Otazníky kolem digitalizace. Byly eDoklady v provozu nezákonně?

Letos v lednu byly s velkou slávou spuštěny eDoklady, mobilní aplikace, která umožňuje přímo v telefonu ukládat a používat elektronické verze osobních dokladů, jako je občanský nebo řidičský průkaz. Provozuje ji Digitální a informační agentura (DIA) ve spolupráci s Národní agenturou pro komunikační a informační technologie (NAKIT). Existují ale vážné pochybnosti o tom, zda poskytovatel této digitální služby při jejím provozu nepostupoval v rozporu se zákonem, a zda tím neohrozil bezpečnost osobních údajů občanů České republiky.

Podle zákona o informačních systémech veřejné správy se poskytovatelé cloudových služeb musí před zahájením provozu zapsat do Katalogu cloud computingu. Jde o seznam, který spravuje Digitální a informační agentura. Zápisem do katalogu poskytovatelé v podstatě potvrzují, že jejich služby splňují přísné bezpečnostní a provozní standardy. Což je v případě aplikace, na níž běží například tzv. „elektronická občanka“, která shromažďuje velice citlivé osobní údaje, zcela zásadní požadavek.

NAKIT, který měl být provozem eDokladů pověřen, byl do katalogu zapsán jako poskytovatel cloud computingu až 22. března 2024, tedy více než dva měsíce po spuštění aplikace. Nabídka služeb byla zapsána dokonce ještě později, až 6. srpna.

Je tak naprosto legitimní se ptát, zda byly eDoklady do doby zápisu poskytovatele a nabídky do katalogu provozovány v souladu se zákonem. Zda při jejich spuštění někdo vůbec ověřoval, jestli splňují přísná technická, bezpečnostní a další pravidla. Pravidla, stanovená proto, aby občané mohli věřit zárukám za bezpečnost svých dat.

Ponese někdo odpovědnost?

Uvedený problém má i velice závažný obecný rozměr. Digitální a informační agentura je (nejen) podle místopředsedy vlády pro digitalizaci Ivana Bartoše (Piráti) klíčovým hráčem v oblasti digitalizace veřejné správy. Zápisu do katalogu cloud computingu předchází proces kontroly bezpečnosti, technické způsobilosti i dalších aspektů služeb nabízených veřejné správě. Pokud DIA i NAKIT umožnily užívání aplikace eDoklady předtím, než tento proces proběhl, mohly tím ohrozit bezpečnost osobních údajů obrovské skupiny občanů.

Vzhledem k tomu, že tato aplikace spravuje citlivé osobní údaje, je zajištění bezpečnosti a souladu s právními předpisy zcela zásadní. Nedodržení stanovených požadavků by mohlo vést k právním postihům a především k dalšímu snížení již tak narušené důvěry veřejnosti v digitalizaci služeb veřejné moci. Je tedy nyní namístě, aby se příslušné kontrolní orgány začaly zabývat otázkou, zda v případě eDokladů nedošlo k porušení zákona, zda nebyly ohroženy nebo dokonce zneužity údaje občanů. A zjistí-li, že ano, je nutné vyvodit konkrétní odpovědnost. V případě, že k porušení zákona došlo, by jistě rovněž stálo za to prověřit, zda jsou eDoklady jen výjimkou, nebo se nedodržování stanovených postupů stalo již v DIA pravidlem.  

Tomáš Nielsen