Geneza Rozporządzenia eIDAS – europejski krok ku cyfryzacji

Dnia 20 maja 2024 roku w Dzienniku Urzędowym unii Europejskiej weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej. Mówiąc prościej zostało znowelizowane rozporządzenie eIDAS, które teraz funkcjonuje w potocznej nomenklaturze jako eIDAS2.0. Jego zmiana jest częścią przyjętej w 2022 r. unijnej polityki „Droga ku cyfrowej dekadzie do 2030 r.”, jednak początków unijnych działań ku cyfrowej Europie należy szukać jeszcze w ubiegłym stuleciu. 

Chodzi o Dyrektywę 99/93 nazywaną również dyrektywą o podpisie elektronicznym, której oficjalna nazwa brzmi 

  • Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (Dz. Urz. UE L 12 z 19.01.2000, s. 10–12) 

Dyrektywa ta miała ograniczony zakres przedmiotowy, skupiała się ona jedynie na problematyce podpisów elektronicznych, pomijając inne ważne usługi zaufania, a także problematykę identyfikacji elektronicznej. 

Podjęto zatem decyzję o zastąpieniu dyrektywy (aktu wymagającego wdrożenia do krajowych porządków prawnych w procesie transpozycji) rozporządzeniem, które jest bezpośrednio stosowane we wszystkich państwach członkowskich 

Rozporządzenie znane pod skrótem eIDAS oznaczające: 

  • electronic IDentification, Authentication and trust Services przyjęto w 2014 (nr 910/2014 z dnia 23 lipca 2014 r.)  

eIDAS był odpowiedzią na rosnące potrzeby cyfryzacji usług w Europie. Wcześniejsze inicjatywy i regulacje krajowe w zakresie e-identyfikacji i e-podpisów były fragmentaryczne i nie zapewniały interoperacyjności transgranicznej. eIDAS narodził się z potrzeby stworzenia spójnego systemu, który by wspierał cyfrową gospodarkę i usprawniał cyfrowe interakcje zarówno w sektorze publicznym, jak i prywatnym. 

Podstawową zasadą wprowadzoną przez rozporządzenie eIDAS jest obowiązek wzajemnego uznawania środków identyfikacji elektronicznej (spełniających warunki eIDAS i notyfikowanych) obowiązkowo od 29 września 2018 r. 

Celem, który przyświecał ustawodawcy unijnemu w trakcie prac nad rozporządzeniem eIDAS, było wsparcie powszechnego, transgranicznego korzystania z usług zaufania na terytorium całej Unii Europejskiej. 

Poszerzony został zakres przedmiotowy regulacji, który objął również m.in. elektroniczne pieczęcie, elektroniczne znaczniki czasu, usługi rejestrowanego doręczenia elektronicznego oraz uwierzytelnianie witryn internetowych 

W lutym 2020 r. Komisja Europejska, zapowiedziała przegląd rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014  w celu poprawy jego skuteczności, rozszerzenia wynikających z niego korzyści na sektor prywatny oraz promowania zaufanych tożsamości cyfrowych dla wszystkich Europejczyków. 
W konkluzjach zawartych w wynikach przeglądu (jesień 2020 r.) stwierdzono m.in., że Rozporządzenie eIDAS nie zachęciło  państw członkowskich do zapewnienia swoim obywatelom i przedsiębiorstwom systemu identyfikacji cyfrowej, który: 

  • umożliwiałby  bezpieczny dostęp do usług publicznych, 
  •  gwarantowałby  transgraniczne korzystanie usług w UE, 
  •  zawierałby  przepisy dotyczących korzystania z takiej identyfikacji w odniesieniu do usług prywatnych lub z urządzeniami przenośnymi. 

Regulacja z 2014 roku nie była zatem wystarczającą odpowiedzią na: 

  • wewnętrzne ograniczenia sektora publicznego, 
  • ograniczone możliwości i złożoność procesu połączenia z systemem dostawców usług online z sektora prywatnego, 
  • niewystarczającą dostępność notyfikowanych rozwiązań z zakresu identyfikacji elektronicznej we wszystkich państwach członkowskich, 
  • brak elastyczności umożliwiającej uwzględnienie różnego rodzaju przypadków użycia, 
  • rozwiązania w zakresie tożsamości wykraczające poza zakres eIDAS, takie jak te, które oferują dostawcy mediów społecznościowych i instytucje finansowe, budzące obawy dotyczące prywatności i ochrony danych 

Wraz ze implementacją Rozporządzenia eIDASdoświadczenia związane z transakcjami przyniosły zapotrzebowanie na jednolite podejście do atrybutów takich jak  chociażby orzeczenia lekarskie lub kwalifikacje zawodowe, w tym zapewnienie ogólnoeuropejskiego prawnego uznawania takich danych w postaci elektronicznej. Pojawiła się również potrzeba możliwości ograniczenia udostępniania danych dotyczących tożsamości do tego, co jest absolutnie niezbędne do świadczenia danej  usługi. 

eIDAS 2.0 pojawił się, gdyż na rynku powstaje i ciągle zmienia się nowe środowisko, w którym uwaga nie jest skoncentrowana jedynie na świadczeniu i stosowaniu tożsamości cyfrowych, ale na zapewnieniu szczególnych atrybutów związanych z takimi tożsamościami i poleganiu na takich atrybutach w różnorakich obszarach zarówno w sektorze publicznym jak i prywatnym. 

Znowelizowane Rozporządzenie wiąże się ze zmianami dla wydawców europejskich rozwiązań w zakresie tożsamości cyfrowej, gdyż przewidziano w nim wspólną architekturę techniczną i ramy odniesienia oraz wspólne normy, które mają powstać we współpracy z państwami członkowskimi. Zharmonizowane podejście jest konieczne, by uniknąć sytuacji, w której opracowywanie w państwach członkowskich nowych rozwiązań w zakresie tożsamości cyfrowej prowadzi do dalszej fragmentacji powodowanej stosowaniem rozbieżnych rozwiązań krajowych. 

Zmiany w eIDAS 2.0 wpisują się wizję na 2030 r. służącą wzmocnieniu pozycji obywateli i przedsiębiorstw w drodze transformacji cyfrowej. Technologie cyfrowe powinny przyspieszać osiąganie szerszych efektów społecznych, które nie ograniczają się do sfery cyfrowej, ale mają pozytywny wpływ na codzienne życie i dobrostan obywateli. Takie podejście wzmocni rynek wewnętrzny,  umożliwiając  obywatelom  i  rezydentom  Unii,  zgodnie  z  prawem  krajowym, oraz przedsiębiorstwom bezpieczne, godne zaufania, przyjazne dla użytkownika, wygodne, dostępne i zharmonizowane w całej Unii identyfikowanie się i uwierzytelnianie tożsamości drogą elektroniczną. Dzięki takim działaniom obywatele i rezydenci Unii Europejskiej zyskają większą swobodę realizacji swoich praw w przestrzeni cyfrowej oraz uczestniczenia w cyfrowej gospodarce. Będą mogli korzystać z dostępnej, bezpiecznej i zaufanej tożsamości cyfrowej, która umożliwia dostęp do szerokiego wachlarza usług online i offline, zapewniając ochronę przed ryzykiem w cyberprzestrzeni i przed cyberprzestępczością, w tym naruszeniami ochrony danych i kradzieżą tożsamości lub manipulowaniem tożsamością. 

 

Data publikacji: 23.08.2024

Powiązane