Dopady novely nařízení eIDAS 2.0.
2. díl Nové služby vytvářející důvěru pro elektronické transakce
Novelizace nařízení eIDAS, často označovaná jako eIDAS 2.0, přináší řadu novinek, v tomto textu se zaměříme na tři nové služby vytvářející důvěru pro elektronické transakce, které nám eIDAS 2.0 přináší.
Jedná se o následující nové služby:
- vydávání elektronických potvrzení atributů a ověřování platnosti elektronického potvrzení atributů
- archivace elektronických dat a elektronických dokumentů
- zaznamenávání elektronických dat do elektronické knihy záznamů
Elektronická potvrzení atributů
Předtím, než přejdeme k popisu nové služby a jejího praktického využití, musíme popsat, co se rozumí atributem. Jedná se vlastnost, kvalitu, právo nebo povolení fyzické nebo právnické osoby nebo předmětu. Službou elektronického potvrzení atributů se pak rozumí potvrzení v elektronické podobě, které umožňuje autentizaci atributů. Kvalifikovaným elektronickým potvrzením atributů se pak rozumí elektronické potvrzení atributů, které je vydáno kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze V nařízení.
V rámci těchto služeb se ještě objevuje další kategorie pro veřejný sektor, a sice elektronické potvrzení atributů vydaným subjektem veřejného sektoru odpovědným za autentický zdroj. Autentickým zdrojem se rozumí úložiště nebo systém, za které odpovídá subjekt veřejného sektoru nebo soukromý subjekt a které obsahují a poskytují atributy fyzické nebo právnické osoby nebo předmětu a jsou považovány za primární zdroj těchto informací. V českém právním prostředí se pak typicky jedná například o základní registry, evidence osobních dokladů, řidičských průkazů a podobně.
Atributové služby tedy umožňují přenos a ověření specifických informací o subjektech, známých jako atributy, v elektronickém prostředí. Tyto atributy mohou zahrnovat například věk, adresu, kvalifikace nebo členství v organizaci. Díky těmto službám mohou být tyto informace bezpečně sdíleny mezi různými subjekty, aniž by bylo nutné odhalovat více osobních údajů, než je nezbytně nutné, navíc s ohledem na možnost využití služby kvalifikovaného ověření atributů lze těmto údajům přiřadit takové záruky, které nám tato služba dle nařízení eIDAS poskytuje, tj. lze toto využít i jako důkaz v soudním a správním řízení. Navíc kvalifikované elektronické potvrzení atributů a potvrzení atributů vydané subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem má stejný právní účinek jako potvrzení v listinné podobě vydaná v souladu s právními předpisy. Kvalifikovaná elektronická potvrzení atributů nepodléhají žádným závazným požadavkům kromě požadavků stanovených v příloze V.
Zavedení služeb vydávání a ověřování elektronických potvrzení atributů pak bude mít velké dopady nejen na bezpečnost, ale též vychází z požadavků na minimalizaci zpracování osobních údajů všude tam, kde to lze. K subjektu údajů tedy postačuje jeho jednoznačná identifikace a předáním sady atributů, které jsou potřebné pro příslušný proces. Typicky se pomocí atributů budou přenášet údaje o způsobilosti k výkonu některých profesí (např. advokát oprávněný k výkonu advokacie, lékař oprávněný k výkonu lékařské profese apod.), případně v některých případech lze jednoduše pomocí atributu přenést informaci o věku, aniž by se sdělovalo celé datum narození a podobně.
Některé výše uvedené principy již obsahuje české řešení eDoklady, neboť je možné ověřit pouze například věk vyšší než 18 let a nemusí se přenášet celá sada osobních údajů. Typickým prostředkem pro využívání atributů bude evropská peněženka digitální identity.
Archivace elektronických dat a elektronických dokumentů
Poměrně velmi diskutovaná služba nejen v odborných kruzích je nová služba pro elektronickou archivaci, a to zejména pro její poměrně zajímavé definování a dále pak použití pojmu „archivace“, neboť podobnost tohoto výrazu s pojmem archiválie by mohla vést k nesprávným závěrům. Elektronickou archivací se rozumí služba zajišťující přijímání, uchovávání, zpřístupnění a výmaz elektronických dat a elektronických dokumentů s cílem zajistit jejich trvanlivost a čitelnost, jakož i zachovat jejich integritu, důvěrnost a důkaz původu po celou dobu uchovávání, přičemž kvalifikovanou službou elektronické archivace se rozumí služba elektronické archivace, kterou poskytuje kvalifikovaný poskytovatel služeb vytvářejících důvěru a která splňuje požadavky stanovené v článku 45j nařízení.
U elektronických dat a elektronických dokumentů uchovávaných s použitím kvalifikované služby elektronické archivace platí předpoklad integrity dat a jejich původu, a to po dobu uchovávání kvalifikovaným poskytovatelem služeb vytvářejících důvěru. U této služby bude velmi zajímavé, za jakých cenových podmínek bude nabízena, neboť v řadě případů, zejména u některých klíčových dokumentů jak fyzických, tak právnických osob může jít o velice zajímavou a bezpečnou službu uchovávání elektronických dokumentů.
Tento druh služby by tak mohl být využíván pro řadu organizací ve veřejném i soukromém sektoru. Všechny tyto organizace potřebují bezpečně a efektivně archivovat elektronické informace, které zahrnují elektronická data a elektronické dokumenty nezbytné pro jejich činnost. Dva hlavní důvody pro archivaci informací jsou dodržování právních předpisů a obchodní potřeby. V některých případech jde o dlouhodobou archivaci elektronických dat a elektronických dokumentů. V kontextu archivů a dalších paměťových institucí se „dlouhodobou archivací“ rozumí prodloužená doba uchovávání, během níž jsou archiválie chráněny a udržovány pro budoucí generace.
Zaznamenávání elektronických dat do elektronické knihy záznamů
Co je elektronická kniha záznamů? Elektronickou knihou záznamů se rozumí posloupnost elektronických datových záznamů zajišťující integritu těchto záznamů a přesnost chronologického pořadí těchto záznamů, přičemž dále se kvalifikovanou elektronickou knihou záznamů rozumí elektronická kniha záznamů, kterou poskytuje kvalifikovaný poskytovatel služeb vytvářejících důvěru a která splňuje požadavky stanovené v článku 45l nařízení. V definici k této službě se v nařízení používá pojem datový záznam, čímž se rozumí elektronická data zaznamenaná pomocí souvisejících metadat podporujících zpracování těchto dat.
U datových záznamů obsažených v kvalifikované elektronické knize záznamů platí předpoklad jejich jedinečného a přesného sekvenčního chronologického řazení a jejich integrity. Srovnejme toto s ustanovením občanského zákoníku, který v § 562 uvádí, že záznamy údajů o právních jednáních v elektronickém systému jsou spolehlivé, provádějí-li se systematicky a posloupně a jsou-li chráněny proti změnám. Obdobně pak dle zákona o účetnictví je dán požadavek na účetní deník, v němž účetní zápisy uspořádají účetní jednotky z hlediska časového (chronologicky) a jímž prokazují zaúčtování všech účetních případů v účetním období.
Pokud se na tuto službu podíváme z praktického hlediska, jedná se vlastně o důvěryhodné logování či transakční protokoly, provozované třetí stranou, navíc v případě kvalifikovaného poskytovatele služeb s jasnými právními účinky a odpovědností poskytovatele služby. Využitelnost této služby bude velice široká, neboť kombinací více služeb vytvářejících důvěru pro elektronické transakce, hash elektronických dokumentů a jejich záznamem do elektronické knihy záznamů bude možné vytvářet velice důvěryhodné systémy. Dovedu si též představit využití této služby u takových právních jednání, kde je rozhodující pro jejich platnost předem daná posloupnost projevů vůle jednajících a podobně.
Prováděcí akty a specifikace
Do 21. května 2025 stanoví Komise prostřednictvím prováděcích aktů seznam referenčních norem a v případě potřeby stanoví specifikace a postupy pro účely výše uvedených kvalifikovaných služeb. Nyní bude velice zajímavé sledovat vývoj prováděcích aktů a dále pak jejich nástup k uvolnění k běžnému používání. Budeme vás podrobněji informovat, jakmile budou známy další podrobnosti.
 |
Ing. Robert Piffl Autor je expertem pro elektronické dokumenty a související legislativu. |
