Elektronická identifikace podle nařízení eIDAS

Nařízení eIDAS přistupuje k regulaci oblasti elektronické identifikace jen na přeshraniční (evropské) úrovni. Znamená to, že toto nařízení neukládá členským státům realizovat systémy elektronické identifikace, ani je oznamovat ve smyslu postupu podle článku 9 citovaného nařízení, ale říká, že oznámené systémy musí být interoperabilní a vzájemně uznávané. Příslušný rámec interoperability zahrnuje např. minimální technické požadavky týkající se úrovní záruky (nařízení definuje tři úrovně: nízkou, značnou a vysokou) anebo definici minimálního souboru osobních identifikačních údajů jedinečně identifikujících fyzickou nebo právnickou osobu.

Pro státy, které měly zavedeny systémy elektronické identifikace před nabytím účinnosti nařízení eIDAS, to znamenalo, že je mohou dále vnitrostátně používat bez omezení a nemusí je vůbec měnit, pokud nepožadují přeshraniční uznávání. Avšak jestliže chtějí, aby tyto systémy byly celoevropsky uznávané, musí je upravit tak, jak to požaduje nařízení (včetně příslušných prováděcích předpisů) a následně je mohou oznámit.

Podle článku 6 nařízení eIDAS platí, že pokud se podle vnitrostátního práva nebo správní praxe pro přístup ke službě poskytované on-line subjektem veřejného sektoru v určitém členském státě vyžaduje elektronická identifikace, musí být umožněno využít i prostředek pro elektronickou identifikaci vydaný v jiném členském státě, pokud (zjednodušeně) je tento prostředek vydán v rámci oznámeného systému elektronické identifikace a jeho úroveň záruky je značná nebo vysoká a zároveň stejná nebo vyšší, než vyžadovaná úroveň záruky při přihlášení k dané službě. K tomuto uznání dojde do dvanácti měsíců od zveřejnění nebo příslušné aktualizaci seznamu oznámených systémů elektronické identifikace, který zveřejňuje Komise EU v Úředním věstníku. Poslední aktualizace tohoto seznamu proběhla 8. dubna 2020 a obsahuje 22 oznámených systémů ze 14 států, a to včetně „Vnitrostátního systému identifikace České republiky“, který byl v tomto seznamu zveřejněn 13. září 2019. Znamená to, že k jeho přeshraničnímu uznání dojde právě „v těchto dnech“, tedy od 13. září 2020 bude možné využít občanský průkaz s čipem k přihlášení k on-line službám poskytovaným všemi subjekty veřejné sektoru v celé Evropské unii.

Česká republika neměla v době před nabytím účinnosti nařízení eIDAS žádný systém elektronické identifikace realizován. Nepočítáme-li samozřejmě přenesené funkce datových schránek, jež se v některých případech (např. daňový portál) používaly také k elektronické identifikaci. Při rozmýšlení principů elektronické identifikace se tak mohlo vycházet z připravených mantinelů daných nařízením eIDAS. Nicméně úprava na národní úrovni byla nezbytná, neboť (jak bylo zmíněno v úvodu) nařízení eIDAS pro elektronickou identifikaci národní úroveň neřeší. Proto byl připraven zákon č. 250/2017 Sb., o elektronické identifikaci, který v návaznosti na nařízení eIDAS upravuje využití elektronické identifikace a zavádí některá česká specifika, mezi která patří též pojem kvalifikovaný systém elektronické identifikace.

Co je to kvalifikovaný systém

Stěžejním ustanovením pro použití různých možností a prostředků elektronické identifikace je § 2 citovaného zákona č. 250/2017 Sb. Ten říká, že vyžaduje-li právní předpis nebo výkon působnosti prokázání totožnosti, lze umožnit prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace. K tomuto ustanovení bylo zároveň připojeno dvouleté přechodné období, které umožňovalo po tuto přechodnou dobu ke zmíněnému účelu využití i jiných systémů než kvalifikovaných. Nicméně právě toto přechodné období již skončilo a od 1. července 2020 jsou jiné varianty nepřípustné.

Kvalifikovaný systém elektronické identifikace je tedy ryze český pojem, byť zahrnuje též systém elektronické identifikace oznámený podle článku 9 nařízení eIDAS. Jinými slovy, každý celoevropsky uznávaný systém elektronické identifikace, který splnil použitelné požadavky eIDAS, byl oznámen a v jehož rámci je vydáván a používán pouze prostředek pro elektronickou identifikaci s úrovní záruky alespoň značnou, je zároveň kvalifikovaným systémem podle českého právního řádu. Ale ne každý (český) kvalifikovaný systém musí být následně oznámen a celoevropsky uznáván.

Aktuálně jsou v České republice tři realizované kvalifikované systémy. První spravuje Ministerstvo vnitra, které se pro účely elektronické identifikace považuje za vydavatele občanského průkazu s kontaktním elektronickým čipem. Prostředkem pro elektronickou identifikaci je v tomto systému tedy občanský průkaz s čipem, který je vydáván od 1. července 2018, přičemž aktivace tohoto čipu je zcela dobrovolná. Pro použití tohoto prostředku pro přihlášení se k on-line službám a portálům poskytovaných veřejnou správou je třeba mít nainstalovánu aplikaci eObčanka, která je dostupná na stránkách info.eidentita.cz/eOP. Občanský průkaz s čipem splňuje nejvyšší, tedy vysokou, úroveň záruky dle nařízení eIDAS.

Správa základních registrů nabízí další způsob ověřování totožnosti prostřednictvím identifikačního prostředku s názvem NIA ID. Jde o přístupové údaje k aktivovanému uživatelskému účtu portálu Národního bodu pro identifikaci a autentizaci (NIA) tvořené uživatelským jménem a heslem a doplněné zadáním jednorázově vygenerovaného SMS kódu. Tento prostředek pro elektronickou identifikaci splňuje střední, tedy značnou úroveň záruky podle nařízení eIDAS.

Třetí kvalifikovaný systém elektronické identifikace realizovala První certifikační autorita, a.s. Ta vydává jako prostředek pro elektronickou identifikaci čipovou kartu řady Starcos 3.5, přičemž jde o prostředek s vysokou úrovní záruky podle nařízení eIDAS. Je to zatím jediný případ, kdy je správcem kvalifikovaného systému akreditovaná osoba, a nikoliv státní orgán.

Kdy je povinnosti použití kvalifikovaného systému

Kvalifikovaný systém elektronické identifikace je podle citovaného ustanovení § 2 zákona č. 250/2017 Sb. nutné použít k prokázání totožnosti s využitím elektronické identifikace ve všech případech, kde prokázání totožnosti vyžaduje právní předpis nebo kde prokázání totožnosti vyžaduje výkon působnosti.

Znamená to, že uvedené pravidlo se nevztahuje jen na veřejnou správu, ale zahrnuje i soukromoprávní případy, tedy všechny tzv. kvalifikované poskytovatele služeb. V případě, kdy soukromoprávní subjekt poskytuje on-line službu, při níž je prokázání totožnosti přímo vyžadováno zákonem, smí využít k tomuto prokázání pouze kvalifikovaný systém. Příkladem právního předpisu vyžadujícího prokázání totožnosti v oblasti soukromoprávních vztahů je zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu.

V oblasti veřejné správy je povinnost využití kvalifikovaného systému širší, neboť zahrnuje nejen případy, kdy je prokázání totožnosti přímo vyžadováno zákonem, ale také všechny další situace, kdy prokázání totožnosti vyžadují okolnosti naplňování působnosti, tedy jde o uplatňování veřejné moci. Na druhou stranu je třeba zdůraznit, že zákon č. 250/2017 Sb. otevírá možnost prokázání totožnosti s využitím elektronické identifikace, ale neukládá povinnost toto prokázání uvedeným způsobem umožnit. To znamená, že umožnění prokázání totožnosti s využitím elektronické identifikace je zcela v kompetenci každého orgánu veřejné moci, který poskytuje veřejnou službu. Avšak rozhodne-li se tuto službu poskytovat on-line, je jedinou cestou elektronické identifikace využití kvalifikovaného systému elektronické identifikace.

Toto využití je pro kvalifikované poskytovatele služeb prakticky realizovatelné napojením na národní bod pro identifikaci a autentizaci. Jde o informační systém veřejné správy, který obsahuje rozhraní umožňující napojit všechny kvalifikované systémy elektronické identifikace a kvalifikované poskytovatele služeb. Touto svou vlastností národní bod zajišťuje rovnocenný přístup pro všechny kvalifikované správce a kvalifikované poskytovatele, a tím přeneseně také pro všechny držitele prostředků pro elektronickou identifikaci bez ohledu na to, jaký prostředek si vyberou.

Mgr. Tomáš Lechner, Ph.D. Autor pracuje ve společnosti Triada jako konzultant pro oblast spisové služby a také působí na VŠE v Praze, kde se zabývá oblastí e-Governmentu.