Vyšlo na Lupě, 01.07.2016
Vytištěno z adresy: http://www.earchiv.cz/b19/b0701001.php3

Datovým schránkám je 10 let, jejich provoz přišel na 6 miliard

Představy o fungování a financování datových schránek se nejvíce měnily těsně před jejich spuštěním v roce 2009. A některé jejich aspekty se vyjasňovaly ještě řadu let poté.

Dnes, 1. 7. 2019, je to přesně 10 let, co byly spuštěny datové schránky. I když: tak úplně jednoznačné toto výročí není, jako řada dalších věcí kolem datových schránek – některá média (např. zde či zde) uvádí jejich „ostré“ spuštění až k 1. listopadu 2009. To proto, že ty subjekty, kterým byly jejich datové schránky zřízeny ze zákona, měly na jejich dobrovolnou aktivaci (formálně: zpřístupnění) čas až do konce října 2009. A pokud tak neučinily samy, byly jim jejich datové schránky automaticky zpřístupněny právě k 1. listopadu 2009. 

I z tohoto pravidla ale existovaly výjimky: například advokáti a daňoví poradci si na poslední chvíli prosadili tříletý odklad. A tak těm z nich, kteří si v mezidobí nezřídili datovou schránku dobrovolně, byla zřízena povinně až k 1. 7. 2012.

Pravidla se měnila na poslední chvíli

Pravdou je, že před oněmi deseti lety, kdy datové schránky teprve startovaly, se představa o jejich celkové koncepci a způsobu fungování na poslední chvíli měnila. A to dosti významně.

Zákon č. 300/2018 Sb. (o elektronických úkonech a autorizované konverzi), který měl datové schránky „ukotvit“ do naší legislativy, byl vydán sice již v roce 2008 (platnosti nabyl k 18. 8. 2008), ale účinný měl být až k onomu 1. 7. 2009. Ovšem ještě než se tak stalo, stihli zákonodárci tento dosud neúčinný zákon novelizovat. Třeba oba výše zmiňované odklady (pro dobrovolné zpřístupnění do 1. 11. 2009 a pro advokáty a daňové poradce do 1. 7. 2012) se do zákona dostaly právě onou novelou.

Další, co se onou „novelou ještě před nabytím účinnosti“ změnilo, bylo omezení doby, po kterou datové schránky uchovávají jednotlivé zprávy. Protože původní verze zákona č. 300/2008 Sb., tak jak nabyla platnosti již v roce 2008, nepočítala s mazáním datových zpráv po nějaké konkrétní době (a tím ani s legislativním zmocněním pro stanovení takovéto doby). Právě naopak, v důvodové zprávěpůvodně přijaté verzi zákona se explicitně mluvilo o trvalém uchovávání datových zpráv v datových schránkách a o možnosti uživatelů zprávy mazat:

Datové zprávy budou v informačním systému datových schránek zůstávat (pokud nebudou vymazány uživateli) po celou dobu života datové schránky – správce však nebude ručit za čitelnost veškerého obsahu datových zpráv po celou tuto dobu.

Naopak provozní údaje se podle důvodové zprávy měly uchovávat jen „po dobu nezbytně nutnou, nejvýše 6 měsíců“.

Nakonec to dopadlo přesně obráceně: díky novele, účinné k 1. 7. 2009, získalo vnitro zmocnění stanovit vyhláškou „dobu uložení datové zprávy v datové schránce“, kterou následně stanovilo na dodnes platných 90 dnů. Proto jsou dnes datové zprávy po 90 dnech nenávratně mazány. Tedy pokud si je sami včas nepřesunete do datového trezoru, který je ale již placenou (komerční) službou České pošty. Případně nevyužijete nedávno zprovozněné možnosti archivace datových zpráv na Portálu občana. Přitom přímo ve své datové schránce uživatelé datové zprávy mazat nemohou.

To provozní údaje se v systému datových schránek zřejmě uchovávají dlouho, nejspíše trvale – když systém má mít forenzní funkcionality, soudům je schopen poskytnout informaci o tom, kdo konkrétně byl v který okamžik přihlášen ke konkrétnímu účtu a co tam dělal, a sám deklaruje schopnost rozpoznat každou datovou zprávu, která skrz něj prošla.

Jak se měnily představy o financování?

Významných změn doznala hned na počátku také představa o financování celého projektu. A to jak co do jednorázového vybudování celého Informačního systému datových schránek (ISDS), tak i co do průběžného financování jeho provozu.

Původní představa byla taková, že celý informační systém datových schránek (ISDS) bude zřizovat i provozovat resort vnitra. Alespoň tak to vyplývá z důvodové zprávy k původnímu návrhu dnešního zákona č. 300/2008 Sb.:

K zajištění činností souvisejících s vytvořením a zajištěním provozu datových schránek bude sloužit informační systém datových schránek. Za jeho vybudování a provoz bude odpovědné Ministerstvo vnitra, které podle zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, plní koordinační úlohu pro informační a komunikační technologie a je ústředním správním úřadem v oblasti informačních systémů veřejné správy.

Současně se předpokládalo, že stát zafinancuje vybudování celého informačního systému datových schránek, a využije k tomu (z 85 %) prostředky z fondů EU:

Předpokládá se, že náklady na vybudování informačního systému datových schránek, rozeslání přístupových údajů a vybavení konverzních míst odpovídající technikou budou činit 1 400 mil. Kč, z nichž 15% (210 mil. Kč) bude hrazeno z rozpočtové kapitoly Ministerstva vnitra. Zbylých 85 % (1 190 mil.) by podle předpokladů mělo být hrazeno ze strukturálních fondů Evropských společenství v rámci Integrovaného operačního programu Smart administration. Uvedená celková částka zahrnuje rovněž náklady na první rok provozu. Předpokládané náklady na přizpůsobení či pořízení systémů spisových služeb a elektronických podatelen u obcí jsou 63 mil. Kč.

Pokud by to tak bývalo dopadlo, měl by stát na počátku určité jednorázové náklady (oněch odhadovaných 210 mil. Kč, viz výše) a pak by hradil již jen (relativně nižší) provozní náklady.

Jenže jeden z pozměňovacích návrhů změnil vše tak, že resort vnitra zůstal pouze zřizovatelem informačního systému datových schránek, zatímco jeho provozovatelem se stala Česká pošta coby držitel poštovní licence (viz § 14 odst. 2 skutečně přijatého zákona č. 300/2008 Sb. ze srpna 2008). No a v březnu 2009 se stát dohodl s Českou poštou na jiném než původně uvažovaném modelu financování a provozu: že si u ní vše objedná a bude hradit jako službu, podle míry její konzumace. Tedy že stát nebude nic investovat do vybudování celého informačního systému datových schránek (ISDS), ale bude platit průběžně za poskytované služby. Konkrétně za každou přenesenou datovou zprávu. K tomu pak již jen „provozní paušál“ (ve výši 15 milionů Kč měsíčně) a pak za zřizování datových schránek a uživatelských účtů a za rozesílání přístupových údajů. Česká pošta přitom sama a již od počátku využívá k provozování ISDS služeb subdodavatele (resp. generálního dodavatele služby), kterému za jeho služby pochopitelně také platí (podrobněji).

Cena za každou jednotlivou datovou zprávu byla v roce 2009 stanovena tak, aby postupně klesala, podle celkového objemu přenesených zpráv, viz následující tabulka:

Hranice

Cena služby pro uživatele

Cena služby pro uživatele

Transakcí kumulativně

Cena bez DPH

Cena s DPH

0–33 mil.

15,04

17,90

33–66 mil.

13,36

15,90

66–100 mil.

11,68

13,90

100–123 mil.

10,00

11,90

nad 123 mil.

8,32

9,90

Na kolik skutečně přišly první čtyři roky provozu datových schránek, přesněji od poloviny roku 2009 do konce roku 2012, lze vyčíst ze závěrů kontrolní akce NKÚ č. 12/36 (které jsem zde na Lupě podrobněji rozebíral v září 2013): byly to necelé tři miliardy korun (bez DPH). A vzhledem k dalším nákladům (měsíčnímu paušálu, zřizování a rozesílání) pak vyšel i „poněkud vyšší“ také přepočet na jednu datovou zprávu, jak ukazuje následující tabulka ze závěrů oné kontrolní akce:

Rok

Celkové náklady na provoz systému DS

Počet transakcí

(v daném roce)

Průměrná cena za transakci

2009

205 930 629,78

2 623 336

78,50

2010

988 693 089,60

27 550 696

35,89

2011

926 084 104,40

34 920 869

26,52

2012

803 681 921,00

45 425 041

17,69

CELKEM

2 924 389 744,78

110 519 942

26,46

Dobré je také uvědomit si, že ony necelé tři miliardy za necelé první čtyři roky musel stát zaplatit skutečně celé, protože šlo o „provozní“ peníze, na které se unijní fondy čerpat nedaly. To je dosti podstatný rozdíl oproti původně uvažované variantě, v rámci které šlo hlavně o „investiční“ peníze, na které by se (z 85 %) daly využít unijní fondy. Nehledě již na samotnou výši částek u obou variant (byť jen odhadovaných vs. reálně vynaložených) a rozdíl v principu: u již vybudovaného systému ve vlastnictví státu by provozní náklady měly být i výrazněji nižší oproti situaci, kdy stát systém nevlastní a vše se rozpočítává do ceny za jednu přenesenou datovou zprávu.

Později, konkrétně v letech 2013 až 2017, už stát platil České poště za datové schránky paušálně, a nikoli „objemově“ (podle počtu skutečně přenesených datových zpráv). Jak vyplývá z 8. dodatkupůvodní smlouvě z roku 2009, jednalo se o roční paušál ve výši 500 milionů Kč. Ten zahrnoval provoz celého systému i přenos až 200 milionů datových zpráv ročně (a nezahrnoval pouze poštovné za rozesílání přístupových údajů).

Ještě později, konkrétně pro roky 2018 až 2022, se obě strany zase vrátily k „objemovému“ modelu (viz smlouva): stát platí za každou přenesenou datovou zprávu, a to podle následující tabulky:

Rok trvání Smlouvy

2018

2019

2020

2021

2022

Cena za 1 datovou zprávu v Kč

2,5

2,1187

1,9279

1,6197

1,4564

K tomu pak stát platí České poště ještě měsíční „provozní“ paušál, který se mění podle následující tabulky:

Rok trvání Smlouvy

2018

2019

2020

2021

2022

Fixní měsíční paušální cena v Kč

14 535 355

16 248 002

15 801 723

17 292 169

17 612 458

V roce 2018 bylo podle dostupných statistik přeneseno něco přes 97 milionů datových zpráv (přesně 97 325 911), za které tedy stát zaplatil něco přes 243 milionů Kč (bez DPH). A k tomu cca 174 milionů na měsíčních paušálech. Dohromady tedy něco přes 417 milionů Kč, a tedy méně než paušálních 500 milionů za každé z předchozích 5 let.

Celkově tak lze (orientačně) odhadnout, že náklady na datové schránky za prvních deset let jejich provozu přesáhly částku 6 miliard Kč (bez DPH) jako součet následujících položek:

  • 2,924 mld. Kč za polovinu roku 2009 až konec roku 2012
  • 2,5 mld. Kč za roky 2013 až 2017
  • 417 mil. Kč za rok 2018
  • 210 mil. Kč za první polovinu roku 2019 (odhadem, se započítáním stejného počtu datových zpráv jako v H1 2018).

A to v tomto součtu ještě nejsou zahrnuty různé další výdaje spíše jednorázového charakteru, jako například na „rozvoj“ (vylepšování) celého informačního systému datových schránek.

Platí stát, nebo uživatelé?

Zajímavá je také otázka toho, kdo vlastně za služby datových schránek platí. Z předchozího může vyplývat, že vše hradí stát ze státního rozpočtu. Ale tak jednoduché to také není.

Původní verze zákona č. 300/2008 Sb., platná od srpna 2008, ve svém § 14 odst. 2 říkala pouze to, že provozovatel datových schránek (držitel poštovní licence, a tedy Česká pošta) má právo na odměnu – ale už neříkala, od koho (kdo mu ji má platit). Změnila to až výše zmiňovaná novela v podobě zákona č. 190/2009 Sb., která to ale původně také neměla v plánu. Řešit to chtěly až dva její pozměňovací návrhy, z nichž jeden předpokládal, že platit budou orgány veřejné moci, zatímco druhý chtěl, aby za datové schránky platil stát. Nakonec zvítězil druhý pozměňovací návrh z dílny poslance Toma Zajíčka (ODS), podle kterého „náklady spojené s provozováním informačního systému datových schránek“ dodnes hradí stát z prostředků státního rozpočtu. 

I když: již po roce od prvního spuštění datových schránek, konkrétně v létě 2010, přišel resort vnitra s návrhem vše obrátit a nechat za datové schránky platit jejich (veřejnoprávní) uživatele:

Na úhradě nákladů spojených se správou a provozováním informačního systému datových schránek se podílejí držitelé datových schránek zaplacením příspěvku za odeslání datové zprávy z jejich datové schránky (dále jen „příspěvek“).

Tento návrh podle očekávání vyvolal hodně negativních reakcí – i proto, že orgány veřejné moci se zavedením datových schránek přišly o část svých rozpočtů na poštovné a teď se jim měly vrátit náklady na něj, ale peníze nikoli. Nakonec z celého návrhu sešlo.

Datové schránky povinně pro všechny, nebo jen pro někoho?

Datové schránky byly od začátku myšleny jako nástroj pro veřejnou správu. Jako něco, co veřejné správě pomůže fungovat snáze a efektivněji. Konkrétně komunikovat mezi sebou (tedy v rámci veřejné správy) a doručovat své výstupy (například rozhodnutí, výměry, předvolání atd.) občanům i firmám (do jejich datových schránek). Proto byl tento druh komunikace (tj. mezi orgány veřejné moci navzájem a doručování) od začátku zaveden obecně jako povinný (viz § 17 zákona č. 300/2008 Sb.). S tím, že většině právnických osob (§ 5, a také některým profesím, jako např. advokátům, insolvenčním správcům a dalším, § 4 odst. 3) byly datové schránky zřízeny ze zákona, zatímco fyzické osoby podnikající (§ 4) i nepodnikající (§ 3) si je mohou (ale nemusí) zřídit na vlastní žádost.

Navíc byla s doručováním do datových schránek spojena i fikce doručení po 10 dnech (§ 17 odst. 4), aby se příjemci nemohli vyhýbat doručení. Mimochodem, obdobná fikce doručení (po 10 dnech) platí i pro „klasické“ doručování v listinné podobě (§ 24 odst. 1 správního řádu).

Jak se zdá, výsledek se dostavil. Podle statistik samotných datových schránek je úspěšnost doručování (přihlášením) 99,44 % a podle nedávného vyjádření ředitele České pošty dosahuje 95 %. Obojí je podstatně více než pouze 45% úspěšnost doručování v listinné podobě (podle stejného vyjádření).

Možná i to vedlo ke snahám zřídit datovou schránku povinně většímu okruhu subjektů. Nejčastěji všem OSVČ. Údajně to již na samém počátku chtěli i „otcové zakladatelé“ datových schránek, ale ani tak silový resort, jakým je vnitro, si to tehdy netrouflo. Později, na přelomu let 2012 a 2013, si se stejnou myšlenkou vnitro zahrávalo znovu, a dokonce prý zvažovalo povinné zřízení datových schránek všem občanům starším 18 let. Později, koncem roku 2014, s obdobným záměrem koketovalo ministerstvo spravedlnosti.

Nedávno pak se stejnou myšlenkou přišli autoři zákona o právu na digitální služby. To když v rané fázi vzniku tohoto návrhu (z prosince 2018) také chtěli zřizovat datové schránky automaticky (a tím i povinně) všem občanům zapsaným do základního registru obyvatel – ale s tím, že by si je museli sami (dobrovolně) aktivovat. A to ještě ve dvou úrovních: buď pro odesílání (podávání vůči orgánům veřejné moci), nebo pro příjem (doručování od orgánů veřejné moci), nebo pro obojí.

Povinnost používat datové schránky?

Datové schránky pochopitelně umožňují i opačný směr komunikace, od občanů a firem směrem k orgánům veřejné moci. Tento směr, běžně označovaný jako „podávání“ (ve smyslu: činění podání vůči orgánům veřejné moci) a formálně nazývaný „provádění úkonů vůči orgánům veřejné moci“, byl od začátku koncipován jen jako dobrovolný, a nikoli jako povinný. Tedy jen jako možnost (viz § 18 zákona č. 300/2008 Sb.). Takže držitelé datových schránek se mohou sami rozhodnout, zda jim více vyhovuje činit svá podání elektronicky, nebo klasicky (v listinné podobě).

Nicméně tento princip dobrovolnosti byl opakovaně „atakován“ snahou veřejné správy vynutit si elektronickou komunikaci.

Jako první s tím přišel zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, který k 1. 1. 2013 (ve svém § 123e odst. 5) uložil všem OSVČ podávat tzv. přehledy (a některá další podání) již jen elektronicky. Což reálně obnášelo povinnost nechat si zřídit datovou schránku a také ji používat. A nemělo se to týkat jen OSVČ, ale také všech zaměstnavatelů, lékařů a zdravotnických zařízení.

Naštěstí se ČSSZ včas chytila za hlavu a tuto povinnost odložila do konce roku 2013 (podrobněji). S argumentem, že klienti ČSSZ na to nejsou připraveni. Pak se probudili i lékaři a vynutili si další odklad (pro sebe o další dva roky, pro OSVČ o další rok), podrobněji. Nakonec byla celá původní povinnost (k 1. 1. 2015) v tichosti zrušena.

To resort financí si nebral servítky: do daňového řádu (zákona č. 280/2009 Sb.) si k 1. 1. 2015 pořídil § 72 odst. 4 s jednoduchým pravidlem: „Máš datovou schránku? Tak už nám svá podání musíš posílat elektronicky, v takovém formátu, jaký si předepíšeme“:

Má-li daňový subjekt nebo jeho zástupce zpřístupněnu datovou schránku nebo zákonem uloženou povinnost mít účetní závěrku ověřenou auditorem, je povinen podání podle odstavce 1 učinit pouze datovou zprávou s využitím dálkového přístupu ve formátu a struktuře zveřejněné správcem daně odeslanou způsobem uvedeným v § 71 odst. 1.

A aby snad někdo nepochyboval o tom, jak je to myšleno, přibyl také nový § 247a odst. 2, podle kterého při nedodržení povinnosti elektronického podání vzniká „provinilci“ pokuta ve výši 2000 Kč rovnou ze zákona:

Daňovému subjektu vzniká povinnost uhradit pokutu ve výši 2000 Kč, pokud učinil podání podle § 72 odst. 1 jinak než elektronicky, ačkoli byl povinen jej učinit elektronicky.

Velmi drsné je na tom i to, že podávající držitel datové schránky, který si právě popsanou povinnost neuvědomil (nebo o ní vůbec nevěděl) a své podání učinil tradičně v listinné podobě, nebyl ani upozorněn a vyzván k nápravě vadného podání. Rovnou dostal onu dvoutisícovou pokutu.

Jak jsem ale nedávno rozebíral zde na Lupě v samostatném článku, v polovině roku 2017 správce daně přeci jen začal upozorňovat ty podávající, kteří nedodrželi elektronickou podobu podání (alespoň u přiznání k dani z příjmu fyzických osob a k dani z nemovitých věcí), a dal jim tím šanci k nápravě vady podání. Díky tomu skutečně významně klesly počty udělovaných (resp. spíše ze zákona vzniklých) pokut (podrobněji).

A snad alespoň do budoucna by resort financí mohl dostat rozum a přeci jen o něco zmírnit tento „elektronický bič na daňové poplatníky“ – který velmi pravděpodobně dokázal odradit mnoho lidí od digitalizace obecně, a konkrétně od záměru nechat si zřídit vlastní datovou schránku. Chystaná novela daňového řádu by totiž mohla snížit výši automaticky vznikajících pokut (ze 2000 Kč na 1000 Kč) s tím, že celá povinnost činit podání elektronicky (a ve formátu předepsaném správcem daně) by se týkala už jen těch, kterým byla datová schránka zřízena povinně (ze zákona). Pro ty, kteří si datovou schránku nechali zřídit sami a dobrovolně, by to tedy byl návrat zpět od povinnosti k dobrovolnosti (i u podávání vůči veřejné správě).

Koncepční rysy a implementace datových schránek

Datové schránky mají od začátku své existence několik zajímavých koncepčních rysů. Jeden z nich souvisí i s tím, co je vlastně přenášeno: nikoli přímo jednotlivé dokumenty koncových uživatelů, ale „přenosové“ kontejnery, do kterých jsou tyto dokumenty vkládány.

Tyto kontejnery jsou obdobou zpráv elektronické pošty (však se jim také říká datové zprávy), ale mají svůj specifický formát (ZFO). A podpora tohoto formátu musí být někde implementována, aby bylo možné pracovat s obsahem datových zpráv. Například otevírat jednotlivé dokumenty, vkládané jako přílohy do datových zpráv.

Autoři datových schránek se ale na počátku rozhodli jít cestou „externí“ implementace podpory tohoto formátu. Nejspíše proto, aby si ulehčili práci a snížili náklady. Znamenalo to, že potřebnou podporu musel dodat uživatel datových schránek. Buď v aplikaci, kterou pro práci s datovými schránkami používal, nebo v browseru, který používal pro přístup k datových schránkám přes jejich webové rozhraní.

Asi nejvíce to trápilo právě běžné uživatele, kteří k datovým schránkám přistupovali prostřednictvím svého browseru: museli si do něj doinstalovat plugin (doplněk 602XML Filler od společnosti Software602, známý spíše jako Form Filler). Mnoho lidí s tím mělo problémy, nehledě na skutečnost, že potřebný doplněk byl z počátku k dispozici jen pro některé vybrané platformy a operační systémy, a teprve s postupem času se objevovaly jeho další verze.

Teprve po třech letech provozu datových schránek, konkrétně v červenci 2012, byla podpora formátu ZFO zabudována přímo do webového rozhraní datových schránek tak, aby se s nimi dalo pracovat pomocí browseru bez zmíněného doplňku (podrobněji). Dalších skoro 7 let pak trvalo, než se toto webové rozhraní stalo responzivní, aby dokázalo reagovat na velikost displeje uživatele a dalo se díky tomu rozumně používat i na mobilních zařízeních.

Formát datové zprávy vs. formát přílohy

Zvolený formát přenosového kontejneru (datové zprávy) je zajímavý i tím, že nemá žádné tělo – v tom smyslu, v jakém má tělo zpráva elektronické pošty. Mnoho uživatelů to dodnes mate a myslí si, že své sdělení mohou napsat přímo do (těla) datové zprávy. Nemohou, když nemá tělo – a tak musí být jejich sdělení obsaženo v samostatném dokumentu a ten je nutné vložit do kontejneru (datové zprávy) jako jeho přílohu.

Zajímavý rozdíl (oproti zprávám elektronické pošty) je také v tom, kdo vlastně podepisuje (resp. opatřuje pečetí) kontejner, resp. zprávu: u elektronické pošty je to její odesilatel (a jeho podpis je nepovinný), zatímco u datové zprávy je to její přepravce (informační systém datových schránek a připojení jeho pečeti je povinné). Takže zatímco u zpráv elektronické pošty má smysl, aby příjemce vyhodnocoval podpis na přijaté zprávě jako takové (aby zjistil, zda ji odesilatel podepsal), dělat to samé u datových zpráv znamená kontrolovat, zda systém datových schránek funguje tak, jak má. Raději zde nebudu rozvádět případ, kdy to někdo dělal celé roky a byl spokojen s tím, jak mu datovými schránkami chodí vše řádně a platně podepsané. Než mu po letech došlo, že by se měl zajímat spíše o to, zda a jak jsou podepsány dokumenty v příloze datové zprávy.

Koncept datové zprávy a rozdíl mezi kontejnerem a jeho obsahem (přílohami) však nebyl úplně jasný ani legislativcům. Těm se podařilo – a to v rámci jednoho a téhož zákona (č. 300/2008 Sb.) – vymezit pojem datové zprávy dvěma navzájem odlišnými způsoby: jednou ve smyslu datové zprávy coby přenosového kontejneru, do kterého se dokumenty vkládají (to když hovoří o „dokumentu obsaženém v datové zprávě“, např. v § 22 v souvislosti s autorizovanou konverzí), a jindy naopak ve smyslu datové zprávy coby dokumentu jako takového (to když v § 19 odst. 1 hovoří o tom, že dokumenty mají formu datové zprávy). Dokonce se jim podařilo oba (zásadně odlišné) významy pojmu „datová zpráva“ vtěsnat do jediné věty (druhé věty § 20 odst. 3 zákona č. 300/2008 Sb.):

Ministerstvo stanoví vyhláškou technické náležitosti užívání datových schránek, přípustné formáty datové zprávy a maximální velikost datové zprávy.

A tak příslušná prováděcí vyhláška (č. 194/2009 Sb., o stanovení podrobností užívání a provozování informačního systému datových schránek) dodnes v jednom místě (ve svém § 4) stanovuje Přípustné formáty datové zprávy dodávané do datové schránky a říká, že to mohou být formáty jako PDF, XML, DOC/DOCX a další. Čímž nutně musí mít na mysli „datové zprávy coby dokumenty“, vkládané jako přílohy do přenosového kontejneru (zatímco ten má vždy stejný formát, a to ZFO). A hned následující paragraf (§ 5), který stanovuje Maximální velikost datové zprávy dodávané do datové schránky, naopak chápe datovou zprávu ve smyslu přepravního kontejneru (když stanovuje maximální velikost celého tohoto kontejneru i se všemi přílohami, a nikoli velikost jednotlivých příloh).

Ekosystém datových schránek

Dalším zajímavým koncepčním rysem datových schránek je to, že kolem nich existuje celý rozsáhlý a poměrně složitý ekosystém. Kromě samotných datových schránek (které mají čtyři hlavní typy a aktuálně 9 podtypů) se v tomto ekosystému vyskytují držitelé těchto datových schránek, interní uživatelé datových schránek (dále členění na oprávněné a pověřené osoby, administrátory, likvidátory, nucené správce a opatrovníky) a externí aplikace (nejčastěji spisové služby). Mezi datovými schránkami se přenáší dva druhy datových zpráv (ve smyslu přenosového kontejneru, v pevně daném formátu ZFO): datové zprávy bez přívlastku (neformálně označované jako „veřejnoprávní“), a dále tzv. poštovní datové zprávy (neformálně: soukromoprávní datové zprávy). Mimochodem: za tyto poštovní datové zprávy neplatí stát, ale jejich odesilatel (podle tohoto ceníku).

Vše je pak svázáno celou řadou pravidel, které pokrývají nejrůznější aspekty kolem datových schránek: od možností přihlašování k nim přes pravidla jejich používání až po právní účinky toho, co se v rámci celého systému datových schránek odehrává.

Porozumět celému tomuto složitému ekosystému není úplně jednoduché. I kvůli tomu, že některá jeho pravidla dosud – po deseti letech od spuštění datových schránek – nejsou sepsána (ve smyslu: vyjádřena v zákonech či prováděcích předpisech). Příkladem může být otázka toho, kdy se stává doručenou datová zpráva, kterou někdo (občan či firma) činí své podání (úkon) vůči orgánu veřejné moci (dle § 18 zákona č. 300/2008 Sb.): má to být již okamžikem dodání takového zprávy do datové schránky příjemce (příslušného orgánu veřejné moci)? Nebo až okamžikem, kdy se k datové schránce někdo přihlásí?

Z pohledu podávajícího je rozlišení velmi důležité, protože pouze v prvním případě je výlučně v jeho moci, zda stihne případnou lhůtu ke svému podání (pokud takovou má). Naopak ve druhém případě by o tom nemusel rozhodovat on, ale až úředník, podle toho, kdy se k datové schránce úřadu přihlásí. Bohužel zákon (č. 300/2008 Sb.) dodnes na tuto důležitou otázku nepamatuje a neřeší ji. Ve svém § 17 odst. 3 ji zákon řeší pouze pro opačný směr, tedy pro doručování (od orgánu veřejné moci), a to ve smyslu první výše uvedené varianty (tedy: až přihlášením do datové schránky). Pokud by se ale stejné pravidlo aplikovalo i pro podávání (kdy příjemcem je orgán veřejné moci, vystupující v postavení orgánu veřejné moci), vedlo by to k výše naznačenému – a stěží udržitelnému – paradoxu: že o splnění lhůty za strany občana či firmy rozhoduje úředník tím, kdy přijde do práce a přihlásí se do datové schránky.

Naštěstí celý tento problém již řeší alespoň soudní judikatura, a to ve smyslu první z výše uváděných variant (příklad). Tedy že v případě podání vůči orgánu veřejné moci (vystupujícímu v postavení orgánu veřejné moci) je doručeno už dodáním datové zprávy do datové schránky příjemce. Nikoli až okamžikem, kdy se do této datové schránky přihlásí někdo, kdo je oprávněn si zprávu přečíst.

A není to jen judikatura: i samotný informační systém datových schránek si je celého problému očividně vědom a ve svých doručenkách používá následující disclaimer, který se také přiklání k první variantě. Ale posouzení toho, zda skutečně nastala, správně ponechává na člověku. Protože sám (jako stroj) nedokáže posoudit, čeho se obsah (v příloze datové zprávy) týká a v jakém postavení jeho příjemce právě vystupuje:

EV5: Datová zpráva byla dodána do datové schránky příjemce. Je-li příjemcem datové zprávy orgán veřejné moci vystupující v postavení orgánu veřejné moci, byla datová zpráva tímto okamžikem doručena.

Jak je to s fikcí podpisu?

To jiná pravidla, která jsou součástí celého ekosystému datových schránek, trpí tím, že je možné je vykládat různými způsoby a není jasné, který z nich je „ten správný“. Příkladem může být § 18 odst. 2 zákona č. 300/2008 Sb., běžně označovaný jako tzv. fikce podpisu:

Úkon učiněný osobou uvedenou v § 8 odst. 1 až 4 nebo pověřenou osobou, pokud k tomu byla pověřena, prostřednictvím datové schránky má stejné účinky jako úkon učiněný písemně a podepsaný, ledaže jiný právní předpis nebo vnitřní předpis požaduje společný úkon více z uvedených osob.

Jak tomu ale rozumět? V tradičním kamenném světě (světě „papírových“, resp. listinných dokumentů) je samozřejmostí, že lidé své dokumenty podepisují. Můj osobní názor je, že stejně by tomu mělo být i ve světě elektronickém. Proto bych chtěl výše uvedenému ustanovení rozumět jako jakési dočasné výjimce, kterou se zákonodárci – v raných dobách naší elektronizace, resp. digitalizace – rozhodli udělit těm, kteří ještě nevládnou elektronickým podpisem. A že autoři chtěli říci něco ve smyslu: když pošlete datovou schránkou nepodepsaný elektronický dokument, bude mít stejné právní účinky, jako kdybyste poslali řádně podepsaný „papírový“ dokument.

První nejasnost se týká už toho, jak rozumět formulaci „jako úkon učiněný písemně“: dovolím si konstatovat, že právo dodnes není jednotné v tom, co míní přívlastkem „písemně“. Některé zákony jej chápou jako synonymum pro „na papíře“, resp. „v listinné podobě“ – a tedy jako protipól „elektronického“. Dělá to například správní řád, když říká, že podání může být učiněno „písemně … nebo v elektronické podobě“. Pak by výše citovaná formulace „jako úkon učiněný písemně“ dávala smysl a říkala by, že (nepodepsaný) elektronický dokument, odeslaný datovou schránkou, má mít stejné právní účinky jako (podepsaný) dokument „na papíře“ (v listinné podobě).

Ovšem jiné zákony se na to dívají jinak – když „písemně“ chápou jako „napsané“, resp. „složené z písmen (a číslic atd.)“, a říkají, že jde o formu vyjádření obsahu. Jinou formou vyjádření obsahu pak může být například slovní forma (kdy je něco namluveno), obrazová forma (kdy je něco namalováno či natočeno na video) atd. A že vedle „formy“ je nutné rozlišovat i „podobu“: že to, co je napsáno (je písemné), může být zachyceno „na papíře“ (mít listinnou podobu, resp. být v listinné podobě), ale stejně tak může být zachyceno elektronicky (mít elektronickou podobu, resp. být v elektronické podobě).

Sám zákon č. 300/2008 Sb., který do našeho právní řádu zavádí datové schránky a obsahuje ono „jako úkon učiněný písemně…“, přitom zavádí (ve svých § 2226) i autorizovanou konverzi mezi „papírovými“ a elektronickými dokumenty. Hovoří přitom o změně (konverzi) podoby, nikoli formy – a ony „papírové“ dokumenty neoznačuje jako „písemné“, nýbrž jako „listinné“ (resp. „v listinné podobě“). Měl by tedy patřit mezi tu skupinu zákonů, které správně rozlišují mezi formou a podobou, a za protipól k „elektronickému“ považují „listinné“, a nikoli „písemné“.

Proč ale potom tento samý zákon (č. 300/2008 Sb.) hovoří o stejných právních účincích „jako úkon učiněný písemně“: má tím snad na mysli další fikci, tentokráte fikci písemnosti? Chce tím snad říci, že když by někdo poslal datovou schránkou nějaké namluvené či třeba nazpívané podání (samozřejmě zachycené elektronicky), měl by se na něj příjemce dívat jako na podání napsané (písemné) a sám si zajistit potřebný přepis? To asi ne, spíše je to jen další „nepřesnost“ jako výše popisované použití pojmu „datová zpráva“ ve dvou různých významech.

Pravidlo, nebo výjimka z pravidla?

Vraťme se ale ještě k samotné fikci podpisu, kterou zavádí zmiňovaný § 18 odst. 2, když hovoří o stejných právních účincích „jako úkon … podepsaný“. Tedy že příjemce (orgán veřejné moci) by se měl na nepodepsaný elektronický dokument (představující podání, resp. právní „úkon“) dívat stejně, jako kdyby byl podepsaný (proto také fikce podpisu). Právě tato fikce je totiž zdrojem snad největšího počtu nejasností.

První z nejasností se týká už toho, zda nepodepisování má být výjimkou, nebo naopak pravidlem. Tedy zda lidé mají své „úkony“ (reálně: elektronické dokumenty) raději podepisovat – a jen když z nějakého důvodu nemohou či nechtějí, tak mohou využít i oné fikce podpisu. Nebo by pravidlem mělo snad být to, že elektronicky se nepodepisuje, aby to nebránilo aplikaci fikce podpisu? Protože, a to je pravdou, citované ustanovení (ani nějaké jiné) neříká, co dělat v případě řádně podepsaného „úkonu“ (elektronického dokumentu).

Další nejasností je to, o čí podpis by se při aplikaci této fikce mělo jednat. Neboli: komu by měl patřit podpis, který si příjemce má takto „přimyslet“ k nepodepsanému dokumentu. Právu pochopitelně není jedno, kdo podepíše nějaký dokument (čí podpis to je). Obecně je „ten, kdo podání činí“ určen obsahem příslušného úkonu, resp. dokumentu: tím, co je v něm napsáno. Třeba že občan Jan Novák žádá o XY. A podpis na takovémto podání pak plní především autentizační funkci: stvrzuje, že jde skutečně o projev vůle příslušného Jana Nováka. Jinými slovy: podání Jana Nováka by měl podepsat on sám, a ne někdo úplně jiný (když vynecháme možnost právního zastoupení, opatrovníky a obdobné speciální případy).

To vede na velmi důležitou obecnější otázku, kterou si zkusme představit na příkladu: z datové schránky prosperující firmy odejde datová zpráva, obsahující nepodepsaný návrh na zahájení insolvenčního řízení s touto firmou. Má se soud, kterému takovýto návrh přišel, zajímat o to, zda takovýto návrh odeslal statutární zástupce oné firmy? Nebo někdo jiný, například zhrzený zaměstnanec čelící aktuálnímu vyhazovu z práce? Nebo zda odesilatelem je elektronická aplikace (spisová služba), které to mohl přikázat kterýkoli zaměstnanec, který má ve spisovce nastavena potřebná práva?

Je potřeba znát odesilatele?

Právě uvedený příklad souvisí i s tím, že celá fikce podpisu je přeci jen podmíněna: tím, že jde o „úkon učiněný osobou uvedenou v § 8 odst. 1 až 4 nebo pověřenou osobou, pokud k tomu byla pověřena“. Znamená to, že příjemce by se měl nejprve ptát, kdo je odesilatelem datové zprávy? Protože odesilatelem mohou být jak osoby oprávněné (dle onoho § 8 odst. 1 až 4), tak i osoby pověřené, ale stejně tak to mohou být třeba administrátoři či externí systémy (elektronické aplikace, nejčastěji spisové služby). Přitom posledně dvou jmenovaných by se fikce podpisu neměla vůbec týkat.   

A když by odesilatelem byla pověřená osoba, je třeba zkoumat, zda má k příslušnému konkrétnímu úkonu také potřebné pověření? Když podmínka pro aplikaci fikce hovoří o „pověřené osobě, pokud k tomu byla pověřena“…

Odpověď na tyto otázky naráží na problém toho, že informační systém datových schránek (ISDS) sice u každé odeslané datové zprávy přesně ví, kdo konkrétně byl jejím odesilatelem (s přesností na konkrétní fyzickou osobu či el. aplikaci), ale tuto informaci si nechává pro sebe a příjemci ji nesděluje. Od jisté doby (cca od roku 2012) sděluje příjemci alespoň typ uživatele. Tedy to, zda odesilatelem byl někdo v roli oprávněné osoby, nebo někdo v roli pověřené osoby, nebo někdo v roli administrátora, či zda se jednalo o elektronickou aplikaci. Konkrétní identitu odesilatele se ale příjemce dozví jen tehdy, pokud si to odesilatel explicitně vyžádá (zaškrtnutím příslušné možnosti při odesílání). Což ovšem dělá jen málokdo.

Dalším problémem je to, že některé informační systémy (podatelny) na straně orgánů veřejné moci nepracují ani s tou minimální informací (o typu uživatele), kterou datové schránky přeci jen poskytují. A tak svým uživatelům (úředníkům, kteří přijaté podání dále zpracovávají) říkají často jen to, ze které datové schránky co přišlo. Ale už ne kdo to konkrétně to odesílal (což samy nevědí) ani o jaký typ uživatele se jednalo (což ale už samy vědí).

Celý právě popsaný problém nebyl dlouhá léta řešen. Otázka přitom byla docela zásadní: zda na odesilateli datové zprávy má, či naopak nemá záležet. V závislosti na tom by se buďto musela upravit řada elektronických podatelen (aby svým uživatelům poskytovaly všechny dostupné informace, včetně typu uživatele), nebo by se musel výklad ne úplně jasného zákona naopak přizpůsobit tomu, jak mnohé podatelny fungují (když o odesilateli neříkají vůbec nic).

Nakonec se k celému problému vyjádřilo plénum Nejvyššího soudu, pochopitelně hlavně z pohledu toho, co se týká justice jako takové. Výsledkem je stanovisko Plsn 1/2015 z ledna 2017, o kterém jsem podrobněji psal zde na Lupě krátce po jeho přijetí.

Jedním ze závěrů tohoto stanoviska je přednost podepisování před fikcí podpisu: pokud je dokument s právním úkonem (elektronicky) podepsán, fikce podpisu se neuplatní. Dalším závěrem pak je to, že když podepsán není a fikce podpisu se uplatnit může, nepotřebuje pověřená osoba specifické pověření k příslušnému úkonu – protože oním „pokud k tomu byla pověřena“, o kterém mluví § 18 odst. 2 zákona, je podle stanoviska již samotné právo odesílat datové zprávy (které pověřená osoba může, ale také nemusí mít).

Osobně mi to přijde nesprávné již jen proto, že potom je celá podmínka „pokud k tomu byla pověřena“ v zákoně zbytečná: pověřená osoba bez práva k odesílání nemůže žádnou datovou zprávu odeslat, a tím ani „činit úkon“ jako takový. Pak ani nemá smysl řešit, jaké právní účinky by takové podání mělo mít. Jinými slovy: bez podmínky „pokud k tomu byla pověřena“ by to vyšlo nastejno. Proč ji tam potom zákonodárci dávali – pokud měli na mysli totéž, co stanovisko?

Pokud zde šlo o to, aby vše bylo maximálně jednoduché a na odesilateli nezáleželo (a nemuselo se měnit fungování podatelen), pak se obávám, že toho stejně nebylo dosaženo. Stanovisko sice fakticky říká, že je jedno, zda odesilatelem je oprávněná osoba, nebo pověřená osoba (která nepotřebuje další pověření ke konkrétnímu úkonu), ale odesilatelem může být i administrátor (což není až tak časté, ale také ne úplně vzácné) nebo také elektronická aplikace, konkrétně spisová služba (což je naopak hodně časté). A v těchto dvou případech by fikce podpisu neměla připadat v úvahu již jen proto, že administrátoři ani elektronické aplikace vlastně nemohou činit „úkony vůči orgánu veřejné moci“, natož ze své datové schránky (viz § 18 odst. 1 zákona č. 300/2008 Sb.). Takže na odesilateli stejně záleží.

Jaká je úroveň záruky?

Na závěr dnešního ohlédnutí za desetiletím datových schránek se ještě krátce zastavme u poměrně zásadní disproporce mezi tím, jak závažné právní úkony lze dělat prostřednictvím datových schránek a jak „slabé“ (málo bezpečné) je v praxi přihlašování k nim.

Úkony činěné prostřednictvím datových schránek nejsou a nemohou být nijak omezeny co do svého „záběru“ (o jaký konkrétní úkon se může jednat) ani co do výše toho, co je ve hře (například do nějaké maximální hodnoty). Významné je to nejenom pro oprávněné osoby, ale také pro pověřené osoby – když ty, podle výše uvedeného stanoviska, nepotřebují žádné konkrétní pověření k úkonům, činěným skrze datovou schránku. Stačí jim jen právo odesílat. V článku, kde jsem stanovisko podrobněji rozebíral, jsem to přirovnal ke generální, ničím neomezené plné moci.

Teprve velmi nedávno, vlastně až v tomto roce, se stalo dostupné přihlašování pomocí nové elektronické občanky. To by již mělo odpovídat nejvyšší úrovni záruky (úrovni vysoká) a alespoň v principu korespondovat s tím, co je ve hře (s onou „generální a ničím neomezenou plnou mocí“). Určitým vylepšením je i velmi čerstvá možnost přihlašování pomocí mobilního klíče, i když ta má svá slabá místa. Hlavně to, že se na ni může „přecházet“ z úrovně nízká, bez jakéhokoli dalšího ověření.

Ale hlavní problém je v tom, že drtivá většina uživatelů se stále přihlašuje tím nejméně bezpečným způsobem, jen pomocí jména a hesla. Což odpovídá pouze úrovni záruky „nízká“, která i podle nařízení poskytuje jen „omezenou míru spolehlivosti“. Schválně si to sami srovnejte s tím, co vám dovolí například banky v rámci internetbankingu, pokud jste přihlášeni jen pomocí jména a hesla. Nebo spíše: jaký způsob přihlášení (a případně další autorizace) vaše banka vyžaduje, aby vás nechala v internetbankingu udělat nějakou (klidně i zcela banální) finanční transakci.