~~TASK:Michal Rada~~
{{tag>rozpracované dokument neveřejné projekt_dpl}}
# Pracovní podklad k využívání BankID jinými subjekty (mimo státní orgány)
Předmět: Podklad pro diskusi PSDPL k problémům, kdy údajně nemohou některé OVM využívat bankovní identitu. Není to k diskusi o hrazení služeb BankID, ale o jeho vlastním využití.
Verze: 1.0
Datum: 2.1.2025
Určeno pro: PSDPL
## Úvod
Toto je pracovní dokument pro diskusi v rámci Pracovní skupiny pro digitálně přívětivou legislativu a po úprávách třeba i pro diskusi v rámci Rady vlády pro informační společnost.
Cílem dokumentu je objasnit neutěšenou a problematickou situaci kolem legislativního rámce využívání bankovní identity jako prostředku pro elektronickou identifikaci. Tato problematika se týká výhradně vyuźívání orgány veřejné moci.
## Základní popis problematiky
Využívání elektronické identifikace je nezbytnou součástí nejen pro jakoukoliv digitální službu, ale všude tam, kde se musí vzdáleně ověřit totožnost, nebo nezpochybnitelně znát identitu konkrétní fyzické osoby při elektronické komunikaci.
Zákon [[:predpis:250-2017|]] dává obecný rámec pro elektronickou identifikaci a její využívání, zákon [[:predpis:21-1992|]] pak zavádí Bankovní identitu jako jeden ze způsobů elektronické identifikace provozovaný bankami a odlišuje jej tak zcela od ostatních nestátních systémů EID. Sám bankovní zákon také poněkud nekoncepčně a nesmyslně upravuje poskytování elektronické identifikace jen pro někoho a jen určitým způsobem, když Digitální a informační agentuře nařizuje někdy poskytovat a tedy zabraňuje poskytovat EID jindy.
Tím dochází k neodůvodněnému rozdělení fungování orgánů veřejné moci, kdy pro **státní orgány a orgány územní samosprávy** je v bakovním zákoně definován jiný funkční mechanismus, než pro ostatní orgány veřejné moci((Neřešíme vůbec využívání elektronické identifikace respektive osobních identifikčních údajů kterýmkoliv jiným subjektem, než je orgán veřejné moci.)).
## Problematická legislativní ustanovení
Především je zde nezpochybnitelná povinnost pro všechny OVM využívat výhradně ZEID:
> § 2, Zákona č. 250/2017: Vyžaduje-li právní předpis nebo výkon působnosti prokázání totožnosti, lze umožnit prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace.
Elektronická identitikace musí probíhat výhradně prostřednictvím NIA:
> § 3 odst. 1 písm c), Zákona č. 250/2017: Kvalifikovaným systémem je systém elektronické identifikace, který umožňuje poskytnutí služby národního bodu pro identifikaci a autentizaci
V této souvislosti nás zajímají dva odstavce ze zákona o bankách:
> § 38ad odst. 2, Zákona č. 21/1992 Sb.: Státní orgán a orgán územního samosprávného celku jsou oprávněny použít prostředek pro elektronickou identifikaci vydaný bankou, pobočkou zahraniční banky nebo poskytovatelem identifikačních služeb pro účely prokázání totožnosti, které vyžaduje právní předpis nebo výkon působnosti, pouze prostřednictvím kvalifikovaného systému.
Mimochodem, dle zákona 250/2017 to ani jinak nejde, takže toto ustanovení je jaksi zmatečné a nesplňuje to, co od něj autor chtěl (vymezení, kdo bude smět bankovní identitu využívat zadarmo).
> § 38ad odst. 3, Zákona č. 21/1992 Sb.: Správce národního bodu poskytne službu národního bodu pro identifikaci a autentizaci při využití kvalifikovaného systému, jehož kvalifikovaným správcem podle zákona o elektronické identifikaci je banka, pobočka zahraniční banky nebo poskytovatel identifikačních služeb, pouze kvalifikovanému poskytovateli podle zákona o elektronické identifikaci, který je státním orgánem nebo orgánem územního samosprávného celku.
To je sice hezké, ale vzhledem k ustanovení §3 zákona 250/2017 to vždy musí jít jen přes NIA. Toto ustanov ení tedy přímo vylučiuje a tím i diskriminuje zbylé OVM pro potřeby jejich působnosti.
�
## Technické způsoby EID
Jsou zde dva způsoby využívání Bankovní identity jako EID:
1. Identifikace a autentizace s využitím BankID jako jednoho ze způsobů prostřednictvím NIA
2. Využití napřímo bez služeb NIA
, tedy napřímo dle vztahu mezi poskytovatelem BankID a konkrétním OVM.
y
## Problémy využívání ZEID ze strany OVM mimo NIA
Pokud orgán veřejné moci, který je povinen dle EG legislativy využívat správně sdílené služby EG, využívá třeba Bankovní identitu mimo NIA, je to pro něj procesní a technický problém a mimochodem tím také poruší některá ustanovení EG zákonů.
Využívání bankovní identity jak je legislativně zakotveno nyní, má speciální podrobnosti v rámci využívání NIA oproti ostatním i komerčním poskytovatelům EID respektive správcům kvalifikovaných systémů a prostředků (jako je třeba MojeID). Ustanovení uvedené v zákoně o bankách dává neoprávněné speciální postavení bankovńí identity, které věcně zakládá neodůvodněný jiný rámec pro využívání oproti ostatním nestátním poskytovatelům ZEID a vytváří tak diskriminační prostředí vůči ostatním a vzhledem k nerovnému přístupu k OVM také diskriminační prostředí vůči některým OVM, která za dané situace nemohou splnit své zákonné povinnosti uvedené zejména v zákoně [[:predpis:250-2017|]] a [[:predpis:111-2009|]]. Tato diskriminace spočívá zejména v tom, že nelze ani u komerčně pořízených transakcí ZEID využívat identifikaci prostřednictvím Národního bodu (NIA).
## Technicko procesní speciality a odlišnosti při přímém využíváni bankovní identity OVM.
Stručně řečeno, OVM využívající bamnkvní identitu na komerčním základě a tedy mimo příslušné ustanovení o zprostředkování přes NIA, čelí následujícím problémům:
1. Je sporné, zda využívání jiného kvalifikovaného systému EID než je Národní bod je plně v souladu s ustanovením § 2 zákona 250/2017, nicméně rozhodně není v souladu s ustanovením § 3 téhož zákona.
2. Takové využívání EID není realizováno přes referenční rozhraní, tedy jsou porušeny povinnosti stanovené zákonem 111/2009 a zákonem 365/2000
3. Taková služba je **poskytnutím osobních identifikačních údajů** a nikoliv **poskytnutím elektronické identifikace** a jedná se tedy po právní stránce o zcela něco jiného, co není ZEID.
4. Tímto způsobem není realizované využití EID v rámci agendy veřejné správy.
5. Není předáván identifikátor BSI a nejde o agendové ztotožnění, takže OVM nemůže realizovat překlad identity na základě BSI do agendové identity na základě jeho agendového AIFO a tedy nemůže splnit povinnosti referenční identity.
## Problémy výkladů k využívání BankID pro zaručenou elektronickou identifikaci
V různých případech se dají dělat růze výklady. Ty nejvíc problematické jsou níže (je to velice zjednodušené, ale snad pochopitelné):
1. Jsme OVM a tedy veřejnoprávní subjekt a dokonce jsme povinní podle PDS, ale nejsme státním orgánem, tudíž to nejde přes NIA.
1. Nechceme jako OVM za BankID platit. Myslíme si, že komerční služby BankID mají být pro soukromoprávní subjekty. Naši právnící nás informovali, že kdybychom za BankID platili, je to neefektivní vynaložení finančních prostředků. Na ruhou stranu, pokud nic neuděláme, nesplníme si zákonné povinnosti.
## Návrhy řešení
Cílem musí být především náprava diskriminačního vztahu, kdy některé OVM nemohou dodržet zákon. Sekundárním cílem je, pokud se na tom dohodneme, možnost zachování komerčního poskytování za úplatu pro přesně vyjmenované OVM.
Co je třeba:
1. Lépe vymezit, komu a jak se bankovní identita poskytuje, buď zpřesnit definici státních orgánů, nebo ideálně nahradit za OVM
2. Zakotvit vůbec možnost orgánům veřejné moci poskyotvat bankovní identitu na komerčním základu, která teď v zákoně zcela chybí
3. Upravit ustanovení ukládající povinnost správci NIA poskytování přes NIA, aby bylo umožněno jej využívat všemi OVM a případně i na komerčním základě
4. Upravit podmínky, za kterých dle komerčního vztahu bude DIA jako správce NIA umožňovat poskytnutí EID přes NIA
## Otázky do diskuse a návrhy dalšího postupu