16.07.2021

Komisja Europejska proponuje zmiany w rozporządzeniu dotyczącym podpisów elektronicznych

Łukasz Wieczorek
Gabriela Kocurek

Sytuacja pandemiczna spowodowała zwiększone zapotrzebowanie na bezpieczną zdalną identyfikację osób. Ze względu na ograniczenie kontaktów zawieranie pełnoprawnych umów z klientami na odległość w wielu firmach stało się regularną procedurą. Zauważyła to też Komisja Europejska, która podjęła się analizy dotychczasowego funkcjonowania w praktyce tzw. rozporządzenia eIDAS. A w konsekwencji przedstawiła propozycję szeregu zmian dotyczących identyfikacji elektronicznej.

Ocena dotychczasowych rozwiązań

Proces ewaluacji rozporządzenia m.in. wykazał, że obecne przepisy nie przystają do wymagań i potrzeb rynkowych. Jako uzasadnienie wskazano m.in. zbyt duże ograniczenia dla sektora publicznego. Często spotykany powód stanowi skomplikowana procedura. Sporym problemem są także wysokie wymagania wobec prywatnych usługodawców w zakresie podłączenia do systemu eIDAS. Jednocześnie Komisja Europejska zauważa, że na rynku pojawiają się rozwiązania niepodlegające regulacjom eIDAS. Oferują je np. dostawcy mediów społecznościowych czy instytucje finansowe. Rozwiązania te zdaniem Komisji nierzadko budzą obawy dotyczące prywatności i należytej ochrony danych.

Badania KE wykazały, że we wrześniu 2018 r. tylko 59% mieszkańców UE miało dostęp do zaufanych i bezpiecznych unijnych systemów potwierdzania tożsamości. Jednocześnie z bardzo niewielu usług publicznych online dostępnych w danym kraju można było korzystać transgranicznie za pośrednictwem sieci eIDAS.

W rezultacie KE zajęła stanowisko, że obecne regulacje nie pozwalają skutecznie reagować na nowe potrzeby rynku. Dodatkowo brakuje im transgranicznego zasięgu, co uniemożliwia zaspokojenie konkretnych potrzeb sektorowych, w których identyfikacja wymaga wysokiego stopnia pewności i poufności.

Europejski Portfel Tożsamości Cyfrowej

W odpowiedzi na zidentyfikowane potrzeby rynku projekt rozporządzenia zaproponowany przez KE zobowiązuje państwa członkowskie do wydania tzw. Europejskiego Portfela Tożsamości Cyfrowej. Instrument ten będzie musiał być zgodny z ustalonymi na poziomie UE wspólnymi standardami technicznymi.

Dzięki temu rozwiązaniu osoby fizyczne i prawne zyskają nowe możliwości bezpiecznego uwierzytelniania w trybie online i offline. W tym celu mogą żądać i uzyskiwać, przechowywać, łączyć i wykorzystywać dane identyfikujące osobę czy elektroniczne poświadczenia tożsamości.

Trwały i niepowtarzalny identyfikator

Zgodnie z projektem państwa członkowskie zobowiązują się do zapewnienia możliwości skorzystania w ramach Europejskiego Portfela Tożsamości Cyfrowej z niepowtarzalnego i trwałego identyfikatora potwierdzającego tożsamość osób fizycznych. W ten sposób będzie można na żądanie zidentyfikować użytkownika w przypadkach, gdy przepisy prawa będą wymagały identyfikacji osoby fizycznej. Państwa członkowskie będą również zobowiązane do włączenia niepowtarzalnego i trwałego identyfikatora do minimalnego zestawu danych identyfikujących osobę.

Powyższe rozwiązanie kraje wykorzystają w obszarach wymagających wyjątkowo silnego uwierzytelnienia – takich jak sądownictwo, służba zdrowia czy też identyfikacja na potrzeby wywiązania się z obowiązków przeciwdziałania praniu pieniędzy.

Transgraniczność rozwiązań

W celu udostępnienia większej liczby środków identyfikacji elektronicznej do użytku transgranicznego oraz poprawy skuteczności procesu wzajemnego uznawania zgłoszonych systemów identyfikacji elektronicznej każde państwo członkowskie zobowiązuje się zgłaszać do eIDAS co najmniej jeden system identyfikacji elektronicznej.

Zakres zastosowania Europejskiego Portfela Tożsamości Cyfrowej

Europejski Portfel Tożsamości Cyfrowej wydany zgodnie z rozporządzeniem będzie obowiązkowo akceptowany przez państwa członkowskie w konkretnych przypadkach. Zwłaszcza wtedy, gdy te będą wymagać elektronicznej identyfikacji tożsamości. Portfel ma być wykorzystywany przy uwierzytelnianiu dokonywanym w obrębie usług administracji publicznej.

Oprócz tego propozycja zmian w rozporządzeniu wskazuje, że Europejski Portfel Tożsamości Cyfrowej powinien być również szeroko akceptowany w relacjach prywatnych. Wtedy, gdy strony są zobowiązane na mocy prawa krajowego lub unijnego do stosowania silnego uwierzytelniania na potrzeby identyfikacji online lub gdy silne uwierzytelnianie użytkownika jest wymagane na mocy zobowiązania umownego, w tym m. in. w obszarach transportu, energii, bankowości, usług finansowych, zdrowia czy usług pocztowych.

Komisja planuje nałożyć również dodatkowe zobowiązania dla dostawców przeglądarek internetowych. W zakres ich powinności wejdzie m.in. korzystanie z kwalifikowanych certyfikatów do uwierzytelniania witryn internetowych. Celem tego zabiegu jest zapewnienie użytkownikom możliwości zidentyfikowania właściciela domeny.

Skutki prawne elektronicznego poświadczania tożsamości

Zgodnie z propozycją KE elektronicznemu poświadczeniu nie będzie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie na tej podstawie, że ma ono formę elektroniczną. Każde państwo członkowskie będzie musiało dostosować swoje przepisy do tych zasad.

Kwalifikowane elektroniczne poświadczenie będzie miało taki sam skutek prawny jak legalnie wydane poświadczenia w formie papierowej. A wydane w jednym państwie członkowskim – uzna się za kwalifikowane elektroniczne poświadczenie tożsamości w każdym innym państwie członkowskim.

Regulacje dotyczące bezpieczeństwa danych osobowych

Propozycje KE regulują również szereg innych kwestii związanych z elektronicznym poświadczaniem tożsamości. W tym i takie, które zapewniają odpowiedni poziom bezpieczeństwa danych osobowych w zakresie usług potwierdzania tożsamości.

Warto tutaj wspomnieć o kwestii istotnej z punktu widzenia dostawców kwalifikowanych i niekwalifikowanych usług elektronicznego poświadczania tożsamości. Nie będą oni mogli m.in. łączyć danych osobowych związanych ze świadczeniem tych usług z danymi osobowymi z innych oferowanych przez siebie usług.

Dane osobowe związane ze świadczeniem usług elektronicznego poświadczania tożsamości muszą być ponadto logicznie oddzielone od innych posiadanych danych. Z kolei dane osobowe związane ze świadczeniem usług kwalifikowanego elektronicznego poświadczania tożsamości powinny być fizycznie i logicznie oddzielone od wszelkich innych posiadanych danych. Dostawcy usług kwalifikowanego elektronicznego poświadczania tożsamości zobowiązują się do świadczenia takich usług w ramach odrębnej osoby prawnej.

 

Rozporządzenie eIDAS: rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. Dotyczy ono identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym. Rozporządzenie uchyla również dyrektywę 1999/93/WE.
Artykuł został przygotowany we współpracy z Fundacją Prawo dla technologii

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.
Strona jest chroniona przez Google reCAPTCHA v2. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

Administratorem Twoich danych osobowych jest
KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
Warszawa

Rondo ONZ 1,

00-124 Warszawa,

+48 12 3957161

kontakt@kwkr.pl

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

 

Do you want to be up to date? Sign up for our newsletter

By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

read more

The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.