Od 1 lipca 2025 r. zaczynają obowiązywać dwie istotne regulacje unijne, które wpłyną nie tylko na sektor technologiczny, ale również na cały ekosystem usług cyfrowych – mowa o rozporządzeniu eIDAS 2 oraz Akcie o Usługach Cyfrowych (DSA). Nowe przepisy zmieniają sposób funkcjonowania identyfikacji cyfrowej, weryfikacji tożsamości i bezpieczeństwa treści online. W niniejszym artykule omawiam szczegółowo oba akty prawne, ich zakres, cele oraz praktyczne skutki dla przedsiębiorców i użytkowników.
Czym jest eIDAS 2 i jakie zmiany wprowadza?
Rozporządzenie eIDAS (Electronic Identification, Authentication and Trust Services), obowiązujące od 2014 roku, ustanowiło podstawy funkcjonowania usług zaufania w Unii Europejskiej. Jednak wraz z dynamicznym rozwojem technologii cyfrowych, potrzeba jego nowelizacji stała się oczywista. Nowa wersja, tzw. eIDAS 2, została formalnie przyjęta i wejdzie w życie z dniem 1 lipca 2025 r. Jej głównym założeniem jest wprowadzenie Europejskiego Portfela Tożsamości Cyfrowej (European Digital Identity Wallet).
Portfel cyfrowy ma umożliwić obywatelom i przedsiębiorcom bezpieczne logowanie się i uwierzytelnianie w usługach publicznych oraz prywatnych na terenie całej UE. Co istotne, użytkownik będzie miał pełną kontrolę nad swoimi danymi i możliwość ich selektywnego udostępniania. Dzięki temu eIDAS 2 ma z jednej strony podnieść poziom bezpieczeństwa, a z drugiej zagwarantować użytkownikowi prywatność.
W praktyce oznacza to, że cyfrowy portfel będzie mógł zawierać nie tylko dowód osobisty, ale również inne dane identyfikacyjne, np. uprawnienia zawodowe, dane dotyczące kwalifikacji czy certyfikaty. Będzie on kompatybilny z aplikacjami państwowymi i komercyjnymi systemami identyfikacji.
Z perspektywy RODO, kluczowym aspektem pozostaje zgodność przetwarzania danych zawartych w portfelu z zasadami minimalizacji, celowości i integralności danych. Operatorzy portfeli oraz dostawcy usług zaufania muszą zapewnić techniczne i organizacyjne środki zabezpieczające dane zgodnie z art. 32 RODO.
Wpływ eIDAS 2 na sektor prywatny i publiczny
eIDAS 2 wymusza nowy standard współpracy między podmiotami publicznymi i prywatnymi. Wszystkie duże platformy cyfrowe (w rozumieniu DSA) będą zobowiązane do akceptowania Europejskiej Tożsamości Cyfrowej. Oznacza to konieczność dostosowania procesów logowania, rejestracji czy weryfikacji klienta (KYC) do nowych wymogów. Szczególnie istotne będzie to dla sektora finansowego, ubezpieczeniowego, e-commerce oraz edukacji zdalnej.
Warto dodać, że portfel cyfrowy nie ogranicza się do funkcji logowania. Może być również narzędziem do podpisywania dokumentów kwalifikowanym podpisem elektronicznym, co dodatkowo wspiera rozwój e-usług i transformację cyfrową.
Digital Services Act – nowe reguły odpowiedzialności platform cyfrowych
Akt o Usługach Cyfrowych (DSA) stanowi komplementarne uzupełnienie eIDAS 2. Ma na celu stworzenie bezpieczniejszego, bardziej przejrzystego i sprawiedliwego środowiska online. DSA wprowadza jednolite zasady dla dostawców usług cyfrowych, zwłaszcza platform pośredniczących, takich jak marketplace’y, media społecznościowe czy wyszukiwarki.
Rozporządzenie wprowadza kategorie dostawców: od dostawców hostingu po bardzo duże platformy internetowe (VLOP) i wyszukiwarki (VLOSE). Im większy wpływ platformy na społeczeństwo, tym bardziej rygorystyczne obowiązki. Duże podmioty będą zobowiązane do:
- identyfikowania i usuwania nielegalnych treści,
- przeciwdziałania zagrożeniom systemowym (np. dezinformacja, nielegalny handel),
- zapewnienia przejrzystości reklam,
- ochrony małoletnich użytkowników przed profilowaniem,
- współpracy z organami nadzoru i udostępniania danych dotyczących funkcjonowania algorytmów.
Dla sektora FinTech, compliance z DSA oznacza konieczność przeglądu polityk moderacji treści, zarządzania ryzykiem oraz procedur zgłaszania i rozpatrywania skarg.
Współzależności między eIDAS 2 a DSA
Choć eIDAS 2 i DSA to odrębne akty prawne, ich funkcjonowanie będzie się zazębiać. Przykładowo, platforma internetowa będzie mogła wykorzystać cyfrową tożsamość do weryfikacji wieku użytkownika, co pozwoli spełnić wymogi DSA dotyczące zakazu kierowania personalizowanych reklam do dzieci. Z kolei obowiązek przyjmowania cyfrowej tożsamości przez duże platformy stanie się narzędziem przeciwdziałania fałszywym kontom i nieautoryzowanym działaniom.
Na styku obu regulacji znajduje się również zagadnienie interoperacyjności systemów i zgodności z zasadami ochrony danych osobowych. Niezwykle ważne jest, aby w projektowaniu narzędzi opartych o eID zachować zasadę „privacy by design” oraz „data minimisation”, co oznacza, że platformy powinny przetwarzać wyłącznie te dane, które są niezbędne do realizacji konkretnego celu.
Nowe obowiązki administratorów danych i dostawców usług
Wprowadzenie eIDAS 2 i DSA nie pozostaje bez wpływu na obowiązki administratorów danych osobowych. Konieczne jest przeprowadzenie rewizji dotychczasowych rejestrów czynności przetwarzania, polityk prywatności oraz umów powierzenia danych. Nowe technologie identyfikacyjne wymagają szczegółowej analizy ryzyk (DPIA) oraz zapewnienia zgodności z art. 25 RODO (privacy by default and by design).
Również dostawcy usług zaufania muszą podnieść jakość stosowanych środków kryptograficznych, zabezpieczeń infrastruktury oraz procedur weryfikacyjnych. Nadzór nad tym segmentem został powierzony krajowym organom nadzorczym oraz ENISA – Agencji Unii Europejskiej ds. Cyberbezpieczeństwa.
Podsumowanie
Zarówno eIDAS 2, jak i DSA stanowią kamienie milowe w rozwoju europejskiej przestrzeni cyfrowej. Z jednej strony wzmacniają prawa użytkowników i podnoszą poziom bezpieczeństwa, z drugiej natomiast nakładają na przedsiębiorców nowe, niekiedy wymagające obowiązki. Moim zdaniem, sukces implementacji tych regulacji zależy od gotowości technologicznej, ale również dojrzałości organizacyjnej firm, które muszą pogodzić zgodność prawna z efektywnością działania. Warto już teraz podjąć przygotowania do nadchodzących zmian, by nie tylko spełnić nowe standardy, ale też budować przewagę konkurencyjną opartą na zaufaniu i zgodności z regulacjami.
Bezpłatna analiza Twojej firmy
Skorzystaj z naszego doświadczenia w prawie i podatkach. Po kontakcie przeprowadzimy dla Ciebie analizę sytuacji Twojej firmy i wskażemy, jakie działania warto podjąć, by zminimalizować ryzyko i maksymalizować korzyści.
- Indywidualne podejście: Każda firma jest wyjątkowa – dlatego analizujemy Twoje potrzeby.
- Praktyczne rekomendacje: Po naszej analizie otrzymasz klarowne wskazówki, które pomogą wprowadzić realne zmiany w Twojej firmie.
- Bezpłatna konsultacja wstępna: Pierwszy krok do współpracy nie wiąże się z żadnym zobowiązaniem.
