eIDAS 2.0, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej (dalej „eIDAS 2.0” lub „Nowelizacja”), wszedł w życie 20 maja 2024 r. i stanowi odpowiedź Unii Europejskiej na wyzwania cyfrowej przyszłości, określone w programie polityki „Droga ku cyfrowej dekadzie”. Przepisy te wpisują się w cele UE na 2030 rok, zakładając powszechne wdrożenie zaufanej, dobrowolnej i kontrolowanej przez użytkownika tożsamości cyfrowej. Tożsamość ta, uznawana we wszystkich państwach członkowskich, ma dać obywatelom i przedsiębiorcom nowe możliwości zarządzania swoimi danymi w przestrzeni cyfrowej. Czy dzięki eIDAS 2.0 bezpieczeństwo interakcji online rzeczywiście wzrośnie, a korzystanie z transgranicznych usług na terenie UE stanie się bardziej dostępne?
Usługi zaufania odgrywają kluczową rolę w zapewnieniu bezpiecznej wymiany danych i realizacji transakcji online, dbając o ich autentyczność, integralność oraz poufność. Wprowadzenie eIDAS 2.0 znacząco rozszerza zakres tych usług. W porównaniu do pierwotnej wersji definicji określonej w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (dalej „eIDAS”), definicja usług zaufania wprowadzona w drodze Nowelizacji obejmuje dodatkowo:
Jednym z najważniejszych elementów eIDAS 2.0 jest wzmocnienie interoperacyjności kwalifikowanych usług zaufania (tj. usług zaufania, które spełniają stosowne wymogi określone w rozporządzeniu eIDAS oraz implementujących standardach technicznych i które świadczone są wyłącznie przez kwalifikowanych dostawców usług zaufania) w całej Unii Europejskiej. Oznacza to, że kwalifikowane usługi zaufania oferowane przez kwalifikowanych dostawców w jednym kraju UE powinny być uznawane w pozostałych państwach członkowskich. Rozwiązanie to będzie szczególnie istotne w kontekście transakcji zagranicznych. Ponadto, aby ułatwić uznawanie kwalifikowanych usług zaufania i ich dostawców, Komisja Europejska może przyjmować akty wykonawcze uznające usługi zaufania świadczone przez dostawców z państw trzecich lub organizacji międzynarodowych za prawnie równoważne kwalifikowanym usługom zaufania świadczonym przez dostawców mających siedzibę w Unii. Uznanie to będzie możliwe, o ile spełnione zostaną wymogi obowiązujące w stosunku do kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania w UE.
Zdecydowanie jedną z kluczowych zmian wprowadzonych przez eIDAS 2.0 jest Europejski Portfel Tożsamości Cyfrowej (tzw. EDIW). To narzędzie zapewni bezpieczne uwierzytelnienie się użytkowników podczas korzystania zarówno z usług publicznych jak i prywatnych. Portfel ma umożliwić także przechowywanie kluczowych danych dotyczących tożsamości oraz elektronicznych poświadczeń atrybutów. Co więcej, EDIW pozwoli na precyzyjne i selektywne udostępnianie danych, zapewniając użytkownikom kontrolę nad tym, jakie informacje chcą ujawniać – i komu. Choć pełne wdrożenie EDIW będzie stopniowe, poniższa oś czasu przedstawia kolejne etapy wprowadzania tego rozwiązania:
Obecnie trwa również nabór w ramach Programu Prac Cyfrowej Europy wspierający pilotaż europejskich portfeli tożsamości cyfrowej. W ramach niego zakłada się, że międzynarodowe konsorcjum, opierając się na dotychczas wypracowanych rozwiązaniach, będzie kontynuować testowanie i rozwijanie zastosowań portfela cyfrowego w różnych obszarach. W szczególności nacisk będzie położony na rozwój czterech kluczowych zastosowań: portfeli dla przedsiębiorstw, portfela podróżnego, portfela płatniczego i bankowego oraz portfela do weryfikacji wieku. Termin na składanie wniosków został wydłużony do 5 listopada 2024 r.1
eIDAS 2.0 kładzie silny nacisk na zgodność przetwarzania danych osobowych z przepisami RODO (rozporządzenie UE 2016/679), szczególnie w zakresie zasad celowości i minimalizacji danych. Nowa regulacja wymaga, aby nieodpłatne korzystanie z europejskich portfeli tożsamości cyfrowej wiązało się jedynie z przetwarzaniem danych niezbędnych do świadczenia związanych z nim usług.
Rozporządzenie wyraźnie określa, że dane osobowe przechowywane w portfelu tożsamości cyfrowej lub generowane podczas jego użytkowania nie mogą być wykorzystywane przez dostawców do innych celów niż świadczenie usług samego portfela. W trosce o prywatność, dostawcy muszą zagwarantować tzw. nieobserwowalność, co oznacza, że nie mogą mieć oni dostępu do szczegółów transakcji dokonywanych przez użytkownika. Wyjątkiem są sytuacje, w których użytkownik wyraził wyraźną, wcześniejszą zgodę, zgodną z wymogami RODO, na dostęp do danych w celu realizacji konkretnej usługi związanej z europejskimi portfelami tożsamości cyfrowej.
Dodatkowo, eIDAS 2.0 wprowadza mechanizmy zabezpieczające, które uniemożliwiają łączenie danych osobowych uzyskanych w ramach świadczenia innych usług z danymi osobowymi przetwarzanymi w celu świadczenia usług objętych zakresem eIDAS 2. Dane związane z europejskim portfelem tożsamości cyfrowej muszą być oddzielone od pozostałych informacji przetwarzanych przez dostawcę, co ma wpłynąć na zwiększenie poziomu ochrony prywatności.
Wbudowany w portfel panel zarządzania danymi zapewni użytkownikom kontrolę nad swoimi danymi. Dzięki niemu możliwe będzie m.in. zgłoszenie strony ufającej właściwemu krajowemu organowi ochrony danych w przypadku otrzymania przypuszczalnie niezgodnego z prawem lub podejrzanego żądania danych oraz łatwe żądanie natychmiastowego usunięcia danych, zgodnie z art. 17 RODO.
eIDAS 2.0 wprowadza zatem nowe standardy ochrony prywatności, ale stawia także nowe wyzwania w tym zakresie, w tym w odniesieniu do zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych i sposobów ich wykorzystania.
eIDAS 2 stanowi ważny krok w kierunku ujednolicenia i zapewnienia bezpieczeństwa transakcji cyfrowych na terenie Unii Europejskiej. Nowe przepisy mają z założenia wprowadzić wyższe standardy bezpieczeństwa oraz większą interoperacyjność w obszarze tożsamości cyfrowej i usług zaufania. Jednym z najważniejszych elementów w tym zakresie jest Europejski Portfel Tożsamości Cyfrowej, którego prawidłowa konstrukcja i implementacja w poszczególnych państwach członkowskich będzie w najbliższym czasie kluczowa. Nowe rozwiązania będą wykorzystywane m.in. w procesach płatniczych (np. skorzystanie z EDIW przy logowaniu do bankowości elektronicznej), czy AML-owych (np. w ramach procedury “poznaj swojego klienta”).