Jednu z nejvýznamnějších novinek, kterou eIDAS přináší, představuje vzájemné uznávání elektronické identifikace (eID). Zatímco u elektronických podpisů vychází Nařízení především z dnes již neplatné Směrnice č. 99/93/ES (byť jak psal Jiří Peterka, změn je zde i díky naší vnitrostátní úpravě více než dost), regulace eID představuje značné rozšíření oblasti regulace, byť ani zde Komise nestavěla na „zelené louce“ a navázala na výsledky především tzv. rozsáhlých pilotních projektů (LSP), zejm. projektu STORK 2.0 a e-SENS.
Vzájemné uznávání eID
Hlavní myšlenkou eIDAS v oblasti elektronické identifikace je v souladu se snahou o vybudování tzv. jednotného digitálního trhu umožnit vzájemné uznávání eID prostředku (typicky, ale ovšem nejen elektronické občanky). Velmi zjednodušeně řečeno, aby se např. Estonec, který má v České republice firmu, mohl se svojí elektronickou občankou přihlásit do datové schránky.
K dosažení tohoto stavu, který by měl nastat od 29. 9. 2018 (tedy přibližně za 2 roky), je však poměrně dlouhá cesta, která má podobně jako i u jiných oblastí eIDASu, mnoho kliček a některé věci nejsou tak přímočaré, jak se na první pohled může zdát.
Hned první věc, na kterou je třeba upozornit a která zároveň ukazuje, jak je třeba být při interpretaci eIDAS obezřetný, je skutečnost, že ono vzájemné uznávání se vztahuje na oznámené systémy elektronické identifikace. Pro výklad je (z mého pohledu bohužel) klíčové slovíčko „oznámené“, kdy po mnoha rozhovorech s lidmi z Evropské komise i ostatních států jsem dospěl k závěru, že eIDAS nestanoví povinnost oznámení národního systému, případně oznámení „prázdného schématu“, o čemž se hovořilo rovněž v rámci diskuzí o dlouhodobé udržitelnosti výstupů projektu STORK 2.0.
Při určování, ke kterým službám je nutné přihlašování cizích občanů umožnit, je dle eIDAS (čl. 6, odst. 1) jednak nutné, aby takovýto přístup existoval již na národní úrovni a zároveň, aby příslušný subjekt vyžadoval min. značnou nebo vysokou úroveň záruky, tj. především dvoufaktorovou autentizaci, jak píši dále.
Pokud se podle vnitrostátního práva nebo správní praxe pro přístup ke službě poskytované on-line subjektem veřejného sektoru v určitém členském státě vyžaduje elektronická identifikace s použitím prostředku pro elektronickou identifikaci a autentizace, je pro účely přeshraniční autentizace pro danou on-line službu uznán v tomto členském státě prostředek pro elektronickou identifikaci vydaný v jiném členském státě.
Příslušný subjekt veřejného sektoru používá v souvislosti s přístupem k dané on-line službě značnou nebo vysokou úroveň záruky.
Povinnost vzájemného uznávání eID se tak vztahuje na poměrně úzký okruh služeb e-Governmentu. eIDAS tedy nestanoví členským státům povinnost vydání elektronických dokladů, ani soukromému sektoru (např. e-shopům či bankám), aby umožnily přihlášení např. i zmíněnému Estonci. eIDAS však tuto možnost doporučuje (viz. recitál 17), neboť zkušenosti ze zemí jako je Estonsko, Lucembursko či Švédsko ukázaly, že úspěšný eID prostředek musí být občany využíván nejlépe každodenně, ne pouze v těch pár případech, kdy se hlásí k některé ze služeb e-Governmentu (často jen jednou za rok, když odesílají daňové přiznání).
Členské státy by měly podporovat soukromý sektor, aby pro účely identifikace, je-li u on-line služeb nebo elektronických transakcí zapotřebí, dobrovolně používal prostředky pro elektronickou identifikaci v rámci oznámeného systému.
Další diskutabilní věcí v rámci eIDAS je ono zářijové datum v roce 2018. Po poskládání všech střípků a částí eIDAS totiž vyplyne, že cesta k onomu vzájemnému uznávání eID trvá minimálně 18, spíše však 20 měsíců.
Podle čl. 7, písm. g) má oznamující členský stát povinnost minimálně 6 měsíců před oznámením národního systému eID Evropské komisi poskytnout popis svého eID systému ostatním členským státům. Evropská komise má pak (viz čl. 9, odst. 3) povinnost do dvou měsíců od oznámení zveřejnit daný systém v Úředním věstníku (obdoba naší Sbírky zákonů). Teprve od zveřejnění v Úředním věstníku mají členské státy (dalších) 12 měsíců na to, aby zahájily vzájemné uznávání, tj. např. upravily informační systém datových schránek tak, aby se do něj mohl svoji elektronickou občankou přihlásit již zmíněný Estonec podnikající v ČR.
Jak můžeme vidět, eIDAS nepracuje např. s telefonním číslem a e-mailem, kdy tyto atributy velmi často nejsou ani součástí základních registrů. Pokud si odmyslíme praktickou využitelnost údajů neobsahujících telefon či e-mail např. u e-shopu, tento omezený set může dělat problémy i při ztotožnění konkrétních uživatelů, kdy i mnoho systémů Evropské komise jako jednoznačný identifikátor využívá právě e-mailovou adresu.
Jedinečný identifikátor je pak vytvářen výhradně pro potřeby přeshraniční autentizace a nejedná se tak rozhodně o rodné číslo či uživatelské jméno do mojeID.
Co se týče provozovatele národních uzlů, jako jeden z mála požadavků stanoví prováděcí nařízení bezpečnostní požadavky vyplývající z ISO/IEC 27001 a (zde již neurčitě) povinnost instalace kritických bezpečnostních aktualizací (čl. 10).
Provozovatelé uzlů provádějících autentizaci musí certifikací nebo rovnocennými metodami posuzování či dodržováním vnitrostátních právních předpisů prokázat, že s ohledem na uzly účastnící se rámce interoperability uzel splňuje požadavky normy ISO/IEC 27001.
Provozovatelé uzlů provádějí bez zbytečného odkladu kritické bezpečnostní aktualizace.
Zajímavá otázka může nastat ohledně možného počtu uzlů v každé zemi. Byť by se to mohlo zdát logické, eIDAS nestanoví, že v každé zemi musí být právě jeden uzel a naopak Evropská komise v rámci financování prostřednictvím fondu Connecting Europe Facility připustila, že národních uzlů může být více. Česká republika je toho ostatně jako jediná země v EU příkladem.
Z praktického hlediska je však nutné si uvědomit, že více uzlů dává smysl pouze v případě tzv. sektorových uzlů (tj. např. specifického uzlu pro e-Health či daňové otázky), neboť každý národní uzel může odkazovat jen na jeden národní uzel v každé zemi. Při 28 členských zemích se tak jedná o celkem 378 vazeb (propojení), které se s případnými sektorovými uzly zvyšují.
Další možné vazby pak do celého systému může přinést vlastní architektura jednotlivých uzlů, kdy pod obecným pojmem „eIDAS uzel“ je třeba vnímat jeho dvě součásti – vlastní uzel (eIDAS-Service, v rámci STORKu označovaný jako C-PEPS), který zajišťuje propojení s jednotlivými poskytovateli identit (IdP), a tzv. eIDAS-Connector (S-PEPS), který zajišťuje propojení na lokální poskytovatele služeb (SP). A právě těchto eIDAS-Connectorů (pozor, nejedná se o totéž, co eIDASconnector vyvinutý v rámci e-SENS) může v jednom státě existovat více, např. dle oblastí (e-Health pro zdravotnická zařízení).
ČLÁNKY DO MAILU