Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
elektronicka_identifikace_pro_klienty_verejne_spravy [2019/08/02 12:52] Tomáš Šedivecnap:elektronicka_identifikace_pro_klienty_verejne_spravy [2021/04/29 15:20] (aktuální) – include změny Tomáš Šedivec
Řádek 1: Řádek 1:
-{{objekt| +======Identifikace klientů veřejné správy======
-Druh=Funkční celek| +
-Název=Elektronická identifikace| +
-Popis=Elektronická identifikace pro klienty veřejné správy.| +
-Platípro=všechny OVM a OVS| +
-Spravuje=Tomáš Šedivec| +
-Gestor=Ministerstvo vnitra, Odbor hlavního architekta| +
-Platíkedni=30. září 2019}}+
  
 +===== Popis identifikace klientů veřejné správy =====
  
-Zákon č. 250/2017 Sb., o elektronické identifikaci, zavádí v §2 povinnost provádět prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace. Tento paragraf nabývá účinnosti 1. července 2020. Po tomto datu nebude možné pokračovat v praxi vydávání přístupových údajů klientů veřejné správy mimo systémy kvalifikovaného systému elektronické identifikace, pokud jiný zákon tuto cestu neumožnuje.+==== Fyzická identifikace ====
  
-Podporu celého procesu elektronické identifikace prostřednictvím kvalifikovaného systému elektronické identifikace je vytvořena platforma **Národní identitní autority**která vykonává činnosti Národního bodu dle § 20 a následujících a národního uzlu eIDAS pro spolupráci s oznámenými systémy elektronické identifikace dle nařízení Evropské parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.+Fyzickou identifikací je myšlena situace, kdy klient veřejné správy je osobně přítomen v místěkde je mu služba poskytována nebo je po něm vyžadována součinnostK fyzickému prokázání totožnosti se používají identifikační doklady, které musí obsahovat: 
 +  * Aktuální a platné údaje jeho držiteli 
 +  * Fotografii držitele
  
-NIA zajistí OVS státem garantované služby identifikace a autentizace včetně federace údajů o subjektu práva ze základních registrů a možnost předávání přihlašovací identity dle principy Single Sign-On. Žádné OVS si tedy již nemusí řešit přihlašovací identity pro své klienty samo! Toto platí pouze pro osoby uvedené v ROB nebo ihlašující se identitou v rámci eIDAS z členských států EU. V současném stavu ROB (stav As-Is) tedy pouze pro občany ČR a cizince s trvalým pobytem. V budoucím stavu (stav To-Be) pro občany ČRcizince s trvalým pobytem jiné fyzické osoby (EjFO), které mají k ČR právní či majetkový vztah (zahraniční vlastník nemovitosti, zahraniční lékař, zahraniční student, apod.).+Jako identifikační doklad se používá **občanský průkaz** **cestovní pas**. Identifikačním dokladem **není** řidičský průkaz, protože nesplňuje potřebné parametry i jeho vydávání, ačkoliv obsahuje například fotografii držitele
  
-Národní identitní autorita vytváří federativní systém, který se skládá následujících komponent:+Aby mohla fyzická identifikace fungovat jak při aktuální potřebě (člověk se v daný čas dostaví na místo), tak i při historické potřebě (ověření platnosti identifikačního dokladu historické smlouvy), budou služby eGovernmentu poskytované přes [[nap:referencni_rozhrani|Referenční rozhraní]] rozšířeny o službu, která na jakékoliv historické číslo a typ identifikačního dokladu vrátí, zda byl v požadované době platný a aktuální údaje držitele tohoto historického identifikačního dokladu.
  
-  * **Národní bod** jako centrální bod federativního systému, který zajišťuje komunikaci a registraci účastníků federace. Tato komponenta zajišťuje současně vždy **jednoznačné ztotožnění** osoby, která prokazuje svoji totožnost předložením autentizačních prostředků +=== Fyzická identifikace pro osoby bez identifikačního dokladu ===
-  * **Kvalifikovaný správce,** který vydává jednoznačně identifikovaným fyzickým osobám prostředky pro vzdálenou autentizaci (prokázání totožnosti) a provádí veškeré činnosti spojené se správou těchto prostředků a prokazováním totožnosti fyzické osoby +
-  * **Základní registry,** které poskytují jednoznačnou identifikaci osoby a zajištění vazeb této osoby vůči referenčním údajům o osobě +
-  * **Národní uzel eIDAS,** který zajišťuje přijímání vzdáleného prokázání totožnosti z ohlášených systémů dle nařízení eIDAS a předávání vzdálené identifikace a autentizace z České republiky ostatním státům EU+
  
-Kvalifikovaný poskytovatel elektronických služeb **bude nadále zodpovědný** za řízení oprávnění (autorizaci) fyzické osobykterá prokázala takto svoji totožnost. Nadále tedy musí provádět správu oprávnění na základě údajů o osobě, které získá z propojeného datového fondu veřejné správy a vlastních údajů vedených agendě.+Ačkoliv předcházející text předpokládá identifikaci pouze prostřednictvím identifikačních dokladů, existují situacekdy osoba nemá možnost se tímto identifikačním dokladem prokázatTypicky jde o děti pod 15 let či cizince.  
 +Základním předpokladem, aby mohla proběhnout identifikace i chto osob je jejich evidence v informačním systému veřejné správy, napojený na [[nap:propojeny_datovy_fond|propojený datový fond]] následné vydávání potvrzení či úřední/veřejnou listinu, které může zastat roli identifikačního dokladu. Pro osoby do 15 let to může být rodný list vedeny jednom z [[nap:editorske_ais|editorských agendových informačních systémů]] nebo povolení o přechodném pobytu pro cizince
  
 +Některé z těchto listin - například povolení k trvalému pobytu, azylový štítek či vízový štítek jsou již dnes vedeny v [[nap:rob|základním registru obyvatel]], avšak jejich použití pro identifikaci není plně dořešeno. 
  
-===== Mandáty, role a práva v elektronické komunikaci =====+==== Elektronická identifikace ====
  
-Zajištění správné obsazení do role neboli autorizace, klienta využívajícího elektronické služby je jedním ze základních předpokladů jejího správného fungování. Různé role mají v rámci služby různá oprávnění a povinnosti a poskytovatel služby je povinen nabídnout klientovi veškeré roledo kterých se v rámci služby může pasovat, včetně rolí jako zástupce právnické osoby, zástupce nezletilého, registrující lékař pacienta a další. Tyto role s oprávněními vůči jiným klientům veřejné správy jsou mandáty. Aby proběhlo správné obsazení do role a zjištění mandátu, je pro poskytování elektronických služeb klientům veřejné správy nutné mít zajištěno několik základních náležitostí:+Elektronickou identifikací je myšlena situacekdy klient veřejné správy není přítomen v místě poskytování služby. Identifikace tedy probíhá vzdáleně, bez fyzického kontaktu.
  
-1) Znalost typů mandátů při jednání veřejnou správou+Pro jednoznačnou elektronickou identifikaci a autentizaci klientů veřejné správy byl vytvořen technický a právní rámec, který umožňuje všem správcům informačních systémů veřejné správy tuto činnost vykonávat v souladu [[:ikcr|Informační koncepcí ČR]] a bez nutnosti vytváření vlastních nákladných řešení a zvyšování administrativní zátěže.
  
-2) Jednoznačnou identifikaci a autentizaci klienta veřejné správy+[[https://www.zakonyprolidi.cz/cs/2017-250#p2|Zákon č. 250/2017 Sb., o elektronické identifikaci, zavádí v §2]] povinnost provádět prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace. Tento paragraf nabývá účinnosti 1. července 2020. Po tomto datu nebude možné pokračovat v praxi vydávání přístupových údajů klientů veřejné správy mimo systémy kvalifikovaného systému elektronické identifikace, pokud jiný zákon tuto cestu neumožňuje.
  
-3Systém veřejné správy schopný komunikovat získávat údaje z propojeného datového fondu+Podporu celého procesu elektronické identifikace prostřednictvím kvalifikovaného systému elektronické identifikace je vytvořena platforma Národní identitní autority (také jako NIA), která vykonává činnosti Národního bodu dle [[https://www.zakonyprolidi.cz/cs/2017-250#p20|§ 20]] a následujících a národního uzlu eIDAS pro spolupráci s oznámenými systémy elektronické identifikace dle nařízení Evropské parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu o zrušení směrnice 1999/93/ES.
  
-4) Vlastní zajištění autorizace klienta veřejné správy+=== Mandáty, práva a role v elektronické identifikaci pro klienty veřejné správy ===
  
 +Kvalifikovaný poskytovatel elektronických služeb **bude nadále zodpovědný** za řízení oprávnění (autorizaci) fyzické osoby, která prokázala takto svoji totožnost. Nadále tedy musí provádět správu oprávnění na základě údajů o osobě, které získá z [[nap:propojeny_datovy_fond|Propojeného datového fondu]] a vlastních údajů vedených v agendě.
  
-==== Mandáty pro jednání s veřejnou správou ====+==== Pohled na identifikaci a identifikátory klientů VS ====
  
-Při výkonu veřejné správy a to zejména při jakékoliv interakci a komunikaci s klientem veřejné správy je nutné, aby veřejná správa respektovala mandáty k zastupování jedné osoby druhou na základě různých titulů. Zjednodušeně se dá rozdělit forma mandátu zastupování takto:+{{ :nap-dokument:identifikace.png |}}
  
-1. Fyzická osoba+===== Pravidla pro identifikace klientů veřejné správy =====
  
-a. Jednající sama svým jménem+==== Fyzická identifikace ====
  
-bJednající jménem jiné fyzické osoby ze zákona+Fyzickou identifikací je myšlena situace, kdy klient veřejné správy je osobně přítomen v místě, kde je mu služba poskytována nebo je po něm vyžadována součinnostK fyzickému prokázání totožnosti se používají identifikační doklady, které musí obsahovat: 
 +  * Aktuální a platné údaje o jeho držiteli 
 +  * Fotografii držitele
  
-irodič dítěte+Jako identifikační doklad se používá **občanský průkaz** a **cestovní pas**Identifikačním dokladem **není** řidičský průkaz, protože nesplňuje potřebné parametry při jeho vydávání, ačkoliv obsahuje například fotografii držitele. 
  
-iimanžel/manželka+Samotný občanský průkaz, který může sloužit i k elektronické identifikaci, lze použít k fyzické identifikaci na různé úrovni: 
 +  * Střední úroveň 
 +      * Zjištění, zda nejde o padělaný občanský průkaz 
 +          * [[https://www.mvcr.cz/soubor/obcanske-prukazy-se-strojove-citelnymi-udaji.aspx|Strojově čitelné občanské průkazy]] 
 +          * [[https://www.mvcr.cz/soubor/obcanske-prukazy-bez-strojove-citelnych-udaju.aspx|Ostatní občanské průkazy]] 
 +      * Zjištění, zda je předložený občanský průkaz platný 
 +          * [[https://www.mvcr.cz/clanek/rady-a-sluzby-dokumenty-platne-typy-obcanskych-prukazu.aspx|Seznam platných občanských průkazů]]  
 +          * [[http://aplikace.mvcr.cz/neplatne-doklady/|Seznam neplatných občanských průkazů]] 
 +      * Kontrola fotografie a údajů na občanském průkaze proti klientovi, který jej předložil 
 +  * Vysoká úroveň 
 +      * Zjištění, zda nejde o padělaný občanský průkaz 
 +          * [[https://www.mvcr.cz/soubor/obcanske-prukazy-se-strojove-citelnymi-udaji.aspx|Strojově čitelné občanské průkazy]] 
 +          * [[https://www.mvcr.cz/soubor/obcanske-prukazy-bez-strojove-citelnych-udaju.aspx|Ostatní občanské průkazy]] 
 +      * Zjištění, zda je předložený občanský průkaz platný 
 +          * [[https://www.mvcr.cz/clanek/rady-a-sluzby-dokumenty-platne-typy-obcanskych-prukazu.aspx|Seznam platných občanských průkazů]]  
 +          * [[http://aplikace.mvcr.cz/neplatne-doklady/|Seznam neplatných občanských průkazů]] 
 +      * Kontrola fotografie a údajů na občanském průkaze proti klientovi, který jej předložil 
 +      * Vyžádání si aktuálních údajů, včetně fotografie, o klientovi, který jej předložil a jejich kontrola
  
-iii. registrovaný partner/partnerka+=== Fyzická identifikace právnických osob ===
  
-ivopatrovník+Pokud jde o právnické osoby v pojetí českého právního řádu, tyto nemohou z jejich povahy nikdy právně jednat samy, musí za ně vždy jednat zástupce, kterým je (byť i nepřímo, např. je-li právnická osoba statutárním orgánem jiné právnické osoby) finálně vždy fyzická osoba (příp. fyzické osoby). Pro použití ve fyzickém prostředí se identifikační prostředky právnických osob v České republice nevydávají. Je tomu tak proto, že právnická osoba není ve fyzickém prostoru přítomna a vždy za ni jedná fyzická osoba, která prokazuje svou vlastní totožnost.
  
-c. Jednající jménem jiné fyzické osoby ze zmocnění+==== Elektronická identifikace ====
  
-iplná moc+Elektronickou identifikací je myšlena situace, kdy klient veřejné správy není přítomen v místě poskytování služby. Identifikace tedy probíhá vzdáleně, bez fyzického kontaktu.
  
-iiadvokát+Pro jednoznačnou elektronickou identifikaci a autentizaci klientů veřejné správy byl vytvořen technický a právní rámec, který umožňuje všem správcům informačních systémů veřejné správy tuto činnost vykonávat v souladu s [[:ikcr|Informační koncepcí ČR]] a bez nutnosti vytváření vlastních nákladných řešení a zvyšování administrativní zátěže.
  
-iiizastupující FO+[[https://www.zakonyprolidi.cz/cs/2017-250#p2|Zákon č. 250/2017 Sb., o elektronické identifikaci, zavádí v §2]] povinnost provádět prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím [[nap:nia|kvalifikovaného systému elektronické identifikace]]. Tento paragraf nabývá účinnosti 1. července 2020. Po tomto datu nebude možné pokračovat v praxi vydávání přístupových údajů klientů veřejné správy mimo systémy kvalifikovaného systému elektronické identifikace, pokud jiný zákon tuto cestu neumožňuje.
  
-ivjiný druh zmocně+Podporu celého procesu elektronické identifikace prostřednictvím kvalifikovaného systému elektronické identifikace je vytvořena platforma [[nap:nia|Národní identitní autority (také jako NIA)]], která vykonává činnosti Národního bodu dle [[https://www.zakonyprolidi.cz/cs/2017-250#p20|§ 20]] a následujících a národního uzlu eIDAS pro spolupráci s oznámenými systémy elektronické identifikace dle nařízení Evropské parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
  
-v. na žádost bez zmocnění+=== Elektronická identifikace právnických osob ===  
  
-2Fyzická osoba jednající za právnickou osobu+Pokud jde o právnické osoby v pojetí českého právního řádu, tyto nemohou z jejich povahy nikdy právně jednat samy, musí za ně vždy jednat zástupce, kterým je (byť i nepřímo, napřje-li právnická osoba statutárním orgánem jiné právnické osoby) finálně vždy fyzická osoba (příp. fyzické osoby). Z toho plyne, že ustanovení § 2 zákona o elektronické identifikaci, které dopadá na případy fyzických osob, se tak vztahuje i na jednání právnických osob, neboť jsou to vždy fyzické osoby, které fakticky jednají, ať již za sebe, či za jinou fyzickou osobu nebo právnickou osobu
  
-a. Jednatel právnické osoby+V elektronickém prostředí, zejména jde-li o automatizovanou komunikaci, jsou nicméně používány mechanismy, které mají charakter identifikačního prostředku právnické osoby. Jde např. o certifikát pro evidenci tržeb podle zákona č. 112/2016 Sb., o evidenci tržeb, nebo certifikáty vydané Českou národní bankou pro automatizovanou komunikaci mezi ČNB a subjekty podléhající jejímu dozoru, typicky bankami. Platí nicméně, že identifikační prostředky právnických osob s použitím bez ohledu na agendy, ekvivalentní např. občanským průkazům, se v České republice nevydávají.
  
-b. statutární zástupce právnické osoby (jedna FO)+Zatímco samotná autentizace fyzické osoby není problematická, problematická se jeví otázka určení, zda fyzická osoba jedná v dané situaci za sebe (popř. v jaké roli za sebeanebo zda jedná za jinou fyzickou osobu nebo za právnickou osobu. Problematika mandátů a oprávnění je řešena [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy#Mandáty, role a práva v elektronické komunikaci|níže]].
  
-cStatutární orgán právnické osoby (více FO)+Skutečnost, že daná fyzická osoba, má právo se identifikovat a autentizovat za určitou právnickou osobu (tj„přihlásit se ke službě jménem právnické osoby“), ještě nezakládá bez dalšího právo na to, že tato fyzická osoba má právo za danou právnickou osobu činit úkony prostřednictvím digitální služby. Autorizaci dané fyzické osoby k poskytnutí digitální služby musí posoudit ten, ke komu se fyzická osoba hlásí na základě jím dostupných údajů (informace z obchodního rejstříku, plná moc opravňující konkrétní osobu jednat jménem právnické osoby,…ve spojení s příslušnými právními předpisy. 
  
-dInsolvenční správce+Jako příklad takového přístupu můžeme uvést datové schránky, do nichž se fyzická osoba přihlásí například novým občanským průkazem s aktivovaným čipemPo úspěšné autentizaci s pomocí prostředku pro elektronickou identifikaci (tj. např. s pomocí „eObčanky)“ a souhlasu s předáním osobních údajů na portálu [[nap:nia|Národního bodu pro identifikaci a autentizaci]], je fyzická osoba pro účely [[nap:elektronicke_ukony_a_dorucovani|informačního systému datových schránek (ISDS]]) ztotožněna. Po ztotožnění tak nabídne [[nap:elektronicke_ukony_a_dorucovani|ISDS]] fyzické osobě seznam datových schránek, ve vztahu k nimž je přihlášená fyzická osoba oprávněná jednat. 
  
-e. Likvidátor+Autentizovaná fyzická osoba si tedy vybírá, za koho a v jaké roli bude prostřednictvím [[nap:elektronicke_ukony_a_dorucovani|datových schránek]] jednat. Informaci o tomto oprávnění si [[nap:elektronicke_ukony_a_dorucovani|ISDS]] obstarává např. z [[nap:ros|ROS]], z jiných zdrojů (např. údaj o tom, žurčitá osoba je advokátem nebo insolvenčním správcem) anebo jej vede na základě sdělení samotného držitele datové schránky (např. údaj o tzv. pověřené osobě). Bez ohledu na zdroj informace o oprávnění k zastupování jiné osoby, resp. na zdroj informace o roli je však na samotném [[nap:elektronicke_ukony_a_dorucovani|ISDS]] jakožto poskytovateli služeb, aby oprávnění k zastupování jiné osoby ve svém prostředí řádně implementoval tak, aby osoby mohly toto oprávnění realizovat. Nabídka jednotlivých oprávnění, resp. rolí, tedy spadá do kompetence daného poskytovatele služeb a odvíjí se od údajů a oprávnění, které vede v rámci svého informačního systému nebo od údajů, ke kterým má přístup.
  
-f. Jednající jménem zřizovatele právnické osoby+=== Mandáty, role a práva v elektronické komunikaci ===
  
-gPověřen k jednání za právnickou osobu+Zajištění správné obsazení do role neboli autorizace, klienta využívajícího elektronické služby je jedním ze základních předpokladů jejího správného fungováníRůzné role mají v rámci služby různá oprávnění a povinnosti a poskytovatel služby je povinen nabídnout klientovi veškeré role, do kterých se v rámci služby může pasovat, včetně rolí jako zástupce právnické osoby, zástupce nezletilého, registrující lékař pacienta a další. Tyto role s oprávněními vůči jiným klientům veřejné správy jsou mandáty. Aby proběhlo správné obsazení do role a zjištění mandátu, je pro poskytování elektronických služeb klientům veřejné správy nutné mít zajištěno několik základních náležitostí: 
 + 
 +  - Znalost typů mandátů při jednání s veřejnou správou 
 +  - Jednoznačnou identifikaci a autentizaci klienta veřejné správy 
 +  - Systém veřejné správy schopný komunikovat a získávat údaje z propojeného datového fondu 
 +  - Vlastní zajištění autorizace klienta veřejné správy
  
-i. Veřejnoprávním titulem+== Mandáty pro jednání s veřejnou správou ==
  
-ii. Soukromoprávním titulem (smlouva, plná moc, společenská smlouva, apod.)+Při výkonu veřejné správy a to zejména při jakékoliv interakci a komunikaci s klientem veřejné správy je nutné, aby veřejná správa respektovala mandáty k zastupování jedné osoby druhou na základě různých titulůZjednodušeně se dá rozdělit forma mandátu zastupování dle následující tabulky. 
 + 
 +^ Typ subjektu                                    ^ Mandát                     ^ 
 +| **Fyzická osoba**                               | Jednající sama svým jménem | 
 +|:::                                              | Jednající jménem jiné fyzické osoby ze zákona: \\ - rodič dítěte,\\ - manžel/manželka,\\ - registrovaný partner/partnerka,\\ - opatrovník, osvojitel, poručík, pěstoun \\ - dědic, exekutor,\\ - zastupující osoba pro osoby neschopné jednat nebo nemající zákonného zástupce| 
 +|:::                                              | Jednající jménem jiné fyzické osoby ze zmocnění: \\ - plná moc,\\ - advokát,\\ - zastupující FO,\\ - jiný druh zmocnění,\\ - na žádost bez zmocnění| 
 +|::: | Plná moc opravňující konkrétní osobu jednat jménem právnické osoby | 
 +| **Fyzická osoba jednající za právnickou osobu** |Jednatel právnické osoby | 
 +|:::                                              |statutární zástupce právnické osoby (jedna FO) | 
 +|:::                                              |Statutární orgán právnické osoby (více FO) | 
 +|:::                                              |Insolvenční správce | 
 +|:::                                              |Likvidátor | 
 +|:::                                              |Jednající jménem zřizovatele právnické osoby | 
 +|:::                                              |Pověřen k jednání za právnickou osobu: \\ - Veřejnoprávním titulem, \\ - Soukromoprávním titulem (smlouva, plná moc, společenská smlouva, apod.) 
 +|::: | Pokud agendový předpis povoluje využívání přístupových údajů k systému datových schránek jako identifikačních prostředků je to dále: \\ a) Pro fyzické osoby – statutární zástupce oprávněné k přístupu do datové schránky právnické osoby ověřením oprávnění k datové schránce právnické osoby prostřednictvím Informačního systému datových schránek (ověření přístupových údajů a oprávnění). \\ b) Pro fyzické osoby - oprávněné statutárním zástupcem k přístupu do datové schránky právnické osoby ověřením oprávnění k datové schránce právnické osoby prostřednictvím Informačního systému datových schránek (ověření přístupových údajů a oprávnění). \\ c) Ověřením speciálního agendového oprávnění podle agendového předpisu, na jehož základě jsou poskytovány agendové digitální služby. | 
 + 
 +Příklady mandátů pro fyzické osoby vyplývající z některých vyhlášek a nařízení měst a obcí: 
 +  * Pro přihlášení k platbě poplatku za odvoz komunálního odpadu  
 +  * Pro přihlášení k platbě poplatku: 
 +    * ubytovacího, 
 +    * ze psa,  
 +    * za zábor a užívání veřejného prostranství. 
 +  * Pro převody, koupě, prodej, nabytí městského majetku, (provozovny v budovách v majetku města) 
 +  * Pro užívání, podnájem, zrušení užívání bytového fondu města 
 +  * Mandát pro jednání s knihovnou – výpůjčky registrovaného čtenáře
  
 Jak je zdůrazněno níže, při výkonu veřejné správy je nutné, aby příslušný orgán konající nějakou činnost v rámci dané agendy věděl, pro jakou formu zastupování je mandát umožněný nebo dokonce nutný. Zcela jiným způsobem se orgán veřejné moci bude chovat k mandátu plynoucímu z veřejnoprávního titulu rodičovství a jinak k mandátu plynoucímu ze soukromoprávního titulu plné moci. Jak je zdůrazněno níže, při výkonu veřejné správy je nutné, aby příslušný orgán konající nějakou činnost v rámci dané agendy věděl, pro jakou formu zastupování je mandát umožněný nebo dokonce nutný. Zcela jiným způsobem se orgán veřejné moci bude chovat k mandátu plynoucímu z veřejnoprávního titulu rodičovství a jinak k mandátu plynoucímu ze soukromoprávního titulu plné moci.
Řádek 92: Řádek 136:
 Je také vhodné rozlišovat účel mandátu, tedy typ úkonů, které prostřednictvím zastupované osoby klient veřejné správy dělá. Ty je možno rozdělit do následujících skupin: Je také vhodné rozlišovat účel mandátu, tedy typ úkonů, které prostřednictvím zastupované osoby klient veřejné správy dělá. Ty je možno rozdělit do následujících skupin:
  
-<nowiki>*</nowiki> +  Nahlížení na údaje subjektů práva bez jakéhokoliv interaktivního využívání či zapisování údajů (informační účel). 
-<nowiki>*</nowiki> +  Přístup k údajům subjektů a jejich reklamace, nebo pokud je přímo umožněna editace klientům veřejné správy (transakční účel). 
-<nowiki>*</nowiki> +  Zmocnění k přístupu či využívání údajů subjektu práva pro třetí strany, nebo poskytnutí údajů z ISVS třetím stranám (zmocňovací účel). 
-<nowiki>*</nowiki> +  Činění podání a úkonů vůči orgánům veřejné správy (účel úkonu). 
-<nowiki>*</nowiki> +  Využívání elektronických klientských služeb jako je objednání se k úředníkovi. 
-<nowiki>*</nowiki>+  Zápis, úprava a zrušení mandátu.
  
-==== Jednoznačná identifikace a autentizace klienta veřejné správy ====+== Jednoznačná identifikace a autentizace klienta veřejné správy ==
  
-Všechny subjekty povinné dle zákona č. 250/2017 Sb., o elektronické identifikaci mají povinnost dle §2 využívat k prokázání totožnosti při elektronickém kontaktu pouze kvalifikovaný systém, konkrétně:+Všechny subjekty povinné dle [[https://www.zakonyprolidi.cz/cs/2017-250#p2|zákona č. 250/2017 Sb., o elektronické identifikaci mají povinnost dle §2]] využívat k prokázání totožnosti při elektronickém kontaktu pouze kvalifikovaný systém, konkrétně:
  
 „Vyžaduje-li právní předpis nebo výkon působnosti prokázání totožnosti, lze umožnit prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace.“ „Vyžaduje-li právní předpis nebo výkon působnosti prokázání totožnosti, lze umožnit prokázání totožnosti s využitím elektronické identifikace pouze prostřednictvím kvalifikovaného systému elektronické identifikace.“
  
-Kvalifikovaný systém spravuje kvalifikovaný správce (státní orgán nebo akreditovaná osoba) a splňuje technické normy i specifikace Evropské unie a především je propojen s národním bodem pro identifikaci a autentizaci – tzv. Národní identitní autorita (NIA).+Kvalifikovaný systém spravuje kvalifikovaný správce (státní orgán nebo akreditovaná osoba) a splňuje technické normy i specifikace Evropské unie a především je propojen s národním bodem pro identifikaci a autentizaci – tzv. Národní identitní autorita ([[nap:nia|NIA]]).
  
-Identifikace a autentizace prostřednictvím NIA zajistí jen a pouze službu ověřené identity fyzické osoby, neboli každý systém čerpající služby NIA, se může spolehnout na to, že přihlášená fyzická osoba je skutečna ta, za kterou se vzdáleně a elektronicky vydává. Již se dále nezajišťují další služby typu autorizace.+Identifikace a autentizace prostřednictvím NIA zajistí jen a pouze službu ověřené identity fyzické osoby, neboli každý systém čerpající služby [[nap:nia|NIA]], se může spolehnout na to, že přihlášená fyzická osoba je skutečna ta, za kterou se vzdáleně a elektronicky vydává. Již se dále nezajišťují další služby typu autorizace.
  
 +== Systém veřejné správy schopný komunikovat a získávat údaje z propojeného datového fondu ==
  
-==== Systém veřejné správy schopný komunikovat a získávat údaje z propojeného datového fondu ====+Systém poskytující elektronické služby veřejné správy musí být schopen komunikovat a získávat údaje z [[nap:propojeny_datovy_fond|propojeného datového fondu]]. K tomu musí systém odpovídat předpisům:
  
-Systém poskytující elektronické služby veřejné správy musí být schopen komunikovat a získávat údaje z propojeného datového fonduK tomu musí systém odpovídat předpisům:+  * [[https://www.zakonyprolidi.cz/cs/2000-365|Zákon 365/2000 Sb.]], o informačních systémech veřejné správy. Systém klasifikovaný jako Informační systém veřejné správy (ISVS) využívající referenční rozhraní veřejné správy. 
 +  * [[https://www.zakonyprolidi.cz/cs/2009-111|Zákon 111/2009 Sb.]], o základních registrech. Systém klasifikovaný jako agendový informační systém (AIS) využívající údaje základních registrů a editorů základních registrů dle svého agendového zákona. 
 +  * [[https://www.zakonyprolidi.cz/cs/2017-250|Zákon 250/2014 Sb.]], o elektronické identifikaci. Systém, který vyžaduje ověření totožnosti 
 +  * Nařízení eIDAS
  
-<nowiki>*</nowiki> +Více o využívání údajů propojeného datového fondu a infrastruktuře referenčního rozhraní je napsáno v kapitolách: 
-<nowiki>*</nowiki> + 
-Více o využívání údajů propojeného datového fondu a infrastruktuře referenčního rozhraní je napsáno v dokumentech: * eGovernment Online Service Bus * Centrální místo služeb+  [[:nap:egsb|eGON Service Bus/Informační systém sdílené služby]] 
 +  [[nap:komunikacni_infrastruktura_verejne_spravy|Centrální místo služeb]] 
 +  * [[nap:propojeny_datovy_fond|Propojenný datový fond]]
  
-<nowiki>*</nowiki> 
 Centrální sdílené služby eGovernmentu dokáží zajistit následující mandáty pro fyzické osoby, které se prokázaly u poskytovatele služeb svou zaručenou elektronickou identitou: Centrální sdílené služby eGovernmentu dokáží zajistit následující mandáty pro fyzické osoby, které se prokázaly u poskytovatele služeb svou zaručenou elektronickou identitou:
  
-<nowiki>*</nowiki> +  eGON služba [[https://www.szrcr.cz/images/dokumenty/v%C3%BDvoj%C3%A1%C5%99i/detailn%C3%AD_popisy_eGon_slu%C5%BEeb/E22_-_rosCtiPodleUdaju_2_02.pdf|rosCtiPodleUdaju]], [[https://www.szrcr.cz/images/dokumenty/v%C3%BDvoj%C3%A1%C5%99i/detailn%C3%AD_popisy_eGon_slu%C5%BEeb/E20_-_rosCtiIco_2_02.pdf|rosCtiIco]], [[https://www.szrcr.cz/images/dokumenty/v%C3%BDvoj%C3%A1%C5%99i/detailn%C3%AD_popisy_eGon_slu%C5%BEeb/E21_-_rosCtiAifo_2_02.pdf|rosCtiAifo]] (základní registr osob) 
-pro zajištění ověření, zda je fyzická osoba statutárním zástupcem +    pro zajištění ověření, zda je fyzická osoba statutárním zástupcem 
- +  eGON služba [[https://www.szrcr.cz/images/dokumenty/v%C3%BDvoj%C3%A1%C5%99i/detailn%C3%AD_popisy_eGon_slu%C5%BEeb/SZR_popis_eGON_sluz%CC%8Ceb_E172_aiseoCtiPodleUdaju2_4_02_v03.pdf|aiseoCtiPodleUdaju]], [[https://www.szrcr.cz/images/dokumenty/v%C3%BDvoj%C3%A1%C5%99i/detailn%C3%AD_popisy_eGon_slu%C5%BEeb/E171_aiseoCtiAifo2.pdf|aiseoCtiAifo]] (agendový informační systém evidence obyvatel) 
-<nowiki>*</nowiki> +    pro zajištění ověření, zda je fyzická osoba rodič nezletilého, který není svéprávný 
-pro zajištění ověření, zda je fyzická osoba rodič nezletilého, který není svéprávný +    pro zajištění ověření, zda je fyzická osoba zákonným zástupcem jiné fyzické osoby 
- +    pro zajištění ověření, zda je fyzická osoba opatrovníkem jiné fyzické osoby 
-pro zajištění ověření, zda je fyzická osoba zákonným zástupcem jiné fyzické osoby +    pro zajištění ověření, zda je fyzická osoba manžel/manželka 
- +  eGON služba [[https://www.szrcr.cz/images/dokumenty/v%C3%BDvoj%C3%A1%C5%99i/detailn%C3%AD_popisy_eGon_slu%C5%BEeb/SZR_popis_eGON_sluz%CC%8Ceb_E238_isknCtiVlastniky2_v1_00_v01_r0.pdf|isknCtiVlastniky]] (informační systém katastru nemovitostí) 
-pro zajištění ověření, zda je fyzická osoba opatrovníkem jiné fyzické osoby +    pro zajištění ověření, zda je fyzická osoba vlastníkem nemovitosti 
- +  Služba ISDS 
-pro zajištění ověření, zda je fyzická osoba manžel/manželka +    Pro zajištění, zda je fyzická osoba pověřená k činění úkonů v ISDS vlastníkem datové schránky
- +
-<nowiki>*</nowiki> +
-pro zajištění ověření, zda je fyzická osoba vlastníkem nemovitosti +
- +
-<nowiki>*</nowiki> +
-Pro zajištění, zda je fyzická osoba pověřená k činění úkonů v ISDS vlastníkem datové schránky+
  
 Žádné další centrální služby ověření oprávnění/mandátů se v současné, ani dohledné době, neplánují. Proto je důležité, aby si každý poskytovatel elektronických služeb zajistit jiné typy mandátů sám. Žádné další centrální služby ověření oprávnění/mandátů se v současné, ani dohledné době, neplánují. Proto je důležité, aby si každý poskytovatel elektronických služeb zajistit jiné typy mandátů sám.
  
- +== Vlastní zajištění autorizace klienta veřejné správy ==
-==== Vlastní zajištění autorizace klienta veřejné správy ====+
  
 Každá vykonávaná agenda (výkon veřejné správy) může pro svoji potřebu vyžadovat jiné mandáty. Například mandát podání daňového přiznání za jinou fyzickou osobu, mandát nahlížení na zdravotnickou dokumentaci jiné fyzické osoby, nakládání s majetkem právnické osoby, u které nejsem statutární zástupce, či například mandát k zastupování při dědickém řízení. Každá vykonávaná agenda (výkon veřejné správy) může pro svoji potřebu vyžadovat jiné mandáty. Například mandát podání daňového přiznání za jinou fyzickou osobu, mandát nahlížení na zdravotnickou dokumentaci jiné fyzické osoby, nakládání s majetkem právnické osoby, u které nejsem statutární zástupce, či například mandát k zastupování při dědickém řízení.
Řádek 148: Řádek 190:
 Všechny tyto mandáty se musí řešit v rámci dané agendy a jako ideální řešení navrhujeme: Všechny tyto mandáty se musí řešit v rámci dané agendy a jako ideální řešení navrhujeme:
  
-<nowiki>*</nowiki> +  Zřídit buď v jednotlivých agendových informačních systémech, nebo v rámci centralizované správy subjektů mandátní registr. 
-<nowiki>*</nowiki> +  V rámci mandátního registru určit předem definované typy mandátů přípustné v dané agendě a způsob zápisu mandátů pro nahlížení a pro transakce ze strany klienta 
-<nowiki>*</nowiki> +  Povolit zapisovat všem klientům mandáty dle definovaných typů pod svou zaručenou elektronickou identitou. 
-<nowiki>*</nowiki> +  Umožnit klientům přidat mandát i offline, například na přepážce úřadu. 
-<nowiki>*</nowiki>+  Při každém přihlášení klienta kontrolovat kromě mandátů z centrálních sdílených služeb eGovernmentu i vlastní mandátní registr a dát vždy při přihlášení vybrat klientovi, v jaké roli a s jakým mandátem chce pracovat. 
 Je důležité zdůraznit, že veřejná správa nemá rozlišovat formu komunikace a jednání s klientem. Tedy mandát obecně platící pro osobní jednání s úředníkem, nebo pro fyzické prováděné úkony na přepážce, musí mít klient umožněn využívat i při elektronické komunikaci a naopak. Také proto je nutné vést mandáty standardizovanou formou na jednom místě a využívat jich i při elektronické komunikaci klienta. Je důležité zdůraznit, že veřejná správa nemá rozlišovat formu komunikace a jednání s klientem. Tedy mandát obecně platící pro osobní jednání s úředníkem, nebo pro fyzické prováděné úkony na přepážce, musí mít klient umožněn využívat i při elektronické komunikaci a naopak. Také proto je nutné vést mandáty standardizovanou formou na jednom místě a využívat jich i při elektronické komunikaci klienta.
  
 Mandát plynoucí z veřejnoprávního nebo soukromoprávního titulu a to včetně plných mocí a dohod o zastupování při správním jednání s úřady patří mezi společné rozhodné skutečnosti, tak jak jsou zakotveny v souvisejících ustanoveních Správního řádu (zejména § 6 a § 50 a související). Proto je nanejvýš vhodné, aby příslušný orgán veřejné moci, pokud Mandát plynoucí z veřejnoprávního nebo soukromoprávního titulu a to včetně plných mocí a dohod o zastupování při správním jednání s úřady patří mezi společné rozhodné skutečnosti, tak jak jsou zakotveny v souvisejících ustanoveních Správního řádu (zejména § 6 a § 50 a související). Proto je nanejvýš vhodné, aby příslušný orgán veřejné moci, pokud
  
-<nowiki>*</nowiki> +  využívá a buduje centrální evidenci subjektů, 
-<nowiki>*</nowiki> +  centrální evidenci rozhodných skutečností, 
-<nowiki>*</nowiki> +  skutečnosti o zapsaném anebo z něčeho plynoucím mandátu k zastupování, 
-je zahrnul do rozhodných skutečností. Klient se totiž může odvolat na příslušná ustanovení správního řádu a neposkytovat zejména plné moci a další dokumenty, z nichž mandát plyne, úřadu opakovaně+  je zahrnul do rozhodných skutečností.  
- +  
-Zásadním požadavkem bezpečnosti a transparentnosti pro informační systémy veřejné správy je požadavek na jednotnou elektronickou identifikaci interních i externích uživatelů. Pro každou operaci je nutná znalost osoby, která tuto operaci provádí zvláště z hlediska nepopiratelné zodpovědnosti osoby. +Klient se totiž může odvolat na příslušná ustanovení správního řádu a neposkytovat zejména plné moci a další dokumenty, z nichž mandát plyne, úřadu opakovaně.
- +
-Externí uživatelé (klienti) informačních systémů veřejné správy musí být jednoznačně identifikováni zvláště z důvodů ochrany osobních údajů a dále z procesního hlediska, jak předpokládá správní řád (jednoznačné prokázání totožnosti účastníků řízení). +
- +
-Pro interní uživatele, pracující v informačním systému veřejné správy je nutnou podmínkou jednoznačná a nepopiratelná identifikace uživatele tak, aby bylo možné jednoznačně vyhodnotit oprávnění této osoby v rámci přístupu k údajům a službám informačních systémů a současně zpětně vyhodnotit činnost těchto osob dle záznamů v auditních systémech (logy). +
- +
-Úloha správy přístupů se pro každý informační systém veřejné správy skládá z následujících kroků: +
- +
-  * **Identifikace –** jednoznačné a nepopiratelné určení fyzické osoby, která přistupuje k informačnímu systému veřejné správy +
-  * **Autentizace** – prokázání, že přistupující osoba je tou osobou, za kterou se vydává. Autentizace probíhá předložením **autentizačních prostředků** (například uživatelské jméno a heslo, autentizační certifikát), které osobě přidělil správce informačního systému +
-  * **Autorizace** – na základě údajů o identifikované a autentizované osobě a dalších údajů o této osobě (například zařazení na pracovní pozici) zařazení osoby do odpovídající role a z toho vyplývající vyhodnocení oprávnění na úkony a data v rámci informačního systému.+
  
-IKČR v této oblasti vyžaduje naplnění následujících principů pro všechny informační systémy veřejné správy: 
  
-  - Při tvorbě identitního prostoru si prvně udělat analýzu, zda nepostačuje již některý z federovaných identit v rámci NIA +{{tag>NIA "Národní identitní prostor" "Identity provider" "Service provider" IdP "Tematická oblast" eop "občanský průkaz" "identifikační doklad" "cestovní pas" "mandáty" "mandáty elektronické komunikaci" "zastupování" "oprávnění" "mandát"}}
-  - Jakýkoliv nový identitní prostor musí být budován tak, aby byl federovaný v rámci NIA +
-  - Prostředky pro identifikaci a autentizaci jsou vždy vydány bezpečnou a jednoznačnou cestou identifikované osobě tak, aby byla zajištěna minimálně úroveň důvěry značná. O tomto vydání prostředků existuje trvalý záznam spolu s údaji, jak byla ověřena identita osoby +
-  - Osoba, jíž byly prostředky vydány, nedílně zodpovídá za ochranu těchto prostředků před odcizením a zneužitím +
-  - Osoba, jíž byly prostředky vydány, nese nedílnou zodpovědnost za všechny úkony, které byly v informačním systému provedeny při použití těchto prostředků +
-  - Věcný správce agend, které jsou vykonávány v rámci informačního systému, zodpovídá za obsazení osob do rolí (technicky vykonává technický správce informačního systému, vždy však na základě podkladů o věcných správců). Tuto svoji zodpovědnost může delegovat v rámci organizační struktury na více zodpovědných osob.+