Já děkuji tady za tu otázku. Ta důvěryhodnost té aplikace a anonymita je naprosto zásadní a byl to i zásadní požadavek na koncept a využívání té aplikace, tudíž že aplikace nemá nikam žádná data odesílat o jejich používání. Žádné osoby v žádné fázi nesmí mít přístup k tomu, kdo a kdy se eDoklady prokazoval. Tak znělo zadání celého řešení. Ostatně celý princip eDokladu má být postaven na tom, že při té interakci nemá a je tak postaven, nemá vznikat žádná digitální stopa, kdy a kde uživatel je použil.

Výjimkou je samozřejmě situace, kdy ten ověřovatel ztotožňuje ve svém systému toho, kdo tu totožnost prokazuje, například na tom úřadu nebo nově i v bance, myslím, že nově používá eDoklady také Vodafone. To je prostě ekvivalent toho, jako že někde ukážete občanku a tam se tedy vyplní na té poště nebo na tom úřadě tedy nějaký formulář, že jste tam byl, že jste nějakou věc udělal.

Digitální informační agentura 30. července vydávala novou verzi eDokladů a kde se opravilo odesílání takzvaných diagnostických dat, tam provedl mimořádný audit zabezpečení aplikace, která by měla potvrdit, že se již takto nedělo. Ta funkcionalita nebyla objednána, byla to věc, která měla pomoci odchytávat baggy při použití té jednotlivé aplikace. Tu, jak jsem byl já informován a já jsem ostatně k tomu vystupoval i v médiích, byla to chyba na straně dodavatele, kdy ta technická data pro fungování systému, které měly pomáhat odstraňovat chyby v té aplikaci, odesílala další, naštěstí anonymizovaná data nad rámec toho objednaného řešení.

Řešitel si tuto část nezkontroloval, za chybu se omluvil a věc uvedl do pořádku. Jinak ta data byla, nebo ta analytická data byla odesílána skrze cloudové servery do služby Centry,(?) na kterou se spoléhají třeba Microsoft, Disney(?) Lack,(?) Sonos, Reddit a další.

Ty servery se nacházely v Německu, zabezpečený šifrování pomocí SSL. Data nikdy neopustila Evropskou unii a služba Centry veškeré osobní či potenciálně citlivé informace anonymizuje. Jak již jsem řekl, nebyla to objednaná funkcionalita, dodavatel si neohlídal vlastně míru těch dat, která by měla v danou chvíli řešit ty jednotlivé případné chyby selhání toho systému.

Ta náprava byla zjednána a já jsem požádal Digitální informační agenturu, aby po auditu bezpečnosti celé aplikace zároveň zveřejňovala i ten zdrojový kód aplikace k tomu, aby si každý mohl ověřit, podobně jako jsme, jako to třeba bylo i s jinými systémy historicky, když byla debata o EET, že ta aplikace bude podrobena i kontrole odborné veřejnosti.