(1)

2020 m. vasario 19 d. Komisijos komunikate „Europos skaitmeninės ateities formavimas“ skelbiama apie Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 (4) peržiūrą siekiant padidinti jo veiksmingumą, išplėsti jo teikiamą naudą įtraukiant ir privatųjį sektorių ir propaguoti patikimas skaitmenines tapatybes visiems europiečiams;

(2)

2020 m. spalio 1–2 d. išvadose, Europos Vadovų Taryba paragino Komisiją pasiūlyti sukurti Sąjungos masto saugios viešosios elektroninės atpažinties sistemą, įskaitant sąveikius skaitmeninius parašus, kad žmonės galėtų kontroliuoti savo tapatybę ir duomenis internete, taip pat kad būtų sudarytos sąlygos naudotis viešosiomis, privačiosiomis ir tarpvalstybinėmis skaitmeninėmis paslaugomis;

(3)

Europos Parlamento ir Tarybos sprendimu (ES) 2022/2481 (5) nustatytoje 2030 m. skaitmeninio dešimtmečio politikos programoje nustatyti Sąjungos sistemos tikslai ir skaitmeniniai tikslai, skirti tam, kad juos įgyvendinant ne vėliau kaip 2030 m. būtų plačiai įdiegta patikima, savanoriška, naudotojų kontroliuojama skaitmeninė tapatybė, kuri būtų pripažįstama visoje Sąjungoje ir kuri kiekvienam naudotojui suteiktų galimybę kontroliuoti savo duomenis internetinėse sąveikose;

(4)

Europos Parlamento, Tarybos ir Komisijos paskelbtoje „Europos deklaracijoje dėl skaitmeninio dešimtmečio skaitmeninių teisių ir principų“ (6) (toliau – deklaracija) pabrėžiama visų teisė naudotis skaitmeninėmis technologijomis, produktais ir paslaugomis, į kuriuos jau kūrimo etapu integruojamos saugos, patikimumo ir privatumo apsaugos funkcijos. Tai apima užtikrinimą, kad visiems Sąjungoje gyvenantiems žmonėms būtų pasiūlytos galimybės naudotis prieinama, saugia ir patikima skaitmenine tapatybe, suteikiančia galimybę naudotis įvairiomis paslaugomis prisijungus ir neprisijungus prie interneto ir kuri būtų apsaugota nuo kibernetinio saugumo rizikos ir kibernetinių nusikaltimų, be kita ko, duomenų saugumo pažeidimų ir tapatybės vagystės ar manipuliavimo ja. Deklaracijoje taip pat teigiama, kad visi turi teisę į savo asmens duomenų apsaugą. Ta teisė apima duomenų naudojimo ir dalijimosi jais kontrolę;

(5)

Sąjungos piliečiai ir gyventojai Sąjungoje turėtų turėti teisę į skaitmeninę tapatybę, kurią tik jie patys visiškai kontroliuoja ir kuri suteikia jiems galimybę naudotis savo teisėmis skaitmeninėje aplinkoje ir dalyvauti skaitmeninėje ekonomikoje. Tam tikslui pasiekti turėtų būti nustatyta Europos skaitmeninės tapatybės sistema, kad Sąjungos piliečiai ir gyventojai Sąjungoje galėtų visoje Sąjungoje naudotis viešosiomis ir privačiosiomis paslaugomis prisijungus ir neprisijungus prie interneto;

(6)

suderinta skaitmeninės tapatybės sistema turėtų prisidėti prie skaitmeniniu požiūriu labiau integruotos Sąjungos kūrimo mažinant skaitmenines kliūtis tarp valstybių narių ir įgalinant Sąjungos piliečius ir gyventojus Sąjungoje naudotis skaitmenizacijos teikiama nauda, kartu didinant skaidrumą ir stiprinant jų teisių apsaugą;

(7)

laikantis darnesnio požiūrio į elektroninę atpažintį turėtų sumažėti dabartinio susiskaidymo, kylančio dėl skirtingų nacionalinių sprendimų naudojimo arba dėl to, kad kai kuriose valstybėse narėse nėra tokių elektroninės atpažinties sprendimų, rizika ir sąnaudos. Toks požiūris turėtų sustiprinti vidaus rinką, sudarant sąlygas Sąjungos piliečiams, gyventojams Sąjungoje, kaip apibrėžiama pagal nacionalinę teisę, ir įmonėms identifikuoti save ir patvirtinti savo tapatybę prisijungus ir neprisijungus prie interneto saugiai, patikimai, vartotojui patogiu būdu, patogiai, prieinamai ir suderintomis sąlygomis visoje Sąjungoje. Europinė skaitmeninės tapatybės dėklė turėtų fiziniams ir juridiniams asmenims visoje Sąjungoje suteikti galimybę naudotis suderintomis elektroninės atpažinties priemonėmis, kurios suteiktų jiems galimybę nustatyti su jų tapatybe susietų duomenų autentiškumą ir jais dalytis. Visi turėtų turėti galimybę saugiai naudotis viešosiomis ir privačiosiomis paslaugomis pasikliaujant pagerinta patikimumo užtikrinimo paslaugų ekosistema ir patikrintais tapatybės įrodymais, taip pat elektroniniais požymių liudijimais, pavyzdžiui akademinėmis kvalifikacijomis, įskaitant universiteto laipsnius ar kitas besimokant įgytas ar profesines kvalifikacijas. Europos skaitmeninės tapatybės sistema siekiama pereiti nuo kliovimosi tik nacionaliniais skaitmeninės tapatybės sprendimais prie elektroninių požymių liudijimų, kurie galioja ir yra teisiškai pripažįstami visoje Sąjungoje, teikimo. Elektroninių požymių liudijimų teikėjams turėtų būti naudingos aiškios ir vienodos taisyklės, o viešojo administravimo institucijos turėtų turėti galimybę kliautis atitinkamo formato elektroniniais dokumentais;

(8)

kai kurios valstybės narės yra įdiegusios ir naudoja elektroninės atpažinties priemones, kurias pripažįsta paslaugų teikėjai Sąjungoje. Be to, pagal Reglamentą (ES) Nr. 910/2014 buvo investuojama į nacionalinius ir tarpvalstybinius sprendimus, įskaitant elektroninės atpažinties schemų, apie kurias pranešta, sąveikumą pagal tą reglamentą. Siekiant užtikrinti papildomumą ir kad elektroninės atpažinties priemonių, apie kurias pranešta, dabartiniai naudotojai greitai priimtų europines skaitmeninės tapatybės dėkles, taip pat kuo labiau sumažinti poveikį esamiems paslaugų teikėjams, tikimasi, kad europinių skaitmeninės tapatybės dėklių srityje bus naudinga remtis patirtimi, susijusia su esamomis elektroninės atpažinties priemonėmis ir Sąjungos ir nacionaliniu lygmenimis įdiegtų elektroninės atpažinties schemų, apie kurias pranešta, infrastruktūra;

(9)

visai asmens duomenų tvarkymo veiklai pagal Reglamentą (ES) Nr. 910/2014 taikomi Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 (7) ir, kai aktualu, Europos Parlamento ir Tarybos direktyva 2002/58/EB (8). Šiame reglamente numatyti sprendimai pagal sąveikumo sistemą taip pat atitinka tas taisykles. Sąjungos duomenų apsaugos teisėje numatyti duomenų apsaugos principai, pavyzdžiui, duomenų kiekio mažinimo ir tikslo apribojimo principas ir pareigos, pavyzdžiui, pritaikytoji ir standartizuotoji duomenų apsauga;

(10)

tam, kad būtų remiamas Sąjungos įmonių konkurencingumas, internetinių paslaugų teikėjai tiek prisijungę, tiek neprisijungę prie interneto turėtų turėti galimybę pasikliauti visoje Sąjungoje pripažįstamais skaitmeninės tapatybės sprendimais, nepriklausomai nuo valstybės narės, kurioje tie sprendimai yra teikiami, taip gaudami naudos iš suderinto Sąjungos požiūrio į patikimumą, saugumą ir sąveikumą. Tiek naudotojai, tiek paslaugų teikėjai turėtų turėti galimybę gauti naudos iš tos pačios elektroninių požymių liudijimų teisinės vertės visoje Sąjungoje. Suderinta skaitmeninės tapatybės sistema siekiama sukurti ekonominę vertę palengvinant prekių ir paslaugų įsigijimą, gerokai sumažinant veiklos sąnaudas, susijusias su elektroninio identifikavimo ir autentiškumo patvirtinimo procedūromis, pavyzdžiui, naujų klientų jungimosi metu, ir sumažinant kibernetinių nusikaltimų, pavyzdžiui, tapatybės vagysčių, duomenų vagysčių ir sukčiavimo internete, galimybę, tokiu būdu skatinant Sąjungos labai mažų, mažųjų ir vidutinių įmonių (toliau – MVĮ) didesnį efektyvumą ir saugią skaitmeninę transformaciją;

(11)

europinės skaitmeninės tapatybės dėklės turėtų palengvinti vienkartinio duomenų pateikimo principo taikymą, taip sumažinant administracinę naštą ir remiant tarpvalstybinį Sąjungos piliečių bei gyventojų Sąjungoje ir įmonių judumą visoje Sąjungoje, taip pat skatinant sąveikių e. valdžios paslaugų plėtojimą visoje Sąjungoje;

(12)

įgyvendinant šį reglamentą asmens duomenų tvarkymui taikomas Reglamentas (ES) 2016/679, Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 (9) ir Direktyva 2002/58/EB. Todėl šiame reglamente turėtų būti nustatytos konkrečios apsaugos priemonės, kuriomis būtų užtikrinama, kad elektroninės atpažinties priemonių ir elektroninių požymių liudijimų teikėjai negalėtų sujungti kitas paslaugas teikiant gautų asmens duomenų su asmens duomenimis, tvarkomais siekiant teikti paslaugas, kurioms taikomas šis reglamentas. Su europinių skaitmeninės tapatybės dėklių suteikimu susiję asmens duomenys turėtų būti saugomi logiškai atskirti nuo bet kokių kitų europinės skaitmeninės tapatybės dėklės teikėjo turimų duomenų. Šiuo reglamentu europinių skaitmeninės tapatybės dėklių teikėjams neturėtų būti kliudoma taikyti papildomas technines priemones, kuriomis prisidedama prie asmens duomenų apsaugos, pavyzdžiui, fizinį asmens duomenų, susijusių su europinių skaitmeninės tapatybės dėklių teikimu, atskyrimą nuo bet kokių kitų teikėjo turimų duomenų. Nedarant poveikio Reglamentui (ES) 2016/679, šiame reglamente papildomai patikslinamas tikslų apribojimo, duomenų kiekio mažinimo ir pritaikytosios bei standartizuotosios duomenų apsaugos principų taikymas;

(13)

europinės skaitmeninės tapatybės dėklės turėtų turėti projektuojant įdiegtą bendro skydelio funkciją, kad būtų užtikrintas didesnis skaidrumas, privatumas ir naudotojų kontrolė jų asmens duomenų atžvilgiu. Ta funkcija turėtų suteikti paprastą ir patogią naudoti sąsają, kurioje būtų apžvelgiamos visos pasikliaujančiosios šalys, su kuriomis naudotojas dalijasi duomenimis, įskaitant požymius, ir duomenų, kuriais dalijamasi su kiekviena pasikliaujančiąja šalimi, rūšys. Ji turėtų suteikti naudotojams galimybę sekti visas operacijas, įvykdytas naudojantis europine skaitmeninės tapatybės dėkle, pateikiant bent šiuos duomenis: operacijos laikas ir data, operacijos šalies identifikavimo duomenys, prašomi duomenys ir duomenys, kuriais dalijamasi. Ta informacija turėtų būti saugoma net ir tuo atveju, jei operacija nebuvo baigta. Neturėtų būti įmanoma paneigti operacijų istorijoje esančios informacijos autentiškumą. Tokia funkcija turėtų veikti automatiškai. Naudotojai turėtų turėti galimybę lengvai prašyti pasikliaujančiosios šalies nedelsiant ištrinti asmens duomenis pagal Reglamento (ES) 2016/679 17 straipsnį ir lengvai pranešti apie pasikliaujančiąją šalį kompetentingai nacionalinei duomenų apsaugos institucijai, jei gaunamas tariamai neteisėtas arba įtartinas prašymas dėl asmens duomenų tiesiogiai iš europinės skaitmeninės tapatybės dėklės;

(14)

valstybės narės į europinę skaitmeninės tapatybės dėklę turėtų integruoti įvairias privatumo išsaugojimo technologijas, pavyzdžiui, įrodymą pagal nulinio žinojimo protokolą. Tie kriptografiniai metodai turėtų leisti pasikliaujančiajai šaliai patvirtinti, ar konkretus pareiškimas, pagrįstas asmens tapatybės duomenimis ir požymių liudijimu, yra teisingas, neperduodant jokių duomenų, kuriais tas pareiškimas grindžiamas ir tokiu būdu apsaugant naudotojo privatumą;

(15)

šiuo reglamentu nustatomos suderintos sąlygos dėl europinių skaitmeninės tapatybės dėklių, kurias turi teikti valstybės narės, sistemos kūrimo. Visiems Sąjungos piliečiams ir gyventojams Sąjungoje, kaip apibrėžta nacionalinėje teisėje, turėtų būti suteikta galių saugiai prašyti, atrinkti, jungti, laikyti, ištrinti su jų tapatybe susijusius duomenis, jais dalytis ir juos pateikti, taip pat prašyti ištrinti jų asmens duomenis naudotojui palankiu ir patogiu būdu kontroliuojant vien naudotojui, kartu sudarant galimybes pasirinktinai atskleisti duomenis. Šis reglamentas atspindi bendras europines vertybes ir juo laikomasi pagrindinių teisių, teisinės apsaugos priemonių ir atsakomybės, taip apsaugant demokratines visuomenes, Sąjungos piliečius ir gyventojus Sąjungoje. Tiems tikslams pasiekti naudojamos technologijos turėtų būti kuriamos taip, kad būtų siekiama aukščiausio lygio saugumo, privatumo, patogumo naudotojams, prieinamumo, plataus masto naudojamumo ir sklandaus sąveikumo. Valstybės narės visiems savo piliečiams ir gyventojams turėtų užtikrinti vienodas galimybes naudotis elektronine atpažintimi. Valstybės narės neturėtų tiesiogiai ar netiesiogiai riboti prieigos prie viešųjų ar privačiųjų paslaugų fiziniams ar juridiniams asmenims, kurie pasirinko nenaudoti europinių skaitmeninės tapatybės dėklių, ir turėtų užtikrinti nediskriminacinius alternatyvius sprendimus.

(16)

valstybės narės turėtų pasikliauti šio reglamento joms teikiamomis galimybėmis savo atsakomybe teikti europines skaitmeninės tapatybės dėkles, kuriomis galėtų naudotis jų teritorijoje gyvenantys fiziniai ir juridiniai asmenys. Siekiant suteikti valstybėms narėms lankstumo ir pasinaudoti pažangiųjų technologijų teikiamomis galimybėmis, šiuo reglamentu turėtų būti sudarytos galimybės valstybei narei tiesiogiai teikti europines skaitmeninės tapatybės dėkles pagal valstybės narės suteiktus įgaliojimus arba nepriklausomai nuo valstybės narės, tačiau tai valstybei narei jas pripažįstant;

(17)

registracijos tikslais pasikliaujančiosios šalys turėtų pateikti informaciją, kurios reikia jų elektroninei atpažinčiai ir tapatumo nustatymui, susijusiam su europine skaitmeninės tapatybės dėkle. Deklaruodamos numatomą europinės skaitmeninės tapatybės dėklės naudojimą, pasikliaujančiosios šalys turėtų pateikti informaciją apie duomenis, kurių jos paprašys (jei paprašys), kad galėtų teikti savo paslaugas, ir tokio prašymo priežastį. Pasikliaujančiosios šalies registracija palengvina valstybių narių patikrinimus, susijusius su pasikliaujančiųjų šalių veiklos teisėtumu pagal Sąjungos teisę. Šiame reglamente numatyta pareiga registruotis neturėtų daryti poveikio pareigoms, nustatytoms kituose Sąjungos ar nacionalinės teisės aktuose, pavyzdžiui, dėl informacijos, kuri turi būti pateikta duomenų subjektams pagal Reglamentą (ES) 2016/679. Pasikliaujančiosios šalys turėtų užtikrinti atitiktį to reglamento 35 ir 36 straipsniuose numatytoms apsaugos priemonėms, visų pirma atlikdamos poveikio duomenų apsaugai vertinimus ir prieš duomenų tvarkymą konsultuodamosi su kompetentingomis duomenų apsaugos institucijomis, kai iš poveikio duomenų apsaugai vertinimų matyti, kad dėl duomenų tvarkymo kiltų didelis pavojus. Tokios apsaugos priemonės turėtų padėti pasikliaujančiosioms šalims teisėtai tvarkyti asmens duomenis, ypač kalbant apie specialių kategorijų duomenis, pavyzdžiui, sveikatos duomenis. Pasikliaujančiųjų šalių registracija siekiama padidinti skaidrumą ir pasitikėjimą europinių skaitmeninės tapatybės dėklių naudojimu. Registracija turėtų būti ekonomiškai efektyvi ir proporcinga susijusiai rizikai siekiant užtikrinti, kad paslaugų teikėjai ją vykdytų. Atsižvelgiant į tai, registracija turėtų apimti automatizuotų procedūrų naudojimą, įskaitant valstybių narių kliovimąsi esamais registrais ir jų naudojimą, ir neturėtų apimti išankstinio leidimo išdavimo proceso. Registracijos procesu turėtų būti sudarytos sąlygos įvairiems naudojimo atvejams, kurie gali skirtis tokiais aspektais kaip veikimo režimas (prisijungus ar neprisijungus prie interneto) arba reikalavimas patvirtinti prietaisų tapatumą sąsajos su europine skaitmeninės tapatybės dėkle tikslais. Registracija turėtų būti taikoma tik pasikliaujančiosioms šalims, kurios teikia paslaugas naudodamosi skaitmenine sąveika;

(18)

Sąjungos piliečių ir gyventojų Sąjungoje apsauga nuo neleistino ar nesąžiningo europinių skaitmeninės tapatybės dėklių naudojimo yra itin svarbi tam, kad būtų užtikrintas pasitikėjimas europinėmis skaitmeninės tapatybės dėklėmis ir europinės skaitmeninės tapatybės dėklės būtų plačiai diegiamos. Naudotojams turėtų būti užtikrinta veiksminga apsauga nuo tokio netinkamo naudojimo. Visų pirma, kai nacionalinės teisminės institucijos, vykdydamos kitą procedūrą, nustato faktus, kurie sudaro nesąžiningo ar kitaip neteisėto europinės skaitmeninės tapatybės dėklės naudojimo pagrindą, už europinės skaitmeninės tapatybės dėklės išdavėjus atsakingos priežiūros įstaigos, gavusios pranešimą, turėtų imtis priemonių, būtinų užtikrinti, kad pasikliaujančiosios šalies registracija ir pasikliaujančiųjų šalių įtraukimas į tapatumo nustatymo mechanizmą būtų panaikinti arba sustabdyti, kol notifikuojančioji institucija patvirtins, kad nustatyti pažeidimai pašalinti;

(19)

visos europinės skaitmeninės tapatybės dėklės turėtų suteikti naudotojams galimybę patiems naudotis elektronine atpažintimi ir tapatumo nustatymu prisijungus ir neprisijungus prie interneto visose šalyse prieigai prie įvairių viešųjų ir privačiųjų paslaugų. Nepažeidžiant valstybių narių prerogatyvų dėl savo piliečių ir gyventojų atpažinties, europinėmis skaitmeninės tapatybės dėklėmis taip pat gali būti tenkinami instituciniai viešojo administravimo įstaigų, tarptautinių organizacijų ir Sąjungos institucijų, įstaigų, biurų ir agentūrų poreikiai. Daugelyje sektorių, įskaitant sveikatos sektorių, kur paslaugos dažnai teikiamos kontaktiniu būdu, būtų svarbus tapatumo nustatymas neprisijungus prie interneto, o e. receptų sistemoje turėtų būtų galima kliautis QR kodais ar panašiomis technologijomis tapatumui patikrinti. Kliaujantis aukštu saugumo užtikrinimo lygiu elektroninės atpažinties schemose, europinėse skaitmeninės tapatybės dėklėse turėtų būti pasinaudota galimybėmis, kurių suteikia nuo klastojimo apsaugantys sprendimai, pavyzdžiui, saugūs elementai, kad būtų laikomasi pagal šį reglamentą keliamų saugumo reikalavimų. Europinės skaitmeninės tapatybės dėklės taip pat turėtų naudotojams suteikti galimybę kurti ir naudoti visoje Sąjungoje pripažįstamus kvalifikuotus elektroninius parašus ir spaudus. Pradėję naudoti europinę skaitmeninės tapatybės dėklę, fiziniai asmenys turėtų turėti galimybę automatiškai ir nemokamai ja naudotis pasirašymui kvalifikuotais elektroniniais parašais, be jokių papildomų administracinių procedūrų taikymo. Naudotojams turėtų būti suteikta galimybė pasirašyti arba patvirtinti antspaudu jų pačių pateiktus teiginius arba požymius. Siekdamos naudos visiems Sąjungos piliečiams ir įmonėms supaprastinus tvarką ir sumažinus išlaidas, be kita ko, suteikus atstovavimo ir e. įgaliojimų galimybę, valstybės narės turėtų teikti europines skaitmeninės tapatybės dėkles, kurios grindžiamos bendraisiais standartais ir techninėmis specifikacijomis, kad užtikrintų sklandų sąveikumą ir deramai padidintų IT saugumą, atsparumą kibernetiniams išpuoliams ir tokiu būdu gerokai sumažintų galimus vykstančios skaitmenizacijos pavojus Sąjungos piliečiams, gyventojams Sąjungoje ir įmonėms. Tik valstybių narių kompetentingos institucijos gali suteikti aukšto lygio patikimumą nustatant asmens tapatybę ir taip užtikrinti, kad asmuo, pareiškęs, kad jam priklauso tam tikra tapatybė, ar ją patvirtinęs asmuo iš tiesų yra asmuo, kuriuo jis teigia esąs. Dėl to būtina, kad teikiant europines skaitmeninės tapatybės dėkles būtų pasikliaujama teisine Sąjungos piliečių, gyventojų Sąjungoje ar juridinių asmenų tapatybe. Kliovimasis teisine tapatybe neturėtų trukdyti europinės skaitmeninės tapatybės dėklės naudotojams naudotis paslaugomis pasitelkiant slapyvardį, kai nėra teisinio reikalavimo dėl teisinės tapatybės tapatumo nustatymo tikslais. Pasitikėjimas europinėmis skaitmeninės tapatybės dėklėmis būtų sustiprintas, jei išduodančios ir valdančios šalys privalėtų įgyvendinti tinkamas technines ir organizacines priemones, kad užtikrintų aukščiausią saugumo lygį, kuris atitiktų fizinių asmenų teisėms ir laisvėms kylančią riziką, laikydamosi Reglamento (ES) 2016/679;

(20)

kvalifikuoto elektroninio parašo naudojimas neprofesiniais tikslais turėtų būti nemokamas visiems fiziniams asmenims. Valstybės narės turėtų turėti galimybę numatyti priemones, kuriomis būtų užkertamas kelias fiziniams asmenims nemokamai naudoti kvalifikuotus elektroninius parašus profesiniais tikslais, kartu užtikrinant, kad visos tokios priemonės būtų proporcingos nustatytai rizikai ir būtų pagrįstos;

(21)

naudinga palengvinti europinių skaitmeninės tapatybės dėklių diegimą ir naudojimą, jas sklandžiai integruojant į nacionaliniu, vietos ar regioniniu lygmeniu jau įgyvendinamą viešųjų ir privačiųjų skaitmeninių paslaugų ekosistemą. Tam tikslui pasiekti valstybės narės turėtų turėti galimybę numatyti teisines ir organizacines priemones, kad europinių skaitmeninės tapatybės dėklių teikėjams būtų suteikta daugiau lankstumo ir kad būtų leidžiama daugiau europinių skaitmeninės tapatybės dėklių funkcijų, papildančių šiame reglamente numatytas funkcijas, be kita ko, užtikrinant didesnį sąveikumą su esamomis nacionalinėmis elektroninės atpažinties priemonėmis. Tokios papildomos funkcijos jokiu būdu neturėtų pakenkti pagrindinių europinių skaitmeninės tapatybės dėklių funkcijų, kaip numatyta šiame reglamente, nustatymui, taip pat neturėtų būti labiau skatinama naudotis esamais nacionaliniais sprendimais nei europinėmis skaitmeninės tapatybės dėklėmis. Kadangi tokiomis papildomomis funkcijos viršijama šio reglamento taikymo sritis, joms netaikomos šiame reglamente išdėstytos nuostatos dėl tarpvalstybinio kliovimosi europinėmis skaitmeninės tapatybės dėklėmis;

(22)

europinės skaitmeninės tapatybės dėklės turėtų turėti funkciją, skirtą naudotojo laisvai pasirinktiems ir valdomiems slapyvardžiams generuoti tapatumo nustatymo tikslu siekiant prieigos prie internetinių paslaugų;

(23)

siekiant aukšto saugumo ir patikimumo lygio, šiuo reglamentu nustatomi europinėms skaitmeninės tapatybės dėklėms taikomi reikalavimai. Europinių skaitmeninės tapatybės dėklių atitiktį tiems reikalavimams turėtų sertifikuoti valstybių narių paskirtos akredituotos atitikties vertinimo įstaigos;

(24)

siekiant išvengti skirtingų požiūrių ir suderinti šiame reglamente nustatytų reikalavimų įgyvendinimą, Komisija, europinių skaitmeninių tapatybės dėklių sertifikavimo tikslu, turėtų priimti įgyvendinimo aktus, kuriais sudaromas referencinių standartų sąrašas, ir, kai būtina, nustatomos specifikacijos ir procedūros, kuriomis nustatomos išsamios techninės tų reikalavimų specifikacijos. Tiek, kiek europinių skaitmeninės tapatybės dėklių atitikties atitinkamiems kibernetinio saugumo reikalavimams sertifikavimui netaikomos esamos kibernetinio saugumo sertifikavimo schemos, nurodytos šiame reglamente, ir kiek tai susiję su reikalavimais, nesusijusiais su kibernetiniu saugumu, aktualiais europinėms skaitmeninės tapatybės dėklėms, valstybės narės turėtų nustatyti nacionalines sertifikavimo sistemas pagal šiame reglamente pateiktus ir pagal jį priimtus suderintus reikalavimus. Valstybės narės perduoda savo nacionalinių sertifikavimo sistemų projektus Bendradarbiavimo dėl Europos skaitmeninės tapatybės grupei, kuri turi turėti galimybę pateikti nuomones ir rekomendacijas;

(25)

atitikties šiame reglamente nustatytiems kibernetinio saugumo reikalavimams sertifikavimas turėtų būti grindžiamas atitinkamomis Europos kibernetinio saugumo sertifikavimo schemomis, jeigu jos yra, nustatytomis pagal Europos Parlamento ir Tarybos reglamentą (ES) 2019/881 (10), kuriuo nustatoma savanoriška Europos kibernetinio saugumo sertifikavimo sistema, skirta IRT produktams, procesams ir paslaugoms;

(26)

siekiant nuolat vertinti ir mažinti su saugumu susijusią riziką, turėtų būti reguliariai atliekami sertifikuotų europinių skaitmeninės tapatybės dėklių pažeidžiamumo vertinimai, kuriais siekiama nustatyti europinės skaitmeninės tapatybės dėklės komponentų, susijusių su sertifikuotu produktu, sertifikuotu procesu ir sertifikuota paslauga, pažeidžiamumą;

(27)

apsaugant naudotojus ir įmones nuo kibernetinio saugumo rizikos, esminiais šiame reglamente nustatytais kibernetinio saugumo reikalavimais taip pat prisidedama prie asmens duomenų ir asmenų privatumo apsaugos stiprinimo. Standartizavimo ir sertifikavimo kibernetinio saugumo aspektais sinergija turėtų būti vertinama bendradarbiaujant Komisijai, Europos standartizacijos organizacijoms, Europos Sąjungos kibernetinio saugumo agentūrai (ENISA), Europos duomenų apsaugos valdybai, įsteigtai Reglamentu (ES) 2016/679, ir nacionalinėms duomenų apsaugos priežiūros institucijoms;

(28)

Sąjungos piliečių ir gyventojų Sąjungoje prisijungimas prie europinės skaitmeninės tapatybės dėklės turėtų būti palengvintas kliaujantis aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis. Pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis turėtų būti kliaujamasi tik tais atvejais, kai suderintos techninės specifikacijos ir procedūros naudojant pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemones kartu su papildomomis tapatybės tikrinimo priemonėmis leis įvykdyti šiame reglamente nustatytus reikalavimus dėl aukšto saugumo užtikrinimo lygio. Tokios papildomos priemonės turėtų būti patikimos ir patogios naudoti ir galėtų būti grindžiamos galimybe naudoti nuotolinio prisijungimo procedūras, kvalifikuotus sertifikatus, pagrįstus kvalifikuotais elektroniniais parašais, kvalifikuotu elektroniniu požymių liudijimu arba jų deriniu. Siekiant užtikrinti pakankamą europinių skaitmeninės tapatybės dėklių diegimą, įgyvendinimo aktuose turėtų būti nustatytos suderintos naudotojų prisijungimo naudojant elektroninės atpažinties priemones, įskaitant pakankamo saugumo užtikrinimo lygio priemones, techninės specifikacijos ir procedūros;

(29)

šio reglamento tikslas – užtikrinti naudotojui visiškai mobilią, saugią ir patogią naudoti europinę skaitmeninės tapatybės dėklę. Kaip pereinamojo laikotarpio priemonė, kol bus prieinami sertifikuoti nuo klastojimo apsaugantys sprendimai, pavyzdžiui, saugūs elementai naudotojų prietaisuose, europinių skaitmeninės tapatybės dėklių atveju turėtų būti galima kliautis sertifikuotais išoriniais saugiais elementais kriptografinei medžiagai ir kitiems neskelbtiniems duomenims apsaugoti arba elektroninės atpažinties aukšto lygio saugumo užtikrinimo priemonėmis, apie kurias pranešta, siekiant įrodyti, kad laikomasi atitinkamų šio reglamento reikalavimų dėl europinės skaitmeninės tapatybės dėklės saugumo užtikrinimo lygio. Šiuo reglamentu neturėtų būti daromas poveikis nacionalinėms sertifikuoto išorinio saugaus elemento išdavimo ir naudojimo sąlygoms, jei pereinamojo laikotarpio priemonė juo kliaujasi;

(30)

europinėmis skaitmeninės tapatybės dėklėmis turėtų būti užtikrinta aukščiausio lygio duomenų apsauga ir saugumas elektroninės atpažinties ir tapatumo nustatymo tikslais siekiant palengvinti prieigą prie viešųjų ir privačiųjų paslaugų, nepriklausomai nuo to, ar tokie duomenys saugomi vietoje, ar naudojant debesijos sprendimus, tinkamai atsižvelgiant į skirtingų lygių riziką;

(31)

europinėse skaitmeninėse tapatybės dėklėse turėtų būti užtikrintas pritaikytasis saugumas ir jose turėtų būti įdiegtos pažangios apsaugos priemonės, kad būtų užtikrinta apsauga nuo tapatybės ir kitų duomenų vagysčių, atsisakymo suteikti paslaugą ir bet kokios kitos kibernetinės grėsmės. Tokia apsauga turėtų apimti pažangiausius šifravimo ir saugojimo metodus, kurie yra prieinami tik naudotojui ir kuriuos tik jis gali iššifruoti, ir kurie yra grindžiami ištisiniu šifruotu ryšiu su kitomis europinėmis skaitmeninės tapatybės dėklėmis ir pasikliaujančiosiomis šalimis. Be to, naudojant europines skaitmeninės tapatybės dėkles turėtų būti reikalaujama saugaus, aiškaus ir aktyvaus naudotojo patvirtinimo operacijoms, atliekamoms naudojantis europinėmis skaitmeninės tapatybės dėklėmis;

(32)

dėl nemokamo europinių skaitmeninės tapatybės dėklių naudojimo duomenų tvarkymas neturėtų viršyti tų duomenų, kurie yra būtini europinėms skaitmeninės tapatybės dėklės paslaugoms teikti. Šiuo reglamentu neturėtų būti leidžiama tvarkyti asmens duomenis, saugomus ar atsirandančius europinės skaitmeninės tapatybės dėklės teikėjui naudojant europinę skaitmeninės tapatybės dėklę kitais nei europinės skaitmeninės tapatybės dėklės paslaugų teikimo tikslais. Siekiant užtikrinti privatumą, europinės skaitmeninės tapatybės dėklės teikėjai turėtų užtikrinti nestebėjimą nerinkdami duomenų ir neatsižvelgdami į europinės skaitmeninės tapatybės dėklės naudotojų operacijas. Toks nestebėjimas reiškia, kad paslaugų teikėjai negali matyti išsamios informacijos apie naudotojo vykdomas operacijas. Tačiau konkrečiais atvejais, remiantis aiškiu išankstiniu naudotojo sutikimu kiekvienu iš tų konkrečių atvejų ir visapusiškai laikantis Reglamento (ES) 2016/679, europinių skaitmeninės tapatybės dėklių teikėjams galėtų būti suteikta prieiga prie informacijos, būtinos konkrečiai paslaugai, susijusiai su europinėmis skaitmeninės tapatybės dėklėmis, teikti;

(33)

europinių skaitmeninės tapatybės dėklių skaidrumas ir jų teikėjų atskaitomybė yra pagrindiniai elementai siekiant užtikrinti socialinį pasitikėjimą sistema ir paskatinti sistemos pripažinimą. Todėl europinių skaitmeninės tapatybės dėklių veikimas turėtų būti skaidrus ir, visų pirma, sudaryti sąlygas patikrinamam asmens duomenų tvarkymui. Kad pasiektų šį tikslą, valstybės narės turėtų atskleisti europinių skaitmeninės tapatybės dėklių naudotojo taikomosios programos programinės įrangos komponentų, įskaitant susijusius su asmens duomenų ir juridinių asmenų duomenų tvarkymu, pirminį kodą. Paskelbus šį pirminį kodą pagal atvirojo kodo licenciją, visuomenė, įskaitant naudotojus ir kūrėjus, turėtų galimybę suprasti jo veikimą, atlikti jo auditą ir peržiūrėti kodą. Tai taip pat padidintų naudotojų pasitikėjimą ekosistema ir prisidėtų prie europinių skaitmeninės tapatybės dėklių saugumo, nes būtų visiems suteikta galimybė pranešti apie kodo pažeidžiamumą ir klaidas. Apskritai tai turėtų paskatinti teikėjus pateikti ir palaikyti labai saugų produktą. Tačiau tam tikrais atvejais, valstybės narės gali apriboti naudojamų bibliotekų, ryšių kanalo ar kitų elementų, kurie nėra priegloboje naudotojo įrenginyje, pirminio kodo atskleidimą dėl tinkamai pagrįstų priežasčių, ypač visuomenės saugumo tikslais;

(34)

europinių skaitmeninės tapatybės dėklių naudojimas ir jų naudojimo nutraukimas turėtų būti išimtinė naudotojų teisė ir pasirinkimas. Valstybės narės turėtų parengti paprastas ir saugias procedūras, pagal kurias naudotojai galėtų prašyti nedelsiant atšaukti europinių skaitmeninės tapatybės dėklių galiojimą, be kita ko, praradimo ar vagystės atveju. Reikėtų sukurti mechanizmą, naudojamą naudotojui mirus arba juridiniam asmeniui nutraukus veiklą, pagal kurį už fizinio asmens arba juridinio asmens turto perėmimo klausimus atsakinga institucija galėtų prašyti nedelsiant atšaukti europinių skaitmeninės tapatybės dėklių galiojimą;

(35)

siekdamos skatinti europinių skaitmeninės tapatybės dėklių diegimą ir platesnį skaitmeninių tapatybių naudojimą, valstybės narės turėtų ne tik propaguoti atitinkamų paslaugų naudą, bet ir, bendradarbiaudamos su privačiuoju sektoriumi, tyrėjais ir akademine bendruomene, turėtų parengti mokymo programas, kuriomis būtų siekiama stiprinti jų piliečių ir gyventojų, visų pirma, pažeidžiamų grupių, pavyzdžiui, asmenų su negalia ir vyresnio amžiaus asmenų, skaitmeninius įgūdžius. Valstybės narės, vykdydamos komunikacijos kampanijas, taip pat turėtų didinti informuotumą apie europinių skaitmeninės tapatybės dėklių naudą ir riziką;

(36)

siekiant užtikrinti, kad Europos skaitmeninės tapatybės sistema būtų atvira naujovėms, technologiniams pokyčiams ir perspektyvi, valstybės narės yra skatinamos kartu nustatyti bandomąsias aplinkas, kuriose būtų saugiai ir taikant kontrolę išbandomi novatoriški sprendimai, visų pirma siekiant pagerinti funkcionalumą, asmens duomenų apsaugą, sprendimų saugumą bei sąveikumą ir pagrįsti būsimus techninių standartų ir teisinių reikalavimų atnaujinimus. Ta aplinka turėtų skatinti MVĮ, startuolių ir atskirų novatorių bei tyrėjų, taip pat atitinkamų pramonės suinteresuotųjų subjektų įtrauktį. Tokios iniciatyvos turėtų padėti užtikrinti ir sustiprinti europinių skaitmeninės tapatybės dėklių, kurios turi būti teikiamos Sąjungos piliečiams ir gyventojams Sąjungoje, atitiktį reglamentavimo reikalavimams ir techninį patikimumą, taip užkertant kelią kurti sprendimus, kurie neatitinka Sąjungos duomenų apsaugos teisės aktų arba kurių saugumas gali būti pažeidžiamas;

(37)

Europos Parlamento ir Tarybos reglamentu (ES) 2019/1157 (11) stiprinamas asmens tapatybės kortelių saugumas iki 2021 m. rugpjūčio mėn. įdiegus geresnes apsaugos priemones. Valstybės narės turėtų apsvarstyti pranešimo apie jas įgyvendinamumą taikant elektroninės atpažinties schemas, kad būtų išplėstas tarpvalstybinis elektroninės atpažinties priemonių prieinamumas;

(38)

reikėtų supaprastinti ir paspartinti pranešimo apie elektroninės atpažinties schemas procesą, kad būtų skatinamas patogių, patikimų, saugių ir novatoriškų tapatumo nustatymo ir atpažinties sprendimų prieinamumas ir, kai aktualu, skatinti privačius tapatybės teikėjus valstybės narės institucijoms siūlyti elektroninės atpažinties schemas, kad šios praneštų apie jas kaip apie nacionalines elektroninės atpažinties schemas pagal Reglamento (ES) Nr. 910/2014 nuostatas;

(39)

supaprastinus esamą pranešimų ir tarpusavio vertinimo tvarką, bus užkirstas kelias įvairialypiams požiūriams vertinant įvairias elektroninės atpažinties schemas, apie kurias pranešta, ir bus sudarytos palankesnės sąlygos valstybių narių tarpusavio pasitikėjimo stiprinimui. Nauji, supaprastinti mechanizmai turėtų paskatinti valstybes nares bendradarbiauti elektroninės atpažinties schemų, apie kurias pranešta, saugumo ir sąveikumo srityse;

(40)

valstybės narės turėtų pasinaudoti naujomis, lanksčiomis priemonėmis, kad būtų užtikrinta atitiktis šio reglamento ir atitinkamų pagal jį priimtų įgyvendinimo aktų reikalavimams. Šiuo reglamentu valstybėms narėms turėtų būti sudarytos sąlygos naudotis akredituotų atitikties vertinimo įstaigų parengtomis ataskaitomis ir vertinimais, kaip numatyta sertifikavimo schemų, kurios turi būti nustatytos Sąjungos lygmeniu pagal Reglamentą (ES) 2019/881, kontekste, kad būtų paremti jų reikalavimai suderinti schemas ar jų dalis su Reglamente (ES) Nr. 910/2014 išdėstytais reikalavimais;

(41)

viešųjų paslaugų teikėjai naudoja asmens tapatybės duomenis, gautus iš elektroninės atpažinties priemonių pagal Reglamentą (ES) Nr. 910/2014, siekdami nustatyti naudotojų iš kitos valstybės narės elektroninės tapatybės atitiktį asmens tapatybės duomenims, teikiamiems tiems naudotojams valstybėje narėje, atliekančioje tarpvalstybinio lygio tapatybės atitikties nustatymo procesą. Tačiau daugeliu atvejų, nepaisant to, kad naudojamas minimalus duomenų rinkinys, pateiktas pagal elektroninės atpažinties schemas, apie kurias pranešta, užtikrinant tikslų tapatybės atitikties nustatymą, kai valstybės narės veikia kaip pasikliaujančiosios šalys, reikia papildomos informacijos apie naudotoją ir konkrečių papildomų unikalių identifikavimo procedūrų, kurios turi būti atliktos nacionaliniu lygmeniu. Siekiant ir toliau palaikyti elektroninės atpažinties priemonių tinkamumą naudoti, teikti geresnes internetines viešąsias paslaugas ir padidinti teisinį tikrumą dėl naudotojų elektroninės tapatybės, Reglamente (ES) Nr. 910/2014 turėtų būti reikalaujama, kad valstybės narės imtųsi konkrečių internetinių priemonių, kad užtikrintų nedviprasmišką tapatybės atitikties nustatymą, kai naudotojai ketina internetu naudotis tarpvalstybinėmis viešosiomis paslaugomis;

(42)

kuriant europines skaitmeninės tapatybės dėkles, labai svarbu atsižvelgti į naudotojų poreikius. Turėtų būti prieinami prasmingo naudojimo atvejai ir internetinės paslaugos, kurias teikiant kliaujamasi europinėmis skaitmeninės tapatybės dėklėmis. Naudotojų patogumui ir siekiant užtikrinti tarpvalstybinį tokių paslaugų prieinamumą, svarbu imtis veiksmų, kad būtų sudarytos palankesnės sąlygos panašiam požiūriui į internetinių paslaugų kūrimą, plėtojimą ir įgyvendinimą visose valstybėse narėse. Naudinga priemone tam tikslui pasiekti galėtų būti neprivalomos gairės, kaip kurti, plėtoti ir įgyvendinti internetines paslaugas, kurias teikiant kliaujamasi europinėmis skaitmeninės tapatybės dėklėmis. Tokios gairės turėtų būti parengtos atsižvelgiant į Sąjungos sąveikumo sistemą. Priimant tas gaires valstybėms narėms turėtų tekti pagrindinis vaidmuo;

(43)

pagal Europos Parlamento ir Tarybos direktyvą (ES) 2019/882 (12) asmenys su negalia turėtų turėti galimybę vienodomis sąlygomis kaip ir kiti naudotojai naudotis europinėmis skaitmeninės tapatybės dėklėmis, patikimumo užtikrinimo paslaugomis ir galutiniams vartotojams skirtais produktais, naudojamais teikiant tas paslaugas;

(44)

siekiant užtikrinti veiksmingą šio reglamento vykdymą, tiek kvalifikuotiems, tiek nekvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams turėtų būti nustatytas minimalus maksimalių administracinių baudų dydis. Valstybės narės turėtų nustatyti veiksmingas, proporcingas ir atgrasančias sankcijos. Nustatant sankcijas reikėtų tinkamai atsižvelgti į paveiktų subjektų dydį, jų verslo modelius ir pažeidimų sunkumą;

(45)

valstybės narės turėtų nustatyti taisykles dėl sankcijų už pažeidimus, pavyzdžiui, tiesioginę ar netiesioginę praktiką, dėl kurios painiojamos nekvalifikuotos ir kvalifikuotos patikimumo užtikrinimo paslaugos arba nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai piktnaudžiauja ES patikimumo ženklo naudojimu. ES patikimumo ženklas neturėtų būti naudojamas tokiomis sąlygomis, kurios tiesiogiai ar netiesiogiai leistų manyti, kad bet kokios tų paslaugų teikėjų siūlomos nekvalifikuotos patikimumo užtikrinimo paslaugos yra kvalifikuotos;

(46)

šiuo reglamentu neturėtų būti reglamentuojami aspektai, susiję su sutarčių sudarymu arba kitų teisinių pareigų nustatymu ir šių sutarčių bei pareigų galiojimu, kai Sąjungos arba nacionalinės teisės aktais yra nustatyti reikalavimai dėl formos. Be to, juo neturėtų būti daromas poveikis nacionaliniams formos reikalavimams, susijusiems su viešaisiais registrais, visų pirma, komerciniais ir žemės registrais;

(47)

patikimumo užtikrinimo paslaugų teikimas bei naudojimasis jomis ir patogumo bei teisinio tikrumo požiūriu gaunama nauda tarpvalstybinių operacijų kontekste, ypač kai naudojamasi kvalifikuotomis patikimumo užtikrinimo paslaugomis, tampa vis svarbesni tarptautinei prekybai ir bendradarbiavimui. Sąjungos tarptautiniai partneriai, remdamiesi Reglamentu (ES) Nr. 910/2014, nustato patikimumo užtikrinimo sistemas. Siekiant palengvinti kvalifikuotų patikimumo užtikrinimo paslaugų ir jų teikėjų pripažinimą, Komisija gali priimti įgyvendinimo aktus, kuriais būtų nustatytos sąlygos, kuriomis trečiųjų valstybių patikimumo užtikrinimo sistemas būtų galima laikyti lygiavertėmis kvalifikuotų patikimumo užtikrinimo paslaugų ir jų teikėjų sistemai pagal šį reglamentą. Toks požiūris turėtų papildyti patikimumo užtikrinimo paslaugų ir teikėjų, įsteigtų Sąjungoje ir trečiosiose valstybėse, tarpusavio pripažinimo galimybę pagal Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 218 straipsnį. Nustatant sąlygas, kuriomis trečiųjų valstybių patikimumo užtikrinimo sistemos galėtų būti laikomos lygiavertėmis kvalifikuotų patikimumo užtikrinimo paslaugų ir jų teikėjų sistemai pagal Reglamentą (ES) Nr. 910/2014, turėtų būti užtikrinta atitiktis atitinkamoms Europos Parlamento ir Tarybos direktyvos (ES) 2022/2555 (13) ir Reglamento (ES) 2016/679 nuostatoms ir patikimų sąrašų naudojimas kaip esminiai pasitikėjimo stiprinimo elementai;

(48)

šiuo reglamentu turėtų būti skatinama galimybė rinktis ir galimybė pereiti nuo vienos europinės skaitmeninės tapatybės dėklės prie kitos, kai valstybė narė savo teritorijoje yra patvirtinusi daugiau nei vieną europinės skaitmeninės tapatybės dėklės sprendimą. Siekiant išvengti susaistymo poveikio tokiais atvejais, kai tai techniškai įmanoma, europinių skaitmeninės tapatybės dėklių teikėjai europinės skaitmeninės tapatybės dėklės naudotojų prašymu turėtų užtikrinti veiksmingą duomenų perkeliamumą ir jiems neturėtų būti leidžiama sudarant sutartines, ekonomines ar technines kliūtis užkirsti kelią perėjimui nuo vienos europinės skaitmeninės tapatybės dėklės prie kitos arba atgrasyti nuo tokio perėjimo;

(49)

siekiant užtikrinti tinkamą europinių skaitmeninės tapatybės dėklių veikimą, europinės skaitmeninės tapatybės dėklės teikėjams reikia veiksmingo sąveikumo ir sąžiningų, pagrįstų ir nediskriminacinių sąlygų, kad europinės skaitmeninės tapatybės dėklės turėtų prieigą prie mobiliųjų įrenginių aparatinės ir programinės įrangos konkrečių funkcijų. Šie komponentai visų pirma galėtų apimti keitimosi duomenimis trumpu atstumu antenas ir saugius elementus (įskaitant universalias lustines korteles, įterptuosius saugius elementus, mikroSD korteles ir Bluetooth Low Energy (mažo energijos suvartojimo) technologiją). Prieigą prie šių komponentų galėtų kontroliuoti mobiliojo ryšio tinklo operatoriai ir įrangos gamintojai. Todėl, kai to reikia europinių skaitmeninės tapatybės dėklių paslaugoms teikti, mobiliųjų įrenginių originalios įrangos gamintojai arba elektroninių ryšių paslaugų teikėjai neturėtų atsisakyti suteikti prieigą prie tokių komponentų. Be to, įmonėms, paskirtoms pagrindinių platformos paslaugų prieigos valdytojomis, kurias Komisija įtraukė į sąrašą pagal Europos Parlamento ir Tarybos reglamentą (ES) 2022/1925 (14), turėtų būti toliau taikomos konkrečios to reglamento nuostatos, remiantis jo 6 straipsnio 7 dalimi.

(50)

siekiant supaprastinti patikimumo užtikrinimo paslaugų teikėjams taikomas kibernetinio saugumo pareigas ir suteikti tiems teikėjams bei jų atitinkamoms kompetentingoms institucijoms galimybę pasinaudoti Direktyva (ES) 2022/2555 nustatyta teisine sistema, teikiant patikimumo užtikrinimo paslaugas turi būti taikomos tinkamos techninės ir organizacinės priemonės laikantis tos direktyvos nuostatų, pvz., su sistemos triktimi, žmogaus klaida, piktavališkais veiksmais ar gamtiniais reiškiniais susijusios priemonės siekiant valdyti tinklų ir informacinėms sistemoms, kurias tie teikėjai naudoja teikdami savo paslaugas, keliamą riziką ir siekiant pranešti apie reikšmingus incidentus bei kibernetines grėsmes pagal tą direktyvą. Atsižvelgdami į pranešimus apie incidentus, patikimumo užtikrinimo paslaugų teikėjai turėtų pranešti apie bet kokius incidentus, darančius reikšmingą poveikį jų paslaugų teikimui, įskaitant dėl vagystės ar įrenginių praradimo, tinklo kabelių pažeidimo kylančius incidentus ar incidentus, kylančius asmenų tapatybės nustatymo aplinkybėmis. Kibernetinio saugumo rizikos valdymo reikalavimai ir pareigos teikti pranešimus pagal Direktyvą (ES) 2022/2555 turėtų būti laikomi papildančiais patikimumo užtikrinimo paslaugų teikėjams keliamus reikalavimus pagal šį reglamentą. Kai tikslinga, pagal Direktyvą (ES) 2022/2555 paskirtosios kompetentingos institucijos turėtų ir toliau taikyti nustatytą nacionalinę praktiką ar gaires dėl saugumo ir pranešimų teikimo reikalavimų įgyvendinimo bei tokių reikalavimų laikymosi priežiūros pagal Reglamentą (ES) Nr. 910/2014. Šiuo reglamentu nedaromas poveikis pareigai pranešti apie asmens duomenų apsaugos pažeidimus pagal Reglamentą (ES) 2016/679;

(51)

reikėtų deramai atsižvelgti į būtinybę užtikrinti veiksmingą pagal Reglamento (ES) Nr. 910/2014 46b straipsnį paskirtų priežiūros įstaigų ir pagal Direktyvos (ES) 2022/2555 8 straipsnio 1 dalį paskirtų arba įsteigtų kompetentingų institucijų bendradarbiavimą. Kai priežiūros įstaiga pagal šį reglamentą yra kita nei tokia kompetentinga institucija, jos turėtų glaudžiai bendradarbiauti, laiku keisdamosi aktualia informacija, kad užtikrintų veiksmingą patikimumo užtikrinimo paslaugų teikėjų priežiūrą ir jų atitiktį Reglamente (ES) Nr. 910/2014 ir Direktyvoje (ES) 2022/2555 nustatytiems reikalavimams. Visų pirma priežiūros įstaigos, paskirtos pagal Reglamentą (ES) Nr. 910/2014, turėtų turėti teisę prašyti, kad kompetentingos institucijos, paskirtos ar įsteigtos pagal Direktyvą (ES) 2022/2555, teiktų aktualią informaciją, reikalingą suteikti kvalifikuotą statusą ir atlikti priežiūros veiksmus, siekiant patikrinti patikimumo užtikrinimo paslaugų teikėjų atitiktį atitinkamiems reikalavimams pagal Direktyvą (ES) 2022/2555 arba reikalauti, kad jie pašalintų neatitiktį;

(52)

būtina numatyti teisinį pagrindą, kad būtų sudarytos palankesnės sąlygos tarpvalstybiniam esamų nacionalinių teisės sistemų, susijusių su elektroninio registruoto pristatymo paslaugomis, pripažinimui. Be to, ta sistema galėtų atverti naujas rinkos galimybes Sąjungos patikimumo užtikrinimo paslaugų teikėjams siūlyti naujas Europos masto elektroninio registruoto pristatymo paslaugas. Siekiant užtikrinti, kad duomenys naudojantis kvalifikuota elektroninio registruoto pristatymo paslauga būtų teikiami teisingam adresatui, teikiant kvalifikuotas elektroninio registruoto pristatymo paslaugas turėtų būti visiškai patikimai užtikrinama, kad būtų identifikuotas adresatas, o siuntėjui identifikuoti pakaktų aukšto patikimumo lygio. Valstybės narės turėtų skatinti kvalifikuotų elektroninio registruoto pristatymo paslaugų teikėjus užtikrinti, kad jų paslaugos būtų sąveikios su kitų kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų teikiamomis kvalifikuotomis elektroninio registruoto pristatymo paslaugomis, kad būtų galima lengvai perduoti elektroninius registruotus duomenis tarp dviejų ar daugiau kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų ir skatinti sąžiningą praktiką vidaus rinkoje;

(53)

daugeliu atvejų Sąjungos piliečiai ir gyventojai Sąjungoje negali tarpvalstybiniu mastu saugiai ir užtikrinant aukštą duomenų apsaugos lygį keistis su jų tapatybe susijusia skaitmenine informacija, pavyzdžiui, susijusią su jų adresu, amžiumi, profesinėmis kvalifikacijomis, vairuotojo pažymėjimu ir kitais leidimais bei mokėjimo duomenimis;

(54)

turėtų būti suteikta galimybė išduoti ir tvarkyti patikimus elektroninius požymius ir prisidėti prie administracinės naštos mažinimo, įgalinant Sąjungos piliečius ir gyventojus Sąjungoje jais naudotis atliekant savo privačiąsias ir viešąsias operacijas. Sąjungos piliečiai ir gyventojai Sąjungoje turėtų turėti galimybę, pavyzdžiui, įrodyti, kad jie turi vienos valstybės narės institucijos išduotą galiojantį vairuotojo pažymėjimą, kurį gali patikrinti ir juo kliautis atitinkamos kitų valstybių narių institucijos, pasikliauti savo socialinio draudimo kredencialais ar būsimais skaitmeniniais kelionės dokumentais tarpvalstybiniu mastu;

(55)

bet kuris paslaugų teikėjas, kuris išduoda patvirtintus elektroninės formos požymius, pavyzdžiui, diplomus, licencijas, gimimo liudijimus arba įgaliojimus atstovauti fiziniams ar juridiniams asmenims arba veikti jų vardu, turėtų būti laikomas elektroninio požymių liudijimo patikimumo užtikrinimo paslaugų teikėju. Neturėtų būti atsisakoma pripažinti elektroninio požymių liudijimo teisinės galios tik dėl to, kad jis yra elektroninės formos arba kad jis neatitinka kvalifikuoto elektroninio požymių liudijimo reikalavimų. Reikėtų nustatyti bendruosius reikalavimus siekiant užtikrinti, kad kvalifikuoto elektroninio požymių liudijimo teisinė galia prilygtų popierinių teisėtai išduotų liudijimų teisinei galiai. Tačiau tie reikalavimai turėtų būti taikomi nedarant poveikio Sąjungos ir nacionalinės teisės aktams, kuriais nustatomi papildomi konkretiems sektoriams taikomi reikalavimai dėl teisinę galią turinčios formos ir visų pirma tarpvalstybinio kvalifikuotų elektroninių požymių liudijimų pripažinimo, kai tinkama;

(56)

platus europinių skaitmeninės tapatybės dėklių prieinamumas ir tinkamumas naudoti turėtų sustiprinti tai, kad jas pripažintų ir jomis pasitikėtų tiek privatūs asmenys, tiek privatūs paslaugų teikėjai. Todėl privačiosios pasikliaujančiosios šalys, teikiančios paslaugas, pavyzdžiui, transporto, energetikos, bankininkystės srityse, finansines paslaugas, socialinės apsaugos, sveikatos, geriamojo vandens, pašto paslaugas, skaitmeninės infrastruktūros, telekomunikacijų ar švietimo paslaugas, turėtų sutikti su europinių skaitmeninės tapatybės dėklių naudojimu teikiant paslaugas, kai pagal Sąjungos arba nacionalinę teisę arba pagal sudarytas sutartis būtina užtikrinti saugesnį naudotojo tapatumo nustatymą elektroninės atpažinties tikslu. Bet koks pasikliaujančiosios šalies prašymas europinės skaitmeninės dėklės naudotojui pateikti informaciją turėtų būti būtinas ir proporcingas numatytam naudojimui konkrečiu atveju, turėtų atitikti duomenų kiekio mažinimo principą ir juo turėtų būti užtikrinamas skaidrumas, susijęs su tuo, kuriais duomenimis dalijamasi ir kokiais tikslais. Siekiant palengvinti europinių skaitmeninės tapatybės dėklių naudojimą ir pripažinimą, jas diegiant reikėtų atsižvelgti į plačiai pripažintus pramonės standartus ir specifikacijas;

(57)

jeigu labai didelės interneto platformos, kaip tai suprantama Europos Parlamento ir Tarybos reglamento (ES) 2022/2065 (15) 33 straipsnio 1 dalyje, reikalauja, kad naudotojai nustatytų tapatumą, kad galėtų naudotis internetinėmis paslaugomis, turėtų būti reikalaujama, kad tos platformos sutiktų su europinių skaitmeninės tapatybės dėklių naudojimu naudotojui savanoriškai prašant. Naudotojams neturėtų būti taikoma pareiga naudoti europinę skaitmeninės tapatybės dėklę, kad galėtų naudotis privačiosiomis paslaugomis, ir jiems neturėtų būti ribojama ar trukdoma naudotis paslaugomis dėl to, kad jie nenaudoja europinės skaitmeninės tapatybės dėklės. Tačiau, jei naudotojai to pageidauja, labai didelės interneto platformos turėtų jas priimti tuo tikslu, kartu laikydamosi duomenų kiekio mažinimo principo ir gerbdamos naudotojų teisę naudoti laisvai pasirinktus slapyvardžius. Atsižvelgiant į labai didelių interneto platformų svarbą dėl jų aprėpties, visų pirma išreiškiamos paslaugos gavėjų ir ekonominių operacijų skaičiumi, pareiga pripažinti europines skaitmeninės tapatybės dėkles yra būtina siekiant padidinti naudotojų apsaugą nuo sukčiavimo ir užtikrinti aukšto lygio duomenų apsaugą;

(58)

Sąjungos lygmeniu reikėtų parengti elgesio kodeksus, siekiant prisidėti prie elektroninės atpažinties priemonių plataus masto prieinamumo ir tinkamumo naudoti, įskaitant pagal šio reglamento taikymo sritį naudojamas europines skaitmeninės tapatybės dėkles. Elgesio kodeksais turėtų būti sudarytos palankesnės sąlygos paslaugų teikėjams, kurie nėra laikomi labai didelėmis platformomis ir kurie pasikliauja trečiųjų šalių elektroninės atpažinties paslaugomis naudotojų tapatumui nustatyti, plačiu mastu pripažinti elektroninės atpažinties priemones, įskaitant europines skaitmeninės tapatybės dėkles;

(59)

pasirinktinis atskleidimas – tai koncepcija, kuria duomenų savininkui suteikiama teisė atskleisti tik tam tikras didesnio duomenų rinkinio dalis, kad gaunantis subjektas gautų tik tokią informaciją, kuri yra būtina paslaugai, kurios prašo naudotojas, teikti. Europine skaitmeninės tapatybės dėkle turėtų būti suteikta techninė galimybė pasirinkti, kuriuos požymius atskleisti pasikliaujančiosioms šalims. Naudotojui turėtų būti sudaryta techninė galimybė pasirinktinai atskleisti požymius, įskaitant susijusius su keliomis atskiromis elektroninių liudijimų dalimis, ir jas sujungti bei sklandžiai pateikti pasikliaujančiosioms šalims. Ši funkcija turėtų tapti viena iš pagrindinių europinių skaitmeninės tapatybės dėklių konstrukcinių funkcijų, tokiu būdu didinant patogumą ir stiprinant asmens duomenų apsaugą, be kita ko, mažinant duomenų kiekį;

(60)

naudotis paslaugomis naudojant slapyvardį neturėtų būti draudžiama, išskyrus atvejus, kai pagal specialias Sąjungos ar nacionalinės teisės taisykles reikalaujama, kad naudotojai nurodytų savo tapatybę;

(61)

kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų teikiamus požymius, įtraukiamus į kvalifikuotus požymių liudijimus, reikėtų patikrinti pagal autentiškus šaltinius tiesiogiai pagal kvalifikuotą patikimumo užtikrinimo paslaugų teikėją arba per paskirtuosius tarpininkus, kurie pripažįstami nacionaliniu lygmeniu, remiantis Sąjungos arba nacionaline teise, kad atpažinties ar požymių liudijimų paslaugų teikėjų ir pasikliaujančiųjų šalių keitimasis patikrintais požymiais būtų saugus. Valstybės narės turėtų nacionaliniu lygmeniu nustatyti tinkamus mechanizmus, kuriais būtų užtikrinta, kad kvalifikuotus elektroninius požymių liudijimus išduodantys kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, remdamiesi asmens, kuriam išduodamas liudijimas, sutikimu, galėtų patikrinti požymių autentiškumą, kliaudamiesi autentiškais šaltiniais. Turėtų būti įmanoma, kad tinkami mechanizmai apimtų naudojimąsi konkrečiais tarpininkais arba techninius sprendimus, atitinkančius nacionalinę teisę, kuria suteikiama prieiga prie autentiškų šaltinių. Užtikrinus galimybę naudotis mechanizmu, kuriuo sudaromos sąlygos patikrinti požymius pagal autentiškus šaltinius, kvalifikuotiems elektroninių požymių liudijimų teikėjams turėtų būti lengviau laikytis Reglamentu (ES) Nr. 910/2014 nustatytų pareigų. To reglamento naujame priede turėtų būti pateiktas požymių, kurių atžvilgiu valstybės narės turi užtikrinti, kad būtų imtasi priemonių, kad kvalifikuoti elektroninių požymių liudijimų teikėjai galėtų naudotojo prašymu elektroniniais būdais patikrinti jų autentiškumą pagal atitinkamą autentišką šaltinį, kategorijų sąrašas;

(62)

saugia elektronine atpažintimi ir teikiant požymių liudijimus finansų paslaugų sektoriuje turėtų būti užtikrintas papildomas lankstumas ir sprendimai, kad būtų galima nustatyti klientų tapatybę ir keistis specifiniais požymiais, reikalingus siekiant vykdyti, pavyzdžiui, vartotojų išsamaus patikrinimo reikalavimus pagal būsimą reglamentą, kuriuo įsteigiama Kovos su pinigų plovimu agentūra, iš investuotojų apsaugos srities teisės kylančius tinkamumo reikalavimus, ar siekiant įvykdyti saugesnio klientų tapatumo nustatymo, susijusio su elektronine atpažintimi, reikalavimus prisijungiant prie sąskaitos ir inicijuojant operacijas mokėjimo paslaugų srityje;

(63)

elektroninio parašo teisinė galia neturėtų būti ginčijama dėl to, kad parašas yra elektroninės formos arba kad jis neatitinka kvalifikuoto elektroninio parašo reikalavimų. Tačiau elektroninių parašų teisinę galią turi nustatyti nacionalinė teisė, išskyrus šiuo reglamentu nustatytus reikalavimus, pagal kuriuos kvalifikuotas elektroninis parašas turi būti laikomas lygiaverčiu rašytiniam parašui. Nustatydamos elektroninių parašų teisinę galią, valstybės narės turėtų atsižvelgti į pasirašytino dokumento teisinės vertės ir saugumo lygio bei išlaidų, kurių reikalaujama naudojant elektroninį parašą, proporcingumo principą. Siekiant padidinti elektroninių parašų prieinamumą ir naudojimo mastą, valstybės narės raginamos apsvarstyti galimybę naudoti pažangiuosius elektroninius parašus vykdant kasdienes operacijas, kurioms jos užtikrina pakankamą saugumo ir patikimumo lygį;

(64)

tam, kad būtų užtikrintas sertifikavimo praktikos nuoseklumas visoje Sąjungoje, Komisija turėtų paskelbti kvalifikuotų elektroninio parašo kūrimo įtaisų ir kvalifikuotų elektroninio spaudo kūrimo įtaisų sertifikavimo ir pakartotinio sertifikavimo gaires, be kita ko, dėl jų galiojimo ir laiko apribojimų. Šiuo reglamentu neužkertamas kelias viešosioms ar privačiosioms įstaigoms, patvirtinusioms sertifikuotus kvalifikuotus elektroninio parašo kūrimo įtaisus, leisti laikinai tokį įtaisą sertifikuoti pakartotiniam trumpalaikiam sertifikavimo galiojimo laikotarpiui remiantis ankstesnio sertifikavimo proceso rezultatais, kai toks sertifikavimas per teisiškai nustatytą laikotarpį negali būti atliktas dėl kitos priežasties nei pažeidimas ar saugumo incidentas, nedarant poveikio pareigai atlikti pažeidžiamumo vertinimą ir nedarant poveikio taikytinai sertifikavimo praktikai;

(65)

sertifikatų išdavimu interneto svetainių tapatumui nustatyti siekiama suteikti naudotojams patikinimą, kuriam subjektui (su aukštu patikimumo lygiu dėl jo tapatybės) priklauso interneto svetainė, nepriklausomai nuo to, kokioje platformoje ta tapatybė pateikiama. Tie sertifikatai turėtų prisidėti prie pasitikėjimo verslo vykdymu internetu kūrimo, nes vartotojai pasitikėtų interneto svetaine, kurios tapatumas nustatytas. Interneto svetainės tokius sertifikatus galėtų naudoti savanoriškai. Norint, kad interneto svetainės tapatumo nustatymas taptų pasitikėjimo didinimo priemone, pagerintų naudotojo patirtį ir skatintų vidaus rinkos augimą, šiame reglamente nustatoma patikimumo užtikrinimo sistema, įskaitant minimalias saugumo ir atsakomybės pareigas kvalifikuotų sertifikatų interneto svetainių tapatumui nustatyti teikėjams ir tokių sertifikatų išdavimo reikalavimus. Nacionaliniais patikimais sąrašais turėtų būti patvirtintas interneto svetainių tapatumo nustatymo paslaugų ir jų patikimumo užtikrinimo paslaugų teikėjų kvalifikacijos statusas, įskaitant jų visapusišką atitiktį šio reglamento reikalavimams, susijusiems su kvalifikuotų interneto svetainių tapatumo nustatymo sertifikatų išdavimu. Kvalifikuotų interneto svetainės tapatumo nustatymo sertifikatų pripažinimas reiškia, kad interneto naršyklių teikėjai neturėtų atsisakyti pripažinti kvalifikuotų interneto svetainės tapatumo nustatymo sertifikatų autentiškumo siekiant vienintelio tikslo, kad būtų patvirtintas interneto svetainės domeno vardo ir fizinio ar juridinio asmens, kuriam išduotas pažymėjimas, ryšys ar to asmens tapatybė. Interneto naršyklių teikėjai naršyklės aplinkoje turėtų galutiniam naudotojui patogiu būdu rodyti sertifikuotus tapatybės duomenis ir kitus patvirtintus požymius savo pasirinktomis techninėmis priemonėmis. Tuo tikslu interneto naršyklių teikėjai turėtų užtikrinti suderinamumą ir sąveikumą su kvalifikuotais interneto svetainių tapatumo nustatymo sertifikatais, išduotais visapusiškai laikantis šio reglamento. Kvalifikuotų interneto svetainių tapatumo nustatymo sertifikatų pripažinimo ir suderinamumo pareiga ir jų sąveikumo pareiga nedaro poveikio interneto naršyklių teikėjų laisvei užtikrinti žiniatinklio saugumą, domeno tapatumo nustatymą ir žiniatinklio srauto šifravimą tokiu būdu ir naudojant technologiją, kuri, jų nuomone, yra tinkamiausia. Siekiant prisidėti prie galutinių naudotojų saugumo internete, interneto naršyklių teikėjai išimtinėmis aplinkybėmis turėtų turėti galimybę imtis būtinų ir proporcingų atsargumo priemonių, reaguodami į pagrįstus nuogąstavimus dėl saugumo pažeidimų ar nustatyto sertifikato ar sertifikatų rinkinio vientisumo praradimo. Jei interneto naršyklių teikėjai imasi tokių atsargumo priemonių, jie turėtų nepagrįstai nedelsdami pranešti Komisijai, nacionalinei priežiūros įstaigai, subjektui, kuriam buvo išduotas sertifikatas, ir kvalifikuotam patikimumo užtikrinimo paslaugų teikėjui, kuris išdavė tą sertifikatą arba sertifikatų rinkinį, apie nuogąstavimą dėl saugumo pažeidimo ar vientisumo praradimo, taip pat apie priemones, kurių imtasi dėl vieno sertifikato ar sertifikatų rinkinio. Tos priemonės neturėtų daryti poveikio naršyklių teikėjų pareigai pripažinti kvalifikuotus interneto svetainių tapatumo nustatymo sertifikatus pagal nacionalinius patikimus sąrašus. Siekdamos geriau apsaugoti Sąjungos piliečius ir gyventojus Sąjungoje ir skatinti naudojimąsi kvalifikuotais interneto svetainių tapatumo nustatymo sertifikatais, valstybių narių valdžios institucijos turėtų apsvarstyti galimybę juos įdiegti savo interneto svetainėse. Šiame reglamente numatytomis priemonėmis, kuriomis siekiama didesnio valstybių narių skirtingų požiūrių ir praktikos, susijusių su priežiūros procedūromis, nuoseklumo, siekiama prisidėti prie didesnio tikėjimo ir pasitikėjimo kvalifikuotų interneto svetainių tapatumo nustatymo sertifikatų saugumu, kokybe ir prieinamumu;

(66)

daugelis valstybių narių priėmė nacionalinius reikalavimus dėl saugaus ir patikimo elektroninio archyvavimo paslaugų, siekdamos sudaryti elektroninių duomenų ir elektroninių dokumentų, taip pat susijusių patikimumo užtikrinimo paslaugų ilgalaikio išsaugojimo galimybę. Siekiant užtikrinti teisinį tikrumą, pasitikėjimą ir suderinimą visose valstybėse narėse, turėtų būti sukurta kvalifikuotų elektroninio archyvavimo paslaugų teisinė sistema, įkvėpta kitų šiame reglamente nustatytų patikimumo užtikrinimo paslaugų sistemos. Ši kvalifikuotų elektroninio archyvavimo paslaugų teisinė sistema turėtų suteikti patikimumo užtikrinimo paslaugų teikėjams ir naudotojams veiksmingą priemonių rinkinį, apimantį funkcinius elektroninio archyvavimo paslaugos reikalavimus, taip pat turėti aiškų teisinį poveikį, kai naudojamasi kvalifikuota elektroninio archyvavimo paslauga. Tos nuostatos turėtų būti taikomos skaitmeniniams duomenims ir skaitmeniniu būdu parengtiems elektroniniams dokumentams, taip pat popieriniams dokumentams, kurie buvo nuskenuoti ir suskaitmeninti. Prireikus, pagal tas nuostatas turėtų būti leidžiama saugomus elektroninius duomenis ir elektroninius dokumentus perkelti į įvairias laikmenas arba formatus, kad jų patvarumas ir įskaitomumas būtų ilgesnis už technologinio galiojimo laikotarpį, kartu kuo labiau užkertant kelią praradimui ir pakeitimui. Kai elektroninio archyvavimo paslaugai pateiktuose elektroniniuose duomenyse ir elektroniniuose dokumentuose yra vienas ar daugiau kvalifikuotų elektroninių parašų arba kvalifikuotų elektroninių spaudų, teikiant paslaugą turėtų būti naudojamos procedūros ir technologijos, kuriomis būtų galima padidinti jų patikimumą tokių duomenų saugojimo laikotarpiu, galbūt kliaujantis kitų šiuo reglamentu nustatytų kvalifikuotų patikimumo užtikrinimo paslaugų naudojimu. Išsaugojimo įrodymams sukurti, kai naudojami elektroniniai parašai, elektroniniai spaudai arba elektroninės laiko žymos, turėtų būti naudojamos kvalifikuotos patikimumo užtikrinimo paslaugos. Ta apimtimi, kuria elektroninio archyvavimo paslaugos šiuo reglamentu nėra derinamos, valstybės narės, laikydamosi Sąjungos teisės, turėtų turėti galimybę palikti galioti arba priimti nacionalines nuostatas, susijusias su tomis paslaugomis, pavyzdžiui, konkrečias nuostatas paslaugų, kurios yra integruotos į organizaciją ir naudojamos tik tos organizacijos „vidaus archyvų“ reikmėms, atveju. Šiame reglamente neturėtų būti daromas skirtumas tarp skaitmeninių duomenų ir skaitmeniniu būdu parengtų skaitmeninių dokumentų ir suskaitmenintų fizinių dokumentų;

(67)

nacionalinių archyvų ir atminties institucijų, kaip organizacijų, kurių paskirtis – išsaugoti viešojo intereso dokumentinį paveldą, veikla paprastai yra reglamentuojama nacionalinėje teisėje ir jie nebūtinai teikia patikimumo užtikrinimo paslaugas, kaip tai suprantama šiame reglamente. Tiek, kiek tokios institucijos neteikia tokių paslaugų, šis reglamentas nedaro poveikio jų veiklai;

(68)

elektroniniai registrai yra elektroninių duomenų įrašų seka, kuria užtikrinamas jų vientisumas ir jų chronologinės tvarkos tikslumas. Elektroniniai registrai turėtų sukurti chronologinę duomenų įrašų seką. Kartu su kitomis technologijomis jie turėtų prisidėti prie sprendimų dėl veiksmingesnių ir transformatyvių viešųjų paslaugų, kaip antai e. balsavimas, muitinių tarpvalstybinis bendradarbiavimas, tarpvalstybinis akademinių institucijų bendradarbiavimas ir nekilnojamojo turto nuosavybės registravimas decentralizuotuose žemės registruose. Kvalifikuoti elektroniniai registrai turėtų sukurti teisinę prezumpciją dėl unikalios ir tikslios nuoseklios chronologinės registro duomenų įrašų tvarkos ir vientisumo. Dėl specifinių elektroninių registrų požymių, pavyzdžiui, nuoseklios chronologinės duomenų įrašų tvarkos, turėtų būti daromas skirtumas tarp elektroninių registrų ir kitų patikimumo užtikrinimo paslaugų, pavyzdžiui, elektroninių laiko žymų ir elektroninio registruoto pristatymo paslaugų. Siekiant užtikrinti teisinį tikrumą ir skatinti inovacijas, turėtų būti sukurta Sąjungos masto teisinė sistema, pagal kurią numatomas patikimumo užtikrinimo paslaugų, skirtų registruoti duomenis elektroniniuose registruose pripažinimas tarpvalstybiniu mastu. Tai turėtų pakankamu mastu užkirsti kelią to paties skaitmeninio turto kopijavimui ir pardavimui skirtingoms šalims daugiau nei vieną kartą. Elektroninio registro sukūrimo ir atnaujinimo procesas priklauso nuo naudojamo, t. y. centralizuoto ar paskirstytojo, registro tipo. Šiuo reglamentu turėtų būti užtikrintas technologinis neutralumas, t. y. nei pirmenybės suteikimas jokiai technologijai, naudojamai diegiant naują patikimumo užtikrinimo paslaugą elektroniniams registrams, nei šios technologijos diskriminavimas. Be to, rengdama įgyvendinimo aktus, kuriais nustatomi kvalifikuotų elektroniniams registrams skirti reikalavimai, Komisija, naudodama tinkamą metodiką, turėtų atsižvelgti į tvarumo rodiklius, susijusius su bet kokiu neigiamu poveikiu klimatui ar kitu su aplinka susijusiu neigiamu poveikiu;

(69)

elektroninių registrų patikimumo užtikrinimo paslaugų teikėjai turėtų galėti užtikrinti nuoseklų duomenų registravimą registre. Šiuo reglamentu nedaromas poveikis jokioms teisinėms elektroninių registrų naudotojų pareigoms pagal Sąjungos ar nacionalinę teisę. Pavyzdžiui, naudojimo atvejais, kai tvarkomi asmens duomenys, turėtų būti laikomasi Reglamento (ES) 2016/679, ir naudojimo atvejais, kurie yra susiję su finansinėmis paslaugomis, turėtų būti laikomasi atitinkamos Sąjungos finansinių paslaugų teisės;

(70)

siekiant išvengti vidaus rinkos susiskaidymo ir kliūčių joje dėl besiskiriančių standartų ir techninių apribojimų ir užtikrinti suderintą procesą, kad Europos skaitmeninės tapatybės sistemos įgyvendinimui nebūtų daromas poveikis, būtinas glaudaus ir struktūrizuoto Komisijos, valstybių narių, pilietinės visuomenės, akademinės bendruomenės ir privačiojo sektoriaus bendradarbiavimo procesas. Siekdamos to tikslo valstybės narės ir Komisija turėtų bendradarbiauti vadovaudamasi Komisijos rekomendacijoje (ES) 2021/946 (16) nustatyta sistema, kad nustatytų Europos skaitmeninės tapatybės sistemai skirtą bendrą Sąjungos priemonių rinkinį. Atsižvelgiant į tai, valstybės narės turėtų susitarti dėl išsamios techninės architektūros ir pavyzdinės sistemos, bendrų standartų ir techninių standartų rinkinio, įskaitant pripažintus esamus standartus, bei gairių ir geriausios praktikos aprašymų rinkinio, kuriuose būtų aptartos europinių skaitmeninės tapatybės dėklių visos funkcijos ir sąveikumas, įskaitant e. parašus, taip pat kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų, teikiančių elektroninius požymių liudijimus, kaip nustatyta šiame reglamente. Į tai atsižvelgdamos valstybės narės taip pat turėtų susitarti dėl bendrų europinių skaitmeninės tapatybės dėklių verslo modelio ir mokesčių struktūros elementų, kad visų pirma MVĮ būtų lengviau jas diegti tarpvalstybiniu mastu. Priemonių rinkinio turinys turėtų keistis priklausomai nuo Europos skaitmeninės tapatybės sistemos diskusijos ir priėmimo proceso rezultato ir jį atspindėti;

(71)

šiuo reglamentu numatomas suderintas kvalifikuotų patikimumo užtikrinimo paslaugų kokybės, patikimumo ir saugumo lygis, neatsižvelgiant į veiklos vykdymo vietą. Todėl kvalifikuotam patikimumo užtikrinimo paslaugų teikėjui turėtų būti leidžiama vykdyti savo veiklą, susijusią su kvalifikuotos patikimumo užtikrinimo paslaugos teikimu trečiojoje valstybėje, naudojantis užsakomosiomis paslaugomis, jei ta trečioji valstybė pateikia tinkamas garantijas užtikrindama, kad priežiūros veiklos ir audito vykdymas galėtų būti užtikrinamas taip, tarsi jie vykdomi Sąjungoje. Kai negalima visiškai užtikrinti, kad bus laikomasi šio reglamento, priežiūros įstaigos turėtų turėti galimybę priimti proporcingas ir pagrįstas priemones, įskaitant teikiamos patikimumo užtikrinimo paslaugos kvalifikacijos statuso panaikinimą;

(72)

siekiant užtikrinti teisinį tikrumą, kiek tai susiję su kvalifikuotais sertifikatais patvirtintų pažangiųjų elektroninių parašų galiojimu, labai svarbu, kad būtų nurodytas pasikliaujančiosios šalies, tvirtinančios tą pažangų elektroninį parašą remiantis kvalifikuotais sertifikatais, vertinimas;

(73)

patikimumo užtikrinimo paslaugų teikėjai turėtų naudoti kriptografinius metodus, atspindinčius dabartinę geriausią praktiką, ir patikimą tų algoritmų įgyvendinimą, kad būtų užtikrintas jų patikimumo užtikrinimo paslaugų saugumas ir patikimumas;

(74)

šiame reglamente nustatoma pareiga kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams patikrinti fizinio arba juridinio asmens, kuriam išduotas kvalifikuotas sertifikatas arba kvalifikuotas elektroninis požymio liudijimas, tapatybę remiantis įvairiais suderintais metodais visoje Sąjungoje. Siekiant užtikrinti, kad kvalifikuoti sertifikatai ir kvalifikuoti elektroniniai požymių liudijimai būtų išduodami asmeniui, kuriam jie priklauso, ir kad jais būtų patvirtinamas teisingas ir unikalus duomenų, kurie rodo to asmens tapatybę, rinkinys, kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, išduodantys kvalifikuotus sertifikatus arba išduodantys kvalifikuotus elektroninius požymių liudijimus, tų sertifikatų ir liudijimų išdavimo metu turėtų visiškai patikimai užtikrinti to asmens tapatybės nustatymą. Be to, be privalomo asmens tapatybės tikrinimo, jei taikytina išduodant kvalifikuotus sertifikatus ir išduodant kvalifikuotą elektroninį požymių liudijimą, kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai turėtų visiškai patikimai užtikrinti asmens, kuriam išduodamas kvalifikuotas sertifikatas arba kvalifikuotas elektroninis požymių liudijimas, patvirtintų požymių teisingumą ir tikslumą. Tas prievoles užtikrinti rezultatą ir visišką patikimumą tikrinant patvirtintus duomenis turėtų padėti įgyvendinti tinkamos priemonės, be kita ko, naudojant vieną iš šiame reglamente numatytų konkrečių metodų arba, jei reikia, jų derinį. Tuos metodus turėtų būti įmanoma sujungti, kad būtų galima tinkamai patikrinti asmens, kuriam išduodamas kvalifikuotas sertifikatas arba kvalifikuotas elektroninis požymių liudijimas, tapatybę. Turėtų būti įmanoma, kad toks derinys apimtų kliovimąsi elektroninės atpažinties priemonėmis, kurios atitinka pakankamo saugumo užtikrinimo lygio reikalavimus, kartu pasitelkiant kitas tapatybės tikrinimo priemones. Tokia elektroninė atpažintis leistų įvykdyti šiame reglamente nustatytus suderintus reikalavimus, susijusius su aukštu saugumo užtikrinimo lygiu, kaip dalį papildomų suderintų nuotolinio ryšio procedūrų, kuriomis užtikrinama aukšto patikimumo lygio atpažintis. Tie metodai turėtų apimti kvalifikuotą elektroninį požymių liudijimą išduodančio kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo galimybę naudotojo prašymu ir pagal Sąjungos ar nacionalinę teisę patikrinti požymius, kurie turi būti patvirtinti elektroninėmis priemonėmis, be kita ko, pagal autentiškus šaltinius;

(75)

siekiant, kad šis reglamentas atitiktų pasaulinius pokyčius ir būtų laikomasi geriausios vidaus rinkos praktikos, Komisijos priimti deleguotieji ir įgyvendinimo aktai turėtų būti peržiūrimi ir prireikus reguliariai atnaujinami. Vertinant tų atnaujinimų būtinumą reikėtų atsižvelgti į naujas technologijas, praktiką, standartus ar technines specifikacijas;

(76)

kadangi šio reglamento tikslų, t. y. sukurti Sąjungos masto Europos skaitmeninės tapatybės sistemą ir patikimumo užtikrinimo paslaugų sistemą, valstybės narės negali deramai pasiekti, o dėl jų masto ir poveikio tų tikslų būtų geriau siekti Sąjungos lygiu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali priimti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu neviršijama to, kas būtina nurodytiems tikslams pasiekti;

(77)

pagal Reglamento (ES) 2018/1725 42 straipsnio 1 dalį konsultuotasi su Europos duomenų apsaugos priežiūros pareigūnu;

(78)

todėl Reglamentas (ES) Nr. 910/2014 turėtų būti atitinkamai iš dalies pakeistas,

1)

1 straipsnis pakeičiamas taip:

2)

2 straipsnis iš dalies keičiamas taip:

3)

3 straipsnis iš dalies keičiamas taip:

4)

5 straipsnis pakeičiamas taip:

5)

II skyriuje įterpiamas šis skirsnis:

(*2)   2019 m. balandžio 17 d. Europos Parlamento ir Tarybos direktyva (ES) 2019/882 dėl gaminių ir paslaugų prieinamumo reikalavimų (OL L 151, 2019 6 7, p. 70)."

(*3)   2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentas (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas) (OL L 151, 2019 6 7, p. 15)."

(*4)   2003 m. gegužės 6 d. Komisijos rekomendacija 2003/361/EB dėl labai mažų, mažųjų ir vidutinių įmonių apibrėžties (OL L 124, 2003 5 20, p. 36)."

(*5)   2022 m. spalio 19 d. Europos Parlamento ir Tarybos reglamentas (ES) 2022/2065 dėl bendrosios skaitmeninių paslaugų rinkos, kuriuo iš dalies keičiama Direktyva 2000/31/EB (Skaitmeninių paslaugų aktas) (OL L 277, 2022 10 27, p. 1).“;"

6)

prieš 6 straipsnį įterpiama ši antraštė:

7)

7 straipsnio g punktas pakeičiamas taip:

8)

8 straipsnio 3 dalies pirma pastraipa pakeičiama taip:

9)

9 straipsnio 2 ir 3 dalys pakeičiamos taip:

10)

10 straipsnio pavadinimas pakeičiamas taip:

„Elektroninės atpažinties schemų saugumo pažeidimas“;

11)

įterpiamas šis straipsnis:

12)

12 straipsnis iš dalies keičiamas taip:

13)

į II skyrių įterpiami šie straipsniai:

(*6)   2022 m. rugsėjo 14 d. Europos Parlamento ir Tarybos reglamentas (ES) 2022/1925 dėl atvirų konkurencijai ir sąžiningų skaitmeninio sektoriaus rinkų, kuriuo iš dalies keičiamos direktyvos (ES) 2019/1937 ir (ES) 2020/1828 (Skaitmeninių rinkų aktas) (OL L 265, 2022 10 12, p. 1).“;"

14)

13 straipsnio 1 dalis pakeičiama taip:

15)

14, 15 ir 16 straipsniai pakeičiami taip:

(*7)   2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (TIS 2 direktyva) (OL L 333, 2022 12 27, p. 80).“;"

16)

III skyriaus 2 skirsnio pavadinimas pakeičiamas taip:

„Nekvalifikuotos patikimumo užtikrinimo paslaugos“;

17)

17 ir 18 straipsniai išbraukiami;

18)

į III skyriaus 2 skirsnį įterpiamas šis straipsnis:

19)

20 straipsnis iš dalies keičiamas taip:

20)

21 straipsnis iš dalies keičiamas taip:

21)

24 straipsnis iš dalies keičiamas taip:

22)

į III skyriaus 3 skirsnį įterpiamas šis straipsnis:

23)

25 straipsnio 3 dalis išbraukiama;

24)

26 straipsnis iš dalies keičiamas taip:

25)

27 straipsnio 4 dalis išbraukiama;

26)

28 straipsnio 6 dalis pakeičiama taip:

27)

29 straipsnyje įterpiama ši dalis:

28)

įterpiamas šis straipsnis:

29)

30 straipsnyje įterpiama ši dalis:

30)

31 straipsnio 3 dalis pakeičiama taip:

31)

32 straipsnis iš dalies keičiamas taip:

32)

įterpiamas šis straipsnis:

33)

33 straipsnio 2 dalis pakeičiama tokiu tekstu:

34)

34 straipsnis iš dalies keičiamas taip:

35)

35 straipsnio 3 dalis išbraukiama;

36)

36 straipsnis iš dalies keičiamas taip:

37)

37 straipsnio 4 dalis išbraukiama;

38)

38 straipsnio 6 dalis pakeičiama taip:

39)

įterpiamas šis straipsnis:

40)

į III skyriaus 5 skirsnį įterpiamas šis straipsnis:

41)

41 straipsnio 3 dalis išbraukiama;

42)

42 straipsnis iš dalies keičiamas taip:

43)

44 straipsnis iš dalies keičiamas taip:

44)

45 straipsnis pakeičiamas taip:

45)

įterpiamas šis straipsnis:

46)

III skyrius papildomas šiais skirsniais:

47)

įterpiamas šis skyrius:

48)

47 straipsnis iš dalies keičiamas taip:

49)

į IV skyrių įterpiamas šis straipsnis:

50)

49 straipsnis pakeičiamas taip:

51)

51 straipsnis pakeičiamas taip:

52)

I–IV priedai iš dalies atitinkamai iš dalies keičiami pagal šio reglamento I–IV priedus;

53)

papildoma naujais V, VI ir VII priedais, kaip išdėstyta šio reglamento V, VI ir VII prieduose.