Hlavní navigace

Do datových schránek se už dostanete i bez přístupových údajů

10. 3. 2020
Doba čtení: 11 minut

Sdílet

 Autor: Ministerstvo vnitra ČR
Když se do své datové schránky přihlašujete pomocí nové eOP, své přístupové údaje při tom nezadáváte. Dosud jste je ale stejně museli mít. Dnes už je nepotřebujete.

Nové elektronické občanky, vydávané od poloviny roku 2018, měly až dosud jen omezené možnosti využití v rámci datových schránek: od ledna loňského roku se dají využít pro výrazně spolehlivější přihlašování. Ale nikoli již pro další důležité úkony, jako například pro zřízení nové datové schránky či pro znepřístupnění již existující (a zpřístupněné) datové schránky. Nebo pro zneplatnění přístupových údajů a získání nových.

Pro takovéto věci se dosud nejčastěji chodilo osobně na CzechPOINTy, i když se také daly dělat čistě elektronicky: ovšem s nutností vyplnit příslušnou žádost a opatřit ji buď uznávaným elektronickým podpisem, nebo ji zaslat skrze datovou schránku.

Nově, konkrétně od počátku letošního března (resp. od poslední odstávky ISDS), se ale situace změnila a i takovéto úkony jdou dělat čistě elektronicky, jednoduše a rychle, prakticky na jedno kliknutí a bez vyplňování složitých žádostí – ale je k tomu nutná právě nová elektronická občanka, samozřejmě s aktivovanými identifikačními funkcemi. Protože protistrana si skrze ni dokáže vše potřebné zjistit sama.

Co se dozvíte v článku
  1. K čemu nově stačí eObčanka?
  2. Jak si zřídit novou datovou schránku?
  3. Jak si znepřístupnit svou datovou schránku?
  4. Zneplatnění a získání nových přístupových údajů
  5. Jen nové občanky? Nebo i další prostředky pro elektronickou identifikaci?

K čemu nově stačí eObčanka?

Konkrétně je nově možné pomocí nové eOP:

  • Nechat si (okamžitě) zřídit novou datovou schránku nepodnikající fyzické osoby (DS FO) či podnikající fyzické osoby (DS PFO), která je také okamžitě zpřístupněna (tj. dá se ihned používat). Navíc už k takto zřízené datové schránce standardně nedostáváte žádné přístupové údaje, protože je skutečně už nepotřebujete (když se můžete přihlašovat pomocí své eOP). Ale pokud přihlašovací údaje přeci jen chcete, můžete si o jejich vydání požádat.
  • Pokud už svou datovou schránku máte, ale z nějakého důvodu ji potřebujete znepřístupnit (což jde jen u schránek zřizovaných na žádost), můžete to udělat na jedno kliknutí přímo z prostředí své schránky (přesněji: z tzv. klientského portálu ISDS, jak se teď říká jejich webovému rozhraní).
  • Podobně, když potřebujete zneplatnit své aktuální přístupové údaje a nechat si vygenerovat nové, můžete i to realizovat přímo ze své datové schránky (pokud jste k ní právě přihlášeni pomocí své eOP, a tedy nikoli pomocí těchto přístupových údajů). Nové údaje získáte hned a nemusíte na nic čekat.

Kromě toho se již někdy dříve změnila další zajímavá věc. Souvisí s tím, že při přihlašování do datové schránky pomocí nové eOP nezadáváte žádné přístupové údaje – protože to, kým jste, vyjadřujete a prokazujete v dostatečné míře samotnou eOP. Takto to funguje od samého počátku, kdy byla možnost přihlašovat se do datových schránek pomocí eOP nově zprovozněna. Systém datových schránek si na základě vaší identity (prokázané skrze vaši eOP, s úrovní záruky „vysoká“) již sám najde všechny možnosti toho, v jakých rolích a do kterých datových schránek máte přístup – a vy si pak jen vyberete tu kombinaci (role a schránky), kterou chcete právě využít. Podrobněji jsem to popisoval zde na Lupě v tomto článku z ledna 2019.

Jenže: dříve i takovéto přihlášení – pomocí eOP, a tedy bez zadávání přístupových údajů – paradoxně vyžadovalo existenci použitelných přístupových údajů. Včetně platného (neexpirovaného) hesla.

Mohu to dokumentovat na vlastní nepříjemné zkušenosti ze září loňského roku: při jednom semináři jsem chtěl účastníkům předvést právě přihlašování pomocí nové elektronické občanky. Jenže když jsem úspěšně absolvoval celý postup přihlašování pomocí eOP, systém datových schránek zjistil, že mi již skončila platnost hesla, a trval na jeho obnově. Bez ní mne nepustil dál, přestože při použitém způsobu přihlašování se heslo vůbec nezadává.

Dnes, a nejspíše už někdy od závěru loňského roku, by se něco takového již nemělo stávat. Do své datové schránky se už můžete přihlásit třeba i tehdy, když vám příslušné heslo již expirovalo (nebo ho vůbec nemáte nastavené, viz dále). Musíte se ale přihlašovat pomocí své nové eOP. A jak jsem si prakticky ověřil, totéž platí i pro přihlašování pomocí tzv. mobilního klíče.

Mimochodem, po tomto vysvětlení je snad již trochu srozumitelnější i následující vyjádření, které se nedávno objevilo ve zpravodajství Českého rozhlasu:

Podle mluvčí Malé zanedlouho přibudou nové možnosti, jak se do firemní datové schránky přihlásit. ‚Od března tohoto roku bude moci držitel elektronického občanského průkazu přistupovat do všech datových schránek, kam má zřízeno přístupové oprávnění, aniž by bylo nutné přístupové údaje si vyzvedávat, nové si žádat nebo si je pro vstup do každé z datových schránek pamatovat,‘ uzavřela.

Tyto nové možnosti počátkem března skutečně přibyly, a naštěstí se netýkají jenom přístupů do firemních datových schránek (zřejmě DS PO), ale i těch soukromých (DS FO a DS PFO).

nový Provozní řád ISDS dokonce sám zmiňuje, že uživatelé, kteří se přihlašují pomocí své eOP, si mohou deaktivovat své přístupové údaje a tím „zvýšit úroveň zabezpečení přístupu do ISDS“:

Používáním eObčanky nedochází k deaktivaci přístupových údajů, každý uživatel tedy má stále možnost přihlášení i pomocí nich, nicméně uživatel má možnost si sám jejich použití deaktivovat a tím zvýšit úroveň zabezpečení přístupu do ISDS.

Pojďme si nyní ukázat, jak se všechny tyto změny projevují v praxi.

Jak si zřídit novou datovou schránku?

Začněme zřízením nové datové schránky: sám jsem držitelem datové schránky nepodnikající fyzické osoby (tj. DS FO). Když se do ní dnes přihlásím pomocí své eOP, je mi vedle přístupu do ní nově nabídnuta také možnost zřídit si ještě datovou schránku podnikající fyzické osoby (DS PFO). Viz následující obrázek a v něm červeně orámovaná část.


Předpokládám, že pokud bych neměl žádnou (svou) datovou schránku, vedl by stejný postup (tedy pokus o přihlášení k datové schránce, na adrese https://mojedatovaschranka.cz, pomocí nové eOP) k nabídce zřízení dvou datových schránek, a to DS FO i DS PFO. A naopak: pokud bych měl jen DS PFO, bylo by mi zřejmě nabídnuto zřízení DS FO.

Konkrétně pro zřízení datové schránky podnikající fyzické osoby (DS PFO) je ale podmínkou to, aby žadatel byl podnikatelem. 


V mém případě ale tato podmínka splněna nebyla, a tak mi nová datová schránka podnikající fyzické osoby nemohla být zřízena.


Pokud by ale splněna byla, nová schránka by mi měla být zřízena okamžitě a byl bych do ní rovnou přesměrován. Navíc by došlo i k jejímu okamžitému zpřístupnění (aktivaci). Nečekalo by se na žádné zaslání přístupových údajů (ani klasicky poštou, ani skrze tzv. virtuální obálku) – jednoduše proto, že žádné přístupové údaje by mi k takovéto datové schránce nebyly vystavovány. Pokud bych je přeci jen chtěl, musel bych o ně explicitně požádat (viz dále).

Ještě si dovolím předpokládat, že právě popsaná možnost zřizování datových schránek se týká jen „generických“ schránek fyzických osob. Tedy datové schránky nepodnikající fyzické osoby (DS PFO) a datové schránky „obecné“ podnikající osoby (DS PFO). Netýká se zřizování „profesních“ datových schránek fyzických osob, jakými jsou datové schránky advokátů (DS PFO_ADVOK), daňových poradců (DS PFO_DANPOR), insolvenčních správců (DS PFO_INSSPR) a statutárních auditorů (DS PFO_AUDITOR).  Ty totiž nejsou zřizovány na žádost, ale ze zákona.  

Jak si znepřístupnit svou datovou schránku?

Pokud máte datovou schránku zřízenou na žádost, můžete požádat o její znepřístupnění (dle § 11 odst. 5 zákona č. 300/2008 Sb.). Pokud jste ke své schránce právě přihlášeni, můžete příslušnou žádost nově zadat přímo, kliknutím na odpovídající tlačítko, viz obrázek. Toto tlačítko je ale dostupné jen v případě, že jste přihlášeni ke své datové schránce pomocí nové eOP – jinak dostupné není.


Pozor ale na to, že jak zákon (§ 11 odst. 6 zákona č. 300/2008 Sb.), tak i nový Provozní řád hovoří o znepřístupnění „nejpozději třetím pracovním dnem po podání žádosti“. Neslibují žádné „ihned“ jako při zřizování nové datové schránky. Stejně tak dávejte pozor na to, že když si necháte svou datovou schránku v jednom roce znepřístupnit podruhé, může být znovu zpřístupněna „nejdříve uplynutím 1 roku od jejího posledního znepřístupnění“ (viz § 11 odst. 7 zákona).

Na druhou stranu by se popisovaná možnost znepřístupnění nemusela týkat jen datových schránek nepodnikajících a podnikajících fyzických osob (DS FO a PFO), ale mohla by se týkat i ostatních datových schránek zřizovaných na žádost (což jsou schránky PO_REQ a OVM_REQ). Toto jsem ale neměl možnost ověřit.

Zneplatnění a získání nových přístupových údajů

Jak jsme si již naznačili, k poměrně zásadní změně dochází u přístupových údajů: pokud si necháte zřídit novou datovou schránku pomocí své eOP (výše popisovaným způsobem), žádné přístupové údaje vám k ní nejsou vystavovány. Protože je skutečně nepotřebujete, když se můžete přihlašovat podstatně bezpečněji pomocí své eOP.

Pokud ale chcete, můžete si přístupové údaje nechat vygenerovat přímo ze své datové schránky, jste-li k ní právě přihlášeni pomocí nové eOP. Příslušnou možnost najdete v nastavení, v části „uživatelé“.


Když se pro vydání nových přístupových údajů (včetně zneplatnění těch stávajících) skutečně rozhodnete, jste nejprve upozorněni na to, že nové údaje (uživatelské jméno a heslo) se vám ihned zobrazí v novém okně – ale jen dočasně, dokud okno nezavřete.


Ono nové okno, ve kterém se vám nové přístupové údaje zobrazí, se nezavírá samo, po nějakém časovém limitu, ale vydrží otevřené do té doby, než si ho sami zavřete.

Jakmile ale okno s novými přihlašovacími údaji zavřete, jste ze své datové schránky odhlášeni a vyzváni k novému přihlášení.  

Zdůrazněme si, že nové heslo, které jste tímto způsobem obdrželi, je vlastně jen jednorázové počáteční heslo, které si při první příležitosti musíte změnit.

Pokud se tedy znovu přihlásíte pomocí své eOP, je to vlastně jako kdybyste se přihlašovali úplně poprvé a jsou vám nabídnuty tři varianty toho, jak naložit s možnostmi přihlašování, viz následující obrázek.


První možností je omezit se jen na přihlašování pomocí nové eOP. V takovém případě budou všechny ostatní možnosti přihlašování (včetně mobilního klíče) deaktivovány.

Druhou možností je zachování možnosti přihlašovat se pomocí jména a hesla (i nové eOP), a tak jste hned následně vyzváni ke změně hesla.

Konečně třetí možností je odložit rozhodnutí o maximálně 60 dnů. Pokud se do této doby nerozhodnete, systém za vás zvolí první možnost (tedy jen pomocí nové eOP).

I když se ale rozhodnete pro druhou či třetí možnost, a tedy se zachováním možnosti přihlašovat se pomocí přístupových údajů, stále máte možnost si tuto možnost kdykoli deaktivovat – v nastavení, konkrétně v možnostech přihlašování, a zde v rámci nastavení přihlašování pomocí elektronické občanky.


Tuto možnost, tedy deaktivovat možnost přihlašování pomocí jména a hesla, máte pochopitelně i kdykoli jindy.

Pokud se však rozhodnete pro první možnost, tedy pro přihlašování jen pomocí eOP, ve skutečnosti si stále zachováváte i možnost přihlašovat se pomocí mobilního klíče.


Jak jsem si sám ověřil, zneplatněním původních přístupových údajů a vydáním nových mi sice byla zakázána i možnost přihlašování pomocí mobilního klíče, ale tuto jsem si zase mohl znovu obnovit a zůstala aktivní i poté, co jsem se rozhodl pro první možnost (pro přihlašování jen pomocí eOP).

Předchozí obrázek sice říká, že k obnově přihlašování pomocí mobilního klíče je nutné se přihlásit jménem a heslem, u mne to ale nebylo zapotřebí. A jak jsem si následně ověřil, deaktivovat, znovu aktivovat a skutečně používat přihlašování pomocí mobilního klíče jde i v době, kdy je přihlašování pomocí přístupových údajů (jména a hesla) zakázané – a kdy systém sám tvrdí, že jedinou možností je přihlašování pomocí eOP.

A ještě pro úplnost: oním přihlašováním pomocí přístupových údajů (jména a hesla) se fakticky rozumí i přihlašování certifikátem, SMSkou či s bezpečnostním kódem – protože u všech těchto variant se zadává jak jméno, tak i (první) heslo a teprve pak příslušný druhý autentizační prvek.

Mimochodem, podle oficiální nápovědy nebude varianta s bezpečnostním kódem do budoucna podporována.

Jen nové občanky? Nebo i další prostředky pro elektronickou identifikaci?

Právě vyjmenované změny, zejména kolem zřizování nových datových schránek s využitím nových elektronických občanek, umožnila novela zákona č. 300/2008 Sb., který vymezuje fungování datových schránek. K této novele došlo s účinností od 21. listopadu loňského roku, skrze zákon č. 279/2019 Sb. Příslušná ustanovení, která byla novelizována, přitom hovoří o tom, že konkrétní úkony (jako je žádost o zřízení nové datové schránky či o její znepřístupnění atd.) lze realizovat čistě elektronickou cestou prostřednictvím informačního systému datových schránek, a to „s využitím přístupu s vysokou úrovní záruky“.

To ale nemusí být jen nové elektronické občanky, protože na úroveň záruky „vysoká“ aspirují i další prostředky (a kvalifikované systémy) pro elektronickou identifikaci – a třeba čipová karta Starcos od I.CA, spolu s identitním certifikátem, už úroveň záruky „vysoká“ skutečně získala. Nicméně reálně k využití dnes ještě není. Snad prý koncem března.

Ovšem nová verze Provozního řádu ISDS, která byla u příležitosti nových změn vydána, hovoří jen o nových elektronických občankách. Nikoli o prostředcích s úrovní záruky „vysoká“.

UX DAy - tip 2

Zajímavé ale je, že požadavek na úroveň „vysoká“ dnes už vlastně neplatí. To proto, že zákon č. 279/2019 Sb. nebyl poslední, kdo novelizoval příslušná ustanovení kolem datových schránek. Zákon č. 12/2020 Sb., známější jako zákon o právu na digitální služby (resp. jako tzv. digitální ústava), je s účinnosti od 1. února letošního roku novelizoval znovu – a to tak, že požadavek na přístup s úrovní záruky „vysoká“ nahradil požadavkem na „přístup pomocí kvalifikovaného prostředku“. Ten přitom definoval jako zkratku za „přístup s využitím prostředku pro elektronickou identifikaci vydaným v rámci kvalifikovaného systému elektronické identifikace“.

Zde je důležité si uvědomit, že s takovýmto „kvalifikovaným prostředkem“ již není spojen požadavek na úroveň záruky „vysoká“. Musí sice být vydán v rámci kvalifikovaného systému (elektronické identifikace), ale sám může mít i úroveň „značná“, či dokonce „nízká“ – čímž (alespoň podle mého názoru) dochází k notnému „snížení laťky“ i u popisovaných úkonů, týkajících se datových schránek. Že by to souviselo s tím, že prostředky pro elektronickou identifikaci, které slibuje přinést tzv. bankovní identita, aspirují jen na úroveň „značná“, a nikoli „vysoká“?

Byl pro vás článek přínosný?

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).