Odbor eGovernmentu Digitální a informační agentury zveřejňuje na základě vznesených dotazů informaci k otázce působnosti nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen „nařízení eIDAS“).
Značné množství subjektů (zejména právnických osob) využívá a samo provozuje služby vytvářející důvěru či obdobné služby za účelem řízení svých vnitřních procesů. Tyto subjekty nezřídka kdy řeší otázku, zda se na ně vztahuje nařízení eIDAS (a další právní předpisy reglementující oblast služeb vytvářejících důvěru) či nikoliv. Účelem této informace je poskytnout těmto subjektům doporučení, jak postupovat při určení, zda splňují definici poskytovatele služeb vytvářejících důvěru dle nařízení eIDAS a tím pádem spadají do působnosti nařízení eIDAS.
Oblast působnosti nařízení eIDAS je definována ve článku 2, relevantním v této souvislosti je zejména odst. 2:
Toto nařízení se nevztahuje na poskytování služeb vytvářejících důvěru, které jsou používány výhradně v rámci uzavřených systémů vyplývajících z vnitrostátního práva nebo z dohod mezi určeným okruhem účastníků.
Recitál č. 21 obsahuje upřesnění k oblasti působnosti nařízení eIDAS:
[…] Zejména by se nemělo [nařízení] vztahovat na poskytování služeb, které jsou využívány výhradně uvnitř uzavřených systémů mezi určeným okruhem účastníků a nemají žádný vliv na třetí osoby. Požadavky tohoto nařízení by se neměly například vztahovat na systémy zavedené v podnicích nebo v orgánech veřejné správy za účelem řízení vnitřních postupů využívajících služby vytvářející důvěru. Měly by jim podléhat pouze služby vytvářející důvěru, které jsou poskytovány veřejnosti a které mají vliv na třetí osoby. […]
Za předpokladu, že provozovaná služba splňuje definici služby vytvářející důvěru dle čl. 3 odst. 16 nařízení eIDAS:
„službou vytvářející důvěru“ elektronická služba, která je zpravidla poskytována za úplatu a spočívá:
a) ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo
b) ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo
c) v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami.
Odbor eGovernmentu doporučuje postupovat v souladu s výše citovaným recitálem č. 21 nařízení eIDAS, tzn. posoudit, zda je provozovaná služba využívána výhradně uvnitř uzavřených systémů vyplývajících z vnitrostátního práva nebo z dohod mezi určeným okruhem účastníků a zároveň nemá žádný vliv na třetí osoby.
Pro ilustraci uvádíme několik častých příkladů z praxe, kdy subjekt využívá a sám provozuje služby vytvářející důvěru.
Služby používané výhradně uvnitř uzavřeného systému bez vlivu na třetí osoby:
- Organizace provozuje interní certifikační autoritu vydávající certifikáty pro své zaměstnance a to pouze za účelem přihlašování k informačním systémům organizace a elektronickému podepisování interních dokumentů dané organizace. V tomto případě lze mluvit o použití v rámci uzavřeného systému (certifikáty slouží pro interní účely a nelze je vydat třetím osobám bez patřičného vztahu k dané organizaci).
- Organizace provozuje interní certifikační autoritu vydávající certifikáty pro své zaměstnance a rovněž pro externí spolupracovníky a to pouze za účelem přihlašování k informačním systémům organizace a elektronickému podepisování interních dokumentů dané organizace. Opět lze mluvit rovněž o použití v rámci uzavřeného systému (certifikáty slouží pro interní účely a nelze je vydat třetím osobám bez patřičného vztahu k dané organizaci).
- Organizace (typicky banka) provozuje interní certifikační autoritu vydávající certifikáty pro své klienty pouze za účelem bezpečné komunikace s danou organizací (např. přihlašování do internetového bankovnictví, autorizace transakcí). Opět lze mluvit rovněž o použití v rámci uzavřeného systému (certifikáty slouží pro interní účely a nelze je vydat třetím osobám bez patřičného vztahu k dané organizaci).
Služby používané i mimo uzavřený systém s možným vlivem na třetí osoby (poskytovatel spadá do působnosti nařízení eIDAS jakožto poskytovatel služeb vytvářejících důvěru bez kvalifikovaného statusu):
- Organizace provozuje interní certifikační autoritu vydávající certifikáty pro své zaměstnance za účelem přihlašování k informačním systémům organizace, elektronickému podepisování interních dokumentů dané organizace a rovněž je umožněno použití certifikátů i pro komunikaci s dalšími subjekty. V tomto případě již nelze mluvit o výhradním použití v rámci uzavřeného systému. V případě, kdy se certifikát používá mimo interní systémy/procesy dané organizace, pak lze mluvit o vlivu na třetí osoby.
- Organizace provozuje interní certifikační autoritu vydávající certifikáty pro své zaměstnance a rovněž pro externí spolupracovníky za účelem přihlašování k informačním systémům organizace, elektronickému podepisování interních dokumentů dané organizace a rovněž je umožněno použití certifikátů i pro komunikaci s dalšími subjekty. Opět již nelze mluvit o výhradním použití v rámci uzavřeného systému. V případě, kdy se certifikát používá mimo interní systémy/procesy dané organizace, pak lze mluvit o vlivu na třetí osoby.
- Organizace (typicky banka) provozuje interní certifikační autoritu vydávající certifikáty pro své klienty za účelem bezpečné komunikace s danou organizací (např. přihlašování do internetového bankovnictví, autorizace transakcí) a rovněž je umožněno použití certifikátů i pro komunikaci s dalšími subjekty. Opět již nelze mluvit o výhradním použití v rámci uzavřeného systému. V případě, kdy se certifikát používá mimo interní systémy/procesy dané organizace, pak lze mluvit o vlivu na třetí osoby.
V závěru je nutno uvést, že uvedená informace je toliko názorem odboru eGovernmentu, který není oprávněn k autoritativnímu výkladu právních předpisů.