(1)

Europski okvir za digitalni identitet uspostavljen Uredbom (EU) br. 910/2014 važan je element za uspostavu sigurnog i interoperabilnog ekosustava digitalnog identiteta u cijeloj Uniji. Temelj okvira su europske lisnice za digitalni identitet („lisnice”), a cilj mu je fizičkim i pravnim osobama olakšati pristup uslugama u svim državama članicama i zajamčiti zaštitu osobnih podataka i privatnosti.

(2)

Na sve aktivnosti obrade osobnih podataka na temelju ove Uredbe primjenjuju se Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (2) i, prema potrebi, Direktiva 2002/58/EZ Europskog parlamenta i Vijeća (3).

(3)

Člankom 5.a stavkom 23. Uredbe (EU) br. 910/2014 Komisija se ovlašćuje da prema potrebi utvrdi relevantne specifikacije i postupke. To će učiniti putem četiri provedbene uredbe, koje se odnose na protokole i sučelja Provedbena uredba Komisije (EU) 2024/2982 (4), cjelovitost i osnovne funkcionalnosti Provedbena uredba Komisije (EU) 2024/2979 (5), osobne identifikacijske podatke i elektroničku potvrdu atributa Provedbena uredba Komisije (EU) 2024/2977 (6) te prijave Komisiji Provedbena uredba Komisije (EU) 2024/2980 (7). Ovom se Uredbom utvrđuju relevantni zahtjevi za protokole i sučelja.

(4)

Komisija redovito ocjenjuje nove tehnologije, prakse, norme ili tehničke specifikacije. Kako bi države članice u najvećoj mogućoj mjeri usklađeno razvijale i certificirale lisnice, tehničke specifikacije utvrđene u ovoj Uredbi temelje se na Preporuci Komisije (EU) 2021/946 od 3. lipnja 2021. o zajedničkom Unijinu paketu alata za koordinirani pristup europskom okviru za digitalni identitet (8), osobito na njezinu arhitekturnom i referentnom okviru. U skladu s uvodnom izjavom 75. Uredbe (EU) 2024/1183 Europskog parlamenta i Vijeća (9) Komisija bi ovu Provedbenu uredbu trebala preispitivati i, prema potrebi, ažurirati kako bi bila u skladu s globalnim kretanjima, arhitekturnim i referentnim okvirom te provjerenim praksama na unutarnjem tržištu.

(5)

Kako bi pouzdajuće strane lisnice bile transparentne i vjerodostojne za korisnike lisnice, protokoli i sučelja koje koriste izvedbe lisnice trebali bi korisnicima lisnica davati pouzdan mehanizam za autentifikaciju pouzdajućih strana lisnice i drugih jedinica lisnice. Jednako tako, pružatelji lisnice trebali bi staviti na raspolaganje mehanizam za autentifikaciju i validaciju jedinica lisnice kako bi pouzdajuće strane mogle dobiti jamstva njihove vjerodostojnosti i autentičnosti. Nadalje, tehnička infrastruktura lisnica uz to bi trebala biti osmišljena tako da se samo ovlaštenim pouzdajućim stranama prenosi samo minimalna potrebna količina podataka, a da razne transakcije pritom ostanu nepovezive. Kako bi se olakšalo izdavanje osobnih identifikacijskih podataka i elektroničkih potvrda atributa, sve izvedbe lisnice trebale bi podržavati minimalni skup protokola i sučelja.

(6)

Da bi se izvedbe lisnice mogle koristiti u svim državama članicama, sve bi trebale podržavati zajedničke tehničke specifikacije za predočavanje osobnih identifikacijskih podataka i elektroničkih potvrda atributa pouzdajućim stranama putem lisnica, i na daljinu i u blizini. Uz to, jedinice lisnice mogu podržavati druge protokole i sučelja za posebne slučajeve upotrebe.

(7)

Kako bi se zajamčila integrirana i zadana zaštita podataka, lisnice bi trebale imati nekoliko načina povećanja zaštite privatnosti kako bi se spriječilo da pružatelji sredstava elektroničke identifikacije i elektroničkih potvrda atributa osobne podatke dobivene tijekom pružanja drugih usluga kombiniraju s osobnim podacima obrađenima u svrhu pružanja usluga obuhvaćenih područjem primjene Uredbe (EU) br. 910/2014. Kako je propisano u Uredbi (EU) br. 910/2014, pouzdajuće strane lisnice ne smiju od korisnika zahtijevati da daju bilo kakve druge podatke osim onih koji su u postupku registracije navedeni za predviđenu upotrebu lisnice. Korisnici lisnice trebali bi moći u svakom trenutku provjeriti registracijske podatke pouzdajućih strana. Nadalje, jedinice lisnice trebale bi moći korisnicima u sklopu zahtjeva za atribute prikazati registracijske certifikate pouzdajućih strana lisnice, ako su dostupni. To bi korisnicima lisnice trebalo omogućiti da provjere spadaju li atributi koje je zatražila pouzdajuća strana lisnice u njezine registrirane atribute, što je jamstvo da je zahtjev pravi i vjerodostojan.

(8)

U cilju zaštite podataka korisnika lisnice pružatelji lisnice trebali bi osigurati da jedinice lisnice validiraju zahtjeve pouzdajućih strana lisnice ili drugih jedinica lisnice prije nego što daju bilo kakve podatke na raspolaganje. Iz istog razloga i u skladu s člankom 5.a stavkom 4. točkom (d) podtočkom ii. Uredbe (EU) br. 910/2014 pružatelji lisnice trebali bi osigurati da korisnici lisnice mogu putem jedinica lisnice pouzdajućim stranama lisnice podnositi zahtjeve za brisanje podataka.

(9)

Kako bi se moglo brzo reagirati na eventualne sumnje u zaštitu podataka povezane s člankom 5.a stavkom 4. točkom (d) podtočkom iii. Uredbe (EU) br. 910/2014, pružatelji lisnice trebali bi osigurati da izvedbe lisnice imaju mehanizme za prijavljivanje pouzdajućih strana nadležnom nacionalnom tijelu za zaštitu podataka. Pružateljima lisnice i tijelima za zaštitu podataka trebalo bi ostaviti odgovarajuću fleksibilnost pri uspostavi odgovarajućih mehanizama za interakciju s tijelima za zaštitu podataka država članica.

(10)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (10) te je on dao mišljenje 30. rujna 2024.

(11)

Mjere predviđene ovom Uredbom u skladu su s mišljenjem Odbora iz članka 48. Uredbe (EU) br. 910/2014,

1.

izdavanje osobnih identifikacijskih podataka i elektroničkih potvrda atributa jedinicama lisnice;

2.

predočavanje atributa osobnih identifikacijskih podataka i elektroničkih potvrda atributa pouzdajućim stranama lisnice i drugim jedinicama lisnice;

3.

slanje zahtjeva za brisanje podataka pouzdajućim stranama lisnice;

4.

prijavljivanje pouzdajućih strana lisnice nadzornim tijelima uspostavljenima na temelju članka 51. Uredbe (EU) 2016/679;

a Uredba će se redovito ažurirati kako bi bila u skladu s razvojem tehnologije i normi te s radom na temelju Preporuke Komisije (EU) 2021/946, osobito na temelju arhitekturnog i referentnog okvira.

1.

„pouzdajuća strana lisnice” znači pouzdajuća strana koja se namjerava pouzdati u jedinice lisnice radi pružanja javnih ili privatnih usluga putem digitalne interakcije;

2.

„korisnik lisnice” znači korisnik koji ima kontrolu nad jedinicom lisnice;

3.

„izvedba lisnice” znači kombinacija softvera, hardvera, usluga, postavki i konfiguracija, uključujući instance lisnice, najmanje jednu sigurnu kriptografsku aplikaciju lisnice i najmanje jedan sigurni kriptografski uređaj lisnice;

4.

„jedinica lisnice” znači jedinstvena konfiguracija izvedbe lisnice koja obuhvaća instance lisnice, sigurne kriptografske aplikacije lisnice i sigurne kriptografske uređaje lisnice i koju pružatelj lisnice daje pojedinačnom korisniku lisnice;

5.

„pružatelj lisnice” znači fizička ili pravna osoba koja stavlja na raspolaganje izvedbe lisnice;

6.

„instanca lisnice” znači aplikacija koja je instalirana i konfigurirana na uređaju ili u okruženju korisnika lisnice, dio je jedinice lisnice i korisniku lisnice služi za interakciju s jedinicom lisnice;

7.

„sigurna kriptografska aplikacija lisnice” znači aplikacija za upravljanje ključnim resursima povezana sa sigurnim kriptografskim uređajem lisnice čije kriptografske i nekriptografske funkcije koristi;

8.

„sigurni kriptografski uređaj lisnice” znači uređaj zaštićen od neovlaštenih radnji koji osigurava okruženje povezano sa sigurnom kriptografskom aplikacijom lisnice koje ona koristi za zaštitu ključnih resursa i u kojem se za nju izvršavaju kriptografske funkcije za sigurno izvođenje ključnih operacija;

9.

„ključni resursi” znači resursi unutar lisnice ili povezani s njom koji su toliko izvanredno važni da bi zbog ugrožavanja njihove dostupnosti, povjerljivosti ili cjelovitosti mogućnost pouzdavanja u jedinicu lisnice bila ozbiljno narušena;

10.

„pristupni certifikat pouzdajuće strane lisnice” znači certifikat za elektroničke pečate ili potpise kojim se autentificira i validira pouzdajuća strana lisnice, a koji izdaje pružatelj pristupnih certifikata pouzdajućih strana lisnice;

11.

„pružatelj pristupnih certifikata pouzdajućih strana lisnice” znači fizička ili pravna osoba koju je država članica ovlastila za izdavanje pristupnih certifikata pouzdajućih strana pouzdajućim stranama lisnice koje su registrirane u toj državi članici.

12.

„potvrda jedinice lisnice” znači podatkovni objekt koji opisuje komponente jedinice lisnice ili omogućuje njihovu autentifikaciju i validaciju;

13.

„ugrađena politika otkrivanja” znači skup pravila koja je u elektroničku potvrdu atributa ugradio njezin pružatelj i koja definiraju uvjete koje pouzdajuća strana lisnice mora ispuniti da bi mogla pristupiti elektroničkoj potvrdi atributa;

14.

„registracijski certifikat pouzdajuće strane lisnice” znači podatkovni objekt u kojem su navedeni atributi koje je pouzdajuća strana registrirala kao atribute koje namjerava tražiti od korisnika;

15.

„pružatelj osobnih identifikacijskih podataka” znači fizička ili pravna osoba odgovorna za izdavanje i opoziv osobnih identifikacijskih podataka i kriptografsko povezivanje osobnih identifikacijskih podataka određenog korisnika s određenom jedinicom lisnice;

16.

„kriptografsko povezivanje” znači metoda povezivanja osobnih identifikacijskih podataka ili elektroničkih potvrda atributa s jedinicama lisnice kriptografskim sredstvima.

1.

autentificiraju i validiraju pristupne certifikate pouzdajućih strana lisnice pri interakciji s njima;

2.

autentificiraju i validiraju potvrde jedinice lisnice pouzdajućih strana lisnice pri interakciji s njima;

3.

autentificiraju i validiraju zahtjeve podnesene pomoću pristupnih certifikata pouzdajućih strana lisnice ili potvrda jedinice lisnice iz drugih jedinica lisnice, ako je to primjenjivo;

4.

autentificiraju i validiraju registracijski certifikat pouzdajuće strane lisnice ako je to primjenjivo;

5.

korisnicima lisnice prikazuju informacije iz pristupnih certifikata pouzdajuće strane lisnice ili iz potvrda jedinice lisnice;

6.

ako je to primjenjivo, korisnicima lisnice prikazuju atribute čije je predočenje zatraženo;

7.

korisnicima lisnice prikazuju informacije iz registracijskog certifikata pouzdajuće strane lisnice ako je to primjenjivo;

8.

pouzdajućim stranama lisnice ili jedinicama lisnice koje to zatraže predočuju potvrde jedinice lisnice za dotičnu jedinicu lisnice;

9.

pouzdajućim stranama lisnice ili jedinicama lisnice ne predočuju zatražene atribute ako nisu ispunjeni sljedeći zahtjevi:

10.

omogućuju korištenje tehnika za očuvanje privatnosti kojima se jamči nepovezivost kad za elektroničke potvrde atributa nije potrebna identifikacija korisnika lisnice pri predočavanju potvrda ili osobnih identifikacijskih podataka raznim pouzdajućim stranama lisnice.