Nepřístupný dokument, nutné přihlášení
Input:

Elektronická komunikace - digitální budoucnost

16.5.2017, , Zdroj: Verlag Dashöfer

2017.10.2
Elektronická komunikace - digitální budoucnost

MvDR. Milan Vodička

VYŠLO V ČÍSLE 10/2017

Motto: „Největší chyba, kterou v životě můžete udělat, je mít pořád strach, že nějakou uděláte.” Elbert Hubbard

Zásadní změnu v oblasti elektronické identifikace, komunikace a doručování přinesla nová norma Evropské unie, která byla schválena jako Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES a pro níž se rychle ujala zkratka eIDAS. Následně došlo k úpravě tuzemské legislativy v podobě přijetí nového zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (dále jen ZETR) a také doprovodného zákona č. 298/2016 Sb.1, kterým bylo upraveno několik desítek dalších předpisů. Připraven je nový zákon o elektronické identifikaci, který přinese některé nové instituty a podmínky, novelizován byl i zákon č. 328/1999 Sb., o občanských průkazech. V dalším textu budu vybírat z výše uvedených předpisů některé novinky, především s ohledem na možné dopady do praxe.

1. Nařízení eIDAS

Nařízení EU 910/2014 eIDAS je zaměřeno na „služby, které jsou poskytovány veřejnosti a mají vliv na třetí strany”, to znamená především oblast nazývanou eGovernment, jako moderní způsob výkonu státní správy s využitím informačních technologií. Z působnosti nařízení jsou naopak vyjmuty „uzavřené systémy s omezeným počtem účastníků”, to znamená podnikové nebo profesní systémy v soukromoprávní oblasti, vedle nich pak i národní registry typu veřejných rejstříků nebo katastru nemovitostí. Účinnost většiny klíčových ustanovení eIDAS nastala 1. 7. 2016, nicméně bylo definováno přechodné období do září 2018, kdy se teprve použije článek 6 eIDAS upravující povinnost vzájemného uznávání způsobů elektronické identifikace a autentizace ve všech členských státech EU. Musí být ovšem splněny podmínky administrativní povahy (zveřejnění daného prostředku elektronické identifikace na příslušném seznamu evropské Komise) i povahy bezpečnostní (potřebná úroveň záruky vyžadovaná a používaná subjektem veřejného sektoru).

Nařízení eIDAS je pro praxi prvkem sjednocujícím nejen technické standardy tak, aby spolu dokázaly komunikovat systémy odlišných institucí z různých zemí (interoperabilita), ale i právní rámec elektronické identifikace, doručování a důvěryhodnosti (povinnost akceptovat digitální dokumenty, podpisy, pečeti, razítka apod.).

Nařízení eIDAS je velmi důsledně technologicky neutrální, díky tomu je minimalizováno riziko, že by se stalo nepoužitelným pro nové IT prostředky, které dnes ještě nemusí ani být známy. Je záležitostí členských států, jaké prostředky pro identifikaci nebo doručování vyberou k oznámení Komisi EU a ty se po zveřejnění v seznamu stanou po dvanácti měsících povinně akceptovatelné v celé Evropské unii. Kromě již dnes rozšířených elektronických podpisů a pečetí tak mohou být využity nástroje prokazování identity založené na otisku prstu, scanu oční duhovky, biometrickém podpisu apod. Je proto otázkou, s jakými konkrétními způsoby se bude možné v praxi setkat.

2. Dopady eIDAS v praxi

Nově definované základní pojmy

Nabytím účinnosti Nařízení eIDAS došlo díky jeho přímému účinku k zakotvení pojmů uvedených v článku 3, které se tím pádem staly součástí i českého legislativního prostředí; k těm nejdůležitějším patří:

Autentizace „elektronický postup, který umožňuje potvrdit elektronickou identifikaci fyzické či právnické osoby nebo původ a integritu dat v elektronické podobě”. U nás takový postup používá delší dobu Informační systém datových schránek (ISDS), který ověřuje prostřednictvím zadání přihlašovacích údajů identitu fyzických osob v jiných systémech státní správy, jako je Daňový portál, ePortál ČSSZ a některé další.

Certifikát pro elektronický podpis „elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby”.

Elektronická identifikace – „postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující právnickou osobu”.

Elektronický podpis, což jsou data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena, a která podepisující osoba používá k podepsání”.

Elektronické časové razítko „data v elektronické podobě, která spojují jiná data v elektronické podobě s určitým okamžikem a prokazují, že tato jiná data existovala v daném okamžiku”. Kvalifikované časové razítko pak musí splňovat nároky dle článku 42 eIDAS.

Kvalifikovaný elektronický podpis zaručený elektronický podpis2, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy”.

Kvalifikovaný poskytovatel „poskytovatel služeb vytvářejících důvěru, který poskytuje jednu či více kvalifikovaných služeb vytvářejících důvěru a kterému orgán dohledu udělil status kvalifikovaného poskytovatele”.

Kvalifikovaná elektronická pečeť – „zaručená elektronická pečeť3, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a je založena na kvalifikovaném certifikátu pro elektronickou pečeť”.

Služba elektronického doporučeného doručování „služba, která umožňuje přenášet data mezi třetími osobami elektronickými prostředky a poskytuje důkazy týkající se nakládání s přenášenými daty, včetně dokladu o odeslání a přijetí dat, a která chrání přenášená data před rizikem ztráty, odcizení, poškození nebo neoprávněných změn”.

Změny a novinky v ČR

Byť s určitou prodlevou, ale přece jen, došlo i u nás k potřebné úpravě legislativy reflektující účinnost Nařízení eIDAS. Byl zcela zrušen zákon o elektronickém podpisu č. 227/2000 Sb. a nahrazen novým předpisem, zákonem č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce a o změně některých zákonů (dále jen ZETR). Protože byl přijímán se zpožděním, byl účinný okamžitě po uveřejnění ve Sbírce zákonů, tzn. od 19. 9. 2016. Jak uvádí předkládací zpráva, byla zvolena minimalistická varianta tohoto zákona, tedy úprava pouze toho, co eIDAS ponechává v kompetenci národní legislativy. V podstatných otázkách elektronické identifikace, autentizace a doručování jsou tím pádem klíčová ustanovení samotného nařízení EU, kterých se v praxi lze dovolat.

ZETR mimo jiné definuje v závislosti na podepisujícím subjektu pro jednotlivé typy právního jednání v § 5 a § 6 přípustné druhy elektronického podpisu.

§ 5

K podepisování elektronickým podpisem lze použít pouze kvalifikovaný elektronický podpis, podepisuje-li elektronický dokument, kterým právně jedná,

a) stát, územní samosprávný celek, právnická osoba zřízená zákonem nebo právnická osoba zřízená nebo založená státem, územním samosprávným celkem nebo právnickou osobou zřízenou zákonem (dále jen „veřejnoprávní podepisující“), nebo

b) osoba neuvedená v písmenu a) při výkonu své působnosti.

§ 6

(1) K podepisování elektronickým podpisem lze použít pouze uznávaný elektronický podpis, podepisuje-li se elektronický dokument, kterým se právně jedná vůči veřejnoprávnímu podepisujícímu nebo jiné osobě v souvislosti s výkonem jejich působnosti.

(2) Uznávaným elektronickým podpisem se rozumí zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis nebo kvalifikovaný elektronický podpis.

Pro tzv. veřejnoprávní podepisující je tedy založena povinnost používat kvalifikovaný elektronický podpis definovaný nařízením eIDAS. Zde je nutno poukázat na skutečnost, že toto nařízení zvýšilo požadavky na elektronické podepisování. V čem tkví rozdíl? Nejedná se o certifikáty, kvalifikované jsou vydávány již delší dobu, stejně tak společnosti, které byly již dříve akreditovány jako poskytovatelé služeb spojených s certifikáty elektronického podpisu, se staly kvalifikovanými poskytovateli4. Rozdíl spočívá ve způsobu připojení elektronického podpisu, dle nové evropské normy musí být vytvořen kvalifikovaným prostředkem, v dnešní době to znamená pomocí čipové karty (a čtečky) nebo tokenu. Skutečnost, že byl při vytváření kvalifikovaného podpisu použit právě takový prostředek, by měla být seznatelná při ověřování podpisu.

Při jednání směřujícím naopak vůči institucím označeným jako