Jak na digitální kontinuitu (5): Používáme datový trezor v datových schránkách

11. 4. 2023
Doba čtení: 12 minut

Sdílet

 Autor: Ministerstvo vnitra ČR
Datový trezor je komerční služba, které platíte za to, aby nedošlo ke smazání obsahu vaší datové zprávy po 90 dnech. S digitální kontinuitou trezor sám nic nedělá, ale svou existencí jí přeci jen určitým způsobem pomáhá.

předchozím dílu tohoto seriálu jsme si naznačili možné principy aktivní péče o elektronické dokumenty (a celé datové zprávy) umožňující udržet jejich aktuální digitální kontinuitu. Popsali jsme si kvalifikované služby pro uchovávání a nástroj pro přerazítkovávání datových zpráv, který je zabudován v klientském portálu datových schránek.

Také dnes se zaměříme na datové zprávy: popíšeme si, jak funguje datový trezor, nabízený jako komerční (tudíž placená) služba v prostředí Klientského portálu datových schránek. A pochopitelně se podíváme i na to, zda a jak dokáže pomoci s udržováním digitální kontinuity datových zpráv.

Životní cyklus datové zprávy

Abychom si mohli popsat fungování datového trezoru, musíme se nejprve seznámit s tím, co a jak se děje s datovou zprávou během jejího „pobytu“ v systému datových schránek.

Když je nová datová zpráva z nějaké konkrétní datové schránky odesílána, je ihned opatřena (kvalifikovaným elektronickým) časovým razítkem. Říkejme mu „podací“, případně „vstupní“, či jen „první“, protože jak si záhy řekneme, nemusí být jediné. Pokud zpráva následně projde antivirovou kontrolou, je prakticky okamžitě dodána (vložena) do cílové datové schránky.

Můžeme si to názorně ukázat na příkladu (systémové) datové zprávy z 15. prosince loňského roku. Na následujícím obrázku je tato datová zpráva „viděná očima“ programu Form Filler. Povšimněte si shodné doby připojení (podacího) časového razítka a dodání do cílové datové schránky. 

Autor: Jiří Peterka

Pro zajímavost si tu samou datovou zprávu a její podací časové razítko ukažme ještě „očima“ prohlížeče datových zpráv, který je zabudován do klientského portálu datových schránek (a který jsme si popisovali v minulém dílu).

Autor: Jiří Peterka

Zpět ale k samotné zprávě: jakmile je tato vložena (dodána) do cílové datové schránky (což je v doručence vyznačeno jako událost EV5), systém nastaví její interní stav na (4). Z hlediska opatřování časovými razítky a pečetěmi se s ní ale už dále (přímo v datové schránce) nic neděje, a to až do jejího smazání (převedení do stavu (9)). A jen pro úplnost si zopakujme pravidla toho, co se s ní děje jiného:

  • pokud se do 10 dnů (od dodání) přihlásí někdo s právem číst datovou zprávu (což je v doručence vyznačeno jako událost EV11, EV12, nebo EV13), je zpráva systémem považována za „doručenou přihlášením“. Její interní stav je nastaven na (6) a v datové schránce zůstává dalších 90 dnů (tj. od přihlášení, nikoli od dodání), načež je smazána (převedena do stavu (9)),
  • pokud se do 10 dnů (od dodání) nepřihlásí nikdo, kdo má právo číst zprávu, a pokud současně není (nastavením příznaku na zprávě) vyloučeno doručení datové zprávy fikcí, je zpráva systémem považována za „doručenou fikcí“ (což je v doručence vyznačeno jako událost EV2). Její interní stav je změněn na (5) a v datové schránce zůstává 3 roky (pak je systémem smazána). Pokud se ale během této doby přihlásí někdo s právem číst datovou zprávu, zůstává datová zpráva ve schránce již jen po dobu 90 dnů (od tohoto přihlášení) a její stav je změněn na (6),
  • pokud je (nastavením příznaku na zprávě) vyloučeno její doručení fikcí, zpráva zůstává (ve stavu (4)) ve schránce 3 roky (pak je smazána). Pokud se během této doby někdo přihlásí (události EV11, EV12 či EV13), je zpráva systémem považována za „doručenou přihlášením“ (stav 6) a ve schránce zůstává již jen dalších 90 dnů (od přihlášení),
  • datovou zprávu ve stavu (6) či (7) je možné číst i stáhnout, její interní stav je tím nastaven na (7).

K tomu několik upřesnění:

  • od 1. 1. 2023 se zmiňovaných 10 dní (na fikci doručení) počítá stejně jako v kamenném světě, tedy se zohledněním víkendů, svátků a celých kalendářních dnů. Nikoli jako 10× 24 hodin jako původně.
  • vnímání zprávy jako „doručené přihlášením“ či „doručené fikcí“ je nutné chápat jen jako „názor stroje“. Ještě lépe jen jako konstatování určité faktické události (někdo s potřebnými právy se včas přihlásil vs. nikdo se včas nepřihlásil). Nikoli jako výsledek právního posouzení toho, zda bylo, či nebylo platně doručeno.
  • smazání datové zprávy je ve skutečnosti jen smazáním jejího obsahu (příloh), zatímco samotná obálka (s metadaty) zůstává zachována a je stále dostupná v Klientském portálu přes nabídku „Historie“.
Autor: Jiří Peterka

Kdy se připojuje pečeť a druhé časové razítko?

Nyní již zpět k opatřování datové zprávy časovými razítky a elektronickou pečetí: každá datová zpráva, dodaná do cílové datové schránky, již má na sobě ono první („podací“) časové razítko. Elektronická pečeť je k ní ale připojována až v okamžiku jejího stahování z datové schránky. Současně s pečetí je ke zprávě připojeno také druhé časové razítko, které lze označit přívlastkem „výstupní“ (protože se připojuje v okamžiku stahování datové zprávy neboli jejího „výstupu“ ze systému datových schránek).

K tomu si dodejme důležitou skutečnost: stáhnout si datovou zprávu lze po celou dobu, kdy se nachází v datové schránce a už ji lze číst. Tedy v době, kdy je ve stavu (6), kdy ji lze (poprvé) číst i stáhnout, či ve stavu (7), kdy již byla skutečně přečtena a/nebo stažena. Zjednodušeně je to během oněch 90 dnů, než je zpráva smazána (převedena do stavu (9)). To ale znamená, že jednu a tutéž datovou zprávu lze stáhnout v různých okamžicích, kdy také získá jiné časové razítko (přesněji: s jiným časem připojení).

Zjednodušeně, pro případ bez fikce doručení, to ukazuje následující obrázek.

Autor: Jiří Peterka

Na dalším obrázku pak vidíte příklad stejné (systémové) datové zprávy z 15. 12. 2022, jakou jsme si ukazovali výše, a to ve dvou exemplářích: jeden (vlevo) byl stažen 19. 12. 2022 v 10:29:34 (jak udává jeho „výstupní“ časové razítko). Druhý exemplář téže zprávy byl stažen 14. 3. 2023 v 11:03:26, jak opět vyplývá z jeho „výstupního“ časového razítka.

Autor: Jiří Peterka

Pozorný čtenář si jistě všiml i toho, že v mezidobí se změnil i certifikát, na kterém je založena elektronická pečeť. Ten mimochodem stále nemá nastaven příznak umístění soukromého klíče na kvalifikovaném prostředku (pro vytváření elektronických pečetí alias QSealCD). Kvůli tomu je výsledná elektronická pečeť stále jen uznávanou elektronickou pečetí, nikoli kvalifikovanou elektronickou pečetí.

Rozhoduje stažení, nikoli dodání či doručení

Zdůrazněme si, že o aktuální digitální kontinuitě datové zprávy rozhoduje to, do kdy je možné ověřit platnost (posledního) časového razítka. Zde toho výstupního, které je vždy pozdější než to podací (vstupní). Dokud je možné ověřit platnost tohoto časového razítka, je možné vzít čas jeho připojení (jde vlastně o čas připojení pečeti) a k tomuto okamžiku ověřovat platnost samotné pečeti na datové zprávě. 

A jak jsme si právě řekli: o času připojení časového razítka rozhoduje okamžik stažení datové zprávy, nikoli okamžik jejího odeslání či dodání do cílové datové schránky. Ani okamžik, kdy se někdo do datové schránky přihlásí či kdy systém datových schránek dospěje k názoru, že je doručeno (což se vůbec nemusí shodovat s právním závěrem o platném doručení).

Ukažme si to na příkladu jiné, již trochu starší zprávy, dodané 27. 11. 2018, (platně) doručené 7. 12. 2018, poprvé stažené 15. 12. 2018 (viz levá část obrázku) a podruhé stažené 24. 2. 2019 (viz pravá část obrázku).

Autor: Jiří Peterka

Exemplář datové zprávy v levé části obrázku (stažený 15. 12. 2018) je opatřen časovým razítkem, založeným na certifikátu, jehož řádná platnost trvá do 26. 3. 2024 (viz zelený rámeček). To znamená, že platnost tohoto časového razítka bude možné ověřit právě do onoho 26. 3. 2024 a díky tomu bude možné ověřit i platnost elektronické pečeti na samotné datové zprávě. Jinými slovy: aktuální digitální kontinuita tohoto exempláře datové zprávy „vydrží“ do 26. 3. 2024.

V mezidobí, ještě před stažením exempláře v pravé části obrázku, došlo u společnosti PostSignum coby poskytovatele služby (kvalifikovaných) časových razítek pro systém datových schránek k výměně certifikátů pro časová razítka (konkrétně ve dnech 31. 12. 2018 a 2. 1. 2019). Díky tomu je exemplář zprávy v pravé části obrázku opatřen časovým razítkem, které je založené na certifikátu s delší dobou platnosti, až do 22. 12. 2024. To znamená, že aktuální digitální kontinuita tohoto exempláře datové zprávy „vydrží“ do 22. 12. 2024. Tedy déle než u exempláře v levé části obrázku.

Pamatujme si tedy celkový závěr: že o tom, jak dlouho nám „vydrží“ aktuální digitální kontinuita konkrétního exempláře datové zprávy, rozhoduje okamžik jejího stažení.

Jak funguje datový trezor

Nyní si již můžeme popsat, jak funguje komerční služba s názvem Datový trezor, kterou v prostředí klientského portálu datových schránek poskytuje Česká pošta. Je to placená služba (ceník), kterou je možné platit buď z kreditu, nebo „na fakturu“. Jeho kapacita, měřená nikoli objemem, ale počtem datových zpráv, je dána tím, jakou variantu si uživatel objedná a zaplatí (minimum je 20 zpráv za 120 Kč na 1 rok).

Autor: Jiří Peterka

V prvním přiblížení by se dalo říci, že jde o službu, které platíte za to, že nedělá nic. Tedy, přesněji: způsobuje, že se nestane to, co by se jinak stalo. A to smazání datové zprávy po 90 dnech v rámci výše popisovaných pravidel. Tedy přechod datové zprávy do stavu (9) (kdy jsou přílohy datové zprávy skutečně smazány a zachována zůstává jen samotná obálka).

Při detailnějším pohledu dochází k tomu, že pokud je datový trezor aktivní (ve smyslu zaplacený) a má ještě volnou kapacitu (viz dále), pak po oněch 90 dnech datová zpráva místo změny svého stavu na stav (9) (a smazání příloh) změní svůj stav na stav (10), při kterém je její obsah nadále zachován (dokud je služba aktivní).

Datovou zprávu ve stavu (10) si lze představit jako „přesunutou do datového trezoru“ (i když ve skutečnosti nejspíše zůstává uložena na stejném místě a jen se mění atribut vypovídající o jejím stavu). Z pohledu uživatele Klientského portálu se to ale projeví tím, že příslušnou datovou zprávu již neuvidí ve „složce“ s obsahem své datové schránky, ale v samostatné složce nadepsané „Datový trezor“, viz následující obrázek.

Autor: Jiří Peterka

Za zmínku určitě stojí to, že do datového trezoru se takto „přesouvají“ (mění stav) jak přijaté, tak i odeslané datové zprávy a také se samostatně zobrazují. Takže třeba hlášce o tom, že v datovém trezoru máte aktuálně 5 zpráv, když vidíte jen 3 (jako na předchozím obrázku), je třeba rozumět tak, že zbytek zpráv jsou ty odeslané (viz následující obrázek). A naopak.

Autor: Jiří Peterka

Zdůrazněme si znovu, že datový trezor je „dimenzován“ podle počtu datových zpráv, nikoli podle jejich velikosti či celkového objemu. Nekupujete si tedy trezor třeba s místem o velikosti 1 GB, ale s místem na X datových zpráv. Nejmenší možností je již zmiňovaných 20 datových zpráv (za 120 Kč na 1 rok).

Jak se datový trezor obsluhuje?

Dobré je také vědět, že uživatel sám nemá možnost žádnou datovou zprávu do svého datového trezoru přesunout. Tedy například vybrat si ty zprávy, které pro něj mají nějaký dlouhodobější význam, ty „přesunout“ do datového trezoru, a ostatní datové zprávy třeba hned smazat. To bohužel nejde. Ani jedno, ani druhé.

Mazat lze jen datové zprávy, které se aktuálně nachází v datovém trezoru (jak naznačují i oba předchozí obrázky). U ostatních datových zpráv (ještě „v datové schránce“) možnost jejich smazání dostupná není (ke smazání dochází jen automaticky, podle výše popsaných pravidel).

No a k přesunu datových zpráv do datového trezoru dochází také pouze automaticky. Zjednodušeně: s koncem 90. dne, kdy by jinak došlo ke smazání zprávy (změně stavu na stav (9)). Podmínkou samozřejmě je to, aby datový trezor byl aktivní (zaplacený) a aby ještě měl volnou kapacitu. Pokud kapacitu nemá, je zpráva smazána ve výše popsaném smyslu.

Je to tedy (alespoň podle názoru autora tohoto článku) uživatelsky dost nevstřícné a plné nástrah. Hlavně při nejmenších kapacitách si uživatel musí sám hlídat, aby se mu jeho datový trezor nezaplnil a on nepřišel o nějakou datovou zprávu, kterou si přeje zachovat. Naopak té, kterou si zachovat nepřeje, nemůže zabránit v tom, aby „přešla“ do trezoru: musí si hlídat, kdy se tak stane, a teprve pak ji může (resp. musí) z trezoru sám smazat, pokud potřebuje šetřit místem.

S hlídáním „zaplněnosti“ datového trezoru mohou pomoci notifikace zasílané při jeho zaplnění na 90 % a na 95 %. Což při nejmenší variantě trezoru pro 20 zpráv odpovídá místu pro dvě další datové zprávy, či jen jednu jedinou.

Autor: Jiří Peterka

Samotná notifikace zaplnění trezoru probíhá skrze datovou zprávu, a to tu systémovou. Ta naštěstí sama v trezoru místo nezabírá, protože systémové datové zprávy se do datového trezoru nepřesouvají (a jsou vždy mazány).  

A ještě jedna poznámka: datový trezor je tzv. doplňkovou službou k datovým schránkám a je zabudován do klientského portálu datových schránek. Je tudíž přístupný jen přes tento portál (a od roku 2012 i skrze jeho webové služby, a tedy i pro aplikace, jako je Datovka). Aktuálně není dostupný z Portálu občana, pokud uživatel obsluhuje svou datovou schránku ze svého účtu na tomto portálu (jak si budeme podrobněji popisovat příště).

Datový trezor a digitální kontinuita

Nyní si již také můžeme říct, co datový trezor dělá pro (aktuální) digitální kontinuitu: nic.

Přesněji: sám s datovými zprávami nic nedělá – ale tímto svým neděláním digitální kontinuitě přeci jen prospívá. Umožňuje pozdější stažení datové zprávy (kdykoli, kdy je datová zpráva ve stavu (10)), a tím i „nastartování“ její (aktuální) digitální kontinuity.

Jinými slovy, po celou dobu, kdy je datová zpráva v datovém trezoru, je stále opatřena jen jedním (podacím, resp. vstupním, prvním) časovým razítkem. Teprve v okamžiku jejího stahování – a to jak z datové schránky, tak z datového trezoru – je vytvořen nový exemplář datové zprávy a ten je opatřen (uznávanou) elektronickou pečetí a (kvalifikovaným elektronickým) časovým razítkem. Zjednodušeně, je vytvořen „čerstvý“ exemplář datové zprávy a jeho aktuální digitální kontinuita teprve začíná „běžet“.

A opět platí, stejně jako při stahování zpráv přímo z datové schránky: pokud si z datového trezoru stáhnete stejnou datovou zprávu v různých okamžicích, dostanete dva její exempláře, které nejsou zcela identické. Liší se (vždy) časem připojení výstupního časového razítka a mohou se (ale nemusí) lišit i certifikátem, na kterém je toto časové razítko založeno (i certifikátem, na kterém je založena samotná elektronická pečeť). Konkrétní příklad jsme si již ukazovali.

Úložiště souborů v datové schránce

Pro úplnost si ještě řekněme, že přímo v datové schránce (v rámci klientského portálu ISDS) lze nalézt nabídku označenou jako Úložiště souborů.  

Jde o krátkodobé úložiště (max. na 15 dnů), do kterého lze vložit až 30 souborů. Těmi mohou být jak celé datové zprávy, tak i jiné soubory (pocházející např. z příloh datových zpráv).

Autor: Jiří Peterka

I podle nápovědy jde o řešení, které má usnadnit sdílení souborů mezi různými uživateli téže datové schránky nebo opakované vkládání stejného dokumentu do různých odesílaných datových zpráv (aby se soubor nemusel uploadovat pokaždé znovu). Pokud totiž máte nějaké soubory či celé zprávy v tomto úložišti, při sestavování nové zprávy je aktivní možnost „Vložit z úložiště souborů“.

Autor: Jiří Peterka

S udržováním digitální kontinuity vám ale toto úložiště nijak nepomůže. Je to jen prosté úložiště, jakási online flashka na max. 30 souborů, která po 15 dnech zapomíná to, co do ní bylo vloženo.

Příště si již popíšeme, jak funguje sdílené úložiště na Portálu občana a zda (případně jak) se dá využít pro udržování aktuální digitální kontinuity datových zpráv.

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).