ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/1571
z dnia 29 lipca 2025 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w odniesieniu do formatów i procedur sprawozdań rocznych organów nadzoru
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 46a ust. 7 i art. 46b ust. 7,
a także mając na uwadze, co następuje:
| (1) | Organy nadzoru europejskich portfeli tożsamości cyfrowej wyznaczone na podstawie art. 46a ust. 1 rozporządzenia (UE) nr 910/2014 oraz organy nadzoru w odniesieniu do usług zaufania wyznaczone na podstawie art. 46b ust. 1 tego rozporządzenia („organy nadzoru”) przekazują Komisji istotne informacje na temat swoich działań w zakresie nadzoru zgodnie z art. 46a ust. 6 i art. 46b ust. 6 tego rozporządzenia. |
| (2) | Aby ustanowić przejrzyste i wiarygodne źródło informacji dotyczących działań organów nadzoru w zakresie nadzoru, zapewnić bezpieczną i weryfikowalną wymianę danych z Komisją oraz zmniejszyć komplikacje administracyjne, organy nadzoru powinny przedkładać sprawozdania roczne w określonym formacie, nadającym się do odczytu maszynowego i automatycznego przetwarzania. |
| (3) | Aby ułatwić wymianę dobrych praktyk między organami nadzoru oraz zapewnić spójny i skuteczny nadzór we wszystkich państwach członkowskich, nieodzowne jest, aby sprawozdania roczne organów nadzoru zawierały wyczerpujące i istotne informacje. Organy nadzoru powinny w szczególności składać sprawozdania ze swoich działań obejmujących elementy, które mogłyby zacieśnić współpracę, z uwzględnieniem m.in. szczegółowych informacji na temat przeprowadzonych i planowanych działań w zakresie nadzoru, zidentyfikowanych wyzwań, inspekcji, wszelkich istotnych zgłoszeń dotyczących naruszeń bezpieczeństwa lub utraty integralności przekazanych przez organ nadzoru właściwym organom danego państwa członkowskiego zgodnie z dyrektywą (UE) 2022/2555 (2) oraz pomocy wzajemnej między organami nadzoru na podstawie art. 46c i 46d rozporządzenia (UE) nr 910/2014. Ponadto, ponieważ te informacje zawarte w sprawozdaniach rocznych mają być udostępniane Parlamentowi Europejskiemu i Radzie zgodnie z art. 46a ust. 6 i art. 46b ust. 6 rozporządzenia (UE) nr 910/2014, przekazywane informacje służyłyby celom przejrzystości i dostępności informacji. W związku z tym wszystkie organy nadzoru powinny przekazywać informacje określone w załącznikach I i II do niniejszego rozporządzenia. |
| (4) | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (3), a w stosownych przypadkach, rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 (4) oraz dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady (5) mają zastosowanie do czynności przetwarzania wszystkich danych osobowych na podstawie niniejszego rozporządzenia. |
| (5) | Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 28 maja 2025 r. |
| (6) | Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na podstawie art. 48 rozporządzenia (UE) nr 910/2014, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Format i procedury dotyczące sprawozdań rocznych
1. Organy nadzoru przedkładają Komisji swoje sprawozdania roczne, o których mowa w art. 46a ust. 6 i art. 46b ust. 6 rozporządzenia (UE) nr 910/2014, za pośrednictwem bezpiecznego kanału elektronicznego udostępnionego przez Komisję.
2. Organy nadzoru przekazują informacje w formie sprawozdań tylko raz, w stosownych przypadkach ponownie wykorzystując uprzednio przedłożone informacje.
3. Organy nadzoru europejskich portfeli tożsamości cyfrowej, o których mowa w art. 46a ust. 1 rozporządzenia (UE) nr 910/2014, dbają, aby ich sprawozdania roczne zawierały co najmniej informacje określone w załączniku I do niniejszego rozporządzenia.
4. Organy nadzoru w odniesieniu do usług zaufania, o których mowa w art. 46b ust. 1 rozporządzenia (UE) nr 910/2014, zapewniają, aby ich sprawozdania roczne zawierały co najmniej informacje określone w załączniku II do niniejszego rozporządzenia.
Artykuł 2
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 29 lipca 2025 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333, 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(5) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
ZAŁĄCZNIK I
Informacje, które należy ująć w sprawozdaniach rocznych organów nadzoru europejskich portfeli tożsamości cyfrowej
Sprawozdania roczne organów nadzoru europejskich portfeli tożsamości cyfrowej muszą zawierać co najmniej następujące informacje:
| 1) | nazwę, adres oraz dane kontaktowe organu nadzoru składającego sprawozdanie roczne; |
| 2) | w przypadku gdy zgodnie z art. 46a ust. 1 rozporządzenia (UE) nr 910/2014 wyznaczono więcej niż jeden organ nadzoru - zakres działań w ramach nadzoru organu nadzoru przedkładającego dane sprawozdanie roczne; |
| 3) | opis organizacji, struktury, zasobów i zdolności organu nadzoru; |
| 4) | opis działań ex post i ex ante w zakresie nadzoru w odniesieniu do każdego dostawcy portfela przeprowadzonych w poprzednim roku kalendarzowym zgodnie z art. 46a ust. 3 lit. a), w tym przypadków podejrzewanych lub potencjalnych naruszeń rozporządzenia (UE) nr 910/2014, oraz krótki opis głównych zidentyfikowanych wyzwań; |
| 5) | podsumowanie kontroli na miejscu i działań w zakresie nadzoru zdalnego przeprowadzonych przez organ nadzoru, w tym co najmniej następujące informacje:
|
| 6) | opis działań ex post w zakresie nadzoru przeprowadzonych na podstawie art. 46a ust. 3 lit. b) rozporządzenia (UE) nr 910/2014 oraz krótki opis głównych zidentyfikowanych wyzwań; |
| 7) | opis wszelkich istotnych zgłoszeń naruszeń bezpieczeństwa lub utraty integralności dokonanych przez organ nadzoru właściwym organom zainteresowanego państwa członkowskiego, wyznaczonym lub ustanowionym na podstawie art. 8 ust. 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555, pojedynczym punktom kontaktowym danego państwa członkowskiego wyznaczonym lub ustanowionym na podstawie art. 8 ust. 3 dyrektywy (UE) 2022/2555, pojedynczym punktom kontaktowym innego zainteresowanego państwa członkowskiego lub zainteresowanych państw członkowskich wyznaczonym na podstawie art. 46c ust. 1 rozporządzenia (UE) nr 910/2014 lub do wiadomości publicznej; |
| 8) | informacje na temat wezwań do usunięcia wszelkich przypadków niespełnienia wymogów określonych w rozporządzeniu (UE) nr 910/2014, adresowanych do dostawców portfela; |
| 9) | opis przypadków anulowania rejestracji stron ufających z powodu niezgodnego z prawem lub oszukańczego korzystania z europejskiego portfela tożsamości cyfrowej w ramach mechanizmu, o którym mowa w art. 5b ust. 7 rozporządzenia (UE) nr 910/2014; |
| 10) | opis wszelkich przypadków współpracy z innymi organami nadzoru mającymi siedzibę w innych państwach członkowskich lub udzielania im pomocy zgodnie z art. 46c i 46e rozporządzenia (UE) nr 910/2014 oraz przegląd wyników takiej współpracy; |
| 11) | częstotliwość i charakter współpracy z właściwymi organami nadzoru ustanowionymi na podstawie art. 51 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679; |
| 12) | perspektywę działań w zakresie nadzoru i priorytetów, na których organ nadzoru zamierza się skupić w następnym roku. |
ZAŁĄCZNIK II
Informacje, które należy ująć w sprawozdaniach rocznych organów nadzoru w odniesieniu do usług zaufania
Sprawozdania roczne organów nadzoru muszą zawierać co najmniej następujące informacje:
| 1) | nazwę, adres oraz dane kontaktowe organu nadzoru składającego sprawozdanie roczne; |
| 2) | w przypadku gdy zgodnie z art. 46b ust. 1 rozporządzenia (UE) nr 910/2014 wyznaczono więcej niż jeden organ nadzoru - zakres działań w ramach nadzoru organu nadzoru przedkładającego dane sprawozdanie roczne; |
| 3) | opis organizacji, struktury, zasobów i zdolności organu nadzoru składającego sprawozdanie roczne; |
| 4) | opis działań w zakresie nadzoru przeprowadzonych na podstawie art. 46b ust. 3 lit. a) i b) w ciągu roku kalendarzowego objętego sprawozdaniem w odniesieniu do niekwalifikowanych i kwalifikowanych dostawców usług zaufania mających siedzibę na terytorium wyznaczającego państwa członkowskiego oraz świadczonych przez nich usług zaufania, w tym przypadków podejrzewanych lub potencjalnych naruszeń rozporządzenia (UE) nr 910/2014, oraz krótki opis głównych zidentyfikowanych wyzwań; |
| 5) | podsumowanie kontroli na miejscu i działań w zakresie nadzoru zdalnego przeprowadzonych przez organ nadzoru składający sprawozdanie roczne, w tym co najmniej następujące informacje:
|
| 6) | opis wszelkich dodatkowych działań podjętych przez organ nadzoru na podstawie art. 46b ust. 3 rozporządzenia (UE) nr 910/2014; |
| 7) | opis wszelkich istotnych zgłoszeń naruszeń bezpieczeństwa lub utraty integralności dokonanych przez organ nadzoru składający sprawozdanie roczne właściwym organom zainteresowanego państwa członkowskiego lub zainteresowanych państw członkowskich, wyznaczonym lub ustanowionym na podstawie art. 8 ust. 1 dyrektywy (UE) 2022/2555, pojedynczym punktom kontaktowym danego państwa członkowskiego lub państw członkowskich wyznaczonym lub ustanowionym na podstawie art. 8 ust. 3 dyrektywy (UE) 2022/2555, pojedynczym punktom kontaktowym w innych zainteresowanych państwach członkowskich wyznaczonym na podstawie art. 46c ust. 1 rozporządzenia (UE) nr 910/2014 lub do wiadomości publicznej; |
| 8) | opis zakresu współpracy z innymi organami nadzoru mającymi siedzibę w innych państwach członkowskich, opis pomocy udzielonej zgodnie z art. 46c i 46e rozporządzenia (UE) nr 910/2014 oraz przegląd wyników takiej współpracy; |
| 9) | opis częstotliwości i charakteru współpracy organów nadzoru w odniesieniu do usług zaufania z właściwymi organami nadzoru ustanowionymi na podstawie art. 51 rozporządzenia (UE) 2016/679, w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych, oraz opis naruszeń bezpieczeństwa, które okazały się naruszeniami ochrony danych osobowych w odniesieniu do dostawców usług zaufania i świadczonych przez nich usług zaufania; |
| 10) | krótki opis wyników weryfikacji istnienia przepisów dotyczących planów zakończenia działalności oraz weryfikacji ich prawidłowego stosowania w przypadku zaprzestania działalności przez nadzorowanego kwalifikowanego dostawcę usług zaufania, w tym wskazanie sposobu, w jaki zapewnia się dalszą dostępność informacji zgodnie z art. 24 ust. 2 lit. h) rozporządzenia (UE) nr 910/2014; |
| 11) | opis wszelkich dochodzeń w sprawie zgłoszeń dostawców przeglądarek internetowych, które badano w okresie sprawozdawczym zgodnie z art. 45a rozporządzenia (UE) nr 910/2014, oraz wszelkich innych działań następczych podjętych w tym kontekście; |
| 12) | opis działań związanych z zaufanymi listami, o których mowa w art. 22 rozporządzenia (UE) nr 910/2014, w tym zauważalnych aktualizacji w następstwie działań w zakresie nadzoru, odpowiedniego doświadczenia lub kwestii związanych ze zgodnością z decyzją wykonawczą Komisji (UE) 2015/1505 (1), w szczególności z wymogami dotyczącymi dostępności; |
| 13) | informacje na temat krajowych systemów akredytacji jednostek oceniających zgodność, krajowych systemów oceny zgodności lub powiązanych wytycznych dotyczących systemów oceny zgodności bądź informacje o powiązanych inicjatywach; |
| 14) | w stosownych przypadkach opis wszelkiej infrastruktury zaufania utworzonej, utrzymywanej i aktualizowanej przez organ nadzoru na wniosek państwa członkowskiego i zgodnie z przepisami krajowymi. |
(1) Decyzja wykonawcza Komisji (UE) 2015/1505 z dnia 8 września 2015 r. ustanawiająca specyfikacje techniczne i formaty dotyczące zaufanych list zgodnie z art. 22 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.U. L 235 z 9.9.2015, s. 26, ELI: http://data.europa.eu/eli/dec_impl/2015/1505/oj).
POTRZEBUJESZ POMOCY?Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00
