Návrh evropského digitálního průkazu totožnosti neobsahuje ochranu proti sledování
Evropská digitální identifikační peněženka může umožňovat online i offline identifikaci občanů a zároveň ověřovat atributy, jako je věk, řidičský průkaz nebo jiné průkazy.
Již v červnu 2021 zahájila Evropská komise reformu nařízení eIDAS (Electronic IDentification, Authentication and Trust Services) z roku 2014 s cílem přepracovat evropský rámec pro systémy elektronické identifikace (eID). Tato ambiciózní reforma se snaží vytvořit protiváhu k rozšířeným přihlašovacím systémům společností Google, Facebook a Apple a také poskytnout obyvatelstvu široce přijímané systémy eID pro aplikace elektronické správy a elektronického obchodu.
Podle tohoto návrhu nového nařízení by členské státy byly povinny nabízet software nazvaný Evropská digitální identifikační peněženka (Wallet App), který by umožňoval online i offline identifikaci občanů a obyvatel a zároveň by umožňoval ověřovat atributy, jako je věk, řidičský průkaz a jiné průkazy.
Návrh nařízení se snaží zajistit rozšíření této nové evropské peněženky s digitální identitou tím, že oslovuje velmi velké online platformy, jako jsou Facebook a Google, aby tuto evropskou peněženku podporovaly jako prostředek pro přihlašování ke svým službám. Stejně tak jsou členské státy povinny používat tento systém pro identifikaci občanů při nabízení služeb elektronické veřejné správy již podle starého nařízení eIDAS z roku 2014. Menší internetové společnosti může Komise prostřednictvím aktu v přenesené pravomoci donutit, aby novou aplikaci Wallet rovněž podporovaly.
Rozvoj celoevropské infrastruktury pro digitální průkazy totožnosti (eID), na který je vyčleněno 37 milionů eur, je v současnosti největší položkou v programu EU pro financování digitalizace. V rámci tohoto programu mají být vyvinuta řešení pro technické provedení připravovaného nařízení o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu eIDAS (Electronic IDentification, Authentication and Trust Services).
Ochránci údajů již nyní ostře kritizují přístup Komise k návrhu, neboť technické provedení není konkrétně specifikováno. Ochrana údajů je v textu zmíněna pouze čtyřikrát a jen okrajově. Ochranná opatření proti státnímu dozoru se v něm neplánují.
“Zatím jsme v textu nařízení identifikovali 28 pasáží, ve kterých se Komise sama zmocnila vydávat zákonné nástroje,” řekl serveru ORF.at Thomas Lohninger z organizace na ochranu údajů Epicenter.works. V těchto případech by Komise mohla sama dodatečně rozhodnout, jak bude nařízení technicky řešeno, takže poslanci by předem vůbec nevěděli, o jakém technickém řešení jednají.
Nový systém eIDAS prezentuje Evropská komise občanům EU například pomocí infografiky, která vysvětluje výhody digitální identifikace: Občané EU pobývající v jiné členské zemi, než ve které se narodili, by díky tomuto systému měli mít v budoucnu možnost požádat elektronicky o své rodné listy (potřebné například k pracovnímu povolení). Totéž by mělo platit i pro přeshraniční obchodní procesy, v nichž jsou vyžadovány úřední dokumenty.
Zatímco vyhláška definuje pouze rámec, možnosti technického provedení je třeba prozkoumat prostřednictvím programu financování výzkumu. Vzhledem k tomu, že výzva k předkládání návrhů končí až v polovině května, neočekává se, že by finanční prostředky byly přiděleny před koncem roku. Doba trvání těchto programů financování je 24 měsíců, což znamená, že technická realizace tímto způsobem je pravděpodobná nejdříve v roce 2025. “V tuto chvíli chybí všechny detaily technického provedení, ale nařízení stojí a padá s nimi,” sdělil Lohninger.
Jádrem všeho je digitální peněženka, která má zajistit uplatňování zásady hospodárného nakládání s údaji, jež je stanovena v obecném nařízení o ochraně osobních údajů. Při každém přenosu může majitel peněženky sám rozhodnout, které údaje nebo dokumenty se komu přenesou, takže se přenášejí jen ty nezbytné. Jedná se o jeden z celkem pouhých čtyř odkazů na obecné nařízení o ochraně osobních údajů, všechny v úvodu a vysvětlivkách návrhu Komise, nikoli však v textu. A to pro nařízení o digitální identitě, které má sloužit k předávání nejcitlivějších osobních údajů a dokumentů, například ve zdravotnictví.
“Akty Komise v přenesené pravomoci stanovené v čl. 6a odst. 11 umožňují Evropské komisi, aby sama určila, jak má digitální peněženka technicky fungovat v praxi,” uvedl Thomas Lohninger. Dále se vyjádřil, že přístup a zásady při provádění tohoto nařízení, které se týká předávání osobních a intimních údajů v rámci EU, “však musí být zakotveny v samotném nařízení.“
Podle Komise, bude dіgitální peněženka kromě “minima osobních identifikačních údajů obsahovat také jedinečný a trvalý identifikátor“. To znamená, že všem občanům EU bude přidělena individuální kombinace čísel a písmen, která umožní propojit všechny záznamy o konkrétní osobě ve všech databázích vnitrostátních orgánů.
“Přidělení takového doživotního průkazu totožnosti není vůbec možné,” řekl Lohninger. Například v Německu to bylo zakázáno rozhodnutím Spolkového ústavního soudu, protože riziko zneužití je velké. “Co se stane, když se členský stát rozhodne zaznamenávat všechny identifikační a autentizační procesy?“ Nařízení v současné době postrádá veškeré záruky proti zneužití ze strany samotných států a jejich institucí, protože nezaručuje ochranu proti sledování.
V současné době je-li třeba předložit průkaz totožnosti jak osobně, tak on-line přes internet, účastní se tohoto procesu pouze držitel průkazu totožnosti a subjekt, který o identifikaci žádá. V systému eIDAS by však do tohoto procesu byly zapojeny státní orgány, což zásadně odlišuje elektronický průkaz totožnosti od analogového dokladu totožnosti. Návrh Komise však ponechává zcela otevřené, jak má tento identifikační mechanismus a jeho rámcové podmínky vypadat, a Komise si vyhrazuje právo o tom rozhodnout sama.
Zdroje: epicenter.works, fm4.orf.at