Kam směřuje elektronická identifikace

Spolehlivé a věrohodné určení jednající osoby je pro právní jednání zcela zásadní, patří mezi nezbytné předpoklady zajištění účinnosti takového jednání. V materiální podobě se dosahuje předložením průkazu, cestovního dokladu nebo jiné listiny, která dostatečně průkazně osvědčí totožnost konkrétní fyzické osoby. Naprosto stejný požadavek musí být naplněn i v digitálním prostředí, jelikož právní předpisy nerozlišují formu úkonu a na elektronickou identitu dopadají ustanovení příslušných předpisů zcela stejně. Jako příklad lze uvést znění § 562 nového občanského zákoníku (dále jen „NOZ“):

Podobně hovoří i ustanovení příslušných procesních předpisů, které zakotvují požadavek určení, kdo úkon (podání) činí, viz:

Při distančním úkonu v elektronické podobě tedy existuje podmínka určit dostatečně spolehlivě identitu jednající osoby, přičemž k dispozici je několik možností.

Pod tímto názvem se skrývá vlastnost elektronického podpisu identifikovat fyzickou osobu, se kterou je jednoznačně spojen. Jedná se o jeden z požadavků definovaných článkem 26 nařízení Evropského parlamentu a Rady (EU) č. 910/2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce, tzv. eIDAS. Spolehlivost identifikace konkrétní osoby je založena také na požadavku, že elektronický podpis byl vytvořen pomocí dat (certifikátu), které má podepisující pod svou výhradní kontrolou. Stejné vlastnosti, a tedy i účinky mají také „vyšší“ formy elektronického podpisu, konkrétně v české legislativě popsaný elektronický podpis¹⁾ a nařízením eIDAS definovaný podpis²⁾.

Jednoznačně je zákonem č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, upravena oblast úkonů a právního jednání orgánů veřejné moci anebo vůči nim. Pro soukromoprávní jednání jsou dle ustanovení tohoto zákona přípustné i jiné typy elektronických podpisů. Je ovšem otázkou, nakolik lze zajistit následnou průkaznost a doložitelnost úkonů v elektronické podobě. Osobně se domnívám, že v současné době se určují hranice a meze toho, co je přípustné a co nikoli. Sleduji v této souvislosti především související judikaturu, ve které převažující přístup velmi dobře ilustruje rozsudek Městského soudu v Praze z 8. 7. 2020 :

Ke stejným závěrům došly soudy i v řadě jiných kauz, viz např. Krajský soud v Praze a rozsudky sp. zn. 27 Co 327/2018 nebo 28 Co 387/2015, Krajský soud v Ústí nad Labem v rozsudcích sp. zn. 14 Co 268/2014 či 11 Co 703/2014, Krajský soud v Plzni sp. zn. 64 Co 485/2015, Okresní soud v České Lípě v rozsudku sp. zn. 51 C 271/2020-16 anebo Okresní soud v Jihlavě pod sp. zn. 24 C 197/2020-46.

Pro soukromé právní jednání tedy bezpochyby existuje legislativně založená smluvní volnost ohledně typu elektronického podpisu³⁾, který bude použit a vzájemně akceptován, ovšem na druhé straně by se tak mělo dít s vědomím toho, zda lze v případě potřeby dostatečně prokazatelně identifikovat protistranu a zajistit žádoucí vymahatelnost. Kromě podpisů založených na elektronických certifikátech se lze v praxi setkat i s dalšími variantami, jako např. biometrické podpisy, ale také moderovaný videorozhovor, během kterého jsou mobilním telefonem (tabletem apod.) snímána gesta účastníků osvědčující jejich vůli, případně kamerou zaznamenány předložené osobní doklady. Obdobně existuje možnost využít chráněného prostředí na internetu, do kterého vstupují jednotliví účastníci a po provedení identifikace projevují svou vůli, tedy činí úkony soukromého právního jednání.⁴⁾ Archivovány jsou přitom nejen vzniklé písemnosti, ale i záznamy o provedených krocích právního jednání (např. v podobě logů opatřených elektronickou pečetí).

Jedná se o proces, kdy se za provedení identifikace „zaručí“ subjekt, který požívá dostatečnou míru důvěry – v legislativě se označuje jako „kvalifikovaný správce – poskytovatel důvěryhodných služeb“. Takový poskytovatel je povinen projít procesem certifikace (akreditace) a podrobit se kontrolnímu dohledu ze strany příslušného orgánu (v ČR se jedná o Ministerstvo vnitra). Následně poskytuje důvěryhodnou službu identifikace fyzických osob, na kterou se spoléhají další subjekty – nazývané „spoléhající se strana“, které výsledky provedené identifikace převezmou a identitu fyzické osoby považují za prokázanou.

Legislativní podmínky jsou upraveny speciálním zákonem č. 250/2017 Sb., o elektronické identifikaci, který vychází z již zmíněného evropského nařízení eIDAS. Samotný proces identifikace zajišťuje zvláštní portál , který byl svěřen Správě základních registrů, což je instituce obhospodařující páteřní informační systémy České republiky, včetně registru obyvatel. Portál bývá někdy označován zkratkou NIA, tedy Národní bod pro identifikaci a autentizaci. Možností, kterých lze v praxi využít, je již vícero a jejich počet ještě nemusí být konečný:

Obrázek č. 1: Možnosti elektronické identifikace na portálu eIdentita (NIA)

Každá fyzická osoba si může pořídit a využívat libovolný počet dostupných prostředků, kterými dnes jsou:

V souvislosti s volbou jednotlivých prostředků elektronické identifikace je potřeba mít na paměti, že poskytují různý stupeň tzv. v souladu s nařízením eIDAS. Orgány veřejné moci přitom mohou určit, jakou úroveň budou ve svých systémech vyžadovat, a je proto doporučitelné disponovat alespoň jedním identifikačním prostředkem s maximální úrovní záruky, která je tzv. „vysoká“, čímž je zajištěno, že bude použitelný ve všech dostupných systémech státní správy.

Pro tento způsob vzdálené identifikace je důležité, že celý proces probíhá ve velmi dobře a silně chráněném prostředí centrálního portálu. Teprve po jeho úspěšném dokončení jsou zjištěné údaje se souhlasem a vědomím identifikované osoby předány jinému systému státní správy, navíc v zabezpečené (šifrované) podobě. Rizika zneužití jsou tedy radikálně minimalizována, samozřejmě za předpokladu řádného nakládání s identifikačními prostředky, ochrannými kódy apod.

Identitu konkrétní fyzické osoby může ověřit a garantovat také informační systém datových schránek (ISDS). Východiskem je předpoklad, že přihlášení do datové schránky (jak osoby oprávněné, tak i pověřené) je proces navýsost privátní, s přihlašovacími údaji i prostředky je zacházeno tak, aby nemohlo dojít k jejich zneužití nebo neoprávněnému užití, a takto ověřenou identitu lze tedy považovat za spolehlivou. Díky tomu je ověření identity akceptováno např. na novém portálu MOJE daně, eportálu České správy sociálního zabezpečení, u Ministerstva spravedlnosti v evidenci skutečných majitelů anebo v Portálu občana.

Podobně jako na portálu Identita probíhá i v tomto případě samotný proces přihlášení do datové schránky (a následné provedení identifikace) ve velmi dobře zabezpečeném prostředí systému ISDS a až výsledek v podobě údajů fyzické osoby je s jejím souhlasem poskytnut jinému systému státní správy.

Lze přitom využít kteroukoli z možností, které jsou pro přístup do datových schránek k dispozici. To znamená kromě jména a hesla (doplněného případně o SMS nebo jednorázový bezpečnostní kód) také mobilní klíč, eIdentitu či elektronický certifikát.

Je zapotřebí upozornit, že i datové schránky, resp. údaje o jejich uživatelích, jsou propojeny na základní registry a pro úspěšné ověření identity může být toto propojení nezbytnou podmínkou. Příslušnou informaci naleznete po přihlášení do datové schránky v části Nastavení – Osobní údaje, kde v poli „Ztotožněn v registru obyvatel“ musí být uvedeno „Ano“. Pokud tomu tak není, je aktivní tlačítko sloužící k realizaci tohoto procesu, jestliže by se ztotožnění nepodařilo, existuje nějaký podstatný rozdíl mezi údaji v základních registrech a v systému datových schránek. Lze pak doporučit návštěvu některého z pracovišť Czech POINTu a stav napravit.

Obrázek č. 2: Ztotožnění uživatele datové schránky v registru obyvatel

Zmiňované nařízení eIDAS definovalo jako jeden z klíčových požadavků celoevropskou použitelnost systémů elektronické identifikace v rámci tzv. interoperability.⁶⁾ K jejímu dosažení byl Evropskou komisí zřízen seznam systémů elektronické identifikace, kam každý z členských států oznamuje, jaké prostředky (způsoby) vybral, a případně aktualizuje potřebné údaje. Ostatní členské země pak ve stanovené lhůtě zajistí, že jejich systémy veřejné správy (v nařízení eIDAS je používán název „on line služby“) budou schopny takto oznámený způsob identifikace akceptovat.

Nahlédnutím do seznamu Komise lze zjistit, že většinou padla volba na karty vybavené čipem, mezi které patří i nový typ českého občanského průkazu, tzv. eObčanka. Některé země upřednostňují aplikace pro mobilní telefony a např. Švédsko bankovní identitu (BankID). Ale ani tento stav není konečný, v loňském roce byl v rámci strategických priorit oznámen projekt evropské digitální identity (nazývaný také EU ID wallet),⁷⁾ který by měl přinést možnost prokazování identity u veřejných i soukromých služeb v rámci celé Evropské unie. Klíčovým prvkem je aplikace pro mobilní telefony, zajímavostí je také to, že celý projekt má být založen na technologii blockchain, která byla nejčastěji zmiňována v souvislosti s bitcoiny a jinými kryptoměnami. Harmonogram projektu předpokládá dokončení technické specifikace do konce roku 2021 a koncem září 2022 pak publikování kompletní architektury, nástrojů, norem a realizačních pokynů.

Přesun veřejnoprávních i soukromoprávních úkonů do digitálního světa je nepopiratelný fakt a bude pokračovat i nadále. Nezbytnou komponentou tohoto přesunu je prokazování identity elektronickými prostředky. Musí se přitom jednat o proces dostatečně spolehlivý, důvěryhodný a prokazatelný, neméně důležitou otázkou je bezpečnost a transparentnost. Rizika zneužití digitální identity je ovšem nutné minimalizovat i ze strany uživatelů dodržováním základních bezpečnostních pravidel a standardů.

Zdroj: Odborný portál DAUC.cz, 2021. Zveřejněno v časopise Účetnictví v praxi 11/2021.