Evropská peněženka digitální identity (EUDIW) představuje zásadní krok v oblasti digitalizace veřejných a soukromých služeb napříč Evropskou unií. Tento nástroj, navržený na základě evropského nařízení eIDAS 2, přináší revoluci v oblasti identifikace a autentifikace. V České republice se právě připravuje jeho implementace. Jaké výhody přináší pro občany ČR a jaká jsou bezpečnostní rizika a výzvy, které s ním souvisejí? Tento článek se podrobně věnuje klíčovým aspektům EUDIW v českém kontextu.
EUDIW evropská peněženka digitální identity digitální identita
eIDAS bezpečnostní rizika kvalifikovaný elektronický podpis
EUDIW a jeho funkce, termín zahájení vydávání
Pochopit přínos Evropské peněženky digitální identity (EUDIW) je velmi snadné. Každý občan EU, který ji bude chtít používat, bude mít ve svém mobilním telefonu aplikaci, jejímž prostřednictvím se bude moci autentizovat k nejrůznějším online službám, státním i komerčním, a rovněž jednoduše prokázat řadu údajů (atributů) o své osobě, které dosud prokazuje složitým způsobem. Např. předložením dokumentů v listinné podobě, někdy i stvrzených notáři. A to vše v rámci celé EU, online i při osobním kontaktu s jinou osobou, úřadem či firmou, navíc na takové úrovni důvěryhodnosti a záruk, jakou dnes poskytuje třeba pas nebo občanský průkaz. Představme si např. přínos pro oblast personalistiky, přihlášek ke studiu nebo prokazování oprávnění vykonávat určitou činnost, ale i kontakt s úřady nebo policií okolních států. Zajímavá bude i možnost ověření věku při online nákupech, což je důležité pro nákup produktů s věkovým omezením, jako jsou alkohol nebo tabákové výrobky či erotický obsah, to je dnes hodně diskutované téma. A to všechno online. Zároveň ale nikdo nebude nucen si peněženku pořídit a používat ji nebo v ní mít uloženy veškeré informace o své osobě. Bude možné použít vždy pouze ty služby a informace, které sám vlastník peněženky uzná za vhodné, a prokazovat se s ní bude opět pouze tomu, komu bude chtít. Na uživatele nedopadají žádné zvláštní požadavky, nástrojem bude jeho mobilní telefon.
Umožnění či usnadnění elektronické komunikace v rámci EU, a to i přeshraničně, je dlouhodobou ambicí orgánů EU. Začátek můžeme identifikovat v roce 1999, kdy byla vydána směrnice o zásadách Společenství pro elektronické podpisy, která si dala za cíl zajistit jednodušší využití elektronických podpisů a napomoci k tomu, aby se staly právně uznávanými ve všech zemích EU. Ta postupem času nebyla dostačující, např. proto, že neupravovala časová razítka ani elektronické pečetě (v ČR vznikly elektronické značky), a ty pak nemohly být bez dalšího uznávány přeshraničně. V roce 2014 proto bylo vydáno nařízení EU o elektronické identifikaci a službách vytvářejících důvěru1 známé pod zkratkou eIDAS. Již z názvu je patrné, že záběr byl oproti původní směrnici daleko širší.
S odstupem let se ukázalo, že služby vytvářející důvěru se v praxi osvědčily a jsou skutečně využívány, naopak elektronická identifikace žádný velký úspěch nezaznamenala. Proto Evropská komise hledala nástroj, který by byl pro uživatele přitažlivý. Zvolila koncept digitální peněženky, který je běžně užívaný pro uchovávání věrnostních karet, vstupenek, jízdenek a jiných digitálních dokladů. Původní nařízení z roku 2014 bylo revidováno a výsledkem je právní předpis2 , který bychom podle našich zvyklostí označili jako novelu původního a který bývá označován zkratkou eIDAS 2.
Revidované znění upravuje nové kvalifikované služby vytvářející důvěru, a to službu správy kvalifikovaných prostředků pro vytváření elektronických podpisů/pečetí na dálku, službu vydávání kvalifikovaných elektronických potvrzení atributů, službu elektronické archivace a službu zaznamenávání elektronických dat do kvalifikované elektronické knihy záznamů.
Tím důležitým a vlastně hlavním důvodem pro vydání novelizovaného předpisu je však úprava Evropské peněženky digitální identity. Ta je v recitálu eIDAS 2 definována následovně: „Evropská peněženka digitální identity by měla fyzickým a právnickým osobám v celé Unii poskytnout harmonizovaný prostředek pro elektronickou identifikaci umožňující provádět autentizaci údajů spojených s jejich totožností a sdílet je. Každý by měl mít bezpečný přístup k veřejným a soukromým službám založeným na zdokonaleném ekosystému služeb vytvářejících důvěru a na ověřených dokladech totožnosti a elektronických potvrzeních atributů, jako jsou akademické kvalifikace, včetně vysokoškolských diplomů nebo jiných dosažených forem vzdělání či odborné kvalifikace.“ Bonusem bude možnost vytvářet kvalifikovaný elektronický podpis. O tom se ještě zmíním v dalším textu.3
Považuji za důležité, aby veřejnost byla dostatečně informována o postupném zavádění funkcí EUDIW. Nelze si představovat, že v okamžiku zahájení vydávání peněženek, tj. koncem roku 2026, budou peněženky automaticky naplněny všemi avizovanými daty a budou umožňovat autentizaci k širokému okruhu služeb. To si vyžádá určitý čas a je nutné předejít zklamání v důsledku nereálných očekávání. V první fázi lze očekávat prokazování totožnosti a autentizaci k systémům nejspíše v rozsahu dnešního Portálu veřejné správy. Je třeba poznamenat, že zavedení evropských peněženek digitální identity neznamená, že stávající identifikační prostředky musejí přestat existovat.
A proč to bude trvat tak dlouho? Aby byl předpoklad maximální bezpečnosti, musí být soulad evropských peněženek digitální identity s požadavky eIDAS 2 certifikován akreditovanými subjekty posuzování shody, které určí členské státy. Totéž platí pro jednotlivé služby, které budou pro peněženky nezbytné. Jako příklad můžeme uvést poskytování elektronických potvrzení atributů. Aby k takovému posouzení mohlo dojít, musí existovat příslušní posuzovatelé, které určí Český akreditační institut (ČIA). A k tomu, aby mohl vůbec začít připravovat proces akreditace, musí mít k dispozici všechny relevantní prováděcí předpisy. Ty jsou vydávány postupně a doufejme, že budou k dispozici tak, aby celý proces mohl proběhnout co nejrychleji.
Právní úprava v ČR
Nařízení eIDAS 2 má přímou účinnost ve všech členských státech právě proto, že se jedná o „nařízení“. Pokud by to byla „směrnice“, musela by se implementovat do právních řádů jednotlivých členských států. Přesto je vydání tzv. adaptačního zákona nezbytné, neboť musí upravit to, co nařízení nemohlo. Návrh, který připravila Digitální a informační agentura (DIA)4 , stanoví mimo jiné pravidla pro implementaci EUDIW v ČR. Zaměřuje se na právní a technologické aspekty používání digitální identity.
Podle předkládací zprávy: „Návrh zákona upravuje, resp. reflektuje evropské peněženky digitální identity a jejich povinnou certifikaci, akreditaci poskytovatelů evropských peněženek digitální identity, nové typy služeb vytvářejících důvěru včetně elektronického potvrzování atributů, zakotvení orgánu dohledu nad rámcem pro evropskou peněženku digitální identity a nové povinnosti pro orgán dohledu nad službami vytvářejícími důvěru, kterým je Digitální a informační agentura, nové sankce a další.“ Návrh vyslala DIA koncem července tohoto roku do meziresortního připomínkového řízení a následně musí všechny vznesené připomínky vypořádat, přičemž jich byl uplatněn poměrně vysoký počet. Návrh by měl být následně předložen na schůzi vlády a dále pokračovat do Poslanecké sněmovny. Je otázkou, jaká bude realita s ohledem na blížící se volby.
Přístup k realizaci v ČR, srovnání s přístupem jiných zemí EU
V České republice se implementace EUDIW řídí evropským rámcem, ale bude se přizpůsobovat specifickým potřebám a podmínkám českého trhu. Realizace bude probíhat ve spolupráci s evropskými organizacemi, které již mají zkušenosti s podobnými systémy.
V této souvislosti je třeba uvést, že každý členský stát vyvine vlastní EUDIW, ovšem s podmínkou schopnosti komunikovat v rámci celé EU. Takže musí být vyvinut podle jasně definovaných pravidel. Selský rozum by říkal, že daleko jednodušší by bylo jedno společné řešení, ale takový koncept by byl z mnoha důvodů členskými státy neakceptovatelný. Je tedy nezbytné jednotné technické řešení, které má podobu tzv. toolboxu („společného souboru nástrojů Unie pro koordinovaný přístup k rámci pro evropskou digitální identitu“). Vývoj přípravy dokumentu „Architektura a referenční rámec evropské peněženky digitální identity“, aktuálně ve verzi v2.0.0, napomáhá implementaci budoucí EUDIW. Celkově lze vývoj na úrovni EU a ČR sledovat na webových stránkách DIA5 , která o všech aktivitách průběžně informuje, a to včetně verzí uvedeného dokumentu a přijatých i připomínkovaných prováděcích aktů.
Digitální a informační agentura s ohledem na svou působnost ústředního správního úřadu pro oblast elektronické identifikace a služeb vytvářejících důvěru bude muset zajistit splnění povinnosti poskytování alespoň jedné peněženky v České republice. Konkrétně na jednání vlády 26. března 2025 bylo schváleno usnesení, které DIA ukládá realizovat Evropskou peněženku digitální identity formou koncese. Následně DIA začala vybírat v zadávacím řízení se soutěžním dialogem poskytovatele EUDIW. Lhůta pro podání žádostí o účast v soutěžním dialogu byla stanovena na 2. května 2025.
Projednávání ve vládě předcházela detailní analýza možných variant realizace EUDIW v České republice. Byly posuzovány varianty od ryze státního modelu přes formu veřejně-soukromé spolupráce (koncese) až po vznik společného podniku se státní účastí. Na základě této analýzy byla pracovníky DIA vybrána realizace formou koncese, tedy prostřednictvím soukromého poskytovatele pověřeného státem. Lze o tom diskutovat, ale především je nutné to vzít jako fakt, jako rozhodnutí k tomu příslušnému orgánu státu. Stát si tak ponechává kontrolu nad právními, bezpečnostními a legislativními aspekty, zatímco soukromý poskytovatel ponese náklady na vývoj, technickou správu, inovace a denní provoz.
Smlouva s vybraným uchazečem by měla začít platit 1. prosince 2025. Uvedení digitální peněženky do provozu má v plánu DIA v souladu s požadavky eIDAS 2 do 24. prosince 2026. Koncesionář by ji měl mít na starosti následujících pět let. Předpokládanou hodnotu tendru DIA nespecifikovala, pouze zveřejnila, že bude „nadlimitní“. Nic nebrání tomu, aby kromě státem vybraného poskytovatele peněženky působili v České republice i další vydavatelé, pokud splní stanovené požadavky.
Je nutné zmínit, že již delší dobu běží z iniciativy Evropské komise pilotní projekty, jako např. Potential6 , které mohou sloužit jako návod, jak jednotlivá digitální řešení vyvíjet na úrovni jednotlivých zemí. Tak je možné se vyhnout některým chybám a slepým uličkám. V těchto projektech jsou zapojeny i subjekty z České republiky. Informace k výstupům z Potential i dalších projektů Evropská komise průběžně zveřejňuje7 .
Evropská peněženka digitální identity po česku by se ale neměla změnit na českou peněženku s „měkčími“ požadavky. Takovou úvahu jsem již zaznamenal a podle mého názoru by to nebyla optimální cesta. Existovaly by u nás dva typy peněženek, jedna „povinná“ evropská a druhá použitelná jen v rámci ČR. Myslím, že zkušenost s různými typy elektronických podpisů, přičemž jeden z nich je ryze český, nám jasně ukázala, že uživatelé preferují jednoduchost, jednoznačnost a interoperabilitu při výběru nástrojů elektronické komunikace a ryze česká řešení nijak zvlášť neoceňují.
Srovnání s přístupem jiných států EU
Bohužel v současné době neexistuje jediný veřejně dostupný zdroj, který by umožňoval komplexní přehled o pokroku v zavádění peněženek EUDI nebo se pokoušel tento pokrok sledovat. Zveřejněné informace jsou velmi kusé a není snadné je ověřit. Pokud lze soudit z různých zdrojů, naprostá většina členských států přistoupila k zavedení EUDIW aktivně. Pokud se objevily problémy, byly zapříčiněny zpravidla absencí politického rozhodnutí, jaký přístup zvolit, event. vítěz voleb neakceptoval záměry předchozí vládní garnitury, jak se stalo např. v Německu. Řekněme si však, že problémy jsou věrohodně prezentovány prostřednictvím internetu jen zřídka a na prezentování úspěchů je ještě brzy.
Základem řešení jsou velmi často již existující aplikace, zde je možné jako příklad uvést Rakousko, které staví na dvou zavedených aplikacích (eID Austria a eAusweise) a obě spolu se svými uživatelskými základnami postupně migruje na architekturu peněženky EUDIW8 .
Proces vydání EUDIW pro občany ČR
Konkrétní návod, jak budou moci zájemci EUDIW získat, bude jistě zveřejněn v dostatečném předstihu. Je předpoklad, že se bude jednat o co nejjednodušší proces, samo
zřejmě s ohledem na nezbytnou bezpečnost a důvěryhodnost celého procesu. Momentálním předmětem diskusí je hledání cesty, která by umožnila vyjít z elektronických identitních nástrojů užívaných jednotlivými bankami v ČR a povýšit jejich úroveň bezpečnosti a záruk ze značné (dané zákonem, nikoli auditem) na vysokou tak, aby nebyla nutná osobní přítomnost žadatele na úřadě nebo pobočce banky. To je v pravdě nelehký úkol.
Cílem bude učinit peněženku pro občany přitažlivou a uživatelsky co nejvíce přívětivou. A přitažlivá bude samozřejmě tehdy, když nabídne svým uživatelům co nejvíce funkcí nebo alespoň harmonogram, jak budou jednotlivé funkce zaváděny. Vydání EUDIW bude pro občany zdarma a používání rovněž.
Kvalifikovaný podpis v EUDIW, profesionální a neprofesionální použití, formy podpisu (vzdálené podepisování a data pro vytváření podpisu přímo v EUDIW).
Jedním z největších přínosů EUDIW je jednoznačně možnost vytvářet kvalifikovaný elektronický podpis. Díky vysoké úrovni záruk za ověření identity vlastníka poskytované peněženkou bude možné vydávat kvalifikované certifikáty a poskytovat další důvěryhodné služby on-line. To přinese velký komfort uživatelům a proces vydání certifikátů zlevní a zjednoduší. Peněženka by měla umožnit uložit data pro vytváření elektronického podpisu přímo v peněžence a následně zde přímo podepisovat i využít vzdálené vytváření kvalifikovaného elektronického podpisu, přičemž je preferovaná druhá varianta. Nařízení eIDAS 2 rozlišuje dvě formy kvalifikovaného podpisu z pohledu účelu – profesionální a neprofesionální. Tím neprofesionálním je v ČR míněn podpis na dokumentu, jehož příjemcem má být fyzická osoba nebo úřad. Pokud je příjemcem právnická osoba,
jedná se o typický příklad profesionálního použití. Podpisy pro neprofesionální použití budou pro uživatele peněženky zdarma, v případě profesionálního použití by v typických aplikacích měl náklady za vytváření kvalifikovaného podpisu hradit subjekt, který jej využije ve svých obchodních procesech. EUDIW podle mého názoru přinese významné rozšíření využívání kvalifikovaného elektronického podpisu a strmý nárůst počtu elektronických dokumentů opatřených podpisem.
Záruky za bezpečnost EUDIW
Bezpečnostní aspekt EUDIW je klíčový. Pokud nastanou problémy, celý koncept pozbude důvěry a produkt nebude používán. Proto by Evropské peněženky digitální identity měly zajišťovat nejvyšší úroveň ochrany údajů a zabezpečení pro účely elektronické identifikace a autentizace – tak to deklaruje eIDAS 2.
Systém je navržen tak, aby poskytoval vysokou úroveň ochrany osobních údajů. Je zakotven princip povinné certifikace, akreditace poskytovatelů evropských peněženek digitální identity a rovněž ustaven orgán dohledu nad rámcem pro evropskou peněženku digitální identity.
Ustanovení věnovaných bezpečnosti je v eIDAS 2 mnoho a zdá se, že bezpečnost je pojímána skutečně komplexně a je pamatováno na všechny aspekty. Je pravda, že na evropské úrovni finální podobu právní úpravy zejména pirátští europoslanci včetně českých nakonec nepodpořili. A to především kvůli obavám o nedostatečnou ochranu evropských občanů z hlediska možnosti zneužití k jejich sledování. Zároveň však vyslovili přesvědčení, že v ČR bude evropská digitální identita zavedena tak, aby byla jednoduchá, ale zároveň maximálně bezpečná.
Závěr
EUDIW představuje důležitý krok k digitalizaci veřejné správy a usnadnění každodenního života občanů EU. Cílem je zjednodušit přístup k veřejným službám, zlepšit bezpečnost digitální komunikace a usnadnit podepisování důležitých dokumentů. Předpokládá se zapojení komerčních služeb, zejména finančního charakteru. Budou implementovány pokročilé bezpečnostní technologie, které minimalizují riziko zneužití osobních údajů.
Evropská peněženka digitální identity má předpoklady stát se součástí každodenního života občanů. Bude záležet na tom, nakolik ji její tvůrci dokážou učinit přitažlivou pro co nejširší okruh uživatelů. Podle mých zkušeností jsou občané České republiky nakloněni řešením tohoto typu, nemají problém používat internet jako prostředek komunikace jak se státem, tak s komerčními subjekty. Bude tedy záležet i na tom, jak bude vedena kampaň na propagování tohoto nástroje elektronické komunikace. Samozřejmě že zapojení soukromých subjektů, zejména z oblasti finančních služeb, by mohlo rozvoji výrazně napomoci.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
