Pan Suchal, kedy sa uz konecne naucite, ze uroven vlastnorucneho podpisu spĺňa len kvalifikovany elektronicky podpis (Clanok 25 (2) Nariadenia 910/2014 v zneni Nariadenia 1183/2024). Viete odkazat na inu legislativu, ktora by potvrdila Vase klamlive tvrdenie uvedene v bode 3.
Takze po 1000x.
§ 23 Autorizácia a preukazovanie oprávnenia konať v mene inej osoby
(1) Orgán verejnej moci vykoná pri výkone verejnej moci autorizáciu elektronického podania alebo elektronického úradného dokumentu kvalifikovaným elektronickým podpisom17) vyhotoveným s použitím mandátneho certifikátu20) alebo kvalifikovanou elektronickou pečaťou,18) ku ktorým pripojí kvalifikovanú elektronickú časovú pečiatku,19) a to spôsobom podľa odseku 3. Osoba, ktorá nie je orgánom verejnej moci, vykoná autorizáciu elektronického podania,
a) ak sa podľa zákona podáva v elektronickej podobe a zákon neustanovuje iný spôsob autorizácie alebo ak je podľa osobitného predpisu náležitosťou podania vlastnoručný podpis
2) použitím na to určenej funkcie ústredného portálu alebo špecializovaného portálu, ktorá je podmienená úspešnou autentifikáciou zodpovedajúcou najmenej úrovni zabezpečenia „pokročilá“ podľa osobitného predpisu alebo
3) uznaným spôsobom autorizácie, ak to osobitný predpis nezakazuje,https://www.slov-lex.sk/ezbierky/pravne-predpisy/SK/ZZ/2013/305/#paragraf-23.odsek-1.pismeno-a.bod-2
Ciže existujú dokonca 2 rôzne spôsoby autorizácie podania (mimo KEP), ktoré je možné použiť ak je potrebný vlastnoručný podpis. Neviem, či ste si všimli, že tu uznaný spôsob autorizácie (staré OP) funguje už roky a neustále sa predlžuje práve pre toto a “autorizácia kliknutím” tiež veselo funguje a používa ju napríklad slovensko.sk, MIRRI a kopec ďalších OVM.
MIRRI priklad
Sťažnosť podaná v elektronickej podobe musí byť autorizovaná kvalifikovaným elektronickým podpisom alebo odoslaná prostredníctvom prístupového miesta, ktoré vyžaduje úspešnú autentifikáciu sťažovateľa (napr. do elektronickej schránky ministerstva na Ústrednom portáli verejnej správy www.slovensko.sk). Ak sťažnosť nie je autorizovaná ani odoslaná prostredníctvom prístupového miesta, ktoré vyžaduje úspešnú autentifikáciu sťažovateľa, sťažovateľ ju musí bez vyzvania do piatich pracovných dní od jej podania potvrdiť a to vlastnoručným podpisom, jej autorizáciou alebo jej odoslaním prostredníctvom prístupového miesta, ktoré vyžaduje úspešnú autentifikáciu sťažovateľa, inak sa sťažnosť odloží.
Zdroj: Sťažnosti a petície | Ministerstvo investícií, regionálneho rozvoja a informatizácie SR
PS. Priamo v tlacovej sprave je odkaz na konkretny bod legislativy, len vam to asi uslo.
Ak sa to týka len autorizácie v ramci SK e-Governmentu, tak súhlasím.
Mimo SR to samozrejme nie je uroven vlastnorucneho podpisu.
Osobne si myslim, ze podliezanie europskej legislativy v tejto oblasti na narodnej urovni,nie je najstastnejsie riesenie, kedze europska legislativa pozna tri urovne podpisu a prave tie dva body 2 a 3 spadaju pod tie dve dalsie, nizsie urovne.
Na narodnej urovni tym urcitym spsobom dehonestujeme to co je na europskej urovni jasne dane t.j. tri urovne podpisu my zlievame na jednu uroven, a rovno tu najvyssiu - uroven kvalifikovaneho elektronickeho podpisu.
1 Like
Ano preto sa v sprave hovori o podaniach a slovenskych uradoch. Na europske podania nam zase asi uplne staci OP + NFC + eIdentita (alebo trebars Autogram v mobile). Tam sa KEP vytvorit da a uplne nam to staci. Na co chceme vzdialene podpisovanie?
Je to alterantiva pre tych, ktori nechcu vyuzivat vlastny HW resp. tych, ktori nepotrebuju a nechcu pouzivat svoje OP napr. pre pracovne ucely (maju tam RC) alebo idealne riesenie pre existujuce mandatne certifikaty.
Inak v tom obstaravani je zaujimava poziadavka
Produkt musel v priebehu dvanástich (12) po sebe nasledujúcich mesiacov pred dátumom predloženia ponuky úspešne vydať minimálne 70 000 kvalifikovaných certifikátov v bankovom prostredí na základe predchádzajúcej identifikácie žiadateľa bankou.
Pritom ide o serverovu platformu určenu na realizáciu vzdialeného kvalifikovaného elektronického podpisu a elektronickej pečate
Osobne som nevedel, za tato platforma je zaroven aj kvalifikovany TSP.
BTW "určenej na realizaciu vzdialeného kvalifikovaného elektronického podpisu a elektronickej pečate v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 910/2014 (eIDAS). " - skuste najst v naridaeni eIDAS takuto sluzbu.
1 Like
Ved nech si to kupia. Preco by sme to mali mat vsetci?
Ale NASES predsa poskytuje svoje sluzby organom verejnej moci bezodplatne a predpokladam, ze hlavne co sa tyka KC pre pecat a mandatnych certifikatov, cize asi to chcu za take obrovske peniaze pre nich.
Tu sa nezhodneme. Asi po 1001 krát.
Nie, klik nemá rovnaký právny účinok ako vlastnoručný podpis. Nie, ani uznaný spôsob autorizácie nemá rovnaký právny účinok ako vlastnoručný podpis.
To, že v zmysle 305/2013 v paragrafe v § 23 o autorizácii a preukazovaní oprávnenia konať v mene inej osoby, sa pre osoby ktoré nie sú orgánom verejnej moci umožňuje vykonať autorizáciu aj iným spôsobom ak to osobitný predpis nezakazuje a to aj tam, kde je náležitosťou vlastnoručný elektronický podpis, neznamená, že klik alebo uznaný spôsob autorizácie má rovnaký právny účinok ako vlastnoručný podpis. To je omyl. Je to podpis. Nemožno mu preto odoprieť právny účinok len preto, že je to elektronický podpis. Ale nie je to vlastnoručný podpis a to napríklad aj z toho pohľadu, kto bude znášať dôkazné bremeno pri prípadnom súdnom spore - viď nižšie. To že niekomu umožním vykonať podpis aj iným spôsobom, neznamená že to má rovnaký právny účinok.
Rovnaký právny účinok ako vlastnoručný podpis má iba Kvalifikovaný elektronický podpis (QES) – (lebo to explicitne uvádza eIDAS, čl. 25 ods. 2).
AdES QC (zdokonalený podpis na kvalifikovanom certifikáte)
už posilňuje no repudiation, lebo certifikát je vydaný kvalifikovanou autoritou, ktorá preverila identitu podpisovateľa.
Napriek tomu právne ešte stále nemá plnú rovnocennosť s vlastnoručným podpisom.
Klik je na úrovni obyčajného elektronického podpisu a to je aj pätička v maile s mojim menom. Alebo Faksimile. Či je klik aspoň elektronický podpis tak aj o tom by som sa dokázal za určitých okolností sporiť, lebo záleží ako je reálne implementované - za určitých okolností nemusí spĺňať ani len požiadavky na elektronický podpis, lebo to musia byť “údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme a ktoré podpisovateľ používa na podpisovanie” - ja prihlasovacie údaje bežne teda na podpisovanie nepoužívam 
.
To samozrejme ale neznamená, že nemáme klik alebo AdES QC používať, záleží od účelu, môže mať svoje miesto a môže plne postačovať na niektoré úkony, ale nemôžem tvrdiť, že je to vlastnoručný podpis, lebo mi ho niekto dovolil použiť aj tam, kde sa inak vyžaduje vlastnoručný podpis, alebo mi to nezakázal.
2 Likes
Ja sa priznam, ze naozaj nerozumiem kde som kedy tvrdil, ze autorizacia klikom = elektronicky podpis alebo dokonca KEP.
Vravim, ze podania, ktore je potrebne autorizovat na urovni vlastnorucny podpis je mozne autorizovat klikom.
Ved mozem podpisat nejaku banalnu ziadost tak, ze fyzicky vlozim do obalky papier, podpisem sa tam ako Dusan Musak a hodim to do podatelne. Kto bude znasat dokazne bremeno? Autentifikacia na urovni pokrocila + mrte logov okolo je ZASADNE lepsie zabezpecenie ako toto.
Samozrejme KEP je silnejsie zabezpeceny (ovela, o tom niet pochyb) - mozno aj preto u nas sa povysil na uroven osvedceneho podpisu a nepoznam inu krajinu, kde by to tak bolo. Ani eidas nic taketo nepozna a aha, roky rokuce tu funguje aj toto.
Mimochodom
Cize, ked si tu na slovensku odhlasujeme, ze autorizacia na urovni vlastnorucny podpis je hodenie paradajky o zem, tak to tak bude. Len to teda nemusi ziadny EU stat uznavat.
Ja som narážal na to, že tvrdenie že podpis klikom je na úrovni vlastnoručneho podpisu nie je správne. To je rozdiel. Môžme si tu dať do zákona čo chceme, dokonca to je napísané aj priamo v nariadení, že jednotlivé štáty si to môžu upraviť. Okrem toho, že KEP je ekvivalent vlastnoručneho podpisu. To si upraviť nemôžeme. Ale k tomuto toto vlákno asi nie je a zas by sme skončili len pri tom, že sa nezhodneme a tým pádom ďalšia naša diskusia k tejto téme je bezpredmetná.
Ja tvrdím že je. Viď zákon vyššie. Eidas ho nijako nevylučuje, naopak explicitne vyníma z jeho pôsobnosti takéto veci na vnútroštátnej úrovni.
Ako poviete. Ľudia čo tomu rozumejú, si urobia názor.
1 Like
Vyborny postreh. Su v nom zhrnute vsetky argumenty za aj proti. Nic dalsie k tomu netreba dodavat.
Tak 1002.
Mame OVM, ktoré potrebuje prijímať podania, kde sa používa vlastnoručný podpis (normálne na papieri). Aké má OVM možnosti takéto niečo prijímať v digitálnom svete?
- KEP
- Autorizácia klikom (upvs alebo špecializovaný portál)
- Uznaný spôsob autorizácie
- Osobitný predpis určí ako.
Aké sú garancie čoho kde a prečo sú úplne paralelná debata.
Áno KEP sa v prípade sporu bude dokazovať ľahšie ako klik alebo aj uznaný spôsob autorizácie. Tvrdil niekto niekedy niečo iné?
Nuz, nie je. Ak sa vratime k vasej vlastnej analogii s hadzanim rajcin - ak si robim celkom beznu tabulku ,za" a ,proti", musim sa na to pozerat ucelene a nemozem vylucit aspekty a argumenty, ktore nepodporuju moj pohlad, lebo je to ,ina debata".
To je klasicke straw-manning by omission - ciastocne vykreslenie problemu tak, ze sa vynecha dolezita cast, ktora by oslabila argument.
Nevylučujem. Len pre účely tejto diskusie “nemôžete tvrdiť že autorizácia klikom je vlastnoručný podpis” je to zbytočná debata. Ja tvrdím, že KEP nie je jediný spôsob ako na Slovensku autorizovať podanie ktoré vyžaduje vlastnoručný podpis. Dokonca tvrdím, že to je oveľa bezpečnejšie ako vlastnoručný podpis vo fyzickom svete ( viď príklad hore).
Prídite s vecnym argumentom kde máme spor, na metadebatu náladu úplne nemám.
Lebo zatiaľ tu žiadny spor nevidím. Naozaj. Ja nespochybňujem, že KEP je bezpečnejší a európskejší. Len tvrdím, že OVM majú dnes úplne legálny spôsob ako nechať občanov autorizovať podania, ktoré vyžadujú normálny vlastnoručný podpis. Funguje to roky, používajú to. Vieme o nejakých sporoch alebo problémoch?
Veď tuto vedľa na finančnú správu sa podávajú veselo podania za ktoré hrozí kriminál v pohode menom heslom.
1 Like
Tu nie je spor o tom, ci to zakon umoznuje. Problem je v tom, ze vy, aspon podla toho, co mam moznost citat aj v inych prispevkoch, aktivne vystupujete proti inym metodam, o ktorych sam priznavate, ze su bezpecnejsie, lebo udajne ,nie su potrebne" a dokonca to prezentujete ako nejaky zaver. Co je z mojho pohladu nezrozumitelny postoj.
A je to ziaduci stav?
Ok toto už je rozumnejšia debata. Objasnim teda:
- Problém KEP je, že ho tu máme už dekádu plus a nepoužíva sa masovo. Dôvody na to sú rôzne (od slabej kampane, zložitého používania až po nezvládnutý onboarding štátu a služieb, ktoré by ho používali nejako masovo). Ak niekto tvrdí opak, nech skúsi poslať ľubovoľnej banke poslať niečo podpísané KEP a že či to bude štandardný proces. Štát je v tomto dávno pred masovým použitím v komercii, ale jeho služby sú skôr občasné ako masové. Bežná firma absolútne netuší čo spraviť s nejakým asice čo priletí mailom.
- Eidas je úplne iné zviera. Hovorí najmä o tom ako si majú štáty navzájom uznávať podpisy. Toto je naozaj extrémne otvorený systém a preto je veľmi regulovaný (preto certifikácie od hw až po sw a záruky a pokuty). Úplne iné predpoklady.
- Štátny systém (napríklad slovensko.sk) je uzavretý systém. Prihlasujem sa štátnou identitou, som na štátnom portáli. Odporúčam napríklad skúsiť bfu vysvetliť, že “prečo keď tam hore na štátnom systéme svieti Ján Suchal a píšem tam všeobecné podanie tak sa to odrazu tvári, že to netuší kto to píše a musím to podpisovať zase nejakým divným ďalším programom a tvári sa to že to o mne nič nevie”. Lebo akýkoľvek budete odborník, tak toto JE relevantná a ťažká otázka na zodpovedanie, aby to dávalo zmysel.
Ak sa vrátime do debaty späť. Máme tu už skoro všetci OP kde sa dá vytvoriť KEP. Dokonca tu máme už skoro dva milióny NFC OP kde sa dá popisovať (KEP!) pomocou mobilu. (S hviezdičkou, lebo vydať certy sa cez mobil zatiaľ u nás nedá). Máme tu možnosť autorizácie klikom. Máme tu uznaný spôsob autorizácie.
A teraz pozor, prichádza bez nejakej diskusie vzdialené podpisovanie za 8 mega phz na 1 rok. Dokonca sa tu začína spomínať prihlasovanie cez bankovú identitu (či dokonca vydávanie certifikátov pre KEP cez ňu!)
A moja otázka nie je spochybňovanie KEP, moja otázka je úplne rovnaká ako vaša.
Kam smerujeme? Čo chceme? Lebo ak máme podpisovať všetci vzdialene, poďme do tejto debaty. Ale chcem najprv počuť, že celá infraštruktúra čipových kariet končí a vidieť CBA a funkcionalitu a ako prebehne onboarding.
Postoj Slovensko.Digital je, že to čo máme teraz úplne stačí a cieľom by malo byť zjednodušenie autorizácie pre bežných občanov tak, aby to bolo dostatočne bezpečné a zároveň jednoduché na použitie. Pre podania kde sa vyžaduje vlastnoručný podpis si myslím, že úplne najjednoduchši spôsob je dnes eidentita cez NFC+bok a následne klik. Prípadne meid (úroveň pokročilá) + klik.
Čiže kam smerujeme? Čo je žiaduci cieľový stav? Kto ho zmenil a súhlasíme s ním všetci?
1 Like
Toto je dalsi straw man. Nikto z vasich oponentov presa nepouziva argumenty typu ,lebo ak mame podpisovat vsetci klikom", tak sa podobnych pokusov preramcovat diskusiu prosim tiez zdrzte
Nerozumiem, v com je ,jednoduchsie" prikladat pri kazdom podpise NFC obciansky a bok, ako sa nim preukazat raz pri aktivacii nejakej statnej aplikacie, zvlast ak sa to teraz aj tak uz robi - ak si spravne pamatam aj vo vami spominanej eIdentite. Tento argument povazujem za pomerne slaby a nelogicky, dokonca iduci proti vasim tvrdeniam.
Ide sa tu nakupovať centrálne riešenie na vzdialené podpisovanie KEP. Čiže všetci budeme mať vzdialené podpisovanie.
Meid stačí aktivovať raz cez NFC+bok. Následne netreba cez občiansky nič.
A teda neviem či sa mi nesníva ale skúsili ste niekedy trebárs autorizáciu podania na slovensko.sk cez KEP? Lebo teda
- Prihlásenie (svm, meid, eidklient+čítačka+bok, eidentita+NFC+bok)
- Podpísanie (podpisovac+bok+pin, prípadne podpisovac+QR kód+mobilná appka+bok+pin)
A toto všetko ešte predpokladá, že vám niekto vydá certifikáty na podpisovanie (momentálne len čítačka +eidklient alebo návšteva na oddelení dokladov)
Vs.
- Prihlásenie cez meid (biometria/pin)
- Klik.