Osiągnięto polityczne porozumienie w sprawie uchwalenia nowego unijnego rozporządzenia. Jego celem jest przyśpieszenie budowania europejskiej strefy tożsamości cyfrowej oraz rozwijanie i tworzenie podstaw prawnych nowych usług zaufania.
Przedstawiciele Unii Europejskiej finalizują prace nad nowelizacją rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (DzUrz UE L 257 z 28.08.2014; dalej: eIDAS). W dalszej części artykułu projektowaną nowelizację nazywamy rozporządzeniem eIDAS 2. Unijny prawodawca przewiduje w nowym akcie kilka ważnych zmian, m.in. stworzenie regulacji prawnych i technicznych do budowy europejskiego portfela tożsamości oraz elektronicznych atrybutów czy stworzenie nowych usług zaufania (zaufany rejestr oraz zaufane archiwa elektroniczne). Dodatkowo dodano zmiany związane z wykorzystaniem podpisu chmurowego. Przewiduje się, że nowe rozporządzenie zostanie uchwalone w najbliższych tygodniach, gdyż porozumienie w tej sprawie zawarły już najważniejsze instytucje, tj. Rada Europejska oraz Parlament UE.
Szlachetne idee
Obecnie w Europie i bezpośrednio także w polskim ustawodawstwie obowiązuje rozporządzenie eIDAS. Akt ten został przyjęty przez Parlament Europejski i Radę UE w 2014 r. i wszedł w życie 1 lipca 2016 r. Jego celem było stworzenie bezpiecznego i jednolitego środowiska dla transakcji elektronicznych między krajami członkowskimi UE. Dotyczyło to zarówno aspektów identyfikacji elektronicznej (eID), jak i usług zaufania takich jak elektroniczne podpisy, pieczęcie elektroniczne, znaczniki czasu, rejestrowane doręczenie elektroniczne czy certyfikaty do autoryzacji stron internetowych. Rozporządzenie eIDAS zastąpiło wcześniejszą dyrektywę Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (DzUrz UE L 13 z 19.01.2000), która była pierwszym krokiem w kierunku unijnego ujednolicenia elektronicznych podpisów. Była ona jednak stosowana w różny sposób w poszczególnych krajach, co prowadziło do braku spójności. Rozporządzenie eIDAS miało wyeliminować te problemy, pozwalając na stworzenie jednolitego rynku dla elektronicznych usług zaufania. Zainicjowano wówczas szereg istotnych zmian, w tym wymóg wzajemnego uznawania notyfikowanych systemów identyfikacji elektronicznej między państwami członkowskimi oraz ustanowienie wspólnych standardów dotyczących usług zaufania.
Stan obecny
Przyjęcie rozporządzenia eIDAS w 2014 r. należy ocenić jako istotną zmianę jakościową względem poprzedniej dyrektywy, która regulowała ten obszar. Trzeba jednak wspomnieć, że nie wszystkie zmiany przyniosły wymierne rezultaty. Nie udało się w pełni osiągnąć podstawowego celu, jakim jest wzmocnienie transgranicznego uznawania środków identyfikacji elektronicznej lub wszystkich kwalifikowanych usług zaufania. W przypadku identyfikacji państwa członkowskie notyfikowały środki identyfikacji. Dokonała tego także Polska, która notyfikowała w 2023 r. Profil Zaufany i Profil Osobisty zawarty w dowodzie osobistym. Mimo notyfikacji środków i uruchomienia transgranicznych węzłów identyfikacji w 2018 r. adaptacja tych rozwiązań prawie nie działała. Trzeba zaznaczyć, że problem nie leżał w samych środkach identyfikacji czy węzłach, ale w braku jednolitego standardu budowy usług online w sektorach publicznych i prywatnych – lub przynajmniej standardów dotyczących interfejsów, danych i mechanizmów identyfikacji oraz uwierzytelniania. Niektóre usługi rozwijały się i były adaptowane przez państwa i gospodarkę wolniej niż zakładano. Dotyczy to m.in. rejestrowanego doręczenia elektronicznego – nie tylko w Polsce, ale w całej Europie. Inne wręcz nie ruszyły, np. certyfikowanie stron internetowych, z uwagi na opór dostawców przeglądarek internetowych i obawy o szpiegowanie ruchu w Sieci przez inne państwa (czy zasadne, czy nie to kwestia, której można by poświęcić osobne rozważania).
Choć wiele zmian zaszło również w obszarze podpisów elektronicznych, to ich pełne praktyczne wykorzystanie w obrocie transgranicznym nie przebiegło aż tak dobrze, jak zamierzał ustawodawca europejski. Byłoby jeszcze gorzej, gdyby nie pandemia COVID-19, która znacząco wpłynęła na zwiększenie skali wykorzystywania podpisów elektronicznych i pieczęci.
Nowe otwarcie
Nowe rozporządzenie, podobnie jak wcześniej eIDAS względem wspomnianej dyrektywy z 1999 r., ma zmienić elementy, których nie udało się dotychczas zrealizować w założonym przez ustawodawcę kształcie. Ma usprawnić adaptację transgranicznych środków identyfikacji, wykorzystania i standard uznawania podpisów elektronicznych, a dodatkowo wprowadzić względem obecnego rozporządzenia nowe usługi. Ich celem jest zapewnienie lepszych, szybszych i bardziej efektywnych rozwiązań.
O zdeterminowaniu ustawodawców świadczy to, że w toku tworzenia regulacji prawnych ich działanie jest sprawdzane w praktyce. Równolegle powstają ramy architektoniczne i cała dokumentacja techniczna oraz trwają testy, w których udział biorą także instytucje z Polski (firmy oraz instytuty badawcze). Europejski ustawodawca chce uniknąć ryzyka (nieudanej implementacji technicznej) oraz jednocześnie sprawdzić użyteczność rozwiązań. Jest to o tyle ważne, że w zakresie niektórych nowości UE nie tylko chce zachęcać do korzystania z danych usług, jako robiła to dotychczas, ale także nakazać uznawanie ich zarówno przez sektor publiczny, jak i prywatny.
Zaproponowany kształt rozporządzenia, a szczególnie jego „mocne akcenty”, pozwala postawić tezę, że eIDAS 2 i niektóre jego elementy będą w przyszłości bardziej znane obywatelom UE niż miało to miejsce w przypadku obecnie obowiązującego aktu.
Europejskie portfele tożsamości
Omawianie nowego rozporządzenia koniecznie należy rozpocząć od omówienia zmian w zakresie identyfikacji elektronicznej i planów zbudowania europejskich portfeli tożsamości cyfrowej. Jest to bowiem instytucja, na którą kładziono największy nacisk podczas prac legislacyjnych.
Europejskie portfele tożsamości cyfrowej będą wydawać państwa albo podmioty, które uzyskają zgodę państw na takie działanie. Zgodnie z założeniami mają one umożliwiać bezpieczne żądanie, otrzymywanie, wybieranie, łączenie i udostępnianie niezbędnych danych prawnych identyfikujących osobę oraz elektroniczne poświadczenia atrybutów na potrzeby uwierzytelniania, by móc korzystać z usług publicznych i prywatnych online. Dodatkową funkcją ma być możliwość składania podpisów kwalifikowanych w portfelu.
Europejski portfel tożsamości zostanie zbudowany od podstaw pod kątem prawnym i technologicznym. Będzie miał własne interfejsy, mechanizmy, a także odrębne zasady wystawiania dowodów oraz przetwarzania danych osobowych. Projektowane rozporządzenie nakłada obowiązek uznawania przez podmioty administracji europejskiego portfela. Z punktu widzenia samorządów nasuwa się pytanie – jak zostanie zorganizowane uwierzytelnienie za pomocą portfela w ich własnych usługach? Ważne jest choćby wypracowanie koncepcji wdrożenia ww. dostosowania. Zgodnie z aktualnymi planami UE zobowiązała Europejski Instytut Norm Telekomunikacyjnych do stworzenia odpowiedniej architektury. Ostatnia jej wersja pochodzi ze stycznia 2023 r. i nie wynika z niej, że uwzględnia istniejące krajowe węzły identyfikacji (jak np. login.gov.pl) – a w polskich warunkach administracyjnych należy połączyć (po stronie systemów) uwierzytelnianie z systemem węzła krajowego.
Co ważne, europejski portfel tożsamości będzie dostosowany zarówno do usług online, jaki i do usług offline –
w bezpośredniej fizycznej obecności. W przypadku Polski należy uznać, że aplikacja mObywatel będzie dostosowana w przyszłości do architektury europejskiego portfela tożsamości.
Zaufane atrybuty – także od samorządów
Wprowadzenie europejskiego portfela tożsamości to nie koniec zmian. W portfelu mają bowiem być przetwarzane też kwalifikowane elektronicznie poświadczenia atrybutów, które zgodnie z zaproponowaną definicją są wydawane przez kwalifikowanego dostawcę usług zaufania. Atrybutem nazywać będziemy cechę, właściwość lub przymiot osoby fizycznej, prawnej czy podmiotu wyrażone w postaci elektronicznej. Zgodnie z nowymi przepisami państwa członkowskie zapewniają kwalifikowanym dostawcom elektronicznym możliwość wydawania poświadczeń kwalifikowanych atrybutów i ich weryfikacji drogą elektroniczną, gwarantując dostęp do zasobów państwowych (rejestrów, dokumentów źródłowych itp.), na których opierają się atrybuty. W rozporządzeniu przewidziano, że atrybuty te mają bazować na autentycznych źródłach z sektora publicznego:
- adresie;
- wieku;
- płci;
- stanie cywilnym;
- składzie rodziny;
- obywatelstwie;
- wykształceniu, tytułach i licencjach;
- kwalifikacjach zawodowych, tytułach i licencjach;
- urzędowych zezwoleniach i licencjach;
- danych finansowych;
- danych dotyczących przedsiębiorstwa.
Jednocześnie portfel ma działać w sposób, który umożliwi udostępnianie tylko części danych niezbędnych do załatwienia danej sprawy publicznej lub prywatnej, np. w celu wykazania pełnoletności w usłudze online wystarczy udostępnić z portfela atrybut potwierdzający ten fakt zamiast wszystkich innych niepotrzebnych danych. Z kolei usługa, z uwagi na fakt, że ta informacja pochodzi z portfela tożsamości, powinna jej zaufać.
Z powyższego wynika, że zakres atrybutów wykorzystywanych w portfelu będzie szeroki. Część z nich jest oczywista oraz wydaje się łatwa do zrealizowania, gdyż są one dostępne w rejestrach centralnych. Organy administracji centralnej prawdopodobnie będą musiały opracować mechanizm potwierdzania tych atrybutów dla kwalifikowanych dostawców.
Warto jednak zaznaczyć, że część atrybutów będzie mogła pochodzić z rejestrów prowadzonych przez organy administracji samorządowej. Przede wszystkim dotyczy to dokumentów takich jak kwalifikacje zawodowe, licencje, tytuły, urzędowe zezwolenia, a także wykształcenie. Obecnie dane te są przetwarzane w różnych miejscach (w samorządach, jednostkach organizacyjnych, na poziomie centralnym) w różnej postaci: papierowej i elektronicznej. Należy podkreślić, że wdrożenie tych rozwiązań będzie wymagało przygotowania administracji samorządowej na szczeblu organizacyjnym, prawnym oraz finansowym. Opracowanie strategii (wspólnie z dostawcami usług zaufania) podejścia do tworzenia kwalifikowanych atrybutów to zadanie dla nowego rządu oraz Komisji Wspólnej Rządu i Samorządu Terytorialnego.
Samorząd jako odbiorca atrybutów
W tematyce atrybutów ważne są jeszcze bardzo silne domniemania prawne. Zgodnie z projektowanymi przepisami kwalifikowane elektroniczne poświadczenie atrybutów ma taki sam skutek prawny jak legalnie wystawione poświadczenie w formie papierowej. Dodatkowo kwalifikowane elektroniczne poświadczenie atrybutów wydane w jednym państwie członkowskim jest uznawane w każdym innym państwie członkowskim. Przykładowo, organy administracji publicznej, w tym samorządowej, prowadzące postępowania administracyjne czy dokonujące zakupu usług zobowiązane będą uznawać elektroniczne poświadczenia atrybutów – także te wydane w innym państwie członkowskim UE – za równoważne poświadczeniom papierowym. W związku z tym nie należy kwestionować skutku prawnego elektronicznego poświadczenia atrybutów z tego powodu, że ma postać elektroniczną lub że nie spełnia wszystkich wymogów kwalifikowanego elektronicznego poświadczenia atrybutów. Samorządy staną się „podmiotami ufającymi” atrybutów, których źródłem są inne podmioty. W tym przypadku nie mamy do czynienia z podpisami kwalifikowanymi, pieczęciami itp., czyli de facto mechanizmem potwierdzania tożsamości, ale z zaufaniem, że przekazana informacja jest prawdziwa. Zaufanie to przekłada się na kwestie dowodowe, np. potwierdzenia zdobytych przez daną osobę określonych uprawnień. Z powyższego wynika, że zrównanie kwalifikowanych atrybutów z dokumentami papierowymi z punktu widzenia administracji wymaga przeanalizowania wpływu projektowanych regulacji na krajową praktykę organizacji administracji publicznej, a także przepisy prawa krajowego.
Kwalifikowane rejestry (księgi)
Ustawodawca europejski w rozporządzeniu eIDAS 2 planuje wprowadzić nową usługę zaufania – kwalifikowany rejestr elektroniczny (również: księga). Będzie on korzystał z domniemania unikalności i autentyczności zawartych w nim danych, dokładności ich daty i czasu oraz ich sekwencyjnego, chronologicznego uporządkowania w ramach rejestru. Główne cechy takich rejestrów to:
- tworzone będą przez co najmniej jednego kwalifikowanego dostawcę usług zaufania;
- powinny zapewniać unikalność, autentyczność i prawidłową kolejność zapisów danych w rejestrze;
- muszą zapewnić prawidłowe, sekwencyjne, chronologiczne uporządkowanie danych w rejestrze oraz dokładność daty i godziny wprowadzenia danych;
- dane zapisuje się w taki sposób, że każda późniejsza ich zmiana jest bezpośrednio wykrywalna.
Mimo że wprost nie wskazuje się, iż chodzi o technologię blockchain, za pomocą której te księgi mają być tworzone, to definicja wspomnianej usługi pozwala przyjąć, że właśnie ta technologia będzie najczęściej wykorzystywana do budowania tej instytucji techniczno-prawnej. Księgi będą tworzone przez dostawców usług zaufania, czyli podmioty prywatne, ale domniemania prawdziwości danych zawartych w tych rejestrach będą miały wpływ m.in. na prowadzone przez organy samorządu terytorialnego postępowania, w tym postępowania administracyjne.
Kwalifikowane archiwa
W projekcie rozporządzenia eIDAS 2 wskazano m.in., że wiele państw członkowskich wprowadziło krajowe wymogi dotyczące usług zapewniających bezpieczną i wiarygodną archiwizację cyfrową, aby umożliwić długoterminową konserwację dokumentów elektronicznych i powiązanych usług zaufania. Do zapewnienia pewności prawa i zaufania konieczne jest ustanowienie ram prawnych ułatwiających transgraniczne uznawanie kwalifikowanych usług archiwizacji elektronicznej. Ramy te mogłyby stworzyć także nowe możliwości rynkowe dla unijnych dostawców usług zaufania. W celu doregulowania ww. zagadnienia na gruncie prawa UE zdecydowano się wprowadzić nową usługę zaufania, tj. usługę archiwizacji elektronicznej. Należy ją rozumieć jako rozwiązanie zapewniające odbiór, przechowywanie, usuwanie i transmisję danych lub dokumentów elektronicznych w celu zagwarantowania ich integralności, dokładności, pochodzenia i cech prawnych przez cały okres zachowywania.
Oczywiście dokumentacja elektroniczna jest obecnie archiwizowana przez państwa oraz podmioty prywatne, jednakże usługi w tym zakresie są realizowane albo na podstawie wyłącznie swobody umów, albo na podstawie przepisów prawa krajowego. Ideą eIDAS 2 w tym zakresie jest ustandaryzowanie przede wszystkim technicznych elementów świadczenia tego rodzaju usług oraz zwiększenie pewności prawnej na poziomie UE.
Regulacja w zakresie archiwizacji dokumentów jest skierowana głównie – choć nie tylko – do sektora prywatnego. Należy jednak podkreślić, że sam fakt jej przyjęcia nie skutkuje tym, że krajowe przepisy i rozwiązania dotyczące archiwizacji dokumentacji elektronicznej powstającej w podmiotach publicznych ulegną uchyleniu lub zmianie. Krajowe regulacje w tym zakresie będą nadal stosowane i będą miały pierwszeństwo względem regulacji z rozporządzenia eIDAS 2.
Na drodze do poprawy
Rozporządzenie eIDAS 2 jest szansą na naprawę niedociągnięć obowiązującej obecnie regulacji, a poprzez wprowadzenie europejskiego portfela tożsamości oraz kwalifikowanych atrybutów pozwala zwiększyć skalę wykorzystania zestandaryzowanych środków identyfikacji elektronicznej oraz liczbę formalnych dokumentów w postaci elektronicznej. Dużo zależy jednak od przygotowania usług prywatnych i publicznych do adaptacji tego rozwiązania. Ważną rolę w tym procesie odegrają państwa członkowskie – kluczowym zadaniem będzie odpowiednie przygotowanie infrastruktury nie tylko prawnej, ale też teleinformatycznej do rozpoczęcia nowego rozdziału w komunikacji elektronicznej w Europie.
Autor
Sylwester Szczepaniak
Radca prawny, ekspert w obszarze paperless oraz EIDAS. Wieloletni pracownik Ministerstwa Cyfryzacji, koordynator prac legislacyjnych w obszarze doręczeń elektronicznych.
