|
|
7 minut czytania

eIDAS 2, czyli nowe przepisy o europejskich portfelach cyfrowych

eIDAS 2 to nowy akt prawny obowiązujący od 20 maja 2024 roku wprowadzający Europejskie Ramy Tożsamości Cyfrowej. Akt ten zrewolucjonizował obowiązujące od 2014 roku przepisy o identyfikacji elektronicznej i usługach zaufania. O głównych założeniach aktu przeczytasz w poniższym artykule.

eIDAS 2

Cel eIDAS 2

Akt eIDAS 2 to nic innego jak Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 roku w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia Europejskich Ram Tożsamości Cyfrowej.

Cel i przyczyny wprowadzenia tego rozporządzenia można znaleźć w motywach eIDAS, zgodnie z którymi:

  • „Obywatele i rezydenci Unii powinni mieć prawo do tożsamości cyfrowej, która jest pod ich wyłączną kontrolą i która pozwala im na wykonywanie ich praw w środowisku cyfrowym oraz uczestnictwo w gospodarce cyfrowej. Aby osiągnąć ten cel, należy ustanowić europejskie ramy tożsamości cyfrowej umożliwiające obywatelom i rezydentom Unii dostęp do publicznych i prywatnych usług online i offline w całej Unii” [por. motyw 5];
  • „Aby wspierać konkurencyjność unijnych przedsiębiorstw, dostawcy zarówno usług online, jak i offline powinni móc polegać na rozwiązaniach w zakresie tożsamości cyfrowej uznawanych w całej Unii, niezależnie od państwa członkowskiego, w którym rozwiązania te zostały zapewnione, a tym samym czerpać korzyści ze zharmonizowanego unijnego podejścia do zaufania, bezpieczeństwa i interoperacyjności. Zarówno użytkownicy, jak i dostawcy usług powinni mieć możliwość korzystania z przyznania elektronicznym poświadczeniom atrybutów takiej samej wartości prawnej w całej Unii” [por. motyw 10];
  • „Europejskie portfele tożsamości cyfrowej powinny ułatwiać stosowanie zasady jednorazowości i tym samym zmniejszać obciążenie administracyjne oraz wspierać transgraniczną mobilność obywateli i rezydentów Unii oraz przedsiębiorstw w całej Unii, a także sprzyjać rozwojowi interoperacyjnych usług administracji elektronicznej w całej Unii” [por. motyw 11].

Tym samym przepisy prawa krajowego powinny być skonstruowane tak, aby adresaci regulacji prawnych byli uprawnieni do bezpiecznego żądania, wybierania, łączenia, przechowywania, usuwania, udostępniania i prezentacji danych dotyczących swojej tożsamości oraz żądania usunięcia swoich danych osobowych w przyjazny dla nich sposób. Zasadniczym celem eIDAS 2 jest zbudowanie zaufania do interakcji elektronicznych i promowania usług cyfrowych w Unii Europejskiej.

Co zakłada eIDAS 2?

Przede wszystkim należy zapoznać się z najważniejszymi pojęciami wynikającymi z rozporządzenia, takimi jak:

  • europejski portfel tożsamości cyfrowej – środek identyfikacji elektronicznej, który umożliwia użytkownikowi bezpieczne przechowywanie i walidację danych identyfikujących osobę i elektronicznych poświadczeń atrybutów oraz bezpieczne zarządzanie tymi danymi i poświadczeniami na potrzeby udostępniania ich stronom ufającym oraz innym użytkownikom europejskich portfeli tożsamości cyfrowej; umożliwia składanie kwalifikowanych podpisów elektronicznych lub kwalifikowanych pieczęci elektronicznych;
  • produkt – sprzęt lub oprogramowanie, lub odpowiednie komponenty sprzętu czy oprogramowania, które są przeznaczone do zapewniania usług identyfikacji elektronicznej i usług zaufania;
  • certyfikat uwierzytelniania witryn internetowych – poświadczenie elektroniczne, które umożliwia uwierzytelnianie witryn internetowych i przyporządkowanie ich do osoby fizycznej lub prawnej, której wydano certyfikat;
  • atrybut – cecha charakterystyczna, właściwość, prawo bądź zezwolenie osoby fizycznej, prawnej lub przedmiotu;
  • unijny znak zaufania dla portfela tożsamości cyfrowej – weryfikowalne i rozpoznawalne wskazanie, które w jasny sposób informuje, że europejski portfel tożsamości cyfrowej zapewniono zgodnie z niniejszym rozporządzeniem;
  • dopasowywanie tożsamości – proces, w którym dane identyfikujące osobę lub środki identyfikacji elektronicznej są dopasowywane bądź przyporządkowywane do istniejącego konta należącego do tej samej osoby;
  • wpis danych – dane elektroniczne zarejestrowane wraz z powiązanymi metadanymi wspierającymi przetwarzanie danych;
  • tryb offline – w odniesieniu do europejskich portfeli tożsamości cyfrowej oznacza interakcję między użytkownikiem a stroną trzecią w fizycznej lokalizacji przy użyciu technologii zbliżeniowych, przy czym europejski portfel tożsamości cyfrowej nie musi mieć dostępu do systemów zdalnych za pośrednictwem sieci komunikacji elektronicznej do celów tej interakcji.

Zadania europejskich portfeli tożsamości cyfrowych

Zadaniem europejskiego portfela tożsamości cyfrowej jest umożliwienie w sposób przyjazny, przejrzysty i identyfikowalny dla użytkownika:

  • bezpiecznego żądania, otrzymywania, wybierania, łączenia, przechowywania, usuwania, udostępniania i prezentacji (pod wyłączną kontrolą użytkownika) danych identyfikujących osobę oraz, w stosownych przypadkach, w połączeniu z elektronicznymi poświadczeniami atrybutów, uwierzytelniania wobec stron ufających w trybie online (a w stosownych przypadkach w trybie offline) w celu uzyskania dostępu do usług publicznych i prywatnych przy jednoczesnym zapewnieniu możliwości selektywnego ujawniania danych;
  • generowania pseudonimów i przechowywania ich w zaszyfrowanej formie lokalnie w europejskim portfelu tożsamości cyfrowej;
  • bezpiecznego uwierzytelniania europejskiego portfela tożsamości cyfrowej innej osoby oraz bezpiecznego otrzymywania i udostępniania danych identyfikujących osobę i elektronicznych poświadczeń atrybutów między dwoma europejskimi portfelami tożsamości cyfrowej;
  • dostępu do rejestru wszystkich transakcji przeprowadzonych z wykorzystaniem europejskiego portfela tożsamości cyfrowej za pomocą wspólnego panelu zarządzania umożliwiającego użytkownikowi:
    • przeglądanie aktualnej listy stron ufających, z którymi użytkownik ustanowił połączenie, oraz, w stosownych przypadkach, wszystkich udostępnionych danych;
    • łatwe zażądanie od strony ufającej usunięcia danych osobowych zgodnie z art. 17 rozporządzenia (UE) 2016/679;
    • łatwe zgłaszanie strony ufającej właściwemu krajowemu organowi ochrony danych w przypadku otrzymania przypuszczalnie niezgodnego z prawem lub podejrzanego żądania udostępnienia danych;
  • składania kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych;
  • pobierania w zakresie, w jakim jest to technicznie wykonalne, danych użytkownika, elektronicznych poświadczeń atrybutów i konfiguracji;
  • korzystania z praw użytkownika do przenoszenia danych.

Wymogi europejskich portfeli tożsamości cyfrowych

Europejskie portfele tożsamości cyfrowej muszą:

  • być zgodne ze wspólnymi protokołami i interfejsami:
    • do celów wydawania danych identyfikujących osobę, kwalifikowanych i niekwalifikowanych elektronicznych poświadczeń atrybutów lub kwalifikowanych i niekwalifikowanych certyfikatów do europejskiego portfela tożsamości cyfrowej;
    • na potrzeby stron ufających do celów żądania danych identyfikujących osobę i elektronicznych poświadczeń atrybutów oraz ich walidacji;
    • na potrzeby udostępniania i prezentacji stronom ufającym danych identyfikujących osobę, elektronicznych poświadczeń atrybutów lub selektywnie ujawnionych powiązanych danych w trybie online oraz, w stosownych przypadkach, w trybie offline;
    • w celu umożliwienia użytkownikowi interakcji z europejskim portfelem tożsamości cyfrowej oraz wyświetlenia unijnego znaku zaufania dla portfela tożsamości cyfrowej;
    • na potrzeby bezpiecznej rejestracji użytkownika przy użyciu środka identyfikacji elektronicznej;
    • na potrzeby interakcji między europejskimi portfelami tożsamości cyfrowej dwóch osób do celów otrzymywania, walidowania oraz udostępniania danych identyfikujących osobę i elektronicznych poświadczeń atrybutów w bezpieczny sposób;
    • na potrzeby uwierzytelnienia i identyfikacji stron ufających poprzez wdrożenie mechanizmów uwierzytelniania;
    • na potrzeby stron ufających do celów weryfikowania autentyczności i ważności europejskich portfeli tożsamości cyfrowej;
    • na potrzeby zażądania od strony ufającej usunięcia danych osobowych zgodnie z art. 17 rozporządzenia (UE) 2016/679;
    • na potrzeby zgłoszenia strony ufającej właściwemu krajowemu organowi ochrony danych w przypadku otrzymania przypuszczalnie niezgodnego z prawem lub podejrzanego żądania udostępnienia danych;
    • na potrzeby składania kwalifikowanych podpisów elektronicznych lub pieczęci elektronicznych za pomocą kwalifikowanych urządzeń do składania podpisów elektronicznych lub pieczęci elektronicznych;
  • zapewniać możliwość uwierzytelnienia i identyfikacji stron ufających poprzez wdrożenie mechanizmów uwierzytelniania;
  • spełniać wymogi w odniesieniu do wysokiego poziomu bezpieczeństwa, w szczególności w zakresie wymogów dotyczących potwierdzania i weryfikacji tożsamości, zarządzania środkami identyfikacji elektronicznej oraz uwierzytelniania;
  • w przypadku elektronicznego poświadczenia atrybutów z wbudowanymi regułami ujawniania – muszą wdrażać odpowiedni mechanizm informowania użytkownika, że strona ufająca lub użytkownik europejskiego portfela tożsamości cyfrowej wnioskujący o udostępnienie tego elektronicznego poświadczenia atrybutów ma zezwolenie na dostęp do takiego poświadczenia;
  • zapewniać, aby dane identyfikujące osobę, które są dostępne w systemie identyfikacji elektronicznej, w ramach którego zapewniany jest europejski portfel tożsamości cyfrowej, niepowtarzalnie reprezentowały osobę fizyczną, osobę prawną, lub osobę fizyczną reprezentującą osobę fizyczną lub prawną oraz były powiązane z tym europejskim portfelem tożsamości cyfrowej;
  • oferować wszystkim osobom fizycznym możliwości składania kwalifikowanych podpisów elektronicznych domyślnie i nieodpłatnie; a także
  • nie mogą dostarczać dostawcom usług zaufania elektronicznych poświadczeń atrybutów żadnych informacji na temat wykorzystywania tych elektronicznych poświadczeń.

WAŻNE — używanie europejskich portfeli tożsamości cyfrowej musi mieć charakter dobrowolny, a osobom fizycznym i prawnym, które nie korzystają z europejskich portfeli tożsamości cyfrowej, nie można w żaden sposób ograniczać ani utrudniać dostępu do usług publicznych i prywatnych, dostępu do rynku pracy ani swobody prowadzenia działalności gospodarczej.

Co więcej, ramy techniczne europejskiego portfela tożsamości cyfrowej:

  • po wydaniu poświadczenia atrybutów nie mogą zezwalać dostawcom elektronicznych poświadczeń atrybutów ani żadnej innej stronie na uzyskanie danych umożliwiających śledzenie, przyporządkowanie lub skorelowanie transakcji lub zachowań użytkowników bądź uzyskanie w inny sposób wiedzy na temat transakcji lub zachowań użytkowników, chyba że użytkownik wyraźnie wyrazi na to zgodę;
  • muszą umożliwiać stosowanie technik ochrony prywatności, które – w przypadku gdy poświadczenie atrybutów nie wymaga identyfikacji użytkownika – zapewniają uniemożliwienie powiązania tożsamości użytkownika z tym poświadczeniem.

Przykładem portfela cyfrowego w Polsce jest mObywatel. Tym samym posiadanie (dobrowolne) takiej aplikacji umożliwia:

  • potwierdzanie tożsamości;
  • wybór i wylegitymowanie się dokumentami zgromadzonymi w aplikacji;
  • udostępnienie danych osobowych za pomocą kodu QR.

Podsumowanie

Przepisy rozporządzenia eIDAS 2 obowiązują już od 20 maja 2024 roku, jednak Polska będzie miała jeszcze 2 lata na dostosowanie krajowych przepisów do wymogów wprowadzonych przez eIDAS 2. Jak wskazuje się na stronie rządowej, Ministerstwo Cyfryzacji planuje przeprowadzić wkrótce konsultacje publiczne, które będą obejmowały kwestie związane z dostosowaniem aplikacji mObywatel do wymogów Europejskiego Portfela Tożsamości Cyfrowej i wdrożeniem pozostałych wymogów wynikających z rozporządzenia eIDAS 2. Z kolei z pełną treścią rozporządzenia zapoznasz się tutaj.

Autor ifirma.pl

Adrianna Glapiak

Autorka tekstów prawnych na ifirma.pl. Prawnik posiadająca wieloletnie doświadczenie w doradztwie prawnym oraz podatkowym. Na co dzień swoją wiedzę i doświadczenie poszerza dzięki pracy jako specjalista do spraw prawnych, a czas wolny poświęca na podnoszeniu kwalifikacji w zakresie aspektów prawnych w e-commerce i social mediach oraz szeroko pojętym prawie autorskim.

Dodaj komentarz

Zachęcamy do komentowania naszych artykułów. Wyraź swoje zdanie i włącz się w dyskusje z innymi czytelnikami. Na indywidualne pytania (z zakresu podatków i księgowości) użytkowników ifirma.pl odpowiadamy przez e-mail, czat lub telefon – skontaktuj się z nami.

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem Twoich danych osobowych jest IFIRMA S.A. z siedzibą we Wrocławiu. Dodając komentarz na blogu, przekazujesz nam swoje dane: imię i nazwisko, adres e-mail oraz treść komentarza. W systemie odnotowywany jest także adres IP, z wykorzystaniem którego dodałeś komentarz. Dane zostają zapisane w bazie systemu WordPress. Twoje dane są przetwarzane na podstawie Twojej zgody, wynikającej z dodania komentarza. Dane są przetwarzane w celu opublikowania komentarza na blogu, jak również w celu obrony lub dochodzenia roszczeń. Dane w bazie systemu WordPress są w niej przechowywane przez okres funkcjonowania bloga. O szczegółach przetwarzania danych przez IFIRMA S.A dowiesz się ze strony polityki prywatności serwisu ifirma.pl.

Cała firma
w jednym miejscu?

Z Biurem Rachunkowym i aplikacją IFIRMA masz wszystko pod kontrolą i w jednym narzędziu!

już od 149zł/mies.
Zleć księgowość

Może te tematy też Cię zaciekawią

Biuro rachunkowe - ifirma.pl

Mobilnie. Wszędzie

Z ifirma.pl masz księgowość w swoim telefonie. Wysyłaj dokumenty, sprawdzaj salda i terminy online, gdziekolwiek jesteś. Aplikację znajdziesz na najpopularniejszych platformach.

Mobilnie