Hlavní navigace

Vzájemné uznávání eID začalo. Kdy se Estonec přihlásí do datových schránek v ČR?

Autor: EU
Jiří Průša

Přesně před měsícem, 29. září 2018, nabyla účinnosti významná část nařízení eIDAS upravující vzájemné uznávání eID.

Doba čtení: 8 minut

Představy o tom, jak se občan Estonska bude moci přihlašovat do českých datových schránek a my naopak například do slovenských elektronických schránek, je zatím daleko vzdáleně realitě.

Už samotné nařízení totiž obsahuje hned dva velké háčky. Prvním z nich je, že povinnost vzájemného uznávání eID se vztahuje pouze na tzv. notifikované systémy, u kterých byly splněny všechny lhůty dle eIDAS. A zatím jediným, kdo tímto kolem prošel, jsou Němci a (částečně) Italové. Dalších několik států je alespoň na běžecké dráze, většina se však zatím nepostavila ani na start. Druhým zádrhelem pak je, že možnost přihlásit se oznámeným systémem (např. německou elektronickou občankou) v zahraničí bude možné pouze u těch služeb, u kterých je to možné obdobným prostředkem v daném státě.

 


Partnerem seriálu o eIDAS, elektronických podpisech a službách vytvářejících důvěru je ASKON International.

Členským státům tak z eIDAS vyplývá především povinnost zprovoznění tzv. národního eIDAS uzlu (resp. jeho části Connector), který zajišťuje předávání požadavků na přihlášení ke konkrétní službě do jiných zemí. Na druhou stranu však z eIDAS nevyplývá povinnost své eID systémy oznámit ani nabízet u svých služeb eGovernmentu elektronickou identifikaci.

Jaké země již ohlásily své systémy?

Základní podmínkou pro uznávání prostředku pro elektronickou identifikaci (eID) v jiném státě je absolvování poměrně zdlouhavého procesu. Na jeho začátku je poskytnutí popisu svého národního řešení nejdříve ostatním členským státům (tzv. pre-notifikace), které prostřednictvím tzv. Sítě pro spolupráci (Cooperation Network) následně provádí hodnocení jednotlivých procesů a bezpečnosti. Výsledkem je pak vydání stanoviska obsahující názor hodnotících členských států, zda systém elektronické identifikace splňuje požadavky na deklarovanou úroveň záruky. Oficiální oznámení Evropské komisi však nemůže přijít dříve než po 6 měsících od prvotního oznámení popisu národního řešení ostatním členským státům. Poté, co členský stát oficiálně oznámí Evropské komisi svůj systém elektronické identifikace, začíná běžet 2měsíční lhůta pro zveřejnění oznámení v Úředním věstníku (Official Journal, OJ).

Ostatní členské státy následně mají až jeden rok na přípravu svých národních systémů na akceptování dané zahraniční identity či identit. U Německa jako jediného státu pak bylo použito přechodné období, kdy se 12měsíční lhůta (byť o pár dnů) prodloužila právě do 29. září 2018. Celý proces zachycuje následující schéma.

Zmíněná roční lhůta je však chápána jako maximální a ostatní členské státy nemusí rozhodně čekat do posledního dne. Teoreticky by tak již nyní bylo možné uznávat např. italské eID prostředky. Stejně tak členským státům nebrání nic v tom na dobrovolném základě uznávat i jiné než oznámené systémy. Takto je např. již více než rok možné se přihlašovat k některým elektronickým službám nizozemského e-Governmentu pomocí německých eOP.

Pokud se podíváme do českého zákona o elektronické identifikaci (250/2017 Sb.), vidíme, že díky znění § 3, odst. 2 jsme se v České republice 12měsíční implementační lhůty úplně vzdali.

Kvalifikovaným systémem je dále systém elektronické identifikace oznámený podle přímo použitelného předpisu Evropské unie upravujícího elektronickou identifikaci, v jehož rámci je vydáván a používán pouze prostředek pro elektronickou identifikaci s úrovní záruky alespoň značnou.

Z pozice zaměstnance provozovatele národního eIDAS uzlu mi to zároveň nedá si alespoň trochu nepostesknout nad nedokonalostí a možná jistou povrchností procesu vzájemného hodnocení v rámci Cooperation Network. Na jednu stranu sice mnohé členské státy často předloží dokumenty čítající dohromady i několik stovek stránek, na druhou stranu však např. Itálie dlouho neměla svůj eIDAS uzel v produkčním prostředí, a to přesto, že popis jejich systému již vyšel v Úředním věstníku a např. Lucembursko zase několik měsíců po prvotním oznámení svého eID systému stále nemělo svůj uzel zprovozněný ani v testovacím režimu.

Každá země může oznámit i více eID prostředků, a to jak státních, tak nestátních. Pro soukromé poskytovatele identit (eID), kterými mohou být např. banky, telekomunikační operátoři či další subjekty, tak vždy vede cesta přes odpovědnou vládní instituci. Každý prostředek je pak dle bezpečnosti zařazen do jedné ze tří kategorií či lépe řečeno úrovní záruky (Level of Assurance) – nízká, značná a vysoká, přičemž pro přeshraniční uznávání mají význam jen dvě nejvyšší. Celkem dobře je zároveň možné, aby jeden prostředek splňoval požadavky na dvě úrovně, a to podle toho, jaké bezpečnostní mechanismy si uživatel nastaví. Jako příklad může posloužit např. mojeID či datové schránky, které (dle mého názoru) by mohly bez větších problémů splnit požadavek jak na nízkou, tak na značnou úroveň, přičemž rozhodující je, zda uživatel použije dvoufaktorovou autentizaci (např. přes jednorázové SMS či OTP), či se spolehne jen na uživatelské jméno a heslo.

Z celkem 31 zemí Evropské unie a Evropského hospodářského prostoru (EHP) se zatím rozhodlo jen devět nabídnout svým občanům výhody přihlašování rovněž k zahraničním službám e-Governmentu. Jako první se na cestu vzájemného uznávání rozhodlo vydat Německo, které svůj národní systém založený na elektronických občanských průkazech pre-notifikovalo 20. února 2017, následované Itálií (24. listopadu 2017), Španělskem (20. února 2018), Lucemburskem (26. února 2018), Estonskem (27. února 2018), Chorvatskem (28. února 2018), Belgií (28. května 2018), Portugalskem (30. května 2018) a nejnověji též celkem překvapivě Velkou Británií (28. srpna 2018).

V jakém stádiu se jednotlivé státy nyní nacházejí, je znázorněno v dalším schématu.

Jaké prostředky členské státy oznamují?

Zajímavé je se podívat na to, jaké prostředky jednotlivé členské státy oznamují. Z níže uvedeného přehledu jasně vyplývá, že se ve většině případů jedná o eOP (tedy obdobu nové české eOP vydávané od 1. července 2018), které jen Estonsko, Portugalsko a Velká Británie doplnili rovněž mobilní identifikací.

Založit svůj systém na řešení poskytovaném soukromým sektorem se pak rozhodla Itálie a Velká Británie, byť každá zvolila trochu odlišný model. Zatímco Italové využívají identitu poskytovanou některou z devíti společností (Aruba PEC, Namirial, InfoCert, In.Te., Poste Italiane, Register.it, Sielte, Telecom Italia a Trust Technologies), které působí rovněž jako kvalifikovaní poskytovatelé pro elektronické podpisy, Velká Británie oznámila systém GOV.UK Verify založený na různých řešeních, poskytovaných jak bankami (Barclays), tak i řadou menších společností, které by šlo označit jako startupy (např. Digidentity). Veřejný sektor pak v systému reprezentuje např. Royal Post.

Země

Oznámené prostředky

Úroveň*

Belgie

eOP (Citizen eCard)

Vysoká

El. karta rezidenta (Foreigner eCard)

Estonsko

ID card

Vysoká

RP card

Digi-ID

e-Residency Digi-ID

Mobiil-ID

Diplomatic identity card

Chorvatsko

eOP (National Identity Card)

Vysoká

Itálie

Systém veřejných identit (SPID) založený na prostředcích soukromého sektoru

Nízká, značná, vysoká

Lucembursko

eOP (karta)

Vysoká

Německo

eOP (National Identity Card)

Vysoká

Elektronické povolení k pobytu

Portugalsko

eOP (eID card)

Vysoká

Digital Mobile Key

Professional Attributes Certification System

Španělsko

eOP (karta)

Vysoká

Velká Británie

GOV.UK Verify

*Zohledněna nejvyšší možná úroveň prostředku u dané země. U vybraných prostředků však může být i na základě výsledku vzájemného posouzení úroveň nižší.

K jakým službám se bude moci přihlásit?

Další důležitou otázku ve vzájemném uznávání představuje stanovení elektronických služeb, ke kterým se bude možné v jiném členském státě přihlásit. Odpověď v tomto ohledu nabízí především čl. 6, odst. 1 eIDAS.

… Pokud se podle vnitrostátního práva nebo správní praxe pro přístup ke službě poskytované on-line subjektem veřejného sektoru v určitém členském státě vyžaduje elektronická identifikace s použitím prostředku pro elektronickou identifikaci a autentizace, je pro účely přeshraniční autentizace pro danou on-line službu uznán v tomto členském státě prostředek pro elektronickou identifikaci vydaný v jiném členském státě…

Nezbytným předpokladem pro to, aby se např. Němec mohl přihlásit se svojí elektronickou občankou k české službě e-Governmentu, je tak podmínka, aby podobné přihlášení existovalo i na národní úrovni. Jinými slovy, pokud je možné se někam přihlásit českou elektronickou občankou, měl by být stejný způsob přihlášení v duchu zásady „jednotného digitálního trhu“ a „nediskriminace příslušníků jiných zemí EU“ nabídnut rovněž Němcům, Italům apod.

Pokud zůstaneme v České republice, jedná se především o služby připojené (odkaz vede na XML dokument)Národnímu bodu pro identifikaci a autentizaci (též NIA či eIdentita.cz), tj. pacientské aplikaci eRecept provozované SÚKL, ePortálu České správy sociálního zabezpečení, Portálu veřejné správy a Elektronickým službám Finanční správy ČR.

V této souvislosti stojí za to jen připomenout, že na NIA zatím nejsou napojeny datové schránky. Vzhledem k tomu, že mezi oprávněné osoby přistupující k datové schránce patří rovněž cizinci (typicky v případě, že jsou statutárními orgány v s. r. o. či a. s.), bylo by zajímavé sledovat případný spor založený na již několik let starém, ale v praxi neaplikovaném, ustanovení § 9, odst. 3, zákona č. 300/2008 Sb., podle kterého:

Přihlášení oprávněné osoby k datové schránce zajišťuje ministerstvo prostřednictvím jím vydaných přístupových údajů nebo elektronických prostředků, prostřednictvím elektronicky čitelných identifikačních dokladů.

V poznámce č. 10 je pak přímo odkazováno na zákon č. 328/1999 Sb., o občanských průkazech, a dokonce i zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, který v rámci jedné ze svých novelizací za ministra Drábka počítal s tzv. kartou sociálního pojištění. Díky této zmínce v zákoně (k ISDS se zatím nelze přes NIA přihlásit) by se tak mohl již zmíněný Němec či Ital, který je jednatelem např. českého s. r. o., dožadovat přihlášení k datové schránce rovněž svojí eOP či jiným prostředkem.

Přestože Správa základních registrů ve spolupráci s Ministerstvem vnitra prostřednictvím CZ.NIC český národní eIDAS uzel včas zprovoznila, v praxi bohužel příliš nepochodí ani Němec, který by se přes NIA chtěl přihlásit třeba k eReceptu nebo daňovému portálu. Mezi prostředky pro přihlášení se mu totiž zobrazí pouze eOP a Jméno, heslo a SMS. Hlavním důvodem tohoto stavu je nepřipravenost jednotlivých poskytovatelů pracovat se zahraničními identitami. Tyto důvody jsou jak technické (především ztotožňování prostřednictvím rodného čísla či vůči registru obyvatel – ROB), tak právní.

S nastavením jednotlivých úrovní záruky (tzv. LoA) bez rozlišení, zda se jedná o tuzemského, či zahraničního poskytovatele identit, pracuje i uživatelská příručka NIA pro veřejnou správu.

Z výše uvedených důvodů však není přihlašování dle eIDAS jednotlivými službami, jako je ČSSZ, Portál veřejné správy či eRecept podporováno, přestože náš národní uzel je od 28. 9. 2018 plně zprovozněn. Ostatně, jak bude vypadat nabídka přihlášení pro cizince, můžeme vidět u tzv. SEP3 (Testovací poskytovatel služeb č. 3).

Jak jsme mohli v článku vidět, vzájemné uznávání eID je stále na začátku, a přestože nařízení eIDAS je na světě již přes 4 roky, má stále dost „porodních bolestí“, a to nejen v České republice. Ono 29. září je tak třeba chápat spíše jako začátek snahy o přeshraniční využívání, kterou bude postupně prověřovat čas.

Našli jste v článku chybu?