11.1.3.2 Elektronická identifikace - Služby vytvářející důvěru pro elektronické transakce
prof. JUDr. Richard Pomahač, CSc.
Nařízení eIDAS
Od července 2016 je v celém rozsahu užíváno evropské nařízení č. 910/2014 označované obvykle zkratkou eIDAS (electronic IDentification, Authentication and trust Services). Tímto unijním aktem byla harmonizována pravidla týkající se elektronické identifikace. Nařízení eIDAS stanoví podmínky, za nichž členské státy uznávají prostředky pro elektronickou identifikaci fyzických a právnických osob, které spadají do oznámeného systému elektronické identifikace. Dále stanoví pravidla pro služby vytvářející důvěru, zejména u elektronických transakcí. Rovněž stanoví právní rámec pro elektronické podpisy, elektronické pečetě, elektronická časová razítka, elektronické dokumenty, služby elektronického doporučeného doručování a certifikační služby.
Klíčovými jsou dva pojmy:
a) elektronická identifikace, což je postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující právnickou osobu
b) služba vytvářející důvěru, což je elektronická služba, která je zpravidla poskytována za úplatu a spočívá:
1. ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami;
2. ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek;
3. v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami.
Použití elektronického podpisu řeší potřeby jednoznačné identifikace účastníků elektronické komunikace. Nařízení eIDAS definuje elektronický podpis jako data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání.
Rozlišován je jednak zaručený elektronický podpis, jednak kvalifikovaný elektronický podpis, což je zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy.
Unijní pravidla elektronického podpisu
Pro elektronické podpisy platí v Evropské unii tato základní pravidla:
1. Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy.
2. Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu.
3. Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech.
4. Zaručený elektronický podpis musí splňovat tyto požadavky:
a) je jednoznačně spojen s podepisující osobou;
b) umožňuje identifikaci podepisující osoby;
c) je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou; a
d) je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.
Pokud členský stát EU pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis, uznává jako zaručené elektronické podpisy i elektronické podpisy založené na kvalifikovaném certifikátu pro elektronické podpisy a kvalifikované elektronické podpisy. Členské státy EU nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis.
Česká úprava
Pod vlivem nařízení eIDAS musela být také významně změněna česká právní úprava, která se vyvíjela od 90. let a v širší veřejnosti byla spojována především s elektronickým podpisem.
Nařízení eIDAS se promítlo do řady českých zákonů, především do zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce a do zákona č. 250/2017 Sb., o elektronické identifikaci a dále do novelizací zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů. Dotčeno je i mnoho sektorových úprav, jak ukazuje například zákon č. 261/2021 Sb., kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci.
Elektronická identifikace
Vyžaduje-li právní předpis nebo výkon působnosti prokázání totožnosti, lze umožnit prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace, který spravuje kvalifikovaný správce.
Kvalifikovaným systémem je systém elektronické identifikace, který splňuje technické specifikace, normy a postupy alespoň pro jednu z úrovní záruky stanovených přímo použitelným předpisem EU a který umožňuje poskytnutí služby národního bodu pro identifikaci a autentizaci.
V duchu nařízení eIDAS lze rozeznávat tři úrovně důvěry identifikačních prostředků. Při vysoké úrovni jde o autentizaci, kdy má osoba identifikační prostředek na bezpečném zařízení (např. na kontaktním čipu občanského průkazu) a zná přístupové údaje k použití tohoto prostředku. Značnou úroveň důvěry obvykle zaručuje dvoufaktorová autentizace (jméno, heslo a jednorázově zasílaný SMS kód),…