Healthcare Poland Foundation, Polska Federacja Szpitali oraz Global Healthcare Systems Hub wskazują na konsekwencje niezgodności aplikacji mObywatel z rozporządzeniem eIDAS 2.0 — wykraczające daleko poza dokument tożsamości. W grze jest dostęp polskich pacjentów do transgranicznej wymiany danych zdrowotnych, bezpieczeństwo medyczne oraz konkurencyjność polskiego sektora usług zdrowotnych w Europie.
Ministerstwo Cyfryzacji opublikowało na stronie Rządowego Centrum Legislacji projekt nowelizacji ustawy o usługach zaufania oraz identyfikacji elektronicznej (UC122). Uzasadnienie projektu zawiera bezprecedensowe przyznanie: aplikacja mObywatel jest architektonicznie niezgodna z rozporządzeniem eIDAS 2.0 i nie może pełnić funkcji Europejskiego Portfela Tożsamości Cyfrowej (EUDI Wallet). Dostosowanie istniejącej aplikacji do wymogów unijnych zostało uznane za technicznie niemożliwe. Konsekwencje są daleko idące: konieczność budowy zupełnie nowej aplikacji od podstaw, brak możliwości automatycznej migracji danych 11 milionów użytkowników oraz konieczność równoległego utrzymywania dwóch systemów w okresie przejściowym. Skala problemu skłoniła posła do Parlamentu Europejskiego Kosmę Złotowskiego do złożenia pytania poselskiego (E-000763/2026) do Komisji Europejskiej.
Polska była prekursorem cyfrowej tożsamości w Europie, wprowadzając mDowód jako pełnoprawny dokument tożsamości już w 2023 r. — znacznie wyprzedzając inne państwa członkowskie. Jednak właśnie ten pionierski charakter, zbudowany na krajowych założeniach architektonicznych bez antycypowania ram interoperacyjności UE, staje się teraz źródłem systemowej luki.
Jest to modelowy przykład zjawiska, które w branży IT określa się mianem „długu architektonicznego” (architectural debt) — sytuacji, w której szybkie wdrożenie rozwiązania krajowego bez uwzględnienia nadchodzących standardów europejskich generuje późniejsze koszty rzędu wielokrotności początkowej inwestycji. Dokładnie to samo ryzyko dotyczy obecnie rozwiązań sztucznej inteligencji w sektorze zdrowia budowanych bez uwzględnienia AI Act, EHDS i standardów certyfikacji — co jest przedmiotem prac piaskownicy regulacyjnej GRAI przy Ministerstwie Cyfryzacji.
Healthcare Poland Foundation, działając we współpracy z Polską Federacją Szpitali oraz Global Healthcare Systems Hub, deklaruje gotowość do udziału w konsultacjach publicznych projektu UC122 oraz do wsparcia eksperckiego w projektowaniu warstwy zdrowotnej nowego portfela tożsamości cyfrowej. Dostęp polskich pacjentów do transgranicznej wymiany danych zdrowotnych nie może być ofiarą długu architektonicznego.
– Polska była pionierem cyfrowej tożsamości w Europie. Teraz musi być pionierem jej naprawy — nie tylko po to, by polscy obywatele mogli podróżować z telefonem zamiast z plastikowym dowodem, ale przede wszystkim po to, by polscy pacjenci mogli bezpiecznie korzystać z opieki zdrowotnej w całej Unii Europejskiej, z pełnym dostępem lekarza do ich danych medycznych. Brak interoperacyjności polskiego systemu tożsamości cyfrowej z EUDI Wallet oznacza, że: pacjenci zagraniczni przyjeżdżający do Polski nie będą mogli automatycznie udostępnić polskim lekarzom swoich danych zdrowotnych za pomocą portfela, polscy świadczeniodawcy nie będą mogli w sposób zharmonizowany potwierdzić tożsamości pacjenta transgranicznego, a dokumentacja medyczna wytworzona w Polsce może napotykać problemy z uznawalnością w systemach EHDS innych państw członkowskich. Tworzy to ryzyko powstania „cyfrowej wyspy” – systemu funkcjonalnego wewnątrz kraju, ale odciętego od europejskiego ekosystemu zdrowia cyfrowego. W praktyce oznacza to utratę przewagi konkurencyjnej na rzecz krajów, które wdrożą EUDI Wallet terminowo – m.in. Estonii, Finlandii, Austrii czy Danii – wskazuje Michał Dybowski, Prezes Healthcare Poland Foundation, dyrektor Departamentu Bezpieczeństwa i Zrównoważonego Rozwoju Polskiej Federacji, Forum Ekspertów Ad Rem.
Ministerstwo Cyfryzacji wskazało dwa strukturalne powody, dla których mObywatel nie może zostać przekształcony w EUDI Wallet.
- Model weryfikacji tożsamości. mObywatel potwierdza tożsamość i obywatelstwo użytkownika na podstawie „dokumentu mObywatel” — krajowego konstruktu prawnego. Tymczasem eIDAS 2.0 wymaga potwierdzania tożsamości poprzez dane identyfikujące osobę (person identification data) w rozumieniu art. 3 pkt 3 rozporządzenia eIDAS oraz rozporządzenia wykonawczego Komisji (UE) 2024/2977. To różnica nie kosmetyczna, lecz architektoniczna – dotycząca samego fundamentu tożsamości cyfrowej.
- Architektura udostępniania danych. mObywatel operuje w modelu bezpośredniego połączenia z rządową infrastrukturą teleinformatyczną — dokumenty są pobierane wprost na urządzenie użytkownika, bez instytucjonalnego pośrednika. Rozporządzenie eIDAS 2.0 wymaga natomiast zaangażowania kwalifikowanych dostawców usług zaufania (Qualified Trust Service Providers, QTSP), w tym podmiotów prywatnych, jako elementów łańcucha zaufania. Ten model jest fundamentem interoperacyjności transgranicznej.
Europejski Portfel Tożsamości Cyfrowej pełni w architekturze Europejskiej Przestrzeni Danych Zdrowotnych (EHDS) rolę warstwy uwierzytelniającej. To portfel umożliwi pacjentowi autoryzację dostępu lekarza w innym kraju członkowskim do kluczowych danych medycznych: podsumowania leczenia, listy leków, alergii, szczepień, wyników badań. Bez zgodnego z eIDAS 2.0 portfela ten mechanizm nie zadziała — nawet jeśli infrastruktura MyHealth@EU będzie technicznie gotowa po stronie serwerów.
Oznacza to, że niezgodność mObywatela jest bezpośrednią barierą w realizacji prawa pacjenta do transgranicznego dostępu do usług zdrowotnych, gwarantowanego dyrektywą 2011/24/UE. Nie jest to problem odległy — rozporządzenie EHDS (UE 2025/327) weszło w życie 26 marca 2025 r., a obowiązkowa transgraniczna wymiana podsumowań pacjenta i e-recept ma być operacyjna we wszystkich państwach członkowskich do marca 2029 r.
Cztery scenariusze ryzyka dla polskich pacjentów
- Brak dostępu lekarza za granicą do historii choroby. Polak, który trafi do szpitala w Niemczech, Francji czy Hiszpanii, nie będzie mógł za pomocą portfela cyfrowego udostępnić lekarzowi swoich danych medycznych. Lekarz będzie działał bez pełnej informacji klinicznej.
- Ryzyko błędów medycznych. Brak dostępu do aktualnej listy leków, alergii i chorób przewlekłych zwiększa ryzyko interakcji lekowych, nieadekwatnych procedur diagnostycznych i błędnych decyzji terapeutycznych. To nie jest ryzyko teoretyczne — WHO szacuje, że błędy związane z lekami dotykają rocznie milionów pacjentów na świecie, a brak dostępu do pełnej dokumentacji jest jednym z kluczowych czynników.
- Konieczność papierowej dokumentacji. Zamiast cyfrowej wymiany danych, polscy pacjenci będą zmuszeni wozić ze sobą dokumentację papierową lub na nośnikach elektronicznych — rozwiązanie podatne na utratę, uszkodzenie i błędy tłumaczeniowe.
- Wydłużenie czasu diagnostyki i leczenia. Bez dostępu do wyników wcześniejszych badań lekarz za granicą będzie zmuszony zlecać badania od nowa, co wydłuża czas do podjęcia decyzji terapeutycznej i generuje niepotrzebne koszty.
Problem niezgodności mObywatela należy analizować w kontekście czterech wzajemnie powiązanych filarów regulacyjnych, które wspólnie definiują warunki przetwarzania i wymiany danych zdrowotnych w UE.
eIDAS 2.0 (Rozporządzenie 2024/1183) ustanawia ramy tożsamości cyfrowej, w tym wymogi dotyczące kwalifikowanych dostawców usług zaufania i architektury portfela opartej na atestacjach elektronicznych. To mechanizm atestacji umożliwia kontrolowane przez pacjenta udostępnianie danych zdrowotnych.
EHDS (Rozporządzenie 2025/327) buduje na fundamencie eIDAS warstwę sektorową: definiuje kategorie priorytetowych danych zdrowotnych, ustanawia infrastrukturę MyHealth@EU dla użycia pierwotnego oraz HealthData@EU dla użycia wtórnego (badania naukowe, polityka zdrowotna, regulacje). Kluczowe kamienie milowe: marzec 2027 — akty wykonawcze; marzec 2029 — Patient Summaries i e-recepty we wszystkich państwach; marzec 2031 — obrazy medyczne i wyniki laboratoryjne.
NIS2 (Dyrektywa 2022/2555) klasyfikuje podmioty ochrony zdrowia jako operatorów usług kluczowych, nakładając wymogi cyberbezpieczeństwa na cały łańcuch przetwarzania danych zdrowotnych — w tym na infrastrukturę portfela tożsamości cyfrowej.
RODO/GDPR pozostaje nadrzędną ramą ochrony danych osobowych. EHDS działa w ramach RODO, nie obok niego. Brak kompatybilnego portfela oznacza brak możliwości realizacji mechanizmów zgody i kontroli danych wymaganych przez RODO w kontekście transgranicznym.
Awaria jednego elementu — w tym przypadku warstwy tożsamości cyfrowej — paraliżuje cały łańcuch: od uwierzytelnienia pacjenta, przez autoryzację dostępu do danych, po ich bezpieczną wymianę i przetwarzanie.
Co należy zrobić: stanowisko HCPL, PFSz i GHSH
Dla Ministerstwa Cyfryzacji i Ministerstwa Zdrowia
Proces budowy nowej aplikacji portfela tożsamości cyfrowej (mObywatel 3.0) musi od początku uwzględniać architekturę EHDS. Nie wystarczy spełnić wymagania eIDAS 2.0 w warstwie dokumentu tożsamości — portfel musi być przygotowany do obsługi atestacji elektronicznych dotyczących danych zdrowotnych. Rekomendujemy powołanie międzyresortowego zespołu (MC + MZ) odpowiedzialnego za spójność architektoniczną EUDI Wallet z MyHealth@EU. Jednocześnie konieczne jest przyspieszenie prac nad wyznaczeniem krajowego Organu ds. Zdrowia Cyfrowego (National Digital Health Authority) — termin wynikający z EHDS upłynął w czerwcu 2025 r.
Dla szpitali i świadczeniodawców
Szpitale i kliniki przyjmujące pacjentów transgranicznych powinny już teraz dokonywać audytu gotowości swoich systemów HIS pod kątem interoperacyjności z HL7 FHIR — standardem referencyjnym dla EHDS. Polska Federacja Szpitali i Healthcare Poland Foundation oferują w tym zakresie certyfikację TQAMS (Transnational Quality Assurance & Management Standard), która obejmuje gotowość cyfrową, zgodność z wymogami NIS2 oraz procedury opieki transgranicznej.
Dla sektora turystyki medycznej
Operatorzy turystyki medycznej muszą przygotować się na scenariusz, w którym pacjenci z UE będą oczekiwać obsługi za pomocą EUDI Wallet. Brak gotowości polskiej strony stanie się przewagą konkurencyjną krajów, które wdrożą portfel terminowo. Global Healthcare Systems Hub monitoruje ten proces w 56 krajach i udostępnia aktualizacje regulacyjne swoim członkom.
Dla piaskownic regulacyjnych AI
Przypadek mObywatela powinien zostać włączony jako case study do materiałów edukacyjnych piaskownicy regulacyjnej GRAI przy Ministerstwie Cyfryzacji — jako ostrzeżenie przed powielaniem długu architektonicznego w domenie sztucznej inteligencji w zdrowiu.
Kluczowe daty
19 lutego 2026 r. – Publikacja projektu ustawy UC122 na stronie Rządowego Centrum Legislacji.
24 lutego 2026 r. – Pytanie poselskie E-000763/2026 (Kosma Złotowski, ECR) do Komisji Europejskiej.
26 marca 2025 r. – Wejście w życie rozporządzenia EHDS (UE 2025/327).
Koniec 2026 r. – Termin wdrożenia EUDI Wallet we wszystkich państwach członkowskich.
Marzec 2029 r. – Obowiązkowa transgraniczna wymiana Patient Summaries i e-recept.
Marzec 2031 r. – Rozszerzenie o obrazy medyczne, wyniki laboratoryjne, karty wypisu.
