photo
04.06.2025

Seminarium ws. Europejskich Ram Cyfrowej Tożsamości – relacja

2 czerwca odbyło się zorganizowane przez Urząd Ochrony Danych Osobowychem seminarium on-line pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego”. Spotkanie stało się okazją do wskazania kierunków, które wyznacza rozporządzenie Unii Europejskiej, jeśli chodzi o zwiększenie bezpieczeństwa w zakresie identyfikacji elektronicznej.

Seminarium otworzył Mirosław Wróblewski, prezes UODO, który zaznaczył, że pełne wprowadzenie eIDAS2 to wielka szansa dla wszystkich obszarów codziennej działalności, czy to w sektorze publicznym, czy prywatnym. Jak dodał: „Dziś sfera cyfrowa jest najistotniejsza w sensie świadczenia wszelkiego rodzaju usług”.

Prezes UODO zwrócił również uwagę na istotną z punktu widzenia Urzędu kwestię potwierdzania wieku w eIDAS2, bo dotyczy ona ochrony danych osobowych nieletnich, tak kluczowej dla bieżących działań UODO.

Prezes Mirosław Wróblewski podziękował też obecnej  na seminarium przedstawicielce Ministerstwa Cyfryzacji za zainteresowanie poruszaną tematyką.

Podczas pierwszego panelu spotkania skupiono się na zagadnieniu ochrony danych osobowych w kontekście eIDAS2 i na samym znaczeniu tego aktu prawnego.

Co nas czeka?

Michał Tabor, członek zarządu firmy doradczej Obserwatorium.biz, w swoim wystąpieniu zauważył, że eIDAS2 stanowi zbiór rozwiązań, które już znamy, ale pojawia się w nim także wiele nowych regulacji (same podstawy prawne dla eIDAS2 to rozporządzenie eIDAS z 2014 r.), które weszły w życie w maju 2024 r. i są stopniowo wprowadzane na polskim gruncie. Według eksperta najważniejszym jednak momentem w pełnym wprowadzeniu eIDAS2 będzie implementacja Europejskiego Portfela Tożsamości (grudzień 2026), który można traktować jako flagowy element rozporządzenia. Ważnym aspektem w kontekście obowiązywania eIDAS2 będzie również uporządkowanie kwestii podpisów elektronicznych, bo niektóre z nich znalazły częste zastosowanie, ale są też rodzaje podpisów, które zwłaszcza w Polsce nie są chętnie wykorzystywane.

Jak zaznaczył Michał Tabor, rozwiązania funkcjonalne Europejskiego Portfela Tożsamości zapewne będą w Polsce bazowały na rozwiązaniach znanych dzisiaj z aplikacji mObywatel (do końca 2027 r. EPT ma zostać wprowadzony także dla firm).

Tomasz Izydorczyk ze Społecznego Zespołu Ekspertów przy Prezesie UODO, w swoim wystąpieniu przedstawił zaś kwestię identyfikacji, uwierzytelnień oraz atrybutów w eIDAS2. Zwrócił uwagę, że przepisy Europejskiego Portfela współgrają z zasadą minimalizacji danych oraz bezpośrednio wynikają z art. 20 RODO, który mówi o przenoszeniu danych na prośbę ich właściciela. Dotyczy to szczególnie jednego z głównych elementów Europejskiego Portfela, którym są atrybuty, czyli zestawy danych, którym ich właściciel przypisuje wyjątkową rangę (mogą to być informacje dot. wielu dziedzin życia), i to on decyduje o sposobie ich selekcjonowania, w momencie gdy chce je przekazać dalej.

Jak podkreślali wszyscy dyskutanci, niezwykle istotne w Europejskim Portfelu jest to, że wszystkie jego komponenty będą musiały być certyfikowane, a każdy, kto będzie takiego portfela używał, na terenie UE zostanie rozpoznany w ten sam sposób.

W czasie drugiego panelu specjaliści omówili zagadnienie zaufania w usługach elektronicznych.

Cyfrowa tożsamość i weryfikacja

Barbara Sawina z Polskiej Izby Informatyki i Telekomunikacji powiedziała w tym kontekście, że celem unijnym jest zapewnienie obywatelom do roku 2030 pełnej zaufanej tożsamości cyfrowej, i dzięki temu uda się też uzyskać harmonizację cyfrową, tzn. zmniejszenie ryzyk i kosztów związanych z istnieniem wielu oddzielnych rozwiązań cyfrowych podobnych do Europejskiego Portfela.

Z kolei Krzysztof Król, zastępca dyrektorki Departamentu Współpracy Międzynarodowej UODO, przybliżył problem weryfikacji wieku najmłodszych użytkowników internetu. Jak wyjaśnił, z korzyścią dla wszystkich obecnie jest przyjmowanych coraz więcej przepisów ograniczających dostęp do treści dla wybranych grup wiekowych. Co więcej, ograniczenia te należy dziś rozumieć – również w odniesieniu do eIDAS2 – nieco inaczej: ważne jest bowiem uzyskanie pewności, że użytkownikami stron internetowych przeznaczonych dla dzieci są tylko i wyłącznie dzieci (tzn. że na stronach dla nieletnich w danym przedziale wiekowym przebywają osoby tylko w tym wieku), dlatego trzeba raczej mówić o pojęciu zapewniania wieku (np. sprawdzanie na różne sposoby liczby ukończonych lat dla stron o danym zakresie wiekowym, a nie pytanie o datę urodzin wybieraną w szablonie kalendarza). Poza tym system weryfikacji musi być prosty dla obu stron. Jak wskazał ekspert UODO, także Europejska Rada Ochrony Danych przyjęła oświadczenie o zapewnieniu wieku. Dodatkowym narzędziem dla tej procedury może być parentyzacja (opiekun prawny potwierdza wiek nieletniego).

W tej perspektywie kolejny z panelistów, Maciej Groń z Dyżurnetu – punktu kontaktowego w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK) – rozwinął temat internetowych zagrożeń dla nieletnich i przypomniał, że dzisiaj nie mówimy już o pornografii dziecięcej, ale o treściach wykorzystujących dzieci.

W trakcie trzeciego panelu dyskutanci zastanawiali się nad elementami, z których składa się ekosystem zaufania w eIDAS2.

Grzegorz Wójcik z platformy Autenti wymienił wśród nich takie przydatne funkcjonalności jak znacznik czasu (każdy dokument zamieszczony choćby w naszym elektronicznym portfelu ma swoje określenie ważności w czasie, a niektóre z dokumentów w razie potrzeby i w ramach przepisów mogą być aktualizowane) czy walidator danych (ukrywający niektóre dane wzajemnie przed obiema stronami transakcji przeprowadzanej w internecie – wg zasady, że zasadniczo więcej danych jest zbieranych niż pokazywanych). Istotne jest również to, że wszystkie usługi zaufania w eIDAS2 mają być oparte na wspólnych normach technicznych, co jest ważne szczególnie przy transgranicznych operacjach przetwarzania danych.

Z kolei Robert Podpłoński z Krajowej Izby Rozliczeniowej jeszcze raz odwołał się do kwestii minimalizacji danych w odniesieniu do certyfikatów elektronicznych przewidywanych w eIDAS2.

W czasie dyskusji Rafał Prabucki ze Społecznego Zespołu Ekspertów przy Prezesie UODO omówił też zagadnienia dotyczące spójnych elektronicznych rozwiązań organizacyjnych i przypomniał, że oprócz samego eIDAS2 należy rozpatrywać rozporządzenia wykonawcze do tego aktu.

Usługi zgodne z RODO i pod kontrolą

W panelu czwartym Monika Krasińska, dyrektor Departamentu Prawa i Nowych Technologii UODO, skupiła się na obowiązkach administratorów i dostawców usług zaufania w kontekście ochrony danych osobowych. Podkreśliła, że aby proces wdrażania eIDAS2 był skuteczny, musi zawierać odpowiednie ramy przepisów krajowych, ponieważ UE już od kilku lat w swoich dokumentach wyjaśnia, że bardzo istotne jest zapewnienie pełnego dostępu do produktów cyfrowych obywatelom Unii, ale też jednocześnie przyjęcie, że ten dostęp jest bezpieczny i uwzględnia ryzyka. Zatem obywatele UE powinni mieć prawo do tożsamości cyfrowej, która jest projektem opartym na decyzji człowieka i podlega jego kontroli.

W tym sensie – zauważyła dyr. Krasińska – trzeba tłumaczyć, że eIDAS2 ma tworzyć wartość gospodarczą przy ograniczeniu kosztów operacyjnych, a dzięki nowym przepisom również administratorzy danych uzyskują większy obszar do swojej działalności i zyskują zaufanie, podobnie zresztą jak podmioty danych.

Podsumowując swoje wystąpienie, ekspertka UODO podkreśliła, że Europejskie Ramy Tożsamości Cyfrowej usprawniają także kwestię zgłaszania incydentów do organów nadzorczych i m.in. dzięki temu możemy powiedzieć, że eIDAS2 utrzymuje standardy ochrony danych osobowych, a nawet w tej sprawie zawiesza poprzeczkę wyżej.

Poprawa cyberbezpieczeństywa

W wystąpieniu zamykającym prof. Dariusz Szostek z Uniwersytetu Śląskiego przypomniał, jakie były powody i cele, które przeświecały stworzeniu eIDAS2, oraz odniósł się do wyzwań i szans, które stoją przed obywatelami UE. Stwierdził, że głównym założeniem było przekazanie użytkownikom sieci kontroli nad swoimi danymi oraz przede wszystkim rozszerzenie obszaru cyberbezpieczeństwa (na gruncie polskim pilotażem tej strategii myślenia jest system mObywatel). Zwrócił jednak uwagę na problemy, które trzeba rozwiązać. A jednym z nich jest to, że podstawowe kompetencje cyfrowe posiada 43 proc. Polaków.

„Zauważalny jest też problem słabej świadomości cyfrowej wśród kadr zarządzających” – dodał.

Wyjątkowym wyzwaniem zatem – w przekonaniu prof. Szostka – będzie ostateczne uruchomienie w naszym kraju Europejskiego Portfela Tożsamości do 24 grudnia 2026 r., tym bardziej że poważnym ryzykiem wydaje się brak legislacji dla rozwiązań cyfrowych na rzecz administracji publicznej (proces dostosowania się do nowych przepisów wypada natomiast lepiej w sektorze biznesowym, który z natury działa szybciej).

„W sytuacji, w której dziś się znaleźliśmy, cyberbezpieczeństwo ma wymiar kluczowy, bo jesteśmy w środku wojny cyfrowej” – podkreślił prof. Szostek i skonkludował: „EIDAS2 zmusza nas do myślenia o analizie komponentów danych, tak jak RODO zmusiło nas do myślenia o danych osobowych”.

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2025-06-04
Wprowadził informację:
user Edyta Madziar
date 2025-06-04 09:06:36
Ostatnio modyfikował:
user Przemysław Skrzydelski
date 2025-06-04 11:14:37

Galeria zdjęć

Zdjęcie z seminarium on-line pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego” Zdjęcie z seminarium on-line pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego” Zdjęcie z seminarium on-line pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego” Zdjęcie z seminarium on-line pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego” Zdjęcie z seminarium on-line pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego” Zdjęcie z seminarium on-line pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego” Zdjęcie z seminarium on-line pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego” Zdjęcie z seminarium on-line pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego” Zdjęcie z seminarium on-line pt. „Europejskie Ramy Cyfrowej Tożsamości (eIDAS2) w praktyce – nowe możliwości identyfikacji i uwierzytelniania w służbie ochrony danych. Korzyści i potencjał rozwoju dla biznesu i sektora publicznego”