Investigativní analýza evropského nařízení eIDAS 2.0 a jeho dopadu na Českou republiku

V říjnu 2025 zkolabovala česká aplikace eDoklady uprostřed parlamentních voleb. Předsedkyně Sněmovny Markéta Pekarová Adamová se nemohla digitálně identifikovat a ministerstvo vnitra vyzývalo občany, aby si přinesli plastové průkazy1. Ředitel Digitální a informační agentury Martin Mesršmíd podal demisi2. Šlo o ostudný výpadek — ale také o varovný signál. Tatáž instituce, která nezvládla ověřit totožnost voličů, má do konce roku 2026 spustit Evropskou peněženku digitální identity (EUDI Wallet) — systém, jenž bude uchovávat občanské průkazy, řidičáky, diplomy, zdravotní záznamy a daňové údaje 450 milionů Evropanů3.

Nařízení EU 2024/1183, známé jako eIDAS 2.0, vstoupilo v platnost 20. května 20244. Každý členský stát musí svým občanům nabídnout digitální peněženku do prosince 2026. Do prosince 2027 ji budou muset přijímat banky, telekomunikační operátoři a velké internetové platformy s více než 45 miliony měsíčních uživatelů5. Globální trh s digitální identitou má do roku 2030 dosáhnout 80 miliard dolarů6.

Nařízení slibuje ochranu soukromí „by design" a kontrolu uživatele nad vlastními daty. Jenže implementační technické specifikace systematicky oslabují nebo zcela vynechávají záruky, které obsahuje zákonný text. Organizace epicenter.works, jediná neziskovka, jež na eIDAS kontinuálně pracuje od jeho vzniku, označuje tento rozpor za „největší ostudu celé reformy" — v prováděcích aktech totiž chybí jakýkoli závazný požadavek na nesledovatelnost uživatelů7.

Česká republika se v tom všem ocitá ve zvláštní pozici. Země, jejíž pirátský ministr během českého předsednictví v Radě EU odstranil z nařízení klíčové pojistky chránící soukromí8. Země, jejíž nejstahovanější identitní aplikace zkolabovala ve volební den1. Země, jejíž policie provozuje databázi dvaceti milionů fotografií z občanských průkazů9 a šest měsíců nelegálně používala rozpoznávání obličejů na pražském letišti10. A současně země, kde bankovní identita slouží pěti milionům lidí11 a kde neziskové organizace vyhrávají precedentní soudní spory proti plošnému sledování12.

Tato investigace mapuje, jak největší evropský projekt digitální infrastruktury naráží na českou realitu — a proč by měl zajímat každého, kdo vlastní občanský průkaz.

I. Zákon, který vznikal za zavřenými dveřmi

Původní nařízení eIDAS z roku 2014 zavedlo rámec pro elektronickou identifikaci, ale zaznamenalo mizivý úspěch — jen 14 z 27 členských států implementovalo kompatibilní schémata13. Impulz k revizi přišel během pandemie. Závěry Evropské rady z října 2020 vyzvaly k „celoevropskému rámci bezpečné elektronické identifikace"14. Předsedkyně Komise Ursula von der Leyenová téma představila jako otázku suverenity: pokaždé, když nás web nebo aplikace požádá o vytvoření nové digitální identity, nemáme tušení, co se děje s našimi daty15.

Návrh Komise předložila 3. června 202116. Legislativní cesta trvala přes tři roky a procházela pěti předsednictvími Rady. České předsednictví pod vedením místopředsedy vlády Ivana Bartoše dosáhlo 6. prosince 2022 obecného přístupu Rady17. Švédské předsednictví zahájilo trialogy v březnu 2023, ale konstatovalo, že Parlament a Rada jsou „daleko od sebe" v otázce soukromí18. Politickou dohodu uzavřelo až Španělsko po devatenácti technických jednáních — finální trialog proběhl 8. listopadu 202319.

Evropský parlament podal 1 010 pozměňovacích návrhů20. Při závěrečném hlasování 29. února 2024 hlasovalo proti neobvykle vysokých 190 europoslanců — více než třetina přítomných20. Nařízení bylo publikováno v Úředním věstníku EU 30. dubna 20244.

Co veřejné záznamy neukazují, je rozsah rozhodnutí přijatých za zavřenými dveřmi trialogových jednání. Thomas Lohninger z organizace epicenter.works upozornil, že Referenční architektura (ARF), která překládá zákon do technické reality, byla vytvořena s průmyslovým vlivem, ale „nemůže být dál od demokraticky dohodnutého legislativního textu"7.

II. Jak peněženka funguje — a kde soukromí selhává

EUDI Wallet je primárně mobilní aplikace s kryptografickým hardwarovým zabezpečením21. Uchovává osobní identifikační údaje (PID) a kvalifikované elektronické atestace atributů (QEAA) — kryptograficky podepsané dokumenty pokrývající řidičské průkazy, lékařské předpisy, vysokoškolské diplomy i daňové záznamy22. Data jsou uložena lokálně v zařízení uživatele.

Povinná datová sada PID zahrnuje jméno, datum narození, věkový příznak „starší 18 let" a unikátní identifikátor přidělený vydávajícím členským státem23. Peněženka komunikuje s ověřujícími stranami přes protokoly OpenID4VP a OpenID4VCI21.

Architektura soukromí stojí na třech pilířích: selektivní sdílení údajů, nesledovatelnost transakcí a nemožnost pozorování ze strany poskytovatele peněženky. Všechny tři jsou v současné technické implementaci narušeny24.

Španělský úřad pro ochranu osobních údajů (AEPD) zdokumentoval, jak pomocné informace v elektronických atestacích — kryptografické soli, hashe, hodnoty podpisů — obsahují globálně unikátní údaje zneužitelné jako osobní identifikátory25. Protože formáty SD-JWT i ISO mdoc používají digitální podpisy, tentýž kryptografický podpis lze rozpoznat napříč různými prezentacemi, čímž je znemožněna takzvaná multi-show nesledovatelnost25.

Řešením, které požadovali obhájci soukromí, jsou důkazy nulové znalosti (ZKP) — kryptografické metody umožňující prokázat tvrzení (například „je mi více než 18 let"), aniž by se odhalila jakákoli podkladová data. Nařízení zmiňuje ZKP pouze v nezávazném recitálu, nikoli v závazných článcích7. Organizace epicenter.works to komentovala stručně: „Zero-knowledge je od členských států vyžadováno jen v recitálu, takže nemusí být dostupné ve všech zemích."7

Kryptografka Anja Lehmannová z Hasso-Plattner-Institutu na kongresu Chaos Communication Congress v prosinci 2024 konstatovala, že Referenční architektura potřebuje „rozsáhlejší redesign" a navrhla anonymní přihlašovací údaje založené na schématu BBS+26. Profesor Jaap-Henk Hoepman z Univerzity v Karlstadu na Národní konferenci o soukromí v roce 2025 prohlásil: „Implementace digitálních podpisů v současném standardu eIDAS 2.0 znamená, že uživatele lze stále sledovat napříč různými službami."27

III. Článek 45 a bitva o bezpečnost prohlížečů

Veřejně nejkontroverznějším ustanovením byl článek 45, který vyžaduje, aby webové prohlížeče uznávaly kvalifikované certifikáty pro autentizaci webových stránek (QWAC), vydávané vládou určenými poskytovateli důvěryhodných služeb28. Hrozba je přímočará: kořenový certifikát dává svému držiteli schopnost vydávat certifikáty pro jakoukoli doménu. Pokud vládou kontrolovaná certifikační autorita vydá podvodný certifikát pro gmail.com, může vláda zachytávat veškerou komunikaci mezi uživateli a Gmailem — klasický útok typu man-in-the-middle29.

Odpor dosáhl bezprecedentního rozsahu. Otevřený dopis publikovaný 1. listopadu 2023 na stránce last-chance-for-eidas.org podepsalo 504 vědců a výzkumníků z 39 zemí, kteří varovali, že návrh „radikálně rozšiřuje schopnost vlád sledovat vlastní občany i rezidenty v celé EU"30. Následující den vydaly Mozilla, Cloudflare, Let's Encrypt, Linux Foundation a OpenSSF společné prohlášení, v němž označily články 45 a 45a za ustanovení, jež „pravděpodobně oslabí bezpečnost internetu jako celku"31.

Electronic Frontier Foundation publikovala analýzu s provokativním titulkem „Článek 45 vrátí bezpečnost webu o 12 let zpět"32. Bezpečnostní výzkumník Scott Helme upozornil i na finanční motiv: síť European Signature Dialog, sdružující poskytovatele důvěryhodných služeb účtujících 700 až 1 400 eur za jeden QWAC certifikát, agresivně lobovala za zachování článku 45.233.

Finální nařízení přidalo článek 45a, který prohlížečům umožňuje přijmout „preventivní opatření" proti certifikátům s „podloženými obavami z bezpečnostních porušení"34. Když byl prováděcí akt k QWAC přijat 17. prosince 2025, kampaň Mozilly SecurityRiskAhead ho označila za „velké vítězství pro bezpečnost internetu"35. Zda toto vítězství obstojí v praxi, se teprve ukáže.

IV. Bartošův paradox: pirát, který osekl ochranu soukromí

Nejzásadnější český příspěvek k eIDAS 2.0 se odehrál nikoli na úrovni implementace, nýbrž legislativy — a byl hluboce ironický.

Během českého předsednictví v Radě EU (červenec–prosinec 2022) předsedal jednáním místopředseda vlády Ivan Bartoš, předseda České pirátské strany a předseda Rady pro telekomunikace36. Pod jeho vedením vznikl pátý kompromisní text, který Rada přijala 6. prosince 202217.

Podle podrobné analýzy organizace epicenter.works z 24. října 2022 český text odstranil záruky soukromí, které do nařízení vložily jak Evropský parlament, tak předcházející francouzské předsednictví8. Konkrétně český návrh umožnil sledování uživatelů prostřednictvím trvalých identifikátorů a zachoval možnost centralizovaného pozorování všech transakcí peněženky členskými státy8.

Thomas Lohninger, výkonný ředitel epicenter.works a místopředseda sítě European Digital Rights, vydal tvrdé hodnocení: „Parlament opravdu posílil záruky, které přidal, a dokonce i v Radě to po dlouhou dobu vypadalo velmi dobře. To bylo během francouzského předsednictví na začátku roku 2022. Ale pak převzala česká vláda a ministr Ivan Bartoš byl zodpovědný za nařízení eIDAS. A já stále nechápu, co ho k tomu vedlo, ale odstranil všechny bezpečnostní záruky."37 Lohninger dále uvedl, že Bartoš „se mnohokrát setkal s firmami jako Google a dalšími, zatímco se nikdy nesetkal se zástupci občanské společnosti, a to navzdory jejich opakovaným žádostem"37.

Paradox sahá hlouběji. Zatímco Bartoš oslaboval záruky v Radě, český pirátský europoslanec Mikuláš Peksa — stínový zpravodaj výboru ITRE za frakci Zelených/EFA — bojoval o jejich obnovení v Evropském parlamentu38. Peksa a německý pirátský europoslanec Patrick Breyer dosáhli dílčích vítězství: členské státy nebudou povinny přidělovat občanům jediné unikátní identifikační číslo, peněženka zůstane dobrovolná a klientská aplikace bude open-source39. Přesto oba při závěrečném hlasování 29. února 2024 hlasovali proti39. Evropská pirátská strana prohlásila, že „piráti Mikuláš Peksa a Patrick Breyer pracovali do poslední minuty, aby se pokusili opravit alespoň některá z četných rizik"39.

Bartoš byl odvolán 30. září 2024 — nikoli kvůli eIDAS, ale kvůli zpackané digitalizaci stavebního řízení40. Piráti poté opustili koalici premiéra Fialy a v červnových eurovolbách 2024 ztratili všechna křesla v Evropském parlamentu41. V současném Parlamentu (2024–2029) tedy nesedí žádný český pirátský europoslanec.

Lobbistické záznamy z období českého předsednictví zůstávají neviditelné — předsednický stát Rady není povinen je zveřejňovat42.

V. Aplikace, která zkolabovala v den voleb

Aplikace eDoklady, spuštěná 20. ledna 2024, měla být vlajkovou lodí české digitální identity43. Vyvinula ji firma OR-CZ a spravuje ji Digitální a informační agentura (DIA). Aplikace umožňuje nést digitální kopii občanského průkazu ve smartphonu, používá ověřování přes Bluetooth a lze ji vzdáleně deaktivovat prostřednictvím Portálu občana44.

Do konce roku 2024 zaznamenala 577 363 stažení45. Přijetí probíhalo ve fázích: ústřední orgány od ledna 2024, policie od dubna 2024, banky, pošty a obce od ledna 202546. Do podzimu 2024 se registrovalo 3 518 orgánů veřejné moci jako ověřovatelé eDokladů44.

Záhy se však objevil problém se soukromím — aplikace shromažďovala a odesílala na centrální server více osobních údajů, než bylo nutné, včetně informací o pohybu uživatelů. DIA musela aplikaci opravit a vyžadovat novou registraci všech uživatelů47.

Rozhodující selhání přišlo během říjnových parlamentních voleb 2025, prvních celostátních voleb, kde byly eDoklady autorizovány k identifikaci voličů. Systém obdržel přibližně 1,5 milionu požadavků — o padesát až sedmdesát procent více, než se očekávalo — a zkolaboval1. Ministerstvo vnitra vydalo nouzové doporučení nosit plastové doklady1. Ředitel DIA Martin Mesršmíd nabídl rezignaci, kterou přijal místopředseda vlády Marian Jurečka2.

Tato epizoda jasně ukázala, že česká digitální identitní infrastruktura ještě není dostatečně robustní pro aplikace s vysokými nároky na spolehlivost.

VI. Tři ředitelé, rozpouštěná agentura a závod o peněženku

Digitální a informační agentura, zřízená zákonem č. 471/2022 Sb. a funkční od 1. dubna 2023, je ústředním orgánem pro implementaci eIDAS 2.0 v Česku48. Převzala agendu zaniklé Správy základních registrů a nyní spravuje čtyři základní registry, CzechPOINT, Portál občana, datové schránky a elektronickou identifikaci48. Její přírůstkový roční rozpočet byl odhadnut na 151 milionů korun, s celkovými ročními náklady 260 až 300 milionů korun49.

DIA trpí mimořádnou personální nestabilitou. Zakládající ředitel Martin Mesršmíd rezignoval v říjnu 2025 po volebním kolapsu2. Zástupce ředitele Petr Kuchař převzal dočasné vedení, ale byl odvolán nástupem Babišovy vlády koncem roku 202550. Třetím ředitelem se v březnu 2026 stal Bohdan Urban, předtím vedoucí oddělení ICT provozu DIA50. Vládní zmocněnec pro digitalizaci Robert Králíček (ANO) mezitím veřejně oznámil, že plánuje DIA zcela zrušit s tím, že se ušetří „minimálně desítky miliard korun"50.

Harmonogram české EUDI peněženky tuto turbulenci odráží. Dne 26. března 2025 vláda schválila koncesní model pro vývoj klientské části peněženky a DIA zahájila soutěžní dialog51. Koncese zahrnuje mobilní aplikace pro Android a iOS, centrální správcovský systém, onboarding uživatelů a certifikaci kybernetické bezpečnosti. Zdrojový kód klientské aplikace musí být zveřejněn pod open-source licencí, jak vyžaduje nařízení51. Koncesionář bude moci účtovat poplatky ověřujícím stranám ze soukromého sektoru — model kopírující dnešní fungování BankID51.

Mluvčí DIA Jan Hainz sdělil serveru Biometric Update v únoru 2026, že všechny projektové prvky jsou „buď ve fázi implementace, nebo v pokročilé fázi veřejného výběrového řízení" s cílem spustit celý ekosystém do konce roku 202652. Připustil však, že pokud dojde ke zpožděním v zakázkách, „ekosystém bude dočasně spuštěn ve zkušebním provozu — bez veřejného přístupu", čímž se plné nasazení posune do prvního čtvrtletí 202752.

Hodnocení společnosti Signicat z prosince 2025 zařadilo Česko do kategorie 4 z 5 — „pravděpodobně nebude připraveno včas"53.

VII. Policejní biometrický stroj postavený z občanských průkazů

Kauza rozpoznávání obličejů na pražském letišti ukazuje, jak česká identitní infrastruktura již dnes umožňuje sledování.

Česká policie nasadila kamerový systém s rozpoznáváním obličejů na letišti Václava Havla v roce 2018. Bylo instalováno 111 kamer v tranzitní zóně, s technologií dodanou mimo jiné společností AUROTON COMPUTER. Širší bezpečnostní projekt stál 123,7 milionu korun z rozpočtu ministerstva vnitra54. Plány počítaly s rozšířením do veřejných prostor a na letiště v Brně, Karlových Varech, Ostravě a Pardubicích za celkovou investici 483,57 milionu korun54.

Česká nezisková organizace Iuridicum Remedium (IuRe) podala v roce 2021 stížnost k Úřadu pro ochranu osobních údajů (ÚOOÚ), v níž argumentovala, že systém postrádá výslovný právní základ10. Šetření ÚOOÚ trvalo téměř čtyři roky, ale nakonec potvrdilo porušení zákona o ochraně osobních údajů, jak IuRe zjistilo na základě zákona o svobodném přístupu k informacím v létě 202510. Systém přitom pokračoval v provozu i poté, co 2. února 2025 vstoupila v platnost ustanovení AI Actu o biometrickém sledování — běžel nelegálně celých šest měsíců, než ho policie 1. srpna 2025 deaktivovala10.

Závažnější je však samostatný Informační systém Digitální podoba osoby (IS DPO), odhalený organizací IuRe v červenci 20239. Tento policejní systém, provozovaný od 22. srpna 2022, obsahuje přibližně dvacet milionů fotografií extrahovaných z občanských průkazů a cestovních pasů9. Ke každé fotografii je přiřazeno jméno, adresa a datum narození držitele. Policie může nahrát jakoukoli fotografii — z místa činu, ze sociálních sítí nebo z politické demonstrace — a zpětně identifikovat jednotlivce oproti této databázi9.

Kampaň IuRe „Česko není Čína" výslovně upozorňuje na paralely s autoritářskými sledovacími státy55. Bývalý primátor Prahy Zdeněk Hřib (Piráti) se veřejně postavil proti městskému rozpoznávání obličejů56.

Spojení s eIDAS je strukturální: EUDI peněženka bude používat tytéž základní identitní databáze — občanské průkazy a cestovní pasy — které již dnes zásobují IS DPO. Organizace EDRi a osm partnerských neziskových organizací varovaly v březnu 2026, že prováděcí akty Evropské komise k eIDAS 2.0 oslabují záruky nesledovatelnosti peněženky, zavádějí povinné zpracování biometrických údajů obličeje a činí nadměrnou identifikaci výchozím nastavením57.

VIII. Duch StB a nápadně mlčící úřad na ochranu dat

Vztah České republiky ke státnímu sledování je jedinečně zatížený. Státní bezpečnost (StB) udržovala přibližně 800 000 záznamů v centrálních operativních kartotékách a řídila rozsáhlou síť informátorů58. V roce 2003 ministerstvo vnitra zveřejnilo seznam 75 000 agentů a spolupracovníků StB58. Lustrační zákon z roku 1991 vyvolal přes 300 000 prověřovacích řízení58. Akademický výzkum publikovaný v odborném časopise Taylor & Francis zjistil, že v postkomunistických společnostech hrají obavy o soukromí „ještě výraznější roli při hodnocení tajného sledování než důvěra v instituce"59.

Na tomto pozadí je Úřad pro ochranu osobních údajů (ÚOOÚ) k eIDAS 2.0 nápadně zticha. V rámci této investigace nebylo nalezeno žádné formální stanovisko, metodický pokyn ani veřejné prohlášení ÚOOÚ, které by se specificky zabývalo důsledky EUDI peněženky pro soukromí — a to navzdory skutečnosti, že jak Evropský sbor pro ochranu osobních údajů, tak evropský inspektor ochrany údajů vyjádřili k nařízení podstatné výhrady60. Donucovací kapacita ÚOOÚ je navíc strukturálně omezena: podle § 62 odst. 5 zákona č. 110/2019 Sb. nemůže ukládat pokuty orgánům veřejné moci za porušení ochrany dat61. Od roku 2018 do roku 2024 činily celkové pokuty ÚOOÚ pouze přibližně 16 milionů eur61.

Ředitel IuRe Jan Vobořil formuloval širší rámec v Deníku Referendum 12. prosince 2022: „Potřebujeme formulovat právo nebýt digitalizován — právo na analog. Efektivně ho nemáme zakotveno v právním řádu."62

Česká Listina základních práv a svobod přitom poskytuje robustní textové záruky. Článek 10 garantuje ochranu před neoprávněným shromažďováním, zveřejňováním a zneužíváním osobních údajů63. Článek 13 chrání tajemství listovní a jiné korespondence63. Ústavní soud v nálezu III. ÚS 35/01 stanovil, že právo na soukromí zahrnuje „záruku sebeurčení ve smyslu rozhodování jednotlivce" o tom, jak jsou jeho osobní informace zpřístupňovány64. V samostatném případě data retention Ústavní soud v roce 2011 zrušil ustanovení zákona o elektronických komunikacích s tím, že „nejednoznačně definovaná pravidla uchovávání dat vedou k nadměrnému uplatňování opatření"65. V roce 2025 pak Městský soud v Praze rozhodl, že plošný sběr telekomunikačních metadat českými operátory je nezákonný podle práva EU12.

IX. Pět milionů uživatelů BankID a soutěž o monopolní koncesi

Nejúspěšnějším prvkem českého identitního ekosystému je Bankovní identita (BankID), společný podnik založený 15. září 2020 Českou spořitelnou, ČSOB a Komerční bankou66. Služba dosáhla pěti milionů uživatelů v srpnu 2025, což představuje 75 procent ekonomicky aktivních Čechů11. V prosinci 2025 spustila prostřednictvím ČSOB Hypoteční banky službu kvalifikovaného elektronického podpisu Bank iD QSIGN, díky níž byla realizována první plně digitální hypotéka v české historii67.

BankID však dosahuje pouze „značné" úrovně záruky podle eIDAS, nikoli „vysoké", a nebyla notifikována Evropské komisi jako schéma elektronické identifikace — což znamená, že ji nelze použít přeshraničně68. Elektronický občanský průkaz (eObčanka), vydávaný všem občanům od 1. července 2018, poskytuje „vysokou" úroveň záruky, ale vyžaduje kontaktní čtečku čipových karet, což omezuje jeho adopci69. Do prosince 2022 bylo zaznamenáno pouze 2,13 milionu unikátních přihlášení přes elektronickou identifikaci, a to navzdory více než jedenácti milionům vydaných elektronických identifikačních prostředků69.

Zakázka na EUDI peněženku odhaluje tržní strukturu. Soutěžní dialog DIA, vedený pod NDA, se účastnilo osm dodavatelů: O2, Procivis, CGI, Bankovní identita, NAKIT, Zetes, CZ.NIC a Monet+70. Pětiletá monopolní koncese je oceněna na maximálně 328 milionů korun ročně70. Uchazeči musejí prokázat minimální roční obrat 250 milionů korun — což fakticky vylučuje menší specializované kryptografické firmy70. Investigativní novinářka Cecílie Jílková z pořadu Reportéři on-line porovnala tento model nepříznivě se švédským otevřeným certifikačním modelem a německou otevřenou soutěží s jedenácti týmy70.

České subjekty jsou hluboce zapojeny do pilotních programů EU. ARICOMA Digital, součást největší české IT skupiny (KKCG Group), působí jako český koordinátor konsorcia POTENTIAL a poskytla český prototyp peněženky71. CZ.NIC a Gen Digital (dříve Avast) se účastní konsorcia EWC72. Česká účast zasahuje i do konsorcia DC4EU pro vzdělávací a sociální doklady73. Nástupnický pilot APTITUDE, spuštěný v říjnu 2025, pokračuje v českém zapojení prostřednictvím společností ARICOMA, Bankovní identita a DIA74.

X. Datové schránky, eObčanka a chybějící strategie digitální suverenity

Česko disponuje rozsáhlou digitální infrastrukturou, která je zároveň předností i komplikací. Systém datových schránek, provozovaný od 1. července 2009, narostl na 4,46 milionu schránek obsluhujících téměř pět milionů uživatelů, s 1,5 miliardy doručených zpráv za patnáct let75. Povinné rozšíření v lednu 2023 vytvořilo za tři měsíce přes dva miliony nových schránek pro osoby samostatně výdělečně činné76. Architektura přihlašování datových schránek je však založena na rolích, nikoli na identitě, což vytváří problémy s kompatibilitou s novým systémem77.

Národní bod pro identifikaci a autentizaci (NIA), provozovaný od 1. července 2018, propojuje sedm různých identifikačních prostředků: eObčanku, NIA ID, mobilní klíč eGovernmentu, BankID, MojeID (provozovaný CZ.NIC), čipovou kartu STARCOS a mezinárodní identitní bránu pro zahraniční občany EU78. Český uzel eIDAS CZ.PEPS byl spuštěn v září 2018 a umožňuje přeshraniční autentizaci79. S příchodem EUDIW se eObčanka bude podle vyjádření náměstka ředitele DIA Petra Kuchaře „postupně vyřazovat", přičemž oba systémy budou koexistovat přibližně jeden rok80.

Nejkritičtější akademickou perspektivu přinesla studie Jakuba Eberleho a kolegů, publikovaná v odborném časopise Taylor & Francis v srpnu 2025, pod názvem „Ředění digitální suverenity: tichá selektivní adaptace Česka na digitální politiku EU"81. Studie zjistila, že „v klíčových obecných programových dokumentech" Babišovy ani Fialovy vlády „neexistují žádné odkazy na digitální suverenitu" — přestože slovo „digitální" se ve Fialově programovém prohlášení vyskytuje více než šedesátkrát81. Koncept, který pohání celý evropský projekt digitální identity, nemá odpovídající českou strategickou vizi.

XI. Srovnání se sousedy: západ–východní gradient připravenosti

Hodnocení společnosti Signicat z prosince 2025 odhaluje výrazný gradient mezi českými sousedy53.

Rakousko a Německo patří do kategorie 1 („velmi pravděpodobně se to stane"): Rakousko provozuje dva produkční systémy — ID Austria s třemi miliony uživatelů a eAusweise s více než 2,3 milionu stažení, včetně jediného funkčního mobilního řidičského průkazu v EU postaveného na standardu ISO 18013-582. Německo je označováno za „absolutního průkopníka" s otevřenou soutěží SPRIND Funke, publikovanými blueprinty a open-source kódem53.

Polsko stojí v kategorii 2 s aplikací mObywatel, jež přesahuje deset milionů uživatelů — více než šestnáctkrát tolik, kolik má české eDoklady — a od července 2023 má stejnou právní platnost jako fyzický průkaz83. V březnu 2026 místopředseda vlády Krzysztof Gawkowski oznámil integraci EUDI peněženky do mObywatelu84.

Slovensko se nachází v kategorii 5 („velmi nepravděpodobné"), přičemž organizace Slovensko.Digital charakterizuje slovenskou aplikaci eDoklady jako „velmi daleko od toho být peněženkou EDIW"53.

Česko s třemi notifikovanými schématy elektronické identifikace (eObčanka, mobilní klíč eGovernmentu, BankID) nabízí občanům skutečnou svobodu volby85. Tento pluralismus však vytváří integrační složitost. Jak konstatovala společnost Accace ve své analýze z února 2026, české podniky čelí „dvoustupňovému přechodu" — nejprve podporovat eDoklady, poté plnou EUDI peněženku — přičemž „mnohé malé a střední podniky si stále do značné míry neuvědomují, co od nich eIDAS 2 v praxi bude vyžadovat"86.

XII. Infrastruktura, která vydrží déle než každá vláda

Nařízení eIDAS 2.0 neexistuje izolovaně. Je jednou vrstvou v tom, co analytici nazývají „digitální regulační stack" EU: GDPR (ochrana dat), DSA (správa platforem), DMA (hospodářská soutěž), AI Act (regulace algoritmů), NIS2 (kybernetická bezpečnost), Data Act, Data Governance Act a Cyber Resilience Act87. Každé nařízení je odůvodněno samostatně. Dohromady však vytvářejí propojené infrastrukturní vrstvy.

Spojení s návrhem EU na skenování CSAM („chat control") je primárně infrastrukturní. Pokud se EUDI peněženky stanou povinné pro ověřování věku na komunikačních platformách — jak nyní prosazuje řada zákonodárců EU —, peněženka vytvoří trvalé propojení ověřené identity s komunikačními službami88. V kombinaci s návrhem na klientské skenování obsahu vzniká infrastruktura pro atribuovaný masový dohled. Signal CEO Meredith Whittakerová pohrozila odchodem z Evropy, pokud bude implementován88.

Francouzský CNIL v roce 2019 při analýze systému Alicem formuloval jádrovou obavu s mimořádnou přesností: nahrazení lidských kontrol identity kontrolami prováděnými algoritmickým zpracováním mění samotný potenciál sledování a nese závažné riziko, že postupné posuny povedou ke změně paradigmatu — od cíleného sledování jednotlivců k potenciálnímu sledování všech za účelem identifikace některých89.

Kalifornský zákon AB 1043 (podepsán v říjnu 2025, účinný od ledna 2027) vytváří transatlantickou paralelu: klasifikace věku na úrovni operačního systému při nastavení zařízení, s věkovými kategoriemi přenášenými vývojářům aplikací prostřednictvím real-time API90. EU buduje identitní infrastrukturu na úrovni peněženky; Kalifornie ji zabudovává na úrovni operačního systému. Oba přístupy vytvářejí trvalou architektonickou kapacitu, kterou lze rozšiřovat prostřednictvím následné legislativy.

Kritička Cláudia Ascensão Nunesová výstižně popsala logiku tohoto procesu: jakmile je infrastruktura identitní klasifikace zabudována do operačního systému, snadno se rozšiřuje a těžko se odstraňuje91.

Otázka nestojí, zda bude infrastruktura postavena — nařízení EU nedává na výběr. Otázka zní, kdo ji bude kontrolovat, jaké záruky budou skutečně vymahatelné a zda si země s pamětí StB dokáže pohlídat, aby digitální peněženka sloužila občanům, a ne naopak.

Reference a poznámky

1 IdTechWire: „Czech Digital ID App Crashes During Election, Head of Agency Offers Resignation", říjen 2025

2 ČT24: „Pavel odvolal Bartoše, pozice vicepremiéra pro digitalizaci dle Fialy nebude", říjen 2024; IdTechWire: „Czech Digital ID App Crashes During Election", říjen 2025

3 Nařízení (EU) 2024/1183 Evropského parlamentu a Rady, článek 5a — publikováno v Úředním věstníku EU, 30. dubna 2024

4 EUR-Lex: Nařízení (EU) 2024/1183 — CELEX: 32024R1183, zveřejněno v Úředním věstníku EU L 2024/1183, účinné od 20. května 2024

5 Nařízení (EU) 2024/1183, článek 5b odst. 5 — povinnost „velkých online platforem" přijímat peněženky; Entrust: „eIDAS Implementing Acts", 2025

6 Mordor Intelligence: „Digital Identity Market Size, Growth & Outlook, Forecast 2030"

7 epicenter.works: „EU Digital Identity Reform: The Good, Bad & Ugly in the eIDAS Regulation", 2024

8 epicenter.works: „Analysis of 5th eIDAS compromise from Czech Council Presidency", 24. října 2022

9 IuRe / Iuridicum Remedium: zpráva „Český Minority Report", prosinec 2023; Seznam Médium: „Automatické rozpoznávání tváří v Česku. Směřujeme k čínskému modelu?", 2024

10 EDRi: „Czech police forced to turn off facial recognition at the airport", 29. října 2025

11 BankID.cz: „O nás" — oficiální webové stránky; Wikipedie: „Bankovní identita"

12 EDRi: „Iuridicum Remedium wins data retention dispute", 7. května 2025

13 Evropská komise: „European Digital Identity (EUDI) Regulation" — stránka digital-strategy.ec.europa.eu

14 Závěry Evropské rady, zasedání 1.–2. října 2020, bod 15

15 Projev o stavu Unie předsedkyně Evropské komise Ursuly von der Leyenové, 16. září 2020

16 EUR-Lex: Návrh Komise COM(2021) 281, 3. června 2021 — CELEX: 52021PC0281

17 Rada EU: „European digital identity (eID): Council adopts its position on a new regulation", tisková zpráva, 6. prosince 2022

18 Bird & Bird: „eIDAS: Parliament and Council search for compromise on differing positions", 2023

19 Rada EU: „European digital identity: Council and Parliament reach a provisional agreement on eID", tisková zpráva, 8. listopadu 2023; La Moncloa: „The Spanish presidency secures an agreement", 8. listopadu 2023

20 Evropský parlament: „Revision of the eIDAS Regulation — European Digital Identity (EUid)", Legislative Train Schedule

21 EUDI Wallet Architecture Reference Framework, verze 2.4.0, leden 2026 — eu-digital-identity-wallet.github.io

22 EY: „Regulation (EU) 2024/1183 — The New Framework for a European Digital Identity"; Ubisecure: „European Digital Identity — eIDAS 2.0"

23 EUDI Wallet Dev Hub: „ANNEX 3.1 — PID Rulebook", verze 1.4.0

24 Cybernews: „The privacy pitfalls of EU's eIDAS framework", 2025

25 Agencia Española de Protección de Datos (AEPD): „eIDAS2, the EUDI wallet and the GDPR (II)"

26 Přednáška Anji Lehmannové, 38C3 Chaos Communication Congress: „EU's Digital Identity Systems — Reality Check and Techniques for Better Privacy", prosinec 2024

27 Dr. Jaap-Henk Hoepman, Národní konference o soukromí (Nizozemsko), 2025; citováno v Privacy First: „Criticism of CSAM, eIDAS and digital euro at Privacy Conference"

28 Nařízení (EU) 2024/1183, článek 45

29 The Register: „Europe prepares to break browser security with eIDAS 2.0", 8. listopadu 2023; Help Net Security: „eIDAS: EU's internet reforms will undermine a decade of advances in online security", 12. prosince 2023

30 epicenter.works: Otevřený dopis „Last Chance for eIDAS", 1. listopadu 2023 — last-chance-for-eidas.org

31 OpenSSF: „OpenSSF Co-Signs Industry Joint Statement on Article 45 in the EU's eIDAS Regulation", 2. listopadu 2023; Cybernews: „The privacy pitfalls of EU's eIDAS framework"

32 Electronic Frontier Foundation: „Article 45 Will Roll Back Web Security by 12 Years", 7. listopadu 2023

33 Scott Helme: „What the QWAC?!", blog, 2023

34 Nařízení (EU) 2024/1183, článek 45a

35 Mozilla: SecurityRiskAhead — securityriskahead.eu, prohlášení k prováděcímu aktu QWACs, prosinec 2025

36 Wikipedie: „Ivan Bartoš"; Biometric Update: „Will Czech Republic reach its AI, digital identity goals during its EU 'crisis presidency'?", červenec 2022

37 epicenter.works: „eIDAS 2.0 — Unprecedented Risk for Privacy"; Nová republika: „Bartoš odstranil zabezpečení digitálních identit pro občany EU, tvrdí ochránci práv", listopad 2023; CZ24.NEWS: „Unijní aplikace, která o vás řekne všechno"

38 Patrick Breyer: „EU Digital Identity Regulation (eIDAS): Pirates don't support blank cheque for surveillance of citizens online!", 2024

39 Tisková zpráva Evropské pirátské strany k hlasování o eIDAS, únor 2024; Patrick Breyer: tamtéž

40 ČT24: „Pavel odvolal Bartoše", říjen 2024; Novinky.cz: „EU chystá digitální doklady. S těmi českými nebudou kompatibilní"

41 Výsledky voleb do Evropského parlamentu 2024 — Česká republika: Piráti 0 mandátů

42 Pravidla Rady EU k transparentnosti lobbingu během předsednictví — předsedající stát není vázán povinností zveřejnění

43 Expats.cz: „Czech Republic launches new digital ID card system", leden 2024

44 eDoklady.gov.cz — oficiální portál; Portál občana: „eDoklady"

45 Prague Daily News: „eDoklady: Digital ID Card Now Accepted in Post Offices, Banks, and Health Insurance Companies", 4. ledna 2025

46 Dostupný advokát: „Občanky s čipy a eDoklady: jak se liší a v čem se vyplatí?"

47 Radio Prague International: „2025 to bring broader recognition of eDocuments app", leden 2025

48 Wikipedie: „Digitální a informační agentura"; Digitalnicesko.gov.cz: „DIA"

49 Wikipedie: „Digitální a informační agentura" — oddíl Rozpočet

50 Echo24.cz, Dominik Stein: „Další personální zásah vlády, končí šéf digitální agentury Kuchař", 3. prosince 2025

51 Lupa.cz, Luděk Rašek: „Jaká bude česká evropská peněženka digitální identity?", 22. dubna 2025

52 Biometric Update: „Czechia's EUDI Wallet to go live in early 2027", únor 2026

53 Signicat, Viky Manaila a Esther Makaay: „EUDI Wallets — Only One Year to Launch", prosinec 2025

54 Aktuálně.cz: „Zvýšení bezpečnosti na pražském letišti vyšlo na 123 milionů korun", 2018

55 IuRe / Iuridicum Remedium: kampaň „Česko není Čína"; Civicus Monitor: „CSO report reveals covert use of biometric surveillance by Czech police"

56 Zdeněk Hřib, vyjádření pro ČT24, citováno v EDRi: „Czech police forced to turn off facial recognition at the airport"

57 EDRi: „The eID Wallet still doesn't deserve your full trust", březen 2026

58 Wikipedie: „StB"; Radio Prague International: zveřejnění seznamu agentů StB, prosinec 2023

59 Taylor & Francis Online: „Explaining attitudes to secret surveillance in post-communist societies", East European Politics, 2018

60 Evropský sbor pro ochranu osobních údajů (EDPB) a Evropský inspektor ochrany údajů (EDPS) — stanoviska k eIDAS 2.0; ÚOOÚ — žádné veřejné stanovisko identifikováno k datu uzávěrky

61 CMS Expert Guide: „Data protection laws and GDPR enforcement in Czech Republic"; zákon č. 110/2019 Sb., § 62 odst. 5

62 Deník Referendum, Jan Vobořil: „Právo na analog a hranice digitalizace", 12. prosince 2022

63 Listina základních práv a svobod, usnesení č. 2/1993 Sb. — články 10 a 13

64 Ústavní soud ČR: nález III. ÚS 35/01

65 Ústavní soud ČR: nález Pl. ÚS 24/10, březen 2011; Library of Congress: „Czech Republic: Constitutional Court Overturns Parts of Data Retention Law", duben 2011

66 Wikipedie: „Bankovní identita"; BankID.cz: „O firmě za Bank iD"

67 Financo.cz: „MONETA zavádí ověření identity přes aplikaci eDoklady", leden 2026; BankID.cz: spuštění Bank iD QSIGN, prosinec 2025

68 Signicat Documentation: „About Czech Bank iD"; Accace: „eIDAS 2 in the Czech Republic", únor 2026

69 Karel Pelikán, ePravo.cz: analýza adopce eObčanky, 2023; Dolezal & Partners: „Digitální identita: současný stav v České republice"

70 Reportéři on-line, Cecílie Jílková: reportáž o soutěžním dialogu DIA, 22. března 2026

71 ARICOMA: prezentace na konferenci Security 2026; Elita.blog: „A digital vault is in the pipeline"

72 Avast / Gen Digital: tisková zpráva „Avast se bude podílet na vývoji evropské digitální peněženky EUDI", 20. prosince 2022

73 Evropská komise: „LSP-DC4EU" — stránka EU Digital Identity Wallet

74 APTITUDE: „Project & Consortium" — aptitude.digital-identity-wallet.eu

75 BusinessInfo.cz: „V Česku je 4,5 milionu datových schránek", červenec 2024

76 Ministerstvo vnitra ČR: „Ministerstvo vnitra zřídilo od ledna přes 2 miliony datových schránek", 2023

77 Lupa.cz: „Když se Estonec hlásí do datové schránky v ČR aneb eIDAS má definitivní podobu"

78 Portál nápovědy MZd: „How to log in via Identita občana"; Interoperable Europe: „Digital Government Factsheet Czech Republic 2019"

79 CZ.NIC: „Správa základních registrů svěří provoz mezinárodní brány eIDAS opět sdružení CZ.NIC"

80 Petr Kuchař, konference Software602, březen 2025 — citováno v Lupa.cz: „Jaká bude česká evropská peněženka digitální identity?"

81 Jakub Eberle et al.: „Diluting digital sovereignty: Czechia's quiet selective adaptation to EU digital politics", Journal of Contemporary European Studies, Taylor & Francis Online, srpen 2025

82 Biometric Update: „Austria's eAusweise held up as a model for EU digital ID", srpen 2025

83 AIN: „mObywatel 2.0: digital ID became equal to plastic document in Poland", 14. července 2023; Biometric Update: „Poland campaigns to boost the use of its digital ID platform mObywatel", srpen 2025

84 Rzeczpospolita: „Europejski portfel tożsamości cyfrowej w mObywatelu — pilotaż jeszcze w 2026 r.", 4. března 2026

85 asquared: „Digital Identity Solutions in Europe 2025 — Status Quo"

86 Accace: „eIDAS 2 in the Czech Republic: What it means for businesses in practice", únor 2026

87 Statewatch: „Policing by design: the latest EU surveillance plan", červen 2024; Internet Governance Project: „Fragmenting the Web: The EU's Identity Power Play", listopad 2023

88 Privacy First: „Criticism of CSAM, eIDAS and digital euro at Privacy Conference", 2025

89 CNIL (Commission nationale de l'informatique et des libertés, Francie): stanovisko k systému Alicem, 2019

90 Tom's Hardware: „California introduces age verification law for all operating systems", březen 2026; kalifornský zákon AB 1043 — Digital Age Assurance Act, podepsán guvernérem Newsomem, říjen 2025

91 Cláudia Ascensão Nunesová: „California's Age-Verification Law Is a Civil Liberties Test", The Daily Economy, 4. března 2026

Investigativní analýza Rubriky.cz. Článek vychází z veřejně dostupných zdrojů — nařízení EU, analýz neziskových organizací, akademických studií, mediálních zpráv a oficiálních vyjádření. Citace zachycují stav k 4. dubnu 2026.