Technologické novinky a právo

28. 2. 2022

Autoři: Robert Nešpůrek, Pavel Amler, Tomáš Chmelka

Nařízení eIDAS 2.0 a osobní peněženka – o co se jedná?

Na začátku léta 2021 Evropská komise zveřejnila návrh revize nařízení eIDAS[1], kterému se začalo zjednodušeně říkat eIDAS 2.0. Evropská komise v něm předkládá významné změny nařízení zejména na poli elektronické identifikace, a to zavedením tzv. evropské peněženky digitální identity („Peněženka“).

Peněženka by měla mít podobu aplikace na mobilní telefony a jiná zařízení a měla by být založena na národní elektronické identitě. Peněženku by měly vydávat jednotlivé členské státy, popř. některý pověřený anebo uznaný soukromoprávní subjekt. Peněženka tedy nebude vytvářet novou elektronickou identitu, ale zajistí přeshraniční uznávání jednotlivých národních elektronických identit.

Peněženka by kromě základních osobních identifikačních údajů měla obsahovat i další tzv. atributy (např. řidičský průkaz, diplom, licence, osvědčení, odborná kvalifikace nebo rodný list). Zahrnutí dalších atributů nebude povinné, každý občan si jako držitel vlastní Peněženky bude moci individuálně zvolit, které atributy si do Peněženky nahraje a kdy a jak je použije. Sdílení osobních údajů a atributů by mělo být transparentní, sledovatelné a díky správnému technickému řešení i v souladu s nařízením GDPR[2].

Peněženku by mělo být možné užít také jako prostředek pro vytvoření kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečeti, což by mohlo do české společnosti přinést nový impuls k jejich širšímu využívání (mají stejné účinky jako vlastnoruční podpis na papíře).

Každý členský stát EU bude muset Peněženku vydat svým občanům do 12 měsíců ode dne, kdy schválený návrh eIDAS 2.0 vstoupí v platnost. Střízlivé odhady hovoří o tom, že eIDAS 2.0 by mohlo být schváleno do konce roku 2022. I kdyby se legislativní proces prodloužil, první vlastní digitální a snad i skutečně použitelné Peněženky použitelné napříč členskými státy Evropské unie bychom se mohli dočkat nejpozději v roce 2024.

Cookie bannery – opravdu tak banální, jak se zdá?

Globální internetové společnosti ve Francii nedávno dostaly významné pokuty za nedodržování pravidel týkajících se uživatelského souhlasu s použitím cookies (včetně například americké společnosti Meta provozující sociální síť Facebook). Obdobné praktiky jsou však standardem také na českém internetu, a proto je potřeba tato rozhodnutí vzít v potaz.

Základním požadavkem platného souhlasu s použitím cookies je možnost jeho svobodného udělení či odmítnutí, a to obojí stejně snadným způsobem (tzn. uživatel nesmí být ani nepřímo tlačen do jedné z možností). Za situace, kdy jedna z možností je výrazně jednodušší (tak říkající na jeden klik) a druhá uživatele zatěžuje nutností proklikat se několika okny či scrollovat dlouhým textem, či jej nabádá k jednotlivému odmítání každé jedné z mnoha marketingových cookies, dá se právem o svobodném a ekvivalentně snadném odmítnutí souhlasu pochybovat.

Na českém internetu se tento způsob získávání souhlasů stal standardem a i mezi odbornou veřejností se najdou hlasy, které jsou schopny takovéto provedení cookies banneru propagovat jako modelový případ souhlasu. Dozorové úřady v Evropě jsou ale jiného názoru a vzhledem ke koordinaci evropských dozorových úřadů v oblasti ochrany osobních údajů lze očekávat, že i Úřad pro ochranu osobních údajů bude tento trend následovat. Z tohoto důvodu doporučujeme ověřit, že Vámi používaný cookie banner opravdu naplňuje požadavky na udělení platného uživatelského souhlasu – v opačném případě se vystavujete riziku udělení (zbytečné) sankce.

Evropská certifikace kybernetické bezpečnosti

S kybernetickými útoky zaměřenými na zranitelnosti softwarových aplikací se v poslední době setkáváme pomalu každý den. Evropská unie si je těchto událostí vědoma a rozhodla se s nimi alespoň částečně bojovat.

Na základě přijatého unijního Aktu o kybernetické bezpečnosti[3] by měl v nejbližší době vejít v život Evropský rámec pro certifikaci kybernetické bezpečnosti, jehož primárním cílem je zaručit vyšší standard kybernetické ochrany a bezpečnosti, jak pro nabízené produkty, služby a procesy, tak pro koncového uživatele.

Tento rámec současně zavádí jednotný systém pro certifikaci produktů, služeb a procesů v oblasti kyberbezpečnosti. Styčným bodem tohoto rámce bude Evropská agentura pro bezpečnost sítí a informací (ENISA), která tímto významně posílí na svém mandátu a stane se z ní stálá agentura EU pro kybernetickou bezpečnost. ENISA bude také koordinovat jednání členských států, orgánů EU a dalších zúčastněných stran v oblasti kyberbezpečnosti.

Evropský systém certifikace kybernetické bezpečnosti počítá s vícero úrovněmi záruky „základní“, „významnou“ nebo „vysokou“. Úroveň certifikace vždy závisí na úrovni rizika z hlediska pravděpodobnosti a dopadu bezpečnostního incidentu, jež je spojeno se zamýšleným použitím produktu, služby nebo procesu. Akreditace bude vydávána na období nejvýše pěti let a je možné ji obnovit za stejných podmínek. Certifikace bude dobrovolná, pokud nebude závazným předpisem stanoveno jinak.

Na základě související novely českého zákona o kybernetické bezpečnosti má být NÚKIB[4] určen tzv. vnitrostátním subjektem certifikace kybernetické bezpečnosti. NÚKIB tak bude mít rozšířen okruh svých pravomocí a bude dohlížet na dodržování pravidel zahrnutých v evropských systémech certifikace kybernetické bezpečnosti a tato pravidla vymáhat, v příslušných případech autorizovat nebo pověřovat subjekty posuzování shody k udělování certifikací a řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s evropskými certifikáty kybernetické bezpečnosti.

Certifikáty vydané v rámci těchto systémů budou platit ve všech zemích EU a tím vznikne jednotný systém, díky kterému koncoví uživatelé snadněji získají důvěru v bezpečnost těchto technologií. Naopak společnostem usnadní tento systém přeshraniční podnikání a zajistí certifikaci napříč Unií. Určitě tedy doporučujeme tento vývoj sledovat a minimálně zvážit provedení této certifikace, jakmile to bude možné.

Certoo – služba „digitálního notáře“

Naše advokátní kancelář HAVEL & PARTNERS společně s technologickým partnerem Artinii představila nový inovativní blockchainový projekt s názvem Certoo. Tato služba ve zkratce představuje „digitálního notáře“ a uživatelům v podstatě umožňuje získat bezpečný a nezpochybnitelný důkaz o autorství dokumentů či dat.

Díky této službě může uživatel své autorství doložit certifikátem, který obsahuje veškeré informace důležité k doložení autorství/vlastnictví. Tyto informace není možné díky použité blockchainové technologii dodatečně měnit. Služba Certoo tak přináší nový standard na poli ochrany duševního vlastnictví.

Certoo představuje velmi přívětivý a návodný online nástroj, který mohou používat všechny kategorie uživatelů. V první kroku uživatel nahraje soubor s dílem jakékoliv povahy, kterému je přidělen unikátní hash (de facto digitální otisk nahraného souboru). Tento hash je následně začleněn do blockchainu sítě Litecoin (veřejný a transparentní blockchain), na základě čehož uživatel (autor) obdrží svůj unikátní certifikát, kterým může prokazovat své autorství/vlastnictví.

Každý uživatel zároveň získává přístup k vlastnímu soukromému online uložišti. Do tohoto prostředí může dle potřeby nahrávat další projekty a provádět jejich administraci. Díky tomu má vždy po ruce originální soubor, kterým ke konkrétnímu datu prokazatelně potvrzuje, že uživatel v daném čase měl soubor v držení, čímž může v případě sporu prokázat své autorství/vlastnictví. Samozřejmostí je zajištění nadstandardního zabezpečení a šifrování uložených dat.


[1] Nařízení č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu.

[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

[3] Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA, o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013

[4] Národní úřad pro kybernetickou a informační bezpečnost

Právní specializace

Související média

BUĎTE STÁLE V OBRAZE

Odebírat
Vyplňte svůj e-mail a my Vám budeme zasílat pravidelné informace ze světa práva a podnikání.

Kontaktujte nás

KONTAKT PRO MÉDIA:
Copyright © 2024 HAVEL & PARTNERS s.r.o., advokátní kancelář
cross