Abstrakt
Príspevok sa venuje vybraným problémom elektronickej identity a jej manažmentu v kontexte vzájomného uznávania prostriedkov elektronickej identifikácie s ohľadom na cezhraničný aspekt. Autori v texte poukazujú na niektoré trecie plochy vyššie uvedeného procesu s všeobecným nariadením o ochrane osobných údajov (GDPR).
1 ÚVOD
Predkladaný príspevok sa v prvom rade venuje teórii manažmentu elektronickej identity. V rámci tejto časti sa autori zaoberajú jednotlivými modelmi manažmentu elektronickej identity, ako aj subjektmi, ktoré v týchto modeloch vystupujú. V ďalšej časti autori ozrejmujú problematiku vzájomného uznávania prostriedkov elektronickej identifikácie v zmysle nariadenia EP a Rady 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES, ako aj jeho aplikáciu v podmienkach Slovenskej republiky. Autori sa taktiež venujú problematike cezhraničnej autentifikácie. Posledná časť predkladaného príspevku sa zameriava na vybrané problémy elektronickej identifikácie v kontexte vzájomného uznávania prostriedkov elektronickej identifikácie a oblasť ochrany osobných údajov. Predmetná oblasť prešla v ostatnom období turbulentnou spoločenskou diskusiou v dôsledku kreovania novej právnej úpravy. Vyššie uvedené je predovšetkým dôležité z hľadiska nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov, ďalej len „GDPR“) účinného od 25. mája 2018. Z metodologického hľadiska sme považovali za nevyhnutné v prvom rade posúdiť rozsah aplikácie GDPR pri jednotlivých krokoch vzájomného uznávania prostriedkov elektronickej identifikácie, resp. procesu cezhraničnej autentifikácie. V druhom rade je absolútne nevyhnutné analyzovať konkrétne postavenie aktérov spracovateľských operácií z hľadiska personálnej pôsobnosti GDPR. Záverom poslednej časti je stručný náčrt ďalších aplikačných problémov, ktoré budú tvoriť základ pre budúci výskum.
2 MANAŽMENT ELEKTRONICKEJ IDENTITY
Vo fyzickom svete, kde sa jednotlivci pri interakcii s orgánmi verejnej správy identifikujú a autentifikujú papierovými dokladmi totožnosti ako občiansky preukaz, cestovný pas a pod., je zodpovednosť za správnosť informácií uvedených v týchto dokladoch na strane, ktorá tieto doklady vydáva. Takouto stranou je zvyčajne štát, ktorý zabezpečuje dôveru medzi stranami, ktoré spolu komunikujú. Vtejto súvislosti má svoje miesto problematika manažmentu identity.
Leenes a kol. definovali manažment identity ako: „systémy a postupy, prostredníctvom ktorých sa spravuje a kontroluje, kto má prístup k zdrojom a taktiež, aké oprávnenia majú jednotliví používatelia pri využívaní týchto zdrojov v súlade s politikou danej organizácie.“(1)
Podľa Clarka predstavuje manažment identity: „všeobecný pojem pre architektúru, infraštruktúru a postupy, ktoré sa týkajú autentifikácie a vyhlásenia o identite.“(2)
Manažment identity možno taktiež chápať ako správu čiastkových identít (napr. určenie a správa atribútov identity). Organizačná a technická infraštruktúra, ktorá slúži na určenie a správu atribútov identity sa v odbornej literatúre nazýva systém manažmentu identity.(3) Organizačná stránka sa týka procesu registrácie a vydávania preukazov identity, zatiaľ čo technická stránka sa týka samotného autentifikačného mechanizmu. V kontexte poskytovania verejných služieb vo fyzickom svete, možno manažment identity spájať najmä s problematikou identifikácie a autentifikáciu osôb pre prístup k jednotlivým službám. Orgány verejnej správy, konkrétne ich zamestnanci, na základe preukazov totožnosti identifikujú a autentifikujú jednotlivca, s tým, že v rámci autorizácie mu umožnia využiť konkrétne služby. Vo všeobecnosti možno povedať, že štát predstavuje
dôveryhodnú stranu, ktorá zodpovedá za správu identít a identifikačných a autentifikačných dokumentov.(4) Obdobné situácie, kedy je potrebné zabezpečiť dôveryhodnú a bezpečnú komunikáciu medzi subjektmi, vznikajú aj v súvislosti s poskytovaním elektronických služieb verejnej správy vo virtuálnom priestore. Príchodom Internetu a poskytovaním verejných služieb na diaľku, sa vytvorili nové spôsoby elektronickej identifikácie a autentifikácie (čipové karty, biometria a pod.). Tieto tendencie spôsobili, že štáty začali prispôsobovať existujúce schémy manažmentu identity novým podmienkam alebo si vytvorili nové modely. Každopádne, v súvislosti so správou elektronickej identity a údajov o nej, možno hovoriť o manažmente elektronickej identity.(5)
Lips definuje manažment elektronickej identity ako: „súbor pravidiel, postupov a technických zložiek, ktoré vykonávajú politiku organizácie týkajúcu sa zavádzania, používania a výmeny informácií o elektronickej identite pre účely prístupu k službám alebo zdrojom.“(6)
Vo všeobecnosti možno povedať, že z pohľadu rôznych organizácií zabezpečuje manažment elektronickej identity kontrolu a správu nad prístupom používateľov k informáciám a službám. Tento prístup je zabezpečený prostredníctvom rôznych autentifikačných metód (heslo, digitálne certifikáty, tokeny a i.) a autorizačných práv. Z pohľadu užívateľa, môže manažment elektronickej identity poskytovať jednak prístup, ale aj možnosť spravovať vlastné elektronické identity prostredníctvom osobných údajov a zmeny atribútov.
Zavádzanie manažmentu elektronickej identity by malo okrem vytvárania nových možností pre verejnú správu ako zbierať a spracúvať informácie o elektronickej identite osôb, priniesť aj iné výhody. Medzi tieto výhody by sme mohli zaradiť zlepšenie efektivity poskytovania elektronických služieb verejnej správy, zvýšenie informačnej bezpečnosti a ochrany súkromia, zlepšenie podmienok pre občanov pri prístupe k verejným službám, ako aj zvýšenie miery poskytovania elektronických služieb verejnej správy zlepšením dôvery v online interakcie s občanmi.(7)
Popri vyššie uvedených pozitívach, ktoré prináša manažment elektronickej identity, nemožno zabúdať aj na možné riziká, ktoré so sebou prináša, napr. ochrana súkromia, bezpečnosť, ale aj samotná dôvera občanov vo verejnú správu. Na tomto mieste je potrebné uviesť, že práve dôvera je základným kameňom elektronickej verejnej správy a poskytovania elektronických služieb verejnej správy.(8)
2.1 Modely manažmentu elektronickej identity
V oblasti manažmentu elektronickej identity vzniklo niekoľko druhov modelov. Vo všeobecnosti možno hovoriť o 4 druhoch, konkrétne silo model, centralizovaný model, federálny model a model zameraný na používateľa.(9)
V rámci silo modelu, taktiež známeho pod označením izolovaný model, používateľ musí pri identifikácii a autentifikácii k službám používať rôzne identifikátory a preukazy identity (napr. heslo). Atribúty, ktoré sú spojené s konkrétnym identifikátorom, sú spravované izolovane každým poskytovateľom služieb. Nevýhodou tohto modelu je, že používateľ si bude musieť pamätať veľa prihlasovacích údajov a hesiel. Úroveň bezpečnosti je narušená, nakoľko používateľ si zvolí pre prístup k službám tie isté prihlasovacie údaje a heslá alebo si ich zapíše na hmotný nosič (napr. papier).(10)
Centralizovaný model zavádza poskytovateľa elektronickej identity a centralizovaný manažment elektronickej identity, čo znamená, že používateľ sa môže autentifikovať u rôznych poskytovateľov služieb s tou istou elektronickou identitou, s tým istým preukazom identity. Tento model využíva systém jedného prihlásenia (Single Sign On), kedy sa používateľ môže prihlásiť k viacerým poskytovateľom služieb, ktorí sa spoliehajú na údaje o elektronickej identite od toho istého poskytovateľa služieb.(11)
Federálny model je založený na tom, že poskytovateľ identity a skupina poskytovateľov služieb vytvárajú tzv. federáciu identít asú viazaní vzťahmi dôvery založenými na dohodách aspoločných technologických platformách.(12) Takáto federácia sa nazýva „kruh dôvery“. Používateľ sa autentifikuje u (centrálneho) poskytovateľa identity (ten môže byť zároveň aj poskytovateľom služby), ktorý obratom zašle údaje o elektronickej identite poskytovateľovi služieb. Uplatňuje sa tu systém jedného prihlásenia. Poskytovatelia služieb sa v rámci federácie spoliehajú na údaje o elektronickej identite, ktorým disponuje poskytovateľ identity a nemusia vytvárať a udržiavať prihlasovacie účty.(13)
Model založený na používateľovi predstavuje jediný model manažmentu elektronickej identity, ktorý umožňuje používateľovi mať kontrolu nad atribútmi týkajúcimi sa jeho osoby. Používatelia si môžu vybrať z viacerých poskytovateľov identity nezávisle od toho, ktorú službu chcú využívať. Poskytovatelia identity vystupujú ako dôveryhodné tretie strany, ktoré autentifikujú používateľa a poskytovateľ služby musí akceptovať potvrdenie vyhlásenej identity používateľa poskytovateľom identity. Poskytovateľ služby je označovaný ako spoliehajúca sa strana. Používateľ sa môže rozhodnúť, ktoré informácie v rámci transakcie s poskytovateľom služieb odhalí. Avšak poskytovateľ služby môže od používateľa vyžadovať konkrétne informácie, aby sa transakcia uskutočnila.(14)
2.2 Subjekty v modeloch manažmentu elektronickej identity
V súvislosti so subjektmi, ktoré vystupujú v jednotlivých modeloch manažmentu elektronickej identity, možno vo všeobecnosti hovoriť o troch základných subjektoch:
a) užívateľ – fyzická osoba, ktorá má elektronickú identitu a požaduje vykonať transakciu (napr. využiť elektronickú službu verejnej správy).
b) poskytovateľ identity – entita, ktorá zohráva hlavnú úlohu v manažmente elektronickej identity a v realizácii autentifikačných mechanizmov. Pred tým ako poskytovateľ identity vydá preukaz elektronickej identity musí registrovať nového užívateľa. V rámci registrácie, v závislosti od toho, v akej oblasti sa uskutočňuje, poskytovateľ identity môže zaslať preukaz elektronickej identity online alebo poštou. V prípade prísnejšej registrácie poskytovateľ identity overuje identitu nového užívateľa na základe jeho fyzickej prítomnosti a preukázaním (fyzického) preukazu identity. Výsledkom registrácie je vydanie elektronického preukazu identity, ktorý sa následne použije na autentifikáciu.
c) poskytovateľ služby – entita, ktorá poskytuje službu užívateľovi, najmä prostredníctvom Internetu. Aby užívateľ mohol využívať konkrétnu službu, ktorú poskytuje konkrétny poskytovateľ, musí sa úspešne autentifikovať. Poskytovateľ služby ale zväčša nepozná elektronickú identitu daného užívateľa, a preto sa v prípade vyhlásenia identity užívateľa spolieha na poskytovateľa identity, ktorý deklarovanú identitu potvrdí, resp. nepotvrdí.(15)
3 VZÁJOMNÉ UZNÁVANIE PROSTRIEDKOV ELEKTRONICKEJ IDENTIFIKÁCIE
Problematika vzájomného uznávania prostriedkov elektronickej identifikácie(16) je na úrovní práva Európskej únie (ďalej len „EÚ“)(17) predmetom nariadenia EP a Rady 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (ďalej len „Nariadenia eIDAS“).
Cieľom predmetnej úpravy je zabezpečiť, aby sa prostriedky elektronickej identifikácie jedného členského štátu EÚ dali použiť na identifikáciu a autentifikáciu pri prístupe k online službám, ktoré sú poskytované subjektmi verejného sektora iného členského štátu EÚ.
Ustanovenia týkajúce sa zásady vzájomného uznávania sa dotkli nielen fyzických osôb, fyzických osôb podnikateľov a právnických osôb, ktorí primárne využívajú online služby, ale najmä subjektov verejného sektora, ktoré tieto služby poskytujú. Je potrebné podotknúť, že od 1. júla 2016 sa aplikuje Nariadenie eIDAS len v rozsahu upravujúcom služby dôvery. Povinnosť vzájomne uznávať prostriedky elektronickej identifikácie vznikla členským štátom EÚ 29. septembra 2018.
Vo väčšine členských štátov EÚ boli zavedené rôzne schémy elektronickej identifikácie, ktoré sa v mnohých aspektoch líšili. Doteraz neexistoval spoločný právny rámec, ktorý by vyžadoval, aby každý členský štát EÚ pri prístupe k online službám uznával a prijímal prostriedky elektronickej identifikácie vydávané v inom členskom štáte EÚ. Možno povedať, že cieľom tejto úpravy je zabezpečiť, aby sa prostriedky elektronickej identifikácie jedného členského štátu EÚ dali použiť na identifikáciu a autentifikáciu pri využívaní online služieb, ktoré sú poskytované subjektmi verejného sektora iného členského štátu EÚ.
Praktický dopad vzájomného uznávania prostriedkov elektronickej identifikácie je zrejmý najmä v situácii, kedy by občan Slovenskej republiky (ďalej len „SR“) chcel využiť online služby, poskytované subjektmi verejného sektora iného členského štátu EÚ. V takejto situácii by si občan SR nemusel vybavovať elektronický prostriedok identifikácie danej krajiny, ale na cezhraničnú autentifikáciu by mu postačoval národný prostriedok elektronickej identifikácie.
Pre vzájomné uznávanie prostriedkov elektronickej identifikácie musia byť v zmysle Nariadenia eIDAS splnené nasledujúce tri podmienky.
Prvou podmienkou pre vzájomné uznávanie prostriedku elektronickej identifikácie iným členským štátom EÚ je, aby bol prostriedok elektronickej identifikácie vydávaný v rámci schémy elektronickej identifikácie(18), ktorá je uvedená v zozname, ktorý zverejňuje Európska komisia podľa čl. 9 Nariadenie eIDAS. Inými slovami možno povedať, že musí ísť o oznámenú schému elektronickej identifikácie podľa Nariadenia eIDAS.
Tabuľka č. 1 – Časový rámec procesu oznámenia schémy elektronickej identifikácie
| Časový rámec procesu oznámenia schémy elektronickej identifikácie | |
| Poskytnutie opisu schémy elektronickej identifikácie ostatným členským štátom EÚ Čl. 7, písm. g) Nariadenia eIDAS | min. 6 mesiacov pred oznámením |
| Partnerské hodnotenie | môže trvať max. 3 mesiace |
| Oznámenie systému identifikácie komisii národného elektronickej Európskej Čl. 9 Nariadenia eIDAS | do 2 mesiacov od oznámenia sa zverejní v Úradnom vestníku EÚ |
| Zverejnenie systému elektronickej identifikácie v Úradnom vestníku EÚ Čl. 9 ods. 3 Nariadenia eIDAS | vzájomné uznávanie sa začne do 12 mesiacov od zverejnenia |
| Povinnosť vzájomne uznávať systémy elektronickej identifikácie | |
Zdroj: Vlastné spracovanie
Druhou podmienkou pre vzájomné uznávanie prostriedku elektronickej identifikácie iným členským štátom EÚ je zaistenie úrovne záruky prostriedku elektronickej identifikácie vyššej alebo rovnakej ako tá, ktorú vyžaduje príslušný subjekt verejného sektora pre prístup k online službe za predpokladu, že úroveň záruky daných prostriedkov elektronickej identifikácie zodpovedá úrovni záruky pokročilá alebo vysoká.
Treťou podmienkou vzájomného uznávania prostriedku elektronickej identifikácie je, aby príslušný subjekt verejného sektora používal vo vzťahu k prístupu k danej online službe úroveň záruky pokročilá alebo vysoká.(19) V prípade, ak prostriedok elektronickej identifikácie má nižšiu úroveň záruky, členský štát ho môže, ale nemusí uznať pre potreby identifikácie pre online služby, ktoré poskytuje.(20)
Nariadenie eIDAS rozlišuje tri úrovne záruky, konkrétne nízka, pokročilá a vysoká. Pri definovaní týchto úrovní záruky Nariadenie eIDAS vychádzalo z výsledkov rozsiahleho pilotného projektu financovaného prostriedkami EÚ a normalizačných a medzinárodných činností, ktoré obsahujú rôzne technické vymedzenia a opisy úrovní záruky. Konkrétne ide o projekt STORK 1.0(21) a medzinárodnú normu Štandard o úrovniach záruky(22), kde Nariadenie eIDAS odkazuje na úrovne 2, 3 a 4 stanovené v projekte STORK 1.0 a Štandarde o úrovniach záruky. V nasledujúcej tabuľke uvádzame prehľad úrovní záruky.
Tabuľka č. 2 – Porovnanie úrovní záruky Nariadenia eIDAS, STORK 1.0 a Štandardu o úrovniach záruky
| Úrovne záruky podľa Nariadenia eIDAS | Úrovne záruky podľa STORK 1.0 | Úrovne záruky podľa Štandardu o úrovniach záruky |
| Nízka | QAA úroveň 2 | Úroveň záruky 2 – stredná |
| Pokročilá | QAA úroveň 3 | Úroveň záruky 3 – vysoká |
| Vysoká | QAA úroveň 4 | Úroveň záruky 4 – veľmi vysoká |
Zdroj: Vlastné spracovanie
Úrovne záruky upravené v Nariadení eIDAS boli vypracované na základe prístupu, ktorý je založený na výsledkoch (outcome based approach), čo znamená, že každý členský štát EÚ môže splniť požadovanú úroveň záruky rôznymi špecifickými spôsobmi, ktoré sú upravené na národnej úrovni. Inými slovami, Nariadenie eIDAS nezrušuje národné riešenia pre stanovenie úrovní záruky, ale oznámeným prostriedkom elektronickej identifikácie bude musieť byť pridelená konkrétna úroveň záruky v zmysle Nariadenia eIDAS.
Jednotlivé úrovne záruky predstavujú v zmysle Nariadenia eIDAS hierarchický systém. Tieto úrovne sú charakterizované pomocou súvisiacich technických špecifikácií, noriem a postupov, vrátane technických kontrol, ktorých účelom je znížiť riziko zneužitia alebo zmeny totožnosti. Podrobnosti o minimálnych technických špecifikáciách, normách a postupoch, pomocou ktorých sa stanovujú úrovne záruky sú upravené vo vykonávacom nariadení Komisie (EÚ) 2015/1502 z 8. septembra 2015 (ďalej len „Vykonávacie nariadenie“).(23)
3.1 Ako funguje cezhraničná autentifikácia?
Nariadenie eIDAS vytvorilo systém cezhraničnej autentifikácie, ktorý je založený na uzloch (kontaktných bodoch).(24) Uzol je miesto pripojenia, ktoré je súčasťou architektúry interoperability elektronickej identifikácie a je zapojené do cezhraničnej autentifikácie osôb. Uzol je schopný rozoznať a spracovať alebo prenášať prenosy údajov alebo ich prenášať na iné uzly tým, že umožňuje prepojenie vnútroštátnej infraštruktúry elektronickej identifikácie jedného členského štátu EÚ s vnútroštátnymi infraštruktúrami elektronickej identifikácie ostatných členských štátov EÚ.(25) Nariadenie eIDAS nevylučuje, aby takýchto uzlov bolo viacero.
Proces cezhraničnej autentifikácie by sme mohli opísať v nasledujúcich krokoch:
a) občan požaduje on-line službu v členskom štáte,
b) občan je požiadaný autentifikovať sa prostredníctvom on-line služby,
c) vo fáze autentifikácie je zrejmé, že občan má prostriedok elektronickej identifikácie z iného členského štátu,
d) žiadosť o autentifikáciu je odoslaná do krajiny občana na overenie totožnosti prostredníctvom riešenia eIDAS poskytovateľovi identity občana (Identity Provider), v ktorom sa uskutočňuje autentifikácia,
e) výsledok autentifikácie sa vráti poskytovateľovi služieb,
f) výsledok autentifikácie je dokončený a v prípade pozitívneho výsledku občan môže pokračovať v prístupe k službe.
Riešenie eIDAS robí rôzne národné protokoly prostriedkov elektronickej identifikácie interoperabilné.
Riešenie využíva protokol eIDAS na preklad národných identifikačných údajov do spoločného formátu, ktorému členské štáty rozumejú a používajú.(26)
V nižšie uvedenom obrázku je znázornený postup cezhraničnej autentifikácie, kde SR žiada o autentifikáciu (receiving memeber state) a Nemecko poskytuje autentifikáciu (sending member state).
3.2 Vzájomné uznávanie prostriedkov elektronickej identifikácie a cezhraničná autentifikácia v SR
Je potrebné uviesť, že v zmysle Nariadenia eIDAS je na rozhodnutí členských štátov EÚ, či oznámia Európskej komisii všetky, niektoré alebo neoznámia žiadne schémy elektronickej identifikácie, ktoré sa používajú na vnútroštátnej úrovni na prístup aspoň k verejným online službám alebo ku konkrétnym službám.(27) V kontexte oznámenia, resp. neoznámenia schémy elektronickej identifikácie je potrebné poznamenať, že členským štátom EÚ vznikla v septembri 2018 povinnosť vzájomne uznávať prostriedky elektronickej identifikácie, ktoré boli oznámené v súlade s Nariadením eIDAS. Inými slovami, ak napr. občan Českej republiky bude chcieť využiť online službu poskytovanú orgánom verejnej správy Slovenskej republiky a Česká republika v súlade s Nariedením eIDAS oznámila schému elektronickej identifikácie, tak občan Českej republiky má právo sa autentifikovať pre využitie takejto služby.
K decembru 2018 oznámilo šesť členských štátov schému elektronickej identifikácie, konkrétne Spolková republika Nemecko (ďalej len „Nemecko“), Estónska republika, Španielske kráľovstvo, Chorvátska republika, Luxemburské veľkovojvodstvo a Talianska republika.(28)
Pri prvom prihlásení osoby z iného členského štátu do online služby poskytovanou subjektom verejného sektora SR sa zapíšu z eIDAS uzla do modulu IAM údaje o danej osobe a zároveň sa mu vytvorí elektronická schránka v zmysle zákona č. 305/2013 o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente). Občan iného členského štátu pre doručovanie do elektronickej schránky musí vykonať jej aktiváciu.(29)
Modul IAM (Identity Access Management), taktiež známy ako autentifikačný modul zabezpečuje na základe identifikátora osoby a autentifikátora:
a) autentifikáciu právnickej osoby na účely elektronickej komunikácie,
b) využitie elektronickej identity osoby pre všetky prístupové miesta na účely elektronickej komunikácie a
c) prenos informácie o overenej identite.(30)
Autentifikačný modul sa skladá z dvoch častí, autentifikačnej časti a komunikačnej časti. Autentifikačná časť je určená na autentifikáciu a spravuje ju Ministerstvo vnútra SR. Komunikačná časť je určená na prenos informácie o overenej identite a spravuje ju Úrad vlády SR.(31)
Tento modul predstavuje centralizované riešenie správy identít, ktorý funguje na princípe jedného prihlásenia (Single Sign-On), čo znamená, že používateľ sa po autentifikácii k informačnému systému verejnej správy (napr. portál verejnej správy) nemusí znova autentifikovať pri prístupe k inému informačnému systému verejnej správy. Autentifikačný modul ako jediný vykonáva overenie identity používateľov, čiže ho možno označiť za poskytovateľa identity. Všetky ostatné informačné systémy verejnej správy sú v pozícii poskytovateľov služieb. Výpočet údajov, ktoré sú zapísané do modulu IAM budú limitované, nakoľko minimálny súbor osobných
identifikačných údajov(32) pre fyzické osoby musí v zmysle vykonávacieho nariadenia Komisie (EÚ) 2015/1501 z 8. septembra 2015 o rámci interoperability podľa čl. 12 ods. 8 Nariadenia eIDAS obsahovať všetky nasledujúce atribúty:
a) súčasné priezvisko(á),
b) súčasné meno(á),
c) dátum narodenia,
d) jedinečný identifikátor vytvorený odosielajúcim členským štátom EÚ v súlade s technickými špecifikáciami na účely cezhraničnej identifikácie a pokiaľ možno následne nemenený.
Popri vyššie uvedených atribútoch, musí minimálny súbor údajov obsahovať jeden alebo viacero z nasledujúcich atribútov:
a) meno(á) a priezvisko(á) pri narodení,
b) miesto narodenia,
b) súčasná adresa,
c) pohlavie.
V zmysle dostupných informácií, sa v module IAM vytvorila od 28. septembra 2018 možnosť prihlasovať sa prostredníctvom eIDAS uzla pre zahraničné fyzické osoby s nemeckým občianskym preukazom alebo dokladom o pobyte cudzinca žijúceho v Nemecku. Tieto osoby sa budú môcť s vyššie uvedenými dokladmi identifikovať a autentifikovať do ústredného portálu verejnej správy (ďalej len „ÚPVS“), ako aj na všetky portály, ktoré prostredníctvom ÚPVS využívajú jednotné prihlásenie atechnicky akceptujú tento typ autentifikačného prostriedku.(33)
V tejto súvislosti je potrebné podotknúť, že konečné poskytnutie konkrétnej elektronickej služby je spojené s právom na využívanie takýchto služieb na základe podmienok, ktoré sú stanovené vo vnútroštátnych právnych predpisoch.(34) Je potrebné selektovať online služby SR, ktoré môžu občania iných členských štátov EÚ reálne využiť. Inými slovami, v prípade služieb poskytovaných online subjektmi verejného sektora SR, kde sa vyžaduje identifikácia a autentifikácia a kde je stanovená oprávnená podmienka (trvalý pobyt, štátne občianstvo a pod.), nie je možné, aby došlo k faktickému poskytnutiu takejto služby. Za sprístupnenie faktického využitia konkrétnej online služby sú zodpovedné príslušné orgány verejnej moci, ktoré danú online službu poskytujú.(35)
Vpraxi môžu vzniknúť prípady duplicitnej identity, ato najmä zdôvodu, že členské štáty neposkytujú mechanizmus cezhraničného stotožňovania identít. Pôjde najmä o situácie ako:
- a) občan iného členského štátu má vydaný prostriedok elektronickej identifikácie inej krajiny EÚ a zároveň mu bol v SR vydaný aj prostriedok, napríklad alternatívny autentifikátor.
- b) občan iného členského štátu je zapísaný v registri fyzických osôb na základe fyzicky predloženého dokladu ako je pas alebo občiansky preukaz. Pri prihlasovaní cez eIDAS uzol sa však obvykle zasiela odlišný identifikátor, a preto nepríde k automatickému stotožneniu
- c) krajina vydávajúca identifikátor vytvára pre každý prostriedok identifikácie nový identifikátor. V prípade Nemecka pri každom novom vydanom eID (napríklad po jeho strate alebo vypršaní) pre rovnakú osobu vzniká nový identifikátor a teda aj nová identita v IAM.
- d) krajina vydávajúca identifikátor môže poskytovať viacero prostriedkov elektronickej identifikácie pre jednu osobu a tým aj viaceré jedinečné identifikátory.(36)
Pri vytváraní duplicitných identít dôjde k situácii, že pre rovnakú osobu (v jednom právnom postavení) budú vytvorené viaceré elektronické schránky.
4 VYBRANÉ PROBLÉMY GDPR V KONTEXTE NARIADENIA EIDAS 4.1 ÚVOD DO GDPR
Na tomto mieste považujeme za vhodné upozorniť, že GDPR nie je prvým právnym predpisom, ktorý obsahuje reguláciu ochrany osobných údajov. GDPR nahrádza smernicu 95/46/ES o ochrane osobných údajov, ktorá bola v našom právnom poriadku reflektovaná v zákone č. 122/2013 Z. z. o ochrane osobných údajov. Navyše, prakticky celá regulácia tejto oblasti vychádza z právne záväzných medzinárodných dohovorov ako napr. Dohovor o ochrane základných ľudských práv a slobôd a Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracúvaní osobných údajov.
Zvýrazňujeme, že ak má právny akt Európskej únie charakter nariadenia, je priamo uplatniteľné a záväzné pre členské štáty. Inými slovami, zákonodarca ho nemusí implementovať v podobe zákona do svojho právneho poriadku (ako je to pri smerniciach). To znamená, že v rámci národnej právnej úpravy ochrany osobných údajov bolo na mieste iba nevyhnutne upraviť výnimky a odchýlky, ktoré GDPR predpokladá. S účinnosťou 25. mája 2018 je v Slovenskej republike prijatý zákon č. 18/2018 Z. z. o ochrane osobných údajov (Zákon o ochrane osobných údajov), ktorý v značnej miere kopíruje ustanovenia GDPR.
Často krát v diskusiách o GDPR zaznieva, že ide o revolúciu v oblasti ochrany osobných údajov. Nie je tomu však tak, keďže právna úprava ochrany osobných údajov existovala aj doteraz a ustanovovala špecifické povinnosti a práva. Rozvoj technológií ale predznamenal potrebu precíznejšej a detailnejšej regulácie v tejto oblasti, keďže staršia smernica o ochrane osobných údajov bola prijatá v roku 1995, kedy Internet používala iba obmedzená časť sveta. V tomto kontexte tak GDPR reaguje na technologický pokrok v spoločnosti, ktorá je do určitej miery priamo závislá na používaní informačných a komunikačných technológií. Podľa nášho názoru sa tak skôr jedná o evolúciu (vývoj) ako revolúciu. Navyše, smernica ako prameň práva umožňovala rozdielnu implementáciu do právnych poriadkov jednotlivých členských štátov a harmonizácia tejto oblasti nebola úspešná, čo sa prejavilo napr. aj v prílišnom formalizme zákona č. 122/2013 Z. z. o ochrane osobných údajov. GDPR unifikuje reguláciu ochrany osobných údajov a nemalo by už tak dochádzať k rozdielnej interpretácií tohto právneho aktu naprieč Európskou úniou.
V GDPR sa uplatňuje princíp technologickej neutrality. Predmetný princíp je reflektovaný v recitály 15 GDPR: „S cieľom zabrániť vzniku závažného rizika obchádzania právnych predpisov by mala byť ochrana fyzických osôb technologicky neutrálna a nemala by závisieť od použitých technologických riešení.“ Zjednodušene, GDPR nereguluje konkrétne technológie a nepodmieňuje ochranu osobných údajov špecifickou technológiou (napr. zabezpečenie bezpečnosti osobných údajov prostredníctvom konkrétneho softvéru). V tomto smere je tak na osobe, ktorá osobné údaje spracúva akú technológiu na spracúvanie prípadne na zabezpečenie ochrany použije za splnenia požiadaviek kladených GDPR.
Ďalšou výraznou zmenou je posilnenie práv dotknutých osôb. Azda najvýznamnejším dopadom je však tzv. princíp zodpovednosti. V doteraz platnej právnej úprave podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov bolo potrebné notifikovať (upozorniť) Úrad na ochranu osobných údajov SR (ďalej len Úrad) v zákonom stanovených prípadoch, že dochádza k spracúvaniu osobných údajov. Od účinnosti Nariadenia notifikačná povinnosť odpadá, ale prevádzkovateľ (sprostredkovateľ) je povinný zabezpečiť súlad s Nariadením prostredníctvom inštitútov GDPR a v prípade kontroly od Úradu je povinný tento súlad preukázať prostredníctvom (i) dokumentácie vyžadovanej Nariadením (napr. záznamami o spracovateľských operáciách prípadne posúdením vplyvu na ochranu údajov, ak sa vyžaduje) a (ii) konkrétnymi prijatými opatreniami na ochranu osobných údajov (napr. prijatím bezpečnostnej smernice, interných politík na ochranu údajov atď.).
4.2 NARIADENIE EIDAS A OCHRANA OSOBNÝCH ÚDAJOV
Nariadenie eIDAS upravuje ochranu osobných údajov iba odkazom na špecifickú reguláciu. Článok 5 nariadenia eIDAS ustanovuje, že „spracúvanie osobných údajov sa vykonáva v súlade so smernicou 95/46/ES.“ Napriek tomu, že predmetný článok odkazuje na starý právny predpis, samotné GDPR tento problém explicitne rieši. V článku 94 ods. 2 GDPR je výslovne ustanovené, že „odkazy na zrušenú smernicu sa považujú za odkazy na toto nariadenie.“ Z tohto možno vyvodiť, že pri plnení povinností ustanovených v nariadení eIDAS je potrebné brať na zreteľ aj GDPR v prípadoch, kde dochádza k spracúvaniu osobných údajov. Základné postuláty ochrany osobných údajov obsahuje aj nezáväzná časť nariadenia eIDAS: „Toto nariadenie by sa malo uplatňovať v úplnom súlade so zásadami týkajúcimi sa ochrany osobných údajov ustanovenými v smernici Európskeho parlamentu a Rady 95/46/ES. Z tohto hľadiska a so zreteľom na zásadu vzájomného uznávania ustanovenú v tomto nariadení by sa autentifikácia služby online mala týkať len spracúvania tých identifikačných údajov, ktoré sú primerané, relevantné a nie sú nadbytočné na účely poskytnutia prístupu k danej službe online. Okrem toho by poskytovatelia dôveryhodných služieb a orgány dohľadu mali rešpektovať požiadavky smernice 95/46/ES, ktoré sa týkajú dôvernosti a bezpečnosti spracovania údajov.“ Vyššie uvedené predstavuje základ pri spracúvaní osobných údajov a je plne kompatibilné aj so znením GDPR.
4.3 APLIKÁCIA GDPR PRI UZNÁVANÍ VZÁJOMNÝCH PROSTRIEDKOV IDENTIFIKÁCIE
GDPR upravuje tri druhy pôsobnosti v súlade s uznanou teoreticko-právnou doktrínou – pôsobnosť miestnu, vecnú a osobnú. Považujeme za vhodné v tomto kontexte preskúmať proces vzájomného uznávanie prostriedkov elektronickej identifikácie (ďalej len „vzájomné uznávanie PEI“) a upriamiť pozornosť na vecnú pôsobnosť GDPR. Všeobecné nariadenie na ochranu údajov sa vzťahuje na „spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.“(37) V prvom rade je tak potrebné vyriešiť otázku či ide o spracúvanie osobných údajov pri vzájomnom uznávaní PEI. Z vyššie uvedeného postupu cezhraničnej autentifikácie je nevyhnutné k tejto otázke zaujať pozitívne stanovisko. Pri používaní elektronických služieb verejnej správy sú občania jednoznačne identifikovaný na základe právom predpísaných identifikátorov. Za osobné identifikačné údaje možno považovať v zmysle čl. 3 bod 3 Nariadenia eIDAS „súbor údajov, ktorý umožňuje určiť identity fyzickej osoby alebo právnickej osoby alebo fyzickej osoby zastupujúcej právnickú osobu.“ Minimálny súbor osobných identifikačných údajov pre fyzické osoby musí v zmysle vykonávacieho nariadenia Komisie (EÚ) 2015/1501 z 8. septembra 2015 o rámci interoperability podľa čl. 12 ods. 8 Nariadenia eIDAS (ďalej len „Vykonávacie nariadenie“) obsahovať všetky nasledujúce atribúty: (a) súčasné priezvisko(á), (b) súčasné meno(á), (c) dátum narodenia, (d) jedinečný identifikátor vytvorený odosielajúcim členským štátom EÚ v súlade s technickými špecifikáciami na účely cezhraničnej identifikácie a pokiaľ možno následne nemenený. Popri vyššie uvedených atribútoch, musí minimálny súbor údajov obsahovať jeden alebo viacero z nasledujúcich atribútov: (a) meno(á) a priezvisko(á) pri narodení, (b) miesto narodenia, (c) súčasná adresa, (d) pohlavie. Z hľadiska definície osobných údajov podľa GDPR(38) vyššie uvedené informácie spĺňajú atribúty osobného údaju. Navyše, z vecného hľadiska ide aj o spracúvanie osobných údajov, keďže pri vzájomnom uznávaní PEI dochádza k automatizovanému spracúvaniu osobných údajov. Považujeme za vhodné dodať, že pod pojem spracúvanie osobných údajov možno subsumovať aj proces anonymizácie.(39)
Z hľadiska miestnej pôsobnosti existujú tri režimy miestnej pôsobnosti podľa GDPR.(40) Pri spracúvaní osobných údajov v rámci prevádzkarní umiestnených na území Európskej únie platí režim podľa článku 3 ods. 1.(41) Nie je pochýb, že jednotlivé inštitúcie zabezpečujúce vzájomné uznávanie PEI sú lokalizovateľné v rámci Európskej únie. Taktiež považujeme za vhodné dodať, že v tomto prípade sa nejedná o cezhraničný prenos osobných údajov podľa GDPR do tretích krajín, keďže vzájomné uznávanie PEI je aplikovateľné iba v členských štátoch Európskej únie.
Z hľadiska krokov pri vzájomnom uznávaní PEI sa domnievame, že GDPR bude aplikovateľné v celom procese. O aplikácií pri využívaní služieb verejnej správy cez elektronický portál služieb verejnej správy nemôže byť ani pochýb, keďže na identifikáciu sa vyžaduje súbor špecifických identifikátorov uvedených vyššie a niet ani pochýb o tom, že ide o osobné údaje. Určitú výnimku tvoria údaje, ktoré sú uchovávané v uzloch za účelom presmerovania žiadostí. V zmysle článku 6 Vykonávacieho nariadenia „Uzly nesmú uchovávať žiadne osobné údaje okrem údajov na účely uvedené v článku 9 ods. 3.“ Článok 9 ods. 3 ustanovuje, že „uzlový operátor uchováva údaje, ktoré by v prípade mimoriadnej udalosti umožnili obnovu postupnosti výmeny správ potrebnú na zistenie miesta a povahy tejto udalosti. Údaje sa uchovávajú na isté časové obdobie v súlade s vnútroštátnymi požiadavkami a pozostávajú minimálne z týchto prvkov: (a) identifikácia uzla; (b) identifikácia správy; (c) dátum a čas správy.“ V tomto smere tak možno zvýrazniť požiadavku anonymizácie identifikačných údajov dotknutej osoby, keďže legislatíva priamo zakazuje pri komunikácií uzlov spracúvať osobné údaje v nich.
4.4 OSOBNÁ PÔSOBNOSŤ GDPR PRI VZÁJOMNOM UZNÁVANÍ PEI
Osobná pôsobnosť GDPR určuje konkrétne postavenie entity pri spracúvaní osobných údajov. Správne determinovanie postavenia je dôležité z hľadiska plnenia konkrétnych práva povinností ustanovených v GDPR. Dotknutá osoba je identifikovaná alebo identifikovateľná fyzická osoba, ktorej sa informácie týkajú. Hlavnými „aktérmi“ spracúvania osobných údajov sú prevádzkovateľ a sprostredkovateľ, pričom oba tieto pojmy definuje GDPR v článku 4. Prevádzkovateľ podľa bodu 7 vyššie uvedeného článku je „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu.“ Pracovná skupina článku 29 – od účinnosti nariadenia Európsky výbor pre ochranu údajov (ďalej len „Výbor“) vo svojom staršom (napriek tomu stále aplikovateľnom) stanovisku uvádza tri kritéria na určenie prevádzkovateľa. Musí ísť o (i) fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo iný subjekt, (ii) ktorý sám alebo spoločne s inými (iii) určí účely a prostriedky spracúvania osobných údajov. Ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi. Nie je dôležitá úroveň prepojenia spoločných prevádzkovateľov (od spoločného zdieľania výkonu všetkých spracovateľských operácii až po zdieľanie výkonu len jednej spracovateľskej operácie). Typickým príkladom spoločných prevádzkovateľov je vedenie databázy dlžníkov viacerými entitami napr. vo finančnom sektore.
Najdôležitejším aspektom definície je určenie účelov a prostriedkov spracúvania osobných údajov. V tejto súvislosti Výbor uvádza, že nie je dôležité formálne určenie entity (napr. v zmluve alebo memorande), ktorá účely a prostriedky určuje, ale zvýrazňuje faktické skutočnosti, teda reálny stav a praktickú realitu. Je potrebné sa pozrieť na konkrétne spracovateľské operácie a odpovedať na otázky ohľadom dôvodu spracovania osobných údajov a kto výkon spracovania inicioval. Subjekt, ktorý má nulový faktický alebo právny vplyv na určenie účelov a prostriedkov spracovania osobných údajov nemôže byť považovaný za prevádzkovateľa. Určenie účelu spracovania je výsadou prevádzkovateľa.
Oproti tomu sprostredkovateľom je „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.“ Správne určenie toho, či konkrétna osoba je prevádzkovateľ alebo sprostredkovateľ je nevyhnutné z hľadiska determinovania konkrétnych práv a povinností vyplývajúcich z Nariadenia. Pri vymedzení pojmu sprostredkovateľ je nevyhnutné zvýrazniť, že jeho zapojenie do spracúvania osobných údajov predpokladá určité poverenie alebo zmocnenie zo strany prevádzkovateľa, keďže osobné údaje spracúva v jeho mene. Konkrétnejšie detaily procesu poverenia a vzťahu prevádzkovateľ – sprostredkovateľ upravuje článok 28 GDPR. Nie je vylúčené, že v praxi bude jedna a tá istá osoba prevádzkovateľom a zároveň sprostredkovateľom.
GDPR ďalej vymedzuje príjemcu a tretiu stranu. Článok 4 bod 9 definuje príjemcu ako „fyzickú alebo právnickú osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania.“ Tretia strana je v GDPR vymedzená ako „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov.“(42)
Z hľadiska zamerania predkladaného príspevku autori rozlišujú medzi troma základnými subjektami pri manažmente elektronickej identity – užívateľ služby, poskytovateľ identity a poskytovateľ služby. Užívateľ služby z hľadiska personálnej pôsobnosti je jednoznačne dotknutou osobu. Entity, ktoré spracúvajú osobné údaje o dotknutých osobách jednoznačne vedia konkrétnych užívateľov identifikovať. Poskytovateľ služby (napr. prevádzkovateľ elektronických služieb verejnej správy) by v drvivej väčšine prípadov mal byť považovaný za prevádzkovateľa. Toto konštatovanie možno odvodiť z požiadavky určenia účelu, keďže samotný prevádzkovateľ služby (konkrétna organizácia zmocnená štátom) predmetnú službu vytvoril a udržiava ju v prevádzke. Inými slovami sám určil aké osobné údaje budú spracúvané a taktiež na aký účel. Z hľadiska GDPR tak ide o prevádzkovateľa podľa článku 4 bodu 7. Otázka poskytovateľa identity je komplikovanejšia a bude vždy závisieť od konkrétnych okolností. Ak poskytovateľa identity chápeme v reštriktívnom zmysle ako entitu, ktorá občanom prideľuje špecifické identifikátori (napr. čipové občianske preukazy), pôjde jednoznačne o prevádzkovateľa, ktorý sám určil účely a rozsah spracúvania osobných údajov, ktoré mu dotknuté osoby poskytli alebo ktoré má k dispozícií od štátu. Avšak ak pôjde o poskytnutie identity ad hoc pri využívaní elektronických služieb verejnej správy (napr. ak sa užívateľ autentifikuje a je mu pre overovateľa identity – tretiu stranu vytvorená identita) môže ísť aj o vzťah prevádzkovateľ – sprostredkovateľ, kde sprostredkovatelia budú poverené entity štátom v procese poskytovania elektronických verejných služieb.
4.5 ĎALŠIE APLIKAČNÉ PROBLÉMY A BUDÚCI VÝSKUM
Ambíciou predkladaného príspevku nebolo komplexne analyzovať problematiku implementácie GPDR pri vzájomnom uznávaní PEI. Na druhej strane vidíme ale priestor pre ďalší výskum, ktorému sa v blízkej budúcnosti budeme venovať. Zvýrazniť možno tri problematické aspekty, na ktoré sme pri skúmaní otázok narazili. V prvom rade ide o bezpečnosť spracúvania osobných údajov. Vykonávacie nariadenie v článku 6 ods. 1 ustanovuje, že „ochrana a dôvernosť vymieňaných údajov a zachovanie integrity údajov medzi uzlami sa zabezpečuje pomocou najlepších dostupných technických riešení a ochranných postupov.“ Je nepochybne zaujímavé porovnať predmetné kritérium s požiadavkami na bezpečnosť údajov podľa článku 32 GDPR.(43) Druhou otázkou je správna implementácia GDPR v kontexte základných zásad spracúvania osobných údajov podľa článku 5 GDPR. V neposlednom rade považujeme za vhodné v budúcnosti preskúmať povinnosť a prípadnú praktickú realizáciu inštitútu posúdenia vplyvu na ochranu údajov podľa článku 35 GDPR.(44)
5 ZÁVER
Napriek skutočnosti, že SR k januáru 2019 ešte nezačala proces oznámenia schémy elektronickej identifikácie, má v zmysle Nariadenia eIDAS povinnosť uznávať prostriedky elektronickej identifikácie v rámci už oznámených schém elektronickej identifikácie. Občania iných členských štátov, ktorí spĺňajú podmienky v zmysle Nariadenia eIDAS tak môžu pre identifikáciu a autentifikáciu do online služieb poskytovaných subjektmi verejného sektora SR používať národné prostriedky elektronickej identifikácie. V rámci systému cezhraničnej autentifikácie sa občanom iných členských štátov EÚ zapíšu z eIDAS uzla do modulu IAM údaje o danej osobe a zároveň sa im vytvorí elektronická schránka. Napriek technickej pripravenosti však môže v praxi dôjsť k situáciám, kedy sa občanovi iného členského štátu vytvoria duplicitné identity.
Z hľadiska aplikácie GDPR je možné záverom zhrnúť nasledovné: GDPR ako právny akt je aplikovateľné pri všetkých krokoch vzájomného uznávania PEI s určitými odchýlkami pri spracúvaní údajov v jednotlivých uzloch. Z hľadiska miestnej pôsobnosti ide o režim prevádzkarne na území Európskej únie. Determinovanie postavenia jednotlivých aktérov posudzovaného procesu z hľadiska osobnej pôsobnosti GDPR bude vždy závisieť od konkrétnych okolností. Ako priestor pre budúci výskum autori vidia problematiku základných zásad spracúvania osobných údajov, posúdenia vplyvu na ochranu údajov a bezpečnostných opatrení podľa GDPR a eIDAS.
Poznámky
- 1) LEENES, R. E., SCHALLABÖCK, J, HANSEN, M.: PRIME white paper v3, EU: The PRIME consortium, 2008, s. 1.
- 2) CLARKE, R.: A Sufficiently Rich Model of (Id)entity, Authentication and Authorisation. 2010. Dostupné na: http://www.rogerclarke.com/ID/IdModel-1002.html#MAc.
- 3) Modinis Study on Identity Management in eGovernment Common Terminological Framework for Interoperable Electronic Identity Management Consultation paper v2.01. 2005, s. 11. Dostupné na: http://ec.europa.eu/information_society/activities/ict_psp/documents/eid_terminology_paper.pdf
- 4) Manažment identity nie je len problematikou, ktorá sa týka len verejnej správy. Napr. aj v súkromnom sektore môže zamestnávateľ spravovať identity pracovníkov a určovať, ktorí zamestnanci majú prístup k zdrojom (napr. prístup do budov a pod.).
- 5) V odbornej literatúre sa možno stretnúť s pojmom manažment digitálnej identity alebo digitálny manažment identity.
- 6) LIPS, M.: Rethinking citizens – government relationships in the age of digital identity: Insights from research. In Information Polity. 2010, roč. 15, č. 4, s. 276.
- 7) OECD: The role of digital identity management in the internet economy: a primer for policy makers. 2009. Dostupné na: http://www.oecd-ilibrary.org/science-and-technology/the-role-of-digital-identity-management-inthe-internet-economy_222134375767.
- 8) V posledných rokoch možno sledovať, že štáty vytvárajú robustné modely manažmentu elektronickej identity, ktoré sú založené na elektronickom preukaze identity, ktorý je vydávaný štátom. Tento preukaz identity nachádza využitie nielen pri identifikácii a autentifikácii osoby k službám, ktoré poskytuje verejná správa, ale aj v súkromnom sektore. Spomínanými štátmi sú, napr. Nemecko, Francúzsko, Rakúsko a i. Bližšie pozri OECD: The role of digital identity management in the internet economy: a primer for policy makers. 2009.
- 9) LAURENT, M. a BOUZEFRANE, S.: Digital Identity Management. London: ISTE Press Ltd., 2015, s. 33.
- 10) Tamtiež, s. 34.
- 11) Tamtiež, s. 33.
- 12) Napr. OpenID dostupné na: http://openid.net/, Shibboleth dostupné na: http://shibboleth.net/, WS-Federation dostupné na: https://msdn.microsoft.com/en-us/library/bb498017.aspx, OpenAM dostupné na: https://forgerock.org/openam/ a pod.
- 13) OECD: The role of digital identity management in the internet economy: a primer for policy makers. 2009, s. 161. LAURENT, M. a BOUZEFRANE, S.: Digital Identity Management. London: ISTE Press Ltd., 2015, s. 35.
- 14) OECD: The role of digital identity management in the internet economy: a primer for policy makers. 2009, s. 161.
- 15) LAURENT, M. a BOUZEFRANE, S.: Digital Identity Management. London: ISTE Press Ltd., 2015, s. 33.
- 16) Prostriedkom elektronickej identifikácie je v zmysle čl. 3 ods. 2 Nariadenia eIDAS: „hmotná jednotka a/alebo nehmotná jednotka obsahujúca osobné identifikačné údaje, ktorá sa používa na autentifikáciu pre online služby.“ Inými slovami, prostriedky elektronickej identifikácie (napr. elektronické údaje z osobných a cestovných dokladov, digitálne certifikáty, zoznamy zrušených certifikátov a pod.), ktoré budú musieť členské štáty EÚ povinne uznávať, slúžia na elektronickú autentifikáciu, čiže overenie deklarovanej identity osoby, ktorá chce využiť online službu v inom členskom štáte EÚ. Na tomto mieste je potrebné uviesť, že cieľom Nariadenia eIDAS nie je uznávanie elektronického občianskeho preukazu, ale uznanie elektronickej identity, ktorá je obsiahnutá v ňom.
- 17) V právnom poriadku Slovenskej republiky sú úrovne záruky upravené vo výnose Ministerstva financií Slovenskej republiky č. 55/2014 Z. z. o štandardoch pre informačné systémy verejnej správy.
- 18) V zmysle čl. 3 ods. 4 Nariadenia eIDAS sa za schému elektronickej identifikácie považuje: „systém na elektronickú identifikáciu, v rámci ktorého sa fyzickým osobám alebo právnickým osobám alebo fyzickým osobám zastupujúcim právnické osoby vydávajú prostriedky elektronickej identifikácie.“ Schéma elektronickej identifikácie úzko súvisí s prostriedkom elektronickej identifikácie, avšak tento pojem je potrebné vnímať v širšom kontexte. Schéma elektronickej identifikácie poskytuje dve služby, ktorými sú: 1) vydávanie prostriedkov elektronickej identifikácie, 2) zabezpečenie procesu autentifikácie.
- 19) Tamtiež, čl. 6 písm. b) c).
- 20) Tamtiež, bod 13 preambuly..
- 21) Projekt STORK (Secure idenTity acrOss boRders linKed) bol realizovaný v rokoch 2008-2011 a zaoberal problematikou identifikácie a autentifikácie v kontexte cezhraničného využívania verejných služieb.
- 22) ISO/IEC 29115:2013 Entity authentication assurance framework.
- 23) Vykonávacie nariadenie Komisie (EÚ) 2015/1502 z 8. septembra 2015, ktorým sa stanovujú minimálne technické špecifikácie a postupy pre úrovne zabezpečenia prostriedkov elektronickej identifikácie podľa článku 8 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu.
- 24) Tzv. brány – pred tým nazývané PEPS (Pan-European Proxy Services). Architektúra prepojených národných bodov. Výsledok proiektu STORK 1 a STORK 2. PEPS = eIDAS uzol.
- 25) Čl. 2 ods. 1 vykonávacieho nariadenia Komisie (EÚ) 2015/1501 z 8. septembra 2015 o rámci interoperability
- 26) Dostupné na: https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/How+does+it+work+-+eIDAS+solution.
- 27) Bod 13 preambuly Nariadenia eIDAS.
- 28) Zoznam dostupný na: https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+prenotified+and+notified+eID+schemes+under+eIDAS.
- 29) Často kladené otázky k elektronickej identifikácii na základe eIDAS (Nariadenie Európskeho parlamentu a Rady EÚ č. 910/2014). Dostupné na: https://www.slovensko.sk/_img/CMS4/eIDAS/FAQ%20-%20eIDAS_v2.pdf.
- 30) § 10 ods. 5 zákona č. 305/2013 o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente).
- 31) Tamtiež.
- 32) Za osobné identifikačné údaje možno považovať v zmysle čl. 3 bod 3 Nariadenia eIDAS „súbor údajov, ktorý umožňuje určiť identity fyzickej osoby alebo právnickej osoby alebo fyzickej osoby zastupujúcej právnickú osobu.“ Osobné identifikačné údaje zohrávajú dôležitú úlohu pri elektronickej identifikácii, ktorá v zmysle čl. 3 ods.1 Nariadenia eIDAS predstavuje: „proces používania osobných identifikačných údajov v elektronickej forme, ktoré jedinečne reprezentujú fyzickú osobu alebo právnickú osobu alebo fyzickú osobu zastupujúcu právnickú osobu.
- 33) Často kladené otázky k elektronickej identifikácii na základe eIDAS (Nariadenie Európskeho parlamentu a Rady EÚ č. 910/2014). Dostupné na: https://www.slovensko.sk/_img/CMS4/eIDAS/FAQ%20-%20eIDAS_v2.pdf, s. 7.
- 34) Bod 14 preambuly Nariadenia eIDAS.
- 35) Často kladené otázky k elektronickej identifikácii na základe eIDAS (Nariadenie Európskeho parlamentu a Rady EÚ č. 910/2014). Dostupné na: https://www.slovensko.sk/_img/CMS4/eIDAS/FAQ%20-%20eIDAS_v2.pdf, s. 3.
- 36) Tamtiež, s. 4-5.
- 37) Článok 2 ods. 1 GPDR.
- 38) Článok 4 bod 1 GDPR: „osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.“
- 39) Viď široká definícia spracúvania osobných údajov podľa článku 4 bodu 2: „spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.“
- 40) Pozri napr. BERTHOTY, J. a kol. : Všeobecné nariadenie na ochranu údajov. 1. vydanie. Praha : C.H. Beck, 2018, s. 193 a nasl.
- 41) Článok 3 ods. 1: „Toto nariadenie sa vzťahuje na spracúvanie osobných údajov v rámci činnosti prevádzky prevádzkovateľa alebo sprostredkovateľa v Únii, a to bez ohľadu na to, či sa spracúvanie vykonáva v Únii alebo nie.“
- 42) Článok 4 bod 10 GDPR.
- 43) Článok 32 ods. 1 GDPR: „Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia…“
- 44) Článok 35 GDPR: „Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie.“
Autori
JUDr. Jozef Andraško PhD., PhD. jozef.andrasko@flaw.uniba.sk
Univerzita Komenského v Bratislave, Právnická fakulta
Šafárikovo nám. č. 6
P. O. Box 313
810 00 Bratislava
JUDr. Matúš Mesarčík PhD., LL.M
Zdroj
https://www.flaw.uniba.sk/fileadmin/praf/Veda/Zborniky/2019-03-29-Zbornik_digitalizacia.pdf