Identifikace podatelů a uživatelů online služeb

V současné době, kdy se preferuje elektronická komunikace mezi veřejnou správou a občany, je dobré vědět, jaká pravidla platí při poskytování online služeb a jaké nové možnosti se v této oblasti otevírají s příchodem tzv. bankovní identity. Zcela obecně při tom platí, že správná identifikace fyzické osoby, která činí podání, je podstatná. Stejně tak je důležitá identifikace osob, které chtějí využívat online veřejné služby, při nichž jsou sdělovány osobní údaje.

Identifikace podatele a uživatele

Předně je třeba správně odlišovat mezi identifikací podatele a identifikací uživatele nějaké online služby. Stejně tak je třeba odlišovat mezi identifikací a autentizací na jedné straně a vyjádřením vůle typicky prokazované pomocí podpisu na straně druhé. Pojďme si tyto rozdíly ukázat.

Pokud fyzická osoba činí podání vůči orgánu veřejné moci, potřebná identifikace této osoby závisí na právním předpisu, podle kterého se podání činí. Pro nejtypičtější podání podle správního řádu vyžaduje § 37 tohoto procesního předpisu, aby podatel uvedl v podání jméno, příjmení, datum narození a místo trvalého pobytu, popřípadě adresu pro doručování. Toto jsou tedy nezbytné údaje pro identifikaci podatele, ať je již toto podání činěno jakoukoliv cestou (osobně, poštou, elektronicky, …). Pravdivost uvedených údajů je stvrzena podpisem toho, kdo podání činí (§ 37 odst. 2 cit. zákona).

Pokud orgán veřejné moci poskytuje nějakou online službu, závisí potřebná identifikace této osoby opět na právním předpisu, podle kterého je služba poskytována. Např. pokud jde o službu zveřejnění obsahu úřední desky způsobem umožňujícím dálkový přístup podle § 26 správního řádu, není třeba žádné identifikace uživatele této služby. Úřední deska je přístupná všem uživatelům Internetu bez jakéhokoliv omezení, což ale na druhou stranu znamená, že musíme odpovídajícím způsobem dbát z hlediska zveřejněného obsahu dodržování pravidel platných pro oblast ochrany osobních údajů. Tato pravidla jsou dána obecným nařízením o ochraně osobních údajů, běžně známým pod zkratkou GDPR. Pro úřední desku to pak v praxi znamená patřičnou anonymizaci osobních údajů před zveřejněním příslušných dokumentů.

Jestliže se orgán veřejné moci rozhodne poskytovat online veřejné služby, při nichž jsou uživatelům sdělovány osobní údaje, např. výše poplatkové povinnosti konkrétního poplatníka, musí být tento přístup chráněn identifikací uživatele této služby. Úřad musí mít jistotu, že osobní údaje nejsou takto zveřejňovány způsobem, který by překračoval pravidla daná GDPR, přičemž míra této jistoty je řešena proporcionálně k daným rizikům spojeným s tímto zveřejněním. Již tím předjímáme to, že identifikace uživatele online služby může mít různé tzv. úrovně záruky, které právě odpovídají míře jistoty, že jde o danou osobu.

Je třeba si ještě uvědomit, že přihlášení k určité online službě ještě neznamená vyjádření vůle činit určitý úkon. Tedy samotná identifikace uživatele nestačí k tomu, aby tento mohl prostřednictvím online služby činit podání, pokud to není přímo stanoveno v nějakém předpise. Čtenáři již jistě tuší, že tím narážíme na zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, kde je v § 18 odst. 2 stanoveno, že úkon učiněný oprávněnou osobou nebo pověřenou osobou, pokud k tomu byla pověřena, prostřednictvím datové schránky má stejné účinky jako úkon učiněný písemně a podepsaný, ledaže jiný právní předpis nebo vnitřní předpis požaduje společný úkon více z uvedených osob (tedy známá fikce podpisu). Tu ale nelze v žádném případě vztáhnout na jiné online služby, než jsou datové schránky.

Shrňme si tedy základní rozdělení identifikace a podpisu na příkladu portálového řešení online služeb poskytovaných městem nebo obcí. Pokud tento portál poskytuje informace neobsahující osobní údaje, nemusí vyžadovat identifikaci uživatelů, jako např. zveřejnění rozklikávacího rozpočtu na portálu iMunis.cz. Na druhou stranu to ale neznamená, že tímto způsobem (bez ověření elektronické identity uživatele) nelze činit přes portál online podání, pokud je toto podání elektronicky podepsáno uznávaným elektronickým podpisem podle § 6 odst. 2 zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce. Takový podpis je dle citovaného ustanovení a nařízení eIDAS položen v daném případě na roveň vlastnoručnímu podpisu.

Rozvíjejme ale naše úvahy dále. Pokud by si podatel chtěl prostřednictvím portálu ověřit stav svého podání, což je jistě zajímavá a přínosná služba, bude již potřeba jeho identifikace, protože tímto způsobem budou sdělovány osobní údaje. Avšak samotná identifikace uživatele online služby na portálu nemůže být v případě podání vůči orgánu veřejné moci náhradou elektronického podpisu.

Elektronická identita

Elektronickou identitu občanů ČR zavedl zákon č. 250/2017 Sb., o elektronické identifikaci. Podle § 2 tohoto zákona lze od 1. července 2020 umožnit prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace, pokud je toto prokázaní totožnosti nezbytné z hlediska zákona nebo při výkonu působnosti. Citovaná formulace znamená, že města a obce, které poskytují jakékoliv online služby vyžadující identifikaci uživatele, musí být napojeny na služby národního bodu pro identifikaci a autentizaci a využívat pouze jím zprostředkované identitní služby. Žádné jiné přístupy založené na jakémkoliv jiném identifikačním přístupu již nejsou povoleny.

Před realizací jakékoliv nové veřejné služby je jistě vhodné diskutovat její efektivitu. To platí neméně pro online veřejné služby, kdy výsledná efektivita je významně závislá na množství budoucích uživatelů. A máme-li zde výše uvedené vymezení z hlediska možností využití pouze takových prostředků pro elektronickou identifikaci, které byly vydány v rámci kvalifikovaného systému elektronické identifikace, je vhodné si položit otázku, kolik obyvatel daného města či obce takovým prostředkem disponuje.

Jedním z těchto prostředků, a to takovým, který poskytuje nejvyšší možnou úroveň záruky, je občanský průkaz s čipem, pokud je v něm tato funkce aktivována. Množství občanů s novým občanským průkazem vydávaným od 1. července 2018, kteří si zároveň aktivovali příslušnou službu, nebylo dosud příliš vysoké. Nicméně během loňského roku začaly přibývat další kvalifikované systémy elektronické identifikace. Konkrétně čipová karta STARCOS od společnosti První certifikační autorita, která také poskytuje vysokou úroveň záruky, a kombinace uživatelského hesla k účtu mojeID a FIDO2 tokenu certifikovaného minimálně na úroveň L1 od společnosti CZ.NIC, která poskytuje úroveň záruky značnou. Tím se penetrace kvalifikovaných prostředků pro elektronickou identifikaci mezi obyvateli zvýšila, avšak ne tak razantně, jako se to stalo k začátku tohoto roku.

Dne 1. ledna 2021 nabyl účinnosti zákon č. 49/2020 Sb. s poněkud dlouhým názvem: „zákon, kterým se mění zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, a zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů, a některé další zákony.“ Vyvrcholila tím snaha bank o možnost podnikat v oblasti elektronické identifikace, autentizace a služeb vytvářejících důvěru, jak jsou definovány nařízením eIDAS. Podle Ministerstvem vnitra povinně zveřejňovaného seznamu udělených akreditací pro správu kvalifikovaného systému elektronické identifikace mohou dvě banky poskytovat tyto služby od 1. ledna 2021, konkrétně Československá obchodní banka s různými prostředky na úrovni záruky nízká i značná a Česká spořitelna se dvěma prostředky, přičemž oba jsou na značné úrovni záruky. Od 6. ledna 2021 pak k nim přibývá Komerční banka opět s různými prostředky, přičemž všechny jsou na značné úrovni záruky.

Technicky se tyto služby zmíněných bank postupně rozjíždí a probíhá u nich ztotožnění vůči základním registrům tak, aby výsledná poskytovaná elektronická identita splňovala všechny požadavky, které na ni klade zmíněný zákon č. 250/2017 Sb.

V souvislosti s rozvojem poskytovatelů identitních prostředků a souvisejících služeb je třeba zdůraznit, že pro poskytovatele služeb vyžadující využití této identifikace, tedy i pro města a obce, to neznamená žádné další úpravy realizovaných systémů. Tím, že jsou online veřejné služby integrující proces identifikace a autentizace napojeny na národní bod, jsou zároveň odstíněny od konkrétních kvalifikovaných systémů elektronické identifikace. Hodně zjednodušeně bychom mohli říci, že národní bod vždy předává dané online veřejné službě údaje o občanovi vedené v ROBu (základním registru obyvatel) a kvalifikovaný sytém elektronické identifikace jen určí, čí údaje to mají být. Znamená to, že nové služby bank jsou pro veřejné online služby velmi pozitivní, nezatěžující je žádnými dalšími náklady na potřebné úpravy, ale přináší zvýšení množství potencionálních uživatelů online veřejných služeb.

Podání z portálu v IS Munis

Na diskutovanou teorii pojďme nyní navázat praktickým příkladem realizace online veřejných služeb s využitím elektronické identifikace, které mohou spočívat v případě měst a obcí například v elektronickém podání, sledování postupu vyřizování takového podání anebo ve sledování poplatkové povinnosti konkrétního identifikovaného uživatele online veřejné služby.

Informační systém Munis, jehož tvůrcem i dodavatelem je společnost Triada, poskytuje nezbytné zázemí pro realizaci portálových řešení integrujících různé online veřejné služby, tedy nejen ty, které vyžadují elektronickou identifikaci. Doposud, s ohledem na výše zmíněné diskuse o efektivitě takových služeb, převládaly služby, které naopak identifikaci uživatele nevyžadující, neboť při nich nejsou poskytovány osobní údaje. Takové služby jsou poskytovány přes portál sdílených služeb iMunis.cz

Obr. 1. Schéma datového skladu Munis

Kromě toho lze samozřejmě na informační systém Munis navázat i služby jako sledování poplatkové povinnosti či sledování vyřizování podání, které již identifikaci uživatele vyžadují. Společnost Triada má řešení, které na prvním místě klade důraz na bezpečnost a oprošťuje úřad od potřeby přímého přístupu z vnější sítě Internetu. Jde o Datový sklad Munis (viz obr. 1), který slouží jako spojka mezi vnitřním informačním systémem úřadu a portálovým řešením integrujícím elektronickou identifikaci. Tento datový sklad obsahuje obraz vybraných dat z úřadu přenášených voláním iniciovaným vždy z úřadu, nikdy ze skladu, což je mnohem bezpečnější než opačná cesta. A dále Datový sklad Munis poskytuje tato data pro portál v oprávněných případech závislých na elektronické identifikaci uživatele dané online služby.

Ke každému konkrétnímu případu realizace online služeb přistupuje společnost individuálně podle potřeb vybraných služeb a požadavků města či obce. Jsme připraveni nabídnout rozhraní Datového skladu Munis i pro další integrované služby tak, aby celek působil jednotně a byl pro budoucí uživatele z řad občanů co nejkomfortnější. Pro uživatele z řad úředníků, tedy na straně vnitřního informačního systému, jsou tyto vazby na portál nastaveny tak, aby fungovaly automatizovaně tam, kde je to možné, a v dalších případech, např. příjem podání, využívaly již zavedené postupy a procesy, které jsou jen vhodně rozšířeny – viz obr. 2 ukazující příklad přijmu podání z portálu.

Obr. 2. Přehled podání z portálu v elektronické spisové službě Munis ERMS

V případě, že zvažujete realizovat nové online veřejné služby, neváhejte se na nás obrátit hned v počátku přípravy celého projektu, se kterým jsme připraveni vám pomoci. Cílem je, aby výsledek byl maximálně efektivní a pro všechny strany užitečný.