Zprávy z Depa (2): Datové schránky ex offo pro informačně gramotné
Datová schránka (nepodnikající fyzické osoby) má být podle návrhu nového zákona zřízena každému, kdo ji ještě nemá, jakmile po 1. lednu 2022 poprvé použije elektronickou identifikaci pro přihlášení přes NIA. Tedy třeba i bankovní identitu.Návrh zákona o změně zákonů související s další elektronizací postupů orgánů veřejné moci, který pod přezdívkou DEPO již úspěšně prošel třetím čtením v Poslanecké sněmovně a nyní čeká na projednání v Senátu, počítá s automatickým zřizováním datových schránek fyzickým osobám. Má se tak dít od 1. ledna 2022 a datová schránka má být zřízena tomu, kdo na sebe prozradí, že je alespoň trochu „informačně gramotný“ – konkrétně tím, že použije svou elektronickou identitu pro přihlášení „přes NIA“. Datová schránka nepodnikající fyzické osoby mu bude zřízena samozřejmě jen v případě, pokud ji ještě nemá.
Dotyčná osoba, které bude datová schránka nově zřízena, o tom bude informována a nejpozději do 15 dnů bude její nová datová schránka zpřístupněna. Následně ji bude moci zase znepřístupnit (nikoli ale zrušit).
V mezidobí se o tom všem začalo mluvit jako o zřizování datových schránek ex offo, ve smyslu „z úřední moci, z povinnosti, z úředního příkazu“. A je zajímavou otázkou, o jaký druh datových schránek – z pohledu práva – vlastně půjde: určitě to nebudou datové schránky zřizované na žádost. Budou to tedy datové schránky zřizované ze zákona? Nebo půjde o nějakou třetí kategorii, vedle těch dvou dosavadních („na žádost“ a „ze zákona“)? Odpověď je důležitá i proto, že na držitele datových schránek, zřizovaných z různých důvodů, mohou dopadat různé povinnosti.
Jde například o podávání daňových přiznání: povinnost činit tak elektronicky dnes mají pouze držitelé zpřístupněných schránek zřízených ze zákona. Budou mít tuto povinnost i držitelé datových schránek ex offo, kteří si je ponechají zpřístupněné?
Pojďme si to nyní rozebrat podrobněji.
Kde se ten nápad vzal?
S nápadem automatického zřizování datových schránek jsem se poprvé setkal v srpnu minulého roku. Konkrétně na veřejné konzultaci k datovým schránkám a jejich dalšímu vývoji, kterou pořádalo Ministerstvo vnitra ČR (jako v pořadí již druhou, první proběhla v roce 2017).
O výsledcích konzultace jsem psal i zde na Lupě a zmínil při tom i jeden ze záměrů, který na konzultaci zazněl: zřídit datovou schránku (nepodnikající fyzické osoby) každému, jakmile poprvé použije elektronickou identifikaci (a ještě datovou schránku nemá). Cestou k prosazení měl být tehdy teprve vznikající Zákon o změně zákonů související s další elektronizací postupů orgánů veřejné moci a uvažovaným termínem bylo „od 1. 7. 2021“.
Již v uvedeném článku jsem to kritizoval jako hodně špatný nápad. Jako „další z řady pokusů vnutit datovou schránku těm, kteří ji z jakéhokoli důvodu nechtějí. Nikoli jak umožnit těm, kteří ji chtějí, aby si ji mohli zřídit co nejjednodušeji“.
Nu, uplynuly tři kvartály a tento návrh stále nespadl ze stolu. Právě naopak, skutečně se dostal do zmiňovaného návrhu zákona, mezitím pokřtěného na DEPO (od: další elektronizace postupů OVM), prošel v něm třetím čtením a dnes jej už mají na stole senátoři. Navrhovaný termín jeho účinnosti se ale posunul: k automatickému zřizování datových schránek fyzickým osobám, při prvním použití elektronické identifikace, má docházet až od 1. ledna 2022.
Za zmínku určitě stojí, že tento záměr nebyl součástí prvotního návrhu zákona (DEPO), tak jak prošel meziresortním připomínkovým řízením, vládou a jak byl předložen do poslanecké sněmovny. Objevuje se až v prvním komplexním pozměňovacím návrhu, který jako své usnesení (tisk 756/4) přijal Výbor pro veřejnou správu a regionální rozvoj s datem 30. 11. 2020. Mimochodem: tento komplexní pozměňovací návrh neobsahuje žádné zdůvodnění (důvodovou zprávu). Takže vlastně ani nevíme, jak a čím původce celého záměru zdůvodňuje jeho potřebu.
Jak návrh zní a co přesně říká?
První verze návrhu na „datové schránky ex offo“, která se objevila v prvním komplexním pozměňovacím návrhu k DEPO, zněla následovně:
§ 3
Datová schránka fyzické osoby
(1) Datovou schránku fyzické osoby zřídí ministerstvo bezplatně fyzické osobě, která je plně svéprávná, bezodkladně poté, co fyzická osoba poprvé použije prostředek pro elektronickou identifikaci vydaný v rámci kvalifikovaného systému elektronické identifikace (dále jen „kvalifikovaný prostředek“) vůči tomu, kdo umožňuje prokázání totožnosti podle zákona upravujícího elektronickou identifikaci.
Rozeberme si to a přeložme do srozumitelnější řeči: oním „prostředkem pro elektronickou identifikaci, vydaným v rámci kvalifikovaného systému elektronické identifikace (dále jen ‚kvalifikovaný prostředek‘)“ je všechno to, čím se dá přihlašovat přes NIA. Dnes konkrétně: nová eOP (s aktivovanými identifikačními funkcemi), NIA ID, mobilní klíč eGov, karta Starcos s certifikátem od I.CA, služba moje ID a v neposlední řadě i celá bankovní identita. Přesněji: všechny prostředky (elektronické identifikace), které smějí vydávat banky v rámci své akreditace od MV ČR. Reálně jde zejména o různé bankovní mobilní klíče, které se ale používají jak pro přihlašování přes NIA, tak i pro přihlašování přímo ke službám banky (nejčastěji do jejich internetbankingu).
Mimochodem, všechno to jsou prostředky, kterým naše právní úprava přisuzuje přívlastek „kvalifikované“ (viz ono: dále jen „kvalifikovaný prostředek“). Ovšem v dosti odlišném významu než jinde: zatímco třeba v oblasti služeb vytvářejících důvěru (např. elektronického podepisování) je přívlastkem „kvalifikované“ označováno pouze to, co stojí nejvýše v určité hierarchii uspořádané podle důvěryhodnosti, spolehlivosti a bezpečnosti (viz například kvalifikované certifikáty, kvalifikované elektronické podpisy atd.), zde je to jinak.
Nejmarkantnějším příkladem je prostředek v podobě pouhého jména a hesla, který v rámci své akreditace vydává ČSOB a který má úroveň záruky „nízká“. V nabídce přihlašování přes NIA jej najdete jako „rychlý přístup“, vedle „plně ověřeného přístupu“, který již má úroveň „značná“. Z pohledu práva ale jde v obou případech o kvalifikované prostředky (elektronické identifikace). Stejně tak jsou kvalifikovanými prostředky (elektronické identifikace) třeba i nová eOP či karta Starcos s certifikátem, které mají úroveň záruky „vysoká“.
Takže přívlastek „kvalifikovaný“ u prostředků elektronické identifikace o jejich úrovni záruky nevypovídá vůbec nic. Osobně mi to přijde zavádějící až nebezpečné. Protože to vytváří nesprávnou iluzi, že všechny kvalifikované prostředky (elektronické identifikace) jsou si rovny, jsou stejně „silné“, bezpečné a spolehlivé a mají nejvyšší aktuálně dostupnou míru bezpečnosti a spolehlivosti (když jsou označovány jako „kvalifikované“). Což pro všechny neplatí.
Co když se kvalifikovaným prostředkem přihlásím někam jinam?
Teď ale: všechny ty mobilní klíče, tokeny, karty, certifikáty, jména a hesla a jejich vzájemné kombinace mohou být kvalifikovanými prostředky (elektronické identifikace) v právě popsaném významu a současně se mohou používat i zcela mimo celý státní „systém elektronické identifikace“ (zjednodušeně: i jinak než „přes NIA“).
Takže co se stane, když se třeba pomocí služby mojeID přihlásíte do nějakého e-shopu? Nebo pomocí svého bankovního klíče do internetbankingu své banky? Případně, v budoucnu (a možná již od letošního června), pomocí bankovní identity přes společné řešení bank (dříve: SONIA) k některé soukromoprávní službě? Bude to použití kvalifikovaného prostředku – a bude vám také hned napoprvé zřízena datová schránka ex offo, pokud ji ještě nemáte?
Odpověď by měla být záporná: takovéto použití kvalifikovaného prostředku (jinak než „přes NIA“) by nemělo způsobovat zřízení datové schránky ex offo. A to kvůli podmínce prvního použití kvalifikovaného prostředku „vůči tomu, kdo umožňuje prokázání totožnosti podle zákona upravujícího elektronickou identifikaci“. Tomu rozumím ve smyslu kvalifikovaných poskytovatelů (služeb), tak jak je definuje § 18 odst. 1 zákona č. 250/2017 Sb., o elektronické identifikaci: právě jako „toho, kdo umožňuje prokázání totožnosti“.
Pokud je tomu skutečně tak, mělo by zřízení datové schránky způsobovat jen první přihlášení přes NIA – a to bez ohledu na to, kam se přihlašujete (ke kterému kvalifikovanému poskytovateli služeb).
Týká se to i cizinců?
V původním návrhu na zřizování datových schránek ex offo, citovaném výše, byla ještě jedna podmínka, týkající se svéprávnosti fyzické osoby: jde o referenční údaj, který ale nemusí být dostupný pro cizince. Stejně jako nemusí být dostupné další údaje o cizincích, nutné pro zřízení a správu datové schránky.
Proto v průběhu projednávání celého návrhu v poslanecké sněmovně došlo k přidání další podmínky, resp. ke „zúžení“ rozsahu osob, na které zřizování datových schránek ex offo dopadne: jen na ty osoby, které jsou zapsány v základním registru obyvatel. Stalo se tak skrze pozměňovací návrhy, které změnily začátek navrhovaného ustanovení takto:
(1) Datovou schránku fyzické osoby zapsané v základním registru obyvatel zřídí ministerstvo bezplatně fyzické osobě, která je plně svéprávná, bezodkladně poté, co fyzická osoba poprvé použije prostředek pro elektronickou identifikaci.
A jelikož zde již bylo připojeno odůvodnění, dozvídáme se, proč se tak stalo:
Množina fyzických osob … se „omezuje“ na ty, které jsou zapsány v základním registru obyvatel. Jde o osoby, které mají trvalejší vztah k České republice (pobývají zde), což zaručuje, že o nich stát má adekvátní penzum informací a nástroje, jak zajistit jejich aktuálnost (klíčovou je zejména znalost informace o svéprávnosti). Fyzické osoby, které v základním registru obyvatel zapsány nejsou, sice také mohou užít elektronické identifikace (např. ze zahraničí prostřednictvím tzv. uzlu v rámci národního bodu pro identifikaci a autentizaci), pro správu datových schránek na základě obligatorního zřízení však chybí státu potřebné množství veřejnou autoritou aprobovaných informací a systém, jak tyto informace udržet aktuální (bez trvalé výměny informací se státy, jichž jsou takové fyzické osoby státními příslušníky, je to vyloučeno).
Nicméně i ty fyzické osoby, které v registru obyvatel zapsány nejsou, stále mohou samy požádat o zřízení datové schránky (nepodnikající osoby) na žádost. Příslušné ustanovení totiž v zákoně zůstává a mění se jen v tom, že místo „do 3 dnů“ má být taková datová schrána zřízena „bezodkladně po podání žádosti“.
Uživatel bude nejprve upozorněn
Ten, na koho má ustanovení o zřízení datové schránky ex offo (nově v § 3 odst. 1) dopadnout, na to má být upozorněn. Návrh takovouto povinnost ukládá správci národního bodu (NIA), skrze nové ustanovení:
(3) Správce národního bodu pro identifikaci a autentizaci
a) upozorní fyzickou osobu podle § 3 odst. 1 před prvním použitím kvalifikovaného prostředku vůči tomu, kdo umožňuje prokázání totožnosti podle zákona upravujícího elektronickou identifikaci, na skutečnost, že jí bude po prvním použití kvalifikovaného prostředku zřízena datová schránka fyzické osoby
Důležité je, že upozornění (či spíše: varování) by mělo přijít před, a nikoli až po použití kvalifikovaného prostředku. To by mohlo znamenat, že přihlašující se osoba bude mít ještě možnost nepokračovat v přihlašovací proceduře skrze NIA, resp. zabránit skutečnému „použití“ kvalifikovaného prostředku, a vyhnout se tak zřízení datové schránky. Byť za cenu toho, že se nedostane (nepřihlásí) tam, kam se dostat chtěla.
Předpokládám ale, že nepůjde odmítnout zřízení datové schránky a pokračovat dále v přihlašování. Takže pokud to přihlašující se osoba nevzdá a své přihlašování dokončí, datová schránka jí bude zřízena (pokud ji ještě nemá).
K samotnému zřízení může dojít prakticky ihned, ale také to může chvíli trvat. V zákoně bude nově uvedeno jen „bezodkladně“, což nepředepisuje žádný konkrétní termín. Nicméně nastávající držitel datové schránky ex offo bude mít možnost nechat si poslat e-mail, až bude jeho datová schránka skutečně zřízena. Správce národního bodu má povinnost to umožnit:
b) umožní fyzické osobě podle § 3 odst. 1, která poprvé použila kvalifikovaný prostředek vůči tomu, kdo umožňuje prokázání totožnosti podle zákona upravujícího elektronickou identifikaci, uvést adresu elektronické pošty, na kterou bude fyzická osoba vyrozuměna ministerstvem o zřízení datové schránky fyzické osoby
K tomu si ještě dodejme jednu praktickou poznámku: při takovémto způsobu zřízení datové schránky (po prvním přihlášení přes NIA) nejsou držiteli, který se současně stává (jedinou) oprávněnou osobou k nově zřizované datové schránce, vydávány žádné přístupové údaje. Nepotřebuje je, protože se může přihlašovat právě tím (kvalifikovaným) prostředkem, kterým si zřízení datové schránky způsobil.
Nicméně pokud se přeci jen chce přihlašovat „postaru“ a přístupové údaje chce, může o jejich vydání požádat.
Kdy bude nově zřízená datová schránka zpřístupněna?
Když už tedy bude nová datová schránka ex offo zřízena, jak je to s jejím zpřístupněním? Je možné toto zpřístupnění odložit a požádat o něj až někdy později, až se to držiteli bude hodit? To by přeci jen mohlo určitým způsobem „kompenzovat“ nechtěné dopady na toho, kdo si zřízení datové schránky (z jakéhokoli důvodu) nepřeje.
Odpověď je bohužel záporná: zpřístupnění datových schránek ex offo (v terminologii zákona: zřízených podle § 3 odst. 1) odložit nepůjde. Jak vyplývá ze stávajících i nově navrhovaných ustanovení, ke zpřístupnění dojde buď prvním přihlášením držitele datové schránky (v roli oprávněné osoby, z pohledu zákona „osoby uvedené v § 8 odst. 1“), nebo 15. dnem – počítáno buď od zřízení datové schránky, nebo od doručení přístupových údajů (pokud bylo o jejich vydání požádáno, zřejmě přes CzechPOINT). Podle toho, co nastane dříve.
Vyplývá to z nově navrhovaného znění § 10 odst. 2 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, který řeší právě zpřístupnění:
(2) Datová schránka je zpřístupněna prvním přihlášením osoby uvedené v § 8 odst. 1 až 4, nejpozději však patnáctým dnem po dni doručení přístupových údajů těmto osobám. Datová schránka zřízená podle § 3 odst. 1, u které osoba uvedená v § 8 odst. 1 nepožádala o zaslání přístupových údajů, je zpřístupněna prvním přihlášením osoby uvedené v § 8 odst. 1, nejpozději však patnáctým dnem po dni jejího zřízení……
Lze datovou schránku ex offo zase znepřístupnit?
Ten, komu byla datová schránka zřízena právě popisovaným způsobem ex offo (prvním přihlášením) a následně byla i zpřístupněna, ji zase může nechat znepřístupnit. Pamatuje na to novelizované ustanovení § 11 odst. 5 zákona č. 300/2008 Sb., ve kterém nově přibude poslední podržená pasáž:
(5) Ministerstvo znepřístupní datovou schránku fyzické osoby, podnikající fyzické osoby, právnické osoby nebo orgánu veřejné moci rovněž na žádost osoby nebo orgánu veřejné moci, jimž byla datová schránka zřízena, nebo administrátora, jde-li o datovou schránku, kterou ministerstvo zřizuje na žádost, nebo o datovou schránku, kterou ministerstvo zřizuje podle § 3 odst. 1
Pokud jde o termín, v jakém má ke znepřístupnění dojít, i zde došlo ke stejné změně jako u zpřístupňování: z původního „do 3 dnů“ na „bezodkladně“.
Na výše citovaném (budoucím) znění § 11 odst. 5 je zajímavá ještě jedna věc: potvrzuje totiž, že datové schránky zřizované „ex offo“ (při prvním použití kvalifikovaného prostředku, resp. „podle § 3 odst. 1“) nejsou schránkami zřizovanými na žádost. Ale čím tedy jsou, resp. budou (po 1. 1. 2022)?
Samozřejmě se nabízí jednoduchá úvaha: když nejsou „na žádost“, musí být „ze zákona“. Ale ono to tak jednoduché nemusí být. Například proto, že datové schránky zřizované ze zákona nelze znepřístupnit na žádost. Nicméně datové schránky ex offo půjde znepřístupnit na žádost, díky výše citovanému ustanovení. Jsou tedy jen specifickou podmnožinou v rámci datových schránek „ze zákona“? Nebo jsou samostatnou třetí kategorií, kterou výše citované ustanovení vymezuje jako „zřízené dle § 3 odst. 1“?
Pravdou je, že v legislativě lze najít určité „třetí kategorie“: například insolvenční zákon (zákon č. 182/2006 Sb.) hovoří o datových schránkách zřizovaných „bez žádosti“. Což už je zřejmý komplement (doplněk) k těm, které jsou zřizovány na žádost. Jsou ale schránky „ze zákona“ to samé jako „bez žádosti“? Nebo je to (například) tak, že kategorie „bez žádosti“ by se měla dělit na „ze zákona“ a „ex offo / dle § 3 odst. 1“?
Odpověď raději přenechám právníkům, snad se v tom nějak vyznají a budou znát odpověď. Ta ale bude velmi důležitá pro držitele datových schránek zřizovaných ex offo. Bude rozhodovat o tom, jaké konkrétní povinnosti na ně dopadnou a jaké nikoli.
Zkusme si alespoň na jednom příkladu naznačit, co všechno je ve hře.
Jaké povinnosti mohou mít držitelé datových schránek ex offo?
Má-li někdo zpřístupněnou „svou“ datovou schránku (nepodnikající fyzické osoby), až dosud zřizovanou pouze na žádost, přináší to určité povinnosti jak jemu, tak i dalším subjektům. Například orgány veřejné moci, ale i další subjekty vykonávající (veřejnoprávní) působnost, mají povinnost mu doručovat v elektronické podobě právě do jeho datové schránky. To asi není potřeba čtenářům Lupy připomínat.
Již méně známo ale může být třeba to, jak je to s povinnostmi vůči správcům daně, když je poplatník držitelem datové schránky. Dříve totiž z držení jakékoli zpřístupněné datové schránky (podle § 72 odst. 4 daňového řádu) vyplývala povinnost činit daňová podání výhradně v elektronické podobě, a navíc jen ve formátu určeném správcem daně (a ještě i předepsaným způsobem).
Nově, konkrétně od 1. 1. 2021, se již rozlišuje způsob zřízení datové schránky – protože stejná povinnost nově vyplývá jen z držení zpřístupněné datové schránky zřízené ze zákona:
Má-li daňový subjekt nebo jeho zástupce zpřístupněnu datovou schránku, která mu byla zřízena ze zákona, nebo zákonem uloženou povinnost mít účetní závěrku ověřenou auditorem, je povinen formulářové podání učinit pouze elektronicky podle odstavce 2 písm. c), a to datovou zprávou odeslanou způsobem uvedeným v § 71 odst. 1.
Právě tady pak bude záležet na tom, zda datové schránky ex offo budou spadat pod schránky „ze zákona“ (a citovaná povinnost se na ně bude vztahovat), nebo budou chápány jako samostatná kategorie (vedle kategorií „na žádost“ a „ze zákona“) a citovaná povinnost se na ně vztahovat nebude.
Takže pozor na to. Zejména v případě, kdy se (po 1. 1. 2022) rozhodnete nechat si datovou schránku ex offo zpřístupněnou a nadále ji používat. Nebo jen zapomenete ji včas znepřístupnit, či dokonce vůbec nezaregistrujete, že vám byla zřízena a záhy zpřístupněna. Povinnosti, které z toho pro vás vyplynou, nemusí být úplně jasné a mohou být jiné – a to větší, resp. přísnější – než povinnosti, které má ten, kdo si nechal zřídit datovou schránku dobrovolně, na vlastní žádost.
Jaký to má celé smysl?
Pokud tedy máte o vlastní datovou schránku zájem, je asi rozumnější si ji pořídit z vlastní iniciativy, jako schránku zřizovanou na žádost, než si ji nechat zřídit jako schránku ex offo. Zdůrazněme si, že již dnes tak můžete učinit snadno, rychle a velmi jednoduše. A hlavně: pomocí toho samého kvalifikované prostředku (elektronické identifikace), jehož první použití v příštím roce vám způsobí zřízení datové schránky ex offo. Stačí se pomocí tohoto prostředku přihlásit k datovým schránkám – a ty už poznají, že datovou schránku ještě nemáte, a nabídnou vám její okamžité zřízení na jediné kliknutí. Vlastně: na dvě kliknutí, viz následující obrázek.
Tím se dostáváme zpět k celému zřizování datových schránek způsobem „ex offo“, kterému je věnován tento článek: jaký to má smysl v situaci, když už dnes si identickým způsobem může kdokoli – kdo o to má zájem a má vlastní kvalifikovaný prostředek – nechat vlastní datovou schránku ihned zřídit?
To už není podpora elektronizace, ale její vynucování. Snaha vnutit datovou schránku i těm, kteří o její zřízení sami zájem nemají. Navíc s nejasnostmi ohledně důsledků a povinností, které kvůli tomu dopadnou na držitele takovýchto schránek.
A to ještě nejsme u konce. V dalším pokračování tohoto seriálu (k návrhu zákona DEPO) si řekneme, že datové schránky mají být povinně zřízeny všem podnikajícím fyzickým osobám (již bez možnosti znepřístupnění) a také všem právnickým osobám zapsaným v základním registru osob.