Návrh eIDAS 2.0 reaguje na první dokončenou revizi nařízení eIDAS, která identifikovala v systému elektronické identifikace významné překážky pro jeho frekventovanější užívání. Důvodem k formulaci eIDAS 2.0 byla zejména relativně odlišná vnitrostátní řešení, přirozené omezení elektronické identifikace na veřejný sektor, nízký počet Evropské komisi oznámených systémů elektronické identifikace nebo omezená funkčnost technických uzlů, které měly propojovat národní systémy elektronické identifikace navzájem, a umožnit tak využívání národních identit napříč EU.
Jak chce eIDAS 2.0 zlepšit elektronickou identifikaci v EU
Návrh eIDAS 2.0 přichází s ambiciózním cílem umožnit alespoň 80 % občanů EU k využívání přístupu ke klíčovým veřejným službám spolehlivé, jednoduché a důvěryhodné řešení v oblasti digitální identifikace. Komise za tím účelem vkládá do stávající úpravy Nařízení eIDAS tzv. evropskou peněženku digitální identity („Peněženka“). Peněženka by měla mít podobu aplikace na mobilní telefony a jiná zařízení, založena by měla být na národní elektronické identitě a vydávat ji budou jednotlivé členské státy, popř. z jejich pověření či na základě jejich uznání soukromoprávní subjekt. Peněženka tedy nebude vytvářet novou elektronickou identitu, ale zajistí přeshraničně uznávání jednotlivých národních elektronických identit. Jinými slovy, díky Peněžence bude možné využít národní elektronickou identitu v ostatních státech EU a tímto způsobem vytvořit pohodlně, uživatelsky přívětivě a jednotným způsobem široce využitelnou evropskou digitální identitu.
Základní funkce Peněženky bude tedy primárně identifikační – měla by tak sloužit jako nejdůvěryhodnější a nejbezpečnější digitální průkaz totožnosti (úroveň záruky vysoká dle nařízení eIDAS). Shodně jako nařízení eIDAS se i návrh eIDAS 2.0 výslovně zmiňuje o možnosti elektronické identifikace právnických osob. Ta nebyla na úrovni České republiky zatím spuštěna ani jsme nezaznamenali jakékoli snahy o její legislativní úpravu. Doufejme, že v důsledku očekávané společné celoevropské dohody na souboru nástrojů pro koordinovaný přístup k rámci pro evropskou digitální identitu, tzv. toolboxu, by mohl být nalezen technický základ pro řešení identifikace právnických osob, který se následně promítne i do národního práva (např. přímou účinností evropských nařízení. Toolbox bude zveřejněn už 6 měsíců od vstupu eIDAS 2.0 v platnost).
Peněženka nebude pouze o identifikaci
Peněženka by kromě základních osobních identifikačních údajů měla obsahovat i další tzv. atributy (např. řidičský průkaz, diplom, licence, osvědčení, odborná kvalifikace nebo rodný list). Zahrnutí dalších atributů bude nepovinné a každý občan si jako držitel vlastní Peněženky bude moci individuálně zvolit, které atributy si do Peněženky nahraje a kdy a jak je použije. Sdílení osobních údajů a atributů by mělo být transparentní, sledovatelné a díky správnému technickému řešení i primárně v souladu s nařízením GDPR.
Klíčové je, že návrh eIDAS 2.0 výslovně označuje kvalifikovaná elektronická potvrzení atributů jako rovnocenná, potvrzením v tištěné podobě použitelná po celé EU, a zakazuje diskriminaci i jejich nekvalifikovaných verzí shodně jako nařízení eIDAS již nyní v případě elektronických podpisů. Otevírá se tedy celoevropská cesta k významné digitalizaci klíčových papírových dokumentů a plastových kartiček, na které jsme dnes zvyklí. Jejich existence je pro mnoho lidí jediným důvodem, proč ještě v dnešní době u sebe nosí klasickou peněženku.
S volným výběrem atributů souvisí i zamýšlené technologické řešení konceptu tzv. decentralizované identity. Ta funguje na principu individuální správy příslušných údajů držitelem, kdy výlučně držitel Peněženky bude rozhodovat o tom, co do ní nahraje, a pouze on se rozhodne, které údaje bude cíleně sdílet pro potřeby požadované služby. Poskytovatelé služeb budou mít povinnost informovat členské státy o svém záměru spoléhat se na údaje z Peněženek a zamýšleném způsobu využití Peněženek, což by mělo umožnit jejich lepší kontrolu a výkon efektivního dozoru.
Držitel díky decentralizované povaze Peněženky nebude závislý na jakékoli centrální autoritě, čímž například v českých podmínkách odpadne prostředník v rámci elektronické identifikace – Národní bod pro identifikaci a autentizaci. Z návrhu dále vyplývá, že žádný zúčastněný subjekt (zejm. vydavatel Peněženky, poskytovatelé elektronické identity a atributů) nebude moci obdržet jakékoli informace o používání Peněženky a v ní obsažených atributů ani kombinovat osobní údaje držitele Peněženky nebo údaje o Peněžence se službami třetích stran, tedy ani eIDAS 2.0 (shodně jako nedávná bankovní identita) nevytváří „Velkého bratra“.
Přeshraniční identita nově i off-line a pro soukromý sektor
Peněženka by měla být využitelná nejen v on-line prostředí, jak je tomu u aktuální elektronické identifikace, ale rovněž v off-line prostředí. Tato funkce se bude muset promítnout nejen do jejího harmonizovaného technického řešení, ale také do praxe mnoha odvětví, např. zdravotnictví, kde jsou služby často poskytovány během osobního kontaktu osob. Je tak pravděpodobné, že se budeme dennodenně častěji než doposud setkávat s QR kódy a obdobnými technologiemi.
Klíčové je nicméně výslovné přiznání možnosti využívat Peněženku i v soukromém sektoru, a to nejen v jeho části, která bude vyžadovat použití silného (dvou a více faktorového) ověření držitele Peněženky. Pro rozsáhlé on-line platformy dle aktuálně projednávaného nařízení o aktu o digitálních službách se dokonce uznávání Peněženky stane povinností. Jelikož je elektronická identita v podobě eObčanky či Jména, hesla a SMS prostředkem pro elektronickou identifikaci využitelným primárně ve veřejném sektoru, změna paradigmatu dle eIDAS 2.0 se bude muset bezesporu propsat do národní architektury elektronické identity.
V českém soukromém sektoru jsme svědky enormního růstu zájmu o bankovní identitu, kterou od začátku tohoto roku začaly vydávat české banky. Její popularita pro občany spočívá nejen v jednoduchosti a uživatelské přívětivosti (jde v zásadě o přihlašování se do svého elektronického bankovnictví), ale také v možnosti jejího bezplatného využití nejen ve veřejném, ale zejména v soukromém sektoru. Navíc v něm její využití umožňují od léta tohoto roku desítky moderních poskytovatelů komerčních služeb, kteří dbají na uživatelskou zkušenost a přívětivost jejich služeb. Vzrůstající počet smysluplných služeb bude aktivní využívání bankovní identity zajisté podporovat i v dalších letech. Předpokládáme, že totožný růst zájmu v praxi budeme pravděpodobně sledovat i po příchodu Peněženky. Její předností bude nepochybně možnost jejího využití po celé EU.
Peněženkou budeme i podepisovat
Vedle výše popsaných funkcí Peněženky ji bude možné užít také jako prostředek pro vytvoření kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečeti. Návrh eIDAS 2.0 záměrně připouští pouze nejvyšší úroveň elektronického podpisu dle nařízení eIDAS, který je celoevropsky právním ekvivalentem vlastnoručního podpisu na papír. Tato preference by mohla do české společnosti přinést i nový impuls k jeho širšímu využívání. To je aktuálně (mimo orgány veřejné moci, které tak činí povinně) relativně marginální a v našich podmínkách je doplněno velice pestrou paletou poskytovatelů služeb. Ti nabízí svá řešení pro vytváření elektronických podpisů často jen s nižšími úrovněmi elektronických podpisů a bez odpovídajících elektronických důvěryhodných záznamů či řešení pro dlouhodobou archivaci výsledných dokumentů, což nelibě nese určitá množina soudců, akademiků i odborné veřejnosti.
Ačkoli by fyzické osoby měly mít možnost Peněženku užívat bezplatně, vytváření kvalifikovaných elektronických podpisů je principiálně zpoplatněná služba a její úplata bude podle našeho názoru zachována. Členské státy by měly i v tomto aspektu dosáhnout dohody o společných prvcích obchodního modelu a struktuře poplatků. Nechme se tedy překvapit.
Kdy ji budu mít?
Peněženku bude muset každý členský stát vydat svým občanům do 12 měsíců ode dne, kdy schválený návrh eIDAS 2.0 vstoupí v platnost. Střízlivé odhady hovoří o tom, že eIDAS 2.0 by mohl být schválen do konce roku 2022. I kdyby se legislativní proces prodloužil, mohli bychom se již v roce 2024 dočkat první vlastní digitální a snad i skutečně použitelné Peněženky.
Předpokládáme, že každý členský stát vydá pouze jedinou Peněženku založenou na dohodnutém technologickém standardu. Jelikož bude Peněženka založena na systémech elektronické identifikace s vysokou úrovní záruky ohlášených Evropské komisi, přichází u nás v tuto chvíli v úvahu její vydání v zásadě jen českým státem. I kdyby se vydání nakonec zhostil se souhlasem státu soukromoprávní subjekt, musel by k tomu využívat údaje ze základních registrů (slovy návrhu autentických zdrojů) a rovněž do minimálního souboru osobních údajů držitele Peněženky zahrnout jedinečný a trvalý identifikátor osoby, jehož návrhem a provedením se bude přirozeně zabývat Ministerstvo vnitra. Vydávání Peněženky pro naše občany ze strany soukromoprávních subjektů se proto zatím zdá nepravděpodobné.
Jelikož návrh nařízení eIDAS 2.0 přináší mnohem více i pro služby vytvářející důvěru, druhou zásadní část nařízení eIDAS, ponecháme si vysvětlení dalších klíčových změn na další příspěvek. Považujeme za důležité o nařízení eIDAS 2.0 začít diskutovat, byť zatím stále nevedeme diskusi nad konečným schváleným zněním nařízení, ale jen jeho návrhem, který ještě čeká legislativní proces.