronických transakcí na vnitřním trhu Evropské unie, a tudíž i jejich aktivnější využívání. Právě nejednotnost jednotlivých národních úprav v této oblasti brání v rozvoji digitální ekonomiky včetně nových produktů a služeb na trhu. Kromě zjednodušení obchodního styku se současně nařízení eIDAS snaží poskytnout občanům Evropské unie efektivní a účinný nástroj pro využívání on-line služeb, jež nabízejí členské státy, a to včetně zajištění přeshraničního přístupu k nim.

Za účelem dosažení výše uvedených cílů upravuje nařízení eIDAS podmínky pro vzájemné uznávání prostředků pro elektronickou identifikaci právnických a fyzických osob mezi členskými státy a zároveň nastavuje právní rámec pro jednotlivé prostředky identifikace, kterými jsou elektronické podpisy, elektronické pečetě, elektronická časová razítka a služby pro autentizaci internetových stránek spolu s elektronickým doporučeným doručováním.

V případě vzájemného uznávání prostředků elektronické identifikace zavádí nařízení eIDAS povinnost členských států akceptovat při přístupu k on-line službě prostředky elektronické identifikace vydané jinými členskými státy. Jinými slovy v případě, že členský stát nabízí svým občanům určité on-line služby, jež vyžadují elektronickou identifikaci, musí tento členský stát pro účely přeshraniční identifikace uznat i způsoby (možnosti) elektronické identifikace zavedené v jiném členském státě. Povinnost vzájemného uznaní je omezena pouze na ty prostředky elektronické identifikace, které splňují požadavky stanovené v článku 6 nařízení eIDAS. Prvním předpokladem, který musí daný prostředek elektronické identifikace splnit, aby mohl být uznán i na území jiného členského státu, je dostatečná úroveň záruky daného prostředku, jež musí být alespoň značná či vysoká. V případě nízké úrovně záruky je ponecháno na uvážení každého jednotlivého členského státu, zda takovýto prostředek identifikace bude akceptovat či nikoli.

Druhým požadavkem je pak skutečnost, že daný prostředek pro elektronickou identifikaci byl notifikován u Evropské komise a následně zveřejněn v Úředním věstníku Evropské unie. Zveřejnění předchází jednak zprostředkování veškeré dokumentace a schémat vztahujících se k danému prostředku, jednak jeho samotné posouzení jak Evropskou komisí, tak odborníky z jednotlivých členských států.[1] Teprve po důkladném vyhodnocení daných prostředků, zda splňují veškeré požadavky stanovené v nařízení eIDAS, mohou být zveřejněny v Úředním věstníku Evropské unie. Výše uvedené podmínky do dnešního dne splnily pouze prostředky elektronické identifikace pocházející z Německa, Estonska, Chorvatska, Itálie, Lucemburska a Španělska.[2]

Povinnost vzájemného uznávání prostředků elektronické identifikace, jež úspěšně projdou výše uvedeným postupem, je nařízením eIDAS stanovena pouze subjektům veřejného sektoru členských států. Soukromé právnické a fyzické osoby nejsou touto povinností vázány, a tudíž mohou i nadále sami rozhodnout, zda pro své účely takto určené prostředky pro elektronickou identifikaci využijí či nikoli.

Druhým tématem, kterému se nařízení eIDAS věnuje, je jednotná právní úprava elektronických podpisů, elektronických pečetí, elektronických časových razítek, služby elektronického doporučeného doručování a autentizace elektronických stránek. Základní premisou nařízení eIDAS je, že všem uvedeným prostředkům elektronické identifikace nesmí být upírány jejich právní účinky a současně nesmí být odmítány jako důkaz v soudním a správním řízení v členských státech jen z toho důvodu, že mají elektronickou podobu.

Jako nový institut vymezuje nařízení eIDAS tzv. subjekty posuzování shody (Conformity Assessment Bodies, CAB), jejichž úkolem je posuzovat výše uvedené elektronické služby nabízené národními poskytovateli z hlediska jejich souladu s nařízením eIDAS. V případě, že jimi nabízené služby budou splňovat veškeré požadavky dle nařízení eIDAS, mohou tito poskytovatelé být zapsáni na seznam kvalifikovaných poskytovatelů služeb vytvářejících důvěru.[3] Tím by měla být posílena důvěra v případě přeshraničního využívání elektronické identifikace, neboť služby poskytnuté kvalifikovanými poskytovateli odpovídají evropským standardům.

Nařízení eIDAS jako celek klade největší důraz na služby založené na kvalifikovaném prostředku (využívání kvalifikovaných elektronických podpisů či kvalifikovaných pečetí apod.). Služby využívající kvalifikované prostředky jsou lépe zabezpečeny oproti neoprávněnému použití, a to zejména díky tomu, že kryptografický klíč dané služby nelze z kvalifikovaného prostředku vyexportovat a učinit z něj kopii. Tím je zajištěna větší úroveň bezpečnosti a kontroly využívání kvalifikovaných prostředků. V současnosti lze nalézt kvalifikované prostředky zejména ve formě USB tokenů či čipových karet.[4]

Nařízení eIDAS vstoupilo v platnost v Evropské unii dne 1. července 2016. I když je nařízení Evropské unie právním aktem, jenž je závazný a přímo použitelný v každém členském státě, a tudíž nevyžaduje přijetí dalších právních předpisů,[5] bylo schváleno českým zákonodárcem několik zákonů, jejichž cílem bylo upřesnění a provedení nařízení eIDAS České republice.

Jako první zákon byl schválen v návaznosti na nařízení eIDAS zákon 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (dále jen „Zákon o službách vytvářejících důvěru“). Zákon o službách vytvářejících důvěru upravil některé postupy poskytovatelů služeb vytvářejících důvěru (např. poskytovatelů elektronických podpisů či pečetí), a to zejména proces archivace dokumentů souvisejících s poskytovanými službami, dále pak působnost Ministerstva vnitra jako orgánu dohledu dle nařízení eIDAS a v neposlední řadě též přestupky fyzických a právnických osob v oblasti poskytování služeb vytvářejících důvěru.

Dalším zákonem byl následně zákon 250/2017 Sb., o elektronické identifikaci (dále jen „Zákon o elektronické identifikaci“). Zákon o elektronické identifikaci se zaměřuje zejména na kvalifikovaný systém elektronické identifikace (např. tzv. elektronické občanské průkazy), a to včetně způsobu udělení akreditace, dohledu nad jeho provozováním, kterým je pověřeno Ministerstvo vnitra, a rovněž i přestupků v této oblasti. Kvalifikovaný systém elektronické identifikace si lze představit jako systém, který je tvořen jednak prostředky elektronické identifikace a jednak samotným systémem, který elektronickou identifikaci umožňuje. Významným ustanovením daného zákona je ustanovení § 2, které zní: „Vyžaduje-li právní předpis nebo výkon působnosti prokázání totožnosti, lze umožnit prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace.“ Dané ustanovení tak umožňuje využívat elektronickou identifikaci i tam, kde je povinnost identifikace požadovaná zákonem, čímž ho lze pokládat za základní kámen pro uvedení nařízení eIDAS v život.

Za účelem poskytnout členským státům možnost, aby se dostatečně připravily na požadavky obsažené v nařízení eIDAS a provedly odpovídající legislativní a zejména technické změny, obsahuje nařízení eIDAS několik přechodných lhůt, přičemž některé z nich uplynuly v tomto roce.

První přechodná lhůta, jež uplynula ke dni 1. července 2017, se vztahovala na poskytovatele služeb souvisejících s elektronickými podpisy dle směrnice 1999/93/ES. Tito poskytovatelé se dle přechodných ustanovení nařízení eIDAS považovali i po vstupu v platnost tohoto nařízení za kvalifikované poskytovatele služeb vytvářejících důvěru, avšak nejpozději do 1. července 2017 museli dle článku 51 nařízení eIDAS provést vnitřní audit a předložit Ministerstvu vnitra jako orgánu dozoru zprávu, ve které bude doložena shoda jimi poskytovaných služeb se službami dle nařízení eIDAS. Pokud budou jimi nabízené služby splňovat požadavky kladené na obdobné služby nařízením eIDAS, udělí jim Ministerstvo vnitra status kvalifikovaného poskytovatele služeb vytvářejících důvěru dle nařízení eIDAS, v opačném případě ztrácejí k 1. 7. 2017 takové postavení. Poskytovatelé, kterým tento status zůstane zachován, budou pak následně zapsáni na tzv. národní důvěryhodné seznamy kvalifikovaných poskytovatelů (tzv. EU Trusted Lists of Certification Service Providers) (dále jen „TSL seznamy“), které vede každý jednotlivý členský stát.

Jako problematická se v této situaci jeví zejména skutečnost, že roční lhůta byla stanovena pouze pro provedení auditu a předložení zprávy o posouzení shody Ministerstvu vnitra, avšak nikoli k jejímu zhodnocení. Docházelo tak k situacím, kdy poskytovatelé byly na TSL seznamy zapsáni a teprve po dokončení zhodnocení zprávy a auditu z těchto seznamů odebráni, popř. kdy zhodnocení nebylo provedeno vůbec a všichni poskytovatelé byli národní autoritou zapsáni na TSL seznamy jako poskytovatelé kvalifikovaní (viz situace na Slovensku).[6]

Další přechodné období uplynulo ke dni 19. září 2018. Tato lhůta byla stanovena ustanovením § 19 Zákonem o službách vytvářejících důvěru a měla sloužit jako přechodová fáze pro zavedení výlučného využívání kvalifikovaných elektronických podpisů založených na kvalifikovaném prostředku ve veřejné správě. Zákon o službách vytvářejících důvěru v souvislosti s přijetím nařízení eIDAS zakotvil do svého ustanovení § 5 povinnost použít k podepisování elektronickým podpisem výlučně kvalifikovaný elektronický podpis, a to za účelem zvýšení úrovně ochrany a důvěryhodnosti dokumentu opatřeného takovým podpisem. Doposud bylo možné kromě kvalifikovaného elektronického podpisu podepsat dokument i zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu pro elektronické podpisy, ten už však není možné od 20. září 2018 použít. Výše uvedená změna a přechod ke kvalifikovaným prostředkům dle nařízení eIDAS se netýká pouze elektronických podpisů, ale elektronický pečetí a časových razítek v případě jejich použití v rámci veřejné správy.

Soukromým fyzickým a právnickým osobám, které právně jednají vůči veřejné správě, zůstává i po 19. září 2018 zachována možnost podepisovat elektronické dokumenty oběma způsoby, tedy zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu pro elektronické podpisy nebo kvalifikovaným elektronickým podpisem. Uvedené vyplývá z ustanovení § 6 Zákona o službách vytvářejících důvěru, které oba elektronické podpisy sdružuje pod pojmem „uznávaný elektronický podpis.“

Třetím časovým milníkem se stal den 29. září 2018, kterým vstoupil v platnost článek 6 nařízení eIDAS, jenž upravuje vzájemné uznávání prostředků elektronické identifikace v případě přeshraničního využití on-line služeb poskytovaných orgány veřejné správy členských států. Jak bylo uvedeno výše, předchází vzájemnému uznání proces posouzení a notifikace, přičemž ode dne uveřejnění notifikace v Úředním věstníku Evropské unie plyne ostatním členským státům 12 měsíční lhůta na to, aby své národní systémy připravili pro kompatibilní užití s oznámeným prostředkem elektronické identifikace. Poté musí veřejná správa každého členského státu akceptovat identifikaci na základě oznámeného elektronického identifikačního prostředku.

Nejdále došlo ve výše zmiňovaném procesu Německo, jehož prostředek elektronické identifikace byl v Úředním věstníku Evropské unie zveřejněn již 26. září 2017. Ačkoli lhůta pro adaptaci národních systémů uplynula již 26. září 2018, povinnost uznávat německé prostředky elektronické identifikace členským státům vznikla až 29. září 2018. Kdy článek 6 nařízení eIDAS vstoupil v platnost.

Pro praxi výše uvedené znamená, že jakýkoli německý občan se při využívání jakýchkoli on-line služeb poskytovaných Českou republikou může identifikovat prostřednictvím svého občanského průkazu či elektronického povolení k pobytu.[7]

Prostředky elektronické identifikace ostatních výše uvedených států, jež byly do dnešního dne oznámeny v Úředním věstníku Evropské unie, bude povinné uznávat po uplynutí 12 měsíčního přechodného období, které skončí nejdříve v druhé polovině následujícího roku.

Od 1. července 2018 jsou občanům České republiky plošně vydávány tzv. elektronické občanské průkazy, tady průkazy se strojově čitelnými údaji a kontaktním elektronickým čipem, které představují další krok pro přiblížení se cílů eGovernmentu[8] (dále jen „eOP“). Na rozdíl od původně vydávaných „elektronických občanek“ z roku 2012 jsou tyto již zcela způsobilé k elektronické identifikaci jejich držitele.

Nové eOP umožňují jak identifikaci v rámci využívání on-line služeb, tak vytváření kvalifikovaných elektronických podpisů či autentizaci jejich držitele vůči informačním systémům. Tyto eOP tedy již zcela naplňují představu občanského průkazu jako dokladu, prostřednictvím kterého lze plnohodnotně provádět on-line transakce a elektronicky právně jednat. Současně eOP splňují veškeré požadavky nařízení eIDAS, a to s vysokou úrovní záruky.

Elektronickou identifikaci dle eOP lze využít jak v případě jednání s orgány veřejné správy, tak při jednání se soukromoprávními subjekty, neboť eOP lze dle Zákona o službách vytvářejících důvěru použít k elektronické identifikaci fyzické osoby ve všech situacích, kdy ji vyžadují právní předpisy.

Průkazy eOP v sobě automaticky zahrnují informace o průkazu samotném, kterými jsou sériové číslo průkazu, datum vydání, konec platnosti a označení úřadu, který eOP vydal. Pro využití elektronické identifikace jeho držitele, je nutné si tuto službu aktivovat, a to na úřadu kterékoli obce s rozšířenou působností. V takovém případě se na eOP nahrají údaje o držiteli, kterými jsou jméno a příjmení, pohlaví, státní občanství, datum, místo a okres narození, rodné číslo, adresa trvalého místa pobytu a rodinný stav. V případě elektronického podepisování či autentizace je pak potřeba nahrát si autentizační certifikát či kvalifikovaný certifikát pro vytváření elektronických podpisů na daný eOP. Jako způsob zabezpečení zde slouží osobní kódy, resp. PINy, které se vztahují ke každé jednotlivé výše uvedené službě, kterou eOP nabízí. Z toho důvodu je nezbytné pro maximální využití eOP znát 6 různých číselných kódů o 4 až 10 číslicích, což nemusí být uživateli eOP považováno za uživatelsky příjemné řešení.

Obslužnou aplikací je v daném případě „eObčanka“, jež umožňuje využití výše uvedených služeb a současně lze jejím prostřednictvím spravovat číselné kódy a nahrané certifikáty.

Ačkoli Zákon o elektronické identifikaci výslovně umožňuje provedení elektronické identifikace prostřednictvím kvalifikovaného systému elektronické komunikace (kterým jsou i výše uvedené eOP) tam, kde je požadována zákony (např. zákonem 21/1992 Sb., o bankách či zákonem 89/2012 Sb., občanský zákoník), není vždy takováto identifikace dostatečná.

Zákon 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „AML zákon“) vyjmenovává povinné osoby (jimiž je např. banka, úvěrní a spořitelní družstvo, finanční instituce, auditoři, notáři a další), které jsou povinny v případě provádění obchodních transakcí či při uzavírání obchodního vztahu provést identifikaci svých klientů. Cílem AML zákona je zejména rozpoznat a předcházet podezřelým obchodům prováděným za účelem praní špinavých peněž či finanční podpory terorismu. Ačkoli AML zákon stanovuje povinnost identifikace, nelze k jejímu provedení použít eOP dle Zákona o elektronické identifikaci. Důvodem je ustanovení § 11 odst. 8 AML zákona, které umožňuje provedení elektronické identifikace u finančních služeb pouze, pokud bude totožnost klienta ověřena u kvalifikovaného poskytovatele služeb vytvářejících důvěru podle nařízení eIDAS. Tímto je míněna identifikace výlučně na základě zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu či na základě kvalifikovaného elektronického podpisu, který bude současně spojen s kvalifikovaným časovým razítkem,[9] nikoli však na základě použití eOP, jenž je kvalifikovaným systémem a nikoli kvalifikovanou službou vytvářející důvěru.

Výše uvedené vyplývá ze skutečnosti, že nařízení eIDAS jinak definuje kvalifikované služby vytvářející důvěru (pod které spadá např. elektronický podpis) a jinak kvalifikovaný systém (takovým systémem jsou například eOP). Současná právní úprava tedy neumožňuje využít k elektronické identifikaci dle AML zákona identifikaci pouze prostřednictvím eOP a vytváří tak dvojkolejnost, neboť je vyžadovaná jak identifikace na základě eOP dle Zákona o elektronické identifikaci,[10] tak na základě zaručeného či kvalifikovaného elektronického podpisu s časovým razítkem dle AML zákona. Určitým řešením by bylo, aby si občan nechal na eOP nahrát zaručený či kvalifikovaný elektronický podpis včetně kvalifikovaného časového razítka a tyto při identifikaci použil. Takový postup je však značně nepraktický, neboť je pro uživatele administrativně a uživatelsky náročnější a vyžaduje také vynaložení dalších finančních prostředků na obstarání příslušného elektronického podpisu.

Za účelem odstranění této dvojkolejnosti předvídá nová směrnice (EU) č. 2018/843, kterou se mění směrnice (EU) 2015/849 o předcházení využívání finančního systému k praní peněz nebo financování terorismu a směrnice 2009/138/ES a  2013/36/EU ze dne 30. května 2018 (známá obecně pod označení 5. AMLD) možnost elektronické identifikace nejen prostřednictvím kvalifikovaných služeb vytvářejících důvěru dle nařízení eIDAS, ale i jinými bezpečnými metodami, jež budou uznané či určené členskými státy. Členské státy (včetně České republiky) by měly provést transpozici 5. AMLD směrnice do svých právních řádů do 10. ledna 2020.

Nařízení eIDAS je v platnosti již více než dva roky, avšak největší změny v rámci elektronických transakcí přineslo posledních šest měsíců tohoto roku. Nadále se však objevují oblasti, které bude nutné novelizovat s ohledem na cíle, které si nařízení eIDAS vytyčilo. Rovněž lze očekávat, že další otázky přinese praktické využívání přeshraniční elektronické identifikace v rámci Evropské unie, neboť v příštím roce uplyne lhůta 12 měsíců pro přípravu národních systémů hned u pěti členských států, jež notifikovaly své prostředky elektronické identifikace u Evropské komise. Ačkoli již byly učiněny podstatné kroky pro rozvoj a zefektivnění provádění on-line transakcí a poskytování on-line služeb, lze i přesto s ohledem na výše uvedené skutečnosti očekávat, že plné uvedení nařízení eIDAS v život bude ještě nějakou dobu trvat.

Mgr. David Kučera, 

advokát

Mgr. Aneta Průšová, 

advokátní koncipientka

[1]  Schéma procesu notifikace znázorněn na notifikaci německého občanského průkazu jako prostředku elektronické identifikace. K dispozici >>> zde. 

[2] Seznam členských států usilující o notifikaci, včetně aktuální fáze procesu notifikace. K dispozici >>> zde. 

[3] Přehled členských států, včetně národních kvalifikovaných poskytovatelů služeb vytvářejících důvěru. K dispozici >>> zde. 

[4] Peterka, Jiří, Elektronické podpisy: v září skončí výjimka, budou úředníci připraveni?, webový portál www.lupa.cz. K dispozici >>> zde. 

[5] Na rozdíl u směrnice, u které je potřeba její náležitá transpozice do právního řádu členského státu.

[6] Průša, Jiří, eIDAS a problémy s důvěryhodností kvalifikovaných certifikátů, webový portál www.lupa.cz. K dispozici >>> zde. 

[7] Detail zveřejnění německé prostředku pro elektronickou identifikace v Úředním věstníku Evropské unie. K dispozici >>> zde. 

[8] Základní myšlenkou eGovernmentu je správa věcí veřejných za využití moderních elektronických nástrojů, díky kterým bude veřejná správa k občanům přátelštější, dostupnější, efektivnější, rychlejší a levnější. V České republice stojí eGovernment na třech základních pilířích, a to na síti kontaktních míst veřejné správy (Czech POINT), na bezpečné komunikaci občanů se státní správou (zavedení datových schránek a eOP) a na existenci základních registrů (Správa základních registrů).

[9] Kvalifikované časové razítko zde slouží k ověření skutečnosti, že certifikát využitý k vytvoření elektronického podpisu byl v době podpisu dokumentu platný.

[10] Respektive zákonem o bankách, jenž požaduje identifikovat své klienty v případě uzavírání smlouvy o účtu.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz