Sytuacja pandemiczna spowodowała zwiększone zapotrzebowanie na bezpieczną zdalną identyfikację osób. Ze względu na ograniczenie kontaktów zawieranie pełnoprawnych umów z klientami na odległość w wielu firmach stało się regularną procedurą. Zauważyła to też Komisja Europejska, która podjęła się analizy dotychczasowego funkcjonowania w praktyce tzw. rozporządzenia eIDAS. A w konsekwencji przedstawiła propozycję szeregu zmian dotyczących identyfikacji elektronicznej.
Ocena dotychczasowych rozwiązań
Proces ewaluacji rozporządzenia m.in. wykazał, że obecne przepisy nie przystają do wymagań i potrzeb rynkowych. Jako uzasadnienie wskazano m.in. zbyt duże ograniczenia dla sektora publicznego. Często spotykany powód stanowi skomplikowana procedura. Sporym problemem są także wysokie wymagania wobec prywatnych usługodawców w zakresie podłączenia do systemu eIDAS. Jednocześnie Komisja Europejska zauważa, że na rynku pojawiają się rozwiązania niepodlegające regulacjom eIDAS. Oferują je np. dostawcy mediów społecznościowych czy instytucje finansowe. Rozwiązania te zdaniem Komisji nierzadko budzą obawy dotyczące prywatności i należytej ochrony danych.
Badania KE wykazały, że we wrześniu 2018 r. tylko 59% mieszkańców UE miało dostęp do zaufanych i bezpiecznych unijnych systemów potwierdzania tożsamości. Jednocześnie z bardzo niewielu usług publicznych online dostępnych w danym kraju można było korzystać transgranicznie za pośrednictwem sieci eIDAS.
W rezultacie KE zajęła stanowisko, że obecne regulacje nie pozwalają skutecznie reagować na nowe potrzeby rynku. Dodatkowo brakuje im transgranicznego zasięgu, co uniemożliwia zaspokojenie konkretnych potrzeb sektorowych, w których identyfikacja wymaga wysokiego stopnia pewności i poufności.
Europejski Portfel Tożsamości Cyfrowej
W odpowiedzi na zidentyfikowane potrzeby rynku projekt rozporządzenia zaproponowany przez KE zobowiązuje państwa członkowskie do wydania tzw. Europejskiego Portfela Tożsamości Cyfrowej. Instrument ten będzie musiał być zgodny z ustalonymi na poziomie UE wspólnymi standardami technicznymi.
Dzięki temu rozwiązaniu osoby fizyczne i prawne zyskają nowe możliwości bezpiecznego uwierzytelniania w trybie online i offline. W tym celu mogą żądać i uzyskiwać, przechowywać, łączyć i wykorzystywać dane identyfikujące osobę czy elektroniczne poświadczenia tożsamości.
Trwały i niepowtarzalny identyfikator
Zgodnie z projektem państwa członkowskie zobowiązują się do zapewnienia możliwości skorzystania w ramach Europejskiego Portfela Tożsamości Cyfrowej z niepowtarzalnego i trwałego identyfikatora potwierdzającego tożsamość osób fizycznych. W ten sposób będzie można na żądanie zidentyfikować użytkownika w przypadkach, gdy przepisy prawa będą wymagały identyfikacji osoby fizycznej. Państwa członkowskie będą również zobowiązane do włączenia niepowtarzalnego i trwałego identyfikatora do minimalnego zestawu danych identyfikujących osobę.
Powyższe rozwiązanie kraje wykorzystają w obszarach wymagających wyjątkowo silnego uwierzytelnienia – takich jak sądownictwo, służba zdrowia czy też identyfikacja na potrzeby wywiązania się z obowiązków przeciwdziałania praniu pieniędzy.
Transgraniczność rozwiązań
W celu udostępnienia większej liczby środków identyfikacji elektronicznej do użytku transgranicznego oraz poprawy skuteczności procesu wzajemnego uznawania zgłoszonych systemów identyfikacji elektronicznej każde państwo członkowskie zobowiązuje się zgłaszać do eIDAS co najmniej jeden system identyfikacji elektronicznej.
Zakres zastosowania Europejskiego Portfela Tożsamości Cyfrowej
Europejski Portfel Tożsamości Cyfrowej wydany zgodnie z rozporządzeniem będzie obowiązkowo akceptowany przez państwa członkowskie w konkretnych przypadkach. Zwłaszcza wtedy, gdy te będą wymagać elektronicznej identyfikacji tożsamości. Portfel ma być wykorzystywany przy uwierzytelnianiu dokonywanym w obrębie usług administracji publicznej.
Oprócz tego propozycja zmian w rozporządzeniu wskazuje, że Europejski Portfel Tożsamości Cyfrowej powinien być również szeroko akceptowany w relacjach prywatnych. Wtedy, gdy strony są zobowiązane na mocy prawa krajowego lub unijnego do stosowania silnego uwierzytelniania na potrzeby identyfikacji online lub gdy silne uwierzytelnianie użytkownika jest wymagane na mocy zobowiązania umownego, w tym m. in. w obszarach transportu, energii, bankowości, usług finansowych, zdrowia czy usług pocztowych.
Komisja planuje nałożyć również dodatkowe zobowiązania dla dostawców przeglądarek internetowych. W zakres ich powinności wejdzie m.in. korzystanie z kwalifikowanych certyfikatów do uwierzytelniania witryn internetowych. Celem tego zabiegu jest zapewnienie użytkownikom możliwości zidentyfikowania właściciela domeny.
Skutki prawne elektronicznego poświadczania tożsamości
Zgodnie z propozycją KE elektronicznemu poświadczeniu nie będzie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie na tej podstawie, że ma ono formę elektroniczną. Każde państwo członkowskie będzie musiało dostosować swoje przepisy do tych zasad.
Kwalifikowane elektroniczne poświadczenie będzie miało taki sam skutek prawny jak legalnie wydane poświadczenia w formie papierowej. A wydane w jednym państwie członkowskim – uzna się za kwalifikowane elektroniczne poświadczenie tożsamości w każdym innym państwie członkowskim.
Regulacje dotyczące bezpieczeństwa danych osobowych
Propozycje KE regulują również szereg innych kwestii związanych z elektronicznym poświadczaniem tożsamości. W tym i takie, które zapewniają odpowiedni poziom bezpieczeństwa danych osobowych w zakresie usług potwierdzania tożsamości.
Warto tutaj wspomnieć o kwestii istotnej z punktu widzenia dostawców kwalifikowanych i niekwalifikowanych usług elektronicznego poświadczania tożsamości. Nie będą oni mogli m.in. łączyć danych osobowych związanych ze świadczeniem tych usług z danymi osobowymi z innych oferowanych przez siebie usług.
Dane osobowe związane ze świadczeniem usług elektronicznego poświadczania tożsamości muszą być ponadto logicznie oddzielone od innych posiadanych danych. Z kolei dane osobowe związane ze świadczeniem usług kwalifikowanego elektronicznego poświadczania tożsamości powinny być fizycznie i logicznie oddzielone od wszelkich innych posiadanych danych. Dostawcy usług kwalifikowanego elektronicznego poświadczania tożsamości zobowiązują się do świadczenia takich usług w ramach odrębnej osoby prawnej.