Pojistný obzor ke stáhnutí ZDE
Tato úprava má potenciálně zajímavé dopady mj. i pro oblast pojišťoven a pojišťovnictví. V případech, kdy jsou pojišťovny povinny dle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „AML zákon“), identifikovat klienty (např. při uzavírání nové pojistné smlouvy, v případě výplaty plnění ze životního plnění apod.), má nařízení eIDAS umožňovat provést ověření jejich identity elektronicky.
Český zákonodárce zareagoval na požadavky nařízení eIDAS přijetím zákona o elektronické identifikaci, který zavádí tzv. „kvalifikovaný systém elektronické identifikace“. Tento systém má sloužit jako státem garantovaná platforma, prostřednictvím které mohou poskytovatelé provádět identifikaci klientů se stejnou úrovní spolehlivosti jako při osobní identifikaci pomocí klasického občanského průkazu či pasu.
Je však možné využít kvalifikovaný systém elektronické identifikace ke zjištění totožnosti klienta podle požadavků AML zákona? V tomto článku si nejprve představíme pojmy „elektronická identifikace“ a „autentizace“ a vyjasníme si, jakou roli hraje ve vztahu k těmto termínům tzv. „národní bod pro identifikaci a autentizaci“.
Následně se zaměříme na povinnosti pojišťoven z hlediska identifikace klientů a navazující možnosti, které nařízení eIDAS a s ním související národní právní předpisy pojišťovnám přinášejí, a na to, jaké příležitosti pro pojišťovny představuje portál e-identita.cz a nově vydávané elektronické občanské průkazy. Nakonec kriticky zhodnotíme vnitrostátní úpravu povinnosti identifikovat klienta dle AML zákona ve srovnání s možnostmi, které přináší zákon o elektronické identifikaci a nařízení eIDAS.
Mohlo by vás zajímat: Video: Šokující záznam. Obrovský kámen jen o fous nezpůsobil neštěstí
Elektronická identifikace, autentizace a role národního bodu pro identifikaci a autentizaci
Pro účely tohoto článku je nutné nejprve si objasnit význam termínů „elektronická identifikace“ a „autentizace“ a jakou roli hraje v ověřování identit národní bod pro identifikaci a autentizaci (dále jen „národní bod“). Čl. 3 bod 1 nařízení eIDAS definuje pojem „elektronická identifikace“ jako „postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující právnickou osobu“.
Významem elektronické identifikace je tak sdělení informace o totožnosti klienta, tedy poskytnutí určitého souboru údajů o tomto klientovi. Autentizací se naopak dle čl. 3 bodu 5 nařízení eIDAS rozumí „elektronický postup, který umožňuje potvrdit elektronickou identifikaci fyzické či právnické osoby nebo původ a integritu dat v elektronické podobě“, tj. verifikace, že daný subjekt je skutečně tou osobou, za kterou se vydává.
Nařízení eIDAS a navazující právní předpisy možnosti elektronické identifikace významně rozšiřují. Entitou zajišťující možnost bezpečně elektronicky identifikovat klienta je národní bod, vedený Správou základních registrů a propojující nástroje pro bezpečné a zaručené ověření totožnosti klienta, tedy kvalifikované systémy elektronické identifikace ve smyslu § 2 zákona o elektronické identifikaci, se zdroji informací o klientech (zejména jde o základní registry). Národní bod je oprávněn za účelem zprostředkování identifikace klienta pomocí kvalifikovaného systému elektronické identifikace vstupovat do základních registrů a ověřovat totožnost klienta pomocí získaných údajů ze základních registrů.
Národní bod spravuje evidenci kvalifikovaných subjektů (kvalifikovaných správců dle § 4 zákona o elektronické identifikaci a kvalifikovaných poskytovatelů dle § 18 téhož zákona) a funguje jako prostředník mezi těmito subjekty. Kvalifikovaný poskytovatel představuje subjekt, který pro poskytnutí své služby klientovi potřebuje tohoto klienta identifikovat a autentizovat. Toto ověření mu umožní kvalifikovaný správce prostřednictvím národního bodu.
Mohlo by vás zajímat: Nejčastější otázky klientů ohledně změny povinného ručení
Národní bod zprostředkovává předávání údajů o klientovi mezi kvalifikovaným správcem a kvalifikovaným poskytovatelem, přičemž kvalifikovanému poskytovateli není poskytnuta informace o tom, jaký kvalifikovaný správce je pro ověření identity klienta použit, a kvalifikovaný správce zároveň neví, pro jakého kvalifikovaného poskytovatele ověření klienta umožnil.
Povinnosti pojišťoven z hlediska identifikace klientů
Ustanovení § 7 AML zákona stanoví pojišťovnám povinnost identifikovat klienta v případech, kdy hodnota obchodu překročí 1000 eur, a dále bez ohledu na tento limit, pokud se jedná o podezřelý obchod dle příslušné definice AML zákona, když pojišťovna s klientem uzavírá novou pojistnou smlouvu či klientovi vznikne právo na plnění ze životního pojištění, a to nejpozději v době výplaty pojistného plnění. Dle § 8 odst. 1 AML zákona se přitom první identifikace klienta provádí za jeho fyzické přítomnosti, pokud AML zákon nestanoví jinak.
Tímto ustanovením předvídaný odlišný režim první identifikace upravuje § 11 odst. 8 AML zákona, podle kterého není nutné klienta identifikovat za jeho fyzické přítomnosti v případech, kdy klient sdělí povinné osobě požadované identifikační údaje, povinná osoba ověří totožnost příslušné fyzické osoby u tzv. „kvalifikovaného poskytovatele služeb vytvářejících důvěru“ podle nařízení eIDAS a kdy povinná osoba nemá pochybnost o skutečné totožnosti klienta. Zmínění kvalifikovaní poskytovatelé služeb vytvářejících důvěru jsou v ČR prozatím čtyři.[1] Některé dílčí povinnosti poskytovatelů služeb formujících důvěru pak upravuje zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce.
E-identita.cz a e-občanka jako příležitosti pro pojišťovny?
Správce národního bodu, tedy Správa základních registrů, v souvislosti se zaváděním elektronizace státní správy spustil portál e-identita.cz, který umožňuje užívat služeb národního bodu. Nejvýznamnější službou tohoto portálu je ověření digitální identity. Ověřená digitální identita uživatelům umožňuje přihlašovat se do ostatních webových služeb, jako např. do služeb eRecept, Česká správa sociálního zabezpečení apod.
Mohlo by vás zajímat: Revoluce, nebo evoluce evropského systému dohledu nad finančními trhy?
Prokazování totožnosti je na portálu e-identita.cz umožněno skrze různé prostředky elektronické identifikace, jejichž poskytovatelé získali akreditaci dle § 4 zákona o elektronické identifikaci a jsou tak napojeni na národní bod. K prvním prostředkům elektronické identifikace patří od 1. července 2018 také nové občanské průkazy s čipem (dále jen „e-občanka“) či uživatelský účet portálu e-identita.cz s přihlášením pomocí jména, hesla a ověřovací SMS. Klient se do portálu e-identita.cz může pomocí e-občanky přihlásit již od chvíle, kdy e-občanku poprvé získá, tj. od 15 let, zatímco uživatelský účet portálu e-identita.cz takovou možnost poskytuje až nabytím 18 let.[2]
E-občanka je prostředkem pro elektronickou identifikaci s vysokou úrovní záruky ve smyslu čl. 8 nařízení eIDAS, jedná se tedy o nejvyšší a nejbezpečnější kategorii identifikačního prostředku, jakou nařízení eIDAS definuje.
E-občanku lze proto používat pro identifikaci a autentizaci v rámci on-line služeb, pro jejichž poskytování jsou charakteristické vysoké nároky na zabezpečení a prokázání totožnosti klienta. Pro možnost přihlášení e-občankou však klient musí mít aktivovanou elektronickou funkcionalitu e-občanky, pořídit si čtečku elektronických karet a mít ve svém zařízení nainstalován software eObčanka. Bez naplnění výše uvedených požadavků nelze klientovu identitu on-line ověřit, z čehož plyne, že pouhé získání e-občanky automaticky neznamená možnost ověření klientovy identity on-line.
Plné užití výhod e-občanky tak ve srovnání s jinými prostředky elektronické identifikace klade poměrně vysoké nároky na hardwarové vybavení klientů, což v kombinaci s limitovanou rychlostí obnovy občanských průkazů znamená, že masové využití e-občanek bude ještě několik let trvat. Zákon o elektronické identifikaci vymezuje postup, jakým se subjekt může stát kvalifikovaným poskytovatelem prostřednictvím oznámení Správě základních registrů, že začal umožňovat prokázání totožnosti skrze elektronickou identifikaci.[3] V současné chvíli je funkcionalita portálu e-identita.cz přístupná pouze pro poskytovatele služeb veřejné správy[4] a dle dostupných informací tomu tak zřejmě po nějakou dobu zůstane.
Užití e-občanky a jiných prostředků elektronické identifikace
Jak bylo uvedeno výše, AML zákon umožňuje elektronické ověření identity klienta, avšak nikoli prostřednictvím kvalifikovaného systému elektronické identifikace ve smyslu § 3 zákona o elektronické identifikaci, ale prostřednictvím kvalifikovaného poskytovatele služeb vytvářejících důvěru ve smyslu čl. 3 bodu 20 nařízení eIDAS.
Mohlo by vás zajímat: Dejte si pozor! Falešné bankovní aplikace opět pronikly do Google Play
Výše uvedené představuje dle našeho názoru rozpor mezi koncepcí zákona o elektronické identifikaci a aktuálně účinným zněním AML zákona. Základním účelem zákona o elektronické identifikaci je generálně umožnit distanční prokázání totožnosti s využitím elektronické identifikace prostřednictvím kvalifikovaného systému elektronické identifikace tam, kde právní předpis či výkon působnosti vyžadují prokázání totožnosti.
Naproti tomu AML zákon tento koncept přímo nereflektuje, neboť umožňuje elektronické prokázání totožnosti pouze prostřednictvím kvalifikovaného poskytovatele služeb vytvářejících důvěru. Pravděpodobně největší potenciální přínos elektronické identifikace by pro pojišťovny představovalo právě propojení možností elektronické identifikace podle zákona o elektronické identifikaci s požadavkem AML zákona na řádnou identifikaci klienta zejména při uzavření obchodního vztahu ve smyslu § 7 odst. 2 písm. b) AML zákona.
To by umožnilo značné zjednodušení uzavírání nových pojistných smluv bez nutnosti fyzické přítomnosti klienta na pobočce pojišťovny. V návaznosti na přijetí zákona o elektronické identifikaci však již nedošlo k příslušné novelizaci AML zákona a právní úprava tak v současnosti zůstává tzv. „na půli cesty“, neboť § 11 odst. 8 AML zákona stanoví, že první identifikaci klienta je možné provést výhradně prostřednictvím kvalifikovaného poskytovatele služeb vytvářejících důvěru. Tím však není ani kvalifikovaný správce, ani národní bod, neboť tyto entity neposkytují (kvalifikované) služby vytvářející důvěru ve smyslu čl. 3 bodů 16, 17 a 19 nařízení eIDAS. AML zákon, jak se domníváme, v současném znění spíše neumožňuje provedení identifikace prostřednictvím kvalifikovaného systému elektronické identifikace.
Dle našeho názoru tak současné znění AML zákona není v plném souladu se současným zněním čl. 13 odst. 1 písm. a) směrnice Evropského parlamentu a Rady (EU) č. 2015/849 ze dne 20. května 2015, o předcházení využívání finančního systému k praní peněz nebo financování terorismu, o změně nařízení Evropského parlamentu a Rady (EU) č. 648/2012 a o zrušení směrnice Evropského parlamentu a Rady č. 2005/60/ES a směrnice Komise č. 2006/70/ES (dále jen „IV. AML směrnice“), která stanoví, že „opatření hloubkové kontroly klienta zahrnují zjištění a ověření totožnosti klienta na základě dokumentů, údajů nebo informací získaných ze spolehlivého a nezávislého zdroje, příp. včetně elektronických prostředků identifikace, příslušných služeb vytvářejících důvěru podle nařízení Evropského parlamentu a Rady (EU) č. 910/2014 či jakéhokoli jiného bezpečného postupu identifikace na dálku nebo elektronické identifikace, regulovaného, uznaného, schváleného nebo přijatého příslušnými vnitrostátními orgány“.
Mohlo by vás zajímat: Andreas Brandstetter: Chci být mostem mezi tvůrci politik a pojišťovnictvím
Čtvrtá AML směrnice tedy výslovně počítá také s možností provádění identifikace klientů skrze prostředky elektronické identifikace, přičemž zjevně odkazuje na nařízení eIDAS, které upravuje jak prostředky elektronické identifikace (i když samotné nařízení eIDAS užívá pojmu „prostředky pro elektronickou identifikaci“), tak služby vytvářející důvěru.
Prostředkem elektronické identifikace je dle čl. 3 bodu 2 nařízení eIDAS „hmotná či nehmotná jednotka obsahující osobní identifikační údaje, která se používá k autentizaci pro účely on-line služby“. Dále nařízení eIDAS stanoví podmínky, za nichž je prostředek elektronické identifikace uznáván ve všech členských státech Evropské unie. Dle čl. 6 odst. 1 písm. a) nařízení eIDAS musí být daný prostředek pro elektronickou identifikaci uznán v jiných členských státech, pokud je mj. vydán v rámci systému elektronické identifikace, který je uveden na seznamu zveřejněném Komisí podle čl. 9 nařízení eIDAS.
Takovými systémy budou za ČR nejspíše právě kvalifikované systémy elektronické identifikace ve smyslu § 3 zákona o elektronické identifikaci. Nedořešenou zůstává také otázka, jakou úroveň záruky by měly povinné osoby dle AML zákona po klientovi při elektronické identifikaci požadovat. Nařízení eIDAS v čl. 8 rozeznává celkem tři úrovně záruky, a to nízkou, značnou a vysokou, v řazení dle míry spolehlivosti daného prostředku elektronické identifikace.
Kvalifikovaní poskytovatelé sice sami určují úroveň, kterou pro elektronickou identifikaci klienta požadují, dle našeho názoru by však v rámci tak zásadního předpisu, jakým je AML zákon, měla být úroveň záruky stanovena legislativně. Domníváme se tak, že současná právní situace je nejasná. Právní úprava dle zákona o elektronické identifikaci není provázána s AML zákonem a zamýšlený efekt zjednodušení identifikace klientů není národní legislativou umožněn. Ideálním řešením by byla patřičná úprava AML zákona tak, aby byl v plném souladu se IV. AML směrnicí a aby elektronickou identifikaci klientů způsobem dle zákona o elektronické identifikaci umožnil.
Mohlo by vás zajímat: Proč uzavřít soukromé zdravotní pojištění? Anebo taky ne
Zcela stranou také zůstává otázka soukromoprávních správců systémů elektronické identifikace, kteří by mohli vydávat své prostředky pro elektronickou identifikaci a provádět bezpečný postup elektronické identifikace na komerční bázi nezávisle na národním bodu, neboť z definice zákona o elektronické identifikaci je status kvalifikovaného poskytovatele vyhrazen toliko subjektům veřejné správy a těm, kterým to ukládá zákon, nicméně i jiní poskytovatelé (včetně poskytovatelů podléhajících AML zákonu) mají zájem využívat na komerční bázi služeb kvalifikovaného identitního systému, což stávající právní úprava neřeší.
Závěr
Nařízení eIDAS a s ním související národní legislativa zavádí možnost ověřování identit klientů pomocí elektronických prostředků identifikace. Mezi nejvýznamnější prostředky ověření identity patří elektronický občanský průkaz, neboť poskytuje vysokou úroveň záruky a umožňuje identifikovat a autentizovat klienta elektronicky se stejnou spolehlivostí jako při jeho osobní návštěvě. Synergický efekt nařízení eIDAS a zákona o elektronické identifikaci se však v oblasti finančních institucí dosud nedostavil, neboť AML zákon v účinném znění dle našeho názoru spíše neumožňuje identifikaci klientů prostřednictvím kvalifikovaného systému elektronické identifikace tak, jak ji zavádí zákon o elektronické identifikaci.
Rukavici hozenou ze strany EU tak český zákonodárce prozatím nezdvihl. Umožnění finančním institucím provádět identifikaci způsobem dle zákona o elektronické identifikaci by představovalo skutečnou revoluci na poli poskytování finančních služeb, neboť by bankám, pojišťovnám, spořitelním a úvěrovým družstvům a dalším finančním institucím značně usnadňovalo komunikaci s klientem od počátku obchodního vztahu, zcela bez nutnosti klienta dostavit se na pobočku těchto institucí.
Zákon o elektronické identifikaci navíc kromě e-občanek předpokládá vznik celé palety dalších prostředků elektronické identifikace, což by mohlo být impulzem a příležitostí pro další rozvoj poskytování finančních služeb na českém trhu. Nezbývá proto než doufat, že zákonodárce v dohledné době doplní příslušnou legislativu a identifikaci klientů pomocí systému elektronické identifikace umožní.
Pojistný obzor ke stáhnutí ZDE
Pro Pojistný obzor
Mgr. Bohuslav Lichnovský
JUDr. Josef Donát, LL.M.
ROWAN LEGAL
[1] Aktuální seznam kvalifikovaných poskytovatelů služeb vytvářejících důvěru je dostupný na webových stránkách Ministerstva vnitra ČR: http://www.mvcr.cz/clanek/seznam-kvalifikovanych-poskytovatelu-sluzeb-vytvarejicich-duveru-a-poskytovanych-kvalifikovanych-sluzeb-vytvarejicich-duveru.aspx
[2] Občanský průkaz s čipem. In: E-identita.cz [on-line]. Praha: Správa základních registrů, 2018 [cit. 2018-08-13]. Dostupné z: https://info.eidentita.cz/eop/
[3] Dle § 18 zákona o elektronické identifikaci kvalifikovaný poskytovatel o této skutečnosti vyrozumí správce národního bodu bez zbytečného odkladu pomocí elektronické aplikace spravované správcem národního bodu.
[4] Zápis z veřejné konzultace ke způsobu komunikace kvalifikovaného správce s národním bodem a k problematice akreditace dle zákona o elektronické identifikaci. In: Ministerstvo vnitra ČR [on-line]. Praha: Ministerstvo vnitra ČR, 2018, 7. března 2018 [cit. 2018-08-15]. Dostupné z: http://www.mvcr.cz/soubor/zapis-z-verejne-konzultace-vcetne-otazek-a-odpovedi.aspx
Komentáře
Přidat komentář