Evropská komise odstraňuje ochranu soukromí v peněženkách digitální identity, varují experti
Deset organizací žádá nápravu technických pravidel evropské digitální identity. Tato pravidla údajně systematicky oslabují ochranu soukromí občanů.
Vídeňská organizace Epicenter.Works společně s dalšími devíti organizacemi na ochranu digitálních práv zveřejnila 10. března otevřený dopis Evropské komisi. V něm upozorňuje na pět závažných problémů v technických pravidlech, která Komise nyní tvoří pro evropskou digitální peněženku (EUDIW) a která určují, jak bude peněženka v praxi fungovat.
Legislativa chrání soukromí pouze na papíře, tvrdí kritika
Epicenter.Works sleduje vývoj EUDIW od samého počátku – za čtyři a půl roku podala v rámci legislativního trialogu přes dvacet připomínek a sedm otevřených dopisů. Řada z těchto návrhů ve prospěch ochrany soukromí byla následně do legislativy i zapracována. Jak organizace v otevřeném dopise uvádí, nejdůležitější poznatek z celého procesu je, že Komise pravidelně v průběhu vývoje technických pravidel odstraňuje ochranná opatření, která v legislativní části vývoje přislíbila zavést.
Nařízení eIDAS 2.0, které zastřešuje digitální identity, totiž sice stanoví cíle a rámec, ale po něm následuje vlastní tvorba technických pravidel – tzv. prováděcích aktů –, kterou provádí už Komise sama a členské státy poté v hlasování pravidla schvalují. Tyto pravidla nakonec určují, jak systém digitální identity funguje v praxi. Právě v této fázi procesu však dle odborníků dochází k oslabování pojistek pro soukromí uživatelů, na nichž se při přijímání legislativy dohodly EU parlament a státy prostřednictvím Rady EU.
Proč vadí povinnost biometrie v peněžence
Ačkoli během vyjednávání o legislativě Evropský parlament na podnět ochránců práv prosadil ustanovení chránící uživatele před biometrickým zpracováním dat z peněženky, finální verze nařízení tuto ochranu na podnět Komise vypustila. Biometrie tak zůstala možná. Epicenter.Works to tehdy označili za mezeru v zákoně. Evropská komise nyní fakticky tuto mezeru potvrzuje tím, že v technických pravidlech navrhuje, aby biometrická fotografie obličeje byla povinnou součástí základního balíku údajů v každé peněžence.
Ochránci soukromí přitom upozorňují, že prokazování se biometrií není totéž jako prokazování se fyzickým dokladem. V digitálním světě „ukázat“ totiž znamená „poslat kopii“. Pokud peněženka neumí spolehlivě oddělit, která data při které transakci odesílá, hrozí, že biometrická data budou sbírána i například při ověření věku nebo přihlášení k sociální síti.
Právo na anonymitu je omezeno
Legislativa eIDAS zastřešující peněženky digitální identity původně neobsahovala právo na pseudonymitu, ale ochránci soukromí nakonec s odkazem na lidská práva prosadili, že občané budou mít právo používat peněženku pod pseudonymem všude tam, kde zákon nevyžaduje identifikaci. Sociální sítě, zpravodajské portály, herní služby a podobné platformy nemají zákonný důvod znát totožnost svých uživatelů. Řada z nich však má silný komerční zájem tyto informace vědět.
Aktuální technologický návrh Komise však dle otevřeného dopisu Epicenter.Works právo na pseudonymitu drasticky omezuje. Pseudonymita by se tak v praxi vztahovala pouze na proces přihlášení. Po přihlášení by však služby mohly požadovat identifikační údaje, na které nemají nárok, a peněženka by neměla mechanismus, jak jim místo skutečného jména poskytnout pouze pseudonym. Mohlo by se tak stát, že pokud chce uživatel na platformě například sledovat živá videa, síť po něm vyžaduje jeho pravou identitu, přestože dokáže ověřit plnoletost i bez ní.
Požadování osobních dat nad rámec zákona
Přestože legislativa eIDAS 2.0 původně vyšla vstříc ochráncům soukromí, když zavazovala firmy předem deklarovat, jaké údaje budou pomocí peněženek pro jaký účel sbírat, nový technický návrh Komise činí tuto kontrolu firem pouze dobrovolnou a ponechává na každém členském státě, zda ji zavede. To může mít za důsledek obcházení národních zákonů.
Ochránci práv tomuto obcházení říkají tzv. „forum shopping“. V praxi to vypadá tak, že firma se registruje v zemi, která tuto kontrolu nevyžaduje, a následně sbírá data od uživatelů celé EU včetně zemí, kde kontrola zavedena je. Epicenter.Works na tento problém upozornila již v předchozím otevřeném dopise podepsaném čtrnácti dalšími organizacemi.
Pojistky proti sledování uživatelů mizí
Dle analýzy ochránců soukromí mizí v důsledku úprav Evropské komise také pojistky proti sledování uživatelů. Přestože nařízení eIDAS 2.0 stanoví, že architektura digitálních peněženek nesmí umožnit sledování uživatelů ani propojování jejich jednotlivých transakcí, aktuální technický návrh Komise tuto povinnost mění. Nově mají technické mechanismy peněženek propojitelnost nebo sledovatelnost pouze „ztěžovat“, nikoli jí bránit.
Praktický dopad na uživatele by mohl být takový, že pokud například uživatel prokáže svůj věk na webu či sociální síti a následně použije svou digitální peněženku jako doklad například na letišti či u lékaře, stát či firmy mohou být schopné tyto dvě akce spojit a přiřadit k dané osobě. To by v konečném důsledku mohlo vést k profilování občanů dle toho, co se svou peněženkou dělají.
Zástupci členských států rozhodnou
Všechny prováděcí akty před schválením Komisí prochází tzv. veřejnou konzultací. Firmy, organizace i občané mají možnost se k daným tématům písemně vyjádřit. Připomínky ke čtvrté dávce prováděcích aktů bylo možné podat do 5. března na portálu Evropské komise. Epicenter.Works a jejich zastřešující organizace EDRi své připomínky proti oslabování ochrany soukromí touto cestou podaly.
V následující fázi může Evropská komise text prováděcích aktů upravit, než jej předloží ke schválení výboru zástupců členských států v Evropské komisi. Volba zástupců České republiky v Komisi je podle Zákona o právu na digitální služby zodpovědností ředitele Digitální informační agentury (DIA). Za Českou republiku byl doposud členem výboru architekt DIA Petr Tiller. Ten se pro Reportéry on-line vyjádřil, že hlasování o nové várce prováděcích aktů proběhne nejspíše 25. března.
Zda bude v tomto hlasování za Českou republiku hlasovat Petr Tiller, není zatím jasné. Nová vláda či Rada vlády pro informační společnost mohou cestou nového ředitele DIA Bohdana Urbana inicializovat změnu složení zástupců. Na dotaz, jak bude DIA za českou republiku hlasovat, se vyjádřil architekt Petr Tiller, že pozice ČR se v současné době teprve upřesňuje.
Rozhodnutí výboru v Evropské komisi se očekává na konci března nebo ve druhém čtvrtletí 2026. Organizace Epicenter.Works se vyjádřila, že pokud prováděcí akty projdou v současné podobě, peněženka, kterou mají členské státy nabídnout občanům do konce roku 2026, může obsahovat všechny popsané nedostatky.