This document is an excerpt from the EUR-Lex website
Document 52021DC0290
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the evaluation of Regulation (EU) No 910/2014 on electronic identification and trust services for electronic transactions in the internal market (eIDAS)
ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ o hodnocení nařízení (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (nařízení eIDAS)
ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ o hodnocení nařízení (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (nařízení eIDAS)
COM/2021/290 final
EVROPSKÁ KOMISE
V Bruselu dne 3.6.2021
COM(2021) 290 final
ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ
o hodnocení nařízení (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (nařízení eIDAS)
{SEC(2021) 229 final} - {SWD(2021) 130 final}
1.Úvod
Tato zpráva podává přehled výsledků hodnocení nařízení (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (dále jen „nařízení eIDAS“) 1 . Článek 49 tohoto nařízení ukládá Komisi povinnost přezkoumat uplatňování tohoto nařízení a zejména vyhodnotit, zda je s přihlédnutím ke zkušenostem s jeho uplatňováním a k technologickému, tržnímu a právnímu vývoji vhodné upravit oblast působnosti tohoto nařízení nebo jeho konkrétní ustanovení 2 , a případně ke zprávě připojit legislativní návrhy.
Doprovodný pracovní dokument útvarů Komise obsahuje podrobnější důkazy a analýzu podporující tato zjištění.
1.1.Rámec eIDAS
Nařízení eIDAS přijaté v roce 2014 znamenalo pro EU průlom, jelikož zavedlo první přeshraniční rámec pro důvěryhodné digitální identity a služby vytvářející důvěru, který se nyní těší celosvětovému uznání. Cílem nařízení eIDAS bylo zajistit všem občanům EU přístup k veřejným službám v celé EU díky použití prostředků pro elektronickou identifikaci vydaných v jejich domovské zemi. Mělo zvýšit důvěryhodnost elektronických transakcí na vnitřním trhu tím, že mělo poskytnout společný základ pro bezpečnou a bezproblémovou elektronickou komunikaci mezi občany, podniky a orgány veřejné moci, čímž mělo posílit efektivnost veřejných a soukromých on-line služeb, elektronického podnikání a elektronického obchodu v EU. Nařízení zrušilo směrnici 1999/93/ES o zásadách Společenství pro elektronické podpisy, která v zásadě upravovala jen elektronické podpisy.
Jak je uvedeno v právním základě nařízení, v článku 114 SFEU, jeho cílem bylo odstranit stávající překážky fungování vnitřního trhu prosazováním sbližování právních předpisů členských států, a to zejména pokud jde o přeshraniční vzájemné uznávání a přijímání elektronické identifikace, autentizaci, podpisy a související služby vytvářející důvěru, je-li to nutné pro přístup k elektronickým postupům nebo transakcím či jejich dokončení.
Před vstupem nařízení v platnost neexistoval žádný ucelený unijní přeshraniční a meziodvětvový rámec pro bezpečné, důvěryhodné a snadno použitelné elektronické transakce, který by zahrnoval elektronickou identifikaci, autentizaci a služby vytvářející důvěru. Ve svém návrhu (COM(2012) 238 final) ze dne 4. června 2012, k němuž bylo přiloženo posouzení dopadů (SWD(2012) 135 final), Komise vymezila tyto čtyři obecné cíle:
•zajistit rozvoj jednotného digitálního trhu,
•podpořit rozvoj klíčových přeshraničních veřejných služeb,
•stimulovat a posílit hospodářskou soutěž na jednotném trhu,
•zvýšit uživatelskou přívětivost (pro občany a podniky).
Navzdory tomu, že nařízení řadu svých cílů plní a má zásadní význam pro usnadnění fungování jednotného trhu v řadě odvětví (např. v oblasti finančních služeb a umožnění přístupu k údajům a jejich opakovaného použití ve správních postupech), pojí se s ním řada nedostatků: chybějící povinnost oznamovat vnitrostátní režimy elektronické identifikace, omezené atributy (prvky osobních údajů), které mohou být spolehlivě poskytnuty třetím stranám, zaměření aktu na veřejný sektor a chybějící jasná motivace pro soukromé subjekty, aby vnitrostátní elektronickou identifikaci používaly. Kromě toho evropský ekosystém elektronické identity zahrnuje různá vnitrostátní právní prostředí, různé úrovně elektronické správy a kultury a různou míru důvěry ve veřejné instituce.
1.2.Souvislosti
Poskytování digitální identity prochází zásadními změnami. Subjekty jako banky, poskytovatelé služeb elektronické komunikace nebo podniky veřejných služeb, z nichž některé mají zákonnou povinnost shromažďovat atributy identity, využívají své postupy k tomu, aby mohly působit jako poskytovatelé ověřené identity. Zprostředkovatelé internetových služeb, včetně velkých platforem sociálních médií a internetových prohlížečů 3 , působí de facto jako strážci identity a nabízejí řešení BYOI (bring your own identity, „přineste si vlastní identitu“), která jejich uživatelům umožňují autentizaci na internetových stránkách a u služeb třetích stran pomocí vlastního uživatelského profilu. Tuto výhodu mohou využívat za cenu ztráty kontroly nad zpřístupněnými osobními údaji, jelikož tyto prostředky elektronické identifikace nejsou spojeny s ověřenou fyzickou totožností, což znesnadňuje zmírňování hrozeb podvodů a kybernetických bezpečnostních hrozeb. Velká většina občanů EU by chtěla mít k dispozici bezpečnou digitální identitu, kterou by mohli používat k přístupu k online službám 4 . A konečně ačkoli existuje mnoho různých názorů na budoucnost digitální identity, je třeba náležitě zvážit klíčovou úlohu vnitrostátních vlád v rozvoji jakéhokoli rozsáhlého ekosystému elektronické identifikace.
Uživatelé v dnešní době očekávají bezproblémové procházení internetu, mobilní aplikace a řešení jediného přihlášení, která mohou být použita u služeb ve veřejném i soukromém sektoru a která se vztahují na všechny případy použití identifikace, od přihlášení pomocí pseudonymu na online platformu až po bezpečnou identifikaci pro účely elektronického zdravotnictví nebo elektronického bankovnictví. Bezpečná online identifikace a výměna ověřovacích údajů k atributům nabývá s rostoucím množstvím služeb citlivých z hlediska identity a individualizovaných služeb na důležitosti. Schopnost digitálně se identifikovat se stane významným faktorem sociálního začlenění a poskytování digitální identity strategickým nástrojem.
Ve svém projevu o stavu Unie ze dne 16. září 2020 oznámila předsedkyně Evropské komise záměr Komise zajistit bezpečnou a důvěryhodnou digitální identitu pro všechny občany EU: „Chceme soubor pravidel, která staví lidi do středu zájmu. (…) Ten zajistí kontrolu nad našimi osobními údaji, kterou dodnes až příliš často postrádáme. Pokaždé, když nás aplikace nebo webové stránky požádají o vytvoření nové digitální identity nebo o snadné přihlášení přes velkou platformu, nemáme ponětí, co se stane s našimi údaji ve skutečnosti. Komise proto brzy navrhne bezpečnou evropskou e-identitu. Takovou, které věříme a kterou může každý občan využít kdekoli v Evropě k čemukoli, od placení daní až po půjčení jízdního kola. Půjde o technologii, díky níž si můžeme sami kontrolovat, jak se jaká data používají.“
Evropská rada záměr Komise podpořila a ve svých závěrech z 1.–2. října 2020 vyzvala Komisi, aby do poloviny roku 2021 předložila návrh iniciativy „Evropská digitální identifikace“:
Evropská rada ve svých závěrech vybízí „k vytvoření celounijního rámce bezpečné veřejné elektronické identifikace (e-ID) zahrnující interoperabilní digitální podpisy, jehož prostřednictvím budou mít lidé kontrolu nad vlastní online identitou a údaji, jakož i přístup k veřejným i soukromým a přeshraničním digitálním službám. Vyzývá Komisi, aby do poloviny roku 2021 předložila návrh iniciativy ‚Evropská digitální identifikace‘.“
Elektronická identifikace umožňuje občanům a podnikům prokázat svou totožnost při využívání online služeb. Služby vytvářející důvěru, jako např. elektronické podpisy, zvyšují bezpečnost, praktičnost a efektivitu online transakcí. Nařízení eIDAS je jediným přeshraničním rámcem pro důvěryhodnou elektronickou identifikaci fyzických a právnických osob a pro služby vytvářející důvěru. Nařízení eIDAS umožňuje přeshraniční uznávání elektronické identifikace v oblasti veřejné správy pro přístup k veřejným službám pod podmínkou, že elektronická identifikace byla oznámena podle nařízení eIDAS. Nařízení eIDAS rovněž zřizuje unijní trh pro přeshraničně uznávané služby vytvářející důvěru, které mají stejnou právní povahu jako jejich ekvivalentní tradiční postupy založené na papírových dokladech.
2.Hlavní zjištění hodnocení
Hlavní zjištění hodnocení lze podle kritérií hodnocení shrnout do těchto bodů.
2.1.Účelnost
Ustanovení týkající se elektronické identity vedly k vytvoření sítě eIDAS, jejímž cílem je umožnit držitelům v oznámeném režimu elektronické identifikace přeshraniční přístup k online veřejným službám. Na úrovni EU bylo dosaženo interoperability jen omezeného počtu režimů elektronické identifikace 5 .
Nařízení eIDAS úspěšně zajistilo právní jistotu, pokud jde o odpovědnost, důkazní břemeno, právní účinek a mezinárodní aspekty služeb vytvářejících důvěru, avšak některé problémy přetrvávají. Dostupnost a zavádění služeb vytvářejících důvěru v EU od přijetí nařízení eIDAS vzrostly, avšak mezi jednotlivými členskými státy a různými službami existují rozdíly.
Navzdory několika úspěchům nařízení nedosáhlo svého potenciálu, pokud jde o účelnost. Bylo oznámeno jen omezené množství režimů elektronické identifikace, což omezuje pokrytí občanů EU oznámeným režimem elektronické identifikace (59 % obyvatelstva). Přijímání oznámených režimů elektronické identifikace je omezené, jelikož ne všechny uzly eIDAS jsou v provozu, jen omezený počet veřejných služeb nabízí oznámení eIDAS nebo je napojen na infrastrukturu a v účinné autentizaci brání uživatelům technické chyby.
Pokud jde o služby vytvářející důvěru, cíl nařízení zůstat z technologického hlediska neutrální vedl k nejednotnému výkladu požadavků jednotlivými členskými státy mimo jiné proto, že nebyly přijaty dodatečné prováděcí akty. Nelze konstatovat, že by na úrovni EU bylo zcela dosaženo rovných podmínek. Nařízení eIDAS však vytvořilo pevný rámec, který lze doplnit nezbytnými normami a požadavky, aby byla snížena současná roztříštěnost trhu, zmírněny rozdíly ve výkladu orgánů dohledu a subjektů posuzování shody a posílena spolupráce mezi orgány dohledu.
2.2.Účinnost
Z výchozího hodnocení vyplývá, že vyčíslitelné náklady zatím převyšují přínosy. V oblasti elektronické identifikace je to důsledek nízké míry využívání, kvůli které se přínosy neprojevily.
Hlavními skupinami zúčastněných stran, jimž část nařízení eIDAS týkající se elektronické identifikace přinesla náklady a přínosy, jsou vnitrostátní orgány, provozovatelé uzlů eIDAS, poskytovatelé elektronické identifikace a poskytovatelé služeb. Pokud jde o služby vytvářející důvěru, hlavními skupinami zúčastněných stran, které čelily největším nákladům a přínosům, jsou akreditační orgány, subjekty posuzování shody, orgány dohledu a kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru.
V případě jednotlivých zúčastněných stran tvoří značnou část očekávané přínosy (diskontované jako budoucí přínosy), a proto jsou těžko vyčíslitelné. Opakované náklady na správu v oblasti služeb vytvářejících důvěru jsou omezené a souvisejí především se zajišťováním souladu. V případě jednotlivých zúčastněných stran je značná část přínosů v této fázi jen hypotetická (přínosy jsou diskontované jako budoucí přínosy) a těžko vyčíslitelná. Poskytovatelé služeb vytvářejících důvěru evidují přínosy v podobě příjmů z poskytování služeb vytvářejících důvěru v jiných zemích EU a z rozšíření výchozího trhu.
2.3.Relevantnost
Ekosystém elektronické identifikace se od přijetí nařízení eIDAS zásadně změnil a narůstá vliv soukromých poskytovatelů identity. S ohledem na nárůst digitálních transakcí by všichni občané EU měli mít přístup k bezpečné a interoperabilní digitální identitě, který v současné době nemají. Cíle právního rámce eIDAS jsou stále důležité pro řešení původně vymezených problémů, zejména nutnosti snížit roztříštěnost trhu zajištěním přeshraniční a meziodvětvové interoperability služeb vytvářejících důvěru prostřednictvím přijetí společných norem. Stávající oblast působnosti nařízení eIDAS a jeho zaměření na režimy elektronické identifikace oznamované členskými státy EU a na umožnění přístupu k online veřejným službám se zdají příliš omezené.
Některé významné překážky bránící využívání ze strany uživatelů a poskytovatelů služeb v soukromém sektoru způsobily, že právní rámec plně nedosáhl svého potenciálu. Přestože byly do řady odvětvových právních předpisů EU začleněny odkazy na řešení eIDAS, nařízení eIDAS dosud nereagovalo na potřeby konkrétních odvětví (např. vzdělávání, bankovnictví, cestování, letectví). Jedním z omezujících faktorů stávajícího rámce ve vztahu k těmto odvětvovým potřebám jsou chybějící zvláštní atributy pro různé oblasti.
Hlavním zdrojem napětí je schopnost eIDAS zůstat v souladu s nejnovějším technologickým vývojem v oblasti služeb vytvářejících důvěru. Rozšíření seznamu služeb vytvářejících důvěru, zejména zavedením služby vytvářející důvěru pro nástroj eArchiving, služby vytvářející důvěru na podporu přenosných údajů k ověření totožnosti a služby vytvářející důvěru pro elektronické účetní knihy, by řešilo řadu případů použití a poskytlo občanům a podnikům možnost digitálně prokázat svou totožnost nebo prokázat své znaky/vlastnosti, aniž by potřebovali papírové doklady.
2.4.Soudržnost
Z hodnocení vyplývá, že část nařízení týkající se elektronické identifikace se opírá o celkově soudržný systém vzájemného uznávání elektronické identifikace na základě oznamování a vzájemného hodnocení. Rámec pro služby vytvářející důvěru upravuje soudržný systém dohledu nad službami vytvářejícími důvěru. Byly však zjištěny určité problémy narušující vnitřní soudržnost nařízení.
Pokud jde o elektronickou identifikaci, cílem systému oznamování a vzájemného hodnocení stanoveného v rámci eIDAS bylo zajistit společné chápání úrovně záruky, kterou režim elektronické identifikace poskytuje, ale z hodnocení praktického provádění vyplývá, že tomu tak vždy není. Ačkoli systém podporuje flexibilitu a technologickou neutralitu, společné chápání toho, co představuje značnou a vysokou úroveň záruky, stále chybí. Zaměření na veřejné služby je v protikladu k možnosti uživatele omezit přenášená data na minimum nezbytné k autentizaci pro účely určité služby, jelikož stanovená minimální data se přenášejí vždy, aby bylo možné určitou osobu identifikovat. Provádění stávajícího systému eIDAS neumožňuje uživateli usnadnit prosazování zásad obecného nařízení o ochraně osobních údajů týkajících se minimalizace údajů a standardního nastavení ochrany soukromí tím, že by mohl ovlivnit, které údaje bude sdílet a s kým.
Pravidla hodnocení poskytovatelů služeb vytvářejících důvěru na základě funkčních požadavků nařízení získat status kvalifikovaného poskytovatele vykazují určité nedostatky, jelikož nejsou dostatečně podrobně popsány povinnosti, odpovědnost ani úroveň způsobilosti subjektů posuzování shody. Některá ustanovení ponechávají na členských státech, aby uznaly určité identifikační metody (např. biometrické ověřování) na vnitrostátní úrovni, což narušuje rovné podmínky v oblasti regulace a vede k nejistotě.
2.5.Přidaná hodnota EU
Nařízení eIDAS motivovalo členské státy, aby zavedly vnitrostátní řešení elektronické identifikace, ale přidaná hodnota rámce pro elektronickou identifikaci je značně omezená kvůli nízkému stupni pokrytí, zavádění a využívání. Nařízení poskytlo společný právní rámec pro využívání služeb vytvářejících důvěru, snížení roztříštěnosti trhu a zvýšení jejich využívání. Pomocí služeb vytvářejících důvěru jsou orgány veřejné správy schopny modernizovat a digitalizovat služby a vydávat důkazy v digitální podobě, a tím snížit administrativní zátěž.
Pokud jde o elektronickou identifikaci, původně vymezená potřeba přijmout nařízení je stále relevantní a zrušení nařízení by vedlo k roztříštěnosti a mělo by negativní dopady na jiné legislativní oblasti, které na eIDAS závisejí. Některé úpravy regulačního rámce by mohly přidanou hodnotu EU zvýšit (např. usnadnění použití důvěryhodné elektronické identifikace z oblasti veřejné správy v soukromém sektoru nebo vymezení rámce pro výměnu zvláštních atributů a ověřovacích údajů poskytovaných veřejným a soukromým sektorem). Pokud jde o služby vytvářející důvěru, některé překážky vyplývající z vnitrostátního výkladu a/nebo z protichůdného vnitrostátního práva stále přetrvávají a omezují zavádění těchto služeb.
3.Přezkum rámce eIDAS
Nařízení eIDAS má zásadní význam pro usnadnění fungování jednotného trhu v řadě odvětví (např. v bankovním sektoru, kde poskytuje některé požadované údaje o totožnosti k usnadnění dodržování pravidel proti praní peněz 6 , směrnice o platebních službách (PSD2) 7 vychází ze služeb vytvářejících důvěru, jako jsou eSeals nebo kvalifikované certifikáty pro autentizaci internetových stránek (QWAC) ze strany poskytovatelů platebních služeb jednajících jako třetí strana, elektronická identifikace založená na nařízení eIDAS je podmínkou přeshraniční výměny správních osvědčení a nařízení je také nezbytné pro úspěšné uplatňování a fungování zásady „pouze jednou“ od roku 2023 8 ). Rámec pro služby vytvářející důvěru je mezinárodně uznáván a představuje základ pro návrh předpisu 9 , který by se v roce 2021 měl stát vzorovým právním předpisem OSN o službách vytvářejících důvěru v oblasti elektronického obchodu, jakož i pro probíhající jednání o elektronickém obchodu v rámci WTO 10 .
Od přijetí nařízení eIDAS v roce 2014 se toho však hodně změnilo. Rámec je založen na vnitrostátních systémech elektronické identifikace řídících se různými normami a zaměřuje se na poměrně malou část potřeb občanů a podniků v oblasti elektronické identifikace: bezpečný přeshraniční přístup k veřejným službám. Služby, na které je zacílen, se týkají zejména 3 % obyvatel EU 11 , kteří žijí v jiném členském státě, než ve kterém se narodili.
Od té doby se dramaticky rozšířila digitalizace všech funkcí společnosti. Kromě toho měla na rychlost digitalizace velmi silný vliv pandemie COVID-19. V důsledku toho jsou veřejné i soukromé služby stále častěji poskytovány v digitální podobě. Občané a podniky očekávají, že bude zajištěna vysoká bezpečnost a usnadnění veškerých činností online, jako je podávání daňových přiznání, podávání přihlášek na zahraniční univerzity, založení bankovního účtu na dálku nebo žádání o úvěr, půjčení auta, založení podniku v jiném členském státě, ověřování u plateb na internetu, předložení nabídky v reakci na online veřejné nabídkové řízení a další.
V důsledku toho výrazně vzrostla poptávka po prostředcích pro online identifikaci a autentizaci, jakož i po bezpečné digitální výměně informací týkajících se identity, atributů či kvalifikace při vysoké úrovni ochrany údajů 12 . To vedlo ke změně paradigmatu a přechodu k pokročilým a pohodlným řešením, která dokážou integrovat různé ověřitelné údaje a certifikáty uživatele. Dnes již prostředky pro elektronickou identifikaci a služby vytvářející důvěru upravené v nařízení eIDAS tuto poptávku vzhledem ke stávajícím omezením nařízení eIDAS nemohou uspokojit. Prostředky pro identifikaci či autentizaci, jež vyvinul soukromý sektor mimo rámec eIDAS, tento problém řeší jen částečně. Nabízejí sice uživatelsky vstřícné služby autentizace (např. použití účtu na Facebooku nebo Googlu k přihlášení k jiným službám), ale často jsou využívány k přístupu k neregulovaným soukromým online službám, které nevyžadují vysokou úroveň bezpečnosti. Nemohou nabídnout stejnou míru právní jistoty, ochrany údajů a soukromí především proto, že jsou samostatné a nemohou nabídnout vazbu na důvěryhodnou a bezpečnou elektronickou identifikaci v oblasti veřejné správy.
V únoru 2020 se Komise ve své strategii pro formování digitální budoucnosti Evropy 13 zavázala k přezkumu nařízení eIDAS s cílem zvýšit jeho účinnost, rozšířit jeho působnost na soukromý sektor a prosazovat důvěryhodné digitální identity pro všechny občany a podniky EU. Naléhavost tohoto přezkumu se ukázala po vypuknutí pandemie COVID-19. Narušení veřejných a soukromých offline služeb a náhlá potřeba přístupu ke všem možným druhům veřejných a soukromých online služeb a jejich využívání odhalily nedostatky nařízení eIDAS, které občanům, podnikům a vládám ani šest let po přijetí nepřináší očekávané přínosy. Přezkoumané a posílené nařízení eIDAS by mohlo reagovat na nové požadavky trhu a společnosti tím, že by řešilo potřebu důvěryhodných řešení s vazbou na elektronickou identifikaci v oblasti veřejné správy, ale také potřebu atributů a ověřovacích údajů poskytovaných veřejným a soukromým sektorem, přičemž by vše v plném rozsahu spravoval uživatel a vše by bylo uznáváno za účelem přístupu k veřejným i soukromým službám v celé EU. Tím by bylo podpořeno velké množství stávajících nebo navrhovaných právních rámců posilujících jednotný trh EU.
4.Závěry
Celkově lze říci, že nařízení eIDAS přispělo k dalšímu rozvoji jednotného trhu. Poskytlo základ pro rozvoj trhu identity a služeb vytvářejících důvěru v EU, čímž podpořilo neustále narůstající potřebu bezpečných digitálních transakcí. Z hlediska zaměřeného na budoucnost, které se vyvinulo, pokud jde o cíle a očekávání uživatelů, je však potřeba zlepšit účelnost, účinnost, soudržnost a relevanci nařízení eIDAS, aby mohlo plnit nové politické cíle, očekávání uživatelů a uspokojit poptávku na trhu i s ohledem na nejnovější vývoj v oblasti digitalizace.
Na trhu vzniká nové prostředí, v němž se pozornost přesunula od poskytování a používání neměnných digitálních identit k poskytování zvláštních atributů týkajících se těchto identit a spoléhání se na ně. Vzrostla poptávka po řešeních elektronické identity, která jsou schopna toto zajistit a povedou ke zvýšení účinnosti a vyšší míře důvěry vůči službám v celé EU, jak v soukromém, tak ve veřejném sektoru, které vycházejí z potřeby identifikovat a autentizovat uživatele s vysokou úrovní záruky.
Stávající nařízení eIDAS tyto nové požadavky trhu nemůže splnit vzhledem k tomu, že je ze své podstaty omezeno na veřejný sektor, že je pro soukromé poskytovatele online služeb složité se k systému připojit, že ve všech členských státech není dostatečně dostupný a není dostatečně flexibilní, aby mohl být využit v různých případech.
