Právní úprava tzv. bankovní identity
Tzv. zákon o bankovní identitě otevírá pomyslné technologické dveře do světa snadné, dostupné, důvěryhodné, jednotné a efektivní elektronické identifikace napříč soukromým a veřejným sektorem, a to prakticky jen tím, že umožňuje využít přihlašovací metody do internetového bankovnictví pro další účely. Tato možnost pro více než pět milionů aktivních uživatelů internetového bankovnictví v České republice přinesla zcela nový rozměr využití jinak relativně ustrnulé důvěryhodné elektronické identifikace, poskytované málo rozšířenými elektronickými občanskými průkazy s čipem. Pro advokáty by to mohlo v budoucnu umožnit zejména dálkové přístupy do soudních a správních spisů, které by nám značně usnadnily život.
Zákon č. 49/2020 Sb.,[1] kterým se mění zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, a zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů, a některé další zákony (dále „zákon o bankovní identitě“), byl přijat ústavní většinou poslanců Poslanecké sněmovny Parlamentu České republiky, stal se nejvážnějším kandidátem na „Zákon roku 2020“ a byl spolu se zákonem o právu na digitální služby (č. 12/2020 Sb.) patrně mediálně nejvíce pokrytým přijatým zákonem minulého roku. To je velmi příznivá zpráva, vezmeme-li v potaz, že tento zákon vznikl jako iniciativa soukromého sektoru,[2] jež vedla k obšírnému a produktivnímu dialogu se státem (zejm. s Českou národní bankou, Ministerstvem vnitra, Ministerstvem financí, Finančním analytickým úřadem a Správou základních registrů), který vznik zákona plně podpořil a stanovil mu výslednou podobu.
Přitom nejde pouze o možnost jednoznačně identifikovat konkrétní osoby, ale po dobrém vzoru z jiných zemí i o možnost poskytovat důvěryhodné identifikační údaje osoby třetím stranám (samozřejmě se souhlasem dané osoby), vytvářet zaručené elektronické podpisy, jednoduše se přihlašovat do uživatelských účtů napříč internetem (tzv. single sign-on) nebo v budoucnu provádět i související bankovní transakce v rámci jediného nástroje, který každý aktivní klient banky již zná a umí jej bez problémů používat.
Přes aktuální záplavu informací o bankovní identitě a jejím využití v teorii i praxi doposud chybí detailnější pojednání o jejím právním základu a bližší vysvětlení zákonem zavedených principů. Primárně to se budeme snažit naším příspěvkem napravit, ačkoli samozřejmě nemůžeme obsáhnout veškeré dotčené právní oblasti (např. podrobně nepojednáváme o problematice ochrany osobních údajů).
Zákon o bankovní identitě
Právní prostředí před zákonem o bankovní identitě
České právo se před rokem 2017 snažilo podchytit vzdálené důvěryhodné ověření či určení totožnosti osoby spíše výjimečně. Dlouhodobě se omezilo pouze na identifikaci fyzické osoby, byť existovaly i snahy o zřízení tzv. mandátního rejstříku pro fyzické osoby zastupující právnické osoby. Aktuálně bohužel stále neexistuje ani návrh takového řešení, ač v jiných členských státech Evropské unie již inspirace existuje.
Digitální identita občanů ČR byla fakticky založena se vznikem základních registrů dle zák. č. 111/2009 Sb., o základních registrech (dále „ZZR“). Každý z nás máme pouze jednu oficiální identitu vyjádřenou záznamem v základním registru obyvatel. Od té doby se stát až do přijetí zákona o bankovní identitě snažil zákonem upravit pouze ověřování totožnosti pro veřejný sektor. Jednalo se např. o identifikaci přes občanský průkaz se strojově čitelnými údaji (u přístupu k údajům o občanovi vedeným v základních registrech), autentizaci přihlášením do datové schránky (např. pro nahlížení do daňové schránky či podání v oblasti nemocenského pojištění) nebo jiný nespecifikovaný způsob umožněný fakticky konkrétním úřadem (např. pro podání v oblasti sociálního zabezpečení). Českým specifikem v rámci právní úpravy vzdálené identifikace je tzv. přístup se zaručenou identitou, který blíže popisujeme ve stejnojmenné části dále.
Aktuálně elektronickou identifikaci v České republice obecně upravuje zákon č. 250/2017 Sb., o elektronické identifikaci (dále „ZoEI“). Jedná se o jeden ze dvou klíčových vnitrostátních adaptačních předpisů nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále „nařízení eIDAS“).
ZoEI upravuje použití elektronické identifikace v případech, kdy zákon nebo výkon působnosti vyžaduje ověření totožnosti osoby a cílí primárně na snadnější přístup občanů ke službám veřejné správy a k zákonem regulovaným službám soukromého sektoru (typicky zákonem č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu; dále „AML zákon“). Na jeho základě vzniklo prostředí tzv. kvalifikovaných systémů (tj. důvěryhodných státních a akreditovaných soukromoprávních IT prostředí), které spravují tzv. kvalifikovaní správci (dle § 4 ZoEI, někdy též identity provideři) a které některým poskytovatelům online služeb (dle § 18 odst. 1 ZoEI, někdy též service provideři) umožňují prostřednictvím Národního bodu pro identifikaci a autentizaci (dále „NIA“) identifikovat jejich koncové zákazníky. Jelikož jde primárně o regulaci pro veřejný sektor, obecné užití komerční elektronické identifikace v soukromém sektoru ponechává ZoEI na vůli stran a nijak tuto identifikaci nereguluje (což je spíše dobře).
Hlavní překážkou bránící širšímu zapojení bank a poboček zahraničních bank (dále v článku obě skupiny jen jako „banky“) do poskytování identifikačních služeb byla původní podoba § 1 zák. č. 21/1992 Sb., o bankách (dále „zák. o bankách“). Tato úprava taxativně vymezovala činnosti, které banka mohla v rámci své podnikatelské činnosti vykonávat, přičemž mezi těmito činnostmi chybělo poskytování elektronické identifikace. Pro banku přitom neplatí obecný princip legální licence, tj. že by mohla činit vše, co není zákonem zakázáno, ale může vykonávat pouze činnosti uvedené v bankovní licenci a ty jsou odvozeny od možností činností bank uvedených v zákoně.
Původní právní úprava také neumožňovala přístup bank k aktuálním údajům o klientech, které o nich vedou základní registry dle ZZR a vybrané informační systémy veřejné správy. Absence tohoto přístupu omezovala banky v efektivním plnění jejich zákonných povinností; přitom se o ní léta diskutovalo jako o klíčové cestě k eliminaci rizika zneužívání identity při bankovních obchodech.
Účel a principy zákona o bankovní identitě
Zákon o bankovní identitě měl proto za cíl odstranit výše uvedené překážky za účelem širšího zapojení bank do poskytování prostředků pro elektronickou identifikaci. Nabyl účinnosti dne 1. 1. 2021. Nejedná se o nový svébytný předpis, ale o novelizaci čtyř zákonů – zák. o bankách, AML zákona, zák. č. 277/2009 Sb., o pojišťovnictví, a zák. č. 168/1999 Sb., o pojištění odpovědnosti za škodu způsobenou provozem vozidla a o změně některých souvisejících zákonů.
Základním účelem novelizace bylo otevření trhu se službami v oblasti elektronické identifikace a službami vytvářejícími důvěru pro elektronické transakce pro banky a změna fungování NIA, tedy prostředníka ve státem zřízeném identifikačním prostoru, který zajišťuje výměnu informací mezi kvalifikovanými správci a kvalifikovanými poskytovateli. Klienti bank tak získali bezplatný přístup k elektronicky poskytovaným službám státu i soukromého sektoru pomocí svých stávajících bankovních autentizačních prostředků (bankovních identit), čímž by mělo dojít k jejich lepšímu zpřístupnění a zatraktivnění.
Neméně důležitým účelem byla i náprava omezeného přístupu bank a pojišťoven do základních registrů a vybraných agendových informačních systémů státu, který jim – jako tzv. soukromoprávním uživatelům údajů – pomůže při plnění jejich zákonných povinností, zejm. v rámci AML zákona.
Základní principy zákona o bankovní identitě lze shrnout následovně:
- možnost bank poskytovat elektronickou identifikaci a související služby v rámci své podnikatelské činnosti (jedná se o důvěryhodné, renomované, ale také právně velmi přísně regulované subjekty na trhu s nejvyššími bezpečnostními standardy),
- omezený bezplatný přístup ke službám bank jakožto akreditovaných kvalifikovaných správců v NIA pouze pro orgány státu a územních samosprávných celků (s ohledem na zmíněnou nezbytnost řízení rizik na straně bank),
- omezený přístup bank a pojišťoven k základním registrům za účelem efektivnějšího plnění jejich zákonných povinností, a
- možnost užití bankovní identity v rámci zákonných povinností v rámci identifikace klienta dle AML zákona (potřebné přímé zákonné zakotvení možnosti ověření totožnosti prostřednictvím bankovního prostředku pro elektronickou identifikaci v § 8a AML zákona).
Vysvětlení pojmů bankovní identita a identifikační služby
Ačkoli zákon o bankovní identitě definici bankovní identity neobsahuje, bankovní identitu lze obecně vnímat jako záznam o konkrétní fyzické osobě v informačním systému banky, který je ověřen a sjednocen se záznamy v základním registru osob vedeném státem. S tímto záznamem je spjat technický (fyzický) prostředek pro elektronickou identifikaci sloužící k ověření totožnosti (a následné autentizaci) vydaný bankou v rámci kvalifikovaného systému (viz § 38ab odst. 1 zák. o bankách).
Jinými slovy se tedy jedná o jednotný přihlašovací nástroj využívající uživateli dobře známé přihlašovací prostředky do jeho internetového bankovnictví, které na základě dobrovolnosti a vlastní aktivity jejího uživatele slouží též jako identifikační prostředek do systémů orgánů veřejné správy k čerpání veřejných služeb (přístup do různých portálů či evidencí nebo v budoucnu např. vzdálené nahlížení do spisu) nebo do systémů dalších soukromoprávních subjektů k identifikaci pro právní jednání a uzavírání smluv.
Zákon o bankovní identitě umožňuje reformulací § 1 odst. 4 písm. c) zák. o bankách bankám a poskytovateli identifikačních služeb (dle § 38aa odst. 1 a 2 zák. o bankách – osoba, ve které mají podíl pouze banky, která může poskytovat identifikační služby za splnění zákonných podmínek dle ZoEI a zák. o bankách) podnikat v odvětví identifikačních služeb. V únoru letošního roku se celkem deset bank dohodlo, že budou využívat pouze jediného poskytovatele identifikačních služeb, a to společnost Bankovní identita, a. s. Pro jednoduchou adopci bankovní identity je dobře, že minimálně na nějakou dobu není na stole myšlenka více poskytovatelů identifikačních služeb.
Ust. § 1 odst. 4 písm. c) zák. o bankách vyjmenovává jednotlivé identifikační služby, které může banka nebo poskytovatel identifikačních služeb vykonávat v rámci své podnikatelské činnosti. Patří mezi ně:
- elektronická identifikace dle čl. 3 bodu 1 nařízení eIDAS (v souvislosti s prostředky pro elektronickou identifikaci dle čl. 3 bodu 2 nařízení eIDAS),
- autentizace (elektronický postup umožňující potvrzení elektronické identifikace dle čl. 3 bodu 5 nařízení eIDAS),
- služby vytvářející důvěru (zejm. vytváření, ověřování shody, ověřování platnosti a uchovávání elektronických podpisů, pečetí či časových razítek dle čl. 3 bodu 16 nařízení eIDAS) a
- související služby nedefinované v nařízení eIDAS (zejm. poskytování nebo potvrzování osobních identifikačních údajů klienta, informací o klientovi souvisejících s jeho osobními identifikačními údaji, informací o bankovních obchodech klienta a vytváření a uchování elektronických dokumentů).
Z výše uvedeného výčtu vyplývá, že do zákona o bankovní identitě není potřeba inkorporovat definice jednotlivých pojmů, neboť je již obsahuje přímo použitelný právní předpis Evropské unie. Ten definuje i klíčový pojem prostředek pro elektronickou identifikaci, a to v čl. 3 bodu 2 nařízení eIDAS jako „hmotnou či nehmotnou jednotku obsahující osobní identifikační údaje, která se používá k autentizaci pro účely online služby“. Jedná se tedy o jakýsi nosič identifikačních údajů využívaný při elektronické identifikaci a následné autentizaci, který musí banka každému svému klientovi nejdříve vydat.
Ačkoli je bankovní identita založena na již existujících datech, bankovní prostředek pro elektronickou identifikaci je nutné vždy konkrétní osobě vydat. Většina bank přistoupila k tomuto kroku v návaznosti na předchozí změnu svých obchodních podmínek automaticky (tedy v režimu opt-out), v níž svým klientům umožnila odmítnout zřízení takového prostředku nebo pozastavit jeho používání. V opačném případě jim byla funkcionalita elektronické identifikace zřízena a možnost využití online identifikace jim nabízí (byť to možná někteří klienti nemuseli ani zaregistrovat). Klienti většiny bank si mohou založit bankovní identitu i samostatně, aniž by byli nuceni založit si u vybrané banky účet nebo využít jiný klasický bankovní produkt.
Bankovní identita v rámci kvalifikovaného systému (NIA)
Bankovní identitu lze využívat jak ve státem zřízeném identifikačním prostoru dle ZoEI, tak i mimo něj. Vždy ale musí být vydána v rámci kvalifikovaného systému, i když by eventuálně mohla být používána výhradně mimo něj (viz dále). Užití bankovní identity v rámci kvalifikovaného systému se řídí primárně ZoEI.
Podmínky na trhu
Bankovní identita v dnešní době není první ani jedinou snahou o zavedení sjednocující elektronické identifikace. Před jejím zavedením byl nejvíce rozšířeným prostředkem pro elektronickou identifikaci v rámci kvalifikovaného systému (v NIA) tzv. elektronický občanský průkaz s kontaktním elektronickým čipem, nicméně jednalo se o desítky tisíc aktivních unikátních uživatelů. Hlavní příčinou nízké uživatelské základny byl a stále je v praxi specifický nárok na pokročilý hardware a software pro samotnou identifikaci, kdy tento samotný nárok představuje určitou komplikaci a snižuje uživatelský komfort. V kombinaci s nutností znát nové číselné kódy a fyzicky se dostavit na úřad k vyzvednutí průkazu jako prostředku pro elektronickou identifikaci se jednalo o zásadní překážku bránící rozšíření takové metody elektronické identifikace. Tu bankovní identita překonala.
Definici kvalifikovaného systému uvádí § 3 ZoEI jako systém elektronické identifikace spravovaný kvalifikovaným správcem (v našem případě banka nebo poskytovatel identifikačních služeb dle § 38aa odst. 2 zák. o bankách), který umožňuje poskytnutí služby NIA a splňuje obligatorní podmínky nařízení eIDAS a prováděcího nařízení Komise (EU) 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení eIDAS (dále „prováděcí nařízení“). Vztahuje se na něj i výkladový dokument konkretizující minimální požadavky na kvalifikované systémy elektronické identifikace a na prostředky pro elektronickou identifikaci v rámci nich vydávané a používané (tzv. DKP IDP, aktuálně ve verzi 3.3) vydaný Ministerstvem vnitra.
Možnost pozastavit užívání bankovní identity
Za určitých okolností banka či poskytovatel identifikačních služeb nemá povinnost umožňovat používání prostředku pro elektronickou identifikaci v rámci kvalifikovaného systému. Tyto specifické okolnosti definuje nový § 38ab odst. 2 zák. o bankách jako změnu právního předpisu nebo změnu na základě právního předpisu, která zásadně ohrožuje plnění povinnosti banky nebo kvůli níž nelze po bance spravedlivě požadovat, aby umožňovala používat tento prostředek v rámci kvalifikovaného systému. Jde o relativně hypotetickou možnost, ale např. zásadní změna ZoEI rozšiřující přístup k bankovní identitě v NIA by mohla mít právě tento praktický dopad.
Jedná se pouze o přerušení povinnosti umožňovat používání bankovní identity (jako prostředku pro elektronickou identifikaci) v rámci kvalifikovaného systému, povinnost vydávat ji v rámci kvalifikovaného systému a možnost ji užívat mimo kvalifikovaný systém však bance stále zůstávají. Jde o jakousi legislativní „brzdu“ pro případ, že banka zjistí, že užívání jejích identitních prostředků jí může přinést nekontrolovatelné riziko. Banky však musí vyvinout veškeré úsilí, které po nich lze spravedlivě požadovat, k tomu, aby došlo k odstranění překážek bránících používání prostředků pro elektronickou identifikaci v rámci kvalifikovaného systému.
Takové přerušení povinnosti umožňovat používání bankovní identity (i odpadnutí relevantních důvodů) podléhá oznamovací povinnosti dle § 38ab odst. 3 zák. o bankách vůči správci NIA, Ministerstvu vnitra a v případě banky též ČNB.
Subjekty oprávněné využívat bankovní identitu
Bankovní prostředek pro elektronickou identifikaci dle ZoEI v rámci kvalifikovaného systému (v NIA) mohou využívat pouze orgány státní správy a místní samosprávy v postavení kvalifikovaných poskytovatelů online služeb dle § 18 ZoEI (dle § 38ad odst. 2 zák. o bankách) a přirozeně také koncoví uživatelé vůči takovým poskytovatelům, tj. klienti bank. Těmto orgánům zákon o bankovní identitě dokonce ukládá, aby bankovní identitu čerpaly výlučně skrz NIA, tedy záměrně jim zakazuje možnost využít bankovní identitu mimo NIA (§ 38ad odst. 3 zák. o bankách).
Zatímco v NIA probíhá elektronická identifikace výlučně zdarma, mimo NIA (resp. mimo kvalifikovaný systém) je tato služba zpoplatněna. Zákonodárce tak zakázal orgánům státu a místní samosprávy využít zpoplatněnou bankovní identitu, když jim (jako jediným subjektům v NIA) dává možnost ji využít zdarma. Zároveň změnil fungování NIA, který oproti původnímu stavu musí umět určit a odlišit, jaký prostředek pro elektronickou identifikaci kvalifikovaného správce byl využit konkrétním kvalifikovaným poskytovatelem služby.
Zákon o bankovní identitě tak zakotvuje jistou nerovnost mezi kvalifikovanými správci v NIA, kdy státní orgány a orgány územních samosprávných celků budou moci zdarma a bez omezení využít prostředky bank pro elektronickou identifikaci. Soukromoprávní poskytovatelé služeb budou za využití bankovní identity platit, podobně jako platí za využití platebních karet prodejci služeb. Uživatelé těchto služeb získávají benefit elektronické identifikace v obou situacích zdarma.
S ohledem na účinnost zákona o bankovní identitě již orgány státu začaly využívat bankovní identitu od začátku tohoto roku. Lze ji tak např. využít při přihlášení na Portál občana, portál Moje daně online, Portál Pražana, ale i v dalších řešeních eGovernmentu [v souladu s § 38ad odst. 2 zák. o bankách a s § 4 odst. 1 písm. d) zák. č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů]. V rámci legislativních změn plánovaných v rámci další elektronizace státní správy je pravděpodobné, že využití bankovní identity v rámci kvalifikovaného systému (NIA) automaticky brzy povede ke zřízení datové schránky fyzické osobě spojené s použitým prostředkem.[3] Její využití mimo kvalifikovaný systém ke vzniku datové schránky nepovede.
Bankovní identita mimo kvalifikovaný systém
Obecné využití
Mimo státní identifikační prostor, tedy v neregulované oblasti soukromoprávních vztahů mimo NIA a v něm sdružené kvalifikované systémy, na trhu objevíme nespočet prostředků pro elektronickou identifikaci, ale opravdu rozšířený, uživatelsky komfortní a důvěryhodný je, resp. bude, podle našeho názoru právě jen bankovní prostředek pro elektronickou identifikaci. Jako jediný prostředek ze všech je vydán podle přísných pravidel ZoEI tak, aby vyhověl právě i použití uvnitř kvalifikovaného systému. Navíc jako jediný nabízí uživatelsky praktickou kombinaci vzdálené identifikace a zároveň i platební metody.
Banka však může dle § 38ab odst. 1 zák. o bankách umožnit používání prostředku pro elektronickou identifikaci i podnikatelsky mimo kvalifikovaný systém dle § 1 odst. 4 písm. c) zák. o bankách, pouze je-li tento prostředek pro elektronickou identifikaci vydán a je umožněno jeho používání také v rámci kvalifikovaného systému. Touto úpravou zákonodárce mířil na propojení soukromého a veřejného sektoru v oblasti elektronické identifikace a zároveň na uchování určitých technologických a bezpečnostních standardů, neboť podnikatelsky budou moci banky využít jen to, co předtím akreditoval stát. Zároveň se tím zajišťuje benefit státu, krajům a obcím na bezplatné využívání bankovní identifikace pro účely služeb veřejného e-Governmentu, který jde na vrub bank.
Využití bankovní identity pro povinné subjekty dle § 2 ZoEI
Jednou z podstatných změn, kterou zákon o bankovní identitě přináší prostřednictvím § 38ac zák. o bankách, je užití prostředku pro elektronickou identifikaci (bankovní identity) i pro ty subjekty, jimž prokázání totožnosti ukládá právní předpis jako právní povinnost nebo jej potřebují pro výkon působnosti. Tedy typicky subjekty, které musí identifikovat své klienty podle AML zákona, nebo subjekty vykonávající delegovanou působnost v oblasti veřejné správy, které však nespadnou do kategorie orgán státu a orgán územně samosprávného celku (ti totiž musí bankovní identitu využívat výlučně v NIA, viz výše).
První podmínkou je existence prostředku pro elektronickou identifikaci splňujícího podmínky dle § 38ab odst. 1 zák. o bankách, tedy prostředku vydaného v rámci kvalifikovaného systému (NIA). Druhou je splnění technických specifikací, norem a postupů alespoň pro úroveň záruky značnou pro daný prostředek pro elektronickou identifikaci dle prováděcího nařízení. Třetí podmínka se váže na provedení identifikace osoby v souladu s AML zákonem (viz také nový § 8a AML zákona), tedy na splnění alespoň jedné ze tří možností identifikace osoby dle § 38ac odst. 2 písm. b) zák. o bankách:
- za fyzické přítomnosti identifikovaného,
- s využitím prostředku pro elektronickou identifikaci, který splňuje technické specifikace, normy a postupy pro úroveň záruky vysokou dle prováděcího nařízení (tedy se státními prostředky[4] nebo akreditovanými soukromoprávními prostředky uvedenými na webových stránkách Ministerstva vnitra[5] s touto úrovní záruky), nebo
- s využitím bankovního prostředku pro elektronickou identifikaci podle § 38ab odst. 1, který splňuje technické specifikace, normy a postupy pro úroveň značnou, pokud zároveň došlo k ověření totožnosti identifikovaného prostřednictvím NIA nebo informačního systému veřejné správy a banka, která prostředek vydává, má k dispozici údaj, kdo (jaká jiná banka) provedl AML identifikaci dle jednoho z předcházejících bodů.
Takto nastavené podmínky, které vyplynuly z dlouhých diskusí nad legislativním návrhem zákona o bankovní identitě s Ministerstvem vnitra a Finančním analytickým úřadem, zajišťují důvěryhodnost bankovních prostředků pro elektronickou identifikaci v případech vyžadované identifikace právním předpisem nebo výkonem působnosti i mimo kvalifikovaný systém (v komerčním prostředí). Povinné subjekty tedy mohou zvolit vedle NIA i komerční službu, která vyhoví požadavkům zvláštních předpisů. Využity budou shodné identifikační prostředky bank, avšak s tím rozdílem, že budou zpoplatněny dle ceníku společnosti Bankovní identita, a. s.
Jelikož mají banky různorodé sítě spolupracovníků, kteří reálně zajišťují identifikaci jejich koncových klientů, myslí na tuto skutečnost i zákon o bankovní identitě. Identifikaci identifikovaného za jeho fyzické přítomnosti může provést za podmínek dle § 38ac odst. 2 zák. o bankách také:
- osoba, která jedná za banku nebo poskytovatele identifikačních služeb (typicky se bude jednat o obchodního zástupce banky),
- úvěrová instituce podle § 2 odst. 1 písm. a) AML zákona, nebo
- osoba, která jedná za úvěrovou instituci podle bodu 2 a je vázána jejími vnitřními předpisy.
Při takové identifikaci se nacházejí data a údaje obvykle mimo dispoziční sféru banky, proto informace získané při identifikaci klienta dle AML zákona, včetně kopií příslušných dokladů, pokud byly pořizovány, musí být nově uloženy u banky (nebo poskytovatele identifikačních služeb) před vydáním příslušného bankovního prostředku pro elektronickou identifikaci. Povinná osoba, která provede takovou identifikaci, musí mít po dobu 10 let od uskutečnění obchodu mimo obchodní vztah nebo od ukončení obchodního vztahu s klientem k dispozici údaj o tom, kdo provedl identifikaci podle § 38ac odst. 1 písm. b) bodu 1 nebo 2 nebo § 38ac odst. 2 zák. o bankách.
Popsané řešení reaguje na předešlou zavedenou praxi bank v rámci identifikace klientů a zavádí možnost provést identifikaci na základě pověřeného subjektu (např. obchodní zástupce, úvěrová společnost), nebo na základě bankou získaných dat souvisejících s ověřením totožnosti dané osoby před vydáním prostředku pro elektronickou identifikaci.
V návaznosti na přijetí zákona o bankovní identitě bankovní sektor se státem nakonec bohužel nenašel řešení, díky němuž by bylo možné považovat za řádně ztotožněné klienty pro vydání bankovního prostředku pro elektronickou identifikaci i klienty, při jejichž ztotožnění banka využila metodu tzv. korunové platby dle § 11 odst. 7 AML zákona. Tyto klienty proto některé banky musí dodatečně ztotožnit, aby jim mohly nabídnout vydání vlastního bankovního prostředku pro elektronickou identifikaci.
Poskytovatel identifikačních služeb a interní využití bankovní identity
Mimo kvalifikovaný systém (tedy zjednodušeně mimo NIA) bude využívání bankovní identity zpoplatněno dle ceníku společnosti Bankovní identita, a. s., sjednocujícího banky poskytující elektronickou identifikaci prostřednictvím bankovní identity v soukromém sektoru. Jde o jediný subjekt, který naplňuje definici již mnohokrát zmíněného poskytovatele identifikačních služeb podle § 38aa odst. 2 zák. o bankách, který má dle zák. o bankách dokonce možnost sám vydávat prostředky pro elektronickou identifikaci namísto bank, byť to ještě minimálně nějakou dobu dělat nebude. Tato možnost shodná s koncepty v jiných zemích je nicméně již nyní umožněna zákonem a na své uplatnění zatím čeká.
Společnost byla založena Českou spořitelnou, Československou obchodní bankou a Komerční bankou, které byly do konce letošního února jedinými akreditovanými kvalifikovanými správci z řad bank, nicméně již v březnu k nim začaly přibývat další banky. Ty se postupně zapojí do projektu bankovní identity jako noví akcionáři společnosti i jako akreditovaní kvalifikovaní správci; půjde o Air Bank, Equa bank, Fio banku, mBank, MONETA Money Bank, Raiffeisenbank a UniCredit Bank.
Zákon o bankovní identitě nebrání bance využívat prostředky pro elektronickou identifikaci vydané v kvalifikovaném systému i v rámci svých interních aktivit nebo vydávat prostředky pro elektronickou identifikaci pouze za účelem interních aktivit (tzn. nebude možné s nimi pracovat v rámci kvalifikovaného systému ani mimo něj). Domníváme se, že vydávání samostatných prostředků pro elektronickou identifikaci sloužících pouze k interním aktivitám bank bude minoritní. Banky budou spíše vydávat jednotný prostředek sloužící ke všem účelům (plný přístup v rámci NIA, mimo ni i k interním záležitostem), který se bude lišit pouze použitou metodou autentizace či úrovní záruky. Na příkladu Československé obchodní banky lze demonstrovat, že umožňuje svým klientům využít hned šesti jejích prostředků pro elektronickou identifikaci – pěti s úrovní záruky značná a jednoho s úrovní záruky nízká. Všechny jsou použitelné v NIA, mimo ni i interně. A i kdyby měl jeden klient více těchto prostředků, všechny budou vycházet ze stejné báze dat a osobních údajů o něm, jen se budou lišit využitou technologií.
Bankovní identita v soukromém sektoru
Bankovní identita v soukromém sektoru přináší velký potenciál jednotné identifikace zejména v oblasti finančních služeb, energetiky, telekomunikací a obecně v e-Commerce. Nabízí komfortní a jednotnou přihlašovací metodu do desítek uživatelských účtů napříč internetem (tzv. single sign-on) na základě dobrovolnosti a vlastní aktivity subjektů. Může se jednat o jednotné přístupy do různých e-shopů, internetových stránek poskytujících specifické služby nebo o zastřešení autorizace jednoduchých plateb.
Využití bankovní identity v soukromém sektoru je na rozdíl od veřejného sektoru založeno smluvně, a to na základě komplexní smluvní dokumentace mezi kvalifikovanými správci, společností Bankovní identita, a. s., a kvalifikovaným poskytovatelem (koncovým korporátním zákazníkem bankovní identity). Jeho koncový individuální zákazník může v takovémto smluvním vztahu třetích stran iniciovat použití bankovní identity pouze svou faktickou aktivitou a souhlasem se zpracováním svých osobních údajů.
Bankovní identita může být zároveň metodou pro elektronický podpis. Jedná se o efektivní metodu elektronického podepisování, která výborně funguje např. ve skandinávských zemích. Bankovní identita, a. s., chystá doplňkovou službu elektronického podepisování, které bude postaveno na kombinaci jednoznačného ověření podepisující osoby a jejím provedení zaručeného elektronického podpisu, který nebude založen na kvalifikovaném certifikátu pro elektronický podpis. Nebude tedy sice použitelný např. pro jednání vůči úřadům dle § 6 zák. č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ale v důsledku spolehlivého systému společnosti Bankovní identita, a. s., naplňujícího parametry § 562 odst. 2 občanského zákoníku a souvisejícím datům bude bezesporu velmi důvěryhodným důkazem pro případná soudní řízení, v nichž nelze dle nařízení eIDAS odmítat nejen elektronické dokumenty obecně, ale ani dokumenty nepodepsané nejvyššími úrovněmi elektronického podpisu.
Majoritní, byť jistě jen dočasnou překážkou rozvoje bankovní identity v soukromém sektoru v dnešní době, je zejména personální a technologická nepřipravenost eventuálních zájemců z řad poskytovatelů služeb na zavedení této novinky do jejich obchodních případů. Technologie na straně bank jsou již v zásadě plně připraveny. Ti poskytovatelé, kteří si tuto možnost osvojí dříve, získají konkurenční výhodu.
Přístup se zaručenou identitou
Jedním z konceptů vzdáleného ověření totožnosti ve veřejném sektoru v českém právu je od 1. 7. 2018 i tzv. přístup se zaručenou identitou. Přístup do informačního systému veřejné správy nebo elektronické aplikace s využitím prostředku pro elektronickou identifikaci musí pro určité agendy splňovat právě kvalitativní požadavky přístupu se zaručenou identitou dle zák. č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů („ZISVS“).
ZISVS v § 2 písm. t) stanoví, že: „přístupem se zaručenou identitou [je] přístup do informačního systému veřejné správy nebo elektronické aplikace s využitím prostředku pro elektronickou identifikaci, při jehož vydání nebo v souvislosti s ním anebo v souvislosti s umožněním jeho využití byla totožnost osoby ověřena státním orgánem, orgánem územního samosprávného celku nebo orgánem veřejné moci, který není státním orgánem ani orgánem územního samosprávného celku, nebo který byl vydán v rámci kvalifikovaného systému elektronické identifikace“.
Přístup se zaručenou identitou umožňuje subjektům čerpat vybrané služby státu a využívat jejich výhod, např. Portál občana, v budoucnu Portál stavebníka nebo také služby dle § 9 odst. 4 a 5 ZISVS.
Bankovní identita ze zákona požadavky na přístup se zaručenou identitou splňuje, neboť se jedná o prostředek pro elektronickou identifikaci vydaný v rámci kvalifikovaného systému. V § 38ad odst. 1 zák. o bankách i přesto nově nalezneme pojistku pro případ legislativní změny, že přístup do informačního systému veřejné správy nebo elektronické aplikace prostřednictvím prostředku pro elektronickou identifikaci dle zák. o bankách je přístupem se zaručenou identitou.
Využívání údajů z informačních systémů veřejné správy, zejm. základních registrů
V neposlední řadě přinesl zákon o bankovní identitě i dlouho diskutovaný přístup bank jako soukromoprávních uživatelů údajů do vybraných informačních systémů veřejné správy.
Zřízení informačního systému využívajícího data ze základních registrů a splnění podmínek referenčního rozhraní
Ust. § 38ae odst. 1 až 3 zák. o bankách zakládá oprávnění bance nebo poskytovateli identifikačních služeb zřídit vlastní informační systém, který umožní přímý přístup do informačních systémů veřejné správy, včetně základních registrů. Pro tento systém zákon zavádí i novou legislativní zkratku systém pro využívání údajů.
Systém pro využívání údajů musí být schopen napojit se na referenční rozhraní definované v § 2 písm. h) ZISVS a musí splňovat podmínky vyhlášky č. 53/2007 Sb., o technických a funkčních náležitostech uskutečňování vazeb mezi informačními systémy veřejné správy prostřednictvím referenčního rozhraní (vyhláška o referenčním rozhraní).
Systém pro využívání údajů musí také umožnit dálkové a nepřetržité vyhodnocování záznamů o poskytnutí a využití údajů pro potřeby evidenční ochrany údajů podle zvláštních právních předpisů, např. dle zák. č. 153/1994 Sb., o zpravodajských službách České republiky, zák. č. 154/1994 Sb., o Bezpečnostní informační službě, nebo zák. č. 289/2005 Sb., o Vojenském zpravodajství. Představy bank a subjektů odpovědných za evidenční ochranu o rozsahu a způsobu evidence se po přijetí zákona o bankovní identitě ukázaly relativně odlišné.
Využívání dat ze základních registrů
Přístup bank a poskytovatele identifikačních služeb k datům ze základních registrů a dalších vybraných informačních systémů veřejné správy umožní ověřovat aktuálnost údajů o klientech za účelem plnění jejich povinností stanovených zákonem (zejm. AML zákonem, ale i sektorovými předpisy ve vztahu ke kontrole rizik).
ZZR už před účinností zákona o bankovní identitě umožňoval soukromým subjektům (tzv. soukromoprávním uživatelům údajů) přístup do základních registrů, ale podmiňoval jej přímým zákonným zmocněním v příslušném právním předpise. Zákon č. 49/2020 Sb. zavádí právě takové zmocnění do právního řádu a umožňuje příslušným subjektům ověřovat údaje přímo na základě dat ze základních registrů.
Zákon o bankovní identitě zakládá Ministerstvu vnitra kontrolní roli dle § 38ae odst. 4 a 5 zák. o bankách nad systémem pro využívání údajů spravovaných bankou nebo poskytovatelem identifikačních služeb. To může dočasně pozastavit čerpání údajů z informačních systémů veřejné správy v případech nejzávažnějšího ohrožení referenčního rozhraní ze strany systému pro využívání údajů.
Rozsah využitelných údajů
Banka nebo poskytovatel identifikačních služeb mohou využívat údaje z následujících informačních systémů veřejné správy (§ 38af odst. 1 zák. o bankách):
- základního registru obyvatel,
- informačního systému evidence obyvatel,
- informačního systému cizinců,
- informačního systému evidence občanských průkazů a
- informačního systému evidence cestovních dokladů.
Odst. 2 až 6 předmětného ustanovení uvádějí taxativní výčet konkrétních údajů, které banka nebo poskytovatel identifikačních služeb může využít během své činnosti. Jedná se např. o jméno, adresu, státní občanství klienta nebo také jeho rodné číslo a číslo občanského průkazu. Nutno podotknout, že se jedná o výčet údajů, které již běžně banky mají, proto by na tomto místě bylo vhodné hovořit spíše o aktualizaci existujících údajů bank než o získávání nových údajů.
Uvedené údaje mohou banky nebo poskytovatel identifikačních služeb využít vždy pouze jen co do nezbytnosti v konkrétním případě. Zákon touto úpravou apeluje na příslušné subjekty, aby v každém případě maximálně zhodnotily situaci a na základě toho určily, které údaje z informačních systémů veřejné správy budou opravdu potřebné. Využívání údajů je samozřejmě sledováno na úrovni správců daných systémů a je možné jej přezkoumávat. Částečně může přístupy bank a případně i poskytovatele identifikačních služeb sledovat i samotný občan, a to přes roční výpis aktivity k údajům vedeným o něm v registru obyvatel.
Speciální úpravu představuje § 38af odst. 9, který umožňuje příslušným subjektům dle zvláštního právního předpisu přistoupit k údajům z vybraných informačních systémů veřejné správy také na základě souhlasu klienta. V zásadě se jedná o využití principu sdílení údajů z § 7 zák. č. 12/2020 Sb., o právu na digitální služby.
Pojišťovny a jejich přístup do informačních systémů veřejné správy
Pojišťovny měly před přijetím zákona o bankovní identitě přístup k údajům vedeným v základním registru obyvatel a k vybraným agendovým informačním systémům na základě původního znění § 129 odst. 3 až 9 zák. č. 277/2009 Sb., o pojišťovnictví. Ten obsahoval státem požadovaný zákonný výčet informačních systémů veřejné správy a dostupných údajů v nich vedených. Jednalo se však v praxi o přístup provizorní a uživatelsky nepraktický.
Zákon o bankovní identitě proto přinesl pojišťovnám a České kanceláři pojistitelů, zákonem zřízené profesní organizaci pojistitelů pro plnění jejich povinností stanovených právními předpisy, tzv. přímý přístup do informačních systémů veřejné správy, tedy přístup prostřednictvím vlastního informačního systému shodně jako bankám. Zajímavostí je, že systém pro využívání údajů si nemusí zřizovat každá pojišťovna, ale mohou centrálně přistupovat přes systém zřízený Českou kanceláří pojistitelů. V praxi tuto cestu pravděpodobně využijí všechny pojišťovny na českém trhu.
Závěr
V tomto článku jsme se snažili zevrubněji popsat, v čem přináší zákon o bankovní identitě unikátní příležitost pro elektronické ověřování totožnosti v soukromém a veřejném sektoru. Zákon o bankovní identitě sice představuje průlomovou úpravu v odvětví elektronické identifikace, avšak i přesto se jedná pouze o jeden z mnoha potřebných kroků vedoucích k digitální přeměně české společnosti. Ve vztahu k advokátům jde o prostředek umožňující např. dálkové přístupy do soudních a správních spisů, k jejichž digitalizaci a poskytování služby nahlížení do spisu online bude třeba co nejdříve přesvědčit Ministerstvo spravedlnosti. Podle přechodných ustanovení zákona o právu na digitální služby k tomu má čtyři roky, ale může tyto služby začít nabízet na základě dostatečně hlasitých požadavků praxe i dříve. Přejeme bankovní identitě mnoho spokojených klientů a co nejrychlejší adopci relativně konzervativním českým trhem i veřejnou správou.
Mgr. František Korbel, Ph.D., působí jako advokát v AK HAVEL & PARTNERS, Praha.
JUDr. Dalibor Kovář působí jako advokát v AK HAVEL & PARTNERS, Praha.
[1] Oba autoři se podíleli na sepisu právní úpravy.
[2] Legislativně projekt zaštítila Česká bankovní asociace ve spolupráci s ICT Unií a advokátními kancelářemi HAVEL & PARTNERS a ROWAN LEGAL.
[3] Blíže viz sněmovní tisk č. 756, dostupný zde: https://www.psp.cz/sqw/historie.sqw?o=8&t=756.
[4] Dostupné zde: https://info.eidentita.cz/idp/.
[5] Dostupné zde: https://www.mvcr.cz/clanek/seznam-udelenych-akreditaci-pro-spravu-kvalifikovaneho-systemu-elektronicke-identifikace.aspx.