1)

Το ευρωπαϊκό πλαίσιο για την ψηφιακή ταυτότητα που θεσπίστηκε με τον κανονισμό (ΕΕ) αριθ. 910/2014 αποτελεί κρίσιμη συνιστώσα της δημιουργίας ενός ασφαλούς και διαλειτουργικού οικοσυστήματος ψηφιακής ταυτότητας σε ολόκληρη την Ένωση. Με τα ευρωπαϊκά πορτοφόλια ψηφιακής ταυτότητας, (στο εξής: «πορτοφόλια»), ως ακρογωνιαίο λίθο του, το πλαίσιο αποσκοπεί στη διευκόλυνση της πρόσβασης σε υπηρεσίες σε όλα τα κράτη μέλη, για φυσικά και νομικά πρόσωπα, με παράλληλη διασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής.

2)

Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2), και, κατά περίπτωση, η οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3) εφαρμόζονται σε όλες τις δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του παρόντος κανονισμού.

3)

Το άρθρο 5α παράγραφος 23 του κανονισμού (ΕΕ) αριθ. 910/2014 αναθέτει στην Επιτροπή να καθορίσει, όπου απαιτείται, τις σχετικές προδιαγραφές και διαδικασίες. Αυτό επιτυγχάνεται μέσω τεσσάρων εκτελεστικών κανονισμών, οι οποίοι αφορούν τα πρωτόκολλα και τις διεπαφές: εκτελεστικός κανονισμός (ΕΕ) 2024/2982 της Επιτροπής (4), την ακεραιότητα και τις βασικές λειτουργίες: εκτελεστικός κανονισμός (ΕΕ) 2024/2979 της Επιτροπής (5), τα δεδομένα ταυτοποίησης προσώπου και την ηλεκτρονική βεβαίωση χαρακτηριστικών: εκτελεστικός κανονισμός (ΕΕ) 2024/2977 της Επιτροπής (6), καθώς και τις κοινοποιήσεις προς την Επιτροπή: εκτελεστικός κανονισμός (ΕΕ) 2024/2980 της Επιτροπής (7). Ο παρών κανονισμός καθορίζει τις σχετικές απαιτήσεις για τα πρωτόκολλα και τις διεπαφές.

4)

Η Επιτροπή αξιολογεί τακτικά νέες τεχνολογίες, πρακτικές, πρότυπα ή τεχνικές προδιαγραφές. Προκειμένου να διασφαλιστεί το υψηλότερο δυνατό επίπεδο εναρμόνισης μεταξύ των κρατών μελών για την ανάπτυξη και την πιστοποίηση των πορτοφολιών, οι τεχνικές προδιαγραφές που ορίζονται στον παρόντα κανονισμό βασίζονται στις εργασίες που πραγματοποιήθηκαν με βάση τη σύσταση (ΕΕ) 2021/946 της Επιτροπής, της 3ης Ιουνίου 2021, σχετικά με κοινή εργαλειοθήκη της Ένωσης για μια συντονισμένη προσέγγιση όσον αφορά το ευρωπαϊκό πλαίσιο για την ψηφιακή ταυτότητα (8), και ιδίως την αρχιτεκτονική και το πλαίσιο αναφοράς. Σύμφωνα με την αιτιολογική σκέψη 75 του κανονισμού (ΕΕ) 2024/1183 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9), η Επιτροπή θα πρέπει να επανεξετάζει και, εάν χρειάζεται, να επικαιροποιεί τον παρόντα εκτελεστικό κανονισμό, ώστε να συμβαδίζει με τις παγκόσμιες εξελίξεις, την αρχιτεκτονική και το πλαίσιο αναφοράς, και να ακολουθούνται οι βέλτιστες πρακτικές στην εσωτερική αγορά.

5)

Προκειμένου να διασφαλιστεί η διαφάνεια και η αξιοπιστία των βασιζόμενων σε πορτοφόλι μερών έναντι των χρηστών πορτοφολιού, τα πρωτόκολλα και οι διεπαφές που χρησιμοποιούνται από τις υλοποιήσεις πορτοφολιού θα πρέπει να παρέχουν στους χρήστες πορτοφολιού έναν αξιόπιστο μηχανισμό επαλήθευσης της ταυτότητας των βασιζόμενων σε πορτοφόλι μερών και άλλων μονάδων πορτοφολιού. Αντιστρόφως, οι πάροχοι πορτοφολιών θα πρέπει να παρέχουν έναν μηχανισμό επαλήθευσης της ταυτότητας και επικύρωσης των μονάδων πορτοφολιού, ώστε τα βασιζόμενα μέρη να μπορούν να λαμβάνουν εγγυήσεις όσον αφορά την αξιοπιστία και τη γνησιότητα των μονάδων πορτοφολιού. Επιπλέον, η τεχνική υποδομή των πορτοφολιών θα πρέπει να σχεδιάζεται κατά τρόπον ώστε να διασφαλίζεται ότι μόνο ο ελάχιστος αναγκαίος όγκος δεδομένων διαβιβάζεται μόνο στα εξουσιοδοτημένα βασιζόμενα μέρη, με παράλληλη διατήρηση της μη δυνατότητας διασύνδεσης μεταξύ των διαφόρων συναλλαγών. Προκειμένου να διευκολυνθεί η έκδοση δεδομένων ταυτοποίησης προσώπου και ηλεκτρονικών βεβαιώσεων χαρακτηριστικών, όλες οι υλοποιήσεις πορτοφολιού θα πρέπει να υποστηρίζουν ένα ελάχιστο σύνολο πρωτοκόλλων και διεπαφών.

6)

Για να διασφαλιστεί η χρηστικότητα των υλοποιήσεων πορτοφολιού σε όλα τα κράτη μέλη, όλες οι υλοποιήσεις πορτοφολιού θα πρέπει να υποστηρίζουν κοινές τεχνικές προδιαγραφές όταν δεδομένα ταυτοποίησης προσώπου και ηλεκτρονικές βεβαιώσεις χαρακτηριστικών προσκομίζονται μέσω των πορτοφολιών σε βασιζόμενα μέρη, τόσο σε σενάρια απόστασης όσο και σε σενάρια εγγύτητας. Επιπλέον, οι μονάδες πορτοφολιών μπορούν να υποστηρίζουν και άλλα πρωτόκολλα και διεπαφές για συγκεκριμένες περιπτώσεις χρήσης.

7)

Για να διασφαλιστεί η προστασία των δεδομένων ήδη από το στάδιο του σχεδιασμού και εξ ορισμού, τα πορτοφόλια θα πρέπει να παρέχονται με διάφορα χαρακτηριστικά που ενισχύουν την προστασία της ιδιωτικής ζωής, ώστε οι πάροχοι μέσων ηλεκτρονικής ταυτοποίησης και ηλεκτρονικής βεβαίωσης χαρακτηριστικών να μην συνδυάζουν δεδομένα προσωπικού χαρακτήρα που λαμβάνονται κατά την παροχή άλλων υπηρεσιών με τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για την παροχή των υπηρεσιών που εμπίπτουν στο πεδίο εφαρμογής του κανονισμού (ΕΕ) αριθ. 910/2014. Όπως ορίζεται στον κανονισμό (ΕΕ) αριθ. 910/2014, τα βασιζόμενα μέρη δεν πρέπει να ζητούν από τους χρήστες να παρέχουν δεδομένα πέραν εκείνων που αναφέρονται για την προβλεπόμενη χρήση πορτοφολιών κατά τη διαδικασία καταχώρισης. Οι χρήστες πορτοφολιού θα πρέπει να έχουν τη δυνατότητα να επαληθεύουν τα δεδομένα καταχώρισης των βασιζόμενων μερών ανά πάσα στιγμή. Επιπλέον, οι μονάδες πορτοφολιού θα πρέπει να είναι σε θέση να εμφανίζουν στους χρήστες πιστοποιητικά καταχώρισης βασιζόμενων σε πορτοφόλια μερών, όταν αυτά είναι διαθέσιμα, στο πλαίσιο αιτήματος χαρακτηριστικών. Αυτό θα επιτρέψει στους χρήστες πορτοφολιού να επαληθεύουν ότι τα χαρακτηριστικά που ζητούνται από το βασιζόμενο σε πορτοφόλι μέρος εμπίπτουν στο πεδίο εφαρμογής των καταχωρισμένων χαρακτηριστικών τους, παρέχοντας τη διασφάλιση ότι το αίτημα είναι νόμιμο και αξιόπιστο.

8)

Για την προστασία των δεδομένων των χρηστών πορτοφολιού, οι πάροχοι πορτοφολιών θα πρέπει να διασφαλίζουν ότι οι μονάδες πορτοφολιού επικυρώνουν αιτήματα από βασιζόμενα σε πορτοφόλια μέρη-ή άλλες μονάδες πορτοφολιού πριν από τη διάθεση τυχόν δεδομένων. Για τον ίδιο λόγο και σύμφωνα με το άρθρο 5α παράγραφος 4 στοιχείο δ) σημείο ii) του κανονισμού (ΕΕ) αριθ. 910/2014, οι πάροχοι πορτοφολιών θα πρέπει να διασφαλίζουν ότι οι μονάδες πορτοφολιού επιτρέπουν στους χρήστες πορτοφολιού να υποβάλλουν αιτήματα διαγραφής δεδομένων σε βασιζόμενα σε πορτοφόλια μέρη.

9)

Προκειμένου να καταστεί δυνατή η ταχεία αντίδραση σε περίπτωση ανησυχιών σχετικών με την προστασία των δεδομένων που σχετίζονται με το άρθρο 5α παράγραφος 4 στοιχείο δ) σημείο iii) του κανονισμού (ΕΕ) αριθ. 910/2014, οι πάροχοι πορτοφολιών θα πρέπει να διασφαλίζουν ότι οι υλοποιήσεις πορτοφολιού παρέχουν μηχανισμούς για την αναφορά βασιζόμενου μέρους στην αρμόδια εθνική αρχή προστασίας δεδομένων. Θα πρέπει να παρέχεται κατάλληλη ευελιξία στους παρόχους πορτοφολιού και στις αρχές προστασίας δεδομένων όσον αφορά τη δημιουργία κατάλληλων μηχανισμών για την αλληλεπίδραση με τις αρχές προστασίας δεδομένων των κρατών μελών.

10)

Ζητήθηκε, σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10), η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος γνωμοδότησε στις 30 Σεπτεμβρίου 2024.

11)

Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι σύμφωνα με τη γνώμη της επιτροπής που αναφέρεται στο άρθρο 48 παράγραφος 1 του κανονισμού (ΕΕ) αριθ. 910/2014,

1)

την έκδοση δεδομένων ταυτοποίησης προσώπου και ηλεκτρονικών βεβαιώσεων χαρακτηριστικών για μονάδες πορτοφολιού·

2)

την προσκόμιση των χαρακτηριστικών δεδομένων ταυτοποίησης προσώπου και ηλεκτρονικών βεβαιώσεων χαρακτηριστικών σε βασιζόμενα σε πορτοφόλια μέρη και σε άλλες μονάδες πορτοφολιού·

3)

την κοινοποίηση αιτημάτων διαγραφής δεδομένων σε βασιζόμενα σε πορτοφόλια μέρη·

4)

την αναφορά των βασιζόμενων σε πορτοφόλια μερών στις εποπτικές αρχές που έχουν συσταθεί δυνάμει του άρθρου 51 του κανονισμού (ΕΕ) 2016/679·

οι εν λόγω υποχρεώσεις πρέπει να επικαιροποιούνται σε τακτική βάση ώστε να συμβαδίζουν με τις εξελίξεις στην τεχνολογία και στα πρότυπα και με τις εργασίες που διεξάγονται βάσει της σύστασης (ΕΕ) 2021/946, και ιδίως με την αρχιτεκτονική και το πλαίσιο αναφοράς.

1)

«βασιζόμενο σε πορτοφόλι μέρος»: βασιζόμενο μέρος που προτίθεται να βασίζεται σε μονάδες πορτοφολιού για την παροχή δημόσιων ή ιδιωτικών υπηρεσιών μέσω ψηφιακής αλληλεπίδρασης·

2)

«χρήστης πορτοφολιού»: χρήστης που έχει τον έλεγχο της μονάδας πορτοφολιού·

3)

«υλοποίηση πορτοφολιού»: συνδυασμός λογισμικού, υλισμικού, υπηρεσιών, ρυθμίσεων και διαμορφώσεων, συμπεριλαμβανομένων των στιγμιότυπων πορτοφολιού, μίας ή περισσότερων ασφαλών κρυπτογραφικών εφαρμογών πορτοφολιού και μίας ή περισσότερων ασφαλών κρυπτογραφικών διατάξεων πορτοφολιού·

4)

«μονάδα πορτοφολιού»: μοναδική διαμόρφωση μιας υλοποίησης πορτοφολιού που περιλαμβάνει στιγμιότυπα πορτοφολιού, ασφαλείς κρυπτογραφικές εφαρμογές πορτοφολιού και ασφαλείς κρυπτογραφικές διατάξεις πορτοφολιού που παρέχονται από έναν πάροχο πορτοφολιού σε μεμονωμένο χρήστη πορτοφολιού·

5)

«πάροχος πορτοφολιού»: φυσικό ή νομικό πρόσωπο το οποίο παρέχει υλοποιήσεις πορτοφολιού·

6)

«στιγμιότυπο πορτοφολιού»: η εφαρμογή όπως έχει εγκατασταθεί και έχει διαμορφωθεί σε διάταξη ή περιβάλλον χρήστη πορτοφολιού, η οποία αποτελεί μέρος μονάδας πορτοφολιού, και την οποία χρησιμοποιεί ο χρήστης πορτοφολιού για να αλληλεπιδρά με τη μονάδα πορτοφολιού·

7)

«ασφαλής κρυπτογραφική εφαρμογή πορτοφολιού»: εφαρμογή που διαχειρίζεται κρίσιμα περιουσιακά στοιχεία μέσω της σύνδεσής της με τις κρυπτογραφικές και μη κρυπτογραφικές λειτουργίες που παρέχει η ασφαλής κρυπτογραφική διάταξη πορτοφολιού και μέσω της χρήσης αυτών·

8)

«ασφαλής κρυπτογραφική διάταξη πορτοφολιού»: ανθεκτική στην παραβίαση διάταξη η οποία παρέχει περιβάλλον που συνδέεται με την ασφαλή κρυπτογραφική εφαρμογή του πορτοφολιού και χρησιμοποιείται από αυτή για την προστασία κρίσιμων περιουσιακών στοιχείων και την παροχή κρυπτογραφικών λειτουργιών για την ασφαλή εκτέλεση κρίσιμων λειτουργιών·

9)

«κρίσιμα περιουσιακά στοιχεία»: περιουσιακά στοιχεία εντός μονάδας πορτοφολιού ή σχετιζόμενα με μονάδα πορτοφολιού, τα οποία είναι τόσο εξέχουσας σημασίας ώστε όταν τίθεται σε κίνδυνο η διαθεσιμότητα, η εμπιστευτικότητα ή η ακεραιότητά τους, αυτό μπορεί να έχει πολύ σοβαρές, ανεπανόρθωτες επιπτώσεις στην ικανότητα των ατόμων να βασίζονται στη μονάδα πορτοφολιού·

10)

«πιστοποιητικό πρόσβασης βασιζόμενου σε πορτοφόλι μέρους»: πιστοποιητικό για ηλεκτρονικές σφραγίδες ή υπογραφές που επαληθεύουν και επικυρώνουν το βασιζόμενο σε πορτοφόλι μέρος, το οποίο εκδίδεται από πάροχο πιστοποιητικών πρόσβασης βασιζόμενου σε πορτοφόλι μέρους·

11)

«πάροχος πιστοποιητικών πρόσβασης βασιζόμενου σε πορτοφόλι μέρους»: φυσικό ή νομικό πρόσωπο εξουσιοδοτημένο από κράτος μέλος να εκδίδει πιστοποιητικά πρόσβασης βασιζόμενου μέρους σε βασιζόμενα σε πορτοφόλι μέρη και είναι καταχωρισμένα στο εν λόγω κράτος μέλος·

12)

«βεβαίωση μονάδας πορτοφολιού»: αντικείμενο δεδομένων που περιγράφει τα συστατικά στοιχεία της μονάδας πορτοφολιού ή καθιστά δυνατή την επαλήθευση και την επικύρωση των εν λόγω συστατικών στοιχείων·

13)

«ενσωματωμένη πολιτική γνωστοποίησης»: σύνολο κανόνων, ενσωματωμένων σε ηλεκτρονική βεβαίωση χαρακτηριστικών από τον πάροχο, το οποίο υποδεικνύει τις προϋποθέσεις που πρέπει να πληροί ένα βασιζόμενο σε πορτοφόλι μέρος για να έχει πρόσβαση στην ηλεκτρονική βεβαίωση χαρακτηριστικών·

14)

«πιστοποιητικό καταχώρισης βασιζόμενων σε πορτοφόλια μερών»: αντικείμενο δεδομένων το οποίο υποδεικνύει τα χαρακτηριστικά που έχει καταχωρίσει το βασιζόμενο μέρος, τα οποία προτίθεται να ζητήσει από τους χρήστες·

15)

«πάροχος δεδομένων ταυτοποίησης προσώπου»: το φυσικό ή νομικό πρόσωπο που είναι υπεύθυνο για την έκδοση και την ανάκληση δεδομένων ταυτοποίησης προσώπου και το οποίο μεριμνά για την κρυπτογραφική σύνδεση των δεδομένων ταυτοποίησης προσώπου ενός χρήστη με μια μονάδα πορτοφολιού·

16)

«κρυπτογραφική σύνδεση»: η μέθοδος σύνδεσης δεδομένων ταυτοποίησης προσώπου ή ηλεκτρονικών βεβαιώσεων χαρακτηριστικών με μονάδες πορτοφολιού με κρυπτογραφικά μέσα.

1)

επαληθεύουν και επικυρώνουν τα πιστοποιητικά πρόσβασης των βασιζόμενων σε πορτοφόλια μερών όταν αλληλεπιδρούν με βασιζόμενα σε πορτοφόλια μέρη·

2)

επαληθεύουν και επικυρώνουν τις βεβαιώσεις μονάδας πορτοφολιού άλλων μονάδων πορτοφολιού όταν αλληλεπιδρούν με άλλες μονάδες πορτοφολιού·

3)

επαληθεύουν και επικυρώνουν αιτήματα που υποβάλλονται με τη χρήση πιστοποιητικών πρόσβασης βασιζόμενων σε πορτοφόλια μερών ή βεβαιώσεων μονάδας πορτοφολιού από άλλες μονάδες πορτοφολιού, κατά περίπτωση·

4)

επαληθεύουν και επικυρώνουν το πιστοποιητικό καταχώρισης του βασιζόμενου σε πορτοφόλι μέρους, κατά περίπτωση·

5)

εμφανίζουν στους χρήστες πορτοφολιού πληροφορίες που περιέχονται στα πιστοποιητικά πρόσβασης βασιζόμενων σε πορτοφόλια μερών ή στις βεβαιώσεις μονάδας πορτοφολιού·

6)

εμφανίζουν στους χρήστες πορτοφολιού, κατά περίπτωση, τα χαρακτηριστικά που οι χρήστες πορτοφολιού καλούνται να προσκομίσουν·

7)

παρουσιάζουν σε χρήστες πορτοφολιού, κατά περίπτωση, τις πληροφορίες που περιέχονται στο πιστοποιητικό καταχώρισης του βασιζόμενου σε πορτοφόλι μέρους·

8)

προσκομίζουν βεβαιώσεις μονάδας πορτοφολιού της μονάδας πορτοφολιού σε βασιζόμενα σε πορτοφόλια μέρη ή σε μονάδες πορτοφολιού που τις ζητούν·

9)

δεν προσκομίζουν τυχόν ζητούμενα χαρακτηριστικά σε βασιζόμενα σε πορτοφόλια μέρη ή μονάδες πορτοφολιού έως ότου να πληρούνται οι ακόλουθες απαιτήσεις:

10)

καθιστούν δυνατή την εφαρμογή τεχνικών για την προστασία της ιδιωτικής ζωής οι οποίες διασφαλίζουν τη μη διασύνδεση όταν οι ηλεκτρονικές βεβαιώσεις χαρακτηριστικών δεν απαιτούν την ταυτοποίηση του χρήστη πορτοφολιού, κατά την προσκόμιση βεβαιώσεων ή δεδομένων ταυτοποίησης προσώπου σε διαφορετικά βασιζόμενα σε πορτοφόλια μέρη.