PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2024/2980

ze dne 28. listopadu 2024,

kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o oznámení Komisi týkající se evropských peněženek digitální identity

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie,

s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (1), a zejména na čl. 5a odst. 23 uvedeného nařízení,

vzhledem k těmto důvodům:

Evropský rámec pro digitální identitu zřízený nařízením (EU) č. 910/2014 je klíčovým prvkem při vytváření bezpečného a interoperabilního ekosystému digitální identity v celé Unii. Základem rámce jsou evropské peněženky digitální identity (dále jen „peněženky“), jejichž cílem je usnadnit přístup ke službám v členských státech a zároveň zajistit ochranu osobních údajů a soukromí.

2)	Na všechny činnosti zpracování osobních údajů podle tohoto nařízení se vztahuje nařízení Evropského parlamentu a Rady (EU) 2016/679 (2) nebo nařízení Evropského parlamentu a Rady (EU) 2018/1725 (3) a v příslušných případech směrnice Evropského parlamentu a Rady 2002/58/ES (4).

Ustanovení čl. 5a odst. 23 nařízení (EU) č. 910/2014 pověřuje Komisi, aby v případě potřeby stanovila příslušné specifikace a postupy. Toho je dosaženo prostřednictvím čtyř prováděcích nařízení, která se zabývají protokoly a rozhraními prováděcí nařízení Komise (EU) 2024/2982 (5), integritou a základními funkcemi prováděcí nařízení Komise (EU) 2024/2979 (6), osobními identifikačními údaji a elektronickým potvrzením atributů prováděcí nařízení Komise (EU) 2024/2977 (7), jakož i oznámeními Komisi prováděcí nařízení Komise (EU) 2024/2980 (8). Toto nařízení stanoví příslušné požadavky na oznámení důvěryhodných subjektů členských států, která zakládají důvěryhodnost evropského rámce pro digitální identitu.

Komise pravidelně posuzuje nové technologie, postupy, normy nebo technické specifikace. V zájmu zajištění co nejvyšší úrovně harmonizace mezi členskými státy při vývoji a certifikaci peněženek se technické specifikace stanovené v tomto nařízení opírají o práci provedenou na základě doporučení Komise (EU) 2021/946 ze dne 3. června 2021 o společném souboru nástrojů Unie pro koordinovaný přístup k evropskému digitálnímu rámci (9), a zejména o architekturu a referenční rámec. V souladu se 75. bodem odůvodnění nařízení Evropského parlamentu a Rady (EU) 2024/1183 (10) by Komise měla toto prováděcí nařízení přezkoumat a v případě potřeby ho aktualizovat, aby bylo v souladu s globálním vývojem, architekturou a referenčním rámcem a aby byly dodržovány osvědčené postupy na vnitřním trhu.

Aby byl splněn cíl zřídit transparentní a spolehlivý zdroj informací pro subjekty provádějící autentizaci v ekosystému evropských peněženek digitální identity, jako jsou poskytovatelé peněženek, poskytovatelé osobních identifikačních údajů a strany spoléhající se na peněženku, měly by členské státy oznámit požadované informace prostřednictvím elektronického systému poskytovaného Komisí. V souladu s přístupem přijatým v prováděcím rozhodnutí Komise (EU) 2015/1984 (11), kterým se stanoví okolnosti, formáty a postupy pro oznamování, pokud jde o systémy elektronické identifikace použitelné na prostředky pro elektronickou identifikaci, by členské státy měly Komisi poskytovat informace v angličtině. Popisy systémů elektronické identifikace jsou proto k dispozici v angličtině pro všechny tyto systémy, a to bez ohledu na to, zda se týkají prostředků pro elektronickou identifikaci nebo peněženek.

Za stejným účelem, tj. zřízením zdrojů informací, které umožní autentizaci subjektů v ekosystému evropských peněženek digitální identity, by Komise měla vytvořit infrastrukturu pro zpřístupnění informací veřejnosti bezpečnou, jasnou a snadno přístupnou cestou a ve formátu čitelném pro člověka, jakož i ve formě opatřené elektronickým podpisem nebo pečetí vhodné pro automatizované zpracování, včetně nabídnutí aplikačního programovacího rozhraní.

7)	V souladu s čl. 42 odst. 1 nařízení (EU) 2018/1725 byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne 30. září 2024.

8)	Opatření stanovená tímto nařízením jsou v souladu se stanoviskem výboru uvedeného v článku 48 nařízení (EU) č. 910/2014,

PŘIJALA TOTO NAŘÍZENÍ:

Článek 1

Předmět a oblast působnosti

Toto nařízení stanoví povinnosti týkající se oznamování, které umožní ověření platnosti:

elektronických registrů používaných členským státem ke zveřejňování informací o stranách spoléhajících se na peněženku registrovaných v tomto členském státě v souladu s čl. 5b odst. 5 nařízení (EU) č. 910/2014 („registry stran spoléhajících se na peněženku“), umístění registrů stran spoléhajících se na peněženku a identifikaci registrátorů stran spoléhajících se na peněženku;

2)	totožnosti registrovaných stran spoléhajících se na peněženku;

3)	pravosti a platnosti jednotek peněženky;

4)	identifikace poskytovatelů peněženek;

5)	pravosti osobních identifikačních údajů;

6)	identifikace poskytovatelů osobních identifikačních údajů. Toto nařízení je třeba pravidelně aktualizovat, aby bylo v souladu s vývojem technologií a norem a s prací prováděnou na základě doporučení Komise (EU) 2021/946, a zejména s architekturou a referenčním rámcem.

Článek 2

Definice

Pro účely tohoto nařízení se rozumí:

1)	„poskytovatelem peněženky“ fyzická nebo právnická osoba, která poskytuje řešení peněženky;

2)	„poskytovatelem osobních identifikačních údajů“ fyzická nebo právnická osoba odpovědná za vydávání a zneplatnění osobních identifikačních údajů a za zajištění kryptografického provázání osobních identifikačních údajů uživatele s jednotkou peněženky;

3)	„stranou spoléhající se na peněženku“ spoléhající se strana, která má v úmyslu spoléhat se na jednotky peněženky při poskytování veřejných nebo soukromých služeb prostřednictvím digitální interakce;

4)	„registrem stran spoléhajících se na peněženku“ elektronický registr používaný členským státem ke zveřejňování informací o stranách spoléhajících se na peněženku registrovaných v tomto členském státě, jak je stanoveno v čl. 5b odst. 5 nařízení (EU) č. 910/2014;

5)	„registrátorem stran spoléhajících se na peněženku“ subjekt odpovědný za sestavení a vedení seznamu registrovaných stran spoléhajících se na peněženku usazených na jeho území, který byl určen členským státem;

6)	„jednotkou peněženky“ jedinečná konfigurace řešení peněženky, která zahrnuje instance peněženky, bezpečné kryptografické aplikace peněženky a bezpečné kryptografické prostředky peněženky, které poskytovatel peněženky poskytuje jednotlivému uživateli peněženky;

7)	„řešením peněženky“ kombinace softwaru, hardwaru, služeb, nastavení a konfigurací, včetně instancí peněženky, jedné nebo více bezpečných kryptografických aplikací peněženky a jednoho nebo více bezpečných kryptografických prostředků peněženky;

8)	„instancí peněženky“ aplikace nainstalovaná a nakonfigurovaná v zařízení nebo prostředí uživatele peněženky, která je součástí jednotky peněženky a kterou uživatel peněženky používá k interakci s jednotkou peněženky;

9)	„bezpečnou kryptografickou aplikací peněženky“ aplikace, která spravuje kritická aktiva prostřednictvím propojení s kryptografickými a nekryptografickými funkcemi poskytovanými bezpečným kryptografickým prostředkem peněženky a jejich využívání;

10)

„bezpečným kryptografickým prostředkem peněženky“ prostředek odolný proti neoprávněné manipulaci, který poskytuje prostředí propojené s bezpečnou kryptografickou aplikací peněženky a používaný touto aplikací k ochraně kritických aktiv a poskytování kryptografických funkcí pro bezpečné provádění kritických operací;

11)	„kritickými aktivy“ aktiva v rámci jednotky peněženky nebo ve vztahu k ní, která jsou tak mimořádně důležitá, že ohrožení jejich dostupnosti, důvěrnosti nebo integrity by mělo velmi vážný a oslabující účinek na schopnost spoléhat se na jednotku peněženky;

12)	„uživatelem peněženky“ uživatel, který má jednotku peněženky pod kontrolou;

13)	„poskytovatelem přístupových certifikátů strany spoléhající se na peněženku“ fyzická nebo právnická osoba pověřená členským státem vydáváním přístupových certifikátů strany spoléhající se na peněženku stranám spoléhajícím se na peněženku registrovaným v tomto členském státě;

14)	„přístupovým certifikátem strany spoléhající se na peněženku“ certifikát pro elektronické pečetě nebo podpisy ověřující pravost a platnost strany spoléhající se na peněženku vydaný poskytovatelem přístupových certifikátů strany spoléhající se na peněženku.

Článek 3

Systém oznamování

1. Komise zpřístupní členským státům nejpozději do dvanácti měsíců od vyhlášení tohoto nařízení v Úředním věstníku Evropské unie zabezpečený elektronický systém oznamování, který členským státům umožní oznamovat informace o subjektech a mechanismech uvedených v čl. 5a odst. 18 nařízení (EU) č. 910/2014.

2. Zabezpečený elektronický systém oznamování musí splňovat technické požadavky stanovené v příloze I.

Článek 4

Oznámení od členských států

1. Členské státy předloží prostřednictvím zabezpečeného elektronického systému oznamování uvedeného v čl. 3 odst. 1 alespoň informace uvedené v příloze II.

2. Členské státy učiní oznámení alespoň v angličtině. Členské státy nejsou povinny překládat žádné doklady k oznámení, pokud by to představovalo nepřiměřenou administrativní nebo finanční zátěž.

3. Komise si za účelem ověření úplnosti a soudržnosti oznámených informací může od členských států vyžádat doplňující informace nebo vysvětlení.

Článek 5

Zveřejnění od Komise

1. Komise vytvoří, vede a zveřejňuje seznam obsahující informace oznámené členskými státy o registrátorech stran spoléhajících se na peněženky a o registrech stran spoléhajících se na peněženky, jak je uvedeno v oddíle 1 přílohy II.

2. Komise vytvoří, vede a zveřejní seznam obsahující informace oznámené členskými státy o poskytovatelích peněženek, poskytovatelích osobních identifikačních údajů a poskytovatelích přístupových certifikátů stran spoléhajících se na peněženku, jak je uvedeno v oddílech 2, 3 a 4 přílohy II.

3. Komise zajistí, aby seznamy uvedené v odstavcích 1 a 2 tohoto článku byly přístupné:

a)	jak ve formě opatřené elektronickým podpisem nebo pečetí vhodné pro automatizované zpracování, tak ve formátu internetové stránky čitelné pro člověka a dostupné alespoň v angličtině;

b)	bez nutnosti registrace nebo autentizace pro získání nebo čtení seznamů;

c)	bezpečně pomocí nejmodernějšího šifrování transportní vrstvy.

4. Kromě zveřejnění seznamů uvedených v odstavcích 1 a 2 Komise zveřejní:

a)	technické specifikace, které Komise používá pro strukturu seznamů;

b)	údaje o adrese URL, na které jsou seznamy zveřejněny;

c)	certifikáty, které se použijí k ověření podpisu nebo pečeti na seznamech;

d)	podrobnosti o mechanismech používaných k ověření platnosti změn umístění uvedeného v písmenu (b) nebo certifikátů uvedených v písmenu (c).

Článek 6

Vstup v platnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 28. listopadu 2024.

Za Komisi

předsedkyně

Ursula VON DER LEYEN

(1) Úř. věst. L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5) Prováděcí nařízení Komise (EU) 2024/2982 ze dne 28. listopadu 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o protokoly a rozhraní, které mají být podporovány evropským rámcem pro digitální identitu (Úř. věst. L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).

(6) Prováděcí nařízení Komise (EU) 2024/2979 ze dne 28. listopadu 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o integritu a základní funkce evropských peněženek digitální identity (Úř. věst. L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).

(7) Prováděcí nařízení Komise (EU) 2024/2977 ze dne 28. listopadu 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o osobní identifikační údaje a elektronická potvrzení atributů vydávané k evropským peněženkám digitální identity (Úř. věst. L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).

(8) Prováděcí nařízení Komise (EU) 2024/2980 ze dne 28. listopadu 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) č. 910/2014, pokud jde o oznámení Komisi týkající se ekosystému evropských peněženek digitální identity (Úř. věst. L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).

(9) Úř. věst. L 210, 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.

(10) Nařízení Evropského parlamentu a Rady (EU) 2024/1183 ze dne 11. dubna 2024, kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení evropského rámce pro digitální identitu (Úř. věst. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(11) Prováděcí rozhodnutí Komise (EU) 2015/1984 ze dne 3. listopadu 2015, kterým se stanoví okolnosti, formáty a postupy pro oznamování podle čl. 9 odst. 5 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (Úř. věst. L 289, 5.11.2015, s. 18, ELI: http://data.europa.eu/eli/dec_impl/2015/1984/oj).

PŘÍLOHA II

POŽADAVKY NA OZNÁMENÍ ČLENSKÝCH STÁTŮ

1. Oznámení informací o registrátorech a registrech

Členské státy poskytnou Komisi tyto informace o svých registrátorech a registrech:

a)	název registru;

b)	alespoň jednu adresu URL, na které je registr k dispozici pro přístup a která používá nejmodernější šifrování transportní vrstvy;

c)	jméno registrátora, který je za tento registr odpovědný;

d)	případně registrační číslo registrátora;

e)	členský stát, v němž je registrátor usazen;

f)	kontaktní e-mail a kontaktní telefonní číslo registrátora pro záležitosti týkající se registru;

g)	případně adresu URL internetové stránky s dalšími informacemi o registrátorovi a registru;

h)	adresu URL internetové stránky, na které jsou umístěny zásady registrace platné pro daný registr a související informace;

jeden nebo více certifikátů, které jsou v souladu s IETF RFC 3647 a které lze použít k ověření podpisu nebo pečeti vytvořených registrátorem na údajích v registru a u nichž certifikované identifikační údaje obsahují jméno registrátora a případně registrační číslo registrátora, jak je stanoveno v písmenu (c) a (d).

2)	Informace uvedené v bodě (1) se poskytují pro každý registr a každého registrátora.

2. Oznámení informací o poskytovatelích peněženek a o mechanismech pro ověřování pravosti a platnosti jednotek peněženky

Členské státy poskytnou Komisi tyto informace o poskytovatelích peněženek:

a)	jméno poskytovatele peněženky;

b)	případně registrační číslo poskytovatele peněženky;

c)	případně název subjektu odpovědného za poskytování řešení peněženky;

d)	členský stát, v němž je poskytovatel peněženky usazen;

e)	kontaktní e-mail a kontaktní telefonní číslo poskytovatele peněženky v záležitostech týkajících se jím poskytovaných řešení peněženky;

f)	případně adresu URL internetové stránky s dalšími informacemi o poskytovateli peněženky a řešení peněženky;

g)	adresu URL internetové stránky, na které jsou vyvěšeny zásady a obchodní podmínky poskytovatele peněženky, které se vztahují na poskytování a používání jím poskytovaného řešení peněženky;

jeden nebo více certifikátů, které jsou v souladu s IETF RFC 3647 a které lze použít k autentizaci a ověření platnosti komponentů jednotky peněženky, které peněženka poskytuje, a u nichž certifikované identifikační údaje obsahují jméno a v příslušných případech registrační číslo poskytovatele peněženky, jak je uvedeno v písmenu a) a b);

i)	pro každé řešení peněženky poskytované poskytovatelem peněženky název a referenční číslo řešení peněženky, které poskytuje, neboť Komise tyto informace zveřejní v Úředním věstníku Evropské unie podle článku 5d nařízení (EU) č. 910/2014.

2)	Informace uvedené v bodě (1) se poskytují pro každého poskytovatele.

3. Oznámení informací o poskytovatelích osobních identifikačních údajů a o mechanismech umožňujících autentizaci a ověřování platnosti osobních identifikačních údajů

Členské státy poskytnou Komisi tyto informace o poskytovatelích osobních identifikačních údajů:

a)	jméno poskytovatele osobních identifikačních údajů;

b)	případně registrační číslo poskytovatele osobních identifikačních údajů;

c)	případně název subjektu odpovědného za zajištění toho, aby osobní identifikační údaje byly spojeny s jednotkou peněženky;

d)	členský stát, ve kterém je poskytovatel osobních identifikačních údajů usazen;

e)	kontaktní e-mail a kontaktní telefonní číslo poskytovatele osobních identifikačních údajů pro záležitosti týkající se jím poskytovaných osobních identifikačních údajů;

f)	případně adresu URL internetové stránky, která obsahuje další informace o poskytovateli osobních identifikačních údajů;

g)	adresu URL internetové stránky, která obsahuje zásady a obchodní podmínky poskytovatele osobních identifikačních údajů, které se vztahují na poskytování a používání jím poskytovaných osobních identifikačních údajů;

jeden nebo více certifikátů, které jsou v souladu s IETF RFC 3647 a které lze použít k ověření podpisu nebo pečeti vytvořených poskytovatelem osobních identifikačních údajů na jím poskytovaných osobních identifikačních údajích a u nichž certifikované identifikační údaje obsahují jméno a případně registrační číslo poskytovatele osobních identifikačních údajů, jak je uvedeno v písmenu (a) a (b).

2)	Informace uvedené v bodě 1 se poskytují pro každého poskytovatele.

4. Oznámení informací o poskytovatelích přístupových certifikátů stran spoléhajících se na peněženku

Členské státy poskytnou Komisi tyto informace o poskytovatelích přístupových certifikátů stran spoléhajících se na peněženku:

a)	jméno poskytovatele přístupových certifikátů stran spoléhajících se na peněženku;

b)	případně registrační číslo poskytovatele přístupových certifikátů stran spoléhajících se na peněženku;

c)	členský stát, ve kterém je poskytovatel přístupových certifikátů stran spoléhajících se na peněženku usazen;

d)	kontaktní e-mail a kontaktní telefonní číslo poskytovatele přístupových certifikátů stran spoléhajících se na peněženku pro záležitosti týkající se přístupových certifikátů, které poskytuje stranám spoléhajícím se na peněženku;

e)	případně adresu URL internetové stránky poskytovatele přístupových certifikátů stran spoléhajících se na peněženku, která obsahuje další informace o poskytovateli a přístupových certifikátech, které poskytuje stranám spoléhajícím se na peněženku;

f)	adresu URL internetové stránky, která obsahuje zásady a obchodní podmínky, které se vztahují na poskytování a používání přístupových certifikátů, které poskytuje stranám spoléhajícím se na peněženku;

jeden nebo více certifikátů, které jsou v souladu s IETF RFC 3647 a které lze použít k ověření podpisu nebo pečeti vytvořených poskytovatelem přístupových certifikátů stran spoléhajících se na peněženku na přístupovém certifikátu, který poskytuje stranám spoléhajícím se na peněženku, s případnými informacemi potřebnými pro rozlišení přístupových certifikátů stran spoléhajících se na peněženku od jiných certifikátů.

2)	Informace uvedené v bodě (1) se poskytují pro každého poskytovatele přístupových certifikátů stran spoléhajících se na peněženku.