Nařízení eIDAS je ze své povahy přímo aplikovatelné ve všech členských státech Evropské unie a ruší se jím doposud platná směrnice o elektronickém podpisu. Můžeme se tedy těšit na novelizaci české legislativy. Pojďme se na text zákona podívat, odcitovat si zásadní pasáže a zamyslet se, kudy se bude nová česká legislativa ubírat.

Cílem eIDAS je vytvořit společný kybernetický prostor, s jednotnou procedurou ověřování. Současná situace je totiž taková, že ve většině případů nemohou občané svoji elektronickou identifikaci používat k autentizaci v jiném členském státě. Vnitrostátní systémy elektronické identifikace nejsou mezi státy EU vzájemně uznávány, což staví před poskytovatele služeb bariéru a výhody vnitřního trhu nejsou plně využívány.

Cílem eIDAS je zajistit, aby byly odstraněny překážky plošného fungování elektronického podpisových nástrojů v celé EU. Nyní je použití jednotlivých technických prostředků víceméně stále ještě omezeno na jednotlivé státy. A z této oblasti vyplyne do budoucna nejvíce změn. Legislativně bude potvrzena právní vymahatelnost aktů prováděných digitálně. Nařízení uvádí, že: „Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy.”

Zajímavou změnou je zařazení „důvěryhodných služeb” do regulace. Důvěryhodnými službami jsou míněny služby zajišťující důvěryhodné doručování, tzn. služby typu Datové schránky nebo autentizaci, jako je služba MojeId. Nařízení také zavádí přímou finanční odpovědnost za škodu pro provozovatele služeb. Nařízení přidává do regulace pro evropskou legislativu nové termíny (elektronické razítko), které ovšem už byly pro nás známé z českého zákona o elektronickém podpisu.

Nařízení se vedle elektronického podpisu věnuje také dalším službám, které „vytvářejí důvěru“. Tímto opisem jsou míněny veškeré služby plně autentizovaného doručování, jako jsou například datové schránky, ale i služby zprostředkovávající autentizaci, založenou na identifikaci. Tedy služby jako je například české MojeID. Citujme z legislativy: „Toto nařízení by mělo stanovit odpovědnost pro všechny poskytovatele služeb vytvářejících důvěru. Zejména zavádí režim odpovědnosti, podle kterého by všichni poskytovatelé služeb vytvářejících důvěru měli odpovídat za škodu, kterou fyzické nebo právnické osobě způsobí v důsledku nesplnění povinností podle tohoto nařízení.”

Nařízení přináší nový termín, elektronická pečeť a definuje tento termín následovně: „Kvalifikovanou elektronickou pečetí je míněna zaručená elektronická pečeť, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a která je založena na kvalifikovaném certifikátu pro elektronickou pečeť.”

Zákaz umělých překážek

Elektronická identita je skvělá věc, ale dosud byla její platnost prakticky vzato omezena regionálně-národně. Elektronický podpis platil v Česku, na Slovensku už fakticky ne. Respektive de iure platil, de facto však s jeho aplikací bylo spojeno tolik technických problémů, že fakticky jeho použití bylo silně omezené. Cílem nové legislativy je všechny tyto bariéry odstranit tak, aby digitální identita byla funkční skutečně v celé EU.

Architekt českého eGovernmentu Ondřej Felix nařízení zhodnotil takto: „Jde o další krok k vytvoření jednotného digitálního trhu, který zahrnuje volný pohyb osob, zboží, kapitálu a nyní i služeb. Nebude již trvat dlouho a bude možné využívat online služby přeshraničně, což bude znamenat například, že student se bude moci přihlásit na zahraniční univerzitu online, občané budou moci vyplnit daňové přiznání v jiném členském státu online, bude možné online vyřídit nezbytné formality týkající se práce, bydlení a pobírání důchodu kdekoliv na území EU.”

Nové nařízení členským zemím explicitně zakazuje klást překážky novým autentizačním standardům. Citujme: „Členské státy nesmějí spoléhajícím se stranám, které chtějí tuto autentizaci provést, ukládat zvláštní nepřiměřené technické požadavky, které by bránily interoperabilitě oznámených systémů elektronické identifikace nebo by ji významně ztěžovaly.” Je zde patrná jasná a chvályhodná snaha napomoci šíření standardů přes hranice. Na druhou stranu, nebude to znamenat pro provozovatele aplikací státní správy náklady za zpřístupnění nových autentizačních mechanismů? Zřejmě ano. Které to budou a kolik jich bude? To zatím ještě známo není, bude třeba si počkat na novelizaci českého zákona o elektronickém podpisu a na novelizaci příslušných vyhlášek.

Úrovně záruky

Nová evropská legislativa přináší přesnější definici záruk, které certifikační autorita nese. Záruky jsou rozlišovány na nízkou, značnou a vysokou úroveň záruky. Členění je následující:

• Nízká úroveň záruky označuje prostředek pro elektronickou identifikaci, který nabízí omezenou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je snížit riziko zneužití nebo změny totožnosti.
• Značná úroveň záruky označuje prostředek pro elektronickou identifikaci, který nabízí značnou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je značně snížit riziko zneužití nebo změny totožnosti.
• Vysoká úroveň záruky označuje prostředek pro elektronickou identifikaci, který nabízí vyšší míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby než prostředek pro elektronickou identifikaci se značnou úrovní záruky a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je předejít zneužití nebo změně totožnosti.

Jaké změny legislativa přinese finančnímu sektoru?

Svět se nezmění škrtnutím právníkova pera. Není však pochyb o tom, že odstraněním legislativních bariér dojde k dalšímu posílení a růstu digitálního světa. Co se stane, až si uživatel bude moci založit účet, zažádat o hypotéku ze svého domu, bez nutnosti návštěvy bankovní pobočky? Povede tato skutečnost k propadu návštěv poboček? Zřejmě ano. Vzpomeňme, k jakému propadu došlo v devadesátých letech při první vlně zavádění elektronických platebních kanálů, internetového bankovnictví a mobilních plateb. Pokud se záměr legislativců podaří naplnit, bude však změna ještě větší. Absenčně si budeme moci založit bankovní účet třeba i v Británii. Klienti si už nebudou porovnávat žebříčky jen domácích bank, ale budou si porovnávat i účty zahraniční. Při vyhledávání platebních metod budou nepochybně klienti stále častěji používat platební systémy napřímo integrované do prohlížečů a digitálních zařízení. A v oblasti plateb budou bankám stále častěji konkurovat aplikace jako je PayPal a Google Wallet.

Jestliže bude po této legislativně-technické evoluci kapitál díky elektronické identitě výrazně flexibilnější a globalizovanější, je otázka. Kam se nakonec přesype? Uvidíme.

Vítězslav Praks Autor pracuje jako solution consultant ve společnosti Ness.