Cel eIDAS 2
Akt eIDAS 2 to nic innego jak Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 roku w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia Europejskich Ram Tożsamości Cyfrowej.
Cel i przyczyny wprowadzenia tego rozporządzenia można znaleźć w motywach eIDAS, zgodnie z którymi:
- „Obywatele i rezydenci Unii powinni mieć prawo do tożsamości cyfrowej, która jest pod ich wyłączną kontrolą i która pozwala im na wykonywanie ich praw w środowisku cyfrowym oraz uczestnictwo w gospodarce cyfrowej. Aby osiągnąć ten cel, należy ustanowić europejskie ramy tożsamości cyfrowej umożliwiające obywatelom i rezydentom Unii dostęp do publicznych i prywatnych usług online i offline w całej Unii” [por. motyw 5];
- „Aby wspierać konkurencyjność unijnych przedsiębiorstw, dostawcy zarówno usług online, jak i offline powinni móc polegać na rozwiązaniach w zakresie tożsamości cyfrowej uznawanych w całej Unii, niezależnie od państwa członkowskiego, w którym rozwiązania te zostały zapewnione, a tym samym czerpać korzyści ze zharmonizowanego unijnego podejścia do zaufania, bezpieczeństwa i interoperacyjności. Zarówno użytkownicy, jak i dostawcy usług powinni mieć możliwość korzystania z przyznania elektronicznym poświadczeniom atrybutów takiej samej wartości prawnej w całej Unii” [por. motyw 10];
- „Europejskie portfele tożsamości cyfrowej powinny ułatwiać stosowanie zasady jednorazowości i tym samym zmniejszać obciążenie administracyjne oraz wspierać transgraniczną mobilność obywateli i rezydentów Unii oraz przedsiębiorstw w całej Unii, a także sprzyjać rozwojowi interoperacyjnych usług administracji elektronicznej w całej Unii” [por. motyw 11].
Tym samym przepisy prawa krajowego powinny być skonstruowane tak, aby adresaci regulacji prawnych byli uprawnieni do bezpiecznego żądania, wybierania, łączenia, przechowywania, usuwania, udostępniania i prezentacji danych dotyczących swojej tożsamości oraz żądania usunięcia swoich danych osobowych w przyjazny dla nich sposób. Zasadniczym celem eIDAS 2 jest zbudowanie zaufania do interakcji elektronicznych i promowania usług cyfrowych w Unii Europejskiej.
Co zakłada eIDAS 2?
Przede wszystkim należy zapoznać się z najważniejszymi pojęciami wynikającymi z rozporządzenia, takimi jak:
- europejski portfel tożsamości cyfrowej – środek identyfikacji elektronicznej, który umożliwia użytkownikowi bezpieczne przechowywanie i walidację danych identyfikujących osobę i elektronicznych poświadczeń atrybutów oraz bezpieczne zarządzanie tymi danymi i poświadczeniami na potrzeby udostępniania ich stronom ufającym oraz innym użytkownikom europejskich portfeli tożsamości cyfrowej; umożliwia składanie kwalifikowanych podpisów elektronicznych lub kwalifikowanych pieczęci elektronicznych;
- produkt – sprzęt lub oprogramowanie, lub odpowiednie komponenty sprzętu czy oprogramowania, które są przeznaczone do zapewniania usług identyfikacji elektronicznej i usług zaufania;
- certyfikat uwierzytelniania witryn internetowych – poświadczenie elektroniczne, które umożliwia uwierzytelnianie witryn internetowych i przyporządkowanie ich do osoby fizycznej lub prawnej, której wydano certyfikat;
- atrybut – cecha charakterystyczna, adekwatność, prawo bądź zezwolenie osoby fizycznej, prawnej lub przedmiotu;
- unijny znak zaufania dla portfela tożsamości cyfrowej – weryfikowalne i rozpoznawalne wskazanie, które w jasny sposób informuje, iż europejski portfel tożsamości cyfrowej zapewniono zgodnie z niniejszym rozporządzeniem;
- dopasowywanie tożsamości – proces, w którym dane identyfikujące osobę lub środki identyfikacji elektronicznej są dopasowywane bądź przyporządkowywane do istniejącego konta należącego do tej samej osoby;
- wpis danych – dane elektroniczne zarejestrowane wraz z powiązanymi metadanymi wspierającymi przetwarzanie danych;
- tryb offline – w odniesieniu do europejskich portfeli tożsamości cyfrowej oznacza interakcję między użytkownikiem a stroną trzecią w fizycznej lokalizacji przy użyciu technologii zbliżeniowych, przy czym europejski portfel tożsamości cyfrowej nie musi mieć dostępu do systemów zdalnych za pośrednictwem sieci komunikacji elektronicznej do celów tej interakcji.
Zadania europejskich portfeli tożsamości cyfrowych
Zadaniem europejskiego portfela tożsamości cyfrowej jest umożliwienie w sposób przyjazny, przejrzysty i identyfikowalny dla użytkownika:
- bezpiecznego żądania, otrzymywania, wybierania, łączenia, przechowywania, usuwania, udostępniania i prezentacji (pod wyłączną kontrolą użytkownika) danych identyfikujących osobę oraz, w stosownych przypadkach, w połączeniu z elektronicznymi poświadczeniami atrybutów, uwierzytelniania wobec stron ufających w trybie online (a w stosownych przypadkach w trybie offline) w celu uzyskania dostępu do usług publicznych i prywatnych przy jednoczesnym zapewnieniu możliwości selektywnego ujawniania danych; generowania pseudonimów i przechowywania ich w zaszyfrowanej formie lokalnie w europejskim portfelu tożsamości cyfrowej;
- bezpiecznego uwierzytelniania europejskiego portfela tożsamości cyfrowej innej osoby oraz bezpiecznego otrzymywania i udostępniania danych identyfikujących osobę i elektronicznych poświadczeń atrybutów między dwoma europejskimi portfelami tożsamości cyfrowej;
- dostępu do rejestru wszystkich transakcji przeprowadzonych z wykorzystaniem europejskiego portfela tożsamości cyfrowej dzięki wspólnego panelu zarządzania umożliwiającego użytkownikowi:
- przeglądanie aktualnej listy stron ufających, z którymi użytkownik ustanowił połączenie, oraz, w stosownych przypadkach, wszystkich udostępnionych danych;
- łatwe zażądanie od strony ufającej usunięcia danych osobowych zgodnie z art. 17 rozporządzenia (UE) 2016/679;
- łatwe zgłaszanie strony ufającej adekwatnemu krajowemu organowi ochrony danych w przypadku otrzymania przypuszczalnie niezgodnego z prawem lub podejrzanego żądania udostępnienia danych;
- składania kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych;
- pobierania w zakresie, w jakim jest to technicznie wykonalne, danych użytkownika, elektronicznych poświadczeń atrybutów i konfiguracji;
- korzystania z praw użytkownika do przenoszenia danych.
Wymogi europejskich portfeli tożsamości cyfrowych
Europejskie portfele tożsamości cyfrowej muszą:
- być zgodne ze wspólnymi protokołami i interfejsami:
- do celów wydawania danych identyfikujących osobę, kwalifikowanych i niekwalifikowanych elektronicznych poświadczeń atrybutów lub kwalifikowanych i niekwalifikowanych certyfikatów do europejskiego portfela tożsamości cyfrowej;
- na potrzeby stron ufających do celów żądania danych identyfikujących osobę i elektronicznych poświadczeń atrybutów oraz ich walidacji;
- na potrzeby udostępniania i prezentacji stronom ufającym danych identyfikujących osobę, elektronicznych poświadczeń atrybutów lub selektywnie ujawnionych powiązanych danych w trybie online oraz, w stosownych przypadkach, w trybie offline;
- w celu umożliwienia użytkownikowi interakcji z europejskim portfelem tożsamości cyfrowej oraz wyświetlenia unijnego znaku zaufania dla portfela tożsamości cyfrowej;
- na potrzeby bezpiecznej rejestracji użytkownika przy użyciu środka identyfikacji elektronicznej;
- na potrzeby interakcji między europejskimi portfelami tożsamości cyfrowej dwóch osób do celów otrzymywania, walidowania oraz udostępniania danych identyfikujących osobę i elektronicznych poświadczeń atrybutów w bezpieczny sposób;
- na potrzeby uwierzytelnienia i identyfikacji stron ufających poprzez wdrożenie mechanizmów uwierzytelniania; na potrzeby stron ufających do celów weryfikowania autentyczności i ważności europejskich portfeli tożsamości cyfrowej;
- na potrzeby zażądania od strony ufającej usunięcia danych osobowych zgodnie z art. 17 rozporządzenia (UE) 2016/679;
- na potrzeby zgłoszenia strony ufającej adekwatnemu krajowemu organowi ochrony danych w przypadku otrzymania przypuszczalnie niezgodnego z prawem lub podejrzanego żądania udostępnienia danych;
- na potrzeby składania kwalifikowanych podpisów elektronicznych lub pieczęci elektronicznych dzięki kwalifikowanych urządzeń do składania podpisów elektronicznych lub pieczęci elektronicznych;
WAŻNE — używanie europejskich portfeli tożsamości cyfrowej musi mieć charakter dobrowolny, a osobom fizycznym i prawnym, które nie korzystają z europejskich portfeli tożsamości cyfrowej, nie można w żaden sposób ograniczać ani utrudniać dostępu do usług publicznych i prywatnych, dostępu do rynku pracy ani swobody prowadzenia działalności gospodarczej.
Co więcej, ramy techniczne europejskiego portfela tożsamości cyfrowej:
- po wydaniu poświadczenia atrybutów nie mogą zezwalać dostawcom elektronicznych poświadczeń atrybutów ani żadnej innej stronie na uzyskanie danych umożliwiających śledzenie, przyporządkowanie lub skorelowanie transakcji lub zachowań użytkowników bądź uzyskanie w inny sposób wiedzy na temat transakcji lub zachowań użytkowników, chyba iż użytkownik wyraźnie wyrazi na to zgodę;
- muszą umożliwiać stosowanie technik ochrony prywatności, które – w przypadku gdy poświadczenie atrybutów nie wymaga identyfikacji użytkownika – zapewniają uniemożliwienie powiązania tożsamości użytkownika z tym poświadczeniem.
Przykładem portfela cyfrowego w Polsce jest mObywatel. Tym samym posiadanie (dobrowolne) takiej aplikacji umożliwia:
- potwierdzanie tożsamości;
- wybór i wylegitymowanie się dokumentami zgromadzonymi w aplikacji;
- udostępnienie danych osobowych dzięki kodu QR.
Podsumowanie
Przepisy rozporządzenia eIDAS 2 obowiązują już od 20 maja 2024 roku, jednak Polska będzie miała jeszcze 2 lata na dostosowanie krajowych przepisów do wymagań wprowadzonych przez eIDAS 2. Jak wskazuje się na stronie rządowej, Ministerstwo Cyfryzacji planuje przeprowadzić niedługo konsultacje publiczne, które będą obejmowały kwestie związane z dostosowaniem aplikacji mObywatel do wymagań Europejskiego Portfela Tożsamości Cyfrowej i wdrożeniem pozostałych wymagań wynikających z rozporządzenia eIDAS 2. Z kolei z pełną treścią rozporządzenia zapoznasz się tutaj.