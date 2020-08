Z „rekapitulujících informací“ byly asi nejzajímavější ty, které popisovaly dění kolem datových schránek během nouzového stavu. Tak například:

Z informací o chystaných změnách je určitě zajímavý záměr učinit z datových schránek ryze back-endové řešení: odebrat mu jeho stávající front-end (tj. „to, co je dnes na www.mojedatovaschranka.cz“) a nechat uživatele, ať s datovými schránkami pracují pomocí nástrojů či služeb třetích stran.

Pravdou je, že „velcí“ uživatelé typu OVM či větších právnických osob již dávno pracují s datovými schránkami skrze své spisové služby a elektronické podatelny, které využívají webové služby systému ISDS. A „menší“ uživatelé mají na výběr z dnes již docela široké nabídky různých aplikací třetích stran (jako je např. Datovka od CZ.NICu). Samozřejmě stále existují uživatelé, kteří žádnou aplikaci třetí strany nevyužívají a „chodí“ do svých datových schránek přes jejich stávající front-end.

Ale ty „front-endy“ jsou dnes vlastně dva: ten původní na adrese mojedatovaschranka.cz a vedle něj ještě také Portál občana. Protože ten si jeho uživatel může propojit se svou datovou schránkou a tu obsluhovat přímo z Portálu. Již dnes to má výhodu v možnosti dlouhodobého uchovávání datových zpráv (do celkového objemu 500 MB) či v možnosti nechávat si přeposílat datové zprávy na email. Má to ale i své nevýhody: omezenou funkčnost (co do možnosti ovládat datovou schránku, včetně např. jejího nastavování) a pak „drastický“ způsob fungování onoho přeposílání na email a notifikace došlých zpráv (způsobující, že každá dodaná datová zpráva je téměř okamžitě i doručena, podrobněji).

Celý záměr je tak vlastně o tom, že nebudou dlouhodobě udržovány oba faktické front-endy, ale jen jeden – a to Portál občana. Což dává určitý smysl. Časový horizont na konzultaci nezazněl, ale zazněl zde příslib, že to nebude dříve, než se Portál občana stane plnohodnotným nástrojem pro práci s datovými schránkami (včetně vyřešení onoho problému s notifikacemi, které způsobují okamžité doručení).

Dalším „výhledovým“ záměrem, který ale není úplně nový a je signalizován již delší dobu, je úplné odstavení identitního prostoru datových schránek a přechod na přihlašování výlučně přes NIA a „národní“ identitní prostor.

Na vysvětlenou: „identitní prostor datových schránek“ si můžeme představit jako obsah databáze uživatelů (nikoli držitelů) datových schránek. Tato databáze vznikla historicky, v době, kdy ještě nebyla na světě současná pravidla pro elektronickou identifikaci (vycházející primárně z nařízení eIDAS) – ale bylo nutné to „nějak udělat“, aby se vůbec dalo k datovým schránkám přihlašovat. Včetně přidělování přístupových údajů a jejich správy (zneplatňování stávajících a vydávání nových). Časem se tento identitní prostor (resp. způsob přihlašování k datovým schránkám) začal využívat i pro potřeby přihlašování k dalším službám v rámci eGovernmentu, protože jiné použitelné řešení nebylo.

Později ale „jiné použitelné řešení“ vzniklo: národní identitní prostor, vycházející ze zákona č. 250/2015 Sb., o elektronické identifikaci (který adaptuje náš právní řád na „identifikační část“ nařízení eIDAS). Jde o celý „ekosystém“ na bázi nepřímého modelu, který jsem zde na Lupě popisoval již několikrát (např. zde), jehož základem je prostředník v podobě Národního bodu pro identifikaci a autentizaci (NIA) a státem garantovaná identita, obsažená v základních registrech. Mimochodem, v brzké době bude tento ekosystém obohacen o další možnost autentizace skrze službu MojeID (která již získala potřebnou akreditaci na správu kvalifikovaného systému) a časem by měla přibýt i avizovaná bankovní identita.

Záměr státu ponechat si výhledově jen jeden identitní prostor místo dvou tak má svou zřejmou logiku. Ani na veřejné konzultaci minulý týden ale nezazněla žádná představa časového harmonogramu. Nejprve se prý musí vyřešit překážky, které záměru brání – jako například otázka cizinců. Ti z nich, kteří mají přístup k nějaké datové schránce, jsou zahrnuti v identitním systému datových schránek, ale nejsou zahrnuti v základním registru obyvatel (ROB-u), ze kterého vychází národní identitní prostor.

Zřízení datové schránky automaticky při prvním použití elektronické identity?

Další zajímavá a dosti podstatná informace, která na konzultaci zazněla, je, že resort vnitra již připravil legislativní návrh (zřejmě jako pozměňovací návrh do tzv. DEPA, neboli návrhu Zákona o změně zákonů související s další elektronizací postupů orgánů veřejné moci), podle kterého by od 1. 7. 2021 při prvním použití elektronické identity měla být uživateli automaticky zřízena datová schránka (zřejmě nepodnikající fyzické osoby, pokud ji ještě nemá) a nejpozději do 15 dnů zpřístupněna.

Konkrétní znění návrhu se mi nepodařilo najít (termín pro předkládání pozměňovacích návrhů je do 28. 8. 2020). Nicméně i tak se obávám, že jde o další z řady pokusů vnutit datovou schránku i těm, kteří ji z jakéhokoli důvodu nechtějí. Nikoli jak umožnit těm, kteří ji chtějí, aby si ji mohli zřídit co nejjednodušeji.

Všechny dosavadní pokusy toho typu byly neúspěšné – včetně toho „šetrného“, který byl původně součástí návrhu zákona o právu na digitální služby (dnes zákona č. 12/2020 Sb.) a který ponechával její zpřístupnění na dobrovolném rozhodnutí jejího držitele (podrobněji). Zajímavé je, že tehdy se vnitro i k takovémuto návrhu vyjádřilo odmítavě:

Povinné zřízení datových schránek všem fyzickým osobám považujeme za nereálné. Takový krok by byl ostatně v přímém rozporu se základním principem navrhovaného zákona, že využívání digitálních služeb je právem. Pro řadu osob by povinnosti vyplývající z toho, že daná osoba má zřízenu datovou schránku, byly nadměrně zatěžující, zatímco výhod tohoto institutu by stěží dokázaly využít.

Nyní sice samo nenavrhuje zřídit datové schránky úplně všem fyzickým osobám, ale jen těm lidem, kteří jsou dostatečně „informačně gramotní“ na to, aby reálně použili elektronickou identifikaci. Ale kam se najednou poděl respekt k principu, že využívání digitálních služeb má být právem, a nikoli povinností? Či docenění toho, že s držením (a zpřístupněním) datové schránky jsou spojeny určité povinnosti? Určitě existují lidé, kteří nechtějí mít datovou schránku právě kvůli těm povinnostem, které z jejího držení vyplývají (a z jejich pohledu převažují nad přínosy).

Řada lidí datovou schránku chce mít, například proto, že pak by jim úřady měly doručovat již jen elektronicky (a jsou zklamaní, když tomu tak z nejrůznějších důvodů není). Ale jsou i lidé, kteří si mohou (opět z nejrůznějších důvodů) naopak přát zachování původního „listinného“ způsobu doručování. Stejně tak někomu nemusí vyhovovat, že když má (zpřístupněnu) svou datovou schránku, správce daně jej nutí činit konkrétně stanovená podání již jen v elektronické podobě (§ 72 odst. 4 zákona č. 280/2009 Sb. daňový řád). Navíc ne v jakékoli elektronické podobě, ale jen v takové, kterou si správce daně předepsal (§ 72 odst. 3).

Mimochodem, jak jsem podrobněji rozebíral vloni v červnu zde na Lupě v samostatném článku, nedodržení této povinnosti, vyplývající z držení (a zpřístupnění) vlastní datové schránky, je sankcionováno pokutou, která vyplývá rovnou ze zákona (§ 247a odst. 2 daňového řádu). Takže správce daně o jejím udělení ani nerozhoduje, ani ji nemůže prominout. A dokonce ani nemůže vyzvat podávajícího k nápravě vady, když pouhé nedodržení elektronické podoby nemá vliv na bezvadnost podání. Dnes se to naštěstí týká již jen některých druhů daňových podání, explicitně vyjmenovaných v tomto seznamu, zatímco u ostatních správce daně nejprve vyzývá k nápravě vady.

V uvedeném článku jsem psal, že tento „elektronický bič“ by mohl časem zmírnit. V mezidobí jsme se k tomu přiblížili: již schválená novela daňového řádu, která nabude účinnosti 1. 1. 2021, mění pravidla tak, že správce daně již bude vyzývat podávajícího k nápravě vady u všech podání, a nikoli jen u některých druhů podání (těch, která nejsou vyjmenována na jeho seznamu). A pokuta, vznikající automaticky ze zákona, bude poloviční a bude vznikat až v případě, kdy přes výzvu nedojde k nápravě.

Nicméně: povinnost činit konkrétní daňová podání (nově tzv. formulářová podání) výhradně v elektronické podobě a ve formátu předepsaném správcem daně zůstává pro držitele datových schránek i nadále. Pokud to někomu – z jakéhokoli důvodu – nevyhovuje, nebo pokud mu nevyhovuje obecně to, že mu úřady budou doručovat již jen elektronicky, měl by se po 1. 7. 2021 vyvarovat použití elektronické identity. Protože pokud projde onen výše popisovaný záměr s automatickým zřizováním datové schránky, byla by mu datová schránka tak jako tak zřízena, nejpozději do 15 dnů by byla zpřístupněna – a popisované povinnosti by se na něj začaly vztahovat.

Opravdu je toto vhodný způsob podpory elektronizace obecně a elektronické identifikace konkrétně? Navíc v roce (2021), kdy by měla odstartovat slibovaná bankovní identita a její používání jistě bude notně propagováno?

Další chystané změny

K dalším chystaným změnám již jen stručněji:

Od 1. 1. 2021 by měly zlevnit poštovní datové zprávy: ze současných 15 Kč na 5 Kč (včetně DPH). Jak jsem popisoval v tomto článku, stát v roce 2020 platí za jednu (veřejnoprávní) datovou zprávu 1,9279 Kč (bez DPH).

Datové schránky dnes mají čas od času (cca 1× za 3 měsíce) odstávku na nezbytné aktualizace a úpravy (příklad). Do budoucna by měly fungovat v bezodstávkovém režimu, takže všechny budoucí úpravy by probíhaly za plného provozu.

Tzv. mobilní klíč (podrobněji), vyvinutý pro potřeby přihlašování k datovým schránkám, by se měl (snad už v brzké době) stát i prostředkem pro přihlašování k NIA s úrovní záruky „značná“. Stal by se tak třetím prostředkem, který vydává stát (po nové eOP a prostředku „Jméno, heslo a SMS“). Vedle toho se prý chystá i možnost přihlašovat se do datových schránek (přes NIA) také pomocí zahraničních prostředků elektronické identifikace.

Povinné zřizování datových schránek pro právnické osoby (tj. „ze zákona“) by se mohlo rozšířit na všechny právnické osoby v základním registru osob (ROS): aktuálně je prý v ROS asi 209 000 právnických osob, které ještě nemají datovou schránku. Z toho by se potencionálně 146 000 osobám daly zřídit, protože mají alespoň jednoho statutárního zástupce.

Od 1. 1. 2021 budou zřizovány (ze zákona) profesní datové schránky všem soudním znalcům, překladatelům a tlumočníkům (dle § 4 odst. 3 zákona č. 300/2008 Sb.). Podle teprve připravované novely stavebního zákona by měly být profesní datové schránky časem zřizovány také pro autorizované architekty, autorizované inženýry, autorizované techniky a úředně oprávněné zeměměřické inženýry.

Další avizované změny se týkaly fungování a „dimenzování“ datových schránek:

Resort vnitra prý vyslyší volání fyzických osob po tom, aby jejich datové zprávy zůstávaly v datových schránkách déle (než současných 90 dnů). Nebylo ale upřesněno, jak dlouho ani v jakém objemu – ani jak by se to lišilo od již dnes dostupné možnosti na Portálu občana. Týkat by se ale mělo jen datových schránek zřízených na žádost, nikoli ze zákona.

Problémy s přenosem větších dokumentů (nad současný limit 20 MB, resp. 50 MB celé datové zprávy), ke kterým dochází např. u stavebních agend, by mohly být řešeny nějakým dočasným úložištěm, přičemž v datové zprávě by se přenášel pouze odkaz do tohoto úložiště.

Datové schránky chtějí vyjít vstříc potřebám zadávání veřejných zakázek a podávání nabídek ke konkrétnímu termínu – jednalo by se zřejmě o zavedení nějaké podpory otevírání obálek u datových zpráv.

Ve výčtu nechybí ani „podpora procesů vyžadující verifikaci více uživatelů subjektu (vícero jednatelů u DS PO)“. Obávám se, že je tím míněna nějaká obdoba fikce podpisu pro případy, kdy za právnickou osobu jedná více fyzických osob současně a dnes je vyžadován jejich elektronický podpis.

Dalším zajímavým bodem ve výčtu budoucích záměrů je „vývoj podpůrných procesů pro mezinárodní el. komunikaci dle eIDAS přes datové schránky“. V této souvislosti mne zajímalo, zda datové schránky budou aspirovat na to, aby se staly kvalifikovanými službami doporučeného elektronického doručování, se kterými počítá právě nařízení eIDAS.

Odpověď byla záporná, prý kvůli vzájemné odlišnosti konceptů datových schránek a oněch služeb doporučeného elektronického doručování.

S tím si dovolím souhlasit, i když z opačného důvodu, než jaký na konzultaci zazněl: naše datové schránky jsou systémem pro přenos datových zpráv (a tím i doručování) mezi datovými schránkami. Naproti tomu služby doporučeného elektronického doručování dle eIDAS (s kvalifikovaným statusem by jich již dnes mělo být v EU celkem 18) jsou službami pro přenos (doručování) mezi koncovými uživateli (fyzickými osobami).

To je významný rozdíl, protože u nás může být vztah mezi uživatelem a datovou schránkou nejenom „vícenásobný“, ale také hodně složitý – když jedna a táž fyzická osoba může být držitelem více datových schránek fyzické osoby (jedné DS FO, jedné DS PFO a dále více profesních DS PFO). Stejně tak může být jedna a táž fyzická osoba uživatelem apriorně neomezeného počtu datových schránek v různých rolích (oprávněné osoby, pověřené osoby či administrátorem). Nebo, z opačného pohledu: uživatelem jedné a téže datové schránky může být mnoho různých fyzických osob (v různých rolích), nemluvě již o elektronických aplikacích (nejčastěji spisových službách).

Informační systém datových schránek (ISDS) sice u každého konkrétního úkonu (přihlášení k datové schránce, odeslání datové zprávy atd.) přesně ví, která fyzická osoba a v jaké roli (či elektronická aplikace) ho iniciovala, ale tuto informaci si nechává pro sebe.

Jaké podněty zazněly na veřejné konzultaci

S předchozími řádky souvisí i jeden z podnětů, které jsem si dovolil přednést na veřejné konzultaci k dalšímu vývoji datových schránek. Jde o to, že datové schránky od začátku argumentují „jistotou o odesilateli“ a na tom pak staví tzv. fikci podpisu (dle § 18 odst. 2 zákona č. 300/2008 Sb.). Jinými slovy: umožňují nepodepisovat odesílaná podání (od fyzických a právnických osob vůči orgánům veřejné moci), protože prý je jisté, kdo je odesílá. A příjemce, který by měl mít onu jistotu o odesilateli, by s nimi měl nakládat tak, jako kdyby byly řádně podepsány.

V praxi to tak ale úplně nefunguje: příjemce nějaké konkrétní datové zprávy se dozví (a má jistotu o tom), ze které datové schránky byla zpráva odeslána. Od října 2012 začaly datové schránky sdělovat příjemci také to, v jaké roli vystupoval odesilatel datové zprávy – zda byl v okamžiku odesílání přihlášen jako oprávněná osoba, jako pověřená osoba, jako administrátor, nebo jako elektronická aplikace. Stále ale nejde o informaci ohledně toho, která konkrétní osoba to (v dané roli) byla – to se příjemce dodnes nedozví.

Pravdou ale je, že určitá možnost, jak naplnit onu „jistotu o odesilateli“, přeci jen existuje – odesilatel může dobrovolně zaškrtnout příznak o tom, že chce vystoupit z anonymity a do odesílané datové zprávy zařadit informace o své identitě. Pak se příjemce takové zprávy skutečně dozví, kdo konkrétně mu ji posílá. Problém je ale v tom, že tento příznak je standardně nezaškrtnutý a jen málokdo ho zaškrtne.

Můj podnět proto zněl: změňte defaultní nastavení tohoto příznaku, tak aby se skutečně naplnila ona teze o jistotě o odesilateli, kterou se datové stránky pyšní již od svého začátku. Nebo přesněji: aby tuto jistotu mohl mít i příjemce, a ne pouze samotný systém datových schránek (který takovéto informace obecně nesděluje, jen na vyžádání soudům a orgánům činným v trestním řízení).

Proč?

V této souvislosti si neodpustím připomenutí, že celá záležitost s identifikací konkrétního odesilatele není žádnou novinkou a uživatelskou veřejností rezonuje už hodně dlouho. Jde totiž o konkrétní způsob aplikace již zmiňované fikce podpisu, kde základní otázka zní: má být rozdíl mezi právním jednáním a obsluhou datové schránky? Má každý, kdo je pověřen obsluhou konkrétní datové schránky (je tzv. pověřenou osobou, případně jejím administrátorem), včetně možnosti z ní odesílat, mít automaticky také právo jednat prostřednictvím této datové schránky ve stejném rozsahu jako ten, kdo má toto právo ze zákona (například statutární orgán právnické osoby)? A to ještě neřešíme spisové služby, napojené na datové schránky, a jejich uživatele.

Má mít osoba, pověřená obsluhou datové schránky nějaké právnické osoby (např. banky, operátora, utility apod.) stejná práva jednat jménem této společnosti jako její jednatelé, členové představenstva (obecně statutární orgány společnosti)? Například vydávat stanoviska, vyjadřovat souhlasy, přijímat závazky, podávat návrhy atd. Nebo, když nějaká fyzická osoba pověří někoho jiného obsluhou své datové schránky (fyzické osoby), znamená to současně, že této jiné osobě uděluje generální plnou moc ke všem právním jednáním, které jsou možné cestou datových schránek?

Nebo potřebuje takováto osoba, pověřená obsluhou datové schránky, pro případné právní jednání (a nikoli jen „technickou“ obsluhu datové schránky) konkrétní pověření v právním slova smyslu?

V tradičním „listinném“ světě by asi málokoho napadlo přemýšlet nad otázkou, zda zaměstnanec nějaké společnosti, pověřený manipulací s listovními zásilkami, má mít automaticky právo jednat jménem této společnosti, stejně jako její vedení (jednatel, ředitel atd.). Ale u datových schránek je tato otázka již dlouho na stole a souvisí právě s onou fikcí podpisu: v zákoně (konkrétně v § 18 odst. 2 zákona č. 300/2008 Sb.) je to formulováno tak, že:

(2) Úkon učiněný osobou uvedenou v § 8 odst. 1 až 4 nebo pověřenou osobou, pokud k tomu byla pověřena, prostřednictvím datové schránky má stejné účinky jako úkon učiněný písemně a podepsaný, ledaže jiný právní předpis nebo vnitřní předpis požaduje společný úkon více z uvedených osob.

Spor je o formulaci „nebo pověřenou osobou, pokud k tomu byla pověřena“: jde o pověření (pověřené osoby) ve smyslu možnosti odesílat datové zprávy, nebo o pověření ke konkrétnímu právnímu jednání (úkonu)? Pokud by se mělo jednat o první možnost, tedy o pověření ve smyslu možnosti odesílat datové zprávy, pak by to zahrnovalo i onu možnost právního jednání: osobě, schopné odeslat datovou zprávu, by stačilo jen „neprozradit se“, tj. nechat odesílané podání bez podpisu. Pak by se uplatnila ona fikce podpisu a příjemce by měl nakládat s obdrženým podáním stejně, jako kdyby bylo řádně podepsáno někým, kdo je k podpisu oprávněn. Možnosti zneužití snad netřeba rozvádět.

Jenže: proč je v zákoně ona podmínka „pokud k tomu byla pověřena“, týkající se osoby pověřené obsluhou datové schránky (pověřené osoby)? Pokud by se tato podmínka skutečně měla vztahovat k možnosti odesílat, pak je v zákoně zbytečná – pověřená osoba bez možnosti odesílat nic neodešle (neučiní žádný úkon). Neměl tedy zákonodárce na mysli spíše druhou variantu, a tedy pověření nikoli v technickém slova smyslu (k odesílání datových zpráv), ale v právním slova smyslu (jako pověření ke konkrétnímu právnímu jednání, resp. úkonu)?

Pokud by se ale jednalo o tuto druhou variantu, potřeboval by příjemce vědět, která konkrétní pověřená osoba mu nějakou datovou zprávu odeslala – a podle toho by posuzoval její oprávnění k příslušnému právnímu jednání. K tomu by ale potřeboval, aby mu datové schránky informaci o identitě odesilatele sdělovaly, a nikoli aby si ji nechávaly jen pro sebe.

Dovolím si připomenout, že právě popisovaný problém řešilo již před časem plénum Nejvyššího soudu – a ve svém stanovisku Plsn 1/2015 z ledna 2017 se rozhodlo pro výklad fikce podpisu ve smyslu první varianty (podrobněji jsem to popisoval zde na Lupě). Tedy že „pověřením pověřené osoby“ se rozumí možnost odesílat datové zprávy, a příjemce nemusí (a nemá) vůbec zkoumat, kdo mu nějaké nepodepsané podání posílá. Což ale má ony výše popisované důsledky. Fakticky tak došlo k přizpůsobení výkladu zákona tomu, jak funguje konkrétní informační systém, který má tento zákon v praxi naplňovat.

Nebylo by vhodné fikci podpisu omezit?

S fikcí podpisu souvisí i druhý podnět, který jsem přednesl minulý týden na veřejné konzultaci a který je ještě radikálnější: zamyslet se nad tím, zda je ona problematická fikce podpisu stále potřebná – a v jakém rozsahu, resp. pro koho. Pravdou je, že pro někoho může být přínosem, ale současně dokáže být problematická, až přímo nebezpečná. Viz výše.

Alespoň podle mého názoru u nepodnikajících fyzických osob (s DS FO), a asi i u „obecně“ podnikajících fyzických osob (s DS PFO), mohou převažovat přínosy, zatímco u právnických osob a držitelů profesních datových schránek (advokátů, daňových poradců a insolvenčních správců, nově i znalců atd.), i vzhledem k vyšší četnosti jejich elektronické komunikace, mohou převažovat spíše negativa. Nehledě na to, že u statutárních zástupců právnických osob a profesních uživatelů je snad možné očekávat, že budou schopni se řádně elektronicky podepisovat a nebudou potřebovat onu tolik problematickou berličku v podobě náhradního řešení s fikcí podpisu.

Můj podnět tedy zněl: zachovat fikci podpisu (§ 18 odst. 2 zákona č. 300/2008 Sb.) jen pro podání činěná z datových schránek nepodnikajících fyzických osob (DS FO) a „obecných“ podnikajících fyzických osob (DS PFO). Nikoli již pro podání činěná z profesních datových schránek (advokátů, daňových poradců, insolvenčních správců atd.) a z datových schránek právnických osob. Ostatně, ona fikce podpisu neplatí ani pro notáře či exekutory, ani pro orgány veřejné moci.

Jaký názor na to máte vy, čtenáři Lupy?