ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/849
z dnia 6 maja 2025 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do przekazywania informacji Komisji i grupie współpracy na potrzeby wykazu certyfikowanych europejskich portfeli tożsamości cyfrowej
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 5d ust. 7,
a także mając na uwadze, co następuje:
| (1) | Europejskie ramy tożsamości cyfrowej („ramy”) ustanowione rozporządzeniem (UE) nr 910/2014 stanowią kluczowy element budowy bezpiecznego i interoperacyjnego ekosystemu tożsamości cyfrowej w całej Unii. Ramy te, których podstawę stanowią europejskie portfele tożsamości cyfrowej („portfele”), mają na celu ułatwienie dostępu do usług online we wszystkich państwach członkowskich obywatelom, mieszkańcom i przedsiębiorstwom, a jednocześnie zapewnienie ochrony danych osobowych i prywatności. |
| (2) | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (2) oraz - w stosownych przypadkach - dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady (3) mają zastosowanie do wszystkich czynności przetwarzania danych osobowych na podstawie niniejszego rozporządzenia. |
| (3) | Aby Komisja mogła ustanowić, opublikować w Dzienniku Urzędowym Unii Europejskiej i prowadzić w formie nadającej się do odczytu maszynowego wykaz informacji przekazywanych przez państwa członkowskie na temat certyfikowanych portfeli, Komisja powinna ustanowić formaty i procedury umożliwiające państwom członkowskim przekazywanie wymaganych informacji Komisji i Grupie Współpracy na rzecz Europejskiej Tożsamości Cyfrowej ustanowionej na podstawie art. 46e ust. 1 rozporządzenia (UE) nr 910/2014 („grupa współpracy”), a także aktualizowanie tych informacji. Biorąc pod uwagę, że przekazywane informacje mają być wykorzystywane przez Komisję, grupę współpracy i ogół społeczeństwa, państwa członkowskie powinny przekazywać informacje przynajmniej w języku angielskim, ponieważ ułatwia to ich szeroką dostępność, ocenę i zrozumienie, a jednocześnie sprzyja współpracy. |
| (4) | Informacje na temat certyfikowanych portfeli, które państwa członkowskie powinny przekazywać, mają zasadnicze znaczenie dla zapewnienia zaufania, przejrzystości i harmonizacji w całym ekosystemie portfeli, a także zwiększenia zaufania użytkowników portfela, dostawców portfela i organów regulacyjnych. W związku z tym powinny one zawierać opis rozwiązania w zakresie portfela oraz systemu identyfikacji elektronicznej, w ramach którego dostarcza się rozwiązanie w zakresie portfela. Opis taki powinien zawierać szczegółowe informacje dotyczące organu lub organów odpowiedzialnych za rozwiązanie w zakresie portfela i system identyfikacji elektronicznej, mający zastosowanie system nadzoru, system odpowiedzialności w odniesieniu do strony dostarczającej rozwiązanie w zakresie portfela, ustalenia dotyczące zawieszenia lub unieważnienia systemu identyfikacji elektronicznej, rozwiązanie w zakresie portfela przewidziane w tym systemie lub wszelkie skompromitowane jego części, a także informacje dotyczące certyfikatu i sprawozdania z oceny certyfikacji odnoszącego się do dostarczania i funkcjonowania rozwiązań w zakresie portfela oraz systemów identyfikacji elektronicznej, w ramach których są one dostarczane. Informacje te powinny być wystarczające, aby umożliwić Komisji sporządzenie, opublikowanie w Dzienniku Urzędowym Unii Europejskiej i prowadzenie wykazu certyfikowanych portfeli w formie nadającej się do odczytu maszynowego. W bezpiecznym kanale elektronicznym wykorzystywanym do przekazywania informacji dotyczących certyfikowanych portfeli należy unikać powielania tych samych informacji przez państwa członkowskie. |
| (5) | Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (4) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 31 stycznia 2025 r. |
| (6) | Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego w art. 48 rozporządzenia (UE) nr 910/2014, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Przedmiot
W niniejszym rozporządzeniu określa się formaty i procedury dotyczące przekazywania przez państwa członkowskie Komisji i grupie współpracy informacji na potrzeby wykazu certyfikowanych portfeli zgodnie z art. 5d rozporządzenia (UE) nr 910/2014, które mają być regularnie aktualizowane w celu zapewnienia zgodności z rozwojem technologii i opracowywanymi normami oraz z pracami prowadzonymi na podstawie zalecenia Komisji (UE) 2021/946 (5), w szczególności z architekturą i ramami odniesienia.
Artykuł 2
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
| 1) | „rozwiązanie w zakresie portfela” oznacza połączenie oprogramowania, sprzętu, usług, ustawień i konfiguracji, z uwzględnieniem instancji portfela, co najmniej jednej bezpiecznej aplikacji kryptograficznej portfela oraz co najmniej jednego bezpiecznego urządzenia kryptograficznego portfela; |
| 2) | „instancja portfela” oznacza aplikację zainstalowaną i skonfigurowaną na urządzeniu lub w środowisku użytkownika portfela, która jest częścią jednostki portfela i z której użytkownik portfela korzysta do interakcji z daną jednostką portfela; |
| 3) | „jednostka portfela” oznacza niepowtarzalną konfigurację rozwiązania w zakresie portfela, która obejmuje instancje portfela, bezpieczne aplikacje kryptograficzne portfela i bezpieczne urządzenia kryptograficzne portfela dostarczane przez dostawcę portfela indywidualnemu użytkownikowi portfela; |
| 4) | „dostawca portfela” oznacza osobę fizyczną lub prawną, która dostarcza rozwiązania w zakresie portfela; |
| 5) | „użytkownik portfela” oznacza użytkownika, który kontroluje jednostkę portfela; |
| 6) | „bezpieczna aplikacja kryptograficzna portfela” oznacza aplikację, która zarządza aktywami krytycznymi, łącząc się z funkcjami kryptograficznymi i niekryptograficznymi zapewnianymi przez bezpieczne urządzenie kryptograficzne portfela oraz korzystając z tych funkcji; |
| 7) | „bezpieczne urządzenie kryptograficzne portfela” oznacza urządzenie odporne na manipulacje, które zapewnia otoczenie połączone z bezpieczną aplikacją kryptograficzną portfela i przez nią wykorzystywane, aby chronić aktywa krytyczne i zapewniać funkcje kryptograficzne na potrzeby bezpiecznego wykonywania operacji krytycznych; |
| 8) | „aktywa krytyczne” oznaczają aktywa wewnątrz jednostki portfela lub z nią związane o tak istotnym znaczeniu, że naruszenie ich dostępności, poufności lub integralności miałoby bardzo poważny, szkodliwy wpływ na zdolność do polegania na danej jednostce portfela; |
| 9) | „dostawca danych identyfikujących osobę” oznacza osobę fizyczną lub prawną odpowiedzialną za wydanie i unieważnienie danych identyfikujących osobę oraz za zapewnienie, aby dane identyfikujące osobę odnoszące się do użytkownika były powiązane kryptograficznie z jednostką portfela. |
Artykuł 3
Format, procedura przekazywania i informacje, które mają być przekazywane Komisji przez państwa członkowskie
1. Państwa członkowskie przekazują Komisji i grupie współpracy informacje określone w załączniku za pośrednictwem bezpiecznego kanału elektronicznego udostępnionego przez Komisję.
2. Państwa członkowskie przekazują informacje wymagane na podstawie ust. 1 przynajmniej w języku angielskim.
3. W przypadku jakichkolwiek zmian przekazanych informacji, w tym zmian statusu certyfikacji portfeli, państwa członkowskie przekazują zaktualizowane informacje za pośrednictwem kanału, o którym mowa w ust. 1.
Artykuł 4
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 6 maja 2025 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(5) Zalecenie Komisji (UE) 2021/946 z dnia 3 czerwca 2021 r. w sprawie wspólnego unijnego zestawu narzędzi na potrzeby skoordynowanego podejścia do europejskich ram tożsamości cyfrowej (Dz.U. L 210 z 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
ZAŁĄCZNIK
Informacje przekazywane przez państwa członkowskie
| 1. | Cel przekazania informacji, wskazany jako jeden z poniższych:
|
| 2. | Informacje, które należy przekazać odnośnie do dostarczonego i certyfikowanego portfela:
|
POTRZEBUJESZ POMOCY?Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00
