Digitální identita: současný stav v České republice
Vláda na svém jednání dne 13.09.2023 schválila návrh zákona, kterým se mění zákon č. 12/2020 Sb. , o právu na digitální služby. Předmětná novela by měla přinést především možnost prokázat totožnost prezenčně prostřednictvím digitálního stejnopisu průkazu skrze mobilní aplikaci eDoklady[1] (dříve eDokladovka).[2] Ačkoliv by se mělo jednat o legislativní změnu, která usnadní občanům České republiky záležitosti každodenního života, ve světle projednávané revize nařízení eIDAS[3] se nejedná o zásadní posun v oblasti digitální identifikace.[4] Z tohoto důvodu bude prostřednictvím dvou článků nastíněn současný stav digitální identity a její nejbližší vývoj, zejména pak připravovaný projekt evropské peněženky digitální indenty (EUDI wallet).
Právní úprava digitální identity
Nařízení eIDAS představuje stěžejní úpravu elektronické identifikace a systémů pro elektronickou identifikaci. Elektronickou identifikací se dle nařízení eIDAS rozumí „postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující právnickou osobu.“[5] Struktura nařízení eIDAS rozeznává systémy elektronické identifikace, kdy součástí těchto systémů jsou jednotlivé prostředky pro elektronickou identifikaci vydávané jednotlivým osobám. Prostředkem pro elektronickou identifikaci je jednotka (hmotná, či nehmotná), která obsahuje osobní identifikační údaje sloužící k autentizaci online služby. Příkladem jednotky je například token nebo certifikát uložený v počítači.[6]
Stěžejní institut, který zavedl nařízení eIDAS, je institut vzájemného uznávání, prostřednictvím kterého byla stanovena povinnost členských států uznávat oznámené (notifikované) systémy elektronické identifikace, včetně v nich obsažených prostředků pro elektronickou identifikaci. Došlo tak k odstranění zásadní překážky jednotného trhu spočívající v dosavadním vzájemném neuznávání systémů elektronické identifikace mezi členskými státy. Členské státy tak musely od 28. září 2018 umožnit on-line přístup ke službě veřejného sektoru, pokud je k ní obecně umožněn přístup skrze prostředky pro elektronickou identifikaci, i skrze všechny oznámené (zahraniční) systémy elektronické identifikace, respektive v nich obsažené prostředky pro elektronickou identifikaci splňující podmínky článku 6 nařízení eIDAS.[7],[8] Na základě nařízení eIDAS se může například rakouský občan prostřednictvím ID Austria „přihlásit“ do českého portálu MOJE daně.
Český právní řád upravuje digitální identitu především v zákoně č. 250/2017 Sb. , o elektronické identifikaci. Problematiku digitální identity dále nalezneme rámcově upravenou i v zákoně č. 12/2020 Sb. , o právu na digitální služby, v zákoně č. 269/2021 Sb. , o občanských průkazech a v zákoně č. 21/1992 Sb. , o bankách.
Zákon o elektronické identifikaci navazuje na nařízení eIDAS, jehož obsah tvoří zejména úprava využití elektronické identifikace. Specifikum zákona o elektronické identifikaci je pojem kvalifikovaného systému[9], neboť tento pojem nevychází terminologicky z nařízení eIDAS.[10] Kvalifikovaný systém zahrnuje oznámené systémy elektronické identifikace dle nařízení eIDAS a dále také české (neoznámené) systémy elektronické identifikace, které splňují podmínky ustanovení § 3 odst. 1 zákona o elektronické identifikaci.
Klíčové pro používání digitální identity je především ustanovení § 12 zákona o právu na digitální služby, které upravuje právo na elektronickou identifikaci a autentizaci. Uživatel služby (fyzická či právnická osoba) bude mít dle tohoto ustanovení od 1. ledna 2025 právo provést svou identifikaci a autentizaci prostředkem pro elektronickou identifikaci podle své volby; nejméně však s úrovní značná[11], pokud není vyžadována vyšší úroveň, tj. úroveň záruky vysoká, pro všechny služby[12], kterým jejich charakter nebrání digitalizaci.
Pokud určitý právní předpis, či výkon působnosti vyžaduje prokázání totožnosti, tak je dle ustanovení § 2 zákona o elektronické identifikaci možné její prokázání s použitím elektronické identifikace, avšak pouze skrze kvalifikovaný systém elektronické identifikace. Je nutné zmínit, že elektronická identifikace v soukromém sektoru, tj. mezi fyzickými či právnickými osobami, není speciálně regulovaná.[13]
Systém elektronické identifikace je funkčně založen na národním bodu. Uživatel služby si zvolí, jakou on-line službu, či jinou činnost by chtěl využít (např. Portál občana) a následně je automaticky přesměrován na národní bod, kde si vybere z dostupných prostředků elektronické identifikace (např. bankovní identita). Po zvolení je uživatel služby automaticky přesměrován ke kvalifikovanému správci příslušného prostředku pro elektronickou identifikaci, který provede identifikaci a autentizaci uživatele služby. Pokud je identifikace a autentizace úspěšná, dojde opět k automatizovanému přesměrování na národní bod. Zde se ověří, nad rámec výše uvedeného, za pomocí dat ze základních registrů, totožnost uživatele a z příslušných informačních systémů veřejné správy doplní údaje, které jsou potřebné pro poskytnutí dané služby, či jiné činnosti. Pokud uživatel udělí souhlas s předáním údajů kvalifikovanému poskytovateli předmětné služby, dojde k předání potřených údajů o uživateli kvalifikovanému poskytovateli služby. Ten daného uživatele služby dle těchto údajů autorizuje a zpřístupní mu poskytovanou službu.[14], [15]
Prostředky pro elektronickou identifikaci v České republice
V České republice je v současné době dostupné velké množství prostředků pro elektronickou identifikaci, které je možné rozdělit do dvou skupin; (i) na prostředky elektronické identifikace spravované státními orgány a na (ii) prostředky elektronické identifikace spravované akreditovanými osobami.[16]
Za prostředky elektronické identifikace spravované státními orgány je možné považovat:
- Mobilní klíč eGovernmentu;
- NIA ID;
- eObčanku.[17]
Prostředky elektronické identifikace spravované akreditovanými osobami představují:
Velké množství prostředků pro elektronickou identifikaci je částečně zdůvodněno různými technickými řešeními, kdy některé jsou založeny například na karetním principu (eObčanky, I.CA identita) a jiné jsou například založeny na bázi mobilní aplikace (Mobilní klíč eGovernmentu). Toto velké množství prostředků pro elektronickou identifikaci ovšem může působit na potenciální uživatele negativně, neboť pro průměrného uživatele je obtížné se správně orientovat v tak velkém množstvím prostředků pro elektronickou identifikaci.
Obecně představuje digitální identita poměrně využívaný nástroj v České republice, kdy celkový počet unikátních přihlášení dosáhl ke dni 31. prosince 2022 hodnoty 2 134 144 unikátních přihlášení.[20] Je však nutné poznamenat, že ke dni 31. prosince 2022 bylo celkem vydáno již více než 11 milionů prostředků pro elektronickou identifikaci. Můžeme tedy pozorovat zásadní problém s nízkou mírou využívanosti těchto prostředků. Bankovní identita představuje nejrozšířenější prostředek pro elektronickou identifikaci v České republice, kdy s počtem 10 394 959 přihlášení za rok 2022, tvoří výraznou většinu v rámci prostředků pro elektronickou identifikaci.[21]
I přes velký výběr na trhu prostředků pro elektronickou identifikaci autor tohoto článku nepovažuje ani jeden z nich za zcela ideální. Na základě jejich komplexního hodnocení ovšem autor aktuálně považuje za nejoptimálnější současný prostředek pro elektronickou identifikaci MojeID, který představuje single sign-on řešení, s možností vybrat si úroveň záruky, jakožto i konkrétní prostředky zabezpečení. Navíc představuje MojeID oznámený systém elektronické identifikace s možností přeshraničního použití. Hlavní nevýhodou je jeho relativně nízká míra rozšířenosti, a ne tak snadné založení jako v případě bankovní indenty.
Právě bankovní identita by mohla představovat optimální řešení, jejíž další rozvoj je ovšem aktuálně zpomalován skutečností, že nebyla doposud oznámena jako systém elektronické identifikace ve smyslu nařízení eIDAS a nelze ji používat přeshraničně. Bankovní identita navíc dosahuje zatím pouze značné úrovně záruky. Její hlavní výhodou je však zpravidla automatické založení již v době zřízení internetového bankovního účtu.[22]
Závěr
V tomto článku autor seznámil čtenáře se základy právní úpravy digitální identity a současně představil dostupné prostředky pro elektronickou identifikaci v České republice a jejich problematické aspekty. V dalším článku se autor zaměří na revizi nařízení eIDAS a připravovaný projekt evropské peněženky digitální indenty (EUDI wallet), který by mohl být optimálním řešením pro současné problémy elektronické identifikace.
Mgr. Bc. Karel Pelikán
advokátní koncipient
Doležal & Partners s.r.o., advokátní kancelář
Růžová 1416/17, 110 00, Praha 1
Koliště 1912/13, 602 00, Brno
Tel.: +420 222 544 201
e-mail: office@dolezalpartners.com
[1] Jedná se stále o pracovní název.
[2] Návrh zákona, kterým se mění zákon č. 12/2020 Sb. , o právu na digitální služby a o změně některých zákonů, ve znění pozdějších předpisů, a další související zákony [online]. ODok [cit. 15. 9. 2023]. K dispozici >>> zde.
[3] Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
[4] Pojmy digitální identifikace a elektronická identifikace jsou synonyma.
[5] Článek 3 bod 1 nařízení eIDAS.
[6] Zaccaria, A. et al. EU eIDAS Regulation: Regulation (EU) 910/2014 on electronic identification and trust services for electronic transactions in the internal market: article-by-article commentary. München: C.H. Beck, 2020, s. 50-54.
[7] Zaccaria et al. EU eIDAS Regulation, s. 83–84.
[8] Donát, J., Maisner, M., Piffl, R. Nařízení eIDAS: komentář. Praha: C.H. Beck, 2017, s. 47–48.
[9] Jedná se o legislativní zkratku pro kvalifikovaný systém elektronické identifikace.
[10] Srov. Důvodová zpráva k zákonu č. 250/2017 Sb. o elektronické identifikaci [online]. Beck-online [cit. 17. 9. 2023]. K dispozici >>> zde.
[11] Nařízení eIDAS zavádí tři různé úrovně záruk pro systémy elektronické identifikace, a to nízkou, značnou a vysokou. Každá úroveň zaručuje u prostředku pro elektronickou identifikace určitou úroveň spolehlivosti ve vztahu k deklarované či uváděné totožnosti předmětné osoby. Technické specifikace úrovní záruk jsou upraveny prováděcím nařízení komise (EU) 2015/1502.
[12] Dle ustanovení § 2 odst. 2 zákona o právu na digitální služby se digitální službou rozumí: „úkon vykonávaný orgánem veřejné moci vůči uživateli služby v rámci agendy a vedený v katalogu služeb jako úkon v elektronické podobě; za digitální službu se považuje i úkon vykonávaný vůči uživateli služby kontaktním místem veřejné správy v rámci agendy.“
[13] Kovář, D., Korbel, F. Právní úprava tzv. bankovní identity [online]. Advokátní deník. 9. 5. 2021 [cit. 8. 2. 2023]. K dispozici >>> zde.
[14] Příručka k využití služeb národní identitní autority pro kvalifikované poskytovatele služeb veřejné správy [online]. Identita občana. 10. 11. 2021, [cit. 20. 9. 2023]. K dispozici >>> zde.
[15] Identita občana v roce 2022: souhrnné vybrané statistiky [online]. NAKIT. 21. 2. 2023 [cit. 20. 9. 2023]. K dispozici >>> zde.
[16] Akreditovaná osoba představuje osobu soukromého práva (fyzickou či právnickou), která je správcem akreditovaného kvalifikovaného systému.
[18] Bankovní identitou se pro účely tohoto článku rozumí jednotlivé kvalifikované systémy elektronické identifikace spravované jednotlivými bankami jakožto akreditovanými osobami, kterých je v současné době celkem 10.
[20] Identita občana v roce 2022: souhrnné vybrané statistiky [online]. NAKIT. 21. 2. 2023 [cit. 20. 9. 2023].K dispozici >>> zde.
[21] Identita občana v roce 2022: souhrnné vybrané statistiky [online]. NAKIT. 21. 2. 2023 [cit. 15. 9. 2023]. K dispozici >>> zde.
[22] Loutocký, P., Kasl, F. Potenciál a úskalí identifikačních služeb bankovní identity. Právník. 2021, č. 12, s. 1051.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
