ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2015/1501
z dnia 8 września 2015 r.
w sprawie ram interoperacyjności na podstawie art. 12 ust. 8 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 12 ust. 8,
a także mając na uwadze, co następuje:
(1) Zgodnie z art. 12 ust. 2 rozporządzenia (UE) nr 910/2014 należy ustanowić ramy interoperacyjności do celów współdziałania krajowych systemów identyfikacji elektronicznej notyfikowanych na podstawie art. 9 ust. 1 tegoż rozporządzenia.
(2) Węzły odgrywają kluczową rolę w łączeniu systemów identyfikacji elektronicznej państw członkowskich. Ich rola, w tym funkcje i komponenty „węzła elDAS", została wyjaśniona w dokumentacji dotyczącej instrumentu „Łącząc Europę" ustanowionego rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1316/2013 (2).
(3) Jeżeli państwo członkowskie lub Komisja dostarcza oprogramowanie umożliwiające uwierzytelnianie do węzła eksploatowanego w innym państwie członkowskim, strona, która dostarcza i uaktualnia oprogramowanie wykorzystywane do mechanizmu uwierzytelniającego, może uzgodnić ze stroną hostingującą oprogramowanie sposób zarządzania eksploatacją mechanizmu uwierzytelniającego. Takie porozumienie nie powinno obciążać strony hostingującej niewspółmiernymi wymaganiami technicznymi i kosztami (w tym w zakresie asysty technicznej, odpowiedzialności, hostingu i innych kosztów).
(4) W zakresie uzasadnionym wdrażaniem ram interoperacyjności Komisja - we współpracy z państwami członkowskimi i ze szczególnym uwzględnieniem opinii sieci współpracy, o których mowa w art. 14 lit. d) decyzji wykonawczej Komisji (UE) 2015/296 (3) - może opracować dalsze specyfikacje techniczne zawierające szczegółowe informacje o wymaganiach technicznych określonych w niniejszym rozporządzeniu. Takie specyfikacje powinny zostać opracowane w ramach infrastruktury usług cyfrowych, której dotyczy rozporządzenie (UE) nr 1316/2013, w którym określono środki umożliwiające praktycznego wdrożenia podstawowych elementów systemu identyfikacji elektronicznej.
(5) Wymagania techniczne określone w niniejszym rozporządzeniu powinny mieć zastosowanie niezależnie od wszelkich zmian w specyfikacjach technicznych, które mogłyby zostać opracowane zgodnie z art. 12 niniejszego rozporządzenia.
(6) Przy ustalaniu warunków ram interoperacyjności, określonych w niniejszym rozporządzeniu, w możliwie jak największym stopniu uwzględniono pilotażowy projekt na dużą skalę STORK, w tym opracowane w jego ramach specyfikacje oraz zasady i koncepcje europejskich ram interoperacyjności dla europejskich usług użyteczności publicznej.
(7) Wyniki współpracy pomiędzy państwami członkowskimi zostały w jak największym stopniu wzięte pod uwagę.
(8) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na podstawie art. 48 rozporządzenia (UE) nr 910/2014,
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Przedmiot
Niniejszym rozporządzeniem ustanawia się wymagania techniczne i operacyjne ram interoperacyjności w celu zapewnienia interoperacyjności systemów identyfikacji elektronicznej, które państwa członkowskie zgłaszają Komisji.
Wymagania te obejmują w szczególności:
a) minimalne wymagania techniczne związane z poziomami zaufania i przyporządkowanie krajowych poziomów zaufania notyfikowanych środków identyfikacji elektronicznej wydanych w ramach notyfikowanych systemów identyfikacji elektronicznej zgodnie z art. 8 rozporządzenia (UE) nr 910/2014, określone w artykułach 3 i 4;
b) minimalne wymagania techniczne dotyczące interoperacyjności, określone w artykułach 5 i 8;
c) wymagania dotyczące minimalnego zbioru danych identyfikujących osobę reprezentujących niepowtarzalnie osobę fizyczną lub prawną, określone w art. 11 i załączniku;
d) wspólne operacyjne normy bezpieczeństwa określone w artykułach 6, 7, 9 i 10;
e) ustalenia dotyczące rozstrzygania sporów określone w art. 13.
Artykuł 2
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
1) „węzeł" oznacza punkt przyłączenia będący częścią architektury systemu interoperacyjności identyfikacji elektronicznej, który jest wykorzystywany w procesie transgranicznego uwierzytelniania osób i który ma zdolność do rozpoznawania i przetwarzania lub przesyłania danych do innych węzłów poprzez umożliwienie sprzężenia krajowej infrastruktury identyfikacji elektronicznej jednego państwa członkowskiego z krajowymi infrastrukturami służącymi do identyfikacji elektronicznej innych państw członkowskich;
2) „operator węzła" oznacza podmiot odpowiedzialny za zapewnienie prawidłowego i niezawodnego funkcjonowania węzła jako punktu przyłączenia.
Artykuł 3
Minimalne wymagania techniczne związane z poziomami zaufania
Minimalne wymagania techniczne odnoszące się do poziomów zaufania zostały określone w rozporządzeniu wykonawczym Komisji (UE) 2015/1502 (4).
Artykuł 4
Przyporządkowanie krajowych poziomów zaufania
Przyporządkowanie krajowych poziomów zaufania notyfikowanych systemów identyfikacji elektronicznej musi być zgodne z wymaganiami określonymi w rozporządzeniu wykonawczym Komisji (UE) 2015/1502. Wyniki tego przyporządkowania są przekazywane Komisji przy użyciu formularza powiadomienia określonego w decyzji wykonawczej Komisji (UE) 2015/1505 (5).
Artykuł 5
Węzły
1. Węzeł w jednym państwie członkowskim ma możliwość połączenia się z węzłami w innych państwach członkowskich.
2. Węzły są w stanie za pomocą środków technicznych dokonać rozróżnienia między organami sektora publicznego i innymi stronami ufającymi.
3. Wdrożenie przez państwo członkowskie wymagań technicznych określonych w niniejszym rozporządzeniu nie może obciążać innych państw członkowskich niewspółmiernymi wymaganiami technicznymi i kosztami koniecznymi do osiągnięcia interoperacyjności z systemem wdrożonym przez to państwo członkowskie.
Artykuł 6
Bezpieczeństwo i poufność danych
1. Ochronę prywatności i poufności wymienianych danych oraz utrzymanie integralności danych pomiędzy węzłami należy zapewnić poprzez stosowanie najlepszych dostępnych rozwiązań technicznych i praktyk ochrony.
2. Węzły nie przechowują żadnych danych osobowych, z wyjątkiem przechowywania do celów określonych w art. 9 ust. 3.
Artykuł 7
Integralność i autentyczność danych na potrzeby przekazywania
W łączności między węzłami należy zapewnić integralność i autentyczność danych, tak aby wszystkie zapytania i odpowiedzi były autentyczne i nie ulegały manipulacjom. W tym celu w węzłach stosuje się rozwiązania, które są z powodzeniem wykorzystywane w transgranicznym ruchu operacyjnym.
Artykuł 8
Format przekazywania wiadomości
Węzły wykorzystują składnię powszechnych formatów komunikatów opartych na normach, które zastosowano już więcej niż jeden raz między państwami członkowskimi i które sprawdziły się w środowisku operacyjnym. Składnia ta umożliwia:
a) prawidłowe przetwarzanie minimalnego zbioru danych identyfikujących osobę reprezentujących niepowtarzalnie osobę fizyczną lub prawną;
b) właściwe przetwarzanie poziomu bezpieczeństwa środków identyfikacji elektronicznej;
c) rozróżnienie między organami sektora publicznego i innymi stronami ufającymi;
d) elastyczność służącą spełnieniu potrzeb w zakresie dodatkowych atrybutów odnoszących się do identyfikacji.
Artykuł 9
Zarządzanie bezpieczeństwem informacji i metadane
1. Operator węzła przekazuje metadane związane z zarządzaniem węzłem w znormalizowanej postaci przetwarzalnej maszynowo oraz w sposób bezpieczny i godny zaufania.
2. Przynajmniej parametry dotyczące bezpieczeństwa są pobierane automatycznie.
3. Operator węzła przechowuje dane, które w razie incydentu umożliwią odbudowę sekwencji wymiany komunikatów w celu określenie miejsca i charakteru incydentu. Dane przechowywane są przez czas określony zgodnie z wymaganiami krajowymi i obejmują one co najmniej następujące elementy:
a) dane identyfikujące węzeł;
b) dane identyfikujące wiadomość;
c) datę i godzinę wiadomości.
Artykuł 10
Bezpieczeństwo informacji i normy bezpieczeństwa
1. Operatorzy węzłów zapewniających uwierzytelnienie muszą udowodnić - poprzez certyfikację lub równoważne metody oceny, bądź dzięki zgodności z przepisami krajowymi - że w odniesieniu do węzłów uczestniczących w ramach interoperacyjności dany węzeł spełnia wymogi normy ISO/IEC 27001.
2. Operatorzy węzłów niezwłocznie dokonują aktualizacji o krytycznym znaczeniu dla bezpieczeństwa.
Artykuł 11
Dane identyfikujące osobę
1. Minimalny zbiór danych identyfikujących osobę reprezentujących niepowtarzalnie osobę fizyczną lub prawną musi spełniać wymagania określone w załączniku, jeśli dane te są stosowane w ruchu transgranicznym.
2. Minimalny zestaw danych dotyczących osoby fizycznej reprezentującej osobę prawną musi zawierać połączenie atrybutów wymienionych w załączniku dotyczących osób fizycznych i osób prawnych, jeśli dane te są stosowane w ruchu transgranicznym.
3. Dane są przekazywane w oparciu o oryginalne znaki, a w stosownych przypadkach także w transliteracji na alfabet łaciński.
Artykuł 12
Specyfikacja techniczna
1. W przypadkach uzasadnionych procesem wdrażania ram interoperacyjności sieć współpracy ustanowiona decyzją wykonawczą Komisji (UE) 2015/296 może zgodnie z art. 14 lit. d) tejże decyzji wydawać opinie na temat potrzeby opracowania specyfikacji technicznych. Specyfikacje techniczne zawierają bardziej szczegółowe informacje o wymaganiach technicznych określonych w niniejszym rozporządzeniu.
2. Na podstawie opinii, o której mowa w ust. 1, Komisja we współpracy z państwami członkowskimi opracowuje specyfikacje techniczne w ramach infrastruktury usług cyfrowych określonej rozporządzeniem (UE) nr 1316/2013.
3. Sieć współpracy przyjmuje opinię zgodnie z art. 14 lit. d) decyzji wykonawczej Komisji (UE) 2015/296, zawierającej ocenę, czy i w jakim stopniu specyfikacje techniczne opracowane zgodnie z ust. 2 odpowiadają na potrzebę wskazaną w opinii, o której mowa w ust. 1, lub są zgodne z wymaganiami określonymi w niniejszym rozporządzeniu. Sieć współpracy może zalecić państwom członkowskim uwzględnienie specyfikacji technicznych przy wdrażaniu ram interoperacyjności.
4. Komisja dostarcza przykładu interpretacji specyfikacji technicznych w postaci modelowego wdrożenia. Państwa członkowskie mogą zastosować to wdrożenie modelowe lub wykorzystać je jako wzorzec, testując inne wdrożenia specyfikacji technicznych.
Artykuł 13
Rozstrzyganie sporów
1. W miarę możliwości wszelkie spory dotyczące ram interoperacyjności są rozwiązywane przez zainteresowane państwa członkowskie w drodze negocjacji.
2. Jeżeli nie uda się znaleźć rozwiązania zgodnie z ust. 1, sieć współpracy ustanowiona zgodnie z art. 12 decyzji wykonawczej (UE) 2015/296 dysponuje kompetencjami w odniesieniu do sporu zgodnie ze swoim regulaminem wewnętrznym.
Artykuł 14
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 8 września 2015 r.
W imieniu Komisji |
Jean-Claude JUNCKER |
Przewodniczący |
|
(1) Dz.U. L 257 z 28.8.2014, s. 73.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1316/2013 z dnia 11 grudnia 2013 r. ustanawiające instrument „Łącząc Europę", zmieniające rozporządzenie (UE) nr 913/2010 oraz uchylające rozporządzenia (WE) nr 680/2007 i (WE) nr 67/2010 (Dz.U. L 348 z 20.12.2013, s. 129).
(3) Decyzja wykonawcza Komisji (UE) 2015/296 z dnia 24 lutego 2015 r. ustanawiająca proceduralne warunki współpracy miedzy państwami członkowskimi w zakresie identyfikacji elektronicznej na podstawie art. 12 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.U. L 53 z 25.2.2015, s. 14).
(4) Rozporządzenie wykonawcze Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (zob. s. 7 niniejszego Dziennika Urzędowego).
(5) Decyzja wykonawcza Komisji (UE) 2015/1505 z dnia 8 września 2015 r. ustanawiająca specyfikacje techniczne i formaty dotyczące zaufanych list zgodnie z art. 22 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (zob. s. 26 niniejszego Dziennika Urzędowego).
ZAŁĄCZNIK
Wymagania dotyczące minimalnego zbioru danych identyfikujących osobę, reprezentujących niepowtarzalnie osobę fizyczną lub prawną, o których mowa w art. 11
1. Minimalny zestaw danych dotyczących osoby fizycznej
Minimalny zestaw danych dotyczących osoby fizycznej zawiera wszystkie poniższe elementy obowiązkowe:
a) obecnie używane nazwisko lub nazwiska;
b) obecnie używane imię lub imiona;
c) data urodzenia;
d) niepowtarzalny identyfikator zbudowany przez wysyłające państwo członkowskie zgodnie ze specyfikacjami technicznymi do celów transgranicznej identyfikacji, który jest możliwie jak najtrwalszy.
Minimalny zestaw danych dotyczących osoby fizycznej może zawierać co najmniej jeden z następujących elementów dodatkowych:
a) imię lub imiona oraz nazwisko lub nazwiska rodowe;
b) miejsce urodzenia;
c) aktualny adres;
d) płeć.
2. Minimalny zestaw danych dotyczących osoby prawnej
Minimalny zestaw danych dotyczących osoby prawnej zawiera wszystkie poniższe atrybuty obowiązkowe:
a) obecnie używana nazwa prawna;
b) niepowtarzalny identyfikator zbudowany przez wysyłające państwo członkowskie zgodnie ze specyfikacjami technicznymi do celów transgranicznej identyfikacji, który jest możliwie jak najtrwalszy.
Minimalny zestaw danych dotyczących osoby prawnej może zawierać co najmniej jeden z następujących elementów dodatkowych:
a) aktualny adres;
b) identyfikator płatnika podatku VAT;
c) numer identyfikacji podatkowej;
d) identyfikator odnoszący się do art. 3 ust. 1 dyrektywy 2009/101/WE Parlamentu Europejskiego i Rady (1);
e) identyfikator podmiotu prawnego (LEI), o którym mowa w rozporządzeniu wykonawczym Komisji (UE) nr 1247/2012 (2);
f) identyfikator Wspólnotowego Systemu Rejestracji i Identyfikacji Podmiotów Gospodarczych (EORI), o którym mowa w rozporządzeniu wykonawczym Komisji (UE) nr 1352/2013 (3);
g) numer akcyzowy określony w art. 2 ust. 12 rozporządzenia Rady nr 389/2012 (4).
|
(1) Dyrektywa 2009/101/WE Parlamentu Europejskiego i Rady z dnia 16 września 2009 r. w sprawie koordynacji gwarancji, jakie są wymagane w państwach członkowskich od spółek w rozumieniu art. 48 akapit drugi Traktatu, w celu uzyskania ich równoważności, dla zapewnienia ochrony interesów zarówno wspólników, jak i osób trzecich (Dz.U. L 258 z 1.10.2009, s. 11).
(2) Rozporządzenie wykonawcze Komisji (UE) nr 1247/2012 z dnia 19 grudnia 2012 r. ustanawiające wykonawcze standardy techniczne w odniesieniu do formatu i częstotliwości dokonywania zgłoszeń dotyczących transakcji do repozytoriów transakcji zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 648/2012 w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 3 5 2 z 21.12.2012, s. 20).
(3) Rozporządzenie wykonawcze Komisji (UE) nr 13 5 2/2013 z dnia 4 grudnia 2013 r. ustanawiające formularze przewidziane w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 608/2013 w sprawie egzekwowania praw własności intelektualnej przez organy celne (Dz.U. L 341 z 18.12.2013, s. 10).
(4) Rozporządzenie Rady (UE) nr 389/2012 z dnia 2 maja 2012 r. w sprawie współpracy administracyjnej w dziedzinie podatków akcyzowych oraz uchylenia rozporządzenia (WE) nr 2073/2004 (Dz.U. L 121 z 8.5.2012, s. 1).
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00