Evropská komise navzdory slibům porušila ochranu soukromí v EU verzi eDokladů
Rakouští odborníci obvinili Evropskou komisi z ustupování průmyslovému lobbingu. Bezpečnostní standardy byly údajně oslabeny na úkor práv občanů.
Rakouská organizace Epicenter.Works, věnující se dlouhodobě ochraně digitálních práv a soukromí, boji proti digitálnímu sledování a prosazování transparentnosti v digitální politice, obvinila Evropskou komisi z porušení slibu ohledně Evropské peněženky digitální identity (EUDIW). Ta má v budoucnu nahradit například české eDoklady a Komise si určila za cíl, aby do roku 2030 používalo nějakou formu evropské digitální identity 80 % občanů EU. Členské státy jsou povinné národní verzi této aplikace občanům poskytnout do konce roku 2026.
Šokující obrat Komise ve prospěch Big Tech
Podle odborníků z Epicenter.Works, kteří se aktivně účastnili trialogů s Evropským parlamentem, Komisí i Radou EU během celého procesu přípravy legislativy (eIDAS), upustila Komise od slíbené ochrany soukromí občanů EU pod tlakem průmyslového lobbingu:
„V šokujícím obratu Evropská komise ustupuje od ochrany soukromí v reformě #eIDAS. Místo prosazování povinných záruk pro Evropskou digitální peněženku identity podlehla lobbingu průmyslu – a podkopává práva uživatelů v celé Evropě,“ píše organizace na svém profilu X.
Vlákno z 2. dubna dále sděluje, že tlak velkých firem oslabil bezpečnostní standardy, což ohrožuje práva občanů na bezpečné používání Evropské peněženky digitální identity. Organizace kritizuje nedostatečnou ochranu dat v technickém rámci (ARF), absenci technologií zajišťujících anonymitu a přítomnost prvků, které umožňují dohled nad uživateli.
Negativní role českého předsednictví
Kritika celé zastřešující unijní legislativy eIDAS se váže i k českému předsednictví v Radě EU ve druhé polovině roku 2022, které podle ochránců digitálních práv sehrálo negativní roli. Thomas Lohninger z Epicenter.works sdělil, že ministr Ivan Bartoš, zodpovědný za jednání o eIDAS, odstranil klíčová bezpečnostní opatření:
„Parlament se opravdu vytáhl s ochrannými opatřeními, která přidal, a i v Radě to dlouho vypadalo opravdu dobře. To bylo během francouzského předsednictví na začátku roku 2022. Ale pak to převzala česká vláda s českým předsednictvím a ministr Ivan Bartoš byl zodpovědný za nařízení eIDAS. A já pořád nechápu, co ho k tomu vedlo, ale odstranil všechna bezpečnostní opatření,“ sdělil Lohninger.
Lohninger sdělil, že Bartoš naslouchal spíše zástupcům velkých technologických firem než občanské společnosti, což vedlo k horší verzi návrhu, než jakou předložila Evropská komise či francouzské předsednictví. Tento vliv českého předsednictví údajně přispěl k oslabení ochrany soukromí v probíhajících jednáních o eIDAS.
Historie a vývoj plánovaných digitálních identit v EU
Evropská komise zahájila ambiciózní reformu nařízení eIDAS s cílem vytvořit jednotnou digitální identitu již v červnu 2021. Peněženka digitální identity má dle Komise občanům EU umožnit snadný přístup ke službám napříč členskými státy. Legislativa i návrh technického rámce však od počátku čelí odborné kritice.
Navzdory této kritice byla v listopadu 2023 schválena finální podoba nařízení, která sice neobsahuje původně plánovaný jednotný identifikátor a obsahuje určité záruky ochrany soukromí, ale přesto byla opět hodnocena negativně z důvodu, že stále "neexistují naprosto žádné záruky, které by vládám, které Peněženku poskytují, zabránily sledovat vše, co s ní její uživatelé dělají."
Stejné kritice čelil i aktuálně fungující předchůdce plánované evropské verze - české eDoklady:
Insider z Evropské komise promluvil
Konečná podoba technického řešení byla finalizována v listopadu 2024, kdy byly schváleny prováděcí akty stanovující dvouletou lhůtu pro zavedení digitálních peněženek ve všech členských státech.
Další závažná kritika pak přišla hned v lednu 2025 od Denise Roja, bývalého technického ředitele projektu EU DECODE, který po deseti letech práce pro Evropskou komisi zveřejnil analýzu odhalující závažné technické nedostatky:
"V dnešním provedení EUDI se jedná o jediný bod selhání, kde korupce vydavatele může způsobit obrovské škody pronásledovaným menšinám a cílovým subjektům."
Rojo dále varoval, že systém "ohrozí soukromí občanů, kteří jej používají, kvůli volbě slabých kryptografických algoritmů" a závislosti na kontrole společností Google a Apple.
Evropská komise podle Roja propaguje nový “nablýskaný digitální nástroj”, publikuje “tendenční reklamu napříč sociálními sítěmi a pořádá prezentace na roadshow, aniž by měla kritickou představu o dopadu a roli takové technologie ve společnosti”.
Tak by to nemělo být: základem evropské společnosti je sekularizovaný princip racionality, dlouhá tradice epistemologických procesů falzifikace a otevřenost vůči kritice a odlišným názorům, vyjádřil se Rojo.
Marketingová realizace EUDI je údajně těmto principům na hony vzdálená a přibližuje se propagandistickým technikám, které používají totalitní režimy.
Dobrovolnost není zaručena
Používání peněženek digitální identity bude dobrovolné, ale to podle vývojáře neřeší problém, že je EUDI chybný systém. Nedává to také žádnou záruku, že se používání peněženek nikdy v budoucnu nestane povinným.
“Nejvíce mě pak znepokojuje povýšený přístup odborníků zapojených do tohoto procesu, z nichž někteří euforicky, téměř hystericky oslavují EUDI jako úspěch, jiní mlčky přihlížejí vývoji něčeho, co podle mých předpovědí bude pro Evropu trapnou katastrofou, nebo v nejlepším případě přerušeným projektem, který už stál více než sto milionů eur a stále se víc a víc prodražuje,” sdělil Denis Rojo.
Do pilotních projektů se zapojil Avast a CZ.NIC
Podle vyjádření agentury DIA není ještě jasné, která firma dostane možnost vyvíjet českou verzi evropské digitální peněženky EUDIW. Pilotních projektů se však dle informací společnosti Bankovní identita a.s. účastní společnosti CZ.NIC, Aricoma a.s., Digitální a informační agentura (DIA) a Ministerstvo zdravotnictví. Na internetových stránkách jednotlivých pilotních projektů figuruje také jako partner ÚZIS a americká společnost Gen Digital, pod kterou spadá česká společnost Avast.