Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (nařízení eIDAS) obsahuje dva základní okruhy regulace: stanovení pravidel pro služby vytvářející důvěru, zejména elektronických transakcí a stanovení právního rámce pro elektronickou identifikaci (elektronické podpisy a další nástroje). Cílem nařízení eIDAS je nahradit nepříliš úspěšnou úpravu elektronického podpisu obsaženou ve směrnici z roku 1999, kterou nařízení ruší. V České republice byla transponována zákonem č. 227/2000 Sb., o elektronickém podpisu, ve znění pozdějších předpisů, který český zákonodárce hodlá zrušit v rámci doprovodné legislativy k nařízení eIDAS.

Pro vysvětlení se sluší alespoň zjednodušeně uvést, že zatímco směrnice musí být v jednotlivých státech EU transponovány v určité stanovené lhůtě národními zákony, nařízení jsou přímo použitelná ve všech státech EU. Používají se v případech, kdy chce evropský zákonodárce pravidla v dané oblasti sjednotit v celé EU. Český zákonodárce tak nemá možnost pravidla nařízení jakkoli modifikovat, vyjma dořešení otázek výslovně svěřených nařízením do jeho působnosti. V případě nařízení eIDAS jde např. o stanovení sankcí za porušení práv a povinností plynoucích z tohoto předpisu.

Nařízení eIDAS spadá do dlouhodobé snahy o vybudování jednotného digitálního trhu v rámci EU. Jeho rozvoji brání zejména nedostatečná interoperabilita způsobů bezpečné identifikace a autentizace. A tak, ač internet v podstatě nezná hranic, neexistuje univerzální způsob zaručené elektronické komunikace např. vůči veřejným orgánům v různých zemích EU. Tuto ambici měla právě i směrnice 1999/93/ES, nicméně jejího cíle se nepodařilo dosáhnout.

Co nařízení (ne)říká

Mezi klíčové pojmy nařízení patří spojení „služba vytvářející důvěru“ (v angličtině „trust services“, díky připomínkám odborné veřejnosti byl v legislativním procesu nahrazen nevhodný překlad „důvěryhodné služby“). Tímto pojmem se rozumí vytváření, ověřování shody a platnosti elektronických podpisů, elektronických pečetí a časových razítek, dále pak služeb elektronického doporučeného doručování a certifikátů autentizace internetových stránek. Tyto instituty, jak je již z jejich názvu patrné, jsou obdobné svým aktuálním protějškům v českém zákoně o elektronickém podpisu. Nařízení eIDAS tak přináší v podstatě pouze terminologické změny (elektronická pečeť je obdobou stávající elektronické značky. Z věcných rozdílů lze zmínit, že elektronickou pečeť bude moct využívat pouze právnická osoba (na rozdíl od značky, kterou mohou dnes disponovat i fyzické osoby). Tato změna může mít negativní dopad např. na podnikající fyzické osoby.

Nařízení eIDAS na více místech správně zdůrazňuje princip technologické neutrality. Vzájemnou uznatelnost identifikace (nařízení ji honosně nazývá rámec interoperatibility) tak konstruuje nikoliv předepsaným technologickým řešením, ale postupem, kdy jednotlivé státy ohlásí Komisi národní systémy elektronické identifikace a po jejich zveřejnění v Úředním věstníku EU a zápisu do příslušného seznamu, budou orgány cizích států povinny příslušně identifikované dokumenty akceptovat. Tato povinnost má účinnost odloženou až na rok 2018, nicméně státy mohou dobrovolně uznávat řádně nahlášené systémy identifikace i dříve.

Systémy elektronické komunikace jsou dle úrovně své bezpečnosti rozděleny na systémy s nízkou, značnou a vysokou úrovní záruky ověření totožnosti určité osoby. Konkrétní požadavky vychází z pilotního projektu STORK a jsou specifikovány v prováděcích předpisech k nařízení eIDAS. V návaznosti na úroveň bezpečnosti budou moci poskytovat tyto služby tzv. nekvalifikovaní a kvalifikovaní poskytovatelé služeb vytvářejících důvěru. Na jejich fungování se pak vztahují příslušná pravidla čl. 19 a 24 nařízení eIDAS (např. povinnost zavést vhodná technická a organizační opatření k řízení rizik, informovat své klienty o narušení bezpečnosti apod.) V souvislosti s účinností nařízení existuje návrh vnitrostátních předpisů (viz dále), mezi něž patří novela zákona o správních poplatcích. Ta stanoví, že za udělení statutu kvalifikovaného poskytovatele bude hrazen poplatek ve výši 25 000,- Kč. Lze přepokládat, že na získání nejvyšší úrovně záruky bude v ČR aspirovat služba MojeID sdružení CZ.NIC. Kvalifikovaní poskytovatelé pak budou moci využívat jednotnou značku důvěry, signalizující zaručenou úroveň identifikačních služeb. Orgánem dohledu, který v členských státech má vykonávat dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru, bude v České republice Ministerstvo vnitra, které je dlouhodobě zodpovědné za oblast eGovernmentu.

Důležité je zdůraznit, že dle čl. 2 odst. 2 se nařízení eIDAS nebude vztahovat na interní systémy, zavedené ve společnostech nebo v rámci státní správy. Nařízení eIDAS by mělo zajistit, že služby vytvářející důvěru budou moci být využity ve všech členských státech jako důkaz v soudním či správním řízení, zároveň by nová pravidla neměla mít vliv na požadavky na formu určitého právního jednání v jednotlivých národních právních řádech.

Doprovodná legislativa v ČR

Zásadní otázky v oblasti elektronické identifikace řeší přímo nařízení eIDAS, některé aspekty je však přeci jen nutné upravit rovněž v rámci českého práva (minimálně zmiňované terminologické úpravy). Za tímto účelem byly připraveny dva legislativní návrhy. Konkrétně zákon o službách vytvářejících důvěru pro elektronické transakce, který obsahuje především sankce pro poskytovatele těchto služeb, a zvláštní zákon, jímž se mění některé zákony v souvislosti s přijetím předchozího zákona. Tento doprovodný a změnový zákon je zajímavý především tím, že zavádí do našeho práva (zejména zákona č. 106/1999 Sb., o svobodném přístupu k informacím, známého také pod familiárním názvem „stošestka“) institut otevřených dat. Tuto zajímavou novinku však z pochopitelných důvodů nerozpracováváme v článku věnovaném nařízení eIDAS.

Bohužel ne zcela jasná je vazba nařízení eIDAS na úpravu způsobů jednání v občanském zákoníku, zejména nešťastný čl. 25 odst. 2 nařízení, který stanoví, že pouze tzv. kvalifikovaný elektronický podpis má účinky vlastnoručního podpisu. Bude zajímavé sledovat, jak se s novou regulací sžije právě konzervativní právnické prostředí, hledící na technologické novinky s nedůvěrou. O problémech s pochopením funkce elektronického podpisu svědčí naštěstí již pomalu překonaná soudní praxe. V ní lze dosud najít občasné požadavky, aby podání učiněné prostřednictvím datové schránky bylo zároveň opatřeno elektronickým podpisem. To je v rozporu se smyslem této právní úpravy i některými osvícenějšími rozhodnutími vyšších soudů.

Linda Kolaříková, Filip Horák Autoři článku působí ve společnosti KPMG Legal.