a także mając na uwadze, co następuje:(1) W komunikacie Komisji z dnia 19 lutego 2020 r., zatytułowanym "Kształtowanie cyfrowej przyszłości Europy", zapowiedziano przegląd rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 4 w celu poprawy jego skuteczności, rozszerzenia wynikających z niego korzyści na sektor prywatny oraz promowania zaufanych tożsamości cyfrowych dla wszystkich Europejczyków.
(2) W konkluzjach z dnia 1-2 października 2020 r. Rada Europejska wezwała Komisję do przedstawienia wniosku w sprawie opracowania ogólnounijnych ram bezpiecznej publicznej identyfikacji elektronicznej, w tym interoperacyjnych podpisów cyfrowych, aby zapewnić obywatelom kontrolę nad ich tożsamością i danymi w internecie, a także umożliwić dostęp do publicznych, prywatnych i transgranicznych usług cyfrowych.
(3) W programie polityki "Droga ku cyfrowej dekadzie" do 2030 r., ustanowionym decyzją Parlamentu Europejskiego i Rady (UE) 2022/2481 5 , określono założenia i cyfrowe cele unijnych ram, które do 2030 r. mają zapewnić wprowadzenie na szeroką skalę zaufanej, dobrowolnej i kontrolowanej przez użytkownika tożsamości cyfrowej, uznawanej w całej Unii oraz umożliwiającej każdemu użytkownikowi kontrolowanie swoich danych w interakcjach online.
(4) W "Europejskiej deklaracji praw i zasad cyfrowych w cyfrowej dekadzie", proklamowanej przez Parlament Europejski, Radę i Komisję 6 (zwanej dalej "deklaracją"), podkreślono prawo każdego do dostępu do technologii, produktów i usług cyfrowych, które z założenia są bezpieczne i chronione oraz strzegą prywatności. Obejmuje to zapewnienie, aby wszyscy ludzie mieszkający w Unii mogli korzystać z dostępnej, bezpiecznej i zaufanej tożsamości cyfrowej, która umożliwia dostęp do szerokiego wachlarza usług online i offline, zapewniając ochronę przed ryzykiem w cyberprzestrzeni i przed cyberprzestępczością, w tym naruszeniami ochrony danych i kradzieżą tożsamości lub manipulowaniem tożsamością. W deklaracji stwierdzono również, że każdy ma prawo do ochrony swoich danych osobowych. Prawo to obejmuje także kontrolę tego, jak dane są wykorzystywane i komu są udostępniane.
(5) Obywatele i rezydenci Unii powinni mieć prawo do tożsamości cyfrowej, która jest pod ich wyłączną kontrolą i która pozwala im na wykonywanie ich praw w środowisku cyfrowym oraz uczestnictwo w gospodarce cyfrowej. Aby osiągnąć ten cel, należy ustanowić europejskie ramy tożsamości cyfrowej umożliwiające obywatelom i rezydentom Unii dostęp do publicznych i prywatnych usług online i offline w całej Unii.
(6) Zharmonizowane ramy tożsamości cyfrowej powinny przyczyniać się do tworzenia bardziej zintegrowanej cyfrowo Unii poprzez zmniejszanie barier cyfrowych między państwami członkowskimi oraz umożliwienie obywatelom i rezydentom Unii czerpania korzyści z cyfryzacji, przy jednoczesnym zwiększeniu przejrzystości i ochrony ich praw.
(7) Bardziej zharmonizowane podejście do identyfikacji elektronicznej powinno zmniejszyć ryzyko i koszty wynikające z obecnejfragmentacji spowodowanej stosowaniem rozbieżnych rozwiązań krajowych lub - w niektórych państwach członkowskich - brakiem takich rozwiązań w zakresie identyfikacji elektronicznej. Takie podejście powinno wzmocnić rynek wewnętrzny, umożliwiając obywatelom i rezydentom Unii, określonym w prawie krajowym, oraz przedsiębiorstwom identyfikowanie się i uwierzytelnianie swojej tożsamości online i offline w sposób bezpieczny, godny zaufania, przyjazny dla użytkownika, wygodny, dostępny i zharmonizowany w całej Unii. Europejski portfel tożsamości cyfrowej powinien zapewnić osobom fizycznym i prawnym w całej Unii zharmonizowany środek identyfikacji elektronicznej umożliwiający im uwierzytelnianie i udostępnianie danych związanych z ich tożsamością. Każdy powinien mieć możliwość bezpiecznego dostępu do usług publicznych i prywatnych, za pomocą ulepszonego systemu usług zaufania i zweryfikowanych dowodów potwierdzających tożsamość oraz elektronicznych poświadczeń atrybutów, takich jak kwalifikacje akademickie, w tym dyplomy ukończenia studiów wyższych, lub inne uprawnienia edukacyjne lub zawodowe. Europejskie ramy tożsamości cyfrowej mają na celu przejście od polegania wyłącznie na krajowych rozwiązaniach w zakresie tożsamości cyfrowej do zapewnienia elektronicznych poświadczeń atrybutów, które są ważne i prawnie uznawane w całej Unii. Dostawcy elektronicznych poświadczeń atrybutów powinni skorzystać na jasnym i jednolitym zestawie przepisów, natomiast administracje publiczne powinny mieć możliwość polegania na dokumentach elektronicznych w określonym formacie.
(8) Szereg państw członkowskich wdrożyło i stosuje środki identyfikacji elektronicznej, które są akceptowane przez dostawców usług w Unii. Ponadto na podstawie rozporządzenia (UE) nr 910/2014 dokonano inwestycji zarówno w rozwiązania krajowe, jak i transgraniczne, w tym w interoperacyjność notyfikowanych systemów identyfikacji elektronicznej zgodnie z tym rozporządzeniem. Aby zapewnić komplementarność i szybkie przyjęcie europejskich portfeli tożsamości cyfrowej przez obecnych użytkowników notyfikowanych środków identyfikacji elektronicznej oraz zminimalizować wpływ na istniejących dostawców usług, oczekuje się, że w ramach europejskich portfeli tożsamości cyfrowej wykorzystane zostaną doświadczenia zdobyte w związku z istniejącymi środkami identyfikacji elektronicznej, a także infrastruktura notyfikowanych systemów identyfikacji elektronicznej wdrożona na poziomie unijnym i krajowym.
(9) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 7 oraz - w stosownych przypadkach - dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady 8 mają zastosowanie do wszystkich czynności przetwarzania danych osobowych na podstawie rozporządzenia (UE) nr 910/2014. Rozwiązania wynikające z ram interoperacyj- ności przewidziane w niniejszym rozporządzeniu również są zgodne z tymi przepisami. Prawo Unii dotyczące ochrony danych przewiduje zasady ochrony danych, takie jak zasada minimalizacji danych i zasada celowości, oraz obowiązki, takie jak uwzględnienie ochrony danych na etapie projektowania i domyślna ochrona danych.
(10) Aby wspierać konkurencyjność unijnych przedsiębiorstw, dostawcy zarówno usług online, jak i offline powinni móc polegać na rozwiązaniach w zakresie tożsamości cyfrowej uznawanych w całej Unii, niezależnie od państwa członkowskiego, w którym rozwiązania te zostały zapewnione, a tym samym czerpać korzyści ze zharmonizowanego unijnego podejścia do zaufania, bezpieczeństwa i interoperacyjności. Zarówno użytkownicy, jak i dostawcy usług powinni mieć możliwość korzystania z przyznania elektronicznym poświadczeniom atrybutów takiej samej wartości prawnej w całej Unii. Zharmonizowane ramy tożsamości cyfrowej mają tworzyć wartość gospodarczą poprzez zapewnianie łatwiejszego dostępu do towarów i usług oraz poprzez znaczące zmniejszenie kosztów operacyjnych związanych z procedurami elektronicznej identyfikacji i elektronicznego uwierzytelniania, na przykład podczas rejestracji nowych klientów, poprzez zmniejszenie ryzyka potencjalnych cyberprzestępstw, takich jak kradzież tożsamości, kradzież danych i oszustwa internetowe, wspierając tym samym wzrost efektywności oraz bezpieczną transformację cyfrową mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (MŚP) w Unii.
(11) Europejskie portfele tożsamości cyfrowej powinny ułatwiać stosowanie zasady jednorazowości i tym samym zmniejszać obciążenie administracyjne oraz wspierać transgraniczną mobilność obywateli i rezydentów Unii oraz przedsiębiorstw w całej Unii, a także sprzyjać rozwojowi interoperacyjnych usług administracji elektronicznej w całej Unii.
(12) W ramach wykonywania niniejszego rozporządzenia, do przetwarzania danych osobowych zastosowanie mają rozporządzenie (UE) 2016/679 i rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 9 oraz dyrektywa 2002/58/WE. W związku z tym w niniejszym rozporządzeniu należy ustanowić szczególne zabezpieczenia uniemożliwiające dostawcom środków identyfikacji elektronicznej i elektronicznych poświadczeń atrybutów łączenie danych osobowych uzyskanych w ramach świadczenia innych usług z danymi osobowymi przetwarzanymi w celu świadczenia usług objętych zakresem stosowania niniejszego rozporządzenia. Dane osobowe związane z dostarczaniem europejskich portfeli tożsamości cyfrowej powinny być logicznie oddzielone od wszelkich innych danych będących w posiadaniu dostawcy europejskiego portfela tożsamości cyfrowej. Niniejsze rozporządzenie nie powinno uniemożliwiać dostawcom europejskich portfeli tożsamości cyfrowej stosowania dodatkowych środków technicznych przyczyniających się do ochrony danych osobowych, takich jak fizyczne oddzielenie danych osobowych związanych z dostarczaniem europejskich portfeli tożsamości cyfrowej od wszelkich innych danych będących w posiadaniu dostawcy. Bez uszczerbku dla rozporządzenia (UE) 2016/679, niniejsze rozporządzenie doprecyzowuje stosowanie zasady celowości, zasady minimalizacji danych oraz uwzględniania ochrony danych na etapie projektowania i domyślnej ochrony danych.
(13) Europejskie portfele tożsamości cyfrowej powinny mieć wbudowaną funkcję wspólnego panelu zarządzania, aby zapewnić wyższy stopień przejrzystości, prywatności i kontroli użytkowników nad ich danymi osobowymi. Funkcja ta powinna zapewniać łatwy i przyjazny dla użytkownika interfejs wraz z przeglądem wszystkich stron ufających, którym użytkownik udostępnia dane, w tym atrybuty, oraz rodzaju danych udostępnionych każdej ze stron ufających. Powinna ona umożliwiać użytkownikom śledzenie wszystkich transakcji przeprowadzonych za pośrednictwem europejskiego portfela tożsamości cyfrowej za pomocą co najmniej następujących danych: czas i data transakcji, identyfikacja drugiej strony, żądane dane osobowe i dane udostępnione. Informacje te powinny być przechowywane, nawet jeżeli transakcja nie została zawarta. Nie powinna istnieć możliwość podważenia autentyczności informacji zawartych w historii transakcji. Taka funkcja powinna być domyślnie aktywna. Powinna ona umożliwiać użytkownikom łatwe zażądanie natychmiastowego usunięcia przez stronę ufającą danych osobowych zgodnie z art. 17 rozporządzenia (UE) 2016/679 oraz łatwe zgłoszenie strony ufającej właściwemu krajowemu organowi ochrony danych w przypadku otrzymania przypuszczalnie niezgodnego z prawem lub podejrzanego żądania danych osobowych, bezpośrednio poprzez europejski portfel tożsamości cyfrowej.
(14) Państwa członkowskie powinny włączyć do europejskiego portfela tożsamości cyfrowej różne technologie chroniące prywatność, takie jak dowód z wiedzą zerową. Te metody kryptograficzne powinny umożliwiać stronie ufającej zweryfikowanie, czy dane stwierdzenie oparte na danych identyfikujących osobę i poświadczeniu atrybutów jest prawdziwe, bez ujawniania jakichkolwiek danych, na których opiera się to stwierdzenie, chroniąc tym samym prywatność użytkownika.
(15) Niniejsze rozporządzenie określa zharmonizowane warunki ustanowienia ram dla europejskich portfeli tożsamości cyfrowej, które mają być zapewniane przez państwa członkowskie. Wszyscy obywatele i rezydenci Unii określeni w prawie krajowym powinni być uprawnieni do bezpiecznego żądania, wybierania, łączenia, przechowywania, usuwania, udostępniania i prezentacji danych dotyczących swojej tożsamości oraz żądania usunięcia swoich danych osobowych w przyjazny dla użytkownika i wygodny sposób, pod wyłączną kontrolą użytkownika, przy jednoczesnej możliwości selektywnego ujawniania danych osobowych. Niniejsze rozporządzenie odzwierciedla wspólne wartości europejskie oraz przestrzega praw podstawowych, gwarancji prawnych i zasady odpowiedzialności, chroniąc w ten sposób społeczeństwa demokratyczne, obywateli i rezydentów Unii. Należy rozwijać technologie wykorzystywane do osiągnięcia tych celów, dążąc do zapewnienia najwyższego poziomu bezpieczeństwa, prywatności, wygody użytkowników, dostępności, szerokiej używalności oraz niezakłóconej interoperacyjności. Państwa członkowskie powinny zapewniać równy dostęp do identyfikacji elektronicznej wszystkim swoim obywatelom i rezydentom. Państwa członkowskie nie powinny - bezpośrednio ani pośrednio - ograniczać dostępu do usług publicznych lub prywatnych osobom fizycznym lub prawnym, które nie zdecydują się na używanie europejskich portfeli tożsamości cyfrowej, oraz powinny udostępniać odpowiednie rozwiązania alternatywne.
(16) Państwa członkowskie powinny korzystać z możliwości oferowanych przez niniejsze rozporządzenie w celu zapewniania, w ramach swojej odpowiedzialności, europejskich portfeli tożsamości cyfrowej do użytku przez osoby fizyczne i prawne mające miejsce zamieszkania lub siedzibę na ich terytorium. Aby zapewnić państwom członkowskim elastyczność oraz wykorzystać najnowocześniejszą technologię, niniejsze rozporządzenie powinno umożliwiać zapewnianie europejskich portfeli tożsamości cyfrowej bezpośrednio przez państwo członkowskie, na podstawie upoważnienia od państwa członkowskiego, lub niezależnie od państwa członkowskiego, lecz przy uznaniu przez to państwo członkowskie.
(17) Do celów rejestracji strony ufające powinny przekazywać informacje niezbędne do umożliwienia ich elektronicznej identyfikacji i elektronicznego uwierzytelniania w europejskich portfelach tożsamości cyfrowej. Deklarując swoje zamierzone wykorzystanie europejskiego portfela tożsamości cyfrowej, strony ufające powinny podać informacje dotyczące danych, których będą ewentualnie żądać w celu świadczenia swoich usług, oraz podać uzasadnienie tego żądania. Rejestracja strony ufającej ułatwia weryfikację przez państwa członkowskie zgodności z prawem działalności stron ufających zgodnie z prawem Unii. Obowiązek rejestracji przewidziany w niniejszym rozporządzeniu powinien pozostawać bez uszczerbku dla obowiązków określonych w innych przepisach prawa Unii lub prawa krajowego, takich jak obowiązki dotyczące informacji, które mają być przekazywane osobom, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2016/679. Strony ufające powinny stosować zabezpieczenia przewidziane w art. 35 i 36 tego rozporządzenia, w szczególności dokonując oceny skutków dla ochrony danych oraz konsultując się z właściwymi organami ochrony danych przed przetwarzaniem danych, w przypadku gdy oceny skutków dla ochrony danych wskazują, że przetwarzanie powodowałoby wysokie ryzyko. Takie zabezpieczenia powinny wspierać zgodne z prawem przetwarzanie danych osobowych przez strony ufające, w szczególności w odniesieniu do szczególnych kategorii danych, takich jak dane dotyczące zdrowia. Rejestracja stron ufających ma na celu zwiększenie przejrzystości i zaufania w zakresie korzystania z europejskich portfeli tożsamości cyfrowej. Aby zapewnić jej upowszechnienie wśród usługodawców, rejestracja powinna być efektywna kosztowo oraz proporcjonalna względem odnośnych zagrożeń. W tym kontekście rejestracja powinna przewidywać stosowanie zautomatyzowanych procedur, w tym poleganie na istniejących rejestrach i korzystanie z nich przez państwa członkowskie, oraz nie powinna wiązać się z procesem uzyskiwania wstępnego zezwolenia. Proces rejestracji powinien umożliwiać szereg przypadków użycia, które mogą różnić się pod względem trybu działania - online lub w trybie offline - lub pod względem wymogu uwierzytelnienia urządzeń do celów połączenia z europejskim portfelem tożsamości cyfrowej. Rejestracja powinna mieć zastosowanie wyłącznie do stron ufających świadczących usługi za pośrednictwem interakcji cyfrowych.
(18) Ochrona obywateli i rezydentów Unii przed nieuprawnionym lub oszukańczym używaniem europejskich portfeli tożsamości cyfrowej ma duże znaczenie dla zapewnienia zaufania do europejskich portfeli tożsamości cyfrowej i ich szerokiego upowszechnienia. Należy zapewnić użytkownikom skuteczną ochronę przed takim niewłaściwym używaniem. W szczególności, jeżeli w kontekście innej procedury krajowej organy sądowe ustalą stan faktyczny będący podstawą stwierdzenia oszustwa lub innego niezgodnego z prawem używania europejskiego portfela tożsamości cyfrowej, organy nadzoru odpowiedzialne za dostawców europejskich portfeli tożsamości cyfrowej powinny, po otrzymaniu powiadomienia, podjąć niezbędne środki w celu zapewnienia cofnięcia lub zawieszenia rejestracji strony ufającej oraz cofnięcia lub zawieszenia włączenia stron ufających do mechanizmu uwierzytelniania, do czasu potwierdzenia przez organ notyfikujący, że stwierdzone nieprawidłowości zostały wyeliminowane.
(19) Wszystkie europejskie portfele tożsamości cyfrowej powinny umożliwiać użytkownikom elektroniczne identyfikowanie się i uwierzytelnianie online i w trybie offline w kontekście transgranicznym na potrzeby dostępu do szerokiego zakresu usług publicznych i prywatnych. Bez uszczerbku dla prerogatyw państw członkowskich w zakresie identyfikacji ich obywateli i rezydentów, europejskie portfele tożsamości cyfrowej mogą również zaspokajać potrzeby instytucjonalne administracji publicznych, organizacji międzynarodowych oraz instytucji, organów i jednostek organizacyjnych Unii. Uwierzytelnianie offline byłoby ważne w wielu sektorach, w tym w sektorze zdrowia, w którym usługi są często świadczone w ramach kontaktu osobistego, a w przypadku recept elektronicznych powinna istnieć możliwość stosowania kodów QR lub podobnych technologii do weryfikacji autentyczności. W oparciu o wysoki poziom bezpieczeństwa dla systemów identyfikacji elektronicznej, europejskie portfele tożsamości cyfrowej powinny wykorzystywać potencjał, jaki oferują rozwiązania zabezpieczające przed manipulacją, takie jak bezpieczne elementy (ang. secure elements), w celu zapewnienia zgodności z wymogami bezpieczeństwa wynikającymi z niniejszego rozporządzenia. Europejskie portfele tożsamości cyfrowej powinny również umożliwiać użytkownikom tworzenie i używanie kwalifikowanych podpisów i pieczęci elektronicznych akceptowanych w całej Unii. Po zarejestrowaniu się w europejskim portfelu tożsamości cyfrowej osoby fizyczne powinny mieć możliwość używania go do składania kwalifikowanych podpisów elektronicznych, domyślnie i nieodpłatnie, bez konieczności przechodzenia przez jakiekolwiek dodatkowe procedury administracyjne. Użytkownicy powinni mieć możliwość podpisywania lub opatrywania pieczęcią przygotowanych przez siebie potwierdzeń lub atrybutów. Aby zapewnić obywatelom i przedsiębiorstwom w całej Unii korzyści w zakresie uproszczeń i zmniejszenia kosztów, w tym poprzez umożliwienie korzystania z upoważnień i pełnomocnictw elektronicznych, państwa członkowskie powinny zapewniać europejskie portfele tożsamości cyfrowej oparte na wspólnych normach i specyfikacjach technicznych w celu zapewnienia niezakłóconej interoperacyjności oraz odpowiedniego podniesienia bezpieczeństwa informatycznego, wzmocnienia odporności na cyberataki, a tym samym znaczącego zmniejszenia potencjalnego ryzyka związanego z postępującą cyfryzacją dla obywateli i rezydentów Unii oraz dla przedsiębiorstw. Wyłącznie właściwe organy państw członkowskich mogą zapewnić dużą dozę pewności przy ustalaniu tożsamości danej osoby, zapewniając tym samym, że osoba podająca daną tożsamość jest faktycznie osobą, za którą się podaje. Dla zapewnienia europejskich portfeli tożsamości cyfrowej niezbędne jest zatem poleganie na oficjalnej tożsamości obywateli i rezydentów Unii lub osób prawnych. Poleganie na oficjalnej tożsamości nie powinno utrudniać użytkownikom europejskich portfeli tożsamości cyfrowej dostępu do usług z użyciem pseudonimu w przypadku gdy prawo nie wymaga podania oficjalnej tożsamości w celu uwierzytelnienia. Zaufanie do europejskich portfeli tożsamości cyfrowej zwiększyłoby się, gdyby podmioty je wydające i nimi zarządzające były zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia najwyższego poziomu bezpieczeństwa, jaki jest współmierny do stwarzanego ryzyka dla praw i wolności osób fizycznych zgodnie z rozporządzeniem (UE) 2016/679.
(20) Użycie kwalifikowanego podpisu elektronicznego powinno być nieodpłatne dla wszystkich osób fizycznych do celów innych niż profesjonalne. Państwa członkowskie powinny móc ustanowić środki zapobiegające nieodpłatnemu użyciu kwalifikowanych podpisów elektronicznych przez osoby fizyczne do celów profesjonalnych, przy jednoczesnym zapewnieniu, aby wszelkie takie środki były proporcjonalne do zidentyfikowanego ryzyka oraz uzasadnione.
(21) Korzystne jest ułatwienie upowszechnienia i używania europejskich portfeli tożsamości cyfrowej poprzez niezakłócone zintegrowanie ich z już wdrożonym na poziomie krajowym, lokalnym lub regionalnym ekosystemem publicznych i prywatnych usług cyfrowych. Z myślą o osiągnięciu tego celu państwa członkowskie powinny móc przewidzieć środki prawne i organizacyjne, aby zwiększyć elastyczność dla dostawców europejskich portfeli tożsamości cyfrowej oraz umożliwić wprowadzenie dodatkowych funkcji europejskich portfeli tożsamości cyfrowej oprócz tych, które przewidziano w niniejszym rozporządzeniu, w tym poprzez zwiększoną interoperacyjność z istniejącymi krajowymi środkami identyfikacji elektronicznej. Takie dodatkowe funkcje nie powinny w żadnym razie szkodzić zapewnieniu podstawowych funkcji europejskich portfeli tożsamości cyfrowej przewidzianych w niniejszym rozporządzeniu ani prowadzić do promowania istniejących rozwiązań krajowych kosztem europejskich portfeli tożsamości cyfrowej. Ponieważ takie dodatkowe funkcje wykraczają poza zakres stosowania niniejszego rozporządzenia, nie podlegają one określonym w niniejszym rozporządzeniu przepisom dotyczącym transgranicznego używania europejskich portfeli tożsamości cyfrowej.
(22) Europejskie portfele tożsamości cyfrowej powinny zawierać funkcję generowania pseudonimów wybranych i zarządzanych przez użytkownika, służących do uwierzytelniania podczas dostępu do usług online.
(23) W celu zapewnienia wysokiego poziomu bezpieczeństwa i zaufania, w niniejszym rozporządzeniu ustanawia się wymogi dotyczące europejskich portfeli tożsamości cyfrowej. Zgodność europejskich portfeli tożsamości cyfrowej z tymi wymogami powinna być certyfikowana przez akredytowane jednostki oceniające zgodność wyznaczone przez państwa członkowskie.
(24) W celu uniknięcia rozbieżnych podejść oraz harmonizacji wdrażania wymogów określonych w niniejszym rozporządzeniu, Komisja powinna - do celów certyfikacji europejskich portfeli tożsamości cyfrowej - przyjmować akty wykonawcze, aby ustanowić wykaz norm referencyjnych oraz, w razie potrzeby, ustanowić specyfikacje i procedury w celu przedstawienia szczegółowych specyfikacji technicznych tych wymogów. W zakresie, w jakim certyfikacja zgodności europejskich portfeli tożsamości cyfrowej z odpowiednimi wymogami związanymi z cyberbezpieczeństwem nie jest objęta istniejącymi programami certyfikacji cyberbezpieczeństwa, o których mowa w niniejszym rozporządzeniu, oraz w odniesieniu do wymogów niezwiązanych z cyberbezpieczeństwem istotnych dla europejskich portfeli tożsamości cyfrowej, państwa członkowskie powinny ustanowić krajowe programy certyfikacji zgodnie ze zharmonizowanymi wymogami określonymi w niniejszym rozporządzeniu oraz przyjętymi na jego podstawie. Państwa członkowskie powinny przekazywać swoje projekty krajowych systemów certyfikacji Grupie Współpracy na rzecz Europejskiej Tożsamości Cyfrowej, która powinna mieć możliwość wydawania opinii i zaleceń.
(25) Certyfikacja zgodności z wymogami związanymi z cyberbezpieczeństwem określonymi w niniejszym rozporządzeniu powinna opierać się - jeżeli są dostępne - na odpowiednich europejskich programach certyfikacji cyberbezpieczeństwa ustanowionych na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 10 , które ustanawia dobrowolne europejskie ramy certyfikacji cyberbezpieczeństwa produktów, procesów i usług ICT.
(26) Aby stale oceniać i ograniczać ryzyko związane z bezpieczeństwem, certyfikowane europejskie portfele tożsamości cyfrowej powinny podlegać regularnym ocenom podatności na zagrożenia, mającym na celu wykrywanie wszelkich podatności na zagrożenia certyfikowanych elementów związanych z produktem, certyfikowanych elementów związanych z procesem oraz certyfikowanych elementów związanych z usługami europejskiego portfela tożsamości cyfrowej.
(27) Zapewniając ochronę użytkowników i przedsiębiorstw przed zagrożeniami w cyberprzestrzeni, zasadnicze wymogi związane z cyberbezpieczeństwem określone w niniejszym rozporządzeniu przyczyniają się również do zwiększenia ochrony danych osobowych oraz prywatności osób fizycznych. Należy rozważyć możliwości synergii zarówno w obszarze normalizacji, jak i certyfikacji w zakresie aspektów cyberbezpieczeństwa, poprzez współpracę między Komisją, europejskimi organizacjami normalizacyjnymi, Agencją Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), Europejską Radą Ochrony Danych ustanowioną rozporządzeniem (UE) 2016/679 oraz krajowymi organami nadzorczymi odpowiedzialnymi za ochronę danych.
(28) Należy ułatwić rejestrację obywateli i rezydentów Unii w europejskim portfelu tożsamości cyfrowej z użyciem środków identyfikacji elektronicznej na wysokim poziomie bezpieczeństwa. Na środkach identyfikacji elektronicznej wydanych na średnim poziomie bezpieczeństwa należy polegać wyłącznie w przypadkach, gdy zharmonizowane specyfikacje techniczne i procedury wykorzystujące środki identyfikacji elektronicznej wydane na średnim poziomie bezpieczeństwa, w połączeniu ze środkami uzupełniającymi weryfikację tożsamości, umożliwią spełnienie wymogów określonych w niniejszym rozporządzeniu w odniesieniu do wysokiego poziomu bezpieczeństwa. Takie środki uzupełniające powinny być niezawodne i łatwe w użyciu i mogłyby opierać się na możliwości korzystania z procedur zdalnej rejestracji, kwalifikowanych certyfikatów podpisu elektronicznego, kwalifikowanych elektronicznych poświadczeń atrybutów lub połączenia tych opcji. Aby zapewnić wystarczające upowszechnienie europejskich portfeli tożsamości cyfrowej, należy określić w aktach wykonawczych zharmonizowane specyfikacje techniczne i procedury dotyczące rejestracji użytkowników przy użyciu środków identyfikacji elektronicznej, w tym wydanych na średnim poziomie bezpieczeństwa.
(29) Celem niniejszego rozporządzenia jest zapewnienie użytkownikowi w pełni mobilnego, bezpiecznego i przyjaznego dla użytkownika europejskiego portfela tożsamości cyfrowej. Jako środek przejściowy - dopóki nie staną się dostępne certyfikowane rozwiązania zabezpieczające przed manipulacją, takie jak bezpieczne elementy w urządzeniach użytkowników - europejskie portfele tożsamości cyfrowej powinny opierać się na certyfikowanych zewnętrznych bezpiecznych elementach w celu ochrony materiału kryptograficznego i innych danych wrażliwych lub na notyfikowanych środkach identyfikacji elektronicznej na wysokim poziomie bezpieczeństwa w celu wykazania zgodności z odpowiednimi wymogami niniejszego rozporządzenia w odniesieniu do poziomu bezpieczeństwa europejskiego portfela tożsamości cyfrowej. Niniejsze rozporządzenie powinno pozostawać bez uszczerbku dla krajowych warunków w zakresie wydawania i stosowania certyfikowanego zewnętrznego bezpiecznego elementu, w przypadku gdy zastosowanie środka przejściowego zależy od tego bezpiecznego elementu.
(30) Europejskie portfele tożsamości cyfrowej powinny zapewniać najwyższy poziom ochrony danych i bezpieczeństwa na potrzeby identyfikacji elektronicznej i uwierzytelniania w celu ułatwienia dostępu do usług publicznych i prywatnych online, niezależnie od tego, czy takie dane są przechowywane lokalnie, czy przy użyciu rozwiązań opartych na chmurze, z należytym uwzględnieniem różnych poziomów ryzyka.
(31) Bezpieczeństwo europejskich portfeli tożsamości cyfrowej powinno być zapewnione już na etapie projektowania i powinny one wdrażać zaawansowane zabezpieczenia służące ochronie przed kradzieżą tożsamości i innymi rodzajami kradzieży danych, atakami prowadzącymi do odmowy usługi (ang. denial of service) oraz wszelkimi innymi zagrożeniami cyberbezpieczeństwa. Takie bezpieczeństwo powinno obejmować najnowocześniejsze metody szyfrowania i przechowywania danych, które dostępne są wyłącznie dla użytkownika i możliwe do odszyfrowania tylko przez niego, i które oparte są na pełnym szyfrowaniu komunikacji z innymi europejskimi portfelami tożsamości cyfrowej i stronami ufającymi. Ponadto europejskie portfele tożsamości cyfrowej powinny wymagać bezpiecznego, wyraźnego i aktywnego potwierdzenia przez użytkownika operacji wykonywanych za pośrednictwem europejskich portfeli tożsamości cyfrowej.
(32) Nieodpłatne używanie europejskich portfeli tożsamości cyfrowej nie powinno skutkować przetwarzaniem danych wykraczającym poza dane, które są niezbędne do świadczenia usług europejskiego portfela tożsamości cyfrowej. Niniejsze rozporządzenie nie powinno zezwalać na przetwarzanie danych osobowych - przechowywanych w europejskim portfelu tożsamości cyfrowej lub będących wynikiem używania go - przez dostawcę europejskiego portfela tożsamości cyfrowej do celów innych niż świadczenie usług europejskiego portfela tożsamości cyfrowej. Aby zapewnić prywatność, dostawcy europejskich portfeli tożsamości cyfrowej powinni zapewnić nieobserwowal- ność, nie zbierając danych i nie posiadając wglądu w transakcje użytkowników europejskiego portfela tożsamości cyfrowej. Taka nieobserwowalność oznacza, że dostawcy nie mają możliwości zapoznania się ze szczegółami transakcji dokonywanych przez użytkownika. Jednakże w szczególnych przypadkach, na podstawie wcześniejszej wyraźnej zgody użytkownika w każdym z tych szczególnych przypadków oraz w pełnej zgodności z rozporządzeniem (UE) 2016/679 dostawcy europejskich portfeli tożsamości cyfrowej mogliby uzyskać dostęp do informacji niezbędnych do świadczenia konkretnej usługi związanej z europejskimi portfelami tożsamości cyfrowej.
(33) Przejrzystość funkcjonowania europejskich portfeli tożsamości cyfrowej oraz rozliczalność ich dostawców to kluczowe elementy pozwalające budować zaufanie społeczne oraz sprawić, aby ramy te były akceptowane. Dlatego funkcjonowanie europejskich portfeli tożsamości cyfrowej powinno być przejrzyste oraz, w szczególności, powinno umożliwiać weryfikowalne przetwarzanie danych osobowych. Aby to osiągnąć, państwa członkowskie powinny ujawniać kod źródłowy komponentów oprogramowania użytkownika europejskich portfeli tożsamości cyfrowej, w tym tych, które są związane z przetwarzaniem danych osobowych i danych osób prawnych. Publikacja tego kodu źródłowego w ramach licencji otwartego oprogramowania powinna umożliwić społeczeństwu, w tym użytkownikom i programistom, zrozumienie jego funkcjonowania, audyt i przegląd kodu. Zwiększyłoby to również zaufanie użytkowników do systemu oraz - poprzez umożliwienie każdemu zgłaszania słabych punktów i błędów w kodzie - przyczyniłoby się do zwiększenia bezpieczeństwa europejskich portfeli tożsamości cyfrowej. Ogólnie rzecz biorąc, powinno to stanowić zachętę dla dostawców do dostarczania i utrzymywania wysoce bezpiecznego produktu. Jednakże w niektórych przypadkach ujawnienie kodu źródłowego wykorzystywanych bibliotek programistycznych, kanału komunikacji lub innych elementów, które nie są przechowywane na urządzeniu użytkownika, mogłoby zostać ograniczone przez państwa członkowskie z należycie uzasadnionych powodów, zwłaszcza ze względu na bezpieczeństwo publiczne.
(34) Używanie europejskich portfeli tożsamości cyfrowej, a także zaprzestanie ich używania powinno stanowić wyłączne prawo i wyłączny wybór użytkowników. Państwa członkowskie powinny opracować proste i bezpieczne procedury umożliwiające użytkownikom żądanie natychmiastowego unieważnienia europejskich portfeli tożsamości cyfrowej, w tym w przypadku utraty lub kradzieży. Należy ustanowić mechanizm, który po śmierci użytkownika lub zaprzestaniu działalności przez osobę prawną pozwoli organowi odpowiedzialnemu za rozstrzyganie w sprawie dziedziczenia po osobie fizycznej lub w kwestiach majątkowych osoby prawnej zażądać natychmiastowego unieważnienia europejskich portfeli tożsamości cyfrowej.
(35) Aby promować upowszechnienie europejskich portfeli tożsamości cyfrowej oraz szersze stosowanie tożsamości cyfrowych, państwa członkowskie powinny nie tylko promować korzyści płynące z odpowiednich usług, ale powinny także - we współpracy z sektorem prywatnym, naukowcami i środowiskiem akademickim - opracowywać programy szkoleniowe mające na celu wzmocnienie umiejętności cyfrowych swoich obywateli i rezydentów, w szczególności grup szczególnie wrażliwych, takich jak osoby z niepełnosprawnościami i osoby starsze. Państwa członkowskie powinny także upowszechniać wiedzę na temat korzyści i zagrożeń związanych z europejskimi portfelami tożsamości cyfrowej za pomocą kampanii informacyjnych.
(36) Aby zapewnić otwartość europejskich ram tożsamości cyfrowej na innowacje i rozwój technologiczny oraz aby ramy te wytrzymywały próbę czasu, zachęca się państwa członkowskie, wspólnie, do tworzenia piaskownic do testowania innowacyjnych rozwiązań w kontrolowanym i bezpiecznym środowisku, w szczególności w celu poprawy funkcjonalności, ochrony danych osobowych, bezpieczeństwa i interoperacyjności rozwiązań oraz w celu uzyskiwania informacji na potrzeby przyszłego aktualizowania technicznych dokumentów referencyjnych i wymogów prawnych. Środowisko to powinno sprzyjać włączeniu MŚP, przedsiębiorstw typu startup oraz indywidualnych innowatorów i badaczy, a także odpowiednich zainteresowanych stron z branży. Takie inicjatywy powinny przyczyniać się do osiągnięcia oraz powodować wzmocnienie zgodności regulacyjnej i odporności technicznej europejskich portfeli tożsamości cyfrowej, które mają być zapewniane obywatelom i rezydentom Unii, a tym samym zapobiegać opracowywaniu rozwiązań, które nie są zgodne z prawem Unii dotyczącym ochrony danych lub zawierają luki w zakresie bezpieczeństwa.
(37) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/1157 11 zwiększa bezpieczeństwo dowodów osobistych z ulepszonymi zabezpieczeniami do sierpnia 2021 r. Państwa członkowskie powinny rozważyć, czy mogą notyfikować te dowody w ramach systemów identyfikacji elektronicznej, aby zwiększyć transgraniczną dostępność środków identyfikacji elektronicznej.
(38) Proces notyfikacji systemów identyfikacji elektronicznej należy uprościć i przyspieszyć, aby promować dostęp do wygodnych, zaufanych, bezpiecznych i innowacyjnych rozwiązań w zakresie uwierzytelniania i identyfikacji oraz, w stosownych przypadkach, zachęcać prywatnych dostawców usług w zakresie tożsamości do oferowania organom państw członkowskich systemów identyfikacji elektronicznej do notyfikacji jako krajowe systemy identyfikacji elektronicznej na podstawie rozporządzenia (UE) nr 910/2014.
(39) Usprawnienie obecnych procedur notyfikacji i wzajemnej oceny zapobiegnie niejednorodnemu podejściu do oceny różnych notyfikowanych systemów identyfikacji elektronicznej oraz ułatwi budowanie zaufania między państwami członkowskimi. Nowe, uproszczone mechanizmy mają na celu sprzyjanie współpracy państw członkowskich w zakresie bezpieczeństwa i interoperacyjności ich notyfikowanych systemów identyfikacji elektronicznej.
(40) Państwa członkowskie powinny skorzystać na nowych, elastycznych narzędziach służących do zapewniania zgodności z wymogami niniejszego rozporządzenia oraz odpowiednich aktów wykonawczych przyjętych na jego podstawie. Niniejsze rozporządzenie powinno umożliwiać państwom członkowskim korzystanie ze sprawozdań i ocen sporządzonych przez akredytowane jednostki oceniające zgodność, jak przewidziano w kontekście programów certyfikacji, które mają zostać ustanowione na poziomie Unii na podstawie rozporządzenia (UE) 2019/881, na poparcie ich wniosków dotyczących dostosowania systemów lub ich części do rozporządzenia (UE) nr 910/2014.
(41) Dostawcy usług publicznych wykorzystują dane identyfikujące osobę dostępne ze środków identyfikacji elektronicznej zgodnie z rozporządzeniem (UE) nr 910/2014, aby dopasować tożsamość elektroniczną użytkowników z innych państw członkowskich do danych identyfikujących osobę wydanych tym użytkownikom w państwie członkowskim przeprowadzającym transgraniczne dopasowywanie tożsamości. Jednakże w wielu przypadkach, pomimo stosowania minimalnego zbioru danych udostępnianego w ramach notyfikowanych systemów identyfikacji elektronicznej, zapewnienie dokładnego dopasowania tożsamości, gdy państwa członkowskie działają jako strony ufające, wymaga dodatkowych informacji na temat użytkownika oraz szczególnych uzupełniających procedur jednoznacznej identyfikacji, które należy przeprowadzić na poziomie krajowym. W celu dalszego wspomagania użyteczności środków identyfikacji elektronicznej, świadczenia lepszych usług publicznych online oraz zwiększenia pewności prawa w odniesieniu do tożsamości elektronicznej użytkowników, w rozporządzeniu (UE) nr 910/2014 należy zobowiązać państwa członkowskie do wprowadzenia szczególnych środków online w celu zapewnienia jednoznacznego dopasowywania tożsamości, gdy użytkownicy zamierzają uzyskać dostęp do transgranicznych usług publicznych online.
(42) Podczas prac nad europejskimi portfelami tożsamości cyfrowej niezbędne jest uwzględnienie potrzeb użytkowników. Dostępne powinny być istotne zastosowania i usługi online wykorzystujące europejskie portfele tożsamości cyfrowej. Dla wygody użytkowników oraz aby zapewnić transgraniczną dostępność takich usług, ważne jest podjęcie działań w celu ułatwienia zastosowania podobnego podejścia do projektowania, rozwijania i wdrażania usług online we wszystkich państwach członkowskich. Użytecznym narzędziem umożliwiającym osiągnięcie tego celu mogą być niewiążące wytyczne dotyczące sposobu projektowania, rozwijania i wdrażania usług online wykorzystujących europejskie portfele tożsamości cyfrowej. Takie wytyczne należy przygotować z uwzględnieniem unijnych ram interoperacyjności. Państwa członkowskie powinny odgrywać wiodącą rolę w przyjmowaniu tych wytycznych.
(43) Zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/882 12 osoby z niepełnosprawnościami powinny móc używać europejskie portfele tożsamości cyfrowej, usługi zaufania oraz produkty przeznaczone dla użytkownika końcowego wykorzystywane do świadczenia tych usług na równi z innymi użytkownikami.
(44) Aby zapewnić skuteczne egzekwowanie niniejszego rozporządzenia, należy ustanowić minimalny poziom maksymalnych administracyjnych kar pieniężnych zarówno dla kwalifikowanych, jak i niekwalifikowanych dostawców usług zaufania. Państwa członkowskie powinny ustanowić skuteczne, proporcjonalne i odstraszające kary. Przy określaniu kar należy odpowiednio uwzględnić wielkość podmiotów, których to dotyczy, ich modele biznesowe oraz wagę naruszeń.
(45) Państwa członkowskie powinny ustanowić przepisy dotyczące kar za naruszenia, takie jak bezpośrednie lub pośrednie praktyki prowadzące do wprowadzenia w błąd w zakresie odróżniania niekwalifikowanych usług zaufania od kwalifikowanych usług zaufania, lub prowadzące do nadużywania unijnego znaku zaufania przez niekwalifikowanych dostawców usług zaufania. Unijny znak zaufania nie powinien być używany na warunkach, które bezpośrednio lub pośrednio prowadzą do przekonania, że jakiekolwiek niekwalifikowane usługi zaufania oferowane przez tych dostawców są usługami kwalifikowanymi.
(46) Niniejsze rozporządzenie nie powinno obejmować aspektów związanych z zawieraniem i ważnością umów lub innych zobowiązań prawnych, w przypadku gdy istnieją wymogi dotyczące formy ustanowione w prawie Unii lub prawie krajowym. Dodatkowo nie powinno ono mieć wpływu na krajowe wymogi w zakresie formy dotyczące rejestrów publicznych, w szczególności rejestrów handlowych i rejestrów gruntów.
(47) Świadczenie usług zaufania i korzystanie z nich oraz korzyści pod względem wygody i pewności prawa w kontekście transakcji transgranicznych, w szczególności w przypadku korzystania z kwalifikowanych usług zaufania, stają się coraz ważniejsze dla handlu międzynarodowego i współpracy międzynarodowej. Partnerzy międzynarodowi Unii tworzą ramy zaufania wzorowane na rozporządzeniu (UE) nr 910/2014. Aby w związku z tym ułatwić uznawanie takich kwalifikowanych usług zaufania i ich dostawców, Komisja może przyjmować akty wykonawcze określające warunki, na których ramy zaufania państw trzecich można uznać za równoważne określonym w niniejszym rozporządzeniu ramom zaufania dotyczącym kwalifikowanych usług zaufania i kwalifikowanych dostawców tych usług. Takie podejście powinno być uzupełnieniem możliwości wzajemnego uznawania usług zaufania i dostawców tych usług mających siedzibę w Unii i w państwach trzecich zgodnie z art. 218 Traktatu o funkcjonowaniu Unii Europejskiej (TFEU). Określając warunki, na jakich ramy zaufania państw trzecich można uznać za równoważne ramom zaufania dotyczącym kwalifikowanych usług zaufania i kwalifikowanych dostawców tych usług na podstawie rozporządzenia (UE) nr 910/2014, należy również zapewnić zgodność z odpowiednimi przepisami dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 13 i rozporządzenia (UE) 2016/679, a także wykorzystanie zaufanych list jako istotnych elementów budowania zaufania.
(48) Niniejsze rozporządzenie powinno sprzyjać możliwości dokonywania wyboru między europejskimi portfelami tożsamości cyfrowej oraz ich zmiany, w przypadku gdy państwo członkowskie zatwierdziło na swoim terytorium więcej niż jedno rozwiązanie w zakresie europejskiego portfela tożsamości cyfrowej. Aby uniknąć w takich sytuacjach efektu uzależnienia od dostawcy, dostawcy europejskich portfeli tożsamości cyfrowej powinni - w przypadku gdy jest to technicznie wykonalne - zapewnić skuteczną możliwość przenoszenia danych na żądanie użytkowników europejskiego portfela tożsamości cyfrowej oraz nie powinni mieć prawa do stosowania barier umownych, ekonomicznych lub technicznych w celu uniemożliwienia skutecznej zmiany europejskiego portfela tożsamości cyfrowej na inny lub w celu zniechęcania do takiej zmiany.
(49) Aby zapewnić właściwe funkcjonowanie europejskich portfeli tożsamości cyfrowej, dostawcy europejskich portfeli tożsamości cyfrowej potrzebują skutecznej interoperacyjności oraz sprawiedliwych, rozsądnych i niedyskryminu- jących warunków dostępu europejskich portfeli tożsamości cyfrowej do określonych funkcji sprzętu i oprogramowania urządzeń mobilnych. Elementy te mogłyby obejmować w szczególności anteny komunikacji zbliżeniowej (ang. near field communication) i bezpieczne elementy, w tym uniwersalne karty elektroniczne (ang. Universal Integrated Circuit Cards), wbudowane bezpieczne elementy (ang. embedded secure elements), karty mikroSD i Bluetooth o niskim zużyciu energii (ang. Bluetooth Low Energy). Dostęp do tych elementów mógłby podlegać kontroli operatorów sieci mobilnych i producentów sprzętu. W związku z tym, w przypadku gdy jest to konieczne do świadczenia usług związanych z europejskimi portfelami tożsamości cyfrowej, producenci oryginalnego sprzętu urządzeń mobilnych lub dostawcy usług łączności elektronicznej nie powinni odmawiać dostępu do takich komponentów. Ponadto przedsiębiorstwa wskazane jako strażnicy dostępu w odniesieniu do podstawowych usług platformowych, wymienione przez Komisję na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/1925 14 , powinny nadal podlegać przepisom szczegółowym tego rozporządzenia, w oparciu o jego art. 6 ust. 7.
(50) Aby usprawnić spełnianie obowiązków w zakresie cyberbezpieczeństwa nałożone na dostawców usług zaufania, a także umożliwić tym dostawcom i ich odpowiednim właściwym organom korzystanie z ram prawnych ustanowionych dyrektywą (UE) 2022/2555, dostawcy usług zaufania zobowiązani są do wprowadzenia odpowiednich środków technicznych i organizacyjnych na podstawie tej dyrektywy, takich jak środki służące przeciwdziałaniu awariom systemu, błędom ludzkim, szkodliwym działaniom lub zjawiskom naturalnym, w celu zarządzania ryzykiem w zakresie bezpieczeństwa sieci i systemów informatycznych, z których dostawcy ci korzystają przy świadczeniu swoich usług, a także w celu zgłaszania poważnych incydentów i zagrożeń cyberbezpieczeństwa zgodnie z tą dyrektywą. Jeżeli chodzi o zgłaszanie incydentów, dostawcy usług zaufania powinni zgłaszać wszelkie incydenty mające znaczący wpływ na świadczenie ich usług, w tym incydenty spowodowane kradzieżą, utratą urządzeń lub uszkodzeniem kabli sieciowych lub incydenty występujące w kontekście identyfikacji osób. Wymogi w zakresie zarządzania ryzykiem w cyberprzestrzeni oraz obowiązki w zakresie zgłaszania incydentów określone w dyrektywie (UE) 2022/2555 należy uznać za uzupełniające w stosunku do wymogów nałożonych na podstawie niniejszego rozporządzenia na dostawców usług zaufania. W stosownych przypadkach właściwe organy wyznaczone na podstawie dyrektywy (UE) 2022/2555 powinny nadal stosować ustalone praktyki lub wytyczne krajowe dotyczące wdrażania wymogów w zakresie bezpieczeństwa i sprawozdawczości oraz nadzoru nad zgodnością z takimi wymogami na podstawie rozporządzenia (UE) nr 910/2014. Niniejsze rozporządzenie nie ma wpływu na obowiązek zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem (UE) 2016/679.
(51) Należy zwrócić należytą uwagę na zapewnienie skutecznej współpracy między organami nadzoru wyznaczonymi na podstawie art. 46b rozporządzenia (UE) nr 910/2014 a właściwymi organami wyznaczonymi lub ustanowionymi na podstawie art. 8 ust. 1 dyrektywy (UE) 2022/2555. W przypadku gdy organ nadzoru nie jest jednocześnie właściwym organem, organ nadzoru i właściwy organ powinny ściśle i terminowo współpracować poprzez wymianę odpowiednich informacji, aby zapewnić skuteczny nadzór nad dostawcami usług zaufania oraz przestrzeganie przez nich wymogów określonych w rozporządzeniu (UE) nr 910/2014 i w dyrektywie (UE) 2022/2555. W szczególności, organy nadzoru wyznaczone na podstawie rozporządzenia (UE) nr 910/2014 powinny być uprawnione do zwracania się do właściwych organów wyznaczonych lub ustanowionych na podstawie dyrektywy (UE) 2022/2555 o udzielenie odpowiednich informacji potrzebnych do przyznania statusu kwalifikowanego oraz do przeprowadzenia działań nadzorczych w celu zweryfikowania zgodności dostawców usług zaufania z odpowiednimi wymogami określonymi w dyrektywie (UE) 2022/2555 lub zażądania od tych dostawców, aby wyeliminowali niezgodności z tymi wymogami.
(52) Istotne jest ustanowienie ram prawnych służących ułatwieniu transgranicznego uznawania istniejących krajowych rozwiązań prawnych, związanych z usługami rejestrowanego doręczenia elektronicznego. Ramy te mogłyby stworzyć także nowe możliwości rynkowe dla unijnych dostawców usług zaufania w odniesieniu do oferowania nowych ogólnounijnych usług rejestrowanego doręczenia elektronicznego. W celu zapewnienia, aby dane przesyłane za pomocą kwalifikowanej usługi rejestrowanego doręczenia elektronicznego zostały dostarczone do właściwego adresata, kwalifikowane usługi rejestrowanego doręczenia elektronicznego powinny zapewniać z całkowitą pewnością identyfikację adresata, przy czym do identyfikacji nadawcy wystarczyłaby duża doza pewności. Państwa członkowskie powinny zachęcać dostawców kwalifikowanych usług rejestrowanego doręczenia elektronicznego do zapewnienia interoperacyjności ich usług z kwalifikowanymi usługami rejestrowanego doręczenia elektronicznego świadczonymi przez innych kwalifikowanych dostawców usług zaufania w celu łatwego przesyłania rejestrowanych elektronicznie danych między dwoma kwalifikowanymi dostawcami usług zaufania lub większą ich liczbą oraz promowania uczciwych praktyk na rynku wewnętrznym.
(53) W większości przypadków obywatele i rezydenci Unii nie mają możliwości - w sposób bezpieczny oraz z zapewnieniem wysokiego stopnia ochrony danych - dokonywania transgranicznej wymiany informacji cyfrowych związanych z ich tożsamością, takich jak ich adres, wiek, kwalifikacje zawodowe, prawo jazdy i inne zezwolenia oraz dane dotyczące płatności.
(54) Powinna istnieć możliwość wydawania i obsługi wiarygodnych atrybutów elektronicznych oraz przyczynienia się do zmniejszenia obciążenia administracyjnego poprzez umożliwienie obywatelom i rezydentom Unii korzystania z tych atrybutów w transakcjach prywatnych i publicznych. Obywatele i rezydenci Unii powinni móc na przykład wykazać posiadanie ważnego prawa jazdy wydanego przez organ w jednym państwie członkowskim, który to dokument odpowiednie organy w innych państwach członkowskich mogą zweryfikować i na którym mogą polegać, oraz powinni móc korzystać ze swoich uprawnień w zakresie ubezpieczenia społecznego lub z przyszłych cyfrowych dokumentów podróży w kontekście transgranicznym.
(55) Każdy dostawca usług, który wydaje poświadczone atrybuty w formie elektronicznej, takie jak dyplomy, zezwolenia, akty urodzenia lub pełnomocnictwa i upoważnienia do reprezentowania osób fizycznych lub prawnych, lub do działania w ich imieniu, powinien być uznawany za dostawcę usług zaufania w zakresie elektronicznego poświadczenia atrybutów. Nie należy odmawiać skutku prawnego elektronicznemu poświadczeniu atrybutów z tego powodu, że poświadczenie to ma postać elektroniczną lub że nie spełnia wymogów kwalifikowanego elektronicznego poświadczenia atrybutów. Należy ustanowić ogólne wymogi w celu zapewnienia, aby kwalifikowane elektroniczne poświadczenie atrybutów miało skutek prawny równoważny skutkowi prawnemu wystawionych zgodnie z prawem poświadczeń w formie papierowej. Wymogi te powinny jednak mieć zastosowanie bez uszczerbku dla prawa Unii lub prawa krajowego określającego dodatkowe wymogi sektorowe w odniesieniu do formy, której zachowanie wywołuje skutki prawne, a w szczególności - w stosownych przypadkach - do transgranicznego uznawania kwalifikowanego elektronicznego poświadczenia atrybutów.
(56) Szeroka dostępność i użyteczność europejskich portfeli tożsamości cyfrowej powinna prowadzić do większej ich akceptacji oraz zaufania do nich zarówno wśród osób prywatnych, jak i prywatnych dostawców usług. Prywatne strony ufające świadczące usługi na przykład w obszarach transportu, energetyki, bankowości i usług finansowych, zabezpieczenia społecznego, zdrowia, wody pitnej, usług pocztowych, infrastruktury cyfrowej, telekomunikacji lub edukacji, powinny zatem akceptować używanie europejskich portfeli tożsamości cyfrowej na potrzeby świadczenia usług, w przypadku gdy silne uwierzytelnienie użytkownika do celów identyfikacji elektronicznej wymagane jest na podstawie prawa Unii lub prawa krajowego, lub na podstawie zobowiązania umownego. Każdy wniosek strony ufającej o udzielenie informacji od użytkownika europejskiego portfela tożsamości cyfrowej powinien być niezbędny i proporcjonalny do zamierzonego wykorzystania w danym przypadku, powinien być zgodny z zasadą minimalizacji danych oraz powinien zapewniać przejrzystość w odniesieniu do tego, które dane są udostępniane i w jakich celach. Aby ułatwić używanie europejskich portfeli tożsamości cyfrowej oraz ich akceptację, przy ich wprowadzaniu należy uwzględnić powszechnie akceptowane normy i specyfikacje branżowe.
(57) W przypadku gdy bardzo duże platformy internetowe w rozumieniu art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 15 wymagają, aby użytkownicy uwierzytelnili się do celów dostępu do usług online, platformy te powinny być zobowiązane do akceptowania europejskich portfeli tożsamości cyfrowej na dobrowolny wniosek użytkownika. Użytkownicy nie powinni być zobowiązani do używania europejskiego portfela tożsamości cyfrowej w celu uzyskania dostępu do usług prywatnych, a ich dostęp do usług nie powinien być ograniczany ani utrudniany ze względu na to, że nie używają europejskiego portfela tożsamości cyfrowej. Jeżeli jednak użytkownicy wyrażą taką wolę, bardzo duże platformy internetowe powinny akceptować te portfele do tego celu, przy jednoczesnym poszanowaniu zasady minimalizacji danych i prawa użytkowników do używania dowolnie wybranych pseudonimów. Biorąc pod uwagę znaczenie bardzo dużych platform internetowych ze względu na ich zasięg, w szczególności wyrażony liczbą odbiorców usługi i transakcji gospodarczych, obowiązek akceptowania europejskich portfeli tożsamości cyfrowej jest niezbędny, aby zwiększyć ochronę użytkowników przed oszustwami oraz zapewnić wysoki poziom ochrony danych.
(58) Aby przyczynić się do zapewnienia szerokiej dostępności i użyteczności środków identyfikacji elektronicznej, w tym europejskich portfeli tożsamości cyfrowej objętych zakresem stosowania niniejszego rozporządzenia, należy opracować kodeksy postępowania na poziomie Unii. Kodeksy postępowania powinny ułatwiać szeroką akceptację środków identyfikacji elektronicznej, w tym europejskich portfeli tożsamości cyfrowej, przez tych dostawców usług, którzy nie kwalifikują się jako bardzo duże platformy i którzy do celów uwierzytelniania użytkownika polegają na usługach identyfikacji elektronicznej świadczonych przez strony trzecie.
(59) Selektywne ujawnianie polega na umożliwieniu właścicielowi danych ujawniania jedynie niektórych części większego zbioru danych, aby podmiot otrzymujący mógł uzyskać tylko takie informacje, które są niezbędne do świadczenia usługi żądanej przez użytkownika. Europejski portfel tożsamości cyfrowej powinien pod względem technicznym umożliwiać selektywne ujawnianie atrybutów stronom ufającym. Użytkownik powinien mieć techniczną możliwość selektywnego ujawniania atrybutów, w tym z wielu odrębnych poświadczeń elektronicznych, oraz łączyć i prezentować je w sposób niezakłócony stronom ufającym. Funkcja ta powinna stać się jedną z podstawowych cech europejskich portfeli tożsamości cyfrowej, co zwiększy wygodę i ochronę danych osobowych, w tym minimalizację danych.
(60) Nie należy zakazywać dostępu do usług przy użyciu pseudonimu, chyba że przepisy szczególne prawa Unii lub prawa krajowego wymagają od użytkowników zidentyfikowania się.
(61) Atrybuty dostarczane przez kwalifikowanych dostawców usług zaufania w ramach kwalifikowanego poświadczenia atrybutów powinny być weryfikowane względem źródeł autentycznych bezpośrednio przez kwalifikowanego dostawcę usług zaufania albo poprzez wyznaczonych pośredników uznanych na poziomie krajowym zgodnie z prawem Unii lub prawem krajowym do celów bezpiecznej wymiany poświadczonych atrybutów między dostawcami usług w zakresie tożsamości lub dostawcami usług poświadczania atrybutów a stronami ufającymi. Państwa członkowskie powinny ustanowić odpowiednie mechanizmy na poziomie krajowym w celu zapewnienia, aby kwalifikowani dostawcy usług zaufania wydający kwalifikowane elektroniczne poświadczenie atrybutów mogli - za zgodą osoby, której wydano poświadczenie - weryfikować autentyczność atrybutów na podstawie źródeł autentycznych. Powinna istnieć możliwość, aby odpowiednie mechanizmy obejmowały korzystanie - zgodnie z prawem krajowym - z konkretnych pośredników lub rozwiązań technicznych umożliwiających dostęp do źródeł autentycznych. Zapewnienie dostępności mechanizmu, który umożliwia weryfikację atrybutów względem źródeł autentycznych, ma na celu ułatwienie kwalifikowanym dostawcom usług zaufania, którzy dostarczają kwalifikowane elektroniczne poświadczenia atrybutów, przestrzegania ich obowiązków określonych w rozporządzeniu (UE) nr 910/2014. Nowy załącznik do tego rozporządzenia powinien zawierać wykaz kategorii atrybutów, w odniesieniu do których państwa członkowskie mają zapewnić wprowadzenie środków umożliwiających kwalifikowanym dostawcom elektronicznych poświadczeń atrybutów zweryfikowanie drogą elektroniczną, na żądanie użytkownika, ich autentyczności względem odpowiedniego źródła autentycznego.
(62) Bezpieczna identyfikacja elektroniczna oraz dostarczanie poświadczeń atrybutów powinny zapewniać sektorowi usług finansowych dodatkową elastyczność oraz rozwiązania umożliwiające identyfikację klientów i wymianę specjalnych atrybutów niezbędnych do spełnienia, na przykład, wymogów należytej staranności wobec klienta wynikających z przyszłego rozporządzenia ustanawiającego Urząd ds. Przeciwdziałania Praniu Pieniędzy, wymogów dotyczących odpowiedniego zachowania wynikających z przepisów dotyczących ochrony inwestorów lub do spełnienia wymogów silnego uwierzytelniania klienta w odniesieniu do identyfikacji elektronicznej na potrzeby logowania się na konto i inicjowania transakcji w dziedzinie usług płatniczych.
(63) Skutek prawny podpisu elektronicznego nie powinien być kwestionowany na tej podstawie, że podpis ma postać elektroniczną lub nie spełnia wymogów kwalifikowanego podpisu elektronicznego. Skutek prawny podpisów elektronicznych określa się jednak w prawie krajowym, z wyjątkiem wymogów przewidzianych w niniejszym rozporządzeniu, zgodnie z którymi skutek prawny kwalifikowanego podpisu elektronicznego należy uznać za równoważny skutkowi prawnemu podpisu własnoręcznego. Przy określaniu skutków prawnych podpisów elektronicznych, państwa członkowskie powinny uwzględnić zasadę proporcjonalności między mocą prawną podpisywanego dokumentu, poziomem bezpieczeństwa oraz kosztami związanymi z podpisem elektronicznym.
Aby zwiększyć dostępność i wykorzystywanie podpisów elektronicznych, zachęca się państwa członkowskie, aby rozważyły wykorzystywanie zaawansowanych podpisów elektronicznych w bieżących transakcjach, w odniesieniu do których zapewniają one dostateczny poziom bezpieczeństwa i zaufania.
(64) Aby zapewnić spójność praktyk certyfikacji w całej Unii, Komisja powinna wydać wytyczne dotyczące certyfikacji i odnowienia certyfikacji kwalifikowanych urządzeń do składania podpisu elektronicznego oraz kwalifikowanych urządzeń do składania pieczęci elektronicznej, w tym ich ważności i ograniczeń w czasie. Niniejsze rozporządzenie nie uniemożliwia podmiotom publicznym lub prywatnym, które posiadają certyfikowane kwalifikowane urządzenia do składania podpisu elektronicznego, czasowego odnowienia certyfikacji takich urządzeń na krótki okres certyfikacji, w oparciu o wyniki poprzedniego procesu certyfikacji, w przypadku gdy takiego odnowienia certyfikacji nie można przeprowadzić w prawnie określonych ramach czasowych z powodu innego niż naruszenie lub incydent bezpieczeństwa, a także bez uszczerbku dla obowiązku przeprowadzenia oceny podatności na zagrożenia oraz bez uszczerbku dla mającej zastosowanie praktyki dotyczącej certyfikacji.
(65) Wydawanie certyfikatów uwierzytelniania witryn internetowych ma na celu zapewnienie użytkownikom dużej dozy pewności co do tożsamości podmiotu stojącego za daną witryną internetową, bez względu na to, jaka platforma jest wykorzystywana do wyświetlenia tej tożsamości. Certyfikaty te powinny przyczyniać się do budowy zaufania do prowadzenia działalności gospodarczej online, ponieważ użytkownicy będą mieli pewność co do witryny internetowej, która została uwierzytelniona. Korzystanie przez witryny internetowe z takich certyfikatów powinno być dobrowolne. Jednakże, aby uwierzytelnianie witryny internetowej stało się środkiem zwiększenia zaufania, zapewnienia użytkownikowi lepszego doświadczenia oraz wspierania wzrostu na rynku wewnętrznym, niniejsze rozporządzenie ustanawia ramy zaufania obejmujące minimalne obowiązki w zakresie bezpieczeństwa i odpowiedzialności dla dostawców kwalifikowanych certyfikatów uwierzytelniania witryn internetowych oraz wymogów dotyczących wydawania tych certyfikatów. Krajowe zaufane listy powinny potwierdzać kwalifikowany status usług uwierzytelniania witryn internetowych i dostawców tych usług zaufania, w tym ich pełną zgodność z wymogami niniejszego rozporządzenia w odniesieniu do wydawania kwalifikowanych certyfikatów uwierzytelniania witryn internetowych. Uznawanie kwalifikowanych certyfikatów uwierzytelniania witryn internetowych oznacza, że dostawcy przeglądarek internetowych nie powinni podważać autentyczności kwalifikowanych certyfikatów uwierzytelniania stron internetowych służących wyłącznie do potwierdzenia związku między nazwą domeny witryny internetowej a osobą fizyczną lub prawną, której wydano certyfikat, lub do potwierdzenia tożsamości tej osoby. Dostawcy przeglądarek internetowych powinni wyświetlać certyfikowane dane dotyczące tożsamości oraz inne poświadczone atrybuty użytkownikowi końcowemu w sposób przyjazny dla użytkownika w środowisku przeglądarki, korzystając z wybranych przez siebie środków technicznych. W tym celu dostawcy przeglądarek internetowych powinni zapewniać obsługę kwalifikowanych certyfikatów uwierzytelniania witryn internetowych wydanych w pełnej zgodności z niniejszym rozporządzeniem oraz interoperacyjność z tymi certyfikatami. Obowiązek uznawania oraz interoperacyjności i obsługi kwalifikowanych certyfikatów uwierzytelniania witryn internetowych nie wpływa na swobodę dostawców przeglądarek internetowych w zakresie zapewniania bezpieczeństwa sieci, uwierzytelniania domen oraz szyfrowania ruchu sieciowego w taki sposób i przy użyciu takich technologii, które uznają za najodpowiedniejsze. Aby przyczynić się do bezpieczeństwa użytkowników końcowych w internecie, dostawcy przeglądarek internetowych powinni - w wyjątkowych okolicznościach - mieć możliwość wprowadzania środków zapobiegawczych, które będą zarówno konieczne, jak i proporcjonalne, w odpowiedzi na uzasadnione podejrzenia dotyczące naruszeń bezpieczeństwa lub utraty integralności określonego certyfikatu lub zestawu certyfikatów. W przypadku wprowadzenia przez nich takich środków zapobiegawczych dostawcy przeglądarek internetowych powinni - bez zbędnej zwłoki - powiadomić Komisję, krajowy organ nadzoru oraz podmiot, któremu wydano dany certyfikat, oraz kwalifikowanego dostawcę usług zaufania, który wydał ten certyfikat lub zestaw certyfikatów, o wszelkich podejrzeniach związanych z takim naruszeniem bezpieczeństwa lub utratą integralności, a także o środkach wprowadzonych w odniesieniu do pojedynczego certyfikatu lub zestawu certyfikatów. Środki te powinny pozostawać bez uszczerbku dla obowiązku dostawców przeglądarek w zakresie uznawania kwalifikowanych certyfikatów uwierzytelniania witryn internetowych zgodnie z krajowymi zaufanymi listami. W celu dalszej ochrony obywateli i rezydentów Unii oraz propagowania korzystania z kwalifikowanych certyfikatów uwierzytelniania witryn internetowych, organy publiczne w państwach członkowskich powinny rozważyć włączenie kwalifikowanych certyfikatów uwierzytelniania witryn internetowych do swoich witryn internetowych. Przewidziane w niniejszym rozporządzeniu środki, których celem jest zapewnienie większej spójności między stosowanymi przez państwa członkowskie rozbieżnymi podejściami i praktykami dotyczącymi procedur nadzorczych, mają przyczynić się do zwiększenia zaufania oraz pewności co do bezpieczeństwa, jakości oraz dostępności kwalifikowanych certyfikatów uwierzytelniania witryn internetowych.
(66) Wiele państw członkowskich wprowadziło krajowe wymogi dotyczące usług zapewniających bezpieczną i wiarygodną archiwizację elektroniczną, aby umożliwić długoterminowe przechowywanie danych i dokumentów elektronicznych oraz powiązanych usług zaufania. Aby zapewnić pewność prawa, zaufanie i harmonizację we wszystkich państwach członkowskich, należy ustanowić ramy prawne dla kwalifikowanych usług archiwizacji elektronicznej, wzorowane na ramach dla innych usług zaufania określonych w niniejszym rozporządzeniu. Ramy prawne kwalifikowanych usług archiwizacji elektronicznej powinny oferować dostawcom usług zaufania i użytkownikom skuteczny zestaw narzędzi obejmujący wymogi funkcjonalne dotyczące usługi archiwizacji elektronicznej, a także jasne skutki prawne w przypadku korzystania z kwalifikowanej usługi archiwizacji elektronicznej. Przepisy te powinny mieć zastosowanie do danych elektronicznych i dokumentów elektronicznych sporządzonych w postaci elektronicznej oraz dokumentów papierowych, które zostały zeskanowane i zdigitalizowane. W razie potrzeby przepisy te powinny pozwalać na przenoszenie przechowywanych danych i dokumentów elektronicznych na inne nośniki lub formaty w celu przedłużenia ich trwałości i czytelności poza technologiczny okres ważności, przy jednoczesnym zapobieganiu w możliwie największym zakresie stratom i modyfikacji. W przypadku gdy dane i dokumenty elektroniczne przekazywane do usługi archiwizacji elektronicznej zawierają co najmniej jeden kwalifikowany podpis elektroniczny lub kwalifikowaną pieczęć elektroniczną, w ramach usługi należy stosować procedury i technologie, które mogą przedłużyć ich wiarygodność na okres przechowywania takich danych, w miarę możliwości w oparciu o wykorzystanie innych kwalifikowanych usług zaufania ustanowionych na podstawie niniejszego rozporządzenia. W celu tworzenia dowodów konserwacji w przypadku użycia podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu należy korzystać z kwalifikowanych usług zaufania. W zakresie, w jakim usługi archiwizacji elektronicznej nie są harmonizowane na podstawie niniejszego rozporządzenia, państwa członkowskie powinny mieć możliwość utrzymania lub wprowadzenia, zgodnie z prawem Unii, przepisów krajowych odnoszących się do tych usług, takich jak przepisy szczegółowe dotyczące usług zintegrowanych w ramach danej organizacji i wykorzystywanych wyłącznie do archiwów wewnętrznych tej organizacji. Niniejsze rozporządzenie nie powinno wprowadzać rozróżnienia między danymi elektronicznymi i dokumentami elektronicznymi sporządzonymi w postaci elektronicznej a dokumentami fizycznymi, które zostały zdigitalizowane.
(67) Działalność krajowych archiwów i instytucji pamięci, jako organizacji, które w interesie publicznym zajmują się ochroną dziedzictwa mającego postać dokumentów, uregulowana jest zazwyczaj w prawie krajowym i niekoniecznie obejmuje świadczenie usług zaufania w rozumieniu niniejszego rozporządzenia. W zakresie, w jakim takie instytucje nie świadczą takich usług zaufania, niniejsze rozporządzenie pozostaje bez uszczerbku dla ich funkcjonowania.
(68) Rejestry elektroniczne to sekwencje elektronicznych wpisów danych zapewniające integralność tych wpisów danych oraz dokładność ich chronologicznego uporządkowania. Rejestry elektroniczne powinny ustanawiać chronologiczną sekwencję wpisów danych. W połączeniu z innymi technologiami powinny one przyczyniać się do opracowywania rozwiązań na rzecz bardziej efektywnych i transformacyjnych usług publicznych, takich jak głosowanie elektroniczne, transgraniczna współpraca organów celnych, transgraniczna współpraca instytucji akademickich oraz rejestrowanie własności nieruchomości w zdecentralizowanych rejestrach gruntów. Kwalifikowane rejestry elektroniczne powinny ustanawiać domniemanie prawne dotyczące niepowtarzalnego i dokładnego sekwencyjnego uporządkowania chronologicznego oraz integralności wpisów danych w rejestrze. Z uwagi na ich specyfikę, na przykład sekwencyjne uporządkowanie chronologiczne wpisów danych, rejestry elektroniczne powinny odróżniać się od innych usług zaufania, takich jak elektroniczne znaczniki czasu i usługi rejestrowanego doręczenia elektronicznego. W celu zapewnienia pewności prawa oraz promowania innowacji należy ustanowić ogólno - unijne ramy prawne określające transgraniczne uznawanie usług zaufania do celów rejestrowania danych w rejestrach elektronicznych. Powinno to w wystarczającym stopniu zapobiec kopiowaniu i wielokrotnej sprzedaży tych samych aktywów cyfrowych różnym stronom. Proces tworzenia i aktualizacji rejestru elektronicznego zależy od rodzaju wykorzystywanego rejestru, tzn. czy jest on scentralizowany czy rozproszony. Niniejsze rozporządzenie powinno zapewniać neutralność technologiczną, tj. nie powinno faworyzować ani dyskryminować jakiejkolwiek technologii stosowanej przy wdrażaniu nowej usługi zaufania dla rejestrów elektronicznych. Ponadto przy przygotowywaniu aktów wykonawczych określających wymogi dotyczące kwalifikowanych rejestrów elektronicznych Komisja, stosując odpowiednie metodyki, powinna uwzględniać wskaźniki zrównoważonego rozwoju w odniesieniu do wszelkiego niekorzystnego wpływu na klimat lub w odniesieniu do innych niekorzystnych skutków związanych ze środowiskiem.
(69) Rolą dostawców usług zaufania w zakresie rejestrów elektronicznych powinno być potwierdzanie sekwencyjnego rejestrowania danych w rejestrze. Niniejsze rozporządzenie pozostaje bez uszczerbku dla wszelkich obowiązków prawnych użytkowników rejestrów elektronicznych, wynikających z prawa Unii lub prawa krajowego. I tak na przykład zastosowania związane z przetwarzaniem danych osobowych powinny być zgodne z rozporządzeniem (UE) 2016/679, a zastosowania związane z usługami finansowymi powinny być zgodne z odpowiednimi przepisami prawa Unii w zakresie usług finansowych.
(70) Aby uniknąć fragmentacji i barier na rynku wewnętrznym, wynikających z rozbieżnych norm i ograniczeń technicznych, oraz aby zapewnić skoordynowany proces wyeliminowania ich wpływu na wdrożenie europejskich ram tożsamości cyfrowej, potrzebna jest bliska i zorganizowana współpraca między Komisją, państwami członkowskimi, społeczeństwem obywatelskim, środowiskami akademickimi i sektorem prywatnym. Aby osiągnąć ten cel, państwa członkowskie i Komisja powinny współpracować w zakresie ram określonych w zaleceniu Komisji (UE) 2021/946 16 nad określeniem wspólnego unijnego zestawu narzędzi na potrzeby europejskich ram tożsamości cyfrowej. W tym kontekście państwa członkowskie powinny uzgodnić kompleksową architekturę techniczną i ramy odniesienia, zestaw wspólnych norm i technicznych dokumentów referencyjnych, w tym uznane obowiązujące normy, oraz zestaw wytycznych i opisów najlepszych praktyk obejmujące co najmniej wszystkie funkcje i interoperacyjność europejskich portfeli tożsamości cyfrowej, w tym podpisów elektronicznych, oraz dostawców kwalifikowanej usługi zaufania do celów elektronicznego poświadczania atrybutów, jak określono w niniejszym rozporządzeniu. W tym kontekście państwa członkowskie powinny również uzgodnić wspólne elementy modelu biznesowego oraz strukturę opłat europejskich portfeli tożsamości cyfrowej, aby ułatwić korzystanie z tych portfeli,
w szczególności przez MŚP, w kontekście transgranicznym. Zawartość zestawu narzędzi powinna ewoluować równolegle z postępami w dialogu i procesie przyjmowania europejskich ram tożsamości cyfrowej oraz powinna odzwierciedlać ich wyniki.
(71) Niniejsze rozporządzenie określa zharmonizowany poziom jakości, wiarygodności i bezpieczeństwa kwalifikowanych usług zaufania, niezależnie od miejsca prowadzenia operacji. W związku z tym kwalifikowany dostawca usług zaufania powinien mieć możliwość zlecania na zewnątrz swoich operacji związanych ze świadczeniem kwalifikowanej usługi zaufania w państwie trzecim, w przypadku, gdy to państwo trzecie udzieli odpowiednich gwarancji zapewniających możliwość egzekwowania działań nadzorczych i audytów, tak jakby były one prowadzone w Unii. W przypadku gdy nie można w pełni zapewnić zgodności z niniejszym rozporządzeniem, organy nadzoru powinny mieć możliwość przyjęcia proporcjonalnych i uzasadnionych środków, w tym odebrania kwalifikowanego statusu świadczonej usługi zaufania.
(72) Aby zapewnić pewność prawa w odniesieniu do ważności zaawansowanych podpisów elektronicznych opartych na kwalifikowanych certyfikatach, niezbędne jest określenie sposobu oceny przeprowadzanej przez stronę ufającą dokonującą walidacji tego zaawansowanego podpisu elektronicznego opartego na kwalifikowanych certyfikatach.
(73) Dostawcy usług zaufania powinni stosować metody kryptograficzne odzwierciedlające aktualne najlepsze praktyki i wiarygodne przykłady wdrażania tych metod w celu zapewnienia bezpieczeństwa i wiarygodności ich usług zaufania.
(74) Niniejsze rozporządzenie ustanawia dla dostawców kwalifikowanych usług zaufania obowiązek weryfikacji tożsamości osoby fizycznej lub prawnej, której wydawany jest kwalifikowany certyfikat lub kwalifikowane elektroniczne poświadczenie atrybutów, w oparciu o różne zharmonizowane metody w całej Unii. W celu zapewnienia, aby kwalifikowane certyfikaty i kwalifikowane elektroniczne poświadczenia atrybutów były wydawane osobie, do której należą, oraz aby poświadczały prawidłowy i niepowtarzalny zestaw danych odpowiadających tożsamości tej osoby, dostawcy kwalifikowanych usług zaufania wydający kwalifikowane certyfikaty lub wydający kwalifikowane elektroniczne poświadczenia atrybutów powinni, w momencie wydawania tych certyfikatów i poświadczeń, potwierdzić z całkowitą pewnością tożsamość tej osoby. Ponadto oprócz obowiązkowej weryfikacji tożsamości danej osoby, o ile będzie to miało zastosowanie do celów wydawania kwalifikowanych certyfikatów oraz przy wydawaniu kwalifikowanych elektronicznych poświadczeń atrybutów, dostawcy kwalifikowanych usług zaufania powinni z całkowitą pewnością zapewniać prawidłowość i dokładność poświadczanych atrybutów osoby, której wydawane są kwalifikowany certyfikat lub kwalifikowane elektroniczne poświadczenie atrybutów. Te obowiązki dotyczące rezultatu i całkowitej pewności przy weryfikacji poświadczanych danych powinny być poparte odpowiednimi środkami, w tym zastosowaniem jednej konkretnej metody określonej w niniejszym rozporządzeniu lub, w stosownych przypadkach, ich połączenia. Powinno być możliwe łączenie tych metod w celu zapewnienia odpowiedniej podstawy do weryfikacji tożsamości osoby, której wydawane są kwalifikowany certyfikat lub kwalifikowane elektroniczne poświadczenie atrybutów. Powinno być możliwe, aby takie połączenie obejmowało poleganie na środkach identyfikacji elektronicznej, które spełniają wymogi dotyczące średniego poziomu bezpieczeństwa w połączeniu z innymi środkami weryfikacji tożsamości. Taka identyfikacja elektroniczna pozwoliłaby spełnić zharmonizowane wymogi określone w niniejszym rozporządzeniu w odniesieniu do wysokiego poziomu bezpieczeństwa, jako część dodatkowych zharmonizowanych procedur zdalnych, zapewniających dużą dozę pewności co do identyfikacji. Metody te powinny obejmować możliwość dokonania przez dostawcę kwalifikowanych usług zaufania wydającego kwalifikowane elektroniczne poświadczenie atrybutów weryfikacji atrybutów, które mają być poświadczone drogą elektroniczną na żądanie użytkownika oraz zgodnie z prawem Unii lub prawem krajowym, w tym względem źródeł autentycznych.
(75) Aby zachować aktualność niniejszego rozporządzenia względem globalnych zmian oraz przestrzegać najlepszych praktyk na rynku wewnętrznym, akty delegowane i wykonawcze przyjmowane przez Komisję powinny być regularnie poddawane przeglądowi i w razie potrzeby regularnie aktualizowane. Ocena, czy aktualizacje te są konieczne, powinna uwzględniać nowe technologie, praktyki, normy lub specyfikacje techniczne.
(76) Ponieważ cele niniejszego rozporządzenia, a mianowicie opracowanie ogólnounijnych europejskich ram tożsamości cyfrowej oraz ram usługi zaufania, nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie, natomiast ze względu na ich rozmiary i skutki możliwe jest ich lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.
(77) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych.
(78) Należy zatem odpowiednio zmienić rozporządzenie (UE) nr 910/2014,
PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:
