Evropská digitální peněženka stále ohrožuje právo na soukromí občanů EU
Ve čtvrtek 21. listopadu bylo schváleno znění prováděcích aktů legislativy eIDAS, čímž začala běžet dvouletá lhůta, v níž mají evropští občané dostat k dispozici peněženku digitální identity.
Evropská komise, Parlament a Rada se ve čtvrtek 21. listopadu shodly na znění prováděcích aktů legislativy eIDAS, čímž začala běžet dvouletá lhůta, v níž mají evropští občané dostat od svých národních států k dispozici peněženku digitální identity (EUDIW).
Do roku 2030 by mělo aplikaci využívat 80 % občanů EU
Peněženka EUDIW je aplikace, která má občanům umožnit se identifikovat a prokázat svůj věk či zdravotní stav a další atributy v kontaktu s firmami a státními institucemi. Poslouží také pro přihlašování na webové stránky nebo při podepisování dokumentů. Podle plánů EU by se peněženka měla stát všudypřítomným nástrojem pro přihlašování k sociálním sítím, při návštěvách lékařů, v elektronické veřejné správě, ve veřejné dopravě i v bankovnictví. Evropská komise si klade za cíl, aby do roku 2030 používalo aplikaci EUDIW 80 % občanů Unie.
Do pilotních projektů se zapojil Avast a CZ.NIC
Prováděcí akty pak předepisují technické specifikace a vnitřní fungování aplikace, jejíž vývoj bude mít každý členský stát na starosti samostatně. Podle vyjádření agentury DIA není ještě jasné, která firma dostane možnost vyvíjet českou verzi této digitální peněženky. Pilotních projektů se však dle informací společnosti Bankovní identita a.s. účastní společnosti CZ.NIC, Aricoma a.s., Digitální a informační agentura (DIA) a Ministerstvo zdravotnictví. Na internetových stránkách jednotlivých pilotních projektů figuruje také jako partner ÚZIS a americká společnost Gen Digital, pod kterou spadá česká společnost Avast.
Nezákonné žádosti o údaje a narušení pseudonymity
Úsilí celé řady organizací na ochranu soukromí a digitálních práv zaznamenalo v říjnu dílčí úspěch, když Evropská komise stáhla hlasování o evropské digitální identitě z programu jednání, protože pro aktuální podobu technického provedení evropské peněženky nenalezla mezi členskými státy dostatečnou podporu.
Největší chybou Evropské komise dle analýzy organizace Epicenter Works bylo, že ustoupila zájmům podniků a umožnila prostřednictvím EUDIW peněženky nezákonné žádosti o osobní údaje. Schválená legislativa eIDAS přitom nařizuje, aby společnosti povinně registrovaly všechny případy použití peněženky a informace, které hodlají od uživatelů požadovat. Vynechání této registrace je nezákonné, přesto se Komise rozhodla uživatele před neregistrovanými žádostmi nijak technicky nechránit.
Dalším kritizovaným bodem bylo nedodržení práva na používání pseudonymů ze strany Evropské komise. Nařízení eIDAS ukládá společnostem, aby umožňovaly občanům zvolit si při identifikaci pseudonym ve všech případech, kdy tyto společnosti nemají zákonnou povinnost své zákazníky identifikovat. To je relevantní například při využívání služeb platforem Facebook, X, leteckých společností, supermarketů a v mnoha dalších každodenních situacích. V opačném případě vzniká dle odborníků na ochranu digitálního soukromí riziko tzv. „nadměrné identifikace“ a ztráty anonymity.
Komise tento bod však v návrhu technické specifikace nezohlednila, a dokonce změnou příslušného článku zavedla funkci, která při jakémkoli pseudonymním ověřování automaticky předá informace o totožnosti nebo jiné atributy do rukou společnosti či státní instituce, která si toto ověření vyžádá. Odmítnutí předání údajů by pro uživatele peněženky nebylo možné, pokud by se uživatel nezřekl použití peněženky úplně.
Biometrické údaje jako součást peněženky?
Dle organizace Epicenter Works byl také obrovský tlak bankovních asociací a dalších lobbistických skupin na požadavek implementace biometrických údajů do peněženky EUDIW. Tomuto tlaku bylo částečně vyhověno několika pozměňovacími návrhy, které biometrii neukládají jako povinnou, ale důrazně ji doporučují.
Listopadové jednání napravilo některé nedostatky
Listopadová analýza nedávno schválených prováděcích aktů ukazuje zlepšení technického návrhu aplikace ve třech klíčových bodech týkajících se soukromí uživatelů. V novém znění prováděcích aktů jsou osobní data chráněna před zneužitím vládami nebo společnostmi a uživatelé musí dát výslovný souhlas před jejich sdílením. Všechny záznamy o použití peněženky pak zůstávají na zařízení uživatelů a nejsou odesílány a ukládány na vládní servery.
Byla také přidána povinnost, aby byl uživatel peněženky varován, pokud společnost či instituce překročí zákonný rámec toho, které údaje je oprávněna během identifikace požadovat. Při pouhém ověření věku pro nákup tabáku či alkoholu například není nárok požadovat údaje o bydlišti či jménu uživatele a podobně.
Uživatelé mají podle eIDAS také právo na to, aby na žádost o identifikaci odpověděli úplně, vůbec nebo částečně/výběrově. Tato zásada selektivního poskytování informací nebyla dříve v prováděcích aktech obsažena a nyní byla přidána a přijata.
Právo na pseudonymitu stále ohroženo
Dle analýzy Epicenter Works však ani v nové verzi prováděcích aktů stále neexistuje technický způsob, jak by aplikace mohla zjistit, zda se na konkrétní případ použití vztahuje zákonná povinnost identifikace uživatele (KYC). Takové rozlišení je však podle odborníků nezbytné pro to, aby bylo zajištěno právo na pseudonymitu ve všech případech, kde povinnost ověřit klienta podle KYC dle zákona není.
