V čem je tento návrh zákona vlastně zajímavý? Není to jen další z řady nesrozumitelných technických novel, které nám společně přinášejí dobrodiní e-governmentu?

Asi nejzajímavější změnou, kterou novela přináší je rozšíření počtu kontaktních míst veřejné správy tzv. Czech POINTů o další subjekty. Nově by tak kromě pošt, obecních úřadů nebo třeba pracovišť Hospodářské komory mohly Czech POINTy provozovat za poplatek také banky a stavební spořitelny. Z nepříliš obsáhlé diskuze, která se na půdě Poslanecké sněmovny při prvním čtení o návrhu vedla dne 29.4.2011 vyplynulo, že oprávnění bank a stavebních spořitelen by mělo být pouze prvním krokem k tomu, aby se kontaktními místy Czech POINT mohly stát i další soukromé subjekty. Navržená úprava je tak jakousi zkušební verzí předtím než přijde další novela a najede se takříkajíc na plný provoz. Časem se tak třeba dočkáme, že Czech POINT bude v naší oblíbené kavárně nebo samoobsluze. Tato  představa jistě vypadá lákavě, čím hustší bude síť Czech POINTů, tím větší bude přeci komfort těch, kdo Czech POINTy využívají, což jsme asi dnes už my všichni. Právě rozšíření počtu kontaktních míst je podle důvodové zprávy hlavním účelem řečeného návrhu. V čem je tedy problém?

Pomiňme pro tuto chvíli otázku, jestli je skutečně potřeba rozšiřovat počet  kontaktních míst, kterou mimochodem klade i vláda ve svém usnesení č. 169 ze dne 9.3.2011.[4]  Nikdy jsem dosud neměl pocit, že by bylo Czech POINTů málo, nicméně neupírám nikomu pocit, že tomu tak skutečně je nebo v blízké budoucnosti bude. Problém totiž vidím především v zabezpečení údajů, k nimž lze prostřednictvím Czech POINTů přistupovat, v kombinaci s privatizací státní moci, která už není přenášena pouze na státem kontrolované podniky (pošta, Hospodářská komora) nebo specifická právnická povolání (notáři) upravená zvláštními právními předpisy, ale přímo na zcela soukromé subjekty jako jsou banky nebo stavební spořitelny. S výše zmíněným návrhem není spojena žádná analýza rizik pro bezpečnost osobních údajů ani analýza dokládající potřebnost a vhodnost přijetí těchto opatření. Na tyto nedostatky ve svém stanovisku poukazuje i vláda. Jejich vypracování by přitom mělo být nezbytným předpokladem pro možnost komplexně posoudit klady a zápory tohoto návrhu.

Prostřednictvím Czech Pointů totiž dnes nezískáváme pouze aktuální výpisy z veřejných rejstříků, ať už jde třeba o obchodní rejstřík nebo katastr nemovitostí, ale i z rejstříků neveřejných, jako je třeba bodový registr řidičů nebo rejstřík trestů. V budoucnu půjde o další a další registry, včetně zřizovaných základních registrů. Vedle přístupu do registrů budou moci úředníci bank a spořitelen provádět i autorizovanou konverzi dokumentů. Proč pak nerozšířit pravomoci bankovních úředníků i na ověřování podpisů nebo vidimaci listin, v čem je tato činnost od konverze dokumentů odlišná? Až nakonec podle plánu uděláme Czech POINTy i u řady dalších subjektů, dočkáme se snad i toho, že si konverzi dokumentů nebo ověřování podpisů budeme dělat sami z tepla domova?

Vraťme se ale k otázce přístupu do neveřejných rejstříků státní správy. Pokud zůstaneme například u výpisu z rejstříku trestů, tak celý proces vyžádání výpisu probíhá zhruba tak, že občan prokáže svoji totožnost občanským průkazem, vyplní papírovou žádost o výpis, příslušný úředník si přes systém Czech POINT vyžádá konkrétní výpis a předá ho občanovi. Papírovou žádost pak zaarchivuje pro případ kontroly. Pro vyžádání konkrétního výpisu tedy postačuje skutečnost, že se systémem pracuje oprávněná osoba (úředník obecního úřadu, pošty, v budoucnu banky nebo spořitelny a třeba i oné kavárny či samoobsluhy). Systém nepožaduje žádný doklad o tom, že skutečně existuje oprávněný člověk, který o výpis žádá, tedy fyzicky stojí v místnosti a převezme výpis.

Představme si tedy situaci, že jste oprávněným pracovníkem banky, pošty nebo obecního úřadu a chcete si zjistit trestní minulost vašeho souseda, který se právě přistěhoval. Není nic jednoduššího, než si sednout za počítač, tvářit se, že výpis žádáte na základě pověření vašeho souseda a výpis z rejstříku během krátké doby držíte v ruce. Jediným problémem je neexistence papírové žádosti, kterou máte archivovat pro případ kontroly.

Kritici jistě můžou namítnout, že riziko zneužití tu přeci existuje již dnes, když se systémem Czech POINT mohou pracovat tisíce špatně zaplacených zaměstnanců obecních úřadů nebo pošt. V tom budou mít jistě pravdu. Zmíněný návrh zákona skutečně problém v tomto smyslu nevytváří pouze prohlubuje. Lze argumentovat i tak, že přes problematické zabezpečení k žádným únikům dat nedošlo. Dozvěděli bychom se ale o takovém zneužití systému? V nedávné době zacloumal českou veřejností případ varnsdorfského policisty, který si neoprávněně vyžádal výpisy provozních a lokalizačních údajů desítek osob, včetně předsedy Ústavního soudu. Toto opakované a dlouhodobé zneužívání pravomocí jedním policistou nebylo odhaleno ani soudem, ani Inspekcí Policie ČR při první kontrole a odhalila ho až druhá hloubková kontrola. To, že se nejspíš jedná pouze o vrchol ledovce potvrdil ve svém přirovnání kauzy k lochnesské příšeře, které zatím vykukují jen oči, i ministr vnitra Jan Kubice.[5] Kontrolu těch, kteří pracují se systémem Czech POINT by podle navrhované úpravy mělo provádět Ministerstvo vnitra, myslet si, že hrozba podobné kontroly může působit preventivně, pokud v současné době je vydáváno každý rok téměř milion výpisů z rejstříku trestů, je dle mého názoru iluzorní.

Zabezpečení by mělo být pokud možno založeno na takových opatřeních, která neoprávněný přístup k údajům technicky znemožní nebo riziko významně sníží. Když chceme ochránit věci v  bytě také dveře vybavíme zámkem a nespoléháme se na ceduli s nápisem „Soukromý byt, neoprávněný vstup bude stíhán dle trestního zákoníku“. Žádný zámek ale předložená novela nepřináší, zabezpečením dat se vůbec nezabývá a to ani v důvodové zprávě, přestože takové zabezpečení není složité a koncepce egovernmentu s ním počítala dokud se nezačala z důvodu úspor drolit.

Jaké by tedy mohlo být řešení. Již řadu let se připravuje zavedení elektronických občanských průkazů, ty by v navrhované podobě přinesly důležitý bezpečnostní prvek, který by měl do značné míry zajistit aby se výpis dostal do rukou toho, kdo je k tomu oprávněn. Princip by měl být jednoduchý a podobný dnešním platebním kartám. Identifikace a autentizace držitele karty by byla provedena kombinací údajů z občanského průkazu včetně jeho čísla s jedinečným číslem PIN, tak jak je tomu dnes při placení kartou nebo vybírání peněz z bankomatu. Czech POINT by potom mohl být jakýmsi lepším bankomatem, kde občan automatizovaně komunikuje přímo s úřadem, od nějž si něco žádá, ať už jde o výpis z rejstříku trestů nebo třeba konverzi dokumentu. Úředník, klidně i bankovní, by pak plnil pouze funkci jakéhosi rádce při obsluze takového zařízení (to by bylo v majetku státu) a nikoli zprostředkovatele kontaktu. Před nedávnem nicméně Ministerstvo vnitra přišlo s novelou několika zákonů, v nichž je navrhováno odsunutí zavádění nových elektronických občanských průkazů o dva roky na 1.1.2014 z důvodu úsporných opatření.[6] Minimálně do té doby tedy s tímto bezpečnostním prvkem počítat nemůžeme. Minimálně do té doby by také měla být odsunuta účinnost řečené novely.

Mgr. Jan Vobořil
právník

Iuridicum Remedium, o.s.

Vírská 14/278,
198 00  Praha 9

Kancelář a korespondenční adresa:

U Průhonu 23/1201
170 00  Praha 7

Tel.: + 420 222 515 564
Fax: + 420 222 515 564
e-mail: iure@iure.org

--------------------------------------------------------------------------------
[1] dostupný >>> zde
[2] dostupný >>> zde
[3] Stav ke dni 17.8.2011
[4] dostupný >>> zde
[5] dostupný >>> zde
[6] dostupný >>> zde

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz