Stav k 1. červenci 2016

Každé nařízení Evropského parlamentu a Rady (EU) je z principu ve všech členských státech automaticky použitelné a není třeba jej transponovat do národních právních řádů. Nicméně v souvislosti s nařízením eIDAS některé změny potřebné jsou. Jednak nařízení eIDAS nechává některé oblasti na národní regulaci, např. přestupky a správní delikty, sankce a dohledový orgán. A dále elektronický podpis, který nařízení eIDAS také reguluje, je již více než patnáct let předmětem národních zákonů, v České republice je to zákon č. 227/2000 Sb., o elektronickém podpisu.

Proto bylo třeba provést a schválit změny i v českých právních předpisech. Asi už nikoho moc nepřekvapí, že jsme to v České republice (opětovně) nestihli. Uvedených 21 a půl měsíce nám bylo málo. Příslušný zákon o službách vytvářejících důvěru pro elektronické transakce a jeho souputník zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o službách vytvářejících důvěru pro elektronické transakce, byly předloženy vládou do schvalovacího procesu až 31. března letošního roku, tedy v době, která s ohledem na typickou dobu trvání legislativního procesu už nedávala moc nadějí, že se vše k 1. červenci podaří stihnout. A tak se také nestihlo.

Ke konci června měly oba zmíněné předpisy za sebou III. čtení v Poslanecké sněmovně Parlamentu ČR, takže z hlediska schvalovacího procesu jim ještě zbýval Senát a podpis prezidenta. A tak od 1. července 2016 v České republice platí dva předpisy, které upravují stejnou oblast. Je to velmi nešťastná situace i s ohledem na to, jak málo jsou nástroje e-Governmentu občany České republiky využívány. Zvýšení nejistoty v oblasti používání elektronických podpisů a dalších zabezpečovacích prvků elektronických dokumentů rozhodně nepřispěje k tomu, aby se situace v této oblasti zlepšila. Bohužel je to již po několikáté, kdy je nástup nových možností využití elektronických nástrojů degradován nevhodným postupem ze strany odpovědných orgánů. Donuceno okolnostmi vydalo Ministerstvo vnitra ČR alespoň návodné „Stanovisko k aplikaci nařízení eIDAS a zákona o elektronickém podpisu po 1. 7. 2016“, které je dostupné na webových stránkách ministerstva v sekci e-Government.

V tomto stanovisku jsou diskutovány povinnosti poskytovatelů služeb vytvářejících důvěru, pozice Ministerstva vnitra ČR jako orgánu dohledu a samostatně oblasti elektronického podpisu, značek, pečetí a časových razítek. Stanovisko vychází z tvrzení, že účinná ustanovení nařízení eIDAS jsou po 1. 7. 2016 přímo použitelná, avšak ustanovení zákona o elektronickém podpisu, která nejsou s účinnými ustanoveními nařízení eIDAS v rozporu, jsou nadále aplikovatelná i po tomto datu, dokud nebude zákon o elektronickém podpisu zrušen.

Působnost nařízení eIDAS

Co chybí ve zmíněném stanovisku, je velmi zásadní zmínka o působnosti nařízení eIDAS. Ta je specifikována v článku 2 cit. nařízení, kde je uvedeno, že nařízení eIDAS se vztahuje na systémy elektronické identifikace oznámené členskými státy a na poskytovatele služeb vytvářejících důvěru usazené v Unii, ale nevztahuje se na poskytování služeb vytvářejících důvěru, které jsou používány výhradně v rámci uzavřených systémů vyplývajících z vnitrostátního práva nebo z dohod mezi určeným okruhem účastníků. Zjednodušeně řečeno to znamená, že musíme akceptovat všechny postupy, které jsou dány nařízením eIDAS, např. online služby poskytované subjektem veřejného sektoru nesmí vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis podle nařízení eIDAS, ale neznamená to, že si nemůžeme ve vnitřním (národním) prostoru definovat sami pro sebe další vnitřní pravidla a specifické postupy. Teprve když si toto uvědomíme, je jasné, že situace po 1. červenci 2016 není zas tak kritická a lze ji řešit dočasným stanoviskem.

Pokud se hovoří o nařízení eIDAS, je velmi dobré mít na paměti, že toto nařízení definuje nové služby a nástroje, ale jen velmi málo specifikuje povinnosti jejich použití. Nepřímo je tak i toto ponecháno na národní regulaci. Velmi jasně je to vidět v návrhu zákona o službách vytvářejících důvěru, kde je stanovena povinnost pro orgány veřejné moci přidat ke každému elektronickému podpisu či elektronické pečeti kvalifikované časové razítko. Z hlediska praktického použití takto vytvořených elektronických dokumentů je to jistě dobré ustanovení, které zlepšuje možnosti následného ověřování těchto elektronických zabezpečovacích prvků. Ale je to ustanovení, které platí zase jen v České republice. Pokud budou českým orgánům veřejné moci přicházet elektronické dokumenty podepsaného kvalifikovaným elektronickým podpisem podle nařízení eIDAS od orgánů jiných členských států, nemusí být k podpisu časová razítka připojena, pokud tuto povinnost neupravují jejich vnitrostátní předpisy.

Nařízení eIDAS tedy určuje obecná pravidla, která jsou v souladu s budováním jednotného digitálního trhu v rámci Digitální agendy pro Evropu. U nás bývá toto nařízení často zkresleně vnímáno jen jako další součást e-Governmentu, tedy postupné elektronizace veřejné správy. Nařízení eIDAS se však týká i soukromého sektoru. Znamená to, že např. výhody plynoucí z realizace důvěryhodné elektronické identifikace mají být dostupné též soukromým subjektům. V České republice se podle aktuálních plánů počítá s jejich zapojováním až od roku 2018. Avšak služby vytvářející důvěru lze začít budovat už nyní a netřeba čekat na to, co udělá Ministerstvo vnitra ČR nebo jiný orgán veřejné moci.

Služby vytvářející důvěru

Služby vytvářející důvěru jsou dle nařízení eIDAS (čl. 3 odst. 16) elektronické služby, které jsou zpravidla poskytovány za úplatu a spočívají:

• ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo
• ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo
• v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami.

Otevírají se zde tak další příležitosti, zejména na poli uchovávání elektronických podpisů a elektronických dokumentů a stejně také v oblasti doporučeného elektronického doručování. V České republice jsou jako jeden z velmi významných nástrojů e-Governmentu realizovány datové schránky, které také slouží k doporučenému důvěryhodnému elektronickému doručování. Díky zákonu č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, se v nich však spojuje více funkcí a služeb dohromady, které z ISDS dělají systém, který aktuálně stojí mimo působnost nařízení eIDAS.

Nařízení eIDAS definuje vzájemně se doplňující, avšak nepřekrývající se služby. Konkrétně elektronický podpis jako důkaz projevu vůle podepisující osoby, elektronickou identifikaci fyzických a právnických subjektů, která je právě a pouze identifikací, a služby elektronického doporučeného doručování, které se starají jen od doručování. Je třeba vždy k těmto nástrojům a službám přistupovat přesně vymezeným způsobem.

Jak již bylo zmíněno, jsou datové schránky v České republice postaveny jiným způsobem, neboť kromě důvěryhodného doporučeného doručování zajišťují také identifikaci osoby. Aktuálně jsou dokonce jedinou elektronickou identitou osoby uznávanou veřejnou správou, čehož využívá např. Daňový portál Ministerstva financí ČR, ale i další portály orgánů veřejné moci, které vyžadují pro podání jednoznačnou identifikaci osoby. Aby toho nebylo málo, je použití datové schránky také spojeno s projevem vůle (fikcí podpisu), neboť podle § 18 odst. 2 zákona č. 300/2008 Sb. má úkon učiněný oprávněnou anebo pověřenou osobou prostřednictvím datové schránky stejné účinky jako úkon učiněný písemně a podepsaný, ledaže jiný právní předpis nebo vnitřní předpis požaduje společný úkon více z uvedených osob.

Datové schránky jsou tedy velmi specifickým národním nástrojem České republiky a podle aktuálních plánů budou takto i nadále zachovány. Jak však již bylo zmíněno, nic nebrání tomu, aby i v České republice jakýkoliv soukromý subjekt vytvořil svůj vlastní systém důvěryhodného doporučeného doručování podle nařízení eIDAS. A pokud splní všechny nařízením eIDAS a příslušnými prováděcími předpisy dané náležitosti, bude muset být doručování prostřednictvím něj uznáváno. Příležitostí se tedy otevírá více a čas ukáže, zda budou využity, nebo promarněny.

Mgr. Tomáš Lechner, Ph.D. Autor pracuje ve společnosti Triada jako konzultant pro oblast spisové služby a také působí na VŠE v Praze, kde se zabývá oblastí e-Governmentu.