Akt prawny
oczekujący
Wersja oczekująca od 2024-12-24
Wersja oczekująca od 2024-12-24
oczekujący
Alerty
ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2024/2980
z dnia 28 listopada 2024 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do notyfikowania Komisji w związku z ekosystemem europejskiego portfela tożsamości cyfrowej
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 5a ust. 23,
a także mając na uwadze, co następuje:
| (1) | Europejskie ramy tożsamości cyfrowej ustanowione rozporządzeniem (UE) nr 910/2014 stanowią kluczowy element budowy bezpiecznego i interoperacyjnego ekosystemu tożsamości cyfrowej w całej Unii. Ramy te - których podstawę stanowią europejskie portfele tożsamości cyfrowej („portfele”) - mają na celu ułatwienie dostępu do usług we wszystkich państwach członkowskich, jednocześnie zapewniając ochronę danych osobowych i prywatności. |
| (2) | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (2) lub rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 (3) oraz - w stosownych przypadkach - dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady (4) mają zastosowanie do wszystkich czynności przetwarzania danych osobowych na podstawie niniejszego rozporządzenia. |
| (3) | W art. 5a ust. 23 rozporządzenia (UE) nr 910/2014 upoważniono Komisję, w razie potrzeby, do ustanowienia odpowiednich specyfikacji i procedur. Ustanawia się je za pomocą czterech rozporządzeń wykonawczych dotyczących: protokołów i interfejsów: rozporządzenie wykonawcze Komisji (UE) 2024/2982 (5), integralności i podstawowych funkcji: rozporządzenie wykonawcze Komisji (UE) 2024/2979 (6), danych identyfikujących osobę i elektronicznego poświadczenia atrybutów: rozporządzenie wykonawcze Komisji (UE) 2024/2977 (7), a także notyfikowania Komisji: rozporządzenie wykonawcze Komisji (UE) 2024/2980 (8). W niniejszym rozporządzeniu ustanawia się odpowiednie wymogi dotyczące notyfikowania przez państwa członkowskie zaufanych podmiotów, które określają wiarygodność europejskich ram tożsamości cyfrowej. |
| (4) | Komisja regularnie przeprowadza ocenę nowych technologii, praktyk, norm lub specyfikacji technicznych. Aby zapewnić maksymalną harmonizację działań państw członkowskich w zakresie opracowywania i certyfikacji portfeli, specyfikacje techniczne określone w niniejszym rozporządzeniu opierają się na pracach przeprowadzonych na podstawie zalecenia Komisji (UE) 2021/946 z dnia 3 czerwca 2021 r. w sprawie wspólnego unijnego zestawu narzędzi na potrzeby skoordynowanego podejścia do europejskich ram tożsamości cyfrowej (9), w szczególności na podstawie architektury i ram odniesienia. Zgodnie z motywem 75 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1183 (10) Komisja powinna, w razie potrzeby, poddawać niniejsze rozporządzenie wykonawcze przeglądowi i aktualizacji, aby zachować aktualność względem globalnych zmian, architektury i ram odniesienia oraz przestrzegać najlepszych praktyk na rynku wewnętrznym. |
| (5) | Aby osiągnąć cel, jakim jest ustanowienie przejrzystego i wiarygodnego źródła informacji na potrzeby uwierzytelniania podmiotów w ekosystemie europejskiego portfela tożsamości cyfrowej, takich jak dostawcy portfela, dostawcy danych identyfikujących osobę i strony ufające portfela, państwa członkowskie powinny notyfikować wymagane informacje za pośrednictwem systemu elektronicznego dostarczonego przez Komisję. Zgodnie z podejściem przyjętym w decyzji wykonawczej Komisji (UE) 2015/1984 (11) w sprawie określenia okoliczności, formatów i procedur notyfikacji systemów identyfikacji elektronicznej mających zastosowanie do środków identyfikacji elektronicznej, państwa członkowskie powinny przekazywać Komisji informacje w języku angielskim. W ten sposób opisy systemów identyfikacji elektronicznej są dostępne w języku angielskim w przypadku wszystkich takich systemów, niezależnie od tego, czy dotyczą one środków identyfikacji elektronicznej, czy portfeli. |
| (6) | Aby osiągnąć ten sam cel, jakim jest ustanowienie źródeł informacji umożliwiających uwierzytelnianie podmiotów w ekosystemie europejskiego portfela tożsamości cyfrowej, Komisja powinna ustanowić infrastrukturę umożliwiającą publiczne udostępnianie informacji w sposób bezpieczny, czytelny dla człowieka, jasny i łatwo dostępny, a także w formie elektronicznie podpisanej lub opatrzonej pieczęcią elektroniczną nadającej się do automatycznego przetwarzania, w tym poprzez oferowanie interfejsu programowania aplikacji. |
| (7) | Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 30 września 2024 r. |
| (8) | Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu, o którym mowa w art. 48 rozporządzenia (UE) nr 910/2014, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Przedmiot i zakres stosowania
Niniejsze rozporządzenie ustanawia obowiązki w zakresie notyfikacji, które umożliwiają walidację:
| 1) | rejestrów elektronicznych wykorzystywanych przez państwo członkowskie do publikowania informacji na temat stron ufających portfela zarejestrowanych w tym państwie członkowskim, zgodnie z art. 5b ust. 5 rozporządzenia (UE) nr 910/2014 („rejestry stron ufających portfela”), informacji na temat lokalizacji rejestrów stron ufających portfela oraz identyfikacji podmiotów rejestrujących strony ufające portfela; |
| 2) | tożsamości zarejestrowanych stron ufających portfela; |
| 3) | autentyczności i ważności jednostek portfela; |
| 4) | identyfikacji dostawców portfela; |
| 5) | autentyczności danych identyfikujących osobę; |
| 6) | identyfikacji dostawców danych identyfikujących osobę; podlegają one regularnej aktualizacji w celu zapewnienia zgodności z rozwojem technologii i opracowywanymi normami oraz z pracami prowadzonymi na podstawie zalecenia Komisji (UE) 2021/946, w szczególności z architekturą i ramami odniesienia. |
Artykuł 2
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
| 1) | „dostawca portfela” oznacza osobę fizyczną lub prawną, która dostarcza rozwiązania w zakresie portfela; |
| 2) | „dostawca danych identyfikujących osobę” oznacza osobę fizyczną lub prawną odpowiedzialną za wydanie i unieważnienie danych identyfikujących osobę oraz za zapewnienie, aby dane identyfikujące osobę odnoszące się do użytkownika były powiązane kryptograficznie z jednostką portfela; |
| 3) | „strona ufająca portfela” oznacza stronę ufającą, która zamierza polegać na jednostkach portfela w celu świadczenia usług publicznych lub prywatnych za pośrednictwem cyfrowej interakcji; |
| 4) | „rejestr stron ufających portfela” oznacza elektroniczny rejestr wykorzystywany przez państwo członkowskie do udostępniania publicznie informacji na temat stron ufających portfela zarejestrowanych w tym państwie członkowskim, jak określono w art. 5b ust. 5 rozporządzenia (UE) nr 910/2014; |
| 5) | „podmiot rejestrujący strony ufające portfela” oznacza organ odpowiedzialny za sporządzenie i prowadzenie wykazu zarejestrowanych stron ufających portfela, mających siedzibę na jego terytorium, wyznaczony przez państwo członkowskie; |
| 6) | „jednostka portfela” oznacza niepowtarzalną konfigurację rozwiązania w zakresie portfela, która obejmuje instancje portfela, bezpieczne aplikacje kryptograficzne portfela i bezpieczne urządzenia kryptograficzne portfela dostarczane przez dostawcę portfela indywidualnemu użytkownikowi portfela; |
| 7) | „rozwiązanie w zakresie portfela” oznacza połączenie oprogramowania, sprzętu, usług, ustawień i konfiguracji, z uwzględnieniem instancji portfela, co najmniej jednej bezpiecznej aplikacji kryptograficznej portfela oraz co najmniej jednego bezpiecznego urządzenia kryptograficznego portfela; |
| 8) | „instancja portfela” oznacza aplikację zainstalowaną i skonfigurowaną na urządzeniu lub w środowisku użytkownika portfela, która jest częścią jednostki portfela i z której użytkownik portfela korzysta do interakcji z daną jednostką portfela; |
| 9) | „bezpieczna aplikacja kryptograficzna portfela” oznacza aplikację, która zarządza aktywami krytycznymi, łącząc się z funkcjami kryptograficznymi i niekryptograficznymi zapewnianymi przez bezpieczne urządzenie kryptograficzne portfela oraz korzystając z tych funkcji; |
| 10) | „bezpieczne urządzenie kryptograficzne portfela” oznacza urządzenie odporne na manipulacje, które zapewnia otoczenie połączone z bezpieczną aplikacją kryptograficzną portfela i przez nią wykorzystywane, aby chronić aktywa krytyczne i zapewniać funkcje kryptograficzne na potrzeby bezpiecznego wykonywania operacji krytycznych; |
| 11) | „aktywa krytyczne” oznaczają aktywa wewnątrz jednostki portfela lub z nią związane o tak istotnym znaczeniu, że naruszenie ich dostępności, poufności lub integralności miałoby bardzo poważny, szkodliwy wpływ na zdolność do polegania na danej jednostce portfela; |
| 12) | „użytkownik portfela” oznacza użytkownika, który kontroluje jednostkę portfela; |
| 13) | „dostawca certyfikatów dostępu strony ufającej portfela” oznacza osobę fizyczną lub prawną upoważnioną przez państwo członkowskie do wydawania certyfikatów dostępu strony ufającej stronom ufającym portfela zarejestrowanym w tym państwie członkowskim; |
| 14) | „certyfikat dostępu strony ufającej portfela” oznacza certyfikat pieczęci lub podpisów elektronicznych uwierzytelniający i walidujący stronę ufającą portfela, wydany przez dostawcę certyfikatów dostępu strony ufającej portfela. |
Artykuł 3
System notyfikacji
1. Nie później niż dwanaście miesięcy po opublikowaniu niniejszego rozporządzenia w Dzienniku Urzędowym Unii Europejskiej Komisja udostępni państwom członkowskim bezpieczny elektroniczny system notyfikacji umożliwiający im przekazywanie informacji na temat podmiotów i mechanizmów, o których mowa w art. 5a ust. 18 rozporządzenia (UE) nr 910/2014.
2. Bezpieczny elektroniczny system notyfikacji musi spełniać wymogi techniczne określone w załączniku I.
Artykuł 4
Notyfikacje wystosowywane przez państwa członkowskie
1. Państwa członkowskie przekazują za pośrednictwem bezpiecznego elektronicznego systemu notyfikacji, o którym mowa w art. 3 ust. 1, co najmniej informacje wyszczególnione w załączniku II.
2. Państwa członkowskie wystosowują notyfikacje co najmniej w języku angielskim. Państwa członkowskie nie mają obowiązku tłumaczenia jakiegokolwiek dokumentu potwierdzającego notyfikacje, jeśli stworzyłoby to nieuzasadnione obciążenie administracyjne lub finansowe.
3. Komisja może wystąpić do państw członkowskich o dodatkowe informacje lub wyjaśnienia w celu weryfikacji kompletności i spójności notyfikowanych informacji.
Artykuł 5
Informacje publikowane przez Komisję
1. Komisja ustanawia, prowadzi i publikuje wykaz zawierający notyfikowane przez państwa członkowskie informacje na temat podmiotów rejestrujących strony ufające portfela oraz rejestrów stron ufających portfela, o których mowa w załączniku II sekcja 1.
2. Komisja ustanawia, prowadzi i publikuje wykaz zawierający notyfikowane przez państwa członkowskie informacje na temat dostawców portfela, dostawców danych identyfikujących osobę i dostawców certyfikatów dostępu strony ufającej portfela, o których mowa w załączniku II sekcje 2, 3 i 4.
3. Komisja zapewnia dostęp do wykazów, o których mowa w ust. 1 i 2 niniejszego artykułu:
| a) | zarówno w formie elektronicznie podpisanej lub opatrzonej pieczęcią elektroniczną przeznaczonej do automatycznego przetwarzania, jak i na stronie internetowej nadającej się do odczytu przez człowieka, dostępnej co najmniej w języku angielskim; |
| b) | bez konieczności rejestracji lub uwierzytelnienia w celu uzyskania lub odczytania wykazów; |
| c) | w sposób bezpieczny z wykorzystaniem najnowocześniejszego szyfrowania warstwy transportowej. |
4. Oprócz publikacji wykazów, o których mowa w ust. 1 i 2, Komisja publikuje:
| a) | specyfikacje techniczne, które Komisja stosuje do struktury wykazów; |
| b) | szczegółowe informacje na temat adresu URL, pod którym publikowane są wykazy; |
| c) | certyfikaty wykorzystywane do weryfikacji podpisu lub pieczęci na wykazach; |
| d) | szczegółowe informacje na temat mechanizmów stosowanych do walidacji zmian w lokalizacji, o której mowa w lit. b), lub w certyfikatach, o których mowa w lit. c). |
Artykuł 6
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 28 listopada 2024 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.)
(4) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(5) Rozporządzenie wykonawcze Komisji (UE) 2024/2982 z dnia 28 listopada 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do protokołów i interfejsów, które mają być obsługiwane przez europejskie ramy tożsamości cyfrowej (Dz.U. L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).
(6) Rozporządzenie wykonawcze Komisji (UE) 2024/2979 z dnia 28 listopada 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do integralności i podstawowych funkcji europejskich portfeli tożsamości cyfrowej (Dz.U. L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
(7) Rozporządzenie wykonawcze Komisji (UE) 2024/2977 z dnia 28 listopada 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do danych identyfikujących osobę i elektronicznych poświadczeń atrybutów wydawanych europejskim portfelom tożsamości cyfrowej (Dz.U. L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).
(8) Rozporządzenie wykonawcze Komisji (UE) 2024/2980 z dnia 28 listopada 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do notyfikowania Komisji w związku z ekosystemem europejskiego portfela tożsamości cyfrowej (Dz.U. L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).
(9) Dz.U. L 210 z 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
(10) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej (Dz.U. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(11) Decyzja wykonawcza Komisji (UE) 2015/1984 z dnia 3 listopada 2015 r. w sprawie określenia okoliczności, formatów i procedur notyfikacji zgodnie z art. 9 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.U. L 289 z 5.11.2015, s. 18, ELI: http://data.europa.eu/eli/dec_impl/2015/1984/oj).
ZAŁĄCZNIK I
WYMOGI DOTYCZĄCE SYSTEMU NOTYFIKACJI ZAPEWNIANEGO PRZEZ KOMISJĘ
1.
Interfejs bezpiecznego elektronicznego systemu notyfikacji musi być dostępny co najmniej w języku angielskim.
2.
Bezpieczny elektroniczny system notyfikacji zapewniany przez Komisję należy opracować w taki sposób, aby:| a) | umożliwić państwom członkowskim przekazywanie tych samych informacji tylko raz, w stosownych przypadkach ponownie wykorzystując wcześniej przekazane informacje; |
| b) | umożliwić przekazywanie informacji zarówno za pośrednictwem interfejsów przetwarzalnych maszynowo, jak i interfejsów możliwych do wykorzystania przez człowieka; |
| c) | zapewnić odpowiednią kontrolę dostępu i zarządzanie kontrolą dostępu, przekazując państwom członkowskim uprawnienia do udzielania dostępu kompetentnym przedstawicielom w zakresie notyfikacji; |
| d) | obsługiwać notyfikacje dotyczące informacji określonych w załączniku II; |
| e) | umożliwić państwom członkowskim przeglądanie notyfikowanych informacji; |
| f) | potwierdzić odbiór notyfikacji przekazanych drogą elektroniczną; |
| g) | zachować i udostępnić państwom członkowskim do wglądu historyczne zapisy zmian w notyfikowanych danych. |
ZAŁĄCZNIK II
WYMOGI DOTYCZĄCE NOTYFIKACJI DOKONANYCH PRZEZ PAŃSTWA CZŁONKOWSKIE
1. Przekazywanie informacji o podmiotach rejestrujących i rejestrach
| 1) | Państwa członkowskie przekazują Komisji następujące informacje o swoich podmiotach rejestrujących i rejestrach:
|
| 2) | Informacje, o których mowa w ppkt 1, przekazuje się w podziale na rejestry i podmioty rejestrujące. |
2. Przekazywanie informacji o dostawcach portfela oraz o mechanizmach walidacji autentyczności i ważności jednostek portfela
| 1) | Państwa członkowskie przekazują Komisji następujące informacje na temat dostawców portfela:
|
| 2) | Informacje, o których mowa w ppkt 1, przekazuje się w podziale na dostawców. |
3. Przekazywanie informacji o dostawcach danych identyfikujących osobę oraz o mechanizmach umożliwiających uwierzytelnianie i walidację danych identyfikujących osobę
| 1) | Państwa członkowskie przekazują Komisji następujące informacje na temat dostawców danych identyfikujących osobę:
|
| 2) | Informacje, o których mowa w ppkt 1, przekazuje się w podziale na dostawców. |
4. Przekazywanie informacji o dostawcach certyfikatów dostępu strony ufającej portfela
| 1) | Państwa członkowskie przekują Komisji następujące informacje na temat dostawców certyfikatów dostępu strony ufającej portfela:
|
| 2) | Informacje, o których mowa w ppkt 1, przekazuje się w podziale na dostawców certyfikatów dostępu strony ufającej portfela. |
