Digitální a informační agentura spustila na začátku letošního roku mobilní aplikaci eDoklady. Ta nabízí možnost prokazovat se digitálním občanským průkazem, který přijímají státní úřady, policie a podle tiskové zprávy Digitální informační agentury také „několik stovek dalších dobrovolných ověřovatelů, včetně řady soukromníků“. Naostro se digitální prokazování má rozeběhnout od konce roku, kdy mají přibýt třeba volební komise nebo pošta.

Podle červnového průzkumu společnosti Eset se Češi a Češky staví k digitální náhradě za plastový občanský průkaz vesměs pozitivně, bezmála třetina má ale obavy z přílišného dohledu státu nad soukromím, což dává smysl: lidé se dnes občankou prokazují například při nákupu alkoholu, v kasinu nebo při registraci v hotelích.

Právě obavy o soukromí na tiskové konferenci minulý týden uklidňoval ministr pro místní rozvoj a pirátský předseda Ivan Bartoš. „Uvědomujeme si obavy veřejnosti ohledně ochrany dat a vysvětlováním toho, jak jsou tato data chráněna, pracujeme na tom, abychom obavy minimalizovali,“ prohlásil Bartoš, který jako vicepremiér pro digitalizaci za vznikem elektronických dokladů stojí.

Na Bartoše navázal ředitel odboru služeb eGovernmentu digitální agentury Ondřej Menoušek, podle kterého aplikace eDoklady „neshromažďuje data uživatelů, ani o užívání aplikace“. Dále doplnil, že „historie ověřování může být sledována pouze ze strany ověřovaného občana“.

Neměla by hlásit. Ale hlásí

Aplikace je opravdu navržená tak, aby bylo možné totožnost ověřovat i bez předávání informací na státní servery. Jak popisuje dokument na webu eDokladů, uživatel si v aplikaci vygeneruje QR kód. Ten ukáže člověku, kterému se prokazuje. Druhý uživatel pak kód načte svou mobilní aplikací, oba telefony se propojí napřímo přes bluetooth a vymění si informace nutné k ověření jména nebo třeba toho, že zájemci o nákup alkoholu už bylo 18 let.

Jenže mobilní aplikace, aniž by na to uživatele upozornila, každou transakci podrobně hlásí na servery, které si stát pronajímá v nizozemském datacentru Azure od společnosti Microsoft. Součástí takových hlášení jsou nejen jména uživatelů aplikace, ale zároveň i jednorázové kódy, kterými se telefony propojují.

Server iROZHLAS.cz a Radiožurnál to zjistily analýzou dat, které při svém provozu aktuální verze aplikace eDoklady pro iOS odesílá.

Data odesílaná do zahraničí tak obsahují podrobný záznam toho, kdy se kdo snažil elektronickým občanským průkazem prokázat a kdo si jeho totožnost ověřoval. Jde tak o informace potenciálně citlivé, ukazují například návštěvy úřadu práce nebo kontroly policií. A problematických situací by mohlo v budoucnu přibývat právě proto, že elektronické občanské průkazy začnou přijímat i další instituce nebo soukromé společnosti.

Že k odesílání dat opravdu dochází a že nejde o chybu, potvrdil serveru iROZHLAS.cz a Radiožurnálu tiskový mluvčí Digitální a informační agentury Jakub Palata, podle kterého „pokud dojde k odeslání více informací obsahující osobní nebo jiné citlivé údaje, je na straně Sentry (programátorský nástroj určený ke sběru provozních informací – pozn. red.) tento problém vyřešen ořezáváním a filtrováním citlivých dat a konkrétní údaje jsou tak nečitelné.“

V uložených záznamech by tak podle mluvčího neměla být zachycená ani jména, ani jednorázové kódy určené pro propojování telefonů při pokusu o ověření. „Data v Sentry jsou určená pouze pro detekci problémů v rámci chodu aplikace, a nikoli ke sledování uživatelů,“ doplnil Palata.

Sledování omezíme

Zachycené informace se uchovávají 60 dní, k zaznamenávání informací pak v různém rozsahu probíhalo od spuštění aplikace na začátku letošního roku. Přístup k nim podle Palaty mají „příslušné osoby provozovatele a dodavatele aplikace, které zastávají roli administrátorů a vývojářů systému“, sama digitální agentura nikoli.

Jak ale mluvčí přiznává, rozsah zachycovaných informací je nyní větší, než programátoři ke kontrole fungování aplikace potřebují. „Proto ředitel Digitální a informační agentury nyní rozhodl, že logování již v nové verzi aplikace (nyní probíhá její testování) v tomto rozsahu nebude,“ podotkl Palata.

A ač tedy rozsáhlý sběr údajů dříve nebyl podle mluvčího sám o sobě chybou, to, že k němu dochází dnes, už chybou je. V nové verzi tak „90 procent detailu událostí již vůbec nebude posílat a i nadále bude platit naprostá anonymizace všech údajů“.

Podle mluvčího pak agentura prověřuje umístění serveru pro příjem dat v Nizozemsku. Podmínky zpracování osobních údajů totiž uvádí, že aplikace nepředává identifikující informace do zahraničí. Že by se to dít nemělo, potvrzuje advokát zaměřený na technologie Josef Bátrla. „Pokud se správce rozhodne o něčem informovat, musí taková informace být pravdivá. V opačném případě selhává při plnění zásady transparentnosti,“ vysvětlil.

Sběr informací o historii prokazování odmítá i vicepremiér pro digitalizaci Ivan Bartoš, pod kterého příprava elektronických dokladů spadá. „Aplikace nemá nikam žádná data o používání odesílat. Celý princip eDokladů má být postavený na tom, že při jejich běžném používání nemá vznikat žádná digitální stopa o tom, kdy a kde uživatel eDoklady použil,“ napsal serveru iROZHLAS.cz a Radiožurnálu.

A že může být zaznamenávání toho, kde se kdo legitimuje, rizikové, potvrzuje i posouzení vlivu na ochranu osobních údajů, které bylo součástí novely zákona, kterou se eDoklady do českého práva zavedly.

Nejde přitom o první případ, kdy nástroje veřejné správy odesílaly v rámci logování citlivé informace. V minulosti takto ministerstvo práce pod vedením lidoveckého předsedy Mariana Jurečky zasílalo do zahraničí adresy žadatelů o sociální dávky, šlo opět o nevhodně nastavený nástroj Sentry. Špatně navržená aplikace pro registraci na očkování proti covid-19 zase neplánovaně odesílala rodná čísla pacientů.

Server iROZHLAS.cz se pak v minulosti věnoval i tomu, jaké informace o občanech stát předává reklamním společnostem, když na své stránky umisťuje nástroje pro zobrazování a cílení reklamy.