Nařízení eIDAS se znovu připomíná

Rozsah oblastí, které upravuje nařízení Evropského parlamentu a Rady č. 910/2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES známé pod zkratkou eIDAS, je poměrně velký. V letošním roce se k tomuto nařízení vztahují hned dvě události svázané s českým prostředím. Chronologicky první je nabytí účinnosti zákona č. 250/2017 Sb., o elektronické identifikaci, a druhou je konec přechodného období podle zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce. Obě tyto události a jejich důsledky budou diskutovány v tomto příspěvku.

Nařízení eIDAS a české adaptační zákony

Nařízení Evropského parlamentu a Rady jsou již z principu závazná v celém rozsahu a přímo použitelná ve všech členských státech, aniž je třeba je explicitně implementovat do národních právních řádů. Přesto si tato nařízení často vyžádají úpravu národních předpisů, a to ze dvou důvodů. Prvním důvodem je potřeba úprav, aby národní právní předpisy byly v souladu s dikcí nového nařízení, a druhým je skutečnost, že nařízení může některé oblasti ponechávat na doplnění podle národních zvyklostí a podmínek. V případě nařízení eIDAS se uplatnily oba důvody. Primárně tak vznikl zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, který zrušil původní český zákon o elektronickém podpisu a doplnil celkovou regulaci oblasti poskytovatelů služeb vytvářejících důvěru pro elektronické transakce včetně stanovení sankcí za porušení daných pravidel a oblasti elektronických zabezpečovacích prvků, jako je elektronický podpis, elektronická pečeť a elektronické časové razítko.

Nařízení eIDAS obsahovalo jednoleté přechodné období, během kterého bylo možné používat dříve vydané certifikáty pro tvorbu elektronického podpisu a dalších elektronických zabezpečovacích prvků. Český adaptační zákon č. 297/2016 Sb. byl v tomto ohledu benevolentnější a obsahoval dokonce dvouleté přechodné období, které však skončilo 19. září tohoto roku. Je třeba si uvědomit, že uvedená benevolence platila pouze pro české území a vnitrostátní vztahy. V případě mezinárodní spolupráce je třeba se již více než rok držet v oblasti pravidel pro elektronické podepisování striktně plného znění nařízení eIDAS včetně použití kvalifikovaných prostředků pro vytváření kvalifikovaných elektronických podpisů.

Citovaný zákon č. 297/2016 Sb. není jediným adaptačním zákonem k nařízení eIDAS, který v českém právním řádu aktuálně platí. Kromě několika drobných změn implementovaných v dalších zákonech je třeba vzpomenout stěžejního předpisu v podobě zákona č. 250/2017 Sb., o elektronické identifikaci. Tento zákon nabyl účinnosti 1. července letošního roku, přičemž ruku v ruce s ním nabyla účinnosti novela zákona o občanských průkazech, která umožnila vydávání těchto průkazů s čipem jako prostředku pro elektronickou identifikaci. Využití této identifikace je podstatné pro mnoho digitálních služeb veřejné správy, jinými slovy, pro všechny takové služby, které vyžadují online ověření identity jednající osoby.

Z hlediska měst a obcí jsou podstatné samozřejmě oba zmíněné adaptační předpisy, avšak aktuálně má jistě větší dopad první z nich, neboť se týká všech těchto subjektů, zatím co druhý pouze těch, které poskytují nějaké veřejné digitální online služby vyžadující identifikaci konkrétní osoby, jež tyto služby využívá. Proto se nejprve budeme věnovat elektronickému podepisování a teprve posléze elektronické identifikaci.

Elektronické podepisování

Orgány veřejné moci musí k elektronickému podepisování dokumentů využívat jen kvalifikovaný elektronický podpis, což je dle nařízení eIDAS zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy. Právě povinnost použití kvalifikovaných prostředků pro vytváření elektronických podpisů byla zmírněna oním dvouletým přechodným obdobím. Po tu dobu se postupně rozšiřovala nabídka těchto prostředků, které bylo třeba nově pořídit. Již není možné, aby orgány veřejné moci používaly pro vytváření elektronických podpisů certifikáty uložené na původních úložištích (původních tokenech) nebo dokonce přímo v počítači v operačním systému. Požadavky na kvalitu kvalifikovaných prostředků (nových tokenů) jsou dány evropskými předpisy a normami, primárně prováděcím předpisem k nařízení eIDAS.

Úvodní obrazovka aplikace Vedoucí v elektronickém systému spisové služby Munis ERMS
Obr 1. Úvodní obrazovka aplikace Vedoucí v elektronickém systému spisové služby Munis ERMS

Vlastní elektronické podepisování musí samozřejmě také splňovat příslušné normy, což zaručí použitý systém, nejčastěji elektronický systém spisové služby. Proces elektronického podepisování znamená připojení elektronického podpisu založeného na kvalifikovaném certifikátu pro elektronické podpisy, který je uložen na kvalifikovaném nosiči. V elektronickém systému spisové služby Munis ERMS je tento proces součástí schvalovacích postupů v aplikacích Úředník anebo Vedoucí (viz Obr. 1). Vlastní průběh procesu elektronického podepsání dokumentu v digitální podobě se použitím kvalifikovaného prostředku nemění. Díky uživatelskému nastavení vybraných certifikátů je v Munis ERMS navíc plně eliminována chybovost případně plynoucí z nesprávné volby certifikátu, která zde tak nemůže nastat. Vlastní proces lze navíc mnohými způsoby nastavit tak, aby plně podporoval pravidla pro podepisování plynoucí z vnitřních směrnic organizace a aplikovaná v různých typech řízení.

Kromě elektronického podpisu je třeba podle § 11 zákona č. 297/2016 Sb. připojit k podpisu také kvalifikované elektronické časové razítko. A to ve všech případech, kdy se elektronickým dokumentem právně jedná. Podle metodického pokynu Ministerstva vnitra je třeba chápat význam právního jednání ve velmi širokém smyslu zahrnujícím jak veřejnoprávní, tak i soukromoprávní formy. U těch veřejnoprávních se primárně jedná o konstitutivní a deklaratorní rozhodnutí orgánů veřejné moci, avšak právních jednání ve smyslu zákona č. 297/2016 Sb. zahrnuje podle tohoto metodického pokynu i úkony orgánů veřejné moci s nižší mírou právních účinků, respektive nepřímými právními účinky jako je osvědčení, vyjádření či sdělení. Z tohoto pokynu lze usuzovat, že časové razítko je třeba přidat prakticky vždy.

Ukázková žádost o schválení dokumentu v elektronickém systému spisové služby Munis ERMS
Obr 2. Ukázková žádost o schválení dokumentu v elektronickém systému spisové služby Munis ERMS

I splnění této povinnosti je v elektronické spisové službě Munis ERMS velmi jednoduché. Nastavení časového razítkování je také součástí schvalovacích procesů a uživatele nikterak nezatěžuje. Pro obce, které nemají uzavřenou smlouvu s poskytovatelem služeb vytvářejících důvěru pro elektronické transakce na službu časového razítkování, navíc společnost Triada nabízí vlastní zprostředkování s okamžitou aktivací služby přímo ve spisové službě Munis ERMS.

Poslední problematikou spojenou s koncem přechodného období podle zákona č. 297/2016 Sb. je elektronické pečetění. Ustanovení § 8 cit. předpisu říká, že nestanoví-li jiný právní předpis jako náležitost právního jednání obsaženého v dokumentu podpis nebo tato náležitost nevyplývá z povahy právního jednání, pak orgány veřejné noci zapečetí dokument v elektronické podobě kvalifikovanou elektronickou pečetí. Existují různé způsoby, jak lze elektronické pečetění realizovat, avšak důležité je, že je třeba jej použít pouze v případech, kdy se dokument elektronicky nepodepisuje. Lze se setkat i s jiným výkladem uvádějícím, že pečetit by se měl každý dokument, a to i takový, který je podepsán. Avšak tento výklad není podložen žádným ustanovením a též výše citovaný metodický pokyn Ministerstva vnitra k tomu uvádí, že se dokumenty buď podepisují, nebo pečetí. Ve většině případů lze tedy vystačit s používaným elektronickým podepisováním a netřeba elektronické pečetění řešit. Pokud by ale nastaly případy, kdy se dokumenty nepodepisují, pak lze v prostředí elektronické spisové služby Munis ERMS přidat k dokumentu v digitální podobě též kvalifikovanou elektronickou pečeť.

Elektronická identita

Zákon č. 250/2017 Sb., o elektronické identifikaci, je dalším z adaptačních zákonů k nařízení eIDAS. Hned v úvodu diskuse o elektronické identitě je třeba podotknout, že nařízení eIDAS nenařizuje žádnému členskému státu Evropské unie, aby provozoval vlastní elektronickou identitu pro své občany, ale nařizuje, aby každý členský stát uznával ohlášené prostředky pro elektronickou identifikaci zveřejněné podle tohoto nařízení Evropskou komisí, a to do 12 měsíců od zveřejnění tohoto seznamu. Pokud tedy orgán veřejné moci v České republice bude provozovat digitální veřejnou službu vyžadující identifikaci jednací osoby a umožní přihlášení této osoby podle zákona č. 250/2017 Sb., musí umožnit též přihlášení všemi dalšími prostředky pro elektronickou identifikaci z jiných členských států, jejichž seznam byl zveřejněn. K tomu slouží tzv. národní bod pro elektronickou identifikaci a autentizaci.

Česká republika se tedy dobrovolně rozhodla, že se přidá k zemím, které svým občanům dají možnost elektronické identifikace. Protože naše autorita vznikla až v letošním roce, nemůže být aktuálně uznávána v dalších členských státech Evropské unie. To bude platit až po 12 měsících od zveřejnění této identity na určeném seznamu prostředků pro elektronickou identifikaci.

Města a obce poskytují řadu veřejných digitálních služeb, avšak v online režimu jich zatím bylo jen velmi málo takových, které by vyžadovaly přímou identifikaci jednající osoby. Mezi nejčastější nyní poskytované služby patří např. zveřejnění obsahu úřední desky způsobem umožňujícím vzdálený přístup anebo detailní přehled o čerpání a plnění rozpočtu nazývaný na portálu iMunis.cz Rozklikávacím rozpočtem. Avšak ani jedna z těchto služeb nevyžaduje identifikaci osoby, která tyto informace čerpá.

Nicméně zavedení elektronické identifikace a vydávání nových občanských průkazů od 1. července letošního roku otevírá městům a obcím nové možnosti v nabídce nových digitálních online služeb. Informační systém Munis je připraven poskytnout pro tyto služby vhodné datové zázemí a např. ve vazbě na portál iMunis.cz nabídnout nové možnosti digitálních služeb jako je přehled zaplacených a nezaplacených poplatků konkrétního důvěryhodně identifikovaného plátce či poplatníka nebo detailní informace o stavu vyřizování jednotlivých dokumentů pro konkrétního důvěryhodně identifikovaného podatele. Robustní datové jádro informačního systému Munis a možnosti ztotožnění v jednotlivých rejstřících jsou základem pro další rozvoj nabídky digitálních služeb měst a obcí včetně naplňování vizí Smart Cities.