Představte si tu situaci, kdy se vydáte na úřad vyřídit si nějakou záležitost, vystojíte si nebetyčně dlouhou frontu, a teprve až u přepážky zjistíte, že u sebe nemáte občanský průkaz. Co kdyby vám v tomto případě pro vaši záchranu stačilo pouze otevřít na svém mobilu aplikaci s QR kódem?
Hudba vzdálené budoucnosti? Ne, již od příštího roku by to měla být realita i v České republice.
Vláda totiž před dvěma týdny schválila návrh místopředsedy vlády pro digitalizaci na změnu zákona č. 12/2020 Sb., o právu na digitální služby. Návrh novely, který je nyní v Parlamentu, by měl od příštího roku umožnit prokazovat svou totožnost i jinak než prostřednictvím klasických papírových dokladů, a to mobilní aplikací eDoklady.
Jak bude e-Doklad fungovat? A jaký bude mít dopad na soukromé společnosti?
Digitální stejnopis průkazu, aneb fyzický doklad si i nadále ponechte
Návrh zákona zavádí tzv. digitální stejnopis průkazu, který bude představovat výpis z informačního systému veřejné správy o průkazu a jeho obsahu, včetně data jeho vystavení. Pozor, nejedná se o digitální originál daného průkazu. To znamená, že nevzniknou samostatně existující digitální průkazy, ale osoba bude i nadále muset disponovat též hmotnou podobou průkazu (například uloženou doma na bezpečném místě) a v případě, že vyprší platnost tohoto průkazu, tak bude mít povinnost ho vyměnit za nový průkaz v papírové podobě.
Cílem připravované právní úpravy totiž není nahradit stávající hmotné průkazy, ale zmírnit nesoulad mezi hmotnou (papírovou) a elektronickou podobou veřejných listin, kam mimo jiného spadají právě i průkazy vydané orgány státní správy. V současnosti lze jen u některých veřejných listin využít jejich elektronické podoby (např. rozsudek soudu, notářský zápis), u jiných to stále nelze, natož ve formě jejich digitálního stejnopisu (např. občanský průkaz, cestovní pas, řidičský průkaz).
Digitální stejnopis průkazu neboli výpis z daného informačního systému veřejné správy bude sloužit k prokázání totožnosti nebo jiné skutečnosti, která se prokazuje předložením hmotného průkazu, např. dosažení určitého věku pro nákup alkoholových a tabákových výrobků.
Jak získat digitální průkaz?
Půjde to velmi snadno. K obstarání digitálního stejnopisu průkazu nebude potřeba navštívit žádný úřad nebo jiné specializované místo, zařídit ho půjde odkudkoliv. Stačí mít jen chytrý mobilní telefon či tablet. Primárně bude nutné si na svoje mobilní zařízení nainstalovat mobilní aplikaci pro prokazování – eDoklady, která bude mít samozřejmě podporu jak pro iOS, tak Android a bude volně k sehnání na AppleStore a GooglePlay. Na základě požadavku učiněného v mobilní aplikace eDoklady a za pomoci ověření své totožnosti prostřednictvím některého z identifikačních prostředků s alespoň značnou úrovní záruky, kam lze zařadit např. mobilní klíč eGovernmentu, MojeID či bankovní identitu, bude držiteli dokladu Digitální a informační agenturou zpřístupněn jeho digitální stejnopis průkazu. Jedinou podmínkou je, že žadatel o digitální stejnopis průkazu musí disponovat některým z prostředků pro elektronickou identifikaci.
K prokázání totožnosti bude stačit chytrý telefon
Jak prokázat svoji totožnost digitálním stejnopisem průkazu?
Základ bude představovat šifrovaná komunikace mezi mobilní aplikací pro prokazování (aplikace eDoklady) na straně držitele dokladu (občana) a aplikací pro ověření ve čtecím zařízení na straně ověřujícího. Mobilní aplikace eDoklady bude prostřednictvím Portálu veřejné správy získávat výpis z informačního systému veřejné správy (digitální stejnopis průkazu) potvrzující jak existenci průkazu, tak pravost údajů v něm uvedených, včetně času vystavení stejnopisu. Požadované informace ve formě datového balíku se pak přenesou prostřednictvím Bluetooth do aplikace pro ověření.
Aplikace pro prokazování bude pouze v mobilní verzi. Aplikace pro ověřování bude nejen v mobilní, ale též v internetové verzi pro snížení vstupních nákladů na straně ověřujícího subjektu. Předaný datový balík pak bude moci zaměstnanec ověřujícího rovnou využít v rámci svých informačních systémů, aniž by údaje musel manuálně opisovat (dojde např. k propsání identifikační údajů občana do formuláře žádosti o vystavení řidičského průkazu).
Prokazování totožnosti se prostřednictvím mobilní aplikace eDoklady bude možné jen prezenčně, za fyzické přítomnosti jak ověřovaného, tak ověřujícího, nikoli pro distanční způsoby ověření totožnosti či jiných skutečností držitele průkazu. Z toho je jasné, že uplatnění najde aplikace eDoklady zejména u věcí řešených front-office.
Správcem a poskytovatelem mobilní aplikace pro dokazování a aplikace pro ověřování a též poskytovatelem digitálního stejnopisu bude Digitální a informační agentura, což je zřejmě vhodnější a bezpečnější řešení i z pohledu ochrany osobních údajů, neboť data „nepotečou“ přes žádný další subjekt. Na Digitální a informační agentuře též bude samotné funkční a technické řešení týkající se podpory aplikace a rovněž povede seznam všech ověřujících subjektů.
Nemáte mobilní data? Půjde to i bez nich
Prostřednictvím mobilní aplikace eDoklady se budou moci občané prokazovat i bez přístupu k internetu, tzv. offline. V návrhu zákona je totiž stanovena vyvratitelná domněnka ohledně důvěryhodnosti digitálního stejnopisu průkazu a dat v něm uvedených po dobu 48 hodin od jeho vystavení poskytovatelem. Internetové připojení je vyžadováno pouze pro nahrání digitálního stejnopisu průkazu do mobilní aplikace eDoklady, následná komunikace bude již probíhat s ověřujícím zařízením přes Bluetooth. Výjimku z tohoto pravidla mohou tvořit přepážková pracoviště, která budou disponovat internetovou verzí aplikace s povinností být připojeni k internetu.
eDoklady a zpracování osobních údajů
Zpracování osobních údajů při vydání digitálního stejnopisu průkazu bude, stejně jako při vydávání konkrétního fyzického průkazu, postaveno na splnění zákonné povinnosti podle čl. 6 odst. 1 písm. c) GDPR. Co se týká následného využití osobních údajů, ověřující subjekt musí pamatovat na to, že při ověřování informací z digitálního stejnopisu průkazu, včetně následného nakládání s nimi (např. propsaní a vedení osobních údajů ve své databázi) bude docházet ke zpracování osobních údajů držitelů průkazu. Ověřující subjekt, který disponuje osobními údaji, se stává správcem získaných osobních údajů a musí stejně jako při každém jiném zpracování dodržet všechny povinnosti stanovené v GDPR.
Účel zpracování předaných údajů bude shodný s účelem, pro který by byly zpracovávány osobní údaje získané z hmotného průkazu. Zpracování osobních údajů ověřujícím bude též na základě shodného právního titulu. Tím bude nejčastěji (ne však výlučně) splnění právní povinnosti správce. Správce též v souladu se zásadou transparentnosti musí plnit svoji informační povinnost vůči subjektu údajů (držiteli průkazu) ohledně zpracování jeho osobních údajů. Dále musí správce získané osobní údaje uchovávat jen po dobu nezbytné nutnou ke stanovenému účelu. Například při ověřování požadované věkové hranice by tak kompletní data neměla být uchovávána déle než po dobu nezbytnou k tomuto ověření.
Ověřující musí též zvážit všechna rizika zpracování osobních údajů a zajistit dostatečné technické a organizační zabezpečení zpracovávaných dat. Bude se jednat zejména o řízený přístup určitých zaměstnanců k aplikaci ověřování totožnosti a jejich proškolení, zabezpečení databáze obsahující osobní údaje a v případě využívání webové aplikace též zabezpečeného přístupu do ní. V této souvislosti je třeba uvést, že čtecím zařízením pro ověřování bude disponovat pouze subjekt, který bude zapsán do seznamu ověřujících vedeného Digitální a informační agenturou. Ověřující si u předaných informací pomocí ověřující aplikace budou moci zjistit, zda jsou údaje autentické a pochází z datového balíku, který byl vystaven v konkrétním čase.
Odpovědnost za správné nakládání s daty v mobilní aplikaci eDoklady bude jak na straně Digitální a informační agentury, tak na straně samotného uživatele aplikace. Uživatel bude muset, stejně jako u fyzického průkazu, zajistit ochranu před neoprávněným přístupem či zneužitím dat, a to například aktualizací aplikace a operačního systému či zamezení k přístupu ke svému mobilnímu zařízení.
Rozsah zpřístupněných osobních údajů určí držitel průkazu
Nová aplikace by, na rozdíl od hmotného průkazu, měla umožnit, aby příjemce obdržel jen ty informace, které v konkrétní situaci potřebuje. Například v případě ověření věku tak nebudou ověřujícímu poskytovány nadbytečné informace, jako je datum a místo narození osoby, které může získat náhledem do hmotného průkazu. Ověřující tak získají a budou nakládat jen s takovými údaji, které jsou povinni či oprávněni k danému účelu zpracovávat. Držitel průkazu navíc bude oprávněn rozhodnout, jaké údaje z datového balíku o sobě zpřístupní ověřujícímu, neboť prostřednictvím aplikace bude udílet souhlas s předaním požadovaných údajů.
U zpracování osobních údajů, u něhož není rozsah zpracovávaných osobních údajů přímo upraven právním předpisem (jedná se o soukromoprávní subjekty, které budou využívat tento elektronický způsob ověřování totožnosti a dalších skutečností na dobrovolné bázi), budou správci muset vždy přesně v souladu se zásadou minimalizace zvažovat, které osobní údaje ke stanovenému účelu budou vyžadovat a které nikoli.
Plastový průkaz nebo mobilní aplikace? Je to na vás!
Využití digitálního stejnopisu průkazu bude pro držitele průkazu zcela dobrovolné. Sami držitelé se budou moci rozhodnout, zda využijí možnost prokázat se digitálním stejnopisem průkazu prostřednictvím mobilní aplikace eDoklady, nebo zda předloží k prokázání své totožnosti či jiných skutečností klasický hmotný průkaz. Ať se rozhodnou pro kteroukoliv z těchto dvou variant, nesmí za ni být jakkoli sankcionováni nebo znevýhodňováni.
Předložení digitálního stejnopisu průkazu u orgánu veřejné moci nebo u osoby, které povinnost ověřit totožnost předložením průkazu plyne z právního předpisu, bude mít stejné právní účinky jako předložení samotného průkazu. Samozřejmostí pak je, že pouze osoba, která je držitelem průkazu, je oprávněna využít digitální stejnopis pouze svého průkazu a nikoho dalšího.
S mobilní aplikací eDoklady jen na úřady? Ne, i na poštu nebo do banky
Využití mobilní aplikace eDoklady necílí jen na veřejnou správu, ale má mnohem širší dopad. Navrhovaná právní úprava nového způsobu prokazování totožnosti se totiž promítne i do soukromého sektoru. Rozlišení bude pouze v tom, kdo bude mít ze zákona povinnost a kdo naopak možnost ověřovat totožnost a další skutečnosti tímto způsobem.
Povinně budou muset ověřování totožnosti prostřednictvím mobilní aplikace eDoklady umožňovat nejen orgány veřejné správy, ale též subjekty, kterým povinnost ověřit totožnost či jinou skutečnost předložením průkazu ukládá právní předpis. Jako příklad lze uvést:
Policie ČR a obecní policie
matriční, stavební, živnostenské a další úřady
CzechPOINT
soudy, státní zastupitelství
banky, pojišťovny a další finanční instituce
provozovatelé hazardních her
nákup zboží či služeb se zákonem omezenou věkovou hranicí
Naopak na dobrovolné bázi si aplikaci pro ověřování mohou pořídit i další soukromé subjekty. Pro ty to v praxi bude znamenat jednodušší, bezpečnější a rychlejší způsob ověření údajů o svých zákaznících. Jako příklad si lze představit takto prokazovat svou totožnost při:
uzavírání smlouvy s dodavatelem energií
vyzvedávání zásilek na České poště
uzavírání smlouvy s telefonním operátorem
komunikace s bytovým družstvem, SVJ či správcovskou společností
Návrh zákona pracuje s rozdílnou účinností pro jednotlivé subjekty
od 1. 1. 2024 budou muset identifikaci pomocí eDokladů akceptovat ústřední správní úřady
od 1. 7. 2024 tato povinnost dopadne na ostatní státní orgány, kraje a obce s rozšířenou působnosti
od 1. 1. 2025 bude platit pro všechny ostatní subjekty, které mají povinnost ověřovat totožnost či jiné skutečnosti
Dobrovolně však mohou subjekty začít ověřovat totožnosti elektronicky již dříve, třeba hned od začátku roku 2024. Pokud tedy zákon bude schválen a účinný dle plánovaného harmonogramu.
Mobilní aplikace eDoklady tak umožnuje vyzkoušet nový, rychlý, elektronický způsob prokazování totožnosti v rámci Česku republiky ještě předtím, než nařízení eIDAS 2 přinese evropskou peněženku digitální identity (eWallet), v níž budou nahrány různé doklady a průkazy a která bude celoevropsky uznatelná.
