Dám sem aj informáciu ako toto celé dopadlo, ale aktuálna vec idúca za touto novelou je vyhláška “o uznaných spôsoboch autorizácie”, kde MPK skončilo včera.
https://www.slov-lex.sk/legislativne-procesy/SK/LP/2022/557
Za S.D sme poslali tieto návrhy:
K §1:
Zásadná pripomienka
Žiadame do §1 doplniť nový ods.3 s nasledovným znením: „(3) Kvalifikovaný certifikát podľa ods.2 pism.a) je možné vydať iba pre úradný autentifikátor vydaný pred 21.6.2021.“
Odôvodnenie:
MIRRI pri komunikácii o detailoch zriadenia autorizácie dokladom uvádza, že príslušné technické riešenie, ktorého súčasťou sú kľúče uložené v čipe eID a k nim vydaný certifikát pre elektronický podpis, bude možné vydať iba pre eID vydaný pred 21.6.2021. Ide o závažnú informáciu, ktorá nevyplýva z technických parametrov zvoleného riešenia, ani iných predpisov. S cieľom zvýšiť právnu istotu pre používateľov, ktorí sú držiteľmi eID, ako aj pre OVM, je potrebné túto skutočnosť komunikovať záväzným spôsobom.
K §1:
Zásadná pripomienka
Žiadame do §1 doplniť nový ods.4 s nasledovným znením: „(4) Autorizáciu dokladom je možné vykonať do 31.12.2023.“
Odôvodnenie:
MIRRI pri komunikácii o detailoch zriadenia autorizácie dokladom uvádza, že to je iba „dočasné riešenie, na preklenutie kritického obdobia expirácie certifikácie čipu v starších kartách eID“. Preto s cieľom zvýšiť právnu istotu pre používateľov, ktorí sú držiteľmi eID, ako aj pre OVM, ktorí potrebujú realizovať úpravy svojich IS a pracovných postupov, a taktiež s cieľom zvýšiť efektívnosť vynakladania prostriedkov, je potrebné vopred záväzným spôsobom komunikovať termín ukončenia možnosti použiť tento spôsob autorizácie.
K §1 ods.2:
Zásadná pripomienka
Žiadame vypustiť §1 ods.2 písm.b).
Odôvodnenie:
Článok 28 bod 2. nariadenia eIDAS znie: „Kvalifikované certifikáty pre elektronické podpisy nesmú podliehať žiadnym povinným požiadavkám nad rámec požiadaviek stanovených v prílohe I.“
Príloha I nariadenia eIDAS neuvádza rodné číslo podpisovateľa, číslo pasu, ani číslo identifikačnej karty. Vyžadovať uvedenie týchto čísel v certifikáte je v zjavnom rozpore s nariadením eIDAS.
Používateľ musí mať vždy možnosť voľby, ktoré atribúty nad rámec uvedený v prílohe I nariadenia eIDAS chce aby boli prítomné v certifikáte.
Zároveň je povinné uvádzanie rodného čísla v certifikáte, ktorý je súčasťou každého vytvoreného elektronického podpisu, v zjavnom rozpore s nariadením GDPR, špecificky s požiadavkou na minimalizáciu údajov v zmysle čl.1 písm.c) a písm.e), a taktiež v rozpore s možnosťou spracúvania rodného čísla iba ak je to nevyhnutné na dosiahnutie účelu spracúvania a dobrovoľnosťou súhlasu so spracúvaním rodného čísla podľa §78 ods.4 zákona č.18/2018.
K §1:
Zmeniť názov §1 nasledovne: „§1 Autorizácia dokladom“.
Odôvodnenie:
Vzhľadom na doplnenie ďalších spôsobov autorizácie, viď. návrhy nižšie, je vhodné upresniť názov §1.
K celej vyhláške:
Zásadná pripomienka
Žiadame do vyhlášky zaradiť nový §2 s nasledovným znením:
„§2 Autorizácia odoslaním z ústredného portálu
(1) Uznaným spôsobom autorizácie elektronického podania okrem elektronického podania, pri ktorom musí byť vlastnoručný podpis úradne osvedčený, je autorizácia vykonaná odoslaním správy prostredníctvom ústredného portálu verejnej správy x1) (ďalej len „autorizácia odoslaním z ústredného portálu“).
(2) Autorizácia odoslaním z ústredného portálu
a) môže byť vykonaná iba používateľom autentifikovaným najmenej na úrovni zabezpečenia „pokročilá“ podľa osobitného predpisu, x2)
b) používa na identifikáciu osoby údaje o odosielateľovi uvedené v elektronickej správe.“
Poznámky pod čiarou znejú:
„x1) §5 ods.1 písm. a) zákona
x2) Čl. 8 ods. 2 nariadenia (EÚ) č. 910/2014.“
Odôvodnenie:
Cieľom návrhu je vytvoriť možnosť pre OVM pre určité elektronické služby použiť jednoduchý spôsob autorizácie, ktorý bude aj ľahko vykonateľný pre používateľov.
Navrhovaný spôsob autorizácie je už v súčasnosti na ÚPVS implementovaný, nie sú s ním teda spojené žiadne finančné náklady, nie je potrebná súčinnosť dodávateľov ÚPVS. Ba čo viac, podľa údajov prezentovaných prevádzkovateľom ÚPVS je aj v súčasnosti je veľké množstvo podaní zasielaných „bez elektronického podpisu“, t.j. ide o de-facto autorizáciu odoslaním správy. Tieto podania sú aj zo strany OVM akceptované. Nie sú známe s tým spojené žiadne bezpečnostné riziká, napriek tomu, že ide o de-iure neplatne autorizované podania.
Pripomíname, že podľa §23 ods.10 zákona môže OVM určiť rozsah elektronických služieb, pre ktoré možno tento uznaný spôsob autorizácie použiť. Autorizáciu odoslaním správy z ústredného portálu odporúčame použiť pre typy podaní, pre ktoré je vyžadovaná ešte nižšia úroveň bezpečnostných záruk ako pre podania autorizované podľa §23 ods.1 písm.a) bod 2.
K celej vyhláške:
Zásadná pripomienka
Žiadame do vyhlášky zaradiť nový §3 s nasledovným znením:
„§3 Autorizácia odoslaním správy
(1) Uznaným spôsobom autorizácie elektronického podania okrem elektronického podania, pri ktorom musí byť vlastnoručný podpis úradne osvedčený, je autorizácia vykonaná odoslaním správy (ďalej len „autorizácia odoslaním správy“).
(2) Autorizácia odoslaním správy
a) používa na identifikáciu osoby údaje uvedené v odosielanej správe; tieto údaje musia byť dostatočné na jednoznačnú identifikáciu odosielajúcej osoby
(3) Autorizáciu odoslaním správy je možné použiť pre elektronické služby v ktorých podanie je v prospech odosielajúcej osoby.
Odôvodnenie:
Cieľom návrhu je vytvoriť možnosť pre OVM pre určité elektronické služby použiť jednoduchý spôsob autorizácie, ktorý bude aj ľahko vykonateľný pre používateľov.
V realite existuje množstvo typov podaní, kde je vyžadovaná iba základná úroveň spoľahlivosti.
Autorizácia odoslaním správy vychádza zo silnej analógie s listinnými podaniami. Identifikácia odosielateľa je v oboch prípadoch vykonávaná pomocou údajov obsiahnutých v samotnom dokumente podania. Prejav vôle je samotný úkon odoslania správy.
Sú známe prípady, kedy OVM iniciatívne umožnili vykonať podanie zaslaním e-mailu, hoci išlo o de-iure neplatne autorizované podania.
Pripomíname, že podľa §23 ods.10 zákona môže OVM určiť rozsah elektronických služieb, pre ktoré možno tento uznaný spôsob autorizácie použiť. Autorizáciu odoslaním správy odporúčame použiť pre typy podaní, pre ktoré je potrebná nízka úroveň bezpečnostných záruk týkajúcich sa identity odosielateľa a taktiež riziko sporu o odoslanie podania je nízke.
K §2 (účinnosť):
Žiadame účinnosť vyhlášky zmeniť na 1.12.2022.
Odôvodnenie:
Podľa dôvodovej správy je vydanie vyhlášky dôležité najmä v kontexte hromadnej revokácie certifikátov pre KEP k 31.12.2022. Vzhľadom na túto skutočnosť je pre používateľov, aj OVM mimoriadne vhodné mať určité prechodné obdobie, počas ktorého môžu používať nové spôsoby autorizácie a súčasne ešte vedia použiť KEP. Preto žiadame účinnosť vyhlášky určiť najneskôr na 1.12.2022.