Zákon – Zákon o verejnom obstarávaní a o zmene a doplnení niektorých zákonov 343/2015 | Paragraf/y: § 14
1 ÚVOD
Zavádzanie informačných a komunikačných technológií (ďalej len „IKT“) prispelo nie len k automatizovanému spracovaniu informácií, ale aj k poskytovaniu služieb na diaľku vo virtuálnom priestore1, najmä prostredníctvom Internetu. Avšak Internet sa vyznačuje značnou mierou anonymity. Z uvedeného dôvodu bolo potrebné hľadať riešenia, ako zabezpečiť identifikáciu a autentifikáciu osôb aj pri poskytovaní verejných služieb vo virtuálnom priestore, kedy orgány verejnej správy pri poskytovaní takýchto služieb musia s istotou vedieť, s kým komunikujú alebo vykonávajú transakciu.
Aby sme v dostatočnej miere ozrejmili problematiku identifikácie a autentifikácie vo verejnom obstarávaní, v prvom rade zameriame pozornosť na pojmy ako identifikácia a autentifikácia. Osobitnú pozornosť budeme venovať úrovniam záruky. Následne budeme rozoberať skúmanú problematiku z pohľadu verejného obstarávania, konkrétne elektronického trhoviska.
2 IDENTIFIKÁCIA A AUTENTIFIKÁCIA
Určenie identity konkrétnej osoby možno rozdeliť do dvoch fáz, ktorými sú identifikácia a autentifikácia. Vo všeobecnosti možno povedať, že v rámci identifikácie osoba deklaruje svoju identitu. V prípade ak osoba chce využívať konkrétnu elektronickú službu verejnej správy, realizuje vyhlásenie o identite (identity claim). Takéto vyhlásenie predstavuje deklaratívny akt osoby, ktorá tvrdí, že: „Ja som ja a tu sú potrebné atribúty a identifikátory , ktoré sú nevyhnutné na overenie, že som, kto tvrdím, že som.“
V praxi môže nastať situácia, že osoba bude tvrdiť, že je danou osobou, avšak takéto vyhlásenie môže byť falošné. Aby sme mohli overiť takéto vyhlásenie o identite, osoba sa musí preukázať preukazom identity (credential) a následne musí dôjsť k autentifikácii. 6
Aby sme aj vo virtuálnom priestore v rámci rôznych online interakcií a transakcií dosiahli určitú úroveň záruky, že osoba, ktorá urobila vyhlásenie o identite je naozaj tou osobou, vyžaduje sa od nej, aby sa preukázala preukazom identity.7
Vo virtuálnom priestore, kde dochádza k rôznym interakciám medzi osobami a rôznymi organizáciami, je situácia v porovnaní s fyzickým svetom podobná. Osoba, ktorá uskutočnila vyhlásenie o identite, musí disponovať preukazom elektronickej identity, ktorý bude obsahovať údaje o tom, že osoba, ktorá urobila vyhlásenie o identite, je naozaj tou osobou. Príkladom takýchto preukazov identity je, napr. heslo, elektronický podpis, digitálny certifikát a i.8
Konečný výsledok autentifikácie je binárny, a teda deklarovaná identita bola potvrdená alebo zamietnutá.9 Avšak v závislosti od sily prostriedkov, ktoré sa používali na overovanie identity, má spoliehajúca sa osoba (napr. poskytovateľ elektronických služieb verejnej správy) rôznu mieru istoty, že skutočne ide o tú osobu, ktorá sa identifikovala. Aj slabšie metódy autentifikácie postačujú na bežné účely. Je potrebné, aby sa pri identifikácii a autentifikácii používali metódy primerané účelu, na ktorý sa výsledok identifikácie a autentifikácie použije. Tento koncept je formalizovaný úrovňou záruky (assurance level).10
Úroveň záruky opisuje stupeň dôvery v procesy, ktoré vedú k a zahrňujú samotný autentifikačný proces, a tak poskytujú záruku, že entita (napr. fyzická osoba), ktorá používa konkrétnu identitu je v skutočnosti tá entita, ktorej bola táto identita priradená. 11
Autentifikačný proces poskytuje určitú úroveň záruky, že osoba je naozaj tou osobou, ktorej identitu deklarovala. Úroveň záruky a vyžadovanie konkrétneho preukazu elektronickej identity závisí od úrovne rizika spojeného s transakciou alebo interakciou. Nie všetky interakcie si vyžadujú rovnakú úroveň autentifikácie. Dokonca, pri niektorých interakciách nie je identifikácia a autentifikácia potrebná.
2.1 Vzájomné uznávanie prostriedkov elektronickej identifikácie
Problematika úrovní záruky je na úrovní práva Európskej únie (ďalej len „EÚ“)12 predmetom Nariadenia EP a Rady 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (ďalej len „Nariadenia eIDAS“), ktoré okrem služieb dôvery13 upravuje aj problematiku vzájomného uznávania prostriedkov elektronickej identifikácie14.
Cieľom predmetnej úpravy je zabezpečiť, aby sa prostriedky elektronickej identifikácie jedného členského štátu EÚ dali použiť na identifikáciu a autentifikáciu pri prístupe k online službám, ktoré sú poskytované subjektmi verejného sektora iného členského štátu EÚ. Medzi subjekty verejného sektora možno v zmysle čl. 3 ods. 7 Nariadenia eIDAS zaradiť: „ústredný, regionálny alebo miestny orgán, verejnoprávny subjekt alebo združenie tvorené jedným alebo viacerými takýmito orgánmi alebo jedným či viacerými takýmito verejnoprávnymi subjektmi, alebo súkromný subjekt, ktorý aspoň jeden z takýchto orgánov, subjektov alebo združení poveril poskytovaním verejných služieb, keď koná na základe takéhoto poverenia.“
Ustanovenia týkajúce sa zásady vzájomného uznávania sa dotknú nielen fyzických osôb, fyzických osôb podnikateľov a právnických osôb, ktorí primárne využívajú online služby, ale najmä subjektov verejného sektora, ktoré tieto služby poskytujú. Je potrebné podotknúť, že od 1. júla 2016 sa aplikuje Nariadenie eIDAS len v rozsahu upravujúcom služby dôvery. Povinnosť vzájomne uznávať prostriedky elektronickej identifikácie vznikne členským štátom EÚ až 29. septembra 2018.
Praktický dopad vzájomného uznávania prostriedkov elektronickej identifikácie je zrejmý najmä v situácii, kedy by občan Slovenskej republiky chcel využiť online služby, ktoré poskytujú subjekty verejného sektora v Českej republike alebo v akomkoľvek členskom štáte EÚ. V takejto situácii by si občan Slovenskej republiky nemusel vybavovať elektronický prostriedok identifikácie danej krajiny, ale na cezhraničnú autentifikáciu by mu postačoval národný prostriedok elektronickej identifikácie.
Pre vzájomné uznávanie prostriedkov elektronickej identifikácie musia byť v zmysle Nariadenia eIDAS splnené nasledujúce tri podmienky.
Prvou podmienkou pre vzájomné uznávanie prostriedku elektronickej identifikácie iným členským štátom EÚ je, aby bol prostriedok elektronickej identifikácie vydávaný v rámci schémy elektronickej identifikácie , ktorá je uvedená v zozname, ktorý zverejňuje Európska komisia podľa čl. 9 Nariadenie eIDAS. Inými slovami možno povedať, že musí ísť o oznámenú schému elektronickej identifikácie podľa Nariadenia eIDAS.
Po tom, čo členský štát EÚ oznámi schému elektronickej identifikácie, vykonajú členské štáty EÚ vzájomné hodnotenie schém elektronickej identifikácie. Takéto hodnotenie zabezpečí, aby bola schéma v súlade s rámcom interoperability a spĺňala požiadavky stanovené pre úrovne záruky v zmysle Nariadenia eIDAS. Až po vzájomnom hodnotení sa schéma elektronickej identifikácie zverejní v Úradnom vestníku EÚ.
Je potrebné uviesť, že v zmysle Nariadenia eIDAS je na rozhodnutí členských štátov EÚ, či oznámia Európskej komisii všetky, niektoré alebo neoznámia žiadne schémy elektronickej identifikácie, ktoré sa používajú na vnútroštátnej úrovni na prístup aspoň k verejným online službám alebo ku konkrétnym službám. V kontexte oznámenia, resp. neoznámenia schémy elektronickej identifikácie je potrebné poznamenať, že členským štátom EÚ vznikne v septembri 2018 povinnosť vzájomne uznávať prostriedky elektronickej identifikácie, ktoré boli oznámené v súlade s Nariadením eIDAS. Inými slovami, ak napr. občan Českej republiky bude chcieť využiť online službu poskytovanú orgánom verejnej správy Slovenskej republiky a Česká republika v súlade s Nariedením eIDAS oznámila schému elektronickej identifikácie, tak občan Českej republiky má právo sa autentifikovať pre využitie takejto služby.
Druhou podmienkou pre vzájomné uznávanie prostriedku elektronickej identifikácie iným členským štátom EÚ je zaistenie úrovne záruky prostriedku elektronickej identifikácie vyššej alebo rovnakej ako tá, ktorú vyžaduje príslušný subjekt verejného sektora pre prístup k online službe za predpokladu, že úroveň záruky daných prostriedkov elektronickej identifikácie zodpovedá úrovni záruky pokročilá alebo vysoká.
Treťou podmienkou vzájomného uznávania prostriedku elektronickej identifikácie je, aby príslušný subjekt verejného sektora používal vo vzťahu k prístupu k danej online službe úroveň záruky pokročilá alebo vysoká. V prípade, ak prostriedok elektronickej identifikácie má nižšiu úroveň záruky, členský štát ho môže, ale nemusí uznať pre potreby identifikácie pre online služby, ktoré poskytuje.
Na tomto mieste musíme poukázať na skutočnosť, že prístup k online službám a ich konečné poskytnutie žiadateľovi je spojené s právom na využívanie takýchto služieb na základe podmienok, ktoré sú stanovené vo vnútroštátnych právnych predpisoch. Inými slovami možno povedať, že napriek tomu, že sa osoba môže elektronicky autentifikovať pre prístup k online službe iného členského štátu EÚ, neznamená, že automaticky má aj oprávnenie konkrétnu online službu využiť, nakoľko takéto oprávnenie sa môže vzťahovať na podmienku občianstva alebo trvalého pobytu v konkrétnej krajine a pod.
Nariadenie eIDAS rozlišuje tri úrovne záruky, konkrétne nízka, pokročilá a vysoká. Pri definovaní týchto úrovní záruky Nariadenie eIDAS vychádzalo z výsledkov rozsiahleho pilotného projektu financovaného prostriedkami EÚ a normalizačných a medzinárodných činností, ktoré obsahujú rôzne technické vymedzenia a opisy úrovní záruky. Konkrétne ide o projekt STORK 1.0 a medzinárodnú normu Štandard o úrovniach záruky , kde Nariadenie eIDAS odkazuje na úrovne 2, 3 a 4 stanovené v projekte STORK 1.0 a Štandarde o úrovniach záruky. V nasledujúcej tabuľke uvádzame prehľad úrovní záruky.
Tabuľka č. 1 – Porovnanie úrovní záruky Nariadenia eIDAS, STORK 1.0 a Štandardu o úrovniach záruky
Úrovne záruky podľa Nariadenia eIDAS Úrovne záruky podľa STORK 1.0 Úrovne záruky podľa Štandardu o úrovniach záruky Nízka QAA úroveň 2 Úroveň záruky 2 – stredná Pokročilá QAA úroveň 3 Úroveň záruky 3 – vysoká Vysoká QAA úroveň 4 Úroveň záruky 4 – veľmi vysoká
Zdroj: Vlastné spracovanie
Úrovne záruky upravené v Nariadení eIDAS boli vypracované na základe prístupu, ktorý je založený na výsledkoch (outcome based approach), čo znamená, že každý členský štát EÚ môže splniť požadovanú úroveň záruky rôznymi špecifickými spôsobmi, ktoré sú upravené na národnej úrovni. Inými slovami, Nariadenie eIDAS nezrušuje národné riešenia pre stanovenie … …
Celé znenie článku nájdete na nižšie uvedenom zdroji.
Autori
JUDr. Jozef Andraško PhD., PhD. jozef.andrasko@flaw.uniba.sk
Univerzita Komenského v Bratislave, Právnická fakulta
Šafárikovo nám. č. 6
P. O. Box 313
810 00 Bratislava
JUDr. Eniko Mátéová