A stejně tak není nařízení eIDAS kouzelným proutkem, který vše se rázem změní. Zákon o elektronickém podpisu, který právně postavil listinný a digitální dokument na stejnou úroveň, vznikl již v roce 2000. A proč dnes, po 17 letech, stále nenastal zlatý digitální věk a běháme po úřadech s papíry? Nařízení eIDAS je jen dalším krokem, který se snaží změnit lidské myšlení - začít důvěřovat virtuálnímu světu stejně, jako po tisíciletí důvěřujeme všemu, na co si můžeme sáhnout. Bylo by iluzí předpokládat, že se tento hluboký mentální přerod uděje na základě jednoho nařízení.

Dlužno dodat, že s nařízením eIDAS ani nemá problém komerční sféra, která naprosto přirozeně využívá to, co je pro ní efektivní. Může dělat to, co jí zákon nezakazuje, může být kreativní. Příkladem budiž elektronické bankovnictví, e-shopy atp. Styk s komerční sférou navíc většina z nás bere jako jednorázovou záležitost - objednám, koupím, zaplatím. Maximálně nás zajímá kupní doklad dalších pár měsíců po dobu záruční doby. Naproti tomu na veřejný sektor klademe daleko větší nároky z hlediska časové platnosti a důvěryhodnosti (celý život pracuji a pak chci důchod). Navíc veřejný sektor může dělat jen to, co mu ukládá zákon. A v tom je právě ta potíž. Legislativa totiž značně pokulhává za technologickými možnostmi.

 

Co je to eIDAS

Pokusme se trochu rozklíčovat, o co v nařízení eIDAS jde. Hrubě řečeno, stanovuje si jeden hlavní cíl a několik dílčích kroků vedoucích k tomuto cíli. Hlavním cílem je podpora tzv. „digitální agendy“ v rámci EU, tedy odstranění překážek, které brání přeshraniční on-line výměně digitálních dokumentů, kterým bude možné všeobecně důvěřovat. Čímž by se měla nejen usnadnit komunikace (třeba s úřady v jiném státě), ale také podpořit hospodářský rozvoj EU. Tedy cíle jistě chvályhodné a nikoliv malé. K tomu si ale musíme vzájemně důvěřovat, že dokument, který nám přistane v počítači z druhého konce EU, je skutečně od osoby, která to prohlašuje, musí být nezpochybnitelně zjistitelné, v jakém čase dokument vznikl, zda dokument stvrdili svými podpisy správné osoby a že se dokument na cestě k nám a ani v průběhu času nezměnil. A splnění těchto dílčích kroků požaduje nařízení eIDAS od členských států v různých časových horizontech - od loňského roku (e-podpisy) až po polovinu roku 2018 (e-identita, e-doručování).

Nařízení eIDAS je nutné brát jako rámec, kterého se musí jednotlivé národy zhostit po svém. Nezřizuje se naštěstí jeden Velký bratr, ale všechny uvedené služby mají vznikat na národních úrovních a musí být vzájemně sdílitelné. Mohu tedy svůj dokument opatřit kvalifikovaným e-podpisem a časovým razítkem, jejichž certifikáty vydala česká autorita, svou elektronickou identitu budu mít ukotvenu také v české identitní autoritě (zatím neexistující) a mohu směle takový dokument důvěryhodně odeslat (taktéž zatím neexistující služba) třeba na nějaké portugalské ministerstvo, kde si musí umět vše validně ověřit a nesmí takový dokument odmítnout. Totéž samozřejmě i naopak, tedy že například každý český úřad, ale i občan, bude muset zvládnout velké množství nových činností ve „virtuálním světě“. A to se budeme muset nejenom naučit, ale bude to také něco stát.

 

Tři kroky vedoucí k cíli

Otázku elektronického podepisování, pečetění a časových razítek bychom podle termínů plynoucích z eIDAS měli mít už více než půl roku zvládnutou a rutinně ji používat. Leč není tomu tak zcela, a dlužno dodat, že nejenom v České republice. Navíc u nás jsme do legislativy zakomponovali další trojské koně v podobě několika poměrně zásadních výjimek a přechodného období. Je tedy nyní velký rozdíl, jestli dokument vytváříte pro českého, nebo zahraničního partnera. A odlišně se musíte chovat, jestli dokument přijmete z Česka nebo z jiného státu EU. A opravdový hlavolam bude například případ, který se zpočátku řeší „doma“ a pak se předá k řešení do zahraničí.

Dalším krokem v rámci eIDAS bude vyřešení elektronické identity osob (občanské průkazy s čipem včetně „zapsané“ identity občana, do poloviny roku 2018). Zde můžeme jen doufat, že se poučíme a celý proces, včetně národní legislativy a prováděcích norem bude jednoznačnější a vše bude připraveno s dostatečným předstihem. Dosud prováděné kroky se zdají býti slibné.

A posledním krokem bude vyřešení zaručeného elektronického doručování (také do poloviny roku 2018). Zde bychom mohli říci, že máme hotovo, v podobě ISDS – informačního systému datových schránek. Leč bohužel, ISDS vznikal dávno před vznikem nařízení eIDAS (v dobách, kdy jsme v oblasti eGovernmentu byli v nádherné první třetině států EU) a v některých oblastech jednoduše už nevyhovuje. Což je bohužel mnohdy smutným údělem předskokanů. Takže nás čeká buď generační úprava ISDS, nebo vytvoření něčeho nového. Nechme se překvapit.

Výše zmíněné tři kroky, přesněji tři služby, požaduje eIDAS řešit striktně odděleně. Tedy e-podpis e e-identita jsou dvě samostatné služby, jinak řečeno e-podpis sám o sobě nic neříká o identitě osoby. E-doručování nic neříká o transportovaném dokumentu, je pouze zodpovědné za garantovaný přesun dokumentu z bodu A do bodu B. Proč to zdůrazňuji? Protože naše dosavadní pojetí tyto tři služby naopak důsledně spojuje, což se bude muset změnit. Dnes se přihlášením do ISDS (e-doručování) současně identifikujete (e-identita), vložíte nepodepsaný dokument do datové schránky příjemce a ejhle – doručený dokument se podle zákona považuje za vámi právoplatně elektronicky podepsaný.

 

Co chybí ke světlým zítřkům

Nařízení eIDAS tedy není prvním ani posledním krokem k digitalizaci Evropy, není ani samo o sobě jednorázovým aktem. Zapadá do postupného celoevropského bolestivého přechodu do „virtuálního světa nul a jedniček“.

A protože eIDAS je nařízení evropské, nelze od něj očekávat ani nic jiného, než jen obvyklé nastínění světlých zítřků. Vlastní realizace se musí odpracovat v každém státě zvlášť. A v tom je právě ta potíž. Strategických akčních plánů na rozvoj eGovernmentu máme v Česku na rozdávání, ale skutek nás řadí na chvost EU. Obdobně jsme na tom bohužel i s nařízením eIDAS, které vešlo v platnost již v polovině loňského roku. Na technologiích je vždy co vylepšovat, ale nejsou brzdou. Vše, co nařízení eIDAS potřebuje k životu, dnes existuje a je dostupné. Co chybí? Dodnes máme legislativu, která není s tímto nařízením kompatibilní. Chybí národní prováděcí vyhlášky či normy (ovšem, každý máme svá specifika), jasné metodické výklady a definice úředních procesů a postupů. Problematika virtuální identity osob, zabezpečení digitálních dokumentů, kybernetické bezpečnosti a ochrany osobních údajů jsou novými oblastmi pro každého z nás. Bez jasně nastavených mantinelů, aktivního vyhledávání a pojmenování slabých míst a cíleného hledání řešení se propadá do právní nejistoty (např. budoucího zpochybnění miliardových smluv a transakcí provedených digitálně), čímž také rychle ztrácí důvěru.

A jsme zpět u otázky důvěry. Všichni to známe – důvěru těžce získáváme a lehce ztrácíme. Splněním všech požadavků nařízení eIDAS možná učiníme systém důvěryhodný, což ale ještě neznamená, že bude požívat skutečné důvěry a lidé jej budou používat. A to je oblast, na kterou bychom se měli všichni zaměřit prioritně.

Miroslav Čejka, vedoucí metodik Spisové a archivní služby, Gordic