1. únor 2025 je důležité datum. V tento den nabývá plné účinnosti Zákon č. 12/2020 Sb., o právu na digitální služby (ZoPDS), podle kterého by měly být (téměř) všechny služby veřejné správy poskytovány i digitální formou.
Co se dozvíte v článku
Možné způsoby, jak mohou občané digitální služby využívat, jsou vyjmenovány v § 4 odst. 1:
Uživatel služby má právo činit digitální úkon vůči orgánu veřejné moci prostřednictvím:
a) své datové schránky,
b) kontaktního místa veřejné správy v případě digitálního úkonu, o kterém tak stanoví prováděcí právní předpis,
c) sítě elektronických komunikací dokumentem podepsaným uznávaným elektronickým podpisem nebo opatřeným uznávanou elektronickou pečetí za podmínek stanovených jinými zákony,
d) informačního systému veřejné správy umožňujícího prokázání totožnosti uživatele služby s využitím elektronické identifikace, autorizaci digitálního úkonu uživatelem služby a zpětné prokázání projevu vůle uživatele služby učinit digitální úkon, nebo
e) jiného způsobu, pokud tak stanoví právní předpis.
Bod a) je jasný.
Pod bodem b) se skrývají služby poskytované prostřednictvím Czech POINTů.
Bodem c) je míněno zaslání podání e-mailem.
V případě bodu d) se jedná o webové portály.
Poslední bod e) pokrývá případy typu daňová informační schránka.
Nebudeme detailně rozebírat jednotlivé způsoby, budeme se věnovat pouze bodu d), resp. jedné jeho části.
Nejprve pár vysvětlujících pojmů. Nejsou to záměrně přesné definice, ale čtivější forma pro snadnější pochopení. Právníci nechť tento odstavec radějí přeskočí:
- Digitální úkon je činnost, kterou občan nebo právnická osoba provádí elektronicky směrem k veřejné správě, např. podání návrhu na vklad do katastru nemovitostí provedené elektronicky na katastrální úřad.
Všechny digitální úkony musí být zveřejněny v katalogu služeb. - Pod pojmem portál je v textu myšlena webová aplikace, pomocí které uživatel vytváří podání a následně ho v portálu i rovnou provede.
Portál obsahuje chytré formuláře, které usnadňují uživatelům vyplňování tím, že automaticky předvyplňují známá data, jako jsou osobní údaje nebo informace z předchozích podání. Výsledkem může být formulář, který se na závěr vygeneruje do formátu PDF, a buď se (po provedené autorizaci) předá z portálu spolu s daty pro automatizované zpracování rovnou do elektronické podatelny, nebo se nabídne uživateli ke stažení, pokud by ho chtěl podat např. e-mailem nebo datovou schránkou. - Autorizací digitálního úkonu je myšlena elektronická forma souhlasu osoby s provedením úkonu. Je to obdoba podpisu na vyplněném papírovém formuláři (ale není to elektronický podpis).
- Pod ověřením autorizace digitálního úkonu je možné si představit zpětné prokázání nebo ověření, že uživatel úkon skutečně autorizoval. Jak si za chvíli řekneme, v zákonech je to uvedeno trochu jinak, ale technicky se provádí tohle.
Činit digitální úkon pomocí bodu d) lze s využitím portálů, které jsou v současné době úřady pilně budovány a bude to zřejmě veřejností nejpoužívanější způsob provedení podání. Na takové portály je kladeno mnoho požadavků, jejichž rozbor by vydal na několik článků. Jedním z požadavků je umožnění autorizace prováděného úkonu a jemu se budeme dále věnovat.
Jak online podání „podepsat“?
Online způsob podání přináší problém, jak důvěryhodně a prokazatelně zaznamenat „podpis“ uživatele. Pokud se jedná o úkon, na kterém participuje více osob, musí ho „podepsat“ všechny, ne pouze ta, která na závěr provede podání. V analogii k e-mailu se jedná o situaci, kdy jedna osoba vytvoří PDF s podáním, následně další osoby PDF opatří uznávaným elektronickým podpisem a na závěr podepsané PDF jedna z osob odešle na podatelnu úřadu.
Slovo podepsat bylo uváděno záměrně v uvozovkách. Neznamená to, že uživatel bude na portálu prstem nebo myší malovat podpis, nebo ho vkládat jako obrázek, nebo přidávat uznávaný elektronický podpis.
Podle § 8 zákona č. 365/2000 Sb., o informačních systémech veřejné správy se:
Úkon, jehož náležitostí má být podpis toho, kdo jej činí, učiněný prostřednictvím informačního systému veřejné správy považuje za podepsaný, umožňuje-li informační systém veřejné správy prokázání totožnosti toho, kdo úkon činí, s využitím elektronické identifikace, autorizaci úkonu tím, kdo úkon činí, a zpětné prokázání projevu vůle toho, kdo úkon činí.
V § 4 odst. 1 d) ZoPDS je uvedena podobná formulace, resp. požadavek na informační systém, prostřednictvím kterého se úkon provádí. Takový systém musí umožnit:
prokázání totožnosti uživatele služby s využitím elektronické identifikace, autorizaci digitálního úkonu uživatelem služby a zpětné prokázání projevu vůle uživatele služby učinit digitální úkon
Základní podmínky jsou:
- prokázání totožnosti uživatele služby s využitím elektronické identifikace,
- provedení autorizace digitálního úkonu,
- možnost zpětného prokázání projevu vůle uživatele tento úkon učinit.
Umožnění prokázání totožnosti s využitím elektronické identifikace je zajištěno přihlášením uživatele prostřednictvím Národního bodu pro identifikaci a autentizaci (NIA), což je kvalifikovaný systém elektronické identifikace ve smyslu § 3 zákona č. 250/2017 Sb., o elektronické identifikaci.
Provedení autorizace digitálního úkonu znamená, že uživatel musí úkon explicitně autorizovat, tzn. součástí podání musí být proces autorizace a nestačí jen prosté odeslání (podání) vyplněného online formuláře. Současně autorizace neznamená, že je podání po jejím provedení automaticky provedeno. Vrátím se k analogii s e-mailem – můžete PDF podepsat uznávaným podpisem, ale nemusíte ho okamžitě odeslat (podat). Můžete si všimnout chyby, zahodit ho a vytvořit nové, podepsat a odeslat.
Třetí podmínka nehovoří přímo o možnosti zpětně prokázat, že uživatel daný úkol autorizoval, ale že musí jít prokázat projev vůle uživatele úkon učinit. Na webu Identity občana je pod pojmem autorizace digitálního úkonu uvedena věta „Autorizací podání je míněno ověření, kým bylo digitální podání učiněno.“, kterou lze číst i tak, že všichni, kdo úkon autorizovali, ho i činí. Tlačítko Podat však může stisknout pouze osoba jedna, stejně jako pouze jedna osoba může odeslat e-mail, který ale může obsahovat přílohu s el. podpisy více osob.
Následně vydávané osvědčení o digitálním úkonu se má vystavit tomu, kdo úkon učinil. V případě digitálního úkonu učiněného e-mailem nebo datovou schránkou lze z principu osvědčení vystavit a zaslat pouze tomu, kdo zprávu odeslal. Naznačují citované texty, že to jsou v případě podání přes online portál všichni, kdo úkon autorizovali? Nebo jen nebylo pamatováno na situaci, kdy např. návrh na vklad do katastru nemovitostí může v roli navrhovatele podepsat více osob? Tento odstavec je však pouze názor IT člověka a není podstatný pro pokračování článku.
Zákony nijak nestanovují přesný postup, jak podmínky 2) a 3) splnit. Jsou psány obecně, nepodmiňují pro autorizaci použít konkrétní informační systém a je na řešiteli, jakou cestou se vydá. Pojďme si dvě hlavní načrtnout.
Autorizace vlastními prostředky
Jednou z možností, jak se s uvedenými podmínkami vypořádat, je přidat do formuláře prvek pro autorizaci úkonu, např. tlačítko. Uživatel by kliknutím explicitně vyjádřil svůj projev vůle, který by systém zaznamenal a umožnil následně provést podání. Tento postup je jednoduchý a přímočarý, ale může vést i k minimalistické implementaci, např. ve formě tlačítka, po jehož stisknutí se v systému nastaví atribut indikující, že uživatel autorizaci provedl. Tato jednoduchost se může negativně projevit později, pokud by došlo ke sporu a dokazování. Proto je vhodné při takovém typu autorizace implementovat alespoň základní ochranné prvky a postupy:
- Přidat zaškrtávací políčko nebo jinou pojistku, aby proces tvořily minimálně dva kroky a uživatel nemohl kliknout na autorizační tlačítko omylem.
- Zafixovat daný úkon přesně ke stavu autorizace. Pokud bude výsledkem i PDF dokument s vyplněnými údaji, tak ho před autorizací vygenerovat. Pokud budou výsledkem i/pouze data, tak je např. serializovat do jednoho XML/JSON. Pokud budou ale výsledkem pouze data, musí jít zpětně, při případném dokazování, důvěryhodným způsobem reprezentovat.
- Pokud jsou součástí úkonu přílohy, je nutné je zahrnout do PDF nebo dat (v případě PDF jako vložené přílohy, pokud to není žádoucí, tak alespoň textově ve formě kryptografických otisků).
- K vytvořenému PDF a/nebo datům spočítat a uložit kryptografický otisk. Pokud bude úkon autorizovat více uživatelů, měla by se autorizace všech vztahovat ke stejnému kryptografickému otisku. Do PDF/dat není vhodné mezi autorizacemi zasahovat, byť by se jednalo pouze o změnu, která nemá vliv na významový obsah podání. V případě sporů bude jednodušší prokazovat, že všichni uživatelé prováděli autorizaci stejných údajů, než že údaje byly sice rozdílné, ale z hlediska podání významově shodné.
- V případě existence PDF ho uživateli nabídnout ke stažení a kontrole. Nezapomenout i na možnost stažení/kontroly příloh, pokud nebudou vloženy do PDF (na přílohy se často zapomíná u uživatelů, kteří úkon nevytváří, ale pouze autorizují).
- Vygenerovat unikátní identifikátor autorizace.
- Nechat uživatele autorizaci provést.
- Po provedení autorizace vygenerovat interní záznam, který bude obsahovat minimálně:
– identifikátor autorizace,
– BSI nebo AIFO uživatele provádějícího autorizaci,
– datum, čas a identifikátor přihlášení uživatele prostřednictvím NIA,
– kryptografický otisk PDF s úkonem a/nebo dat,
– datum a čas provedení autorizace.
Je vhodné takto vygenerovaný záznam zapečetit, včetně kvalifikovaného časového razítka. - Pokud bude systém umožňovat ještě před uskutečněním podání, ale již po proběhlé autorizaci(ích) opravu dat, tak provedené autorizace zrušit a po opravě dat provést celý autorizační proces znovu.
Body 5) až 8) se budou opakovat pro všechny uživatele, kteří mají autorizaci provádět.
Při implementaci výše zmíněných bodů se bude v případě sporů jednodušeji prokazovat, k jakým datům se autorizace vztahovala, kdo ji provedl a že nebyla data následně změněna. Není to jediný způsob, jak autorizaci vlastními prostředky provést. Je spíše vodítkem, na co si dávat pozor. Nicméně při tomto způsobu bude stát při prokazování slovo jedné strany proti druhé. Existuje však možnost řešit autorizaci jinak, a to pomocí třetí, nezávislé strany.
Autorizace pomocí NIA
Národní bod pro identifikaci a autentizaci poskytuje služby pro provedení autorizace digitálního úkonu. Součástí je i webová stránka pro uživatele, kde si následně kdokoli, kdo má autorizovaná data, může provedení jejich autorizace ověřit.
Provedení autorizace
Autorizace prostřednictvím NIA se skládá z pěti základních kroků:
- Portál, na kterém uživatel vyplní formulář, vygeneruje při požadavku uživatele na autorizaci soubor popisující digitální úkon.
- Portál požádá NIA o provedení autorizace a předá kryptografický otisk souboru z předchozího kroku.
- NIA portálu vrátí pro daného uživatele možné způsoby provedení autorizace.
- Podle zvoleného způsobu uživatel autorizaci provede.
- Po provedení autorizace se portál dotáže NIA na výsledek.
Jednotlivé kroky si nyní rozebereme podrobněji. Aby popis nebyl dlouhý, bude se odkazovat na body předchozího postupu Autorizace vlastními prostředky.
První krok je obdobou bodů 2) až 6) s jedním, ale podstatným rozdílem – výsledkem bodu 2) musí být vždy soubor, který musí jít v bodu 5) stáhnout. Pokud nebude vytvářen PDF, musí být obsahem souboru data popisující úkon. Jak si ukážeme později, pomocí tohoto souboru si bude moci kdokoli autorizaci ověřit. Formát souboru není rozhodující, v rámci NIA lze provést autorizaci libovolného typu.
Protože uživatel může se souborem pracovat, je lepší při tomto způsobu autorizace generovat PDF, soubor s daty by byl pro uživatele černou skříňkou. V případě sporu by sice existoval záznam třetí strany (NIA) o jejich autorizaci, ale vznikl by problém s jejich nezpochybnitelnou interpretací, pokud by nebyla ve formátu s veřejným popisem.
V rámci jedné autorizace lze autorizovat pouze jeden soubor. Pokud je třeba autorizovat PDF i data, musí se data vložit v bodu 2) do PDF.
Alternativně lze vytvořit např. archiv ve formátu RAR, ZIP, 7-zip apod., který bude obsahovat všechny artefakty úkonu. Pro ověření autorizace by pak byl vždy potřebný celý archiv a nebylo by možné ověřit samostatný soubor extrahovaný z archivu.
V druhém kroku portál zašle NIA žádost o provedení autorizace a předá jí metadata, která tvoří:
- kryptografický otisk vytvořeného souboru,
- název digitálního úkonu (max. 100 znaků),
- popis digitálního úkonu (max. 200 znaků).
Název by měl odpovídat názvu uvedenému v katalogu služeb, popis ho může upřesnit a vrátíme se k němu ještě později. Soubor jako takový se NIA napředává, pouze jeho kryptografický otisk.
Ve třetím kroku, po předání metadat, vrátí NIA unikátní identifikátor autorizace, který úkonu přidělila, a podle možností uživatele dostupné způsoby jejího provedení.
- Autorizace přihlášením – tato možnost je dostupná vždy a znamená, že uživatel bude přesměrován do NIA, kde provede nové přihlášení.
- Autorizace SMS kódem – tato možnost je dostupná, pokud má uživatel v NIA ve svém profilu vyplněno mobilní číslo v sekci Údaje předávané ostatním portálům.
- Autorizace Mobilním klíčem – tato možnost je dostupná, pokud má uživatel připojen ve svém profilu jako autentizační prostředek Mobilní klíč eGovernmentu.
Pro provedení autorizace je vždy dostupný minimálně jeden (první) způsob, maximálně tři. V tento okamžik můžeme vybrat, který se má pro autorizaci použít, nebo ho nechat vybrat uživatele. První způsob je nutné implementovat vždy, protože je jediný, u kterého je zaručeno, že bude pro uživatele dostupný. Implementace dalších dvou je stejná a liší se pouze parametry ve volání NIA.
Ve čtvrtém kroku, po výběru způsobu autorizace, v případě způsobu:
- přihlášením přesměrujeme uživatele do NIA pro provedení ověřovacího přihlášení. Toto přihlášení technicky probíhá do jiné aplikace s názvem ADU a nemá vliv na přihlášení do portálu.
V parametrech předávaných NIA se dá specifikovat požadovaná úroveň záruk (LoA, úrovně jsou Nízká, Značná, Vysoká, viz článek 8 eIDAS). Hodnota může být rozdílná od hodnoty požadované pro přihlášení uživatele k SeP (portálu). Nicméně při zvolení LoA Vysoká (nejvyšší) riskujeme, že ji uživatel nebude mít dostupnou a autorizaci nebude moci provést. Aktuálně nabízí LoA Vysoká identifikační prostředky občanský průkaz (neplést s eDoklady v mobilu), mojeID a I.CA Starcos.
Pozor – pokud se požadovaná LoA nepředá, použije se Nízká. - SMS kódem zašleme tento požadavek do NIA a vyzveme uživatele k zadání kódu z doručené SMS,
- Mobilním klíčem zašleme tento požadavek do NIA a vyzveme uživatele k zadání kódu obdrženého v notifikaci Mobilního klíče.
V případě způsobu 1 tak uživatel interaguje přímo s NIA, kde musí provést nové přihlášení:
Následuje potvrzení předání dat do autorizační aplikace:
Po provedení ověřovacího přihlášení je uživatel z NIA přesměrován zpět na portál.
Pokud by se přihlásila jiná osoba, než která je přihlášená v portálu a která autorizaci vyvolala, zobrazí se chyba:
V takovém případě se uživatel musí vrátit zpět do portálu pomocí tlačítka Zpět internetového prohlížeče.
V případě způsobů 2 a 3 uživatel neopustí prostředí portálu. V SMS nebo v Mobilním klíči obdrží autorizační kód:
a tento kód zadá přímo v prostředí portálu, který ho následně předá NIA.
V pátém, závěrečném, kroku se portál zeptá NIA na výsledek (stav) autorizace a uloží si o ní záznam. Je to obdoba bodu 8) s doplněným identifikátorem autorizace vráceného NIA, záznam v tomto případě není třeba pečetit.
Samozřejmě i u tohoto způsobu platí bod 9) s tím, že v NIA provedenou autorizaci zrušit nelze, zrušení proběhne pouze na úrovni portálu. Pro případ, že uživatel opravu dat neprovede a jen znovu zahájí proces autorizace, je vhodné v bodu 2) vždy doplnit do autorizovaných dat např. pořadí kola autorizace nebo datum a čas jejího zahájení/fixace dat apod., aby měl soubor jiný kryptografický otisk, čímž se zabrání zobrazení duplicitních autorizací jedné osoby při kontrole autorizace souboru v NIA. Nutné to ale není.
Ověření autorizace v NIA
Provedení autorizace si následně může uživatel pomocí stránky NIA určené pro ověření autorizace kdykoli nahráním souboru získaného v bodu 5) zpětně ověřit, zda byl soubor (tzn. digitální úkon) skutečně autorizován.
Za povšimnutí stojí text „Nahrajte soubor (podání) a ověřte si tak, že daný digitální úkon proběhl v pořádku“:
Nahráním souboru proběhne pouze ověření jeho autorizace, což nemá s výsledkem digitálního úkonu (podáním) nic společného, podání ani nemuselo proběhnout. Možná je ale v tomto smyslu autorizace myšlena jako samostatný úkon.
Po nahrání souboru se zobrazí autorizace, které pro něj proběhly:
Pro každou provedenou autorizaci se zobrazuje:
- název,
- popis,
- datum bez přesného času,
- původce (název SeP, pod kterým je portál veden v NIA),
- kryptografický otisk ověřovaného souboru.
Nezobrazuje se ani identifikace uživatele, ani identifikátor, který autorizaci přidělila NIA.
Pokud bude stejný úkon autorizovat více uživatelů, resp. autorizace jednoho souboru proběhne vícekrát, zobrazí se všechny provedené autorizace. Na následujícím obrázku je výsledek ověření autorizace v případě, kdy autorizaci stejného úkonu provedly 2 osoby:
Jak je vidět, autorizace od sebe nejdou rozlišit. Pokud by měly autorizaci provádět např. osoby 4, nejde poznat, které už ji provedly a které ještě ne. Jediná možnost, jak rozlišení osob provést, je využití popisu. NIA, resp. její provozovatel Digitální informační agentura zřejmě moc ráda nebude, ale pokud soubor, který uživatel v bodu 5) získal, obsahuje čitelnou identifikaci osoby, neměl by být problém ji základně uvést i do popisu autorizace (např. „Návrh na vklad, Pepek Námořník (17. 1. 1929)“), protože tyto údaje se zobrazí pouze tomu, kdo má k dispozici autorizovaný soubor a může si v něm údaje stejně přečíst.
Alternativa může být přidělit všem autorizujícím osobám identifikátory a přidávat je do popisu autorizace a současně je uvádět v portálu nebo v autorizovaném souboru u jednotlivých osob.
Do popisu je možné přidat i identifikátor autorizace z bodu 6).
Na následujícím obrázku je ukázka využití popisu pro rozlišení jednotlivých autorizací. V popisu každé autorizace je uvedena základní identifikace uživatele a identifikátor autorizace z bodu 6):
Aby nedošlo k mýlce – rozlišení autorizací v popisu při jejich ověřování v NIA slouží hlavně uživatelům. Portál obdrží z NIA pro každou autorizaci jedinečný identifikátor a to mu jako důkaz stačí. Přesné rozlišení se ale může hodit při řešení problémů, např. pro zjištění, která autorizace zobrazená v NIA odpovídá záznamu portálu.
Pokud bude soubor, který byl autorizován, následně dostupný ve veřejném rejstříku, bude si autorizaci úkonu moci ověřit jakákoli osoba, která dokument z rejstříku získá.
Autorizaci prostřednictvím NIA, resp. její případné následné ověření uživatelem, trochu komplikuje osvědčení o digitálním úkonu, které musí být po provedení úkonu nabídnuto uživateli ke stažení. Uživatelé se v pojmech jako autorizace, osvědčení, digitální úkon orientují obtížně a nebudou mezi nimi často dělat rozdíly. Proto je vhodné do osvědčení uvést vysvětlení, že dokument s osvědčením o digitálním úkonu neslouží k ověření autorizace digitálního úkonu v NIA.
Variantou může být vložit do PDF s osvědčením, jako přílohu, soubor s úkonem, ke kterému se autorizace vztahovala, a uživatele na to v osvědčení upozornit, včetně stručného popisu, jak přílohu z osvědčení extrahovat. Uživatelé PDF soubory většinou zobrazují v internetových prohlížečích, které standardně přílohy PDF neumí zobrazit a je třeba použít nástroj typu Acrobat Reader apod.
Závěr
Právní předpisy nestanovují, jak autorizaci digitálního úkonu konkrétně provádět. Oba postupy uvedené v tomto článku by měly splňovat požadavky, které předpisy na autorizaci kladou. První způsob, pomocí tlačítka, je jak jednodušší na implementaci, tak je méně obtěžující z hlediska uživatele. Skrývá ale úskalí v dokazování provedené autorizace provozovatelem portálu.
Druhý způsob, který preferuje Digitální informační agentura, využívá služeb NIA. Je komplikovanější na implementaci, vnáší do portálu závislost na další službě (služba NIA pro autorizaci je rozdílná od služeb NIA pro přihlašování) a uživatelé musí provádět další kroky. Má ale výhodu v tom, že autorizaci provádí a ručí za ni NIA, resp. Digitální informační agentura, a tak je případné dokazování na ní. Proti prvnímu způsobu je bezpečnější, protože uživatel musí znovu ověřit svoji identitu, a tak je vyšší jistota, že autorizaci provádí skutečně on sám. Autorizaci si může následně kdokoli (uživatel, zaměstnanec úřadu, zákazník, který soubor s úkonem po provedení získal z veřejného rejstříku) ověřit u nezávislé autority.
První způsob může být výhodné použít v případech, kdy má úkon méně závažné právní účinky a není pravděpodobné dokazování provedení autorizace. Druhý způsob je vhodný u závaznějších úkonů, kdy je třeba mít autorizaci, pokud možno, „neprůstřelnou“.
Oba způsoby lze teoreticky i kombinovat, pokud se v rámci jednoho systému činí rozdílné úkony. Uživatelé jsou na tento přístup zvyklí například z internetového nebo mobilního bankovnictví, kdy některé typy operací nebo operace převyšující určenou částku musí autorizovat způsobem podobným ve variantě přes NIA a některé nemusí, protože banka je vyhodnotí jako méně závažné a zde by odpovídaly prosté autorizaci tlačítkem.
Dodatek pro vývojáře
Pro autorizaci přes NIA jsme si vytvořili jednoduchý prototyp na zkoušení a lepší pochopení, jak to celé funguje. Pokud by se někomu hodil, zveřejnili jsme k němu na GitHubu zdrojové kódy, včetně pár postřehů a tipů.