Úvod Aktuality Stanovisko prezidenta IT Asociácie Slovenska k otvorenému listu Open API

Stanovisko prezidenta IT Asociácie Slovenska k otvorenému listu Open API

222
ZDIEĽAŤ
Emil Fitoš. Foto: René Miko

otvorenému listu Slovensko.Digital, v ktorom občianske združenie žiada orgány verejnej moci o sprístupnenie Open API svojich informačných systémov, sa IT Asociácia Slovenska ako jeden zo signatárov nepripojila. Počas osobnej konzultácie s autorom listu Petrom Kulichom som komunikoval, že aktuálne znenie listu sa s naším postojom k tejto téme nestotožňuje. Súhlasím však s tým, že Open API môže v mnohých prípadoch priniesť veľmi pozitívne efekty a dali by sa riešiť pomerne svižne.

Jednou z mojich výhrad je zoznam krajín uvádzaných ako príklady, ktorý je podľa mňa nevhodný, a  zároveň slogan „štát ako platforma“ je bez ďalšieho kontextu problematický. Čo je však dôležité, list môže na časť zmieňovaných inštitúcií (Finančná správa, Sociálna poisťovňa, Štatistický úrad či zdravotné poisťovne) pôsobiť skôr demotivačne. Navodzuje totiž zdanie, že tieto subjekty nesprístupňujú svoje informačné systémy tretím stranám a neriešia zníženie byrokratickej záťaže podnikateľov pomocou nástrojov elektronickej komunikácie.

Ak by sme sa opreli o príklady z listu, nič napríklad nebráni širokému používaniu elektronických občianskych preukazov. Po úspešnom registračnom procese na ministerstve vnútra je možné získať oprávnenie pre vyčítanie osobných údajov z eID karty.

Povinnosť ministerstva vnútra overiť identitu klienta povinnej osoby podľa zákona 297/2008 spôsobom ako pri vykonaní autentifikácie podľa zákona č. 305/2013 o eGovernmente vzniká najneskôr od 1. marca 2019.

V závislosti od konkrétneho scenára je z technického pohľadu možné využiť dva spôsoby integrácie – prostredníctvom SAML rozhrania pre portálové služby, alebo web-servisové rozhranie pre špecifické prípady použitia. Komerčné subjekty by sa teda mali zaregistrovať ako poskytovateľ služieb priamo na ministerstve vnútra, a nie prostredníctvom ÚPVS. Dôvodom je, že v prípade registrácie priamo na ministerstve je ako poskytovateľ služby (t.z. ten, pre koho občan sprístupňuje svoje osobné údaje) uvádzaný skutočný komerčný subjekt požadujúci prístup k osobných údajom na čipe eID karty a jeho oprávnenia v podobe certifikátu pre prístup k údajov z eID karty sú spravované samostatne. V prípade registrácie cez ÚPVS nie je uvedený skutočný komerčný subjekt, ale agentúra NASES, čo možno považovať za porušenie zásad spracúvania osobných údajov podľa nariadenia GDPR.

Zároveň apelujeme na kompetentné orgány, aby odstránili stav právnej neistoty brániaci aplikovateľnosti eID karty v bankách, ktorý vznikol prijatím zákona č. 18/2018  o ochrane osobných údajov. Ten upravil aj zákon č. 483/2001 o bankách, konkrétne §93a o zisťovaní, preverení a kontrole identifikácie klientov a ich zástupcov na účely uzatvárania a vykonávania obchodov.

V §93a ods. 1 písm. a) sa za slová „druh a číslo dokladu totožnosti“ vkladajú slová „a fotografiu z dokladu totožnosti“. V údajovej štruktúre čipu eID karty nie je dátová skupina obsahujúca fotografiu z dokladu totožnosti. Pritom identifikácia podľa zákona č. 297/2008 v §7 takýto údaj nevyžaduje a súčasne v §8 ods. 1 písm. f) umožňuje pre identifikáciu a jej overenie použiť úradný autentifikátor, ktorého použitie na tento účel sa považuje za overenie za fyzickej prítomnosti. Banky musia postupovať v súlade so zákonom č. 483/2001 a súčasne aj zákonom č. 297/2008, preto by bolo vhodné upraviť znenie §93a tak, aby nebola fotografia vyžadovaná, ak sa identifikácia a jej overenie vykonáva prostredníctvom úradného autentifikátora podľa zákona 297/2008.

Zdá sa, že Finančná správa ponúka Open API riešenia právnickým a fyzickým osobám všade tam, kde jej to dáva zmysel. Pre informačné systémy colných deklarantov existuje otvorené rozhranie, ktoré presne napĺňa zámery a ciele otvoreného listu. Plne elektronická komunikácia medzi dvomi softvérovými riešeniami je podporená kombináciou autentifikačného certifikátu a kvalifikovaného elektronického podpisu.

Pri daňových podaniach existuje viacero možností, ako sa úplne vyhnúť papierovačkám. Jednou z nich je vytvorenie daňového výkazu a jeho upload do systému Finančnej správy. Inou možnosťou je integrácia rozhrania aplikácie eDane, prostredníctvom ktorej je možná priama elektronická komunikácia medzi účtovným systémom a Finančnou správou.

Finančná správa teda aj bez Open API umožňuje bezpapierové prepojenie IT systémov. Ak chceme mať istotu, že Open API je reálna priorita, mali by sme poznať aj stanovisko Slovenskej komory daňových poradcov a Slovenskej komory audítorov.

Čo sa týka Štatistického úradu, podľa mojich informácií sa táto inštitúcia intenzívne zaoberá budovaním rozhrania pre automatizované preberanie údajov z externých systémov. Netrúfam si vyhodnotiť, aký podiel výkazov je možné plne automatizovať a aký je podiel tých, kde ekonómovia vytvárajú ad hoc výstupy. Pre prvú množinu by plná automatizácia bola určite prínosom.

A v neposlednom rade, mesačné výkazy do Sociálnej poisťovne a zdravotných poisťovní zasielajú zamestnávatelia elektronicky už roky.

Elektronická komunikácia medzi systémami komerčných subjektov s verejnou správou dnes nie je žiadnou zvláštnosťou, niekedy však zahŕňa „manuálne“ kroky, ako už zmienený upload. Open API by takéto medzistupne mohlo odbúrať a sme presvedčení, že v architektúre slovenského eGovernmentu má svoje miesto aj ako priestor pre kreativitu a nové programátorské riešenia. Ak bude Open API skombinované s autentifikačnými a autorizačnými službami, môže priniesť významné zlepšenia v oblasti úradných podaní, ako aj v iných doménach.

Aj ITAS by chcel touto cestou vyzvať všetky štátne úrady a inštitúcie, aby sa zamysleli nad tým, kde môže platforma Open API predstavovať pre občanov pridanú hodnotu. Zároveň považujeme za dôležité po jej sprístupnení  v čo možno najkratšom možnom čase informovať o tomto kroku odbornú verejnosť a IT priemysel.

Emil Fitoš
prezident IT Asociácie Slovenska