„Nemá vznikat žádná digitální stopa o tom, kdy a kde uživatel eDoklady použil.“ Tak by podle pirátského předsedy a vicepremiéra pro digitalizaci Ivana Bartoše mělo fungovat prokazování elektronickým občanským průkazem.

Bartoš to napsal v reakci na zjištění serveru iROZHLAS.cz, že státní aplikace eDoklady odesílá do zahraniční informace, které zpětně umožňují zjistit, kdo a kdy se elektronickým občanským průkazem prokazoval.

Digitální a informační agentura (DIA) následně chybu potvrdila a aplikaci v rámci aktualizace upravila. „Provádíme mimořádný audit zabezpečení aplikace, který má potvrdit jak omezení odesílaných dat, tak i zkontrolovat samotný kód aplikace, který poté plánujeme zveřejnit,“ uvedla pak agentura na sociální síti X.

Server iROZHLAS.cz tedy znovu analyzoval, zda aktualizovaná verze odesílá informace o uživatelích a v jakém rozsahu.

Vydali jsme aktualizaci eDokladů. 👨🏻‍💻

Verze 1.5.0., kromě drobných úprav UX, přináší opravy odesílání diagnostických dat. Aplikace odesílala data za účelem detekce a odstraňování chyb, ale nesprávně odesílala i podrobnější informace. Ty byly před zpracováním anonymizovány, jejich… pic.twitter.com/fgNcVwGDli

— Digitální a informační agentura – DIA (@agentura_dia) July 30, 2024

Ze zachycené komunikace plyne, že aplikace stále používá ke sběru informací o svém chodu nástroj Sentry, přičemž fyzicky se server určený ke sběru informací nachází v datacentru společnosti Microsoft v Nizozemsku. Přitom zásady zpracování osobních údajů na webu digitální agentury stále výslovně uvádí, že v případě logování aktivit v ekosystému aplikace eDoklady nedochází k předávání informací do zahraničí.

Sledovat fungování musíme

Že k odesílání informací i nadále dochází, potvrdil serveru iROZHLAS.cz Jakub Palata, který se stará o komunikaci digitální agentury s médii. Sice zdůraznil, že „aplikace eDoklady byla navrhována s maximálním důrazem na soukromí“, nicméně vzápětí dodal, že mobilní aplikace i servery, které se starají o její chod, spadají pod zákon o kybernetické bezpečnosti.

„Podle vyhlášky k uvedenému zákonu je DIA povinná logování zajistit. Mezi povinně pořizované logy patří rovněž provozní a bezpečnostní události,“ doplnil Palata. Právě proto agentura zatím neplánuje, že by mohli uživatelé aplikace odesílání diagnostických informací úplně vypnout, ač se ho i v budoucnu bude snažit minimalizovat.

Podle analýzy komunikace provedené serverem iROZHLAS.cz množství odesílaných informací pokleslo a už neodchází jméno uživatele či identifikační kód používaný k propojení mezi aplikacemi ověřované a ověřující osoby. eDoklady ale stále hlásí technické podrobnosti o telefonu uživatele, stejně jako čas, kdy se osoba pokusila prokázat totožnost či kdy aplikaci otevřela.

Spárování toho, kdo se kde ověřoval, tak ani nadále není úplně vyloučené, právě porovnáním logů z jednotlivých zařízení v čase. Jak ale digitální agentura uvedla dříve, k žádným takovým operacím se záznamy z aplikace docházet nemá a zaznamené informace by se měly po 60 dnech mazat.

Úplně offline to nepůjde

Uživatelé se mohou pokusit odesílání dat omezit alespoň tak, že aplikaci odepřou přístup k internetu. Nicméně mohou tak učinit jen na 48 hodin, pak jim stažený doklad přestane platit. „Pokud nelze provést online ověření, digitální stejnopis je považován za důvěryhodný pouze po dobu 48 hodin od jeho posledního vystavení. Po této době je nutné znovu se připojit online pro aktualizaci a ověření,“ doplnil Palata s odkazem na znění zákona.

Zástupce agentury dále zopakoval, že eDoklady jsou navržené „s maximální ochranou soukromí“ a nemá vznikat žádná centrální databáze s informací o tom, kdo se kde prokazoval. „Stopa v čase v důsledku aktualizace certifikátů, kontroly platnosti dokladů a podobně bude existovat, ovšem po definovanou omezenou dobu,“ dodal.

Méně soukromých informací

eDoklady pak mají přinést oproti běžnému plastovému dokladu jiné výhody s ohledem na soukromí: při ověření totožnosti si je možné vyžádat pouze ty informace, které jsou v danou chvíli potřebné. „V baru nemusí uživatel sdílet všechny své osobní údaje, ale pouze ty nezbytné, například potvrzení plnoletosti a fotografii,“ vysvětlil Palata.

Obdobně by mělo být možné odmítnout ukázat informace o pohlaví nebo rodné číslo při přebírání doporučeného dopisu na poště, což dnes působí problémy trans lidem.

Při oznámení o opravách digitální agentura rovněž uvedla, že provede audit celé mobilní aplikace a její zdrojový kód následně zveřejní. Zájemci z řad veřejnosti se tak budou moci podívat, jaké operace aplikace při svém fungování provádí.

To ovšem neznamená, že si kdokoli bude moci aplikaci upravit, například aby vůbec neodesílala provozní informace. „Lze předpokládat, že kód bude uvolněn pouze ke kontrole za definovaných podmínek, ale ne k dalšímu využití,“ napsal k tomu Palata a zdůraznil, že vlastní aplikace určené k prokazování je možné provozovat jen v souladu se zákonem, zájemci musí projít akreditací a plnit další náležitosti.