- ZPP pozytywnie ocenia kierunek wdrożenia eIDAS 2.0 i budowy europejskiego portfela tożsamości cyfrowej w Polsce.
- Aplikacja mObywatel jest jednym z najbardziej udanych i pionierskich projektów cyfryzacyjnych państwa polskiego, który należy traktować jako strategiczny fundament dalszego rozwoju usług cyfrowych.
- Projekt wymaga jednoznacznego określenia docelowego modelu relacji między europejskim portfelem tożsamości cyfrowej a aplikacją mObywatel.
- Z perspektywy obywatela i rynku powinien istnieć jeden spójny ekosystem usług cyfrowych państwa, a nie dwa równoległe i odseparowane rozwiązania.
- Projekt powinien zostać doprecyzowany tak, aby nie prowadził do dublowania integracji, wzrostu kosztów po stronie przedsiębiorców i dezorientacji użytkowników.
- Należy uzupełnić projekt o rozwiązania odpowiadające potrzebom sektorów regulowanych, zwłaszcza w obszarze AML/KYC oraz silnego uwierzytelniania klienta.
- Mechanizm selektywnego udostępniania danych nie może uniemożliwiać przekazania pełnego zestawu danych wymaganych ustawowo przez stronę ufającą.
- Projekt wymaga również korekty techniczno-legislacyjnej w zakresie błędnego odesłania w art. 22a ust. 2 pkt 2.
Związek Przedsiębiorców i Pracodawców pozytywnie ocenia sam kierunek projektowanej regulacji, której celem jest dostosowanie krajowego porządku prawnego do zmian wynikających z rozporządzenia eIDAS 2.0 oraz ustanowienie podstaw dla funkcjonowania europejskiego portfela tożsamości cyfrowej w Polsce. Projekt odpowiada na rzeczywisty obowiązek wdrożeniowy po stronie państwa członkowskiego i dotyka kwestii fundamentalnych dla dalszej cyfryzacji usług publicznych i prywatnych. Obejmuje on bowiem identyfikację elektroniczną, elektroniczne poświadczenia atrybutów, transgraniczne uwierzytelnianie oraz budowę zaufanej infrastruktury dla rozwoju usług cyfrowych.
Jednocześnie ZPP podkreśla, że powodzenie wdrożenia eIDAS 2.0 w Polsce będzie zależało nie tylko od formalnego dostosowania przepisów krajowych do prawa unijnego, ale również od jakości modelu krajowego, jego prostoty, interoperacyjności, proporcjonalności kosztowej oraz praktycznej użyteczności dla obywateli i przedsiębiorców.
mObywatel jako strategiczny dorobek polskiej cyfryzacji
W ocenie ZPP aplikacja mObywatel stanowi jedno z najważniejszych osiągnięć polskiej administracji cyfrowej ostatnich lat. Jest to rozwiązanie pionierskie, szeroko rozpoznawalne społecznie, skutecznie wdrożone i oswojone przez obywateli, a zarazem będące dowodem, że państwo może tworzyć nowoczesne, użyteczne i masowo wykorzystywane narzędzia cyfrowe. Skala upowszechnienia mObywatela pokazuje, że Polska dysponuje już dziś realnym kapitałem instytucjonalnym, technologicznym i społecznym, który powinien być punktem wyjścia do dalszej implementacji europejskich ram tożsamości cyfrowej, a nie rozwiązaniem marginalizowanym lub stopniowo wygaszanym bez jasno określonej ścieżki integracji.
Z perspektywy ZPP mObywatel zasługuje więc nie tylko na pozytywną ocenę, ale także na formalne potraktowanie jako naturalny fundament wdrożenia nowych funkcji wynikających z eIDAS 2.0. Polska powinna budować na tym, co już działa dobrze, co zdobyło zaufanie obywateli i co może stanowić konkurencyjną przewagę w zakresie cyfryzacji usług publicznych.
Konieczne jest jednoznaczne określenie docelowego modelu integracji obu aplikacji
Najważniejszym problemem projektu pozostaje brak pełnej jasności co do docelowej relacji pomiędzy aplikacją mObywatel a europejskim portfelem tożsamości cyfrowej. Obecnie komunikowane są równolegle dwa różne kierunki. Z jednej strony uzasadnienie projektu opisuje oba rozwiązania jako całkowicie niezależne od siebie i wskazuje na okres przejściowy oparty na równoległym funkcjonowaniu dwóch aplikacji.
Z drugiej strony w przestrzeni publicznej pojawiają się deklaracje, że po etapie pilotażu europejski portfel zostanie docelowo zintegrowany z ekosystemem mObywatela. Ta niespójność osłabia przewidywalność otoczenia regulacyjnego i utrudnia planowanie po stronie rynku.
ZPP postuluje zatem jednoznaczne doprecyzowanie projektu ustawy oraz uzasadnienia tak, aby jasno wskazać docelowy model integracji obu rozwiązań i potwierdzić, że europejski portfel tożsamości cyfrowej znajdzie się w ekosystemie istniejącej już polskiej aplikacji. W naszej ocenie takie rozwiązanie jest najbardziej racjonalne z punktu widzenia interesu publicznego, doświadczenia użytkownika oraz efektywności wdrożenia.
Należy usunąć z projektu podział na dwa odrębne rozwiązania
Uwagi do projektu trafnie wskazują, że nowelizacja ustawy o aplikacji mObywatel utrwala rozgraniczenie pomiędzy aplikacją mObywatel a europejskim portfelem jako dwoma odmiennymi rozwiązaniami. Taka konstrukcja może prowadzić do poważnych problemów prawnych i praktycznych. Wielu przedsiębiorców, w tym z sektorów finansowego i telekomunikacyjnego, zainwestowało już zasoby w integrację z krajowym rozwiązaniem. Jeżeli nowe funkcjonalności miałyby być świadczone w ramach dwóch odrębnych środowisk, przedsiębiorcy byliby zmuszeni do ponownego budowania integracji i utrzymywania zgodności z dwiema architekturami jednocześnie.
ZPP rekomenduje zatem zmianę zapisów projektu, w tym przepisów dotyczących ustawy o mObywatelu, tak aby nie tworzyły one dwóch odizolowanych systemów. Preferowanym kierunkiem powinno być odpowiednie technologiczne dostosowanie aplikacji mObywatel i nadanie jej statusu certyfikowanego EPTC. Takie podejście najlepiej odpowiada interesowi obywateli, przedsiębiorców i państwa.
Z perspektywy obywatela powinno istnieć jedno, intuicyjne środowisko usług cyfrowych
ZPP w pełni podziela argument, że obywatel nie powinien być obciążany koniecznością rozróżniania pomiędzy różnymi państwowymi narzędziami tożsamości cyfrowej. Użytkownicy są już przyzwyczajeni do aplikacji mObywatel jako podstawowego medium dla dokumentów cyfrowych i potwierdzania tożsamości. Wprowadzenie drugiego narzędzia, nawet jeśli formalnie uzasadnionego wymogami certyfikacyjnymi, może prowadzić do dezorientacji i osłabienia adopcji nowego rozwiązania.
W ocenie ZPP z perspektywy obywatela powinna istnieć jedna aplikacja, w której aktywacja funkcjonalności zgodnych z eIDAS 2.0 następuje w sposób możliwie niewidoczny dla użytkownika. Europejski wymiar systemu powinien być zintegrowany na poziomie funkcjonalnym i technologicznym, bez przerzucania ciężaru zrozumienia architektury systemu na obywatela.
Projekt wymaga korekty w zakresie błędnego odesłania legislacyjnego
W uwagach trafnie wskazano również problem stricte legislacyjny, który nie powinien zostać pominięty. Projektowany art. 22a ust. 2 pkt 2 odwołuje się do ust. 4 pkt 3, który, jak wynika z treści projektu, nie istnieje. Tego rodzaju błąd redakcyjny może prowadzić do niejasności interpretacyjnych i powinien zostać usunięty na etapie dalszych prac legislacyjnych. ZPP postuluje zatem techniczno-legislacyjne skorygowanie tego przepisu, tak aby odesłanie było precyzyjne i nie budziło wątpliwości co do zakresu danych, których może żądać strona ufająca w przypadku niejednoznacznego dopasowania tożsamości.
Minimalny zestaw danych jest niewystarczający dla procesów AML/KYC
Kolejnym istotnym problemem jest zakres danych przewidzianych dla systemu scentralizowanego. Uwagi do projektu słusznie wskazują, że katalog danych oparty na minimalnym zestawie określonym w rozporządzeniu wykonawczym 2015/1501 nie odpowiada potrzebom sektorów objętych obowiązkami AML/KYC. Brakuje w nim danych kluczowych z perspektywy instytucji obowiązanych, takich jak seria i numer dokumentu tożsamości, data ważności dokumentu, miejsce urodzenia rozumiane jako miasto oraz kraj urodzenia. W praktyce oznacza to, że instytucje obowiązane, w tym instytucje pożyczkowe, nie będą mogły polegać wyłącznie na portfelu przy onboardingu klienta, zawieraniu umów czy procesowaniu transakcji.
ZPP rekomenduje rozszerzenie projektowanego podejścia lub przynajmniej jednoznaczne doprecyzowanie, w jaki sposób system ma odpowiadać na potrzeby sektorów regulowanych. W przeciwnym razie powstanie rozwiązanie, które z perspektywy części rynku będzie miało charakter jedynie pomocniczy i nie zastąpi istniejących procedur weryfikacyjnych.
Mechanizm selektywnego udostępniania danych musi uwzględniać obowiązki ustawowe stron ufających
ZPP dostrzega wartość selektywnego udostępniania danych jako rozwiązania wzmacniającego ochronę prywatności i zasadę minimalizacji danych. Jednocześnie należy jasno wskazać, że w wielu przypadkach strona ufająca działa w reżimie obowiązków ustawowych. W takich sytuacjach nie może ona opierać się na niepełnym zestawie informacji przekazanych według swobodnego wyboru użytkownika, jeżeli do zawarcia umowy albo przeprowadzenia transakcji niezbędny jest pełen pakiet danych. Mechanizm ten powinien umożliwiać stronie ufającej wymuszenie konkretnego profilu danych, jeśli jest on wymagany prawem lub charakterem danej usługi.
Dlatego ZPP postuluje, aby użytkownik miał w takim przypadku jasny wybór: albo udostępnia wszystkie dane wymagane ustawowo dla skorzystania z danej usługi, albo rezygnuje z usługi. Rozwiązanie to lepiej godzi ochronę danych z potrzebą zgodności regulacyjnej i bezpieczeństwa obrotu.
Wdrożenie powinno minimalizować koszty i wykorzystywać dorobek mObywatela
Uwagi do projektu zwracają również uwagę na wymiar kosztowy. Utrzymanie i rozwój jednego ekosystemu opartego o kod i architekturę mObywatela mogłoby znacząco ograniczyć długofalowe koszty wdrożenia i utrzymania. Rozdzielanie środków na rozwój mObywatela oraz odrębnego oprogramowania portfela może prowadzić do nieefektywności, a w skrajnym przypadku do zarzutów o niegospodarność.
ZPP uważa ten argument za istotny. Państwo powinno maksymalnie wykorzystywać już istniejące inwestycje technologiczne i społeczne, zwłaszcza gdy dotyczą one rozwiązania tak dobrze zakorzenionego jak mObywatel. Wdrożenie eIDAS 2.0 powinno wzmacniać istniejący ekosystem, a nie prowadzić do jego fragmentacji.
Potrzebna jest jasność co do zgodności z wymogami silnego uwierzytelniania klienta
W uwagach słusznie wskazano również brak jasności co do tego, czy mObywatel lub EPTC będą spełniały wymogi silnego uwierzytelniania klienta w kontekście transakcji płatniczych i dostępu do rachunków. Jest to kwestia szczególnie istotna dla sektora finansowego, płatniczego i fintechowego. Bez jednoznacznego wyjaśnienia tej relacji rynek nie będzie w stanie ocenić praktycznej użyteczności nowego rozwiązania w procesach wymagających zgodności z regulacjami sektorowymi.
ZPP postuluje więc uzupełnienie projektu, uzasadnienia lub OSR o jasne stanowisko w zakresie zgodności projektowanego rozwiązania z wymogami SCA oraz jego potencjalnego wykorzystania w procesach regulowanych rynku finansowego.
Postulaty ZPP
- jednoznaczne określenie w ustawie i uzasadnieniu docelowego modelu integracji aplikacji mObywatel i europejskiego portfela tożsamości cyfrowej,
- usunięcie z projektu podziału na dwa odrębne rozwiązania i przyjęcie modelu opartego na integracji funkcjonalnej w ramach ekosystemu mObywatela,
- dostosowanie projektu, w tym przepisów dotyczących ustawy o mObywatelu, tak aby aplikacja mogła zostać odpowiednio przystosowana technologicznie i uzyskać status certyfikowanego EPTC,
- zachowanie perspektywy obywatela jako użytkownika jednego, intuicyjnego środowiska usług cyfrowych państwa,
- korektę błędnego odesłania w projektowanym art. 22a ust. 2 pkt 2,
- uzupełnienie modelu danych albo doprecyzowanie projektu tak, aby portfel mógł lepiej odpowiadać na obowiązki AML/KYC,
- zapewnienie stronie ufającej możliwości żądania pełnego, ustawowo wymaganego pakietu danych w ramach mechanizmu selektywnego udostępniania,
- przyjęcie modelu wdrożenia, który będzie minimalizował koszty integracji, utrzymania i migracji po stronie przedsiębiorców oraz państwa,
- doprecyzowanie zgodności projektowanego rozwiązania z wymogami silnego uwierzytelniania klienta.