Některé kontroverzní prvky novely zákonů zřizujících bankovní identitu

3. 11. 2020
Doba čtení: 7 minut

Sdílet

Zákon přinášející do českého právního řádu bankovní identitu (a s ní spojené benefity) na malém prostoru obsahuje až příliš mnoho kontroverzních bodů.

Novelou zákona č. 21/1992 Sb., o bankách (ZoB), a zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (ZoAML), schválenou letos na začátku roku si státní správa slibuje rozšíření možnosti elektronické identifikace občanů České republiky ke službám státu. Její schvalování nebylo bez problémů, ať už vzhledem k poměrně razantnímu přepsání při průchodu Poslaneckou sněmovnou, tak i k rozpačitým zakončením v Senátu. 

V Senátu tuto novelu jeden výbor, kterému bylo projednání návrhu přiděleno, schválil a druhý (ne)překvapivě zamítl. Při projednávání na plénu pak zazněla od některých senátorů ostrá slova poukazující na zbrklost v projednávání důležitého bodu a nakonec Senát k novele nepřijal žádné usnesení, čímž jí nicméně umožnil přijetí. Možná i tyto procesní peripetie nám dovolují označit tuto novelu jako nestandardní až kontroverzní. Stejně jako její obsah.

O této novele bylo napsáno mnoho. Poměrně detailně se jí například věnoval Jiří Peterkačlánku na serveru Lupa.cz. Jelikož se naše sdružení před dvěma měsíci stalo kvalifikovaným správcem podle zákona o elektronické identifikaci (ZoEI), dovolím si shrnout některé body, které jsou z našeho pohledu v novelizovaných zákonech implementované ne úplně ideálně. Většina kontroverze pramení bohužel z oslabení povinností bank ve vztahu k ZoEI.

Tento zákon ve svém klíčovém paragrafu 2 nařizuje, že všechny online služby, kterým zákon ukládá povinnost ověřování totožnosti, tak mají nově činit elektronicky jen prostřednictvím kvalifikovaného systému elektronické identifikace. Paragraf je sám o sobě napsán trochu nešťastně. Myslím si, že zákonodárce chtěl místo „prostřednictvím kvalifikovaného systému elektronické identifikace“ napsat spíš „prostřednictvím národního bodu“. Takto se zdá, že například řada obcí, které již nyní umožňují elektronickou identifikaci prostřednictvím přímého napojení na mojeID (nyní již kvalifikovaného systému elektronické identifikace), splňují požadavek zákona, aniž by se napojily na národní bod. Dá se předpokládat, že ono napojení všech online služeb státu na národní bod bylo právě záměrem celého zákona. Chyba v zákoně? Těžko říct.

Nicméně chtěl bych se spíš věnovat první části tohoto paragrafu, která určuje, kdo všechno by měl mít povinnost využívat státem uznané prostředky elektronické identifikace. Paragraf je v tomto smyslu schválně formulován obecně, aby nezahrnoval jenom online služby státní správy a samosprávy, ale aby umožnil tyto prostředky využívat i v soukromoprávním světě, pokud tam existuje zákonem vyžadovaná nutnost ověřovat totožnost. Dovolím si citaci z důvodové zprávy: „Příkladem právního předpisu vyžadujícího prokázání totožnosti v oblasti soukromoprávních vztahů je zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, jehož § 7 stanoví povinnost identifikace. Je zjevné, že zákonodárce měl v první řadě na mysli, že povinnost uznávat např. elektronické občanské průkazy budou mít právě banky.

Účinnost tohoto paragrafu sice byla o dva roky odložena, nicméně již od 1. července 2020 by stát měl začít aktivně vymáhat, aby všechny služby, na které se zákon vztahuje, umožňovaly přihlášení pomocí státem uznaných prostředků. Jde to evidentně pomalu, ale služby postupně přibývají a úředníci Ministerstva vnitra se aktivně snaží, aby se užitečnost prostředků elektronické identifikace zvyšovala právě rozšiřujícím se množstvím služeb, kde je můžete použít. Na jeden obor nicméně úředníci páku v podobě tohoto paragrafu ZoEI mít nebudou – a jsou to právě banky. 

Novelou ZoAML zákonodárci stanovili, že využití kvalifikovaného systému elektronické identifikace je vedle použití elektronických prostředků bank pouze možnost, jak ověřit totožnost svých zákazníků. A protože se jedná o specifický zákon, který je nadřazený nad zákon obecný, je teď plně na rozhodnutí bank, zda-li majitelům elektronických identifikačních prostředků, jiných než jsou jejich vlastní, přístup umožní. Vzhledem k hlavní výtce, kterou veřejnost ke stávajícímu systému vznáší, týkající se malého množství podporovaných online služeb, se jedná minimálně o promarněnou příležitost. Stát mohl použití kvalifikovaného systému jednoduše vynutit, stejně jako to platí pro ostatní služby.

Není to jediný problematický bod. Zmíněná novela obsahuje další kontroverzní bod, kterým je omezení, že pokud banka umožní použití prostředku vydaného v rámci kvalifikovaného systému pro identifikaci klienta, musí se jednat o prostředek splňující úroveň záruky „vysoká“. Jako alternativu je možné použit jakýkoliv prostředek vydaný bankami splňující požadavky ZoB. Banky, které aspirují na posouzení svých prostředků podle ZoEI, ve svých prohlášeních shodně připouštějí, že jejich elektronické prostředky mohou dosáhnout pouze na úroveň záruky „značná“. Je rozhodně zvláštní, že pokud pro uznání vlastních prostředků tato úroveň stačí, pro uznání ostatních prostředků je tato úroveň nedostačující. V novele ZoB je sice zmíněn rozšiřující požadavek na fyzické ověření totožnosti, který v úrovni „značná“ není implicitně garantován, nicméně jistě by šlo rozhraní ke kvalifikovaným systémům o atribut, který by to dokladoval, rozšířit.

Opusťme ale novelu ZoAML a přejděme k vlastnímu ZoB. Tento zákon opravňuje banky podnikat v oboru elektronické identifikace a umožňuje jim stát se kvalifikovaným správcem podle ZoEI. Novela zákona jim k tomu dává poměrně silný nástroj, a to je přímý přístup do základních registrů (ZR). V důvodové zprávě lze nalézt toto zdůvodnění nutnosti získání přístupu k ZR: „Navrhované oprávnění zároveň dále sníží případné riziko zneužití prostředků pro elektronickou identifikaci banky, pobočky zahraniční banky nebo poskytovatele identifikačních služeb ze strany neoprávněné osoby, ale díky možnosti porovnat on-line shodu podoby fyzicky přítomné osoby sníží také četnost neoprávněného ‚podsunutí‘ cizí identity při návštěvě pobočky.

Ruku na srdce – banky by nebyly jediné subjekty, které by „ocenily“ přímý přístup do ZR. Operátoři, energetické firmy, všichni by měli rádi přímý přístup do ZR. Lze samozřejmě souhlasit s tím, že možnost porovnat totožnost klienta se ZR a možnost udržovat aktuální informace velkou měrou přispívá k uvedenému cíli. Zároveň je třeba říci, že stejný nástroj dává kvalifikovaným správcům již samotný ZoEI. Ten zřizuje rozhraní k národnímu bodu, které umožňuje potřebným způsobem ověřit totožnost a zároveň umožňuje informovat kvalifikovaného správce o změnách v ZR pro již ztotožněné klienty. Rozhraní národního bodu přirozeně obsahuje mnohem menší rozsah oprávnění oproti přímému přístupu do ZR. Je skutečně možné, že pro důvěryhodné ztotožnění klienta je nutné provést víc, ale proč se v takovém případě oprávnění přístupu do ZR netýká obecně všech kvalifikovaných správců? Právě ti totiž mají ze zákona povinnost důvěryhodně ověřovat totožnost. Z neznámého důvodu ale mocný nástroj, kterým je možné tuto povinnost plnit, mají mezi kvalifikovanými správci mít pouze banky.

Poslední kontroverzní bod osobně považuji za nejzvláštnější. Podle ZoEI musí kvalifikovaný správce umožnit použití svého prostředku zdarma pro všechny služby napojené na národní bod. Banky si nicméně vymohly významné omezení těchto povinností. Podle novely ZoB nemusí banky poskytovat služby zdarma všem, ale jen vybrané podskupině služeb, a to jsou služby státu a samosprávních celků. Poskytovatelé ostatních služeb budou muset bankám za identifikační služby nejspíš platit (aspoň tak to vypadá z veřejně prezentovaných úvah). 

Důvod tohoto omezení je opět zřejmý z důvodové zprávy: „Kvalifikovaný správce je poté obecně povinen svůj kvalifikovaný systém elektronické identifikace dle § 3 ZoEI zpřístupnit všem potenciálním příjemcům elektronické identifikace (tzv. kvalifikovaným poskytovatelům – viz § 18 odst. 1 ZoEI) prostřednictvím NIA, a to zdarma. Banky a pobočky zahraničních bank v postavení kvalifikovaných správců tak nemají kvůli této úpravě možnost kontrolovat, kdo a v jakém rozsahu využívá jimi vydaný prostředek pro elektronickou identifikaci, a za jakých podmínek tak činí. Tento fakt s sebou nese pro banky a pobočky zahraničních bank nezanedbatelná rizika. Lze proto shrnout, že bankám a pobočkám zahraničních bank v souvislosti se získáním akreditace pro správu kvalifikovaného systému a s jeho následným provozem vznikají nezanedbatelné náklady a současně se banky vystavují řadě rizik (zejm. v rovině odpovědnosti za nesprávně provedenou identifikaci, resp. obecně za škodu způsobenou při správě kvalifikovaného systému podle § 9 ZoEI), to vše bez možnosti kontroly nad okruhem příjemců poskytovaných služeb a jejich podmínkami. Současná situace tak deformuje tržní prostředí v oblasti poskytování elektronické identifikace ze strany bank a poboček zahraničních bank.

V této citaci z důvodové zprávy lze opět téměř se vším souhlasit. Pro úplný a bezpodmínečný souhlas ale musíme nahradit slova „Banky a pobočky zahraničních bank“ za slova „jakákoliv společnost“. Vždyť vše o nákladech a rizicích platí pro jakoukoliv společnost, která se rozhodne stát se kvalifikovaným správcem. V důvodové zprávě není uveden jediný důvod, který by nějak vysvětloval, v čem je banka jiná. A proč ostatním kvalifikovaným správcům povinnost poskytovat služby všem zdarma zůstala, zatímco bankám nikoliv. Banky si za tytéž služby, které ostatní kvalifikovaní správci poskytují zdarma, mohou nechat platit.

Tvorba zákonů je specifický proces a výsledné zákony jistě nebývají ideální. Proto jsme svědky častých novelizací. Zákon přinášející do českého právního řádu bankovní identitu (a s ní spojené benefity) na malém prostoru obsahuje až příliš mnoho kontroverzních bodů. Nezbývá než doufat, že zákonodárcům se alespoň ty nejpalčivější z nich podaří v dohledné době napravit. V opačném případě se dostáváme do situace, pro kterou bych si s klidným svědomím vypůjčil již jednou citovanou větu z důvodové zprávy: „Současná situace tak deformuje tržní prostředí v oblasti poskytování elektronické identifikace ze strany bank a poboček zahraničních bank. Významově by se nicméně smysl posunul jinam, než ji autor důvodové zprávy pravděpodobně zamýšlel.

Text vyšel na blogu sdružení CZ.NIC.

Autor článku

Autor působí jako technický partner sdružení CZ.NIC, kde má na starosti především architekturu a další technické parametry systému správy domén a autentizační služby mojeID.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).