DECYZJA WYKONAWCZA KOMISJI (UE) 2015/1984
z dnia 3 listopada 2015 r.
w sprawie określenia okoliczności, formatów i procedur notyfikacji zgodnie z art. 9 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym
(notyfikowana jako dokument nr C(2015) 7369)
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 9 ust. 5,
a także mając na uwadze, co następuje:
(1) Notyfikowanie przez państwa członkowskie systemów identyfikacji elektronicznej jest warunkiem wstępnym wzajemnego uznawania środków identyfikacji elektronicznej.
(2) Na potrzeby współpracy w zakresie interoperacyjności i bezpieczeństwa systemów identyfikacji elektronicznej konieczne są procedury uproszczone. Do celów współpracy między państwami członkowskimi, o której mowa w art. 12 ust. 6 rozporządzenia (UE) nr 910/2014 i która została szczegółowo uregulowana w decyzji wykonawczej Komisji (UE) 2015/296 (2), wymaga się używania języka angielskiego, zatem przyjęcie takiego samego rozwiązania w odniesieniu do notyfikowania systemów identyfikacji elektronicznej powinno ułatwić osiągnięcie interoperacyjności i zapewnienie bezpieczeństwa tych systemów. Tłumaczenie istniejącej już dokumentacji nie powinno jednak powodować nieuzasadnionych obciążeń.
(3) Systemy mogą obejmować wiele różnych stron wydających środki identyfikacji elektronicznej lub wiele różnych poziomów bezpieczeństwa. W celu zapewnienia jasności i pewności prawa notyfikowanie takich systemów powinno jednak stanowić jeden proces, w którym stosuje się oddzielne formularze notyfikacji dla każdej strony wydającej środek identyfikacji elektronicznej lub w odniesieniu do każdego poziomu bezpieczeństwa.
(4) Organizacja systemów identyfikacji elektronicznej różni się w poszczególnych państwach członkowskich i obejmuje podmioty zarówno z sektora publicznego, jak i prywatnego. Formularz notyfikacji powinien służyć do przekazania jak najbardziej precyzyjnych informacji, m.in. na temat różnych organów lub podmiotów, które uczestniczą w procesie identyfikacji elektronicznej, nie powinno się w nim jednak wymagać wymieniania np. wszystkich lokalnych władz gminnych, jeśli uczestniczą one w tym procesie. W takim przypadku w odpowiednim polu formularza notyfikacji należy określić szczebel uczestniczącego organu lub podmiotu.
(5) Przekazanie innym państwom członkowskim opisu systemów identyfikacji elektronicznej przed przesłaniem notyfikacji, zgodnie z art. 7 lit. g) rozporządzenia (UE) nr 910/2014, jest warunkiem wstępnym wzajemnego uznawania środków identyfikacji elektronicznej. Formularz notyfikacji określony w niniejszym akcie wykonawczym należy stosować przy przekazywaniu innym państwom członkowskim opisu systemu, aby umożliwić im przeprowadzenie wzajemnej oceny zgodnie z art. 10 ust. 2 decyzji wykonawczej Komisji (UE) 2015/296.
(6) Bieg terminu, w jakim Komisja musi opublikować notyfikację, określony w art. 9 ust. 3 rozporządzenia (UE) nr 910/2014, powinien rozpocząć się z dniem złożenia prawidłowo wypełnionego formularza. Formularza notyfikacji nie powinno się uznawać za prawidłowo wypełniony, jeżeli Komisja musi wystąpić o dodatkowe informacje lub wyjaśnienia.
(7) Aby zapewnić jednolite stosowanie formularza notyfikacji, Komisja powinna przygotować wytyczne dla państw członkowskich, w szczególności w odniesieniu do kwestii, czy zmiany formularza notyfikacji mogą pociągać za sobą konieczność ponownej notyfikacji.
(8) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu, o którym mowa w art. 48 rozporządzenia (UE) nr 910/2014,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Cel
Zgodnie z art. 9 ust. 5 rozporządzenia (UE) nr 910/2014 w niniejszej decyzji określono okoliczności, formaty i procedury przekazywania Komisji notyfikacji dotyczącej systemów identyfikacji elektronicznej.
Artykuł 2
Język notyfikacji
1. Notyfikacji dokonuje się w języku angielskim. Formularz notyfikacji, o którym mowa w art. 3 ust. 1, należy wypełnić w języku angielskim.
2. Bez uszczerbku dla przepisów ust. 1, państwa członkowskie nie są zobowiązane do tłumaczenia dokumentów uzupełniających, o których mowa w pkt 4.4 załącznika, jeżeli powodowałoby to nieuzasadnione obciążenia.
Artykuł 3
Procedura i formaty notyfikacji
1. Notyfikacji dokonuje się drogą elektroniczną w formacie zgodnym z formularzem przedstawionym w załączniku.
2. Jeżeli w systemie uczestniczy więcej niż jedna strona odpowiedzialna za wydawanie środka identyfikacji elektronicznej lub system ten obejmuje więcej niż jeden poziom bezpieczeństwa, pkt 3.2 lub, w stosownych przypadkach, pkt 4.2 formularza notyfikacji przedstawionego w załączniku należy wypełnić oddzielnie dla każdej strony wydającej środek identyfikacji elektronicznej lub w odniesieniu do każdego poziomu bezpieczeństwa.
3. Jeżeli organy, strony, podmioty lub jednostki, o których należy powiadomić za pomocą formularza przedstawionego w załączniku, w szczególności strony zarządzające procesem rejestracji unikalnych danych identyfikujących osobę lub strony wydające środek identyfikacji elektronicznej, działają na podstawie tych samych przepisów i stosują takie same procedury, zwłaszcza jeżeli są to organy regionalne lub lokalne, stosuje się następujące przepisy szczegółowe:
a) informacje dotyczące wszystkich tych stron można podać w jednym formularzu notyfikacji;
b) w formularzu notyfikacji można podać informacje niezbędne do określenia poziomu funkcjonalnego lub szczebla organizacji terytorialnej reprezentowanego przez daną stronę.
4. Komisja potwierdza drogą elektroniczną otrzymanie notyfikacji.
5. Komisja może zażądać dodatkowych informacji lub wyjaśnień w następujących okolicznościach:
a) formularz notyfikacji nie został prawidłowo wypełniony;
b) w formularzu lub w dokumentach uzupełniających występuje oczywisty błąd;
c) przed notyfikacją nie dokonano wymaganego zgodnie z art. 7 lit. g) rozporządzenia (UE) nr 910/2014 przekazania pozostałym państwom członkowskim opisu systemu identyfikacji elektronicznej.
6. Jeżeli zażądano dodatkowych informacji lub wyjaśnień, o których mowa w ust. 5, notyfikację uznaje się za prawidłową tylko po przedłożeniu Komisji takich dodatkowych informacji lub wyjaśnień.
Artykuł 4
Adresaci
Niniejsza decyzja skierowana jest do państw członkowskich.
Sporządzono w Brukseli dnia 3 listopada 2015 r.
W imieniu Komisji |
Günther OETTINGER |
Członek Komisji |
|
(1) Dz.U. L 257 z 28.8.2014, s. 73.
(2) Decyzja wykonawcza Komisji (UE) 2015/296 z dnia 24 lutego 2015 r. ustanawiająca proceduralne warunki współpracy między państwami członkowskimi w zakresie identyfikacji elektronicznej na podstawie art. 12 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.U. L 53 z 25.2.2015, s. 14).
ZAŁĄCZNIK
FORMULARZ NOTYFIKACJI SYSTEMU IDENTYFIKACJI ELEKTRONICZNEJ ZGODNIE Z ART. 9 UST. 5 ROZPORZĄDZENIA (UE) NR 910/2014
(Wstawić nazwę państwa członkowskiego) niniejszym notyfikuje Komisji Europejskiej system identyfikacji elektronicznej, który ma zostać umieszczony w podlegającym publikacji wykazie, o którym mowa w art. 9 ust. 3 rozporządzenia (UE) nr 910/2014, oraz potwierdza, co następuje:
– informacje przekazane w notyfikacji są spójne z informacjami, które zostały przekazane w ramach sieci współpracy zgodnie z art. 7 lit. g) rozporządzenia (UE) nr 910/2014, oraz
– system identyfikacji elektronicznej może być wykorzystywany do uzyskania dostępu do co najmniej jednej usługi świadczonej przez podmiot sektora publicznego w (wstawić nazwę państwa członkowskiego).
Data
[podpisano elektronicznie]
1. Informacje ogólne
Nazwa systemu (jeśli nadano nazwę) | Poziom(-y) bezpieczeństwa (niski, średni lub wysoki) |
|
|
2. Organ(-y) odpowiedzialny(-e) za system
Nazwa(-y) organu(-ów) | Adres(-y) pocztowy(-e) | Adres(-y) poczty | Nr telefonu |
|
|
|
|
3. Informacje na temat uczestniczących stron, podmiotów, organów i jednostek (jeżeli system obejmuje kilka stron, podmiotów, organów lub jednostek, proszę wymienić je wszystkie zgodnie z art. 3 ust. 2 i 3)
3.1. Jednostka, która zarządza rejestracją niepowtarzalnych danych identyfikujących osobę
Nazwa jednostki, która zarządza rejestracją niepowtarzalnych danych identyfikujących osobę |
|
3.2. Strona wydająca środek identyfikacji elektronicznej
Nazwa strony wydającej środek identyfikacji elektronicznej oraz wskazanie, czy jest to strona określona w art. 7 lit. a) ppkt (i), (ii) lub (iii) rozporządzenia (UE) nr 910/2014 | ||
| ||
Art. 7 lit. a) ppkt (i): □ | Art. 7 lit. a) ppkt (ii): □ | Art. 7 lit. a) ppkt (iii): □ |
3.3. Strona przeprowadzająca procedurę uwierzytelniania
Nazwa strony przeprowadzającej procedurę uwierzytelniania |
|
3.4. Organ nadzoru
Nazwa organu nadzoru |
|
(podać nazwę(-y) w stosownych przypadkach) |
4. Opis systemu identyfikacji elektronicznej
Do każdego z poniższych opisów można załączyć dokument(-y).
a) Krótki opis systemu, w tym kontekst, w którym działa, i jego zakres |
|
b) W stosownych przypadkach, wykaz dodatkowych atrybutów, które można przekazać w odniesieniu do osób fizycznych w ramach systemu, jeżeli zażąda tego strona ufająca |
|
c) W stosownych przypadkach, wykaz dodatkowych atrybutów, które można przekazać w odniesieniu do osób prawnych w ramach systemu, jeżeli zażąda tego strona ufająca |
|
4.1. Mające zastosowanie system nadzoru, system odpowiedzialności i ustalenia dotyczące zarządzania
4.1.1. Mający zastosowanie system nadzoru
Opis systemu nadzoru stosowanego w systemie identyfikacji elektronicznej, zawierający następujące informacje:
(W stosownych przypadkach należy podać informacje dotyczące ról, obowiązków i uprawnień organu nadzoru, o którym mowa w pkt 3.4, oraz podmiotu, któremu organ ten podlega. Jeżeli organ nadzoru nie podlega organowi odpowiedzialnemu za system, należy podać szczegółowe informacje o podmiocie, któremu podlega organ nadzoru)
a) system nadzoru mający zastosowanie do strony wydającej środek identyfikacji elektronicznej |
|
b) system nadzoru mający zastosowanie do strony przeprowadzającej procedurę uwierzytelniania |
|
4.1.2. Mający zastosowanie system odpowiedzialności
Krótki opis mającego zastosowanie krajowego systemu odpowiedzialności w odniesieniu do następujących scenariuszy: |
a) odpowiedzialność państwa członkowskiego na podstawie art. 11 ust. 1 rozporządzenia (UE) nr 910/2014 |
|
b) odpowiedzialność strony wydającej środek identyfikacji elektronicznej, na podstawie art. 11 ust. 2 rozporządzenia (UE) nr 910/2014 |
|
c) odpowiedzialność strony przeprowadzającej procedurę uwierzytelniania, na podstawie art. 11 ust. 3 rozporządzenia (UE) nr 910/2014 |
|
4.1.3. Mające zastosowanie ustalenia dotyczące zarządzania
Opis ustaleń dotyczących zawieszania lub unieważniania całego systemu identyfikacji lub uwierzytelnienia albo ich skompromitowanych części |
|
4.2. Opis elementów systemu
Opis sposobu, w jaki spełniono wymagania określone w rozporządzeniu wykonawczym Komisji (UE) 2015/1502 (1), aby osiągnąć poziom bezpieczeństwa środka identyfikacji elektronicznej w ramach systemu będącego przedmiotem notyfikacji przedkładanej Komisji: |
|
(załączyć wszelkie przyjęte normy) |
4.2.1. Wprowadzenie do systemu
a) Wniosek o rejestrację i rejestracja |
|
b) Sprawdzenie i weryfikacja tożsamości (osoba fizyczna) |
|
c) Sprawdzenie i weryfikacja tożsamości (osoba prawna) |
|
d) Powiązanie między środkami identyfikacji elektronicznej osób fizycznych i prawnych |
|
4.2.2. Zarządzanie środkami identyfikacji elektronicznej
a) Cechy charakterystyczne i konstrukcja środków identyfikacji elektronicznej (w tym, w stosownych przypadkach, informacje dotyczące certyfikacji bezpieczeństwa) |
|
b) Wydawanie, dostarczanie i aktywacja |
|
c) Zawieszenie, cofnięcie i przywrócenie |
|
d) Wznowienie i wymiana |
|
4.2.3. Uwierzytelnienie
Opis mechanizmu uwierzytelniania, w tym warunki, na jakich strony ufające inne niż organy sektora publicznego mogą uzyskać dostęp do uwierzytelniania |
|
4.2.4. Zarządzanie i organizacja
Opis zarządzania i organizacji, z uwzględnieniem następujących aspektów:
a) przepisy ogólne dotyczące zarządzania i organizacji;
b) opublikowane informacje i informacje dla użytkowników;
c) zarządzanie bezpieczeństwem informacji;
d) prowadzenie rejestrów;
e) obiekty i personel;
f) kontrole techniczne;
g) zgodność i audyt.
|
4.3. Wymagania dotyczące interoperacyjności
Opis sposobu, w jaki spełniono wymagania dotyczące interoperacyjności oraz minimalne wymagania techniczne i operacyjne określone w rozporządzeniu wykonawczym Komisji (UE) 2015/1501 (2). Należy załączyć wszelkie dokumenty zawierające dodatkowe informacje na temat zgodności z wymaganiami, jak np. opinię sieci współpracy, wyniki audytów zewnętrznych itp., i podać wykaz tych dokumentów. |
|
4.4. Dokumenty uzupełniające
Wykaz wszystkich przedłożonych dokumentów uzupełniających ze wskazaniem, do których wyżej wymienionych elementów się odnoszą. Należy załączyć tekst krajowych aktów prawnych związanych ze świadczeniem usługi identyfikacji elektronicznej będącej przedmiotem notyfikacji, wraz z ich angielską wersją lub tłumaczeniem na język angielski, jeżeli są dostępne. |
|
|
(1) Rozporządzenie wykonawcze Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.U. L 235 z 9.9.2015, s. 7).
(2) Rozporządzenie wykonawcze Komisji (UE) 2015/1501 z dnia 8 września 2015 r. w sprawie ram interoperacyjności na podstawie art. 12 ust. 8 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.U. L 235 z 9.9.2015, s. 1).
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00