Rok 2019 v českém eGovernmentu: ve znamení legislativních příprav

V uplynulém roce se ze všeho nejvíce rodila nová legislativa. Ovšem dopady zákona o právu na digitální služby, bankovní identity, či třeba elektronizace daní, se projeví až v dalších letech.

Pokud jde o oblast eGovernmentu, rok 2019 by se dal charakterizovat jako rok legislativních příprav, z větší části „motivovaných“ soukromoprávní sférou. Poslaneckou sněmovnou i Senátem úspěšně prošel, a prezidentem byl podepsán, poslanecký návrh zákona o právu na digitální služby, jehož počátky se datují již do předchozího roku (2018) a jehož původ se dá vystopovat až do privátní sféry. Poslanci stihli schválit také legislativní změny, nutné pro budoucí nasazení tzv. bankovní identity, či vznik digitálních technických map. I ty jsou poslaneckými návrhy, přinejmenším inspirované soukromoprávní sférou.

Kromě iniciování legislativních změn se soukromoprávní sféra chopila i další iniciativy. Po Hlídači státu, který funguje už nějaký ten pátek, nabídl pomocnou ruku státu i nový projekt Česko.Digital. Chce být „mostem, který propojuje IT komunitu se státní správou a nevládními organizacemi, které mají veřejně prospěšné projekty“.

Úplně na vavřínech ale neusnul ani samotný stát. A tak třeba resort financí začal připravovat svůj ambiciózní projekt elektronizace daní, pod sloganem MoJe Daně (od: MOderní a JEdnoduché). Již tradičně byl znovu odložen start e-Sbírky a e-Legislativy (nově na 1. 1. 2022) či třeba eSpis (elektronický soudní spis). K odkladu naopak nedošlo u e-neschopenek, které by tak měly být spuštěny skutečně k 1. 1. 2020. A nejasno zůstalo kolem pokusu o odklad konce rodných čísel (o další dva roky), který v závěru roku 2019 odmítl Senát jako nepřípustný přílepek.

V roce 2019 jsme si také připomněli již plných deset let od spuštění datových schránek, které konečně dostaly nový responzivní kabát, a také nové možnosti přihlašování (pomocí mobilního klíče). To Portál občana slavil teprve první výročí od svého spuštění a při té příležitosti byl obohacen o několik dalších funkcí.

Již v dubnu 2019 jsme se dočkali unikátního zákona „o něčem, co neexistuje“ – konkrétně zákona č. 99/2019 Sb., o přístupnosti internetových stránek (a mobilních aplikací). Jaká škoda, že si naši legislativci nenechali vysvětlit, že internet opravdu nemá stránky. Nepřesvědčilo je ani to, že oficiální překlad unijní směrnice, kterou tímto zákonem transponovali do naší legislativy, místo o „internetových stránkách“ hovoří správně o „webových stránkách“.

Celkově pak, podle různých hodnocení, se našemu eGovernmentu zase až tak moc nedařilo. Třeba podle souhrnné zprávy NKÚ o digitalizaci veřejné správy v ČR dlouho očekávaná revoluce v online komunikaci občanů se státem zatím nenastala a České republice se stále nedaří dosáhnout ani průměru Evropské unie. Podle zprávy DESI (Digital Economy and Society Index) za rok 2019 jsme v jejím indexu za rok 2019 sice získali o něco vyšší skóre než v předchozím roce, ale jelikož ani ostatní země nezahálely, v celkovém pořadí jsme naopak o jednu příčku klesli – na nepříliš lichotivé 18. místo z 28 členských zemí EU. No, třeba nám pomůže už asi neodvratný brexit, díky kterému se v celkovém pořadí uvolní jedna z příček daleko před námi.

Pojďme nyní k některým věcem trochu podrobněji.

Zákon o právu na digitální služby

Začněme návrhem zákona o právu na digitální služby, jehož „životní dráhu“ jste skrze dílčí články mohli průběžně sledovat i zde na Lupě. Ačkoli s postupem času došlo k jeho významnému „ořezání“, které notně ubralo z jeho původních ambicí, stále jde o projekt, který má velký potenciál a mohl by přinést velmi významné změny.

Nezapomínejme ale, že svým způsobem jde o určitý nátlak na veřejnou správu, aby změnila orientaci svého dosavadního snažení v oblasti elektronizace (či spíše: digitalizace?). Aby už přestala myslet jen na sebe sama a své vlastní fungování a začala myslet i na občany a firmy.

Ostatně, od toho pochází i pojmenování celého zákona: o právu (fyzických a právnických osob) na digitální služby od státu a skrze ně na možnost jednat se státem elektronicky (resp. digitálně). Aby si lidé (i firmy) mohli dostupnost takovýchto služeb třeba i vynucovat tam, kde je stát (resp. veřejná sféra) nebude sám ochotný poskytovat.  

Bude pochopitelně velmi záležet na tom, jak dalece bude veřejná správa ochotná se tomuto tlaku podvolit. Zda najednou přeci jen nějak půjde to, co celou dobu vůbec nešlo. I když: ne úplně najednou, ale postupně – během pětiletého intervalu, kdy by měl nejprve vzniknout tzv. katalog služeb (poskytovaných veřejnou správou), přičemž vláda do 12 měsíců (od účinnosti zákona) sestaví časový harmonogram toho, jak se budou – během dalších 4 let – jednotlivé služby z katalogu „překlápět“ do digitální podoby. Na konci tohoto pětiletého období pak nastane jakýsi „digitální default“, kdy všechno, co ještě nebylo digitalizováno, bude deklarováno jako už také digitální. Ovšem s důležitým disclaimerem: pokud to povaha úkonu nevylučuje, případně „nestanoví-li jiný zákon jinak“.  

Osobně tipuji, že to dopadne „jako obvykle“ – že větší část onoho čtyřletého období se nebude dít skoro nic. Teprve s blížícím se koncem celého pětiletého období se možná dočkáme nějakého finiše. Při něm se ale nejspíše zjistí, že věci nejsou tak jednoduché, aby se daly realizovat mávnutím kouzelného proutku, ale vyžadují delší přípravu a podporu. A tak možná dojde i na ony disclaimery: začnou se hledat důvody, proč to či ono digitalizovat nejde.

Mezitím, konkrétně za 25 měsíců od vyhlášení nového zákona, se nezávisle na katalogu služeb a jeho naplňování dočkáme některých konkrétně vymezených „digitálních“ práv. Například práva na osvědčení digitálního úkonu (§ 5). Nebo kontroverzního práva na legalizaci elektronického podpisu (§ 6), nově rozšířeného o „uznávaný elektronický podpis pro elektronicky negramotné“ (možnost nechat si legalizovat na úroveň uznávaného elektronického podpisu třeba i prostý elektronický podpis). Či snad ještě kontroverznější možnosti veřejně deklarovat, že konkrétní kvalifikovaný certifikát pro elektronický podpis je náš (jeho zápisem do základního registru obyvatel, § 6 odst. 2) – aby výsledný uznávaný elektronický podpis mohl mít stejné právní účinky jako v listinném světě podpis úředně ověřený.

Bankovní identita místo té státní, SONIA místo NIA

Také projekt tzv. bankovní identity, jehož legislativní podpora v závěru roku 2019 úspěšně prošla Poslaneckou sněmovnou, souvisí s dosavadní orientací českého eGovernmentu a jeho „zahleděním se do sebe“. Konkrétně s tím, že celý (národní) systém elektronické identifikace, vybudovaný státem a založený na nepřímém modelu – mimochodem v roce 2019 úspěšně notifikovaný u EK – je otevřen soukromoprávnímu sektoru jen z jedné strany, ale nikoli ze strany druhé.

Konkrétně je otevřen pro soukromoprávní subjekty v roli „poskytovatelů identity“ (IdP, Identity Provider). Fakticky spíše v roli poskytovatelů autentizace, kteří ověřují primárně to, zda je ověřující se osoba skutečně tím, za koho se vydává. To proto, že skutečná (elektronická) identita je v celém tomto „státním“ řešení jen jedna, je garantovaná státem a je uchovávána v základním registru (obyvatel). A poskytuje ji jediný skutečný poskytovatel identity, kterým je tzv. Národní bod pro identifikaci a autentizaci (NIA) v roli prostředníka.

Díky tomuto „otevření na jedné straně“ je možné, aby se i banky zapojily do státního řešení v roli těch, co „ověřují, že jste skutečně tím, za koho se vydáváte“. Výsledným efektem pak bude to, že lidé se budou moci přihlašovat k veřejnoprávním službám (neboli: ke službám veřejnoprávních poskytovatelů, jakými jsou například datové schránky, Portál občana, e-portál ČSSZ a další) pomocí svých přihlašovacích údajů, které už mají od své banky a kterými se zatím přihlašují jen ke svému bankovnímu účtu (v rámci internetbankingu). Ovšem jen k takovým službám, které jsou ochotné se spokojit s úrovní záruky „značná“ – protože podle dostupných informací banky aspirují právě na tuto úroveň, a nikoli na úroveň „vysoká“ (jakou má např. nová elektronická občanka, vydávaná od poloviny loňského roku).

Jinými slovy: onomu „státnímu řešení“ tak přibude cca 5,5 milionu potenciálních uživatelů. Dnes jich má podstatně méně, velmi hrubým odhadem nižší stovky tisíc. A to jde stále jen o potenciální uživatele, s možností přihlásit se do státního řešení a využít některou ze zde poskytovaných služeb (na úrovni nízká či značná). Kolik bude těch, kteří tuto možnost skutečně využijí (či spíše: budou nějak systematičtěji využívat), je samostatnou otázkou.

Nicméně: i když se někdo bude moci přihlásit do státem vybudovaného řešení, stejně zde nenajde služby poskytované soukromoprávními (komerčními) poskytovateli. Jedinou výjimkou snad alespoň do budoucna budou samy banky a další instituce, kterým zákon přikazuje ověřovat totožnost jejich zákazníků – protože takovéto subjekty stát bude muset do svého řešení pustit. To proto, že jim to vlastně sám ukládá jako povinnost, cestou zákona. Ale třeba pro různé e-shopy či služby (portály) různých prodejců, poskytovatelů služeb, operátorů, utilit apod. bude státní řešení nejspíše navždy zavřené.

Je to obdobná situace, jako kdyby v tradičním světě stát, vydávající osobní doklady svým občanům, záměrně znemožňoval prokazovat se jimi vůči soukromoprávním subjektům. Například při ubytovávání se v hotelu či při nákupu (nebo konzumaci) alkoholu, kdy je třeba prokázat věk, apod.

Nicméně i tento problém chce bankovní identita vyřešit – tím, že vedle „státního řešení“ postaví paralelně ještě jedno, a to „soukromoprávní“. Tedy takové, které bude otevřené pro všechny komerční poskytovatele služeb (SeP, Service Provider). Opět přitom bude vycházet z nepřímého modelu, který předpokládá existenci prostředníka mezi (nyní již skutečnými) poskytovateli identity na straně jedné a poskytovateli služeb na straně druhé.

Místo národního bodu pro identifikaci a autentizaci (zkratkou NIA) bude v rámci soukromoprávního řešení oním prostředníkem tzv. SONIA (zkratkou od „SOukromoprávní NIA“). Rozdíl mezi nimi bude v tom, že zatímco NIA je skutečným poskytovatelem identity, navíc v rámci státního řešení jediným, SONIA žádné identity udržovat ani poskytovat nebude. Bude jen jakousi inteligentní výhybkou mezi bankami, které zde budou již skutečnými poskytovateli identity (a budou je tedy udržovat a poskytovat), a komerčními poskytovateli služeb. Díky takovéto „výhybce“ si pak budete moci vybrat například to, zda se do e-shopu XY přihlásíte pomocí svých přihlašovacích údajů k účtu u banky A, nebo k účtu u banky B.

Datové schránky po 10 letech

Datové schránky byly spuštěny v roce 2009. Na tom nic nemění ani skutečnost, že různé zdroje uvádí dvě různá data pro zahájení jejich provozu, protože obě naštěstí spadají to téhož kalendářního roku: k 1. červenci 2009 došlo k jejich „spuštění“ a k 1. listopadu 2009 pak nastal jejich „ostrý start“ – což reálně znamenalo, že došlo k aktivaci těch datových schránek (zřizovaných ze zákona již od 1. 7. 2009), které si jejich držitelé neaktivovali sami.

Když pak v letošním roce (konkrétně 7. 11. 2019) Ministerstvo vnitra připomínalo desáté výročí jejich spuštění, vztáhlo jej k ostrému startu 1. listopadu 2009, a nikoli k 1. červenci 2009.

Současně vnitro uvedlo, že:

Celková investice do celého systému je zhruba 3,5 miliardy korun.

To nemusí být v rozporu s částkou kolem 6 miliard korun za 10 let provozu datových schránek, ke které jsem došel v tomto článku zde na Lupě. To proto, že samotné datové schránky (ve smyslu HW a SW) nepatří státu, ale jsou jím využívány jako služba, poskytovaná konkrétním poskytovatelem (Českou poštou), dnes podle aktuálně platné smlouvy (podrobněji viz zmiňovaný článek). A výše uvedený citát nemluví o provozních nákladech, nýbrž o investicích (nejspíše do nějakých doprovodných řešení).

Zajímavým aspektem datových schránek, který souvisí s jejich stářím (dobou jejich vzniku, resp. spuštění), je i to, že moc nezapadají do dnešních požadavků na úrovně záruky či způsoby přihlašování (skrze výše popisované „státní řešení“ s prostředníkem NIA) a moc neladí ani se stávajícím zákonem č. 250/2017 Sb., o elektronické identifikaci.

Dobře vidět je to už na skutečnosti, že drtivá většina uživatelů se k datovým schránkám stále přihlašuje tím nejméně bezpečným způsobem – pomocí uživatelského jména a (opakovaně použitelného) hesla. To, v intencích nařízení eIDAS a našeho zákona č. 250/2017 Sb., může odpovídat jen úrovni záruky „nízká“ (již jen proto, že vyšší úrovně vyžadují vícefaktorovou autentizaci).

Ovšem nízká úroveň záruky, určená jen pro úkony, kde nehrozí větší nebezpečí ani větší škody, vůbec nekoresponduje s tím, jak závažné dopady může mít právní jednání činěné skrze datovou schránku. Navíc ještě ve světle stanoviska pléna Nejvyššího soudu Plsn 1/2015, podle kterého se příjemce vlastně ani nemusí zajímat o to, kdo konkrétně mu skrze datovou schránku posílá něco nepodepsaného (protože rozhodující je, z které datové schránky to přichází).

S určitou snahou o nápravu přišel v listopadu 2019 zákon č. 279/2019 Sb., kterým se mění některé zákony na úseku vnitřní správy. Stanovil totiž, že vedle stávajících možností přihlašování do datové schránky (prostřednictvím přihlašovacích údajů či prostředků, které vydává resort vnitra), je možné ještě přihlášení pomocí prostředků i od třetích stran – ale jen s úrovní záruky „vysoká“ (§ 9 odst. 3 zákona č. 300/2008 Sb.).

prostřednictvím přístupu se zaručenou identitou s využitím prostředku pro elektronickou identifikaci s vysokou úrovní záruky (dále jen „přístup s vysokou úrovní záruky“)

Obdobně došlo i k novelizaci dalších ustanovení tak, aby nově bylo možné požádat o znepřístupnění datové schránky, o zneplatnění přístupových údajů či o zřízení datové schránky FO, PFO a PO též pomocí onoho „přístupu s vysokou úrovní záruky“. Což je dnes reálně pouze nová elektronická občanka.

Nicméně až nabude účinnosti nový zákon o právu na digitální služby, skrze svůj § 21 (novelizující zákon č. 300/2008 Sb.) opět změní čerstvě přidaný požadavek na vysokou úroveň záruky – a nově bude požadovat použití „kvalifikovaného prostředku“. To když celý výše citovaný úryvek (o „přístupu s vysokou úrovní záruky“) nahradí následujícím zněním:

s využitím prostředku pro elektronickou identifikaci vydaným v rámci kvalifikovaného systému elektronické identifikace (dále jen „přístup pomocí kvalifikovaného prostředku“)

Zde je dobré vědět, že takovýto „prostředek pro elektronickou identifikaci, vydaný v rámci kvalifikovaného systému elektronické identifikace“ nemá předepsanou žádnou úroveň záruky. Musí u něj být stanovena a řádně deklarována – ale neříká se, jaká musí být. Takže to může být i úroveň „nízká“ (nebo „značná“, jako u prostředku „Jméno, heslo a SMS“ od NIA, či „vysoká“ u nových elektronických občanek). Pouze u zahraničního prostředku je vyžadována alespoň úroveň nízká.

To mi nepřijde úplně správné: čerstvě zavedený požadavek na úroveň „vysoká“ je fakticky eliminován a nahrazen úplnou absencí jakýchkoli požadavků na úroveň záruky. Určitou logiku by snad mohlo mít snížení úrovně z „vysoké“ na „značnou“ tak, aby se zde daly použít prostředky vydávané bankami (viz výše popisovaný projekt bankovní identity). Ale takto se – na úrovni zákona – připouští i úroveň nízká.

Ke stejné změně (eliminaci požadavku na úroveň záruky) přitom dochází i u dalších úkonů, konkrétně u již zmiňovaných žádostí o znepřístupnění schránky, zneplatnění přístupových údajů, a dokonce i žádostí o zřízení datových schránek.  

Navíc se nově zaváděný pojem „kvalifikovaný prostředek“ bude určitě plést s „kvalifikovaným prostředkem“ (pro vytváření elektronických podpisů či pečetí) z nařízení eIDAS. Za zdůraznění přitom stojí, že u elektronických podpisů a pečetí se přívlastek „kvalifikovaný“ vztahuje primárně k vlastnostem samotného prostředku – zatímco u přihlašování se stejný přívlastek vztahuje k prostředí, ve kterém je vydáván (a k subjektu, který jej vydává). Ale nikoli k jeho „síle“ (úrovni záruky) a dalším vlastnostem – což možná legislativcům hned nedošlo.

Stejně tak je vhodné si uvědomit, že datové schránky dnes plní dvě role současně: kromě přenosu datových zpráv fungují i jako jakýsi další systém elektronické identifikace (paralelně k tomu výše popisovanému, v jehož středu stojí NIA). Reálně se to projevuje tím, že třeba při přihlašování k Portálu občana (stejně jako k řadě dalších veřejnoprávních služeb) máte na výběr ze dvou „státních“ možností (provozovaných státem): buď se můžete přihlásit přes NIA (resp. přes její portál na adrese e-identita.cz), nebo „přes datové schránky“.  

Je to tedy duplicitní řešení, které je navíc omezeno tím, že cesta „přes datové schránky“ je omezena jen na ty, kteří jsou držiteli vlastní datové schránky (nestačí být například oprávněnou či pověřenou osobou, případně administrátorem).

Zástupci MV ČR se nedávno nechali slyšet, že do budoucna zvažují spojení obou dosud oddělených řešení:

rozhodneme o propojení identitních systémů NIA a ISDS pravděpodobně formou převedení kmene na NIA, převedeny budou pravděpodobně přímo některé prostředky

Zatím ale reálné kroky jdou spíše opačným směrem. Například když v červnu 2019 vnitro spustilo docela šikovný „mobilní klíč“ pro přihlašování (podrobněji) – ale bohužel jen pro přihlašování k datovým schránkám. A teprve do budoucna se pracuje na možnosti jeho využití i pro přihlašování přes NIA.

Portál občana

Také Portál občana se v roce 2019 úspěšně rozvíjel. Přibyly mu nové služby, kterých už sám napočítal celkem 115. Nicméně je to tak trochu chlubení cizím peřím: větší část tohoto počtu představují služby, poskytované jinými portály a servery – a Portál občana na ně pouze odkazuje. Tedy umožňuje „prokliknout se na ně“, v lepším případě již včetně přihlášení (takže uživatel je již přihlášen do portálu, do kterého se proklikne).

Stále přitom platí, že většina těch služeb, které poskytuje Portál občana sám a které mají charakter poskytnutí nějakého dokumentu (nejčastěji s nějakým výpisem), je vázána na to, aby žadatel byl držitelem vlastní datové schránky. Navíc takové, která svým druhem odpovídá charakteru požadovaného výpisu: například pro výpis ze základního registru obyvatel potřebujete vlastní datovou schránku nepodnikající fyzické osoby, zatímco pro výpis ze základního registru osob potřebujete vlastní datovou schránku podnikající fyzické osoby.

Problémem totiž zůstává samotné předání takového dokumentu: jinak než přes datovou schránku to Portál občana zatím neumí. Přitom každý uživatel portálu na něm má určité místo pro ukládání svých vlastních dokumentů – a nejrůznější výpisy by se tak mohly předávat právě přes toto úložiště. Ale zatím to tak nefunguje.

A tak se přímo na portálu rozvíjí – a jsou dostupné všem uživatelům, včetně těch bez datové schránky – spíše takové služby, které své výstupy přímo zobrazují na stránkách Portálu, místo toho, aby je vracely v podobě samostatného dokumentu (obvykle v PDF formátu).

Tímto způsobem, tedy přímým zobrazením, jsou dnes na Portálu zobrazovány například výpisy z registru živnostenských oprávnění, z katastru nemovitostí či aktuální stav bodového konta řidiče. Bez potřeby datové schránky už ukazuje i výčet spáchaných dopravních přestupků. Stejně tak dokáže portál mailem (a tedy také bez nutnosti datové schránky) informovat o konci platnosti osobních dokladů či o změně údajů v základních registrech.

V průběhu roku 2019 se Portál občana dočkal také dvou dalších, již poněkud kontroverzních inovací. První z nich jsem podrobněji popisoval v tomto článku zde na Lupě: jde o notifikace o dění v datových schránkách, ovšem zasílané nikoli samotnými datovými schránkami, ale Portálem občana. Pokud si takovouto možnost někdo aktivuje, Portál občana se za něj pravidelně přihlašuje k jeho datové schránce, aby mohl zjistit, zda došla (byla dodána) nějaká nová datová zpráva – a pokud ano, uživateli o tom zašle svou notifikaci, případně přepošle (e-mailem) i obsah samotné zprávy. Jenže svým (opakovaným) přihlašováním k datové schránce způsobí současně i doručení takovéto datové zprávy – což asi málokdo chce.

Pravdou je, že před aktivací této možnosti jsou uživatelé na její důsledky důrazně upozorňováni. Ale proč vůbec někdo vynakládal úsilí (a prostředky) na takovouto službu, která má takovéto nevýhody, a oproti notifikacím přímo od datových schránek vlastně nepřináší nic moc nového? Tedy kromě oné možnosti přeposlání na mail.

Také druhá inovace je poněkud „zvláštní“. Jde o komunikačního asistenta (jménem Lev), který se na Portálu občana ozývá před přihlášením uživatele a který je prezentován jako chatbot. Ve skutečnosti to ale žádný chatbot (v obvyklém slova smyslu) není, protože neodpovídá na uživatelem zadané otázky. Pouze nabízí možné varianty předem připravených otázek, na které pak poskytuje předem připravené odpovědi. A ty jsou cíleny hlavně na začínající uživatele a na potřeby jejich přihlašování k samotnému Portálu.

Na druhou stranu je to alespoň nějaká pomoc pro uživatele. Zatím jediná, protože celý Portál občana jinak nemá žádnou nápovědu, ale ani jinou uživatelskou dokumentaci, ze které by se dalo vyčíst například to, jak vlastně funguje a co nabízí. Uživatel je tak odkázán na „průzkum bojem“, což u takovéhoto portálu, určeného nejširší veřejnosti a prezentovaného jako určitá vlaková loď českého eGovernmentu, rozhodně není na místě. Ale možná je to naopak symbolické.