Minulý týden se v Hradci Králové uskutečnil již 24. ročník konference ISSS, alias Internetu ve státní správě a samosprávě. A již tradičně to nebylo ani tak o Internetu, jako spíše o eGovernmentu a „elektronickém úřadování“. I letos přitom bylo o čem povídat a co prezentovat. Nových věcí a změn, které se již odehrály či brzy odehrají, je docela dost. A o něčem se mluvilo více, o něčem méně a o něčem vůbec ne.
Přijde velké zemětřesení
O některých zásadních novinkách jste se mohli již dříve dočíst zde na Lupě v samostatných článcích. Například o chystaném velkém zemětřesení v českém eGovernmentu a celém státním IT skrze ambiciózní projekt Transformace koordinace a řízení digitalizace, který vláda přijala svým usnesením č. 289 ze dne 6. dubna 2022. Součástí má být mj. velké přeskupení sil, prostředků a již existujících řešení, neboli dosti zásadní reorganizace:
převod správy centrálně sdílených ISVS pod novou Správu základních registrů a centrálně sdílených ISVS (SZR) zejména NIA, ISDS, CzechPOINT, Portál občana, eGSB, CMS, eGovernment Cloud včetně převodu dalších kompetencí z MV ČR na ÚV či SZR/CSISVS
Konkrétně třeba:
Organizační přesun Odboru hlavního architekta eGovernmentu z Ministerstva vnitra na Úřad vlády ČR do nově vzniklé Sekce digitalizace.
Převod vybraných aktivních smluv a přesun majetku (systémů, dat, infrastruktury) sloužících pro provoz a správu centrálních sdílených služeb z MV/SZR/NAKIT do ÚV ČR a do Národní digitální agentury, která vznikne transformací Správy základních registrů.
Věcným gestorem legislativy v oblasti eGovernmentu s meziresortním přesahem se stane Národní digitální agentura (podobně jako NÚKIB je gestorem legislativy v oblasti kybernetické bezpečnosti nebo ČÚZK je gestorem legislativy v oblasti zeměměřictví). Sekce digitalizace na Úřadu vlády bude gestorem digitální přívětivosti a provázanosti legislativy.
Dovolím si předpokládat, že jde o aktivitu „tlačenou“ hlavně místopředsedou vlády Ivanem Bartošem, který k tomu přímo na ISSS v jednom rozhovoru řekl:
… my s tím výhledem příštího roku skutečně chceme vytáhnout ty nejdůležitější systémy, registry, Czech POINTy, do silné centrální agentury, podobně jako to mají např. v UK.GOV, a dát té digitalizaci jasný rámec, kdy prostě potlačíme ten resortismus … a budeme konečně ta data sdílet.
Tak uvidíme. Reorganizací jsme už měli dost, včetně zřízení samostatného ministerstva a jeho pozdějšího rozprášení. A jestli se (podle mého názoru) na všem něco ukázalo, tak to, že rozhodující není ani tak organizace, ale schopnosti a především „síla“ toho, kdo věci prosazuje a vnímá je jako svou agendu.
A jen tak mimochodem: ve vládou přijatém usnesení se o novém úřadu, který má být zřízen, píše skutečně jako o Národní digitální agentuře. Což by odpovídalo zkratce NDA, která ale již má v moderní česko-anglické mluvě dávno ustálený význam. Možná i proto se na následujícím slidu (z prezentace hlavního architekta eGovernmentu) o novém úřadu mluví jako o Digitální a informační agentuře, zkratkou DIA. Dokáže dělat zázraky?
Chvála bankám
Hodně prostoru se na letošním ISSS dostalo bankám a jejich chvále za to, jak se svými bankovními identitami pomohly „rozjet“ elektronickou identifikaci (směrem ke kvalifikovaným poskytovatelům služeb, neboli „přes NIA“). Hned několik přednášek přišlo s konkrétními čísly, která (po určitém zaokrouhlení) dávají následující celkový obrázek:
- bylo vydáno již cca 9 milionů prostředků elektronické identifikace. Tedy dohromady všech eOP s aktivovanými identifikačními funkcemi, NIA ID, mobilních klíčů eGovernmentu, bankovních identit, karet Starcos a účtů mojeID s FIDO klíči. Nejvíce (řádově 90 %) představují bankovní identity (zatím od 7 bank)
- již cca 5 milionů držitelů má (nejméně jeden vlastní a aktivovaný) prostředek elektronické identifikace, s možností jej ihned využít. Odhad je, že díky zapojení zbývajících bank by tento počet mohl vzrůst až na cca 5,5 milionu
- již cca 1,3 milionu držitelů (tedy přibližně jedna čtvrtina) svůj prostředek elektronické identifikace již skutečně využilo. Dá se předpokládat, že rozhodující část „těch, kteří mohou využít, ale ještě nevyužili“, jsou držitelé prostředků na bázi bankovní identity
- kvalifikovaných poskytovatelů služeb (neboli těch, k jejichž službám se dá přihlásit „přes NIA“) je již na 200
Tsunami datových schránek
Tyto orientační údaje jsou zajímavé i z několika dalších pohledů. Například kvůli odhadu toho, k čemu dojde, až počátkem příštího roku začnou být datové schránky (nepodnikajících fyzických osob) automaticky zřizovány i všem fyzickým osobám, které na sebe prozradí, že jsou informačně gramotné. Konkrétně tak, že se (po 1. 1. 2023 poprvé) se svým prostředkem elektronické identifikace někam přihlásí „přes NIA“ (podrobněji viz tento můj dřívější článek zde na Lupě). Mělo by se to tedy týkat onoho cca 1,3 milionu fyzických osob – z nichž ale již část svou datovou schránku může mít.
Konkrétní odhad toho, o kolik nových datových schránek se bude jednat, zazněl v této přednášce od České pošty – a má jít o 1 milion.
Ještě více nových datových schránek (1,8 milionu) by podle odhadu České pošty mělo být zřízeno díky tomu, že budou automaticky (tj. ze zákona, a tedy i „bez ptaní“ na nějaký souhlas či zájem) zřizovány všem podnikajícími fyzickým osobám. Tedy všem OSVČ, živnostníkům atd. – a budou to pochopitelně datové schránky podnikajících fyzických osob.
Naopak méně (0,2 milionu) bude podle odhadů nových datových schránek právnických osob. Většina právnických osob (hlavně: ty zapsané v obchodních rejstřících, jako s. r. o či akciové společnosti) je již dávno (ze zákona) má a zde jde jen o určitý „zbytek“ právnických osob, které zákon dosud nenutil do používání datových schránek.
Celkově, jak vyplývá z výše uvedeného obrázku, by dosavadní celkový počet cca 1,35 milionu aktivních datových schránek měl skokově (přesněji: během 1Q 2023) vzrůst o cca 3 miliony!
To inspirovalo jednoho přednášejícího k tomu, aby svou přednášku nazval „Tsunami datových schránek“. A z jejího obsahu pak mj. vyplývá, že další velkou změnou (od příštího roku) bude zvětšení toho, co projde datovými schránkami v jedné zprávě – ta bude moci mít až 1 GB (včetně všech příloh). A bude možné do ní vkládat i dva nové formáty příloh: ZIP a ASiC. Ovšem s tím, že uvnitř ZIPů a ASiC kontejnerů budou moci být jen dosud povolené formáty (podrobněji).
Bude informační kampaň
Hned několikrát na letošním ISSS zaznělo, že na úder onoho tsunami je třeba širší veřejnost připravit. A to jednak informační kampaní, ale také úpravami samotných datových schránek a jejich portálů. Opět podle České pošty by informační kampaň (organizovaná společně s resortem vnitra) měla cílit mj. na „pozitivnější vnímání datových schránek“ u nových uživatelů.
Podle tohoto článku má připravovaná kampaň začít v listopadu a vnitro na ni prý má připravených 38 milionů.
Dalším plánovaným krokem mají být určité změny přímo v datových schránkách: zatímco dnes je jejich informační web (na adrese datoveschranky.info) oddělen od jejich webového portálu (na adrese mojedatovaschranka.cz), nově by měl vzniknout jednotný „infoportál“, který by měl v sobě zahrnovat obojí. Uvidíme, na jaké adrese bude umístěn. Třeba někde pod gov.cz?
Pilně se prý již pracuje i na tom, jak bude fungovat samotná „past na informačně gramotné“. Tedy to místo, kam se dostane uživatel bez vlastní datové schránky poté, co se (dnem 1. 1. 2023 počínaje) poprvé někam přihlásí. Třeba k očkovacímu portálu, k ePortálu ČSSZ, obecně kamkoli „přes NIA“.
Na onom místě (resp. webových stránkách, které nejspíše budou součástí NIA) by uživatel měl být informován o onom automatickém zřizování datových schránek nepodnikající fyzické osoby. A doufám, že to nebude informace ve smyslu „již vám byla DS FO zřízena“, ale ve smyslu: „pokud se rozhodnete pokračovat, bude vám zřízena DS FO. Pokud si to nepřejete, můžete se vrátit tudy – ale nedostanete se k té službě, ke které jste se právě chtěli přihlásit“.
Uživatel, kterému bude tímto postupem nová datová schránka skutečně zřízena, k ní (defaultně) žádné přístupové údaje nedostane. Neměl by je potřebovat, protože právě prokázal, že se dokáže úspěšně přihlásit „přes NIA“ (kudy se do své nové datové schránky může dostat). Zádrhel může být v tom, že tak mohl učinit s využitím prostředku jen s úrovní záruky „nízká“, která stačí například pro přihlášení k portálu samotné NIA, ale nestačí pro přihlášení „přes NIA“ k datové schránce (tam je potřeba alespoň úroveň „značná“).
Reálně by to ale nemusel být problém. Jednak proto, že prostředek s úrovní „nízká“ u nás zatím vydává jen ČSOB (jako kombinaci jména a hesla, označovanou jako „ČSOB Identita – rychlý přístup“), ale jeho držitelé by snad měli současně disponovat i prostředkem s úrovní „značná“ (ČSOB Identita – ověřený přístup). A i kdyby ne, má takovýto uživatel možnost požádat si o vydání klasických přístupových údajů.
Mimochodem, pro vyloučení pochybností ohledně toho, co se míní oním „prvním přihlášením“: pokud již nějaký prostředek elektronické identifikace máte a již jste ho použili či poprvé použijete ještě v letošním roce, žádný vliv to mít nebude. Počítat se začne až od první sekundy Nového roku a rozhodující bude, zda v daném okamžiku již máte svou vlastní datovou schránku nepodnikající osoby. Záležet by naopak nemělo na tom, zda již existující datová schránka je, či není zpřístupněna (spíše: znepřístupněna).
Ze zákona, nebo na žádost?
Co je (zřejmě) stále otevřenou otázkou, je povaha oněch automaticky zřizovaných datových schránek nepodnikajících fyzických osob: budou to schránky zřizované ze zákona, nebo na žádost? Na tom totiž docela záleží.
Pokud by se jednalo o datové schránky zřizované ze zákona, vztahovaly by se na jejich držitele další povinnosti. Hlavně asi povinnost podávat veškerá daňová přiznání již výhradně elektronicky, a navíc způsobem a ve formátu, který si předepíše správce daně (viz § 72 odst. 6 zákona č. 280/2009 Sb., daňový řád).
Pravdou je, že tato povinnost není vázána jen na samotnou existenci datové schránky zřízené ze zákona, ale i na to, zda je aktuálně zpřístupněna. K tomu si dodejme, že datové schránky nepodnikajících osob, o kterých je zde řeč, je po jejich počátečním zpřístupnění (automaticky do 15 dnů či prvním přihlášením) možné zase znepřístupnit – a tím se vyhnout dopadům, konkrétně povinnosti podávat daňová přiznání elektronicky.
Naopak: pokud by tyto automaticky zřizované datové schránky byly schránkami zřizovanými „na žádost“ (a nikoli „ze zákona“), pak by na ně povinnost s elektronickými daňovými podáními nedopadala, ani kdyby zůstaly zpřístupněné a skutečně se využívaly.
K tomu si ještě dodejme, že když je někomu zřízena datová schránka (nepodnikající fyzické osoby) ještě před 1. 1. 2023, měla by to být i nadále schránka zřízená „na žádost“. A povinnosti, spojené se schránkami „ze zákona“, by se na ni tudíž vztahovat neměly.
Už tušíte, o co tady jde? Budou v příštím roce existovat dvě různé kategorie datových schránek nepodnikajících fyzických osob (DS FO) – jedny zřízené ještě „na žádost“ a druhé zřízené již „ze zákona“? S různými povinnostmi, které z toho vyplývají pro jejich držitele? Má smysl, aby si někdo zřídil datovou schránku nepodnikající fyzické osoby raději včas a sám, ještě „na žádost“, a díky tomu ji mohl používat bez povinnosti činit daňová podání již jen elektronicky? Nebo z opačného pohledu: když už bude někomu schránka zřízena až v novém roce, je nutné, aby ji nechával znepřístupnit, pokud se chce vyhnout povinnosti činit daňová podání již jen elektronicky?
Aktuální právní úprava neodpovídá na základní otázku příliš jasně a jednoznačně. Osobně jsem z kontextu nabyl dojmu, že předmětné datové schránky nepodnikajících fyzických osob (zřizované automaticky při prvním přihlášení) budou schránkami zřizovanými „ze zákona“. A na letošním ISSS jsem v kuloárech zaznamenal, že resort vnitra usiluje o opak – aby tyto schránky byly považovány za zřízené „na žádost“.
To by bylo vstřícnější vůči jejich držitelům (třeba u daňových podání by se mohli sami rozhodnout, co je pro ně výhodnější). Také praktické rozlišování by bylo jednodušší: všechny datové schránky nepodnikajících osob by byly „na žádost“ a nemuselo by se (složitě) zkoumat, jak byly zřízeny. Dosud přitom nebylo třeba rozlišovat způsob zřízení schránky, protože ten jednoznačně vyplýval z jejího typu a podtypu. Nově by to již neplatilo.
Tak uvidíme, jak to nakonec dopadne. Dočkáme se odpovědi na takovéto docela zásadní otázky alespoň v avizované informační kampani za 38 milionů? Nebo ta do takovýchto „detailů“ vůbec nepůjde?
A mimochodem: obdobný problém se vlastně týká i datových schránek podnikajících fyzických osob (OSVČ, živnostníků atd.). S tím rozdílem, že ty budou v novém roce zřizovány všem PFO, kteří dosud svou DS PFO nemají – a budou zřizovány „rovnou“ (přesněji: do 31. 3. 2023) bez prokazování jejich informační gramotnosti či jen schopnosti se přihlásit „přes NIA“, a navíc bez možnosti následného znepřístupnění. Tedy celkem jasně „ze zákona“, a nikoli na „žádost“.
Přitom dnes si „obecně“ podnikající osoby mohou stejný druh datové schránky (DS PFO) zřídit dobrovolně samy, ještě jako schránky „na žádost“. Ze zákona jsou zřizovány (resp. již zřízeny) profesním skupinám, jako jsou advokáti, insolvenční správci, daňoví poradci či znalci a tlumočníci.
Lidé budou neuvěřitelně naštvaní
K nadcházejícímu „tsunami“ datových schránek se ve svém vystoupení na ISSS vyjádřil i ředitel odboru eGovernmentu na MV ČR, pan Roman Vrba (zvukový záznam od 52. minuty). Označil ji za nadcházející třetí etapu, přičemž tou první bylo samotné položení (či „vymyšlení“) základů českého eGovernmentu ještě pány Langerem a Zajíčkem.
Druhou etapou pak byl rozjezd služeb eGovernmentu a jejich stabilizace, přičemž k této etapě pan Vrba deklaroval, že si služby eGovernmentu na sebe bohatě vydělají. A že v protikladu k tomu stojí to, jak musí doslova žebrat o lidi a prostředky na implementaci a provoz těchto služeb, jejichž poskytování je navíc přímo zakotveno v zákoně. No a od nadcházející třetí etapy si pan Vrba slibuje zásadnější změnu, byť vyvolanou poněkud netradičním způsobem (zvukový záznam od 58. minuty):
… ta třetí etapa bude to, že v datovkách budou tři miliony lidí, pět milionů lidí, kteří mají elektronickou identitu, ti lidi budou buď dobrovolně ty služby používat, nebo v případě OSVČ trošku nedobrovolně. Dostali to od 1. 1. nařízeno zákonem, a to je to super jako, co bude: ti lidi budou strašně naštvaní, já si myslím, že budou ale neuvěřitelně naštvaní, jak ty systémy jsou složité, jak jsou nepřehledné. A myslím si, že to je na tom to úžasný, že tím, že budou naštvaní, ti občané, klienti, rovná se voliči, tak skutečně vyvinou ten tlak a my se posuneme velmi rychle dál. A to si myslím, že je velmi pozitivní na závěr říct, že eGovernment se v následujících letech určitě posune někam dál a lépe.
Jaká bude čtvrtá etapa?
Mohu-li navázat na etapizaci pana Vrby, dovolím si konstatovat, že na obzoru je již i čtvrtá etapa. Přijde s revizí nařízení eIDAS a dopadne zejména na oblast elektronické identifikace. Podrobněji jsem se jí věnoval v této sérii článků zde na Lupě ještě v loňském roce, a tak jen velmi stručně:
- elektronická identifikace má být řešena na decentralizovaném principu (jako tzv. Self-Sovereign Identity) – tedy „svou elektronickou identitu mám u sebe a já rozhoduji o tom, komu a co z ní poskytnu“ (nikoli „mou elektronickou identitu má stát v základních registrech“)
- středobodem má být Evropská peněženka digitální identity (EDIW, European Digital Identity Wallet), ve které si budou její držitelé uchovávat svou elektronickou identitu (resp. její jednotlivé atributy, plus další elektronické doklady a potvrzení) a ze které jej budou poskytovat konkrétním poskytovatelům služeb (a to přímo, nikoli „přes NIA“ či jiného prostředníka)
- peněženka má být prostředkem elektronické identifikace s úrovní záruky „vysoká“
- peněženka má umožňovat i elektronické podepisování pomocí kvalifikovaného elektronického podpisu.
Na letošním ISSS byla této problematice věnována jedna samostatná přednáška, ale mluvilo se o ní i v rámci dalších přednášek. Například v této přednášce zaznělo, že celý návrh ještě není definitivní, resp. uzavřený, a o jeho finální podobě se teprve jedná. A že konkrétně ČR usiluje o to, aby se požadavek na úroveň záruky „vysoká“ u peněženky digitální identity snížil na „značná“.
To má dvě důležité souvislosti: první je ta, že naše banky se svou tolik opěvovanou bankovní identitou dosahují právě jen úrovně „značná“. Druhou je to, že EU (v rámci tzv. Digitálního kompasu 2030) požaduje, aby do konce současné dekády (tj. do roku 2030) „80 % občanů využívalo řešení v oblasti digitální identity“.
I když oněch 80 % budeme interpretovat jen ve smyslu potenciální možnosti (jako „mohou využít“), a ne nutně ve smyslu aktuálním („již skutečně využili, alespoň jednou“), stále se zde rýsuje problém: bude-li elektronická identifikace postavena na oné peněžence s úrovni „vysoká“, pak nemůže být založena či jinak provázána s bankovní identitou, která má pouze úroveň „značná“. A to ani pro nějaké jednorázové „převzetí“ nové elektronické peněženky a její aktivaci pomocí bankovní identity (neboli pro „onboarding“, jak se dnes říká správně česky). Nehledě na to, že dnes má naše bankovní identita „dosah“ na zhruba polovinu populace (cca 5 milionů) a potenciál jejího dalšího růstu je již omezen (viz úvod článku, odhadem na 5,5 milionu). Nikoli na 80 % populace ČR.
O čem se na letošním ISSS v souvislosti s revizí eIDAS naopak nemluvilo, je to (z mého pohledu) možná nejpodstatnější: celková koncepční odlišnost obou přístupů. Tedy námi zvoleného nepřímého modelu s národním bodem (NIA) coby prostředníkem, přes kterého prochází všechny transakce, a s umístěním elektronických identit v základních registrech oproti přímému modelu bez prostředníka a s elektronickými identitami v samotných peněženkách, kterými disponují sami držitelé identit.
Zda a jak dokáží dva takto odlišné přístupy vzájemně koexistovat a zda se je případně podaří nějak vzájemně skloubit, ukáže teprve čas.