Český eGovernment v roce 2020: spam v datových schránkách a nové klíče k NIA
Datové schránky ve dvou vlnách zaplavil spam, NKÚ si nebralo servítky a možnosti přihlašování přes NIA se významně rozrostly. A to ještě nepřišla bankovní identita.Rok 2020 si nejspíše budeme všichni dlouho pamatovat jako dobu poznamenanou nákazou COVID-19. Oblast eGovernmentu jí ale poznamenána zase až tak moc nebyla. Tedy až na jednu výjimku, kterou bylo opakované zaplevelení datových schránek spamem. To když se v době nouzového stavu daly poštovní datové zprávy posílat zdarma a pár subjektů tuto možnost promptně zneužilo. Naopak se naskytly nové příležitosti pro spolupráci soukromého sektoru se státem, například kolem Chytré karantény a eRoušky.
Nejvyšší kontrolní úřad v roce 2020 zveřejnil své kontrolní závěry z oblasti eGovernmentu za roky 2012 až 2019. Moc pozitivně ale nevyzněly. Stejně jako různá mezinárodní hodnocení, ve kterých náš eGovernment neobsazuje zrovna ty nejvyšší příčky.
Jinak v roce 2020 postupně přibývaly další možnosti přihlašování k online službám eGovernmentu: karta Starcos, mojeID a Mobilní klíč eGovernmentu. Naopak tzv. bankovní identita se po celý rok 2020 stále teprve připravovala. A již dnes je zřejmé, že až banky na pole elektronické identifikace skutečně vstoupí, nejspíše hned na začátku roku 2021, nepotáhnout za jeden společný provaz. Místo toho se na bankovní scéně již stačily zformovat dva tábory, které hodlají prosazovat svá vlastní řešení.
Až bude bankovní identita skutečně spuštěna, slibuje zpřístupnit služby eGovernmentu až 5,5 milionu uživatelů (kteří získají možnost přihlásit se k těmto službám prostřednictvím své bankovní identity). V Poslanecké sněmovně se na ně ale již chystá past: pokud ještě nemají vlastní datovou schránku nepodnikající fyzické osoby, bude jim automaticky zřízena, jakmile se pomocí své elektronické identity poprvé někam přihlásí.
S účinností od 1. 7. 2021 s tím počítá legislativní návrh s poetickým názvem DEPO (zřejmě od: Další Elektronizace Postupů OVM), který již ve sněmovně prošel prvním čtením, prvním úplným přepracováním (formálně: komplexním pozměňovacím návrhem) a aktuálně je terčem různých poslaneckých pozměňovacích návrhů.
Stejně tak DEPO chce, aby datová schránka (podnikající fyzické osoby) byla rovnou a ze zákona zřízena také všem podnikajícím fyzickým osobám (dosud je pro ně jen na žádost). A datová schránka právnické osoby všem osobám zapsaným v základním registru osob (dnes se to týká většiny právnických osob, ale ne úplně všech).
Ale vezměme to hezky popořadě.
Dálniční známky za 401 mega?
Hned v polovině ledna 2020 rozvířily poklidné novoroční vody zprávy o chystaném přechodu na nový způsob prodeje dálničních známek. Ne snad, že by se někdo příliš podivoval nad tím, že vše by nově mělo být již jen elektronické. Údiv přinesla spíše informace o tom, na kolik by celá elektronizace dálničních známek měla vyjít: až na 401 milionů Kč. Sice ne jenom za samotný elektronický prodej (e-shop), nýbrž za celé komplexní řešení a jeho následný čtyřletý provoz. Ale i tak to mnoho lidí zvedlo ze židle. A jeden ministr o svou židli rovnou přišel.
Následovalo prudké vzedmutí ochoty pomoci státu, následované tradičním vystřízlivěním, aby se – již koncem roku 2020 – přeci jen nějaké státem vyvinuté řešení podařilo spustit. I když tak úplně hladký onen start také nebyl.
Český eGovernment to poznamenalo také v tom, že kvůli oné původní zakázce za 401 milionů, o které prý vláda nevěděla, nově musí být informována o všech ICT zakázkách nad 6 milionů a svůj souhlas k nim musí dát také Hlavní architekt eGovernmentu.
Zákon o právu na digitální služby
K 1. únoru 2020 nabyl účinnosti nový zákon č. 12/2020 Sb., známější jako zákon o právu na digitální služby. Očekávání spojená s tímto vítězem ankety o Zákon roku 2019 byla obrovská – ale asi ne úplně každý si uvědomil, že pokud nějaké změny skutečně přijdou, nebude to úplně hned. A také to s nimi nebude nijak snadné.
To proto, že ustanovení, která něco reálně mění, mají vesměs odloženou účinnost. Jako například právo na osvědčení digitálního úkonu, právo na využívání údajů či třeba tzv. legalizace elektronických podpisů, budou platit až od 1. 2. 2022. Nebo až od 1. 7. 2022, jak navrhuje již zmiňované DEPO.
A mnohé další vysněné možnosti zase čekají (celý rok) na sestavení katalogu služeb a jejich následnou postupnou digitalizaci v horizontu dalších čtyř let. Na první pohled do katalogu si tak musíme ještě nějakou chvíli počkat (do 1. 2. 2021) – i když dobře informované kruhy již dnes signalizují, že tvůrci katalogu to vzali skutečně od Adama. Tedy, přesněji: od Antarktidy.
Je vidět, že evidence a vytváření digitálních služeb pro občany se bere od podlahy ??
— Kamil Zmeškal ? (@KamilZm) December 3, 2020
PS: Katalog služeb bych nepřál ani tomu nejvetšímu byrokratu, zvrhává se to do šílenosti typu "čím víc proužků...". Slova kolegyně "To je světelné roky za hranici selského rozumu :(" pic.twitter.com/udpq8NOvPq
S nouzovým stavem přišel spam
V březnu 2020 vláda vyhlásila kvůli covidu nouzový stav. A se záměrem usnadnit lidem elektronickou komunikaci rozhodla svým usnesením č. 275 ze 23. 3. 2020 i o tom, že po dobu nouzového stavu budou tzv. poštovní datové zprávy zdarma. Normálně totiž stojí 15 Kč (včetně DPH) za kus. A hned se našli tací, kteří této možnosti zneužili.
Jen pro připomenutí si zdůrazněme, že skrze systém datových schránek se přenáší dva druhy datových zpráv: ony poštovní datové zprávy (zkratkou PDZ) a pak datové zprávy bez přívlastku (zkratkou DZ, někdy neformálně označované také jako „veřejnoprávní“). Za ty druhé (tj. „veřejnoprávní“) platí stát, takže odesilateli se mohou jevit jako odesílané zdarma. Jenže pokud jste fyzická (či právnická osoba), odeslat je můžete jen některému orgánu veřejné moci (úřadu atd.). Pokud chcete něco poslat datovou schránkou jiné fyzické či právnické osobě (např. bance, operátorovi atd.), potřebujete na to onu poštovní datovou zprávu. Za tu ale už platíte vy, jako odesilatel, oněch 15 Kč. A platíte je přímo provozovateli systému datových schránek, kterým je Česká pošta.
Zpoplatnění každé jednotlivé poštovní datové zprávy do té doby efektivně chránilo celý systém datových schránek před spamem. Tedy až na tento drobný incident z roku 2012, kdy Česká pošta skrze datové schránky propagovala svou komerční službu Datový trezor.
Jakmile ale zábrana v podobě 15 Kč za zprávu padla, začala se v datových schránkách záhy rychle objevovat první nevyžádaná sdělení. A nezabránilo tomu ani ustanovení o přestupcích v zákoně č. 300/2008 Sb., které hrozí pokutami až 10 000 Kč pro rozesilatele spamu, který je fyzickou osobou, a až 10 milionů pro podnikající fyzickou osobu či právnickou osobu.
Dnes, s odstupem času, již víme, že ministerstvo vnitra skutečně udělilo „téměř 20 pachatelům“ v přestupkovém řízení pokuty celkem za 4,5 milionu Kč. To jsou ale čísla jen za „jarní“ nouzový stav a spamy rozesílané během tehdejšího nouzového stavu.
Připomeňme si v této souvislosti, že problematika nevyžádaných obchodních sdělení (spamu) obecně spadá do gesce Úřadu pro ochranu osobních údajů. Nicméně datové schránky mají v tomto ohledu speciální právní úpravu (skrze již zmiňovaná sankční ustanovení zákona č. 300/2008 Sb.), která přiděluje příslušné pravomoci (resp. povinnost řešit problém) Ministerstvu vnitra ČR. Proto i nahlašování spamu v datových schránkách, ze strany příjemců musí směřovat k MV ČR, a nikoli k ÚOOÚ. Nejjednodušší je asi využít přímo infolinku či ePoradnu samotných datových schránek.
To bylo důležité i koncem roku 2020, kde byl opět vyhlášen nouzový stav a celá situace se bohužel opakovala. Vláda opět rozhodla o tom, že poštovní datové schránky budou znovu zdarma, a opět se našli tací, kteří si to vyložili jako vhodnou příležitost, jak zdarma zpropagovat své podnikání.
Mohu-li soudit podle obsahu vlastní datové schránky, tentokráte už byl resort vnitra připravenější a v konkrétních případech zřejmě zasahoval přeci jen rychleji. Alespoň v mém případě totiž vlna spamu sice rychle vzplála, ale pak zase docela rychle opadla.
V nouzovém stavu i bez elektronického podpisu
Možnost odesílat poštovní datové zprávy zdarma nebyla jedinou aktivitou směřující k usnadnění a upřednostnění komunikace a právního jednání elektronickou cestou během koronavirové krize, kdy „osobní“ jednání nebylo žádoucí.
Další opatření se objevilo například v § 7 odst. 5 zákona č. 159/2020 Sb., o kompenzačním bonusu, a spočívalo v tom, že příslušnou žádost bylo možné poslat (v elektronické podobě) i bez řádného elektronického podepsání (tj. formou uznávaného elektronického podpisu). Třeba jen jako prostou naskenovanou kopii (vlastnoručně podepsané) listinné žádosti.
Podobně MPSV již během jarního nouzového stavu umožnilo dočasně podávat různé žádosti elektronicky bez (uznávaného) elektronického podpisu (podrobněji) a obdobně se zachovalo i během druhé vlny.
Všechno to ale byla dočasná opatření s konkrétně vymezeným dosahem (pro konkrétní právní úkony), kde lze rizika a dopady případného zneužití udržet pod kontrolou. Nejednalo se o obecná opatření, aplikovatelná na jakékoli právní úkony či právní jednání bez ohledu na to, čeho se týká a „co je ve hře“.
Objevily se nicméně i návrhy jdoucí tímto směrem – zjednodušit elektronickou podobu komunikace trvale a univerzálně. Tedy bez ohledu na to, čeho se týká a „co je ve hře“. Právě takto rozumím návrhu, se kterým v červnu přišla platforma Rozumné právo a v říjnu jej dále rozvedla zde.
Takovéto trvalé a univerzálně zaměřené slevování ze stávajících požadavků, s cílem maximálního zjednodušení pro uživatele, by ale – alespoň podle mého názoru – bylo přímým opakem toho, co se děje v technických oborech (a třeba i v bankovním právu). Ty totiž cítí potřebu reagovat naopak na vyšší rizika zvyšováním svých požadavků na zabezpečení, spolehlivost a průkaznost nejrůznějších transakcí, úkonů či jednání.
Chabý rozvoj eGovernmentu podle NKÚ
V červenci 2020 zveřejnil Nejvyšší kontrolní úřad (NKÚ) svůj Kontrolní závěr z kontrolní akce NKÚ č. 19/14. Čím se kontroloři zabývali, vyplývá již z názvu kontrolní akce: „Zavedení elektronické identifikace a zajištění elektronického přístupu ke službám veřejné správy“. Kontrolováno bylo období od roku 2012 do roku 2019 a závěry nejsou pro kontrolované subjekty (MV ČR, Správu základních registrů a Národní agenturu pro komunikační technologie, zkratkou NAKIT) úplně příznivé.
NKÚ například konstatuje, že:
Kontrolované osoby systém elektronické identifikace a Portál občana úspěšně zrealizovaly po technické stránce s vynaložením cca 246 mil. Kč. Přesto elektronizace služeb veřejné správy postupovala do konce roku 2019 pomalu.
I přes spuštění nových nástrojů hodnotí NKÚ dosavadní rozvoj eGovernmentu z pohledu zajištění elektronického přístupu k digitálním službám veřejné správy jako nedostatečný, neboť se MV nepodařilo zajistit širokou nabídku dostupných služeb ani významně rozšířit okruh občanů, kteří je aktivně využívají. Výrazného zlepšení v možnostech řešit životní situace občanů bez nutnosti osobní návštěvy úřadu MV realizací elektronické identifikace a Portálu občana nedosáhlo.
NKÚ si mj. všimlo i toho, co jsem sám na stránkách Lupy také opakovaně kritizoval: že vnitro se při propagaci Portálu občana chlubí cizím peřím, když do poskytovaných služeb zahrnuje i ty, na které se Portál pouze odkazuje (tj. uživatele na ně jen přesměrovává) a sám není poskytovatelem těchto služeb:
V průběhu kontroly tak MV prezentovalo na Portálu občana 100 dostupných služeb. Do tohoto počtu však zahrnulo také služby jiných portálů státní správy a územních samosprávných celků, přičemž Portál občana v tomto případě funguje jako rozcestník umožňující přesměrování na tyto jednotlivé portály. Funkci přesměrování na portály orgánů veřejné správy započítal NKÚ jako jednu službu a vyhodnotil, že Portál občana v průběhu kontroly nabízel pouze 29 služeb státní správy s celostátním dosahem a 9 služeb územních samosprávných celků.
Stále chybí služby i osvěta
Jedna z výtek, kterou NKÚ vznesl vůči kontrolovaným subjektům, je, že si neudělali průzkum toho, o jaké služby mají lidé největší zájem – a prý „existuje tak riziko, že přednostně budou na Portál občana umísťovány služby, které občané nevyhledávají, jsou však jednodušší na implementaci“.
Pravdou je, že skutečně nových služeb, které by poskytoval sám Portál občana, v poslední době přibylo jen relativně málo: hlavně možnost získání výpisu z trestního rejstříku bez datové schránky, možnost podat trestní oznámení a možnost získat potvrzení o studiu. A také možnost zasílání notifikací o událostech v kalendáři (kde ve svém případě vidím jen konec platnosti řidičského průkazu). Zhodnoťte si sami, zda jsou to z vašeho pohledu ty nejžádanější služby.
NKÚ kritizoval také nízké počty uživatelů služeb eGovernmentu a jako další důvod (vedle širší nabídky skutečně požadovaných služeb) uvedl i chybějící osvětu:
Příčina nízkého počtu uživatelů může spočívat také v nedostatečné propagaci existujících nástrojů eGovernmentu. MV se do ukončení kontroly nepodařilo spustit plánovanou komplexní informační kampaň k eOP a Portálu občana, a to i přesto, že nízké povědomí občanů o nabídce a funkcích elektronických služeb veřejné správy identifikovalo již v roce 2016 v závěrečné evaluaci strategie Smart Administration.
S osvětou ze strany veřejného sektoru je to skutečně dosti špatné. V poslední době se ji vnitro snaží zlepšit alespoň pomocí videonávodů a záznamů z různých konferencí a seminářů na svém videokanálu na YouTube či na videokanálech Chci datovku a eGov. Odstartoval dokonce i Q&A videoseriál s názvem „Ptejte se Romana Vrby“. Počty odběratelů a počty zhlédnutí u jednotlivých videí jsou ale dosti přesnou metrikou, která zatím nevypovídá o významnějším dopadu na širší veřejnost.
Přichází bankovní identita. Pomůže?
S osvětou týkající se služeb eGovernmentu by do budoucna mohly pomoci i banky, a to kvůli jejich vlastním aktivitám na poli tzv. bankovní identity. Protože když už banky „do toho jdou“ a investují své úsilí i prostředky, pak snad lze očekávat, že budou aktivně zainteresovány i na úspěchu celého projektu a na tom, aby jej lidé využívali. Jinými slovy: snad budou mít zájem naučit uživatele používat jejich elektronickou bankovní identitu a motivovat je k jejímu používání. A tím i k používání služeb eGovernmentu, kam bankovní identita (také) „povede“. Snad se jim osvěta bude dařit lépe, než jak se dosud dařila veřejnému sektoru.
Připomeňme si jen velmi stručně (podrobněji např. zde), že tzv. bankovní identita jsou vlastně dvě různé věci současně: možnost přihlašování přes NIA ke službám eGovernmentu (a do budoucna i k těm službám soukromoprávních subjektů, u kterých zákon ukládá povinnost ověření totožnosti přes kvalifikovaný systém elektronické identifikace). Zde, tedy „přes NIA“, bude přihlašování pomocí bankovní identity soupeřit s dosavadními možnostmi – pomocí eOP či NIA ID, s kartou Starcos, pomocí mojeID a skrze Mobilní klíč eGovernmentu.
K ostatním službám komerčních subjektů ale cesta „přes NIA“ nepovede – a tak bude existovat ještě druhá větev, o které se dosud předpokládalo, že povede „přes SONIA“, což měla být jakási paralelní „soukromoprávní NIA“. To ale vycházelo z předpokladu, že banky zvolí jednotné (technické a organizační) řešení.
V roce 2020 se na přípravách bankovní identity jistě pilně pracovalo (s horizontem spuštění počátkem roku 2021). Nicméně již v průběhu roku se ukázalo, že původně předpokládaná jednota na straně bank nejspíše nebude. Stačily se totiž zformovat již dva různé tábory: tři největší banky (Česká spořitelna, ČSOB a Komerční banka) založily akciovou společnost Bankovní identita, a.s., zatímco další tři banky (Air Bank, Fio banka a Moneta) založily vlastní Alianci pro bankovní identitu.
Na první pohled by to pro koncové uživatele nemuselo být až tak podstatné, protože ti se budou vždy přihlašovat „tou svou“ bankovní identitou a každá banka bude poskytovat své identitní služby „sama za sebe“. Při přihlašování „přes NIA“ bude již z principu fungování národního bodu (NIA) lhostejné, kam (ke kterému poskytovateli služby, SeP) se kdo přihlašuje – a tak jakmile se někdo bude moci „se svou“ bankovní identitou přihlásit k NIA, dostane se ke všem veřejnoprávním službám, které jsou přes NIA dostupné s tou úrovní záruky, kterou jím použitý prostředek má (nejčastěji by se mělo jednat o úroveň „značná“).
Společné řešení všech bank pak mělo zajistit, aby to obdobně platilo i pro přihlašování ke komerčním, resp. soukromoprávním poskytovatelům služeb (přes „soukromoprávní NIA“, alias SONIA). Kromě společné technické implementace prvku SONIA tak šlo hlavně o vyjednávání vůči těmto soukromoprávním poskytovatelům služeb: aby když se některý z nich rozhodne využít přihlašování pomocí bankovní identity a „plácne si“ s tím, kdo ve vzájemném jednání zastupuje všechny banky společně, aby to představovalo dohodu se všemi bankami. V tom smyslu, aby se k takovémuto (soukromoprávnímu) poskytovateli mohli přihlašovat uživatelé prostřednictvím kterékoli bankovní identity.
Jinými slovy a z opačného pohledu: společné řešení mělo zajistit, aby se „držitelé“ konkrétních bankovních identit mohli přihlašovat ke stejným službám soukromoprávních poskytovatelů, nezávisle na tom, jakou použijí bankovní identitu. Ještě jinými slovy: aby nezáleželo na tom, u které banky jsou.
Nicméně se dvěma různými řešeními to takto dopadnout nemusí. Konkrétní soukromoprávní poskytovatel (např. e-shop, operátor, utilita apod.) se může domluvit s jednou skupinou bank, ale už se nemusí domluvit i s tou druhou – a pak se k jeho službám půjde přihlásit s některými bankovními identitami, ale s jinými nikoli.
Starcos, mojeID a Mobilní klíč
Zatímco bankovní identita se v roce 2020 teprve chystala, možnosti přihlašování ke službám eGovernmentu „přes NIA“ průběžně přibývaly. Dlouhou dobu, od spuštění NIA v polovině roku 2018 do května 2020, byly tyto možnosti vlastně jen dvě, a to nová elektronická občanka a kombinace „Jméno, heslo a SMS“. Ta druhá byla v průběhu roku 2020 v tichosti přejmenována na honosnější NIA ID.
Pak ale začaly přibývat další možnosti, formálně: kvalifikované prostředky, vydávané kvalifikovaným správcem kvalifikovaného systému elektronické identifikace, vždy s určitou konkrétní úrovní záruky. Prvním a dosud jediným dalším prostředkem s úrovní záruky „vysoká“ (vedle nové eOP) se v květnu stala karta Starcos s certifikátem od I.CA.
V září pak přibyla možnost přihlašování pomocí služby mojeID, zatím s úrovní „značná“. Tato možnost je zajímavá tím, že jako první je založena na otevřených standardech. To se konkrétně projevuje v tom, že uživatel si může sám vybrat, co použije jako druhý autentizační faktor (navíc k přihlášení do samotné služby mojeID). Může to být cokoli, co je certifikováno alespoň na úroveň L1 dle specifikací FIDO2. Nejenom hardwarový token, ale třeba také systém Hello v operačním systému Windows či mobil s operačním systémem Android. Reálně pak může stvrzovat svou identitu například heslem, PINem, gestem či otiskem prstu – podle toho, co koncové zařízení uživatele umožňuje.
Sdružení CZ.NIC, které službu mojeID provozuje, podpořilo její využití pro přihlašování ke službám eGovernmentu „přes NIA“ také vlastní kampaní #overenomojeid, v rámci které mohli zájemci získat certifikované hardwarové tokeny. Cílem bylo motivovat uživatele k tomu, aby si svůj prostředek (resp. účet u služby mojeID) propojili s NIA, a díky tomu se mohli přihlašovat je službám eGovernmentu. Za první dva měsíce tak učinilo na 2500 uživatelů.
V listopadu pak přibyla další možnost v podobě Mobilního klíče eGovernmentu. Jak jsem podrobněji popisoval zde na Lupě, jde vlastně o rozšíření původního mobilního klíče, kterým se (již od poloviny roku 2019) dalo přihlašovat k datovým schránkám – a nově jsou to vlastně dva mobilní klíče v jednom, pro přihlašování „přes NIA“ a nadále i k datovým schránkám. Dokonce s možností nastavení tak, aby klíč sloužil jen pro jedno, či druhé přihlašování, nebo pro obě dvě.
Novinky při zřizování datových schránek
Když v únoru 2020 nabyl účinnosti zákon č. 12/2020 Sb., o právu na digitální služby, změnil požadavky na zřizování nových datových schránek. Nikoli pokud jde o žádost v listinné podobě, ta musí být i nadále opatřena úředně ověřeným podpisem. Což je asi namístě, vzhledem k tomu, o jak významnou věc (a s jakými důsledky) jde. Ovšem v případě podání žádosti elektronickou cestou došlo k významnému snížení nároku na spolehlivost autentizace samotného požadavku: zatímco původně byla požadována úroveň záruky „vysoká“, nově není žádná konkrétní úroveň záruky požadována. Požadován je pouze kvalifikovaný prostředek (vydaný v rámci kvalifikovaného systému elektronické identifikace), ale už se nemluví o úrovni záruky, kterou by měl mít.
V úvahu tak (alespoň teoreticky) připadá i zřízení nové datové schránky někomu, kdo se přihlásí jen s úrovní záruky „nízká“. I takový uživatel (jehož skutečnou identitou si můžeme být jisti jen v míře „nízké“) by pak rovnou získal možnost přístupu do nové schránky a s ní i možnost činit závazné právní úkony jménem jejího držitele. Cílem ale nejspíše bylo vyjít vstříc úrovni záruky „značná“, na kterou aspiruje celá bankovní identita.
Poměrně záhy po této legislativní změně došlo i na praktické využití nové možnosti: jak jsem podrobněji popisoval zde na Lupě již v tomto článku z března, při přihlašování do datové schránky je uživateli nabídnuto okamžité zřízení nové datové schránky, pokud ji ještě nemá. Zpočátku to zřejmě fungovalo jen při přihlášení s úrovní záruky „vysoká“, ale později již i s úrovní „značná“.
Pro někoho, kdo datovou schránku ještě nemá, se tak otevřela cesta, jak ji snadno a rychle získat. Stačí mu přihlásit se kterýmkoli dostupným způsobem „přes NIA“ k webovému rozhraní datových schránek (na adrese https://mojedatovaschranka.cz) a pak už si jen vybrat, zda chce zřídit datovou schránku nepodnikající, či podnikající osoby. Případně, pokud jednu z nich již má, může si takto snadno zřídit tu druhou z nich.
Zdůrazněme si ale, že jde o možnost, resp. o nabídku, a nikoli o povinnost: přihlášený uživatel musí o zřízení nové datové schránky sám aktivně požádat (jedním kliknutím). Jinak pokračuje dál v tom, co původně dělat chtěl. A mimochodem, pokud si přeci jen nechá datovou schránku zřídit, může ji používat okamžitě, protože již nepotřebuje žádné specifické přihlašovací údaje (a přihlašuje se „přes NIA“).
Dejme si to ještě do souvislosti s plánovaným příchodem bankovní identity počátkem roku 2021: každý, kdo bude schopen využít svou bankovní identitu, si touto cestou bude moci snadno a rychle (vlastně okamžitě) zřídit vlastní datovou schránku, aniž by musel kamkoli chodit. Nebude muset ani čekat na zaslání přístupových údajů – už je ani nebude potřebovat, protože se bude moci přihlašovat přes NIA (právě svou bankovní identitou).
DEPO: Automatické zakládání datových schránek pro fyzické osoby i podnikatele
Teď si ale připomeňme to, co jsme si naznačili již v úvodu tohoto článku: že v Poslanecké sněmovně je připraven legislativní návrh (v rámci sněmovního tisku č. 765, neformálně tzv. DEPO), který chce změnit právě popsanou možnost na povinnost: tak, aby při prvním přihlášení („použití elektronické identifikace“) byla uživateli automaticky zřízena datová schránka nepodnikající fyzické osoby.
Přesněji: neměl to v úmyslu původní návrh novely, který prošel řádným připomínkovým řízením a existuje k němu i důvodová zpráva. Přichází s tím až komplexní pozměňovací návrh (ve verzi ze září i ve verzi z listopadu), který připomínkovým řízením neprošel a nemá ani důvodovou zprávu, která by popisovala odůvodnění takovéhoto kroku.
Konkrétní znění navrhované právní úpravy vypadá následovně:
§ 3
Datová schránka fyzické osoby
(1) Datovou schránku fyzické osoby zřídí ministerstvo bezplatně fyzické osobě, která je plně svéprávná, bezodkladně poté, co fyzická osoba poprvé použije prostředek pro elektronickou identifikaci vydaný v rámci kvalifikovaného systému elektronické identifikace (dále jen „kvalifikovaný prostředek“) vůči tomu, kdo umožňuje prokázání totožnosti podle zákona upravujícího elektronickou identifikaci.
Soudě podle navrhované dikce („kdo umožňuje…“, nikoli „kdo je povinen…“) by se mělo jednat skutečně o jakékoli přihlášení „přes NIA“, a ne pouze o přihlašování k některým konkrétním službám.
Zajímavé také je, že navrhované znění explicitně nepamatuje na případ, kdy přihlašující se uživatel již svou datovou schránku má. Ale zde by zřejmě nastoupilo jiné (již dnes existující) ustanovení o tom, že fyzická osoba má nárok na zřízení jen jedné datové schránky.
Podle jiného nově navrhovaného ustanovení by přihlašující se uživatel měl být „informován“ ze strany NIA (ve skutečnosti spíše varován) před tím, že mu bude nová datová schránka zřízena, a (snad) bude moci svůj pokus o přihlášení zrušit ještě dříve, než mu bude nová datová schránka skutečně zřízena.
Opravdu je ale něco takového zapotřebí? Tedy takovýmto způsobem nutit datové schránky i lidem, kteří je ještě nemají? Nic proti tomu, aby se co nejvíce zjednodušilo a zrychlilo zřizování datových schránek na žádost. Tedy těm, kteří si je zřídit chtějí. Ale zde nejde o možnost, resp. nabídku zřízení – ale o podmínku použití něčeho jiného (elektronické identifikace). Navíc způsobem, který si troufnu označit jako nalíčenou past.
Vzhledem ke skutečnosti, že zřízení vlastní datové schránky nepřináší jen benefity (přínosy), ale také určité povinnosti (například povinnost činit určité úkony výhradně již jen v elektronické podobě), mi to přijde nejenom nevhodné, ale i kontraproduktivní. Opravdu chceme lidi do elektronizace takovýmto způsobem nutit?
A to ještě není vše: návrh DEPO chce „vyřešit“ i podnikající fyzické osoby. Těm by se datová schránka (podnikající fyzické osoby) nově zřizovala přímo ze zákona (zatímco dnes je to na žádost). Stejně tak by datovou schránku právnické osoby zřídil ze zákona všem osobám, zapsaným v základním registru osob. Tedy skoro všem právnickým osobám.
Dobrou zprávou je snad jen to, že DEPO také chce, aby v datových schránkách nepodnikajících fyzických osob (a také spolků) zůstávaly datové zprávy dlouhodobě, a ne mazány po 90 dnech jako dnes:
„Ministerstvo zajistí uložení dodané datové zprávy v datové schránce spolku a v datové schránce zřízené na žádost fyzické osoby bez omezení a v jiných datových schránkách po minimální dobu.“