facebook
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Dialog 3000Skylla
IT SYSTEMS 3/2016 , IT právo

Účinnost nařízení eIDAS se blíží



KPMGStále poněkud stranou pozornosti stojí nařízení eIDAS, které od 1. července 2016 nahradí patnáct let starou úpravu elektronického podpisu v České republice i celé Evropské unii. Přestože v oblasti elektronické identifikace nejde o vyslovenou revoluci, přináší nařízení některé zajímavé novinky a otázky.


Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (nařízení eIDAS) obsahuje dva základní okruhy regulace: stanovení pravidel pro služby vytvářející důvěru, zejména elektronických transakcí a stanovení právního rámce pro elektronickou identifikaci (elektronické podpisy a další nástroje). Cílem nařízení eIDAS je nahradit nepříliš úspěšnou úpravu elektronického podpisu obsaženou ve směrnici z roku 1999, kterou nařízení ruší. V České republice byla transponována zákonem č. 227/2000 Sb., o elektronickém podpisu, ve znění pozdějších předpisů, který český zákonodárce hodlá zrušit v rámci doprovodné legislativy k nařízení eIDAS.

Pro vysvětlení se sluší alespoň zjednodušeně uvést, že zatímco směrnice musí být v jednotlivých státech EU transponovány v určité stanovené lhůtě národními zákony, nařízení jsou přímo použitelná ve všech státech EU. Používají se v případech, kdy chce evropský zákonodárce pravidla v dané oblasti sjednotit v celé EU. Český zákonodárce tak nemá možnost pravidla nařízení jakkoli modifikovat, vyjma dořešení otázek výslovně svěřených nařízením do jeho působnosti. V případě nařízení eIDAS jde např. o stanovení sankcí za porušení práv a povinností plynoucích z tohoto předpisu.

Nařízení eIDAS spadá do dlouhodobé snahy o vybudování jednotného digitálního trhu v rámci EU. Jeho rozvoji brání zejména nedostatečná interoperabilita způsobů bezpečné identifikace a autentizace. A tak, ač internet v podstatě nezná hranic, neexistuje univerzální způsob zaručené elektronické komunikace např. vůči veřejným orgánům v různých zemích EU. Tuto ambici měla právě i směrnice 1999/93/ES, nicméně jejího cíle se nepodařilo dosáhnout.

Co nařízení (ne)říká

Mezi klíčové pojmy nařízení patří spojení „služba vytvářející důvěru“ (v angličtině „trust services“, díky připomínkám odborné veřejnosti byl v legislativním procesu nahrazen nevhodný překlad „důvěryhodné služby“). Tímto pojmem se rozumí vytváření, ověřování shody a platnosti elektronických podpisů, elektronických pečetí a časových razítek, dále pak služeb elektronického doporučeného doručování a certifikátů autentizace internetových stránek. Tyto instituty, jak je již z jejich názvu patrné, jsou obdobné svým aktuálním protějškům v českém zákoně o elektronickém podpisu. Nařízení eIDAS tak přináší v podstatě pouze terminologické změny (elektronická pečeť je obdobou stávající elektronické značky. Z věcných rozdílů lze zmínit, že elektronickou pečeť bude moct využívat pouze právnická osoba (na rozdíl od značky, kterou mohou dnes disponovat i fyzické osoby). Tato změna může mít negativní dopad např. na podnikající fyzické osoby.

Nařízení eIDAS na více místech správně zdůrazňuje princip technologické neutrality. Vzájemnou uznatelnost identifikace (nařízení ji honosně nazývá rámec interoperatibility) tak konstruuje nikoliv předepsaným technologickým řešením, ale postupem, kdy jednotlivé státy ohlásí Komisi národní systémy elektronické identifikace a po jejich zveřejnění v Úředním věstníku EU a zápisu do příslušného seznamu, budou orgány cizích států povinny příslušně identifikované dokumenty akceptovat. Tato povinnost má účinnost odloženou až na rok 2018, nicméně státy mohou dobrovolně uznávat řádně nahlášené systémy identifikace i dříve.

KPMG

Systémy elektronické komunikace jsou dle úrovně své bezpečnosti rozděleny na systémy s nízkou, značnou a vysokou úrovní záruky ověření totožnosti určité osoby. Konkrétní požadavky vychází z pilotního projektu STORK a jsou specifikovány v prováděcích předpisech k nařízení eIDAS. V návaznosti na úroveň bezpečnosti budou moci poskytovat tyto služby tzv. nekvalifikovaní a kvalifikovaní poskytovatelé služeb vytvářejících důvěru. Na jejich fungování se pak vztahují příslušná pravidla čl. 19 a 24 nařízení eIDAS (např. povinnost zavést vhodná technická a organizační opatření k řízení rizik, informovat své klienty o narušení bezpečnosti apod.) V souvislosti s účinností nařízení existuje návrh vnitrostátních předpisů (viz dále), mezi něž patří novela zákona o správních poplatcích. Ta stanoví, že za udělení statutu kvalifikovaného poskytovatele bude hrazen poplatek ve výši 25 000,- Kč. Lze přepokládat, že na získání nejvyšší úrovně záruky bude v ČR aspirovat služba MojeID sdružení CZ.NIC. Kvalifikovaní poskytovatelé pak budou moci využívat jednotnou značku důvěry, signalizující zaručenou úroveň identifikačních služeb. Orgánem dohledu, který v členských státech má vykonávat dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru, bude v České republice Ministerstvo vnitra, které je dlouhodobě zodpovědné za oblast eGovernmentu.

Důležité je zdůraznit, že dle čl. 2 odst. 2 se nařízení eIDAS nebude vztahovat na interní systémy, zavedené ve společnostech nebo v rámci státní správy. Nařízení eIDAS by mělo zajistit, že služby vytvářející důvěru budou moci být využity ve všech členských státech jako důkaz v soudním či správním řízení, zároveň by nová pravidla neměla mít vliv na požadavky na formu určitého právního jednání v jednotlivých národních právních řádech.

Doprovodná legislativa v ČR

Zásadní otázky v oblasti elektronické identifikace řeší přímo nařízení eIDAS, některé aspekty je však přeci jen nutné upravit rovněž v rámci českého práva (minimálně zmiňované terminologické úpravy). Za tímto účelem byly připraveny dva legislativní návrhy. Konkrétně zákon o službách vytvářejících důvěru pro elektronické transakce, který obsahuje především sankce pro poskytovatele těchto služeb, a zvláštní zákon, jímž se mění některé zákony v souvislosti s přijetím předchozího zákona. Tento doprovodný a změnový zákon je zajímavý především tím, že zavádí do našeho práva (zejména zákona č. 106/1999 Sb., o svobodném přístupu k informacím, známého také pod familiárním názvem „stošestka“) institut otevřených dat. Tuto zajímavou novinku však z pochopitelných důvodů nerozpracováváme v článku věnovaném nařízení eIDAS.

Bohužel ne zcela jasná je vazba nařízení eIDAS na úpravu způsobů jednání v občanském zákoníku, zejména nešťastný čl. 25 odst. 2 nařízení, který stanoví, že pouze tzv. kvalifikovaný elektronický podpis má účinky vlastnoručního podpisu. Bude zajímavé sledovat, jak se s novou regulací sžije právě konzervativní právnické prostředí, hledící na technologické novinky s nedůvěrou. O problémech s pochopením funkce elektronického podpisu svědčí naštěstí již pomalu překonaná soudní praxe. V ní lze dosud najít občasné požadavky, aby podání učiněné prostřednictvím datové schránky bylo zároveň opatřeno elektronickým podpisem. To je v rozporu se smyslem této právní úpravy i některými osvícenějšími rozhodnutími vyšších soudů.

Linda Kolaříková, Filip Horák | KPMG Legal Linda Kolaříková, Filip Horák
Autoři článku působí ve společnosti KPMG Legal.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Význam automatizace a digitalizace v post-pandemickém světě

IT Systems 6/2020V aktuálním vydání IT Systems se věnujeme především roli digitálních technologií v post-pandemickém světě. Zatímco se život postupně vrací do normálu, podniky se musí pustit do sanace škod a začít revitalizovat své provozy a procesy. Pandemie připravila pro mnohé firmy intenzivní zatěžkávací zkoušku. Současně ale jasně ukázala, čemu by podniky měly věnovat pozornost, aby svou provozuschopnost zabezpečily i do budoucnosti.