eIDAS: Elektronické identity a důvěryhodné služby pro EU

Témata elektronické identifikace a důvěryhodných služeb pro elektronické transakce na vnitřním trhu ošetřuje od července 2016 nařízení Evropské unie č. 910/2014, jež je obecně známé pod zkratkou eIDAS - eID And Signature. Jde o další normu, která se na celounijní úrovni snaží sjednotit právní úpravu digitální komunikace, resp. poskytování a využívání služeb v tzv. on-line prostředí. K podobně zaměřeným právním úpravám patří například obecné nařízení o ochraně osobních údajů (GDPR) nebo směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v unii (NIS).

Oficiálně proklamovaným cílem nařízení eIDAS je zvýšit uživatelské pohodlí, důvěru a jistotu v oblasti digitálních transakcí a komunikace. Členským státům Evropské unie přináší jednotná pravidla pro práci s elektronickými podpisy a souvisejícími službami vytvářejícími důvěru. Současně zvyšuje zodpovědnost poskytovatelů těchto služeb za bezpečnost transakcí. Jde především o subjekty, které vytvářejí, ověřují a potvrzují platnost elektronických certifikátů, podpisů, pečetí a elektronických časových razítek. "Nařízení eIDAS vnímáme jako evoluční, a to především pro přeshraniční elektronické služby a usnadnění vyřizování záležitostí v jiném členském státě, nikoliv jako revoluční," dodává Jiří Průša, manažer sdružení CZ.NIC.

Identity a důvěryhodnost

Nařízení eIDAS stanovuje podmínky pro uznávání elektronické identifikace fyzických a právnických osob a pravidla pro tzv. služby vytvářející důvěru. Ty norma specifikuje jako elektronické služby, jež jsou zpravidla poskytovány za úplatu a spočívají ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů pro fyzické osoby, pečetí pro právnické osoby nebo časových razítek, služeb elektronického doporučeného doručování nebo ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo v uchovávání elektronických podpisů, pečetí nebo certifikátů. Tzv. kvalifikované služby splňují požadavky nařízení a jejich poskytovatel získal příslušný status od dohledového orgánu. Tím je v tuzemsku ministerstvo vnitra.

U samotných elektronických podpisů, resp. pečetí norma rozlišuje tři úrovně důvěry či spolehlivosti. První představují tzv. jednoduché elektronické podpisy: Ty mají podobu dat v elektronické podobě, jež podepisující osoba připojuje a logicky spojuje s jinými daty. Druhou úroveň tvoří tzv. zaručené elektronické podpisy: Ty jsou jednoznačně spojeny s podepisující osobou, již lze jejich prostřednictvím identifikovat. Pro vytváření podpisu byla využita specifická data (definovaná dle pravidel eIDAS, např. PadES, CadES nebo XAdES), která má podepisující osoba s vysokou mírou jistoty pod svou kontrolou. Současně umožňují detekovat změnu dat, k níž došlo po podepsání. Třetí úroveň představují tzv. kvalifikované elektronické podpisy: V jejich případě jde o zaručené elektronické podpisy vytvořené kvalifikovaným prostředkem pro vytváření elektronických podpisů a založené na kvalifikovaném certifikátu pro elektronický podpis.

Unijní nařízení eIDAS podle některých výkladů jasně definuje rovnost mezi papírovou a elektronickou podobou dokumentu. V praxi to znamená, že jsou si obě formy z hlediska právní závaznosti rovnocenné. Komentář k tomuto tématu dodává Petr Kuchař z Odboru Hlavního architekta eGovernmentu ministerstva vnitra: "Klíčový pro další rozvoj eGovernmentu v České republice bude zejména rozvoj služeb umožňujících úplné elektronické podání."

Od 29. 9. 2018 budou mít členské země Evropské unie povinnost rozpoznávat identitu z tzv. ohlášených identitních systémů ostatních členských států. V uvedených systémech mají figurovat výhradně kvalifikovaní poskytovatelé služeb vytvářejících důvěru.

eIDAS v tuzemské legislativě

V České republice nařízení eIDAS, jež se netransponuje do národních legislativ členských států EU, doplňují zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce a změnový zákon č. 298/2016 Sb. Obě normy vstoupily v účinnost k 19. září 2016, čímž ukončily téměř tříměsíční dvojitou právní úpravu totožných problematik. V nezbytném rozsahu nařízení doplňují a adaptují na novou situaci tuzemskou legislativu.

Ke stejnému datu, tj. k 19. září 2016, byl rovněž zrušen zákon č. 227/2000 Sb., o elektronickém podpisu nebo související vyhlášky č. 378/2006 Sb. a 212/2012 Sb., které se věnovaly postupům kvalifikovaných poskytovatelů certifikačních služeb a ověřování elektronického podpisu.

Nařízení eIDAS, jak jeho název naznačuje, upravuje oblasti služeb vytvářejících důvěru a elektronické identifikace. Druhou uvedenou problematiku bude opět v tuzemsku doplňovat zákon o elektronické identifikaci, jenž aktuálně prochází legislativním procesem.