Nové elektronické občanské průkazy: budou přínosem, nebo noční můrou?

V pátek jsem zde na Lupě psal o záměru zpoplatnit datové schránky, tak aby jejichž uživatelé platili státu příspěvek  (zřejmě ve výši plné ceny) za každou odeslanou datovou zprávu. Následně se tématu chopila i další média, a přinesla mimo jiné i jeden zajímavý argument ze strany resortu vnitra, který návrh na zpoplatnění zformuloval. Jeho mluvčí řekl, že důvodem je i snaha zamezit „nadužívání“ datových schránek:

Skutečnost, že systém datových schránek funguje zdarma, by podle Řepky mohla vést k nadužívání schránek. Cílem ministerstva prý je, aby uživatel schránky odeslal datovou zprávu jen tehdy, pokud věc skutečně potřebuje poslat doporučeně. V opačném případě by měl využít e-mail s elektronickým podpisem.

S tímto argumentem si dovolím souhlasit. Ale současně bych rád poukázal na to, že je to právě stát, kdo chystá opravdu výrazné „nadužívání“ datových schránek, a hodlá ho dokonce nařídit přímo zákonem. A to v souvislosti se zaváděním nových „elektronických“ občanských průkazů, jejichž start  byl před časem posunut z letošního roku na rok 2012. Shodou okolností právě minulý týden o nich také jednala vláda. Řešila hlavně to, zda (resp. jak dlouho) na nich má být uváděno rodné číslo a bydliště či rodinný stav.

Abychom ale docenili, kde je skryt problém, musíme si nejprve říci něco o koncepci těchto „elektronických“ občanských průkazů.

Dvoudílné občanské průkazy

Trendem, který se prosazuje ve světě, je „zvyšování inteligence“ předmětů, které fungují jako osobní doklady, resp. průkazy. Původně ryze pasivní kartičky, na kterých jsou údaje napsány či vytištěny, jsou čím dál tím více opatřovány elektronickými čipy, a do nich jsou nahrávány různé aplikace a hlavně další údaje o držiteli. Samozřejmě s respektováním zásad bezpečnosti a ochrany osobních údajů, tak aby nemohlo docházet k jejich zneužití.

Obecně tedy jde o distribuované řešení: občané si „své“ údaje nosí primárně u sebe, na svém (či „ve svém“) osobním dokladu, a díky tomu také mohou snáze a efektivněji rozhodovat o tom, kdy a komu tyto údaje poskytnou. Na druhou stranu je toto řešení přeci jen (potenciálně) nebezpečnější v tom, že při ztrátě dokladu a prolomení jeho ochrany má útočník přístup k údajům, které doklad obsahuje.

Naše koncepce elektronických občanských dokladů, tak jak je již zakotvena v platných zákonech, ale jde přesně opačným směrem: k maximálně centralizovanému řešení. Častěji se měnící údaje, týkající se držitele dokladu, nevkládá přímo do tohoto dokladu, ale naopak se je snaží z dokladu odstranit a uložit na jedno centrální místo: do systému základních registrů. Přesněji do základního registru obyvatel.

Asi nejvýstižnější je přirovnání, které svého času (za působení ministra Ivana Langera) používali  zástupci resortu vnitra: o novém elektronickém průkazu říkali, že bude vlastně dvoudílný. Plastová kartička, kterou má člověk v ruce, bude jen jedním jeho dílem, zatímco druhý díl (obsahující hlavní údaje o držiteli) bude mít elektronickou podobu a bude obsažen v základních registrech.

Elektronický průkaz nebude  elektronický

To mimo jiné znamená, že náš elektronický doklad nebude ani tak „nosičem“ konkrétních údajů. Místo toho má být pouze prostředkem identifikace svého držitele a co nejjednodušším „ukazatelem“ (odkazem), který říká, kde (na jakém místě) v základních registrech lze najít údaje o držiteli.

Také to ale znamená, že náš  „elektronický“ občanský průkaz sám o sobě (resp. jeho první díl) vůbec nepotřebuje být elektronický, protože „elektronický“ je už jeho druhý díl (v základních registrech). Však se také předpokládá, že až budou nové „elektronické“ občanské průkazy vydávány (od roku 2012), budou to primárně jen plastové kartičky bez jakéhokoli čipu (a jen se  „strojově čitelnými údaji“). Zájemcům pak bude možné (za příplatek, odhadem ve výši 500 Kč) vydat i verzi s čipem, který ale nebude mít na základní funkce občanského průkazu žádný vliv. A kdyby snad čip nebyl funkční, platnost občanského průkazu to nijak neovlivní.

Dnes vlastně ani nikdo neví, k čemu tam ten čip bude. Zákon říká jen to, že „do kontaktního elektronického čipu se zapíše číslo občanského průkazu a dále lze zapsat údaje, jejichž zápis a rozsah stanoví zvláštní právní předpis“. Primární ale stále budou údaje ve strojově čitelné zóně (obdobné té dnešní), umožňující „elektronické čtení“ (a to bez ohledu na to, zda jde o průkaz s čipem či bez něj).

Sériové číslo dokladu jako identifikátor občana

Držitele průkazu přitom bude identifikovat (strojově čitelné) sériové číslo průkazu. To bude jakýmsi indexem do základních registrů, k dalším údajům o držiteli. Nikoli ale přímým indexem, nýbrž jen nepřímým. Přes toto sériové číslo průkazu se totiž nejprve získá agendový identifikátor držitele v rámci agendového informačního systému evidence občanských průkazů, a podle něj se přes převodník ORG (provozovaný Úřadem na ochranu osobních údajů) teprve získá agendový identifikátor držitele průkazu v rámci základního registru obyvatel. A podle něj už bude možné  nalézt třeba údaj o bydlišti příslušné osoby. S důležitým dodatkem, že k tomuto údaji (obecně k jakýmkoli osobním údajům v základním registru obyvatel) se dostane jen ten, kdo na to má ze zákona právo, nebo k tomu má souhlas příslušného subjektu údajů.

Principiální výhody není těžké si domyslet, protože vyplývají již ze samotné podstaty ryze centralizovaného řešení: data jsou „na jedné hromadě“, a tak je stačí měnit (aktualizovat) jen jednou, v příslušném základním registru. Při změně těch údajů, které jsou obsaženy jen v základních registrech (jako třeba při změně bydliště), nebude třeba vydávat nový průkaz. A třeba při ztrátě či zneužití občanského průkazu stačit zneplatnit (zablokovat) jeho sériové číslo, a v agendě evidence občanských průkazů dané osobě přiřadit sériové číslo nového dokladu.

Také ochrana osobních údajů bude moci být skutečně maximální možná. Vše je totiž „plně pod palcem“, a u všech požadavků lze posuzovat jejich oprávněnost, všechno zaznamenávat, dlouhodobě uchovávat atd. 

Nevýhody a potenciální problémy si asi každý dokáže domyslet a představit sám. Teoreticky je to hezké řešení. Ale praxe bývá často úplně jiná.

Bydliště, stav a rodné číslo

Určitou nejasností kolem koncepce nových „elektronických“ občanských průkazů je to, kolik údajů o držiteli na nich vlastně zbude. Původní představa byla taková, že na nich již nebude ani údaj o bydlišti, ani o (rodinném) stavu, a ani rodné číslo. Hlavně proto, aby nebylo nutné průkazy tak často měnit, resp. vydávat nové.

Při projednávání příslušného návrhu, ještě v roce 2009, ale poslanci rozhodli o tom, že tyto údaje na „elektronickém“ občanském průkazu zůstanou. Dnes platná legislativa s nimi tedy počítá „i na plastové kartičce“.

Snahy o odstranění údajů o bydlišti, stavu a rodném čísle ze samotného průkazu (plastové kartičky, resp. prvního dílu dvoudílného průkazu) ale přetrvávají, a na stole již je návrh novely zákona, která by tak učinila. Přesněji: jde o návrh, který umožňuje ponechat tyto údaje  na občanském průkazu (jako přechodné opatření) do konce roku 2016. Minulý týden o tomto návrhu jednala vláda.

Jak se kdo dostane k údajům?

Pojďme nyní již k jádru problému. Ten se týká toho, kdo a jak se dostane ke „druhému dílu“ nového občanského průkazu. Tedy k údajům, které jsou o dotyčné osobě vedeny v základním registru obyvatel. Například tedy k údaji o bydlišti občana.

Celá koncepce základních registrů poměrně detailně řeší to, jak se budou k osobním údajům v základních registrech dostávat úředníci. Základní představa je asi takováto: občan přijde na úřad a předloží svůj „elektronický“ občanský průkaz. Ten vloží do čtečky, která přečte strojově čitelné sériové číslo dokladu. Nebo ho úředník do svého systému zadá ručně. Občan se také bude muset autentizovat (prokázat, že je skutečně tím, za koho se vydává), a to zadáním bezpečnostního osobního kódu (obdoby PINu), který je přiřazen k jeho občanskému průkazu. Případně bude tato fáze probíhat on-line: občan se přihlásí (identifikuje) sériovým číslem svého občanského průkazu, a autentizuje svým 4 až 10 ciferným bezpečnostním osobním kódem.

Pak již může následovat „elektronická činnost“: úředník, vyřizující požadavek občana, získá přístup k požadovaným údajům o občanovi přímo ze základních registrů, a bude je moci využít ve svém informačním systému, aniž by mu je musel občan sám sdělovat. Tedy: přístup k těmto údajům získá, pokud na to má ze zákona nárok. Pokud ne, bude mu takovýto přístup muset občan (jako subjekt údajů) explicitně odsouhlasit.

Podstatné ale je, že vše se bude moci odehrát v interaktivním režimu: informační systém, se kterým pracuje úředník (při vyřizování žádosti občana) bude moci získat data od informačního systému základních registrů interaktivním způsobem a v reálném čase, díky jejich přímému propojení.

Jenže: koncepce základních registrů počítá s takovýmto způsobem získávání dat jen pro agendy (agendové informační systémy) v rámci veřejné správy. Nikoli už pro agendy soukromých subjektů, mezi které patří například banky, telekomunikační operátoři, utility atd. A i ti často potřebují znát svého zákazníka, včetně takových údajů, jako je údaj o jeho bydlišti. Někteří z nich to mají dokonce nařízeno zákonem: třeba banky musí (kvůli zákonům proti praní špinavých peněz) zjišťovat a vést o svých zákaznících řadu osobních údajů.

Jen přes datové schránky!

Pro privátní subjekty je ale v dosavadní koncepci základních registrů (i elektronických občanských průkazů)  předpokládán úplně jiný režim získávání údajů ze základního registru obyvatel.

Privátním subjektům se nedává možnost napojit jejich informační systémy přímo na informační systém základních registrů, a přes toto propojení  interaktivně získávat osobní údaje – samozřejmě jen takové, na které mají ze zákona nárok, nebo takové, ke kterým mají souhlas příslušného subjektu. Nemůže to tedy fungovat třeba tak, že zájemce o založení nového účtu přijde do banky a dá této bance (třeba jen jednorázový) souhlas, aby si banka sama (u státu) zjistila, kde právě bydlí. Tedy aby informační systém banky mohl vznést interaktivní dotaz do informačního systému základních registrů na bydliště zákazníka, získal v reálném čase odpověď a s tou dále pracoval.

Pro privátní subjekty zatím připadá v úvahu pouze jiná varianta: subjekt údajů (tedy třeba zájemce o založení nového účtu, právě se nacházející u bankovní přepážky) by musel sám vznést požadavek na poskytnutí jeho osobních údajů třetí straně (zde: bance), a adresovat ho informačnímu systému základních registr. Ten by vyhověl tím způsobem, že by doručil požadované údaje do datové schránky třetí strany (zde: banky). Tak si to představuje paragraf 58 (resp. po novele 58a) zákona o základních registrech:

Na žádost subjektu údajů staršího 18 let mohou být z registru obyvatel a registru práv a povinností poskytnuty referenční údaje v jím vymezeném rozsahu jiné fyzické nebo právnické osobě do datové schránky této osoby.

Zkusme to domyslet: všude v privátním sektoru, kde dnes předložíte občanku, abyste prokázali, kde bydlíte, bude muset být odeslána datová zpráva. Není právě toto „nadužíváním“ datových zpráv, kterému chce vnitro zabránit? Nemluvě již o tom, že když by se mělo za datové zprávy platit, k čí tíži to asi půjde?

Bavit se ale můžeme i o technickém provedení: přenos datové zprávy a její následné zpracování nějakou dobu trvá. V ideálním případě to mohou být sekundy, jinak třeba dlouhé minuty či dokonce i hodiny. Jen si zkuste představit, že sedíte na pobočce banky v městě X, a datová zpráva s údajem o vašem bydlišti dorazí do datové schránky banky jako takové. Tuto datovou schránku někdo musí vybrat a roztřídit nové zprávy: podle něčeho (zatím kdoví čeho) si musí správně domyslet, na které přepážce a na které pobočce banky právě čekáte, a tam obsah zprávy nějakým způsobem doručit. Tedy pokud tam ještě čekáte.

Proti svým vlastním zásadám?

Nebo jiná perlička: abyste mohli poskytnout bance (či jinému privátnímu subjektu) něco ze svých osobních údajů, musíte do svého dotazu uvést jak své vlastní identifikační údaje, tak i identifikační údaje toho, kdo má být příjemcem dat. V případě právnické osoby nově navrhované znění zákona (č. 111/2000, par. 58a, čl. 4) předepisuje jméno, příjmení, datum a místo narození, a dále sériové číslo elektronického občanského průkazu  té fyzické osoby, která jedná jménem právnické osoby. Zřejmě tedy jednatele (či jednatelů) banky.  Jednoduché a prosté, ne?

Pokud bychom celou tuto absurdnost brali vážně, pak se nabízí zajímavá otázka: když bude požadovaný osobní údaj zasílán (výhradně) do datové schránky konkrétní právnické osoby, měl by stát vědět lépe než kdo jiný, komu tuto datovou schránku zřídil. Včetně osobních údajů všech jednatelů, kterým poslal nezbytné přístupové údaje. Jestliže  nyní chce po každém žadateli tyto údaje znovu zopakovat, je to myšleno „pro kontrolu“, nebo je to jen důsledkem jeho neschopnosti použít takové údaje, které již má k dispozici?