Co přináší návrh nového zákona o právu na digitální služby?
Politici napříč stranami se už zřejmě shodli na jeho podobě. Nezůstávejme tedy u obecných tezí a politických proklamací a pojďme se podívat na konkrétní obsah návrhu.
S návrhem zákona o právu na digitální služby, kterému se začalo říkat také „digitální ústava“, je to tak trochu jako v otřepaném vtipu o Yettim: všichni o něm mluví, ale nikdo ho ještě pořádně neviděl. Informací o tom, čeho všeho by nový zákon chtěl dosáhnout, jsou média plná, stejně jako deklarací politické shody nad potřebností a přínosem celého návrhu. Ale jak konkrétně návrh vypadá a jak (a kdy) chce dosáhnout svých cílů, je už věc jiná. Zde už je informací pomálu. Vlastně nebýt Lupy (a dvou zde zveřejněných verzí návrhu, v prosinci, PDF a nyní, PDF), stále bychom toho moc nevěděli.
Na druhou stranu zvolená taktika – veřejně diskutovat jen na úrovni obecných tezí – má své opodstatnění a svou logiku. Už jen proto, že ambice jsou jedna věc, ale reálná dosažitelnost konkrétních záměrů a cílů, stejně jako podpora nutná pro prosazení jakéhokoli legislativního návrhu, je věc druhá.
Změnový zákon má být samostatný
O tom, že autoři museli ze svých ambicí mnohdy slevovat, svědčí i velmi letmé porovnání dvou verzí návrhu, zveřejněných zde na Lupě: verze z prosince 2018 má 45 stran, zatímco verze z tohoto týdne má jen 12 stran (při stejném písmu a formátování textu). Hlavní rozdíl je v tom, že prosincová verze v sobě zahrnovala (na 37 stránkách) obsáhlou změnovou část, novelizující celou řadu dalších zákonů – zatímco nová verze již má změnovou část velmi malou.
Podle následující zmínky v důvodové zprávě k nynější verzi by ony (nyní vynechané) změny dalších zákonů mohly být realizovány skrze samostatnou právní úpravu, již v gesci resortu vnitra:
Předkládány stav a rozsah druhé až jedenácté části zákona odpovídá konsenzu zástupců politických klubů ANO 2011, ODS, PIRÁTI, SPD, KSČM, ČSSD, KDU-ČSL, TOP09 a STAN ze dne 8. 3. 2019 ohledně postupu zpracování, předložení, projednání a schválení zákona o právu na digitální služby, který předpokládá předložení separátního návrhu zákona o změně některých zákonů ve spojitosti s přijetím zákona o právu na digitální služby vypracovaného Ministerstvem vnitra, do jehož gesce daná problematika přirozeně spadá.
Příkladem (nyní vynechané) změny dalších zákonů může být to, co jsem popisoval zde na Lupě v tomto bilančním článku na přelomu roku: že datové schránky by se nově zřizovaly automaticky všem občanům (zapsaným do základního registru obyvatel), ale ještě bez jejich aktivace – a bylo by na každém, zda si svou datovou schránku aktivuje. A pokud ano, ještě by měl na výběr mezi aktivací jen pro odesílání datových zpráv (tj. pro činění podání vůči orgánům veřejné moci), nebo i pro jejich příjem (tedy i pro doručování).
Návrh se postupně měnil
Ještě dalším důvodem, který hovoří pro použitou taktiku (počkat se zveřejněním konkrétního paragrafovaného znění návrhu), může být postupné „ladění“ celého návrhu. Ten již prošel určitým připomínkováním, hlavně se zástupci politických subjektů, Radou vlády pro informační společnost a klíčovými resorty (podrobněji viz důvodová zpráva), a tak i mezi jeho prosincovou a nynější verzí jsou patrné jak terminologické, tak i věcné změny.
Právníky možná zaujme, že zatímco prosincová verze ještě řešila právo na digitální právní jednání, nynější verze již používá odlišnou terminologii a řeší právo činit digitální úkon.
Přijde mi to zajímavé i v souvislosti s tím, jak nový občanský zákoník přešel od původních „právních úkonů“ k „právním jednáním“ – zatímco zde je tomu vlastně naopak. Ale možná je to tím, že „digitální úkon“ asi nemusí být nutně „právním“ (povšimněte si chybějícího přívlastku: nejde o „digitální právní úkon“, ale jen o „digitální úkon“).
Zřejmě s tím souvisí i další změna, která je patrná z předchozího obrázku: že z uvedeného § 4 (i celého návrhu) vypadlo explicitní konstatování o rovnocennosti právních účinků digitálního a „tradičního“ právního jednání. A mimochodem, ještě dřívější verze celého návrhu, z léta 2018, zahrnovala (v § 4) také explicitní konstatování o tom, že diskriminace digitálního právního jednání se zakazuje. I to v nynější verzi chybí.
Jinou zajímavou změnou může být to, jaký má být dosah celého nového práva (které zahrnuje jak právo činit digitální úkony, tak i právo využívat digitální služby): původní představa (ještě v prosincové verzi) byla taková, že nositelem takovéhoto práva bude každá fyzická a právnická osoba.
Nyní už se bude toto právo týkat jen fyzických osob zapsaných v základním registru obyvatel a právnických osob zapsaných v registru osob.
U fyzických osob je rozdíl je hlavně v cizincích, protože ti mohou, ale nemusí být zapsáni v registru obyvatel. To ostatně konstatuje i důvodová zpráva, která hovoří o „nepřiměřeně širokém okruhu osob“:
V návaznosti na § 1 zákona je uživatelem služby každá fyzická osoba zapsaná v registru obyvatel nebo právnická osoba zapsaná v registru osob, která chce využívat nebo využívá digitální služby. Při vymezení pojmu bez příslušné vazby na zápis v základních registrech by právo užívat digitálních služeb mohlo svědčit nepřiměřeně širokému okruhu osob, což je s ohledem na obecnou povahu tohoto zákona nevhodné (např. pro cizineckou agendu).
Reálně jde asi o to, že jak náš eGovernment soustřeďuje všechny referenční údaje do svých základních registrů, tak by neuměl pracovat s někým, koho v základních registrech nemá.
Co přináší nový zákon?
Pojďme nyní již k samotné podstatě nově navrhovaného zákona: co vlastně chce přinést? Jsou to nová práva pro ony výše uvedené „uživatele služeb“ – tedy jak pro fyzické osoby, tak i pro osoby právnické (v obou případech ale jen ty zapsané do příslušného základního registru).
V prvním přiblížení si tato nová práva (nikoli povinnosti) můžeme rozdělit do tří skupin podle toho, jak „úzce“, či naopak „široce“ jsou vymezena, na:
- konkrétně vymezená práva, zejména na poskytování konkrétních informací (například o konci platnosti osobních dokladů)
- obecněji pojatá práva, například na úřední ověření elektronického podpisu, na sdílení údajů, na prokazování právních skutečností, na technologickou neutralitu, na elektronickou identifikaci a autentizaci či na osvědčení o digitálním úkonu.
- univerzálně pojatá práva na (poskytnutí) digitální služby a činění digitálních úkonů
Dovolím si zdůraznit, že toto členění je pouze neformální, jen pro potřeby tohoto článku (a snazšího vysvětlení), samotný zákon nic takového nezná a nepoužívá.
Konkrétně vymezená práva
Nejjednodušší je popsat ona konkrétně vymezená práva. Jedním z nich je právo na zápis kontaktního údaje (v § 10), které si zaslouží krátké vysvětlení: dnes v základních registrech není ani e-mailová adresa, ani telefon na konkrétní fyzickou (či právnickou) osobu, ale jen identifikátor jejich datové schránky. A tak stát vlastně neví, kam by jim mohl zasílat „informace související s poskytováním digitální služby“. Například posílat SMSkou jednorázové kódy pro potřeby přihlašování či e-mailem (nebo také SMSkou) avíza o končící platnosti jejich dokladů.
Proto se nově dává fyzickým osobám právo vyžádat si zápis takovýchto údajů o nich do základního registru obyvatel (a právnickým osobám do registru osob). Stejně tak vznikne právo nechat si zapsat tyto údaje i do národního bodu pro identifikaci a autentizaci (NIA), což mimochodem jde už dnes – a díky tomu je možné se už dnes přihlašovat ke službám eGovernmentu přes NIA s dvoufaktorovou autentizací, zahrnující jednorázové heslo zasílané SMSkou na mobil (pomocí tzv. prostředku „Jméno, heslo a SMS“).
Na to vše navazují dvě další konkrétní práva:
- právo být informován o končící platnosti dokladu, průkazu či osvědčení (například občanky či pasu) – se zasláním příslušné informace buď do datové schránky, nebo SMSkou či emailem (pokud si příjemce nechal zapsat příslušné kontaktní údaje, viz předchozí bod)
- právo být upozorněn na blížící se konec nějaké uživateli uložené lhůty („má-li uživateli služby zaniknout právo nebo povinnost ve lhůtě stanovené rozhodnutím orgánu veřejné moci“), a to opět do datové schránky, nebo SMSkou či emailem (za podmínek viz výše).
Dále je v návrhu ještě jedno právo na informaci, a to být informován (a to neprodleně) o změnách těch údajů, které o něm veřejná správa vede (jako tzv. referenčního údaje v základních registrech či autoritativního údaje v agendových informačních systémech), či o svých právech a povinnostech. K tomu je ale již nutné mít datovou schránku, protože zde již nejsou informace poskytovány SMSkou či emailem (ale jen do datové schránky).
Pokud správně interpretuji údaje o účinnosti nového zákona, měli by nositelé získat tato konkrétní práva ihned s účinností nového zákona, která je navrhována na první den šestého měsíce, následujícího po dni vyhlášení.
Univerzálně pojatá práva
Přeskočme nyní ona prostřední „obecněji vymezená práva“ a pojďme k těm univerzálním – protože tak to bude snazší vše popsat.
Ona „univerzálně pojatá práva“ se týkají toho asi hlavního, o co celý návrh usiluje: aby veřejný sektor poskytoval co nejvíce digitálních služeb a uživatelé (fyzické i právnické osoby, zapsané do registrů) je mohli využívat. Aby na to měli právo a poskytovatelé (orgány veřejné moci) měli povinnost jim je poskytovat. Připomeňme si to na již jednou zmiňovaném § 3.
Nejde ale jenom o služby, ať již poskytované na žádost uživatele, či „z iniciativy“ jejich poskytovatele: uživatelé by měli mít možnost obracet se na subjekty veřejného sektoru a jednat s ním také digitálně. Tedy, abychom zohlednili výše popsanou změnu z „digitálního právního jednání“ na „činění digitálních úkonů“: aby měli právo činit své úkony vůči orgánům veřejné moci také digitálně. To má zaručovat již také zmiňovaný § 4 (připomenutí na dalším obrázku), který specifikuje možné kanály.
Co jsou digitální služby?
Nechme nyní stranou technické aspekty, kterým bych se rád věnoval podrobněji v samostatném článku. Stejně tak nechme stranou krkolomné právní formulace, vymezující digitální službu také jako úkon (prováděný orgánem veřejné moci vůči uživateli služby).
Jen si povšimněme, že odkaz na „úkony“ v definici služby může naznačovat, že za digitální služby by mohlo být považováno i něco „malého“, resp. dílčího – jako třeba předvyplnění údajů v nějakém online formuláři. Na druhou stranu jsou za digitální služby z definice považovány i „celé“ služby, poskytované na kontaktních místech veřejné správy (jsou vymezeny v zákoně č. 365/2000 Sb.). Tedy hlavně na CzechPointech, což mimochodem znamená, že „digitální služba“ nemusí být – z pohledu svého uživatele – vůbec digitální, resp. „konzumovaná“ na dálku elektronickou cestou (po internetu).
Může to být tedy i něco, pro co si přijdete osobně na CzechPoint a dostanete to „na papíře“ – přičemž digitální je alespoň způsob vyřízení vaší žádost (třeba o nějaký výpis z elektronického rejstříku). Ale vlastně ani to není podmínkou: co třeba takové ověřování vlastnoručních podpisů na listinných dokumentech, prováděné také na CzechPointech, či třeba u notářů (kteří jsou mimochodem také kontaktními místy veřejné správy)?
S tím mimochodem souvisí i další zajímavý aspekt: návrh zákona se snaží podpořit využívání digitálních služeb i 20% slevou na správních poplatcích. Opět je ale třeba pečlivě číst konkrétní znění návrhu: nejde o všechno, co vyhoví definici digitální služby – ale jen o případy, kdy se podává nějaká žádost či návrh a je možné je podat jak elektronicky (digitálně), tak i klasicky (v listinné podobě, případně asi i ústně). A sleva se pak týká jen případu, kdy si uživatel zvolí elektronickou (digitální) cestu, a nikoli tu klasickou, viz následující obrázek.
Katalog služeb
Definice digitální služby má ale i další zajímavé aspekty. Třeba ten, že návrh zákona nehovoří o „digitální podobě služeb“, což by naznačovalo snahu přidat k již existujícím službám možnost využívat je – vedle tradičního způsobu – také digitálně a na dálku. Místo toho hovoří v intencích samostatných digitálních služeb. Zřejmě tedy chce důsledně rozlišovat mezi „klasickými“ službami, poskytovanými tradičním způsobem, a digitálními službami (vzhledem k definici „konzumovanými“ buď digitálně, nebo „tradičně“ na kontaktních místech veřejné správy).
Jaké ale potom budou ony digitální služby? Kdo a jak určí, které to jsou, a kdy začnou být poskytovány? Tedy kromě těch na kontaktních místech veřejné správy, u kterých je situace zřejmá.
Odpověď je taková, že jak digitální služby (poskytované uživatelům), tak i digitální úkony (prováděné uživateli služeb) budou vymezeny v Katalogu služeb.
Představy o tomto katalogu se s postupem času měnily, přičemž v nynějším návrhu je Katalog služeb pojat velmi široce jako souhrn všech služeb, které poskytují orgány veřejné moci v rámci svých agend, ohlášených podle zákona o základních registrech. Kromě toho budou součástí katalogu také úkony, které mohou činit uživatelé vůči orgánům veřejné moci.
Tento katalog bude obsažen v základním registru práv a povinností. Vznikne tak, že jednotlivé orgány veřejné moci do něj (resp. do příslušné části registru práv a povinností) zapíší ty služby, které poskytují (a ty úkony, které mohou být vůči nim činěny). Na to budou mít deset měsíců od účinnosti zákona (která nastane prvního dne šestého měsíce po vyhlášení, viz výše).
Do dalších dvou měsíců by resort vnitra měl zveřejnit obsah Katalogu služeb, a to na Portálu veřejné správy. Jinými slovy: měl by zprovoznit nějakou aplikaci (v rámci Portálu), která zpřístupní obsah toho, co je zapsáno v základním registru práv a povinností, a představuje obsah Katalogu služeb.
Do stejné doby (tedy do 12 měsíců od účinnosti zákona) pak vláda zveřejní harmonogram toho, jak budou jednotlivé úkony (a tím i služby) z Katalogu postupně digitalizovány. Přesněji: kdy začnou být konkrétní služby poskytovány také jako digitální služby (nezapomínejme na výše popisovanou definici digitální služby).
Na to budou další celé 4 roky, které tak budou mít poskytovatelé příslušných služeb (a adresáti příslušných úkonů od uživatelů) na to, aby vše skutečně zdigitalizovali, resp. umožnili využívat elektronicky (digitálně).
Na jednu stranu je takovéto až čtyřleté „digitálně realizační“ období logické, protože věci obvykle nejdou udělat ze dne na den, mávnutím kouzelného proutku. Na druhou stranu se obávám, vzhledem k naší tradici u podobných aktivit (například naplnění unijního nařízení eIDAS), že vše se bude řešit až na úplně poslední chvíli. Ale třeba ne: bude záležet na onom vládou stanoveném harmonogramu, zda vše naplánuje nějak „lineárně“, nebo zda všechny termíny „zdigitálnění“ soustředí až na konec celého čtyřletého období.
Návrh zákona přitom říká, že po 5 letech od své účinnosti (tj. po 1 roce na sestavení a zveřejnění Katalogu služeb a 4 letech na realizaci) už budou všechny služby, uvedené v katalogu, poskytovány také jako digitální služby. Ovšem s důležitým disclaimerem: „pokud to jejich povaha nevylučuje a nemožnost jejich poskytnutí v digitální podobě je vyznačena v katalogu služeb“.
Nezapomínejme tedy, že Katalog služeb není to samé jako katalog digitálních služeb – protože v něm budou i takové služby, které nebudou plně digitalizovány (resp. poskytovány jako digitální služby). U některých to skutečně nejde, jako třeba u vydávání státních poznávacích značek. Nebo to nepůjde do té doby, dokud budeme používat „fyzické“ SPZky, a ne nějaké elektronické.
Nicméně mohou existovat i takové služby, které veřejná správa poskytuje (a úkony, které lze vůči orgánům veřejné moci činit), ale které vůbec nebudou v Katalogu služeb uvedeny. Hlavně asi takové, které nespadají pod povinnost svého ohlášení ze zákona o základních registrech. I na takovéto služby (a úkony) je ale pamatováno a po oněch 5 letech musí být i ony poskytovány také jako digitální služby.
Obecněji pojatá práva
S digitálními úkony, vymezenými v Katalogu služeb, se pojí i další, obecněji pojatá práva. Například právo na osvědčení digitálního úkonu (§ 6). Tedy na jakési (elektronické, resp. digitální) potvrzení toho, co bylo předmětem úkonu a kdo jej činil. Má být poskytováno uživateli na jeho žádost, a to buď zasláním do jeho datové schránky, nebo k vyzvednutí na kontaktním místě veřejné správy, nebo případně zpřístupněno prostřednictvím portálu veřejné správy. Asi tedy uloženo do sekce „Dokumenty“ v rámci účtu příjemce na Portálu občana, který je součástí Portálu veřejné správy.
Zajímavé je, že na vyžádání si takovéhoto osvědčení má mít ten, kdo úkon učinil, čas až deset let – protože právě po tak dlouhou dobu má mít právo na jeho poskytnutí. To ale neplatí v případě úkonů, činěných datovou schránkou: zde se tímto osvědčením rozumí datová zpráva samotná (a odpovídající doručenka). Nicméně pokud si odesilatel nepořídil datový trezor (či nevyužil možnosti uložení na Portálu občana), po 90 dnech o zprávu přijde a má smůlu. K tomu důvodová zpráva říká, že
Je na uživateli služeb, zda si v souladu se zásadou vigilantibus iura scripta sunt uloží odeslanou datovou zprávu pro další užití, či nikoli.
Další obecněji pojaté právo se týká sdílení osobních údajů (§7), dostupných jak v základních registrech, tak i v dalších rejstřících (v „propojeném datovém fondu orgánů veřejné moci“): ten, koho se týkají, bude moci dát souhlas s jejich sdílením jak soukromoprávním uživatelům, tak i těm veřejnoprávním uživatelům, kteří k nim nemají přístup z titulu svého zákonného oprávnění (protože v takových případech souhlas subjektu údajů nepotřebují). V jisté podobě tato možnost existuje už dnes, pro údaje obsažené v základních registrech.
Dalším novým právem má být právo na zápis práva, povinnosti nebo právní skutečnosti do registru práv a povinností (§ 8). Podle důvodové zprávy půjde například o možnost nechat si takto zapsat například oprávnění k řízení motorového vozidla, oprávnění k držení zbraně, ale také dosažené vzdělání na základě vydaného vysvědčení či diplomu.
Přínosem bude to, že takto zapsané údaje budou moci sdílet všechny orgány veřejné moci a uživatel služby je nebude muset znovu prokazovat. A to i díky novému právu na prokázání právní skutečnosti (§ 9). To říká, že uživatel služby už nemusí znovu prokazovat to, co jednou prokázal – a co o něm už veřejná správa ví (má to vedeno v některém informačním systému veřejné správy).
Doplňkem tohoto práva je i docela důležité obecné konstatování, že uživatelé mohou předkládat dokumenty v elektronické podobě (pokud splňují požadavky, které jsou na ně kladené, například co do způsobu podepsání) a orgány veřejné moci po nich nesmí požadovat tytéž dokumenty v listinné podobě.
Ještě dalším nově zaváděným a obecněji pojatým právem má být právo na elektronickou identifikaci a autentizaci (§ 12): to ale říká pouze to, že když někde (v Katalogu služeb) není uveden požadavek na úroveň záruky (v úvahu připadají úrovně vysoká, značná a nízká), může se uživatel přihlásit (identifikovat a autentizovat) prostředkem dle své volby – v úrovni nejméně „značná“. Tedy nikoli v úrovni „nízká“, což je nejčastěji jméno a (jedno) heslo, jako je tomu obvykle při přihlašování k datovým schránkám.
Konečně dalším obecněji pojatým právem má být právo na technologickou neutralitu (§ 13). To říká, že digitální služby by měly být zpřístupněny jejich uživatelům „bez závislosti na konkrétní platformě či technologii“. Takže už žádné „jen na Windows, jen s Internet Explorerem verze X a Javou verze Y“. Ale zase to má háček: „ …. ledaže by takové řešení bylo nepřiměřeně ekonomicky náročné, nesplňovalo požadavky na bezpečnost informačního systému veřejné správy nebo mu bránil jiný právním předpisem chráněný veřejný zájem“.
Ale zmíněné právo na technologickou neutralitu má mít ještě jednu důležitou součást: výstupy digitálních služeb mají být uživatelům poskytovány primárně v otevřeném strojově čitelném formátu.
V této souvislosti mne napadá zajímavá otázka: co třeba takový formát PDF? Otevřený je, ale je také strojově čitelný? Nebo záleží ještě na přítomnosti textové vrstvy?
Příště o legalizaci elektronických podpisů
V současném návrhu zákona o právu na digitální služby je ještě jedna zajímavá a důležitá pasáž: § 6 a v něm právo na úřední ověření elektronických podpisů. Tomu bych se rád věnoval příště, v samostatném článku, stejně jako techničtější diskusi k § 4 (o právu činit digitální úkony).