V České republice je od
1.7.2018 účinný zákon č. 250/2017 Sb. (Zákon o elektronické identifikaci, dále jen zákon), který upravuje
elektronickou identifikaci v návaznosti na Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o
elektronické identifikaci a službách vytvářejících důvěru pro elektronické
transakce na vnitřním trhu.
V § 2 toho zákona je stanoveno:
Prokázání
totožnosti s využitím elektronické identifikace
Vyžaduje-li
právní předpis nebo výkon působnosti prokázání totožnosti, lze umožnit
prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím
kvalifikovaného systému elektronické identifikace (dále jen „kvalifikovaný
systém“).
Podle tohoto § mohou poskytovatelé online služeb
(service provider, SeP), u kterých dochází k ověření totožnosti, umožnit
přihlašování (identifikaci a autentizaci) uživatelů s využitím
elektronické identifikace výhradně pomocí kvalifikovaného systému elektronické
identifikace.
Informace Ministerstva vnitra pro správce informačních systémů veřejné správy:
Od 1.
července 2020 jste povinni, pokud nabízíte online služby, při nichž dochází k
ověření totožnosti, které vyžaduje právní předpis nebo výkon působnosti, umožnit
přihlášení prostřednictvím kvalifikovaného systému elektronické identifikace, resp.
prostředku pro elektronickou identifikaci vydaného kvalifikovanými správci (identity
providery), kteří jsou připojeni k Národnímu bodu pro identifikaci a
autentizaci.
 |
| eIdentita |
Národní bod pro identifikaci a autentizaci
(NIA) nabízí k 3.3.2020 dva kvalifikované systémy s prostředky pro
elektronickou identifikaci:
- Občanský průkaz s aktivovaným čipem (eOP) vydaný po 1. 7. 2018,
- Uživatelský účet (jméno + heslo+ sms, UPS).
Připravuje se rozšíření těchto
systémů o soukromoprávní kvalifikované správce, z nich nejzajímavější
budou zřejmě banky. Své želízko
v ohni má též První certifikační autorita, a. s.
V § 27 odstavci 2) zákona bylo
současně zavedeno přechodné opatření, které umožnilo po dobu 2 let ode dne
nabytí účinnosti zákona využívat i jiný způsob prokázání totožnosti
s využitím elektronické identifikace, než je kvalifikovaný systém:
Po dobu 2
let ode dne nabytí účinnosti tohoto zákona lze umožnit prokázání totožnosti,
které vyžaduje právní předpis nebo výkon působnosti, s využitím elektronické
identifikace, při kterém se nepoužije kvalifikovaný systém.
Mezi jiné způsoby například patří
vydávání vlastních přihlašovacích údajů (typicky jméno a heslo), využívání certifikátů nebo používání autentizačních služeb třetích stran (MojeID).
Do seznamu kvalifikovaných
systémů s prostředky pro elektronickou identifikaci nejsou zařazeny Datové schránky (DS), resp. Autentizační služba portálu veřejné správy (AS-PVS). Pro
uživatele Datových schránek využívajících Mobilní elektronický prostředek (MEP)
se chystá jeho využití jako dalšího IdP, s možností převodu identity
z Datových schránek. Pravděpodobně se o tomto způsobu dozvíme více na
letošní konferenci ISSS.
 |
| MEP a možnost převodu identity z DS do NIA |
Jako malý paradox může působit,
že DS/AS-PVS zřejmě nepůjdou po 1.7.2020 pro přihlášení vyžadující ověření
totožnosti použít (bude to možné se zavedením MEP do NIA jako dalšího IdP), ale stále bude možné založit
si prostředek pro elektronickou identifikaci UPS a následně ho aktivovat ověřením datovou schránkou fyzické osoby.
Zmíněné přechodné opatření dle §
27 odst. 2) však končí 30.6.2020 a od 1.7.2020 jsou úřady povinny pro online služby,
při nichž dochází k ověření totožnosti, umožnit přihlášení prostřednictvím
kvalifikovaného systému elektronické identifikace. Současně jsou povinny
ukončit ověřování totožnosti vlastními systémy, případně systémy třetích osob
nesplňujícími požadavky na kvalifikované systémy podle zákona o elektronické
identifikaci.
Jaký je však praktický dopad
konce přechodného období? Budou se hromadně rušit jména a hesla při autentizaci
ke službám státní správy? Odpověď se dá rozdělit pro dvě hlavní oblasti/části.
První oblast se týká služeb,
které podle právního předpisu a výkonu působnosti nevyžadují prokázání
totožnosti. Zde je odpověď jednoduchá – k prokázání totožnosti pomocí
elektronické identifikace lze dále využívat i jiné prostředky než kvalifikovaný
systém elektronické identifikace. Jako příklad lze uvést registraci na Geoportál Zeměměřického úřadu.
Druhá oblast se týká služeb,
které podle právního předpisu nebo výkonu působnosti vyžadují prokázání
totožnosti. Zde je odpověď na první pohled také jednoduchá – k prokázání totožnosti pomocí
elektronické identifikace lze od 1.7.2020 využívat pouze prostředky
kvalifikovaného systému elektronické identifikace. Jako příklad lze uvést
online registraci do Služby sledování změn, u které je prokázání totožnosti stanoveno v § 20 odst.1) vyhlášky č. 358/2013 Sb.
(Vyhláška o poskytování údajů z katastru nemovitostí, dále jen vyhláška).
Dalším příkladem může být požadované prokázání totožnosti pro poskytnutí
duplikátu písemností v elektronické podobě ze sbírky listin katastru podle
§ 7 vyhlášky.
V těchto případech by ČÚZK od 1.7.2020 neměl umožňovat použití jména a
hesla pro přihlášení k Dálkovému přístupu do KN za účelem získání duplikátu písemností v elektronické
podobě ze sbírky listin.
 |
| Dálkový přístup do KN |
To je zásadní změna
s dopadem na osoby, které by si například chtěly online zřídit Službu
sledování změn nebo v Dálkovém přístupu online zakoupit kopii listiny.
Musely by jako první získat jeden z kvalifikovaných prostředků pro elektronickou identifikaci.
Je ale odpověď na druhou část tak
jednoznačná? Co je přesně myšleno prokázáním totožnosti podle § 2 zákona?
Který okamžik?
Pokud se jedná o zřízení služby, je
požadavek na prokázání totožnosti pouze pomocí kvalifikovaného systému
elektronické identifikace jasný. Co když ale byla při zřízení služby totožnost
takto prokázána (případně před 1.7.2020 jiným způsobem) a následně byl
uživateli přidělen jiný autentizační prostředek, např. přihlašovací jméno a
heslo? Považuje se každá následná autentizace pomocí toho přiděleného
prostředku také za prokazování totožnosti a neměla by tedy být nadále
umožněna?
Jeden pohled je, že každá
autentizace ke službě, které podle právního předpisu nebo výkonu působnosti vyžaduje
prokázání totožnosti, znamená vždy opakované prokázání totožnosti.
Druhý pohled může být, že
totožnost byla přeci ověřena při založení služby a následná autentizace již
ověření totožnosti žadatele není. Proti tomuto pohledu jde ale fakt, že pokud
by autentizace pomocí přiděleného prostředku mimo kvalifikovaný systém nebyla
vždy ověřením totožnosti, tak by se nemusela rušit, jak uvádí Ministerstvo
vnitra.
Rádi bychom
Vás tedy touto cestou informovali, že v souladu s ustanovením § 27 odst. 2
zákona č. 250/2017 Sb., o elektronické identifikaci, ve znění pozdějších
předpisů (dále jen „zákon o elektronické identifikaci“), se blíží konec
přechodného období, ve kterém jste mohli ověřovat totožnost osob při
přihlašování k Vámi nabízeným online službám vyplývajícím ze zákona či z výkonu
působnosti (z výkonu veřejné moci) prostřednictvím vlastních systémů (např.
vydávání vlastních přihlašovacích údajů ke službám), případně prostřednictvím
systémů třetích osob, které nesplňují požadavky na kvalifikované systémy elektronické
identifikace.
Je na místě
upozornit, že do konce června 2020 jste povinni ukončit ověřování totožnosti
vlastními systémy, případně systémy třetích osob nesplňujícími požadavky na
kvalifikované systémy podle zákona o elektronické identifikaci, pokud však Vámi
dosud používaný systém elektronické identifikace nevyžaduje explicitně právní
předpis.
Prokázání totožnosti se týká i Machine-to-machine
komunikace, typicky webových služeb (WS). Znovu jako příklad použiji duplikát
písemností v elektronické podobě ze sbírky listin, který lze získat i
pomocí webových služeb dálkového přístupu. V případě WS ale nelze pro autentizaci
použít NIA, využívají se vlastní systémy. Znamená to přestat poskytovat přes WS
služby, které vyžadují prokázání totožnosti?
Opět se vracíme k tomu, co se
za prokázání totožnosti považuje a který je to okamžik - zda prokázání
totožnosti proběhlo již při vytvoření účtu, nebo je za ni považována i každá následná
autentizace uživatele k tomuto účtu. Co když úřad vydal přihlašovací údaje
po předchozím ověření totožnosti?
Ve skutečnosti, pokud úřad vydá přihlašovací údaje a neprovede před tím ověření totožnosti, tak autentizace pomocí těchto přihlašovacích údajů ani ověřením totožnosti být nemůže. Z toho plyne, že za ověření totožnosti je považována i každá autentizace již ověřeného uživatele, jinak by nebyl požadavek ji rušit. Cílí na tento výklad ministerstvo vnitra?
Ve skutečnosti, pokud úřad vydá přihlašovací údaje a neprovede před tím ověření totožnosti, tak autentizace pomocí těchto přihlašovacích údajů ani ověřením totožnosti být nemůže. Z toho plyne, že za ověření totožnosti je považována i každá autentizace již ověřeného uživatele, jinak by nebyl požadavek ji rušit. Cílí na tento výklad ministerstvo vnitra?
Celá problematika autentizace
k online službám vyžadující prokázání totožnosti je poměrně komplikovaná.
Bude velmi záležet na zvoleném výkladu a často i na přesném znění právního
předpisu, který prokázání totožnosti vyžaduje.
 |
| eIdentita - výběr způsobu přihlášení |
Umožnění prokázání totožnosti přes kvalifikované systémy je bez pochyb správná cesta, která zjednoduší přístup uživatelů ke státním online službám. Obecně by bylo dobré, kdyby přihlašování přes kvalifikované systémy byla co nejvíce podporovaná cesta i pro přihlášení ke službám (nebo online založení), které nevyžadují ověření totožnosti.
Pokud bude ale v případě prokázání totožnosti znamenat „umožnit pouze“ zrušení možnosti použít již vydané přihlašovací údaje nebo jiné prostředky a tak de facto zamezí přístupu většině existujících uživatelů a bude je nutit si pořídit kvalifikovaný systém (v současné době eOP
nebo UPS), nebude to zřejmě veřejností vnímáno dobře.
