|
Euroopan unionin |
FI L-sarja |
|
2025/848 |
7.5.2025 |
KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2025/848,
annettu 6 päivänä toukokuuta 2025,
Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 soveltamissäännöistä lompakkoon luottavien osapuolten rekisteröinnin osalta
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta 23 päivänä heinäkuuta 2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (1) ja erityisesti sen 5 b artiklan 11 kohdan,
sekä katsoo seuraavaa:
|
(1) |
Jotta voidaan rekisteröidä luottavat osapuolet, jotka aikovat luottaa eurooppalaisiin digitaalisen identiteetin lompakoihin, jäljempänä ’lompakot’, digitaalisten julkisten tai yksityisten palvelujen tarjoamiseksi, kuten asetuksessa (EU) N:o 910/2014 edellytetään, jäsenvaltioiden olisi perustettava ja ylläpidettävä kansallisia rekistereitä alueelleen sijoittautuneista lompakkoon luottavista osapuolista. |
|
(2) |
Komissio arvioi säännöllisesti uusia teknologioita, käytäntöjä, standardeja ja teknisiä eritelmiä. Jotta lompakoiden kehittämisessä ja sertifioinnissa voidaan varmistaa mahdollisimman suuri yhdenmukaistaminen jäsenvaltioiden kesken, tässä asetuksessa vahvistetut tekniset eritelmät perustuvat työhön, jota on tehty komission suosituksen (EU) 2021/946 (2) nojalla, ja erityisesti siihen kuuluvaan arkkitehtuuriin ja viitekehykseen. Euroopan parlamentin ja neuvoston asetuksen (EU) 2024/1183 (3) johdanto-osan 75 kappaleen mukaan komission olisi tarkasteltava uudelleen ja tarvittaessa päivitettävä tätä asetusta sen pitämiseksi maailmanlaajuisen kehityksen ja arkkitehtuurin ja viitekehyksen mukaisena sekä sisämarkkinoiden parhaiden käytäntöjen noudattamiseksi. |
|
(3) |
Jotta voidaan varmistaa rekisterien laaja käytettävyys ja saavuttaa yhteentoimivuus, jäsenvaltioiden olisi perustettava sekä ihmisen että koneellisesti luettavissa olevia rajapintoja, jotka täyttävät tässä asetuksessa vahvistetut tekniset eritelmät. Lompakkoon luottavan osapuolen pääsyvarmenteiden ja, jos niitä on saatavilla, lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajien olisi myös voitava käyttää näitä rajapintoja kyseisten varmenteiden myöntämiseksi. |
|
(4) |
Rekisteröintiperiaatteissa lompakkoon luottaville osapuolille annetaan selkeää ohjeistusta rekisteröintiprosessista, joten jäsenvaltioiden olisi laadittava ja julkaistava alueellaan perustettuihin kansallisiin rekistereihin sovellettavat rekisteröintiperiaatteet. |
|
(5) |
Lompakkoon luottavien osapuolten rekisteröinnin tarkoituksena on lisätä luottamusta lompakoiden käyttöön suuremman avoimuuden avulla. Sen vuoksi jäsenvaltioiden olisi asetettava asiaankuuluvat tiedot yleisön saataville sekä ihmisen että koneellisesti luettavassa muodossa. Tätä varten lompakkoon luottavien osapuolten olisi toimitettava kansallisiin rekistereihin tarvittavat tiedot, mukaan lukien valtuutuksensa. |
|
(6) |
Lisäksi lompakkoon luottavien osapuolten olisi avoimuuden vuoksi ilmoitettava, aikovatko ne käyttää luonnollisten henkilöiden sähköistä tunnistamista. |
|
(7) |
Jotta voidaan varmistaa, että rekisteröintiprosessi on kustannustehokas ja oikeassa suhteessa riskiin, rekisterinpitäjien olisi tarjottava lompakkoon luottaville osapuolille verkossa toteutettuja ja tarvittaessa automatisoituja rekisteröintiprosesseja, joita on helppo käyttää. Rekisterinpitäjien olisi tarkistettava rekisteröintihakemukset ilman aiheetonta viivytystä. |
|
(8) |
Jäsenvaltioiden olisi varmistettava, että lompakot voivat todentaa lompakkoon luottavat osapuolet riippumatta siitä, mihin ne ovat sijoittautuneet unionissa. Lompakkoon luottavien osapuolten olisi käytettävä tähän tarkoitukseen lompakkoon luottavan osapuolen pääsyvarmenteita, kun ne tunnistautuvat lompakkoyksiköille. Jotta voidaan taata näiden varmenteiden yhteentoimivuus kaikissa unionissa tarjottavissa lompakoissa, lompakkoon luottavan osapuolen pääsyvarmenteiden olisi oltava liitteessä vahvistettujen yhteisten vaatimusten mukaisia. Komission olisi kehitettävä yhdenmukaistettuja varmennepolitiikkoja ja varmennuskäytäntöjä, jotka jäsenvaltioiden olisi pantava täytäntöön. Komission olisi yhteistyössä jäsenvaltioiden kanssa seurattava tiiviisti sellaisten uusien tai vaihtoehtoisten standardien kehittämistä, joiden pohjalta luottavan osapuolen pääsyvarmenteet voitaisiin toteuttaa. Erityisesti olisi arvioitava luottamusmalleja, joiden toimivuus ja turvallisuus on osoitettu jäsenvaltioissa. |
|
(9) |
Kuten asetuksessa (EU) N:o 910/2014 säädetään, lompakkoon luottavat osapuolet saavat pyytää käyttäjiltä ainoastaan niitä tietoja, jotka on ilmoitettu rekisteröintiprosessissa lompakoiden aiottua käyttötarkoitusta varten. Lompakon käyttäjien olisi voitava tarkistaa lompakkoon luottavien osapuolten rekisteröintitiedot. Jotta lompakon käyttäjät voisivat tarkistaa, että lompakkoon luottavan osapuolen pyytämät attribuutit kuuluvat tämän rekisteröityihin attribuutteihin, jäsenvaltiot voivat edellyttää lompakkoon luottavan osapuolen rekisteröintivarmenteiden myöntämistä rekisteröidyille lompakkoon luottaville osapuolille. Lompakkoon luottavan osapuolen rekisteröintivarmenteiden yhteentoimivuuden varmistamiseksi jäsenvaltioiden olisi varmistettava, että kyseiset varmenteet täyttävät liitteessä vahvistetut vaatimukset ja standardit. Avoimuuden vuoksi lompakkoon luottavien osapuolten olisi erityisesti ilmoitettava, aikovatko ne käyttää luonnollisten henkilöiden sähköistä tunnistamista täyttääkseen jonkin Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (4) 6 artiklan 1 kohdassa säädetyistä edellytyksistä. Lisäksi luottavat osapuolet eivät saisi kieltää pseudonyymien käyttöä, jos unionin oikeudessa tai kansallisessa lainsäädännössä ei edellytetä käyttäjän tunnistamista. |
|
(10) |
Jotta käyttäjiä voidaan suojella tietojen liialliselta jakamiselta lompakkoon luottavien osapuolten kanssa ja varoittaa heitä tällaisissa tapauksissa, jäsenvaltioiden olisi sisällytettävä varmennepolitiikkoihinsa yhteiset käyttöperiaatteet, joiden mukaisesti lompakkoratkaisu voisi ilmoittaa lompakon käyttäjälle aina, kun lompakkoon luottava osapuoli pyytää enemmän tietoja kuin mitä se on rekisteröinyt tai on saanut luvan käyttää. |
|
(11) |
Lompakon käyttäjien suojelemiseksi rekisterinpitäjien olisi voitava keskeyttää tai peruuttaa lompakkoon luottavan osapuolen rekisteröinti ilman ennakkoilmoitusta, jos rekisterinpitäjillä on syytä uskoa, että rekisteröinti sisältää virheellisiä, vanhentuneita tai harhaanjohtavia tietoja, että lompakkoon luottava osapuoli ei noudata rekisteröintiperiaatteita tai että lompakkoon luottava osapuoli muutoin rikkoo unionin tai kansallista lainsäädäntöä tai digitaalisen vuosikymmenen digitaalisia oikeuksia ja periaatteita koskevaa eurooppalaista julistusta (5) tavalla, joka liittyy sen rooliin lompakkoon luottavana osapuolena, esimerkiksi jos lompakkoon luottava osapuoli ei ole oikealla tavalla minimoinut niiden attribuuttien joukkoa, joihin se pyytää pääsyä. Eurooppalaisen digitaalisen identiteetin lompakon ekosysteemin, jäljempänä ’lompakkoekosysteemi’, vakauden turvaamiseksi rekisteröinnin keskeyttämistä tai peruuttamista koskevan päätöksen olisi oltava oikeassa suhteessa keskeyttämisen tai peruuttamisen aiheuttamaan palvelukeskeytykseen ja siihen liittyviin palveluntarjoajalle ja käyttäjälle aiheutuviin kustannuksiin ja haittoihin. Asetuksen (EU) N:o 910/2014 46 a artiklan 4 kohdan f alakohdan mukaisesti valvontaelimillä olisi myös oltava valtuudet keskeyttää ja peruuttaa rekisteröinti tarvittaessa. |
|
(12) |
Rekisterinpitäjien olisi säilytettävä kaikki lompakkoon luottavien osapuolten kansallisiin rekistereihin toimittamat tiedot kymmenen vuoden ajan jälkiseurantaa, lainvalvontaviranomaisten suorittamaa tutkintaa ja riitojen käsittelyä varten. |
|
(13) |
Tämän asetuksen mukaisiin henkilötietojen käsittelytoimiin sovelletaan asetusta (EU) 2016/679 ja tarvittaessa Euroopan parlamentin ja neuvoston direktiiviä 2002/58/EY (6). |
|
(14) |
Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (7) 42 artiklan 1 kohdan mukaisesti, ja hän antoi lausuntonsa 31 päivänä tammikuuta 2025. |
|
(15) |
Tässä asetuksessa säädetyt toimenpiteet ovat asetuksen (EU) N:o 910/2014 48 artiklalla perustetun komitean lausunnon mukaiset, |
ON HYVÄKSYNYT TÄMÄN ASETUKSEN:
1 artikla
Kohde ja soveltamisala
Tässä asetuksessa vahvistetaan lompakkoon luottavien osapuolten rekisteröintiä koskevat säännöt.
2 artikla
Määritelmät
Tässä asetuksessa tarkoitetaan:
|
1) |
’lompakkoon luottavalla osapuolella’ luottavaa osapuolta, joka aikoo luottaa lompakkoyksikköihin julkisten tai yksityisten palvelujen tarjoamiseksi digitaalisen vuorovaikutuksen avulla; |
|
2) |
’lompakkoyksiköllä’ lompakkoratkaisun ainutlaatuista konfiguraatiota, johon kuuluvat lompakon ilmentymät, lompakon suojatut salaussovellukset ja lompakon suojatut salauslaitteet ja jonka lompakon tarjoaja tarjoaa yksittäiselle lompakon käyttäjälle; |
|
3) |
’lompakkoratkaisulla’ ohjelmistojen, laitteiden, palvelujen, asetusten ja konfiguraatioiden yhdistelmää, mukaan lukien lompakon ilmentymät, yksi tai useampi lompakon suojattu salaussovellus ja yksi tai useampi lompakon suojattu salauslaite; |
|
4) |
’lompakon ilmentymällä’ sovellusta, joka on asennettu ja konfiguroitu lompakon käyttäjän laitteeseen tai ympäristöön ja on osa lompakkoyksikköä ja jota lompakon käyttäjä käyttää ollakseen vuorovaikutuksessa lompakkoyksikön kanssa; |
|
5) |
’lompakon suojatulla salaussovelluksella’ sovellusta, joka hallitsee kriittisiä resursseja linkittymällä lompakon suojatun salauslaitteen tarjoamiin salausteknisiin ja muihin toimintoihin ja käyttämällä näitä toimintoja; |
|
6) |
’lompakon suojatulla salauslaitteella’ väärinkäytöltä suojattua laitetta, joka tarjoaa lompakon suojattuun salaussovellukseen liitetyn ja sen käyttämän ympäristön kriittisten resurssien suojaamiseksi ja salaustoimintojen tarjoamiseksi kriittisten toimintojen turvallista suorittamista varten; |
|
7) |
’kriittisillä resursseilla’ lompakkoyksikössä olevia tai siihen liittyviä resursseja, jotka ovat niin merkittäviä, että niiden saatavuuden, luottamuksellisuuden tai eheyden vaarantuminen erittäin vakavasti heikentäisi kykyä luottaa lompakkoyksikköön; |
|
8) |
’lompakon tarjoajalla’ lompakkoratkaisuja tarjoavaa luonnollista henkilöä tai oikeushenkilöä; |
|
9) |
’lompakon käyttäjällä’ käyttäjää, jonka hallinnassa lompakkoyksikkö on; |
|
10) |
’lompakkoon luottavien osapuolten kansallisella rekisterillä’ kansallista sähköistä rekisteriä, jota jäsenvaltio käyttää asettaakseen julkisesti saataville kyseisessä jäsenvaltiossa rekisteröityjä lompakkoon luottavia osapuolia koskevat tiedot asetuksen (EU) N:o 910/2014 5 b artiklan 5 kohdan mukaisesti; |
|
11) |
’lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, jonka jäsenvaltio on valtuuttanut myöntämään lompakkoon luottavan osapuolen pääsyvarmenteita kyseisessä jäsenvaltiossa rekisteröidyille lompakkoon luottaville osapuolille; |
|
12) |
’lompakkoon luottavan osapuolen pääsyvarmenteella’ lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajan myöntämää sähköisten leimojen tai allekirjoitusten varmennetta, jolla todennetaan ja validoidaan lompakkoon luottava osapuoli; |
|
13) |
’henkilön tunnistetietojen tarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, joka on vastuussa henkilön tunnistetietojen myöntämisestä ja peruuttamisesta sekä sen varmistamisesta, että käyttäjälle kuuluvat henkilön tunnistetiedot on salausteknisesti sidottu lompakkoyksikköön; |
|
14) |
’lompakkoon luottavien osapuolten rekisterinpitäjällä’ jäsenvaltion nimeämää elintä, joka on vastuussa jäsenvaltion alueelle sijoittautuneiden rekisteröityjen lompakkoon luottavien osapuolten luettelon laatimisesta ja ylläpitämisestä; |
|
15) |
’lompakkoon luottavan osapuolen rekisteröintivarmenteella’ dataobjektia, jossa kuvataan luottavan osapuolen aiottu käyttötarkoitus ja joka ilmaisee attribuutit, jotka luottava osapuoli on rekisteröinyt aikoakseen pyytää niitä käyttäjiltä; |
|
16) |
’lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, jonka jäsenvaltio on valtuuttanut myöntämään lompakkoon luottavan osapuolen rekisteröintivarmenteita kyseisessä jäsenvaltiossa rekisteröidyille lompakkoon luottaville osapuolille. |
3 artikla
Kansalliset rekisterit
1. Jäsenvaltioiden on perustettava vähintään yksi lompakkoon luottavien osapuolten kansallinen rekisteri, jossa on tiedot kyseiseen jäsenvaltioon sijoittautuneista rekisteröidyistä lompakkoon luottavista osapuolista, ja ylläpidettävä sitä.
2. Rekisterin on sisällettävä vähintään liitteessä I esitetyt tiedot.
3. Jäsenvaltioiden on nimettävä vähintään yksi rekisterinpitäjä hallinnoimaan ja ylläpitämään vähintään yhtä lompakkoon luottavien osapuolten kansallista rekisteriä.
4. Jäsenvaltioiden on asetettava liitteessä I esitetyt tiedot rekisteröidyistä lompakkoon luottavista osapuolista julkisesti saataville verkossa sekä ihmisen luettavissa olevassa että automaattiseen käsittelyyn soveltuvassa muodossa.
5. Edellä 2 kohdassa tarkoitettujen tietojen on oltava saatavilla yhden yhteisen sovellusrajapinnan ja kansallisen verkkosivuston kautta. Rekisterinpitäjän on allekirjoitettava tai leimattava ne sähköisesti tai ne on allekirjoitettava ja leimattava tämän puolesta liitteessä II olevassa 1 jaksossa vahvistettujen sovellusrajapintaa koskevien yhteisten vaatimusten mukaisesti.
6. Jäsenvaltioiden on varmistettava, että 5 kohdassa tarkoitettu sovellusrajapinta on liitteessä II olevassa 2 jaksossa vahvistettujen yhteisten vaatimusten mukainen.
7. Jäsenvaltioiden on varmistettava, että rekisterit ovat 4 artiklassa säädettyjen asiaankuuluvien yhteisten rekisteröintiperiaatteiden mukaisia.
4 artikla
Rekisteröintiperiaatteet
1. Jäsenvaltioiden on vahvistettava ja julkaistava yhdet tai useammat kansalliset rekisteröintiperiaatteet, joita sovelletaan niiden alueella perustettuihin kansallisiin rekistereihin.
2. Jäsenvaltiot voivat hyödyntää tai käyttää uudelleen olemassa olevia alakohtaisia tai kansallisia rekisteröintiperiaatteita.
3. Kansallisiin rekisteröintiperiaatteisiin on sisällyttävä tiedot vähintään seuraavista:
|
a) |
lompakkoon luottaviin osapuoliin rekisteröintiprosessin aikana sovellettavat tunnistamis- ja todentamismenettelyt; |
|
b) |
vaaditut asiakirjat henkilöllisyydestä, yritysrekisteröinnistä, sovellettavasta valtuutuksesta tai sovellettavista valtuutuksista sekä muut merkitykselliset tiedot lompakkoon luottavasta osapuolesta; |
|
c) |
viralliset lähteet tai muut viralliset sähköiset rekisterit ja se, voidaanko kyseisten lähteiden tai rekisterien luottaa tuottavan täsmällisiä tietoja; |
|
d) |
mahdolliset muut rekisteröintiprosessin yhteydessä vaadittavat tiedot tai todisteet; |
|
e) |
tarvittaessa automatisoidut keinot, joiden avulla lompakkoon luottavat osapuolet voivat rekisteröityä tai päivittää olemassa olevaa rekisteröintiä; |
|
f) |
lompakkoon luottavien osapuolten käytettävissä oleva muutoksenhakumekanismi sen jäsenvaltion lainsäädännön ja menettelyjen mukaisesti, jossa kansallinen rekisteri sijaitsee; |
|
g) |
säännöt ja menettelyt, jotka koskevat rekisteröityjen lompakkoon luottavien osapuolten henkilöllisyyden ja muiden kyseisten osapuolten toimittamien merkityksellisten tietojen todentamista. |
4. Edellä 3 kohdan a ja b alakohdassa tarkoitettujen menettelyjen ja asiakirjojen on mahdollistettava se, että lompakkoon luottavat osapuolet voivat ilmoittaa, minkä erityisen valtuutuksen tai valtuutusten nojalla ne toimivat, kuten liitteessä I esitetään.
5. Kansallisissa rekisteröintiperiaatteissa vahvistetut vaatimukset eivät saa tarvittaessa estää automaattista rekisteröintiprosessia.
5 artikla
Kansallisiin rekistereihin toimitettavat tiedot
1. Lompakkoon luottavien osapuolten on toimitettava kansallisiin rekistereihin vähintään liitteessä I esitetyt tiedot.
2. Lompakkoon luottavien osapuolten on varmistettava, että annetut tiedot ovat paikkansapitäviä rekisteröintihetkellä.
3. Lompakkoon luottavien osapuolten on päivitettävä kaikki lompakkoon luottavien osapuolten kansalliseen rekisteriin aiemmin rekisteröidyt tiedot ilman aiheetonta viivytystä.
6 artikla
Rekisteröintiprosessi
1. Rekisterinpitäjien on perustettava lompakkoon luottaville osapuolille helppokäyttöiset sähköiset ja mahdollisuuksien mukaan automatisoidut rekisteröintiprosessit.
2. Rekisterinpitäjien on käsiteltävä rekisteröintihakemukset ilman aiheetonta viivytystä ja annettava hakijalle vastaus rekisteröintihakemukseen sovellettavissa rekisteröintiperiaatteissa määritellyssä määräajassa käyttäen asianmukaisia keinoja ja noudattaen sen jäsenvaltion lakeja ja menettelyjä, jossa kansallinen rekisteri sijaitsee.
3. Rekisterinpitäjien on mahdollisuuksien mukaan tarkistettava automaattisesti:
|
a) |
5 artiklan mukaisesti vaadittujen tietojen oikeellisuus, voimassaolo, aitous ja eheys; |
|
b) |
tarvittaessa lompakkoon luottavien osapuolten edustajien valtakirjat, jotka on laadittu ja toimitettu sen jäsenvaltion lakien ja menettelyjen mukaisesti, jossa kansallinen rekisteri sijaitsee; |
|
c) |
lompakkoon luottavien osapuolten valtuutukset tai valtuutusten tyyppi liitteen I mukaisesti; |
|
d) |
se, ettei rekisteröintiä ole tehty toiseen kansalliseen rekisteriin. |
4. Rekisterinpitäjien on tarkistettava 3 kohdassa tarkoitetut tiedot lompakkoon luottavien osapuolten toimittamien asiakirjatodisteiden perusteella tai käyttäen asianmukaisia virallisia lähteitä tai muita virallisia sähköisiä rekistereitä siinä jäsenvaltiossa, jossa kansallinen rekisteri sijaitsee, ja joihin rekisterinpitäjillä on pääsy sovellettavien kansallisten lakien ja menettelyjen mukaisesti.
5. Edellä 3 kohdan c alakohdassa tarkoitettujen lompakkoon luottavien osapuolten valtuuksien tarkistus on suoritettava liitteen III mukaisesti.
6. Jos rekisterinpitäjä ei voi tarkistaa tietoja 3–5 kohdan mukaisesti, rekisterinpitäjän on hylättävä rekisteröinti.
7. Jos lompakkoon luottava osapuoli ei enää aio käyttää lompakkoyksiköitä julkisten tai yksityisten palvelujen tarjoamiseen tietyn rekisteröinnin nojalla, sen on ilmoitettava asiasta asianomaiselle rekisterinpitäjälle ilman aiheetonta viivytystä ja pyydettävä rekisteröinnin peruuttamista.
7 artikla
Lompakkoon luottavan osapuolen pääsyvarmenteet
1. Jäsenvaltioiden on valtuutettava vähintään yksi varmentaja myöntämään lompakkoon luottavan osapuolen pääsyvarmenteita.
2. Jäsenvaltioiden on varmistettava, että lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajat myöntävät lompakkoon luottavan osapuolen pääsyvarmenteita ainoastaan rekisteröidyille lompakkoon luottaville osapuolille.
3. Jäsenvaltioiden on pantava täytäntöön lompakkoon luottavan osapuolen pääsyvarmenteita koskevat varmennepolitiikat ja varmennuskäytännöt syntaktisesti ja semanttisesti yhdenmukaisella tavalla liitteessä IV vahvistettujen vaatimusten mukaisesti.
8 artikla
Lompakkoon luottavan osapuolen rekisteröintivarmenteet
1. Jäsenvaltioiden voivat valtuuttaa ainakin yhden varmentajan myöntämään lompakkoon luottavan osapuolen rekisteröintivarmenteita.
2. Jos jäsenvaltio on antanut valtuutuksen lompakkoon luottavan osapuolen rekisteröintivarmenteiden myöntämiseen, kyseisen jäsenvaltion on
|
a) |
edellytettävä, että lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajat myöntävät lompakkoon luottavan osapuolen rekisteröintivarmenteita ainoastaan rekisteröidyille lompakkoon luottaville osapuolille; |
|
b) |
varmistettava, että lompakkoon luottavan osapuolen rekisteröintivarmenteessa ilmaistaan jokainen aiottu käyttötarkoitus; |
|
c) |
varmistettava, että lompakkoon luottavan osapuolen rekisteröintivarmenteisiin sisältyvät yleiset käyttöperiaatteet, jotka on syntaktisesti ja semanttisesti yhdenmukaistettu kaikkialla unionissa ja joissa käyttäjille ilmoitetaan, että lompakkoon luottava osapuoli voi pyytää rekisteröintivarmenteissa täsmennettyjä tietoja ainoastaan rekisteröintivarmenteisiin rekisteröityä aiottua käyttötarkoitusta varten; |
|
d) |
varmistettava, että kyseiseen jäsenvaltioon sijoittautuneet lompakkoratkaisujen tarjoajat noudattavat yleisiä käyttöperiaatteita ja ilmoittavat käyttäjille, jos lompakkoon luottava osapuoli pyytää tietoja, joita ei ole täsmennetty rekisteröintivarmenteessa; |
|
e) |
toteutettava lompakkoon luottavan osapuolen rekisteröintivarmenteet syntaktisesti ja semanttisesti yhdenmukaistetulla tavalla ja liitteessä V vahvistettujen vaatimusten mukaisesti; |
|
f) |
pantava täytäntöön lompakkoon luottavan osapuolen rekisteröintivarmenteita koskevat erityiset varmennepolitiikat ja varmennuskäytännöt liitteessä V vahvistettujen vaatimusten mukaisesti; |
|
g) |
varmistettava, että lompakkoon luottavat osapuolet antavat URL-osoitteen, josta löytyvät aiottua käyttötarkoitusta koskevat tietosuojaperiaatteet. |
3. Edellisen kohdan g alakohdassa tarkoitetut periaatteet on ilmaistava lompakkoon luottavan osapuolen rekisteröintivarmenteessa.
9 artikla
Rekisteröinnin keskeyttäminen ja peruuttaminen
1. Rekisterinpitäjien on keskeytettävä tai peruutettava lompakkoon luottavan osapuolen rekisteröinti, jos valvontaelin pyytää tällaista keskeyttämistä tai peruuttamista asetuksen (EU) N:o 910/2014 46 a artiklan 4 kohdan f alakohdan nojalla.
2. Rekisterinpitäjät voivat keskeyttää lompakkoon luottavan osapuolen rekisteröinnin tai peruuttaa sen, jos rekisterinpitäjillä on syytä epäillä jotain seuraavista:
|
a) |
rekisteröinti sisältää virheellisiä, vanhentuneita tai harhaanjohtavia tietoja; |
|
b) |
lompakkoon luottava osapuoli ei noudata rekisteröintiperiaatteita; |
|
c) |
lompakkoon luottava osapuoli pyytää useampia attribuutteja kuin se on rekisteröinyt 5 ja 6 artiklan mukaisesti; |
|
d) |
lompakkoon luottava osapuoli toimii muutoin unionin tai kansallisen lainsäädännön vastaisesti tavalla, joka liittyy sen rooliin lompakkoon luottavana osapuolena. |
3. Rekisterinpitäjien on keskeytettävä tai peruutettava lompakkoon luottavan osapuolen rekisteröinti, jos peruutus- tai keskeyttämispyynnön esittää sama lompakkoon luottava osapuoli.
4. Harkitessaan keskeyttämistä tai peruuttamista 2 kohdan mukaisesti rekisterinpitäjän on tehtävä oikeasuhteisuusarviointi, jossa otetaan huomioon vaikutus ekosysteemissä olevien käyttäjien perusoikeuksiin, tietosuojaan ja luottamuksellisuuteen sekä keskeyttämisestä tai peruuttamisesta oletetusti aiheutuvan häiriön vakavuus ja siihen liittyvät kustannukset sekä lompakkoon luottavalle osapuolelle että käyttäjälle. Tämän arvioinnin tulosten perusteella rekisterinpitäjä voi keskeyttää rekisteröinnin tai peruuttaa sen ilmoittamalla siitä etukäteen asianomaiselle lompakkoon luottavalle osapuolelle tai ilman etukäteisilmoitusta.
5. Jos lompakkoon luottavan osapuolen rekisteröinti keskeytetään tai peruutetaan, rekisterinpitäjän on ilmoitettava tästä toimesta kyseessä olevien lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajalle, kyseessä olevien lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajalle ja asianomaiselle lompakkoon luottavalle osapuolelle ilman aiheetonta viivytystä ja viimeistään 24 tunnin kuluttua keskeyttämisestä tai peruuttamisesta. Ilmoituksessa on oltava tiedot keskeyttämisen tai peruuttamisen syistä sekä käytettävissä olevista muutoksenhaku- tai valituskeinoista.
6. Lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoajan ja lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoajan on tarvittaessa peruutettava ilman aiheetonta viivytystä lompakkoon luottavan osapuolen pääsyvarmenteet ja lompakkoon luottavan osapuolen rekisteröintivarmenteet siltä lompakkoon luottavalta osapuolelta, jonka rekisteröinti on keskeytetty tai peruutettu.
10 artikla
Tietojen säilyttäminen
Rekisterinpitäjien on säilytettävä tiedot, jotka lompakkoon luottavat osapuolet ovat toimittaneet ja jotka on rekisteröity liitteen I mukaisesti lompakkoon luottavan osapuolen rekisteröintiä ja lompakkoon luottavan osapuolen pääsyvarmenteiden ja lompakkoon luottavan osapuolen rekisteröintivarmenteiden myöntämistä varten, sekä tiedot näihin tietoihin myöhemmin tehtävistä muutoksista kymmenen vuoden ajan.
11 artikla
Voimaantulo
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Sitä sovelletaan 24 päivästä joulukuuta 2026.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Brysselissä 6 päivänä toukokuuta 2025.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
(1) EUVL L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Komission suositus (EU) 2021/946, annettu 3 päivänä kesäkuuta 2021, unionin yhteisestä välineistöstä eurooppalaista digitaalisen identiteetin kehystä koskevaa koordinoitua lähestymistapaa varten (EUVL L 210, 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
(3) Euroopan parlamentin ja neuvoston asetus (EU) 2024/1183, annettu 11 päivänä huhtikuuta 2024, asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta (EUVL L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) EUVL C 23, 23.1.2023, s. 1.
(6) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(7) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39, ELI: http://data. europa.eu/eli/reg/2018/1725/oj).
LIITE I
Lompakkoon luottavia osapuolia koskevat tiedot
|
1. |
Tapauksen mukaan lompakkoon luottavan osapuolen nimi virallisessa rekisterissä olevassa muodossa sekä kyseisen virallisen rekisterin tunnistetiedot.
|
|
2. |
Tapauksen mukaan lompakkoon luottavan osapuolen käyttäjäystävällinen nimi, joka voi olla käyttäjän tunnistettavissa oleva liikenimi tai palvelun nimi. |
|
3. |
Tapauksen mukaan yksi tai useampi seuraavista lompakkoon luottavan osapuolen tunnisteista, virallisessa rekisterissä olevassa muodossa sekä kyseisen virallisen rekisterin tunnistetiedot:
|
|
4. |
Fyysinen osoite, johon lompakkoon luottava osapuoli on sijoittautunut. |
|
5. |
Tarvittaessa lompakkoon luottavalle osapuolelle kuuluva URL-osoite. |
|
6. |
Jos tunniste ilmaistaan 3 kohdan a, d, f tai h alakohdan mukaisesti, merkitään etuliitteeksi sen jäsenvaltion maatunnus, johon lompakkoon luottava osapuoli on sijoittautunut, käyttäen ISO 3166–1 alpha-2 -standardin mukaista 2-kirjaimista koodia, lukuun ottamatta Kreikan maatunnusta, joka on ”EL”. |
|
7. |
Lompakkoon luottavan osapuolen yhteystiedot, vähintään yksi seuraavista:
|
|
8. |
Kuvaus lompakkoon luottavan osapuolen tarjoamista palveluista. |
|
9. |
Kunkin aiotun käyttötarkoituksen osalta luettelo tiedoista, mukaan lukien todistukset ja attribuutit, joita luottava osapuoli aikoo pyytää, sekä käyttäjäystävällinen nimi ja tekninen nimi, todistustyyppi ja mahdolliset muut syntaksit, joihin tiedot on ryhmitelty koneellisesti luettavassa muodossa automaattista käsittelyä varten. |
|
10. |
Kunkin aiotun käyttötarkoituksen osalta kuvaus niiden tietojen aiotusta käytöstä, joita lompakkoon luottava osapuoli aikoo pyytää lompakkoyksiköiltä. |
|
11. |
Tieto siitä, onko lompakkoon luottava osapuoli julkisen sektorin elin. |
|
12. |
Lompakkoon luottavan osapuolen valtuutus tai valtuutukset, jotka on ilmaistava seuraavasti:
|
|
13. |
Jäsenvaltiot voivat 12 kohdan c alakohdan osalta antaa muita osavaltuutuksia ilmaistakseen, mitä todistuksia tietty sähköisten attribuuttitodistusten ei-hyväksytty myöntäjä myöntää. |
|
14. |
Tarvittaessa maininta siitä, että lompakkoon luottava osapuoli käyttää luottavan osapuolen puolesta toimivaa välittäjää, joka aikoo luottaa lompakkoon. |
|
15. |
Tarvittaessa kytkentä lompakkoon luottavan osapuolen käyttämään, luottavan osapuolen puolesta toimivaa välittäjää, joka aikoo luottaa lompakkoon. |
(1) Komission täytäntöönpanoasetus (EU) N:o 1352/2013, annettu 4 päivänä joulukuuta 2013, teollis- ja tekijänoikeuksien tullivalvonnasta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 608/2013 säädettyjen lomakkeiden vahvistamisesta (EUVL L 341, 18.12.2013, s. 10, ELI: http://data.europa.eu/eli/reg_impl/2013/1352/oj).
(2) Komission täytäntöönpanoasetus (EU) 2022/1860, annettu 10 päivänä kesäkuuta 2022, teknisistä täytäntöönpanostandardeista Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 soveltamiseksi ilmoitettavia tietoja koskevien vaatimusten ja muotojen, ilmoitusten antamistiheyden sekä ilmoittamista koskevien menetelmien ja järjestelyjen osalta (EUVL L 262, 7.10.2022, s. 68, ELI: http://data.europa.eu/eli/reg_impl/2022/1860/oj).
(3) Neuvoston asetus (EU) N:o 389/2012, annettu 2 päivänä toukokuuta 2012, hallinnollisesta yhteistyöstä valmisteverotuksen alalla ja asetuksen (EY) N:o 2073/2004 kumoamisesta (EUVL L 121, 8.5.2012, s. 1, ELI: http://data.europa.eu/eli/reg/2012/389/oj).
(4) Komission täytäntöönpanoasetus (EU) 2021/1042, annettu 18 päivänä kesäkuuta 2021, Euroopan parlamentin ja neuvoston direktiivin (EU) 2017/1132 soveltamissäännöistä rekistereiden yhteenliittämisjärjestelmän edellyttämien teknisten eritelmien ja menettelyjen osalta ja komission täytäntöönpanoasetuksen (EU) 2020/2244 kumoamisesta (EUVL L 225, 25.6.2021, s. 7, ELI: http://data.europa.eu/eli/reg_impl/2021/1042/oj).
LIITE II
1. VAATIMUKSET, JOTKA KOSKEVAT 3 ARTIKLASSA TARKOITETTUIHIN REKISTERÖIDYISTÄ LOMPAKKOON LUOTTAVISTA OSAPUOLISTA SAATAVILLE ASETETTAVIIN TIETOIHIN SOVELLETTAVIA SÄHKÖISIÄ ALLEKIRJOITUKSIA TAI LEIMOJA
|
— |
JavaScript Object Notation (JSON) |
|
— |
IETF 7515 – JSON Web Signatures. |
2. 3 ARTIKLASSA TARKOITETTUA YHTEISTÄ SOVELLUSRAJAPINTAA KOSKEVAT VAATIMUKSET
|
1. |
Yhteisen sovellusrajapinnan on
|
|
2. |
Edellä c alakohdassa tarkoitetut kuvaukset on esitettävä sähköisesti allekirjoitettuina tai leimattuina JSON-tiedostoina, joiden muoto ja rakenne ovat 1 jaksossa vahvistettujen sähköisiä allekirjoituksia tai leimoja koskevien vaatimusten mukaiset. |
LIITE III
6 artiklassa tarkoitettuun lompakkoon luottavien osapuolten valtuuksien tarkistamiseen tarvittavien asiakirjatodisteiden lähde
|
1. |
Sen tarkistamisen, että lompakkoon luottava osapuoli on hyväksyttyjen sähköisten attribuuttitodistusten tarjoaja, sähköisten allekirjoitusten tai leimojen hyväksyttyjen varmenteiden tarjoaja tai hyväksytyn luottamuspalvelun tarjoaja hyväksytyn sähköisen allekirjoituksen tai leiman etäluontivälineiden hallinnointia varten, on perustuttava asetuksen (EU) N:o 910/2014 22 artiklan mukaisesti julkaistuihin kansallisiin luotettuihin luetteloihin. |
|
2. |
Sen tarkistamisen, että lompakkoon luottava osapuoli on ei-hyväksyttyjen sähköisten attribuuttitodistusten tarjoaja tai sähköisten allekirjoitusten tai leimojen etäluonnin tarjoaja ei-hyväksyttynä luottamuspalveluna, on perustuttava tapauksen mukaan asetuksen (EU) N:o 910/2014 22 artiklan mukaisesti julkaistuihin kansallisiin luotettuihin luetteloihin, tai sellaisten ei-hyväksyttyjen luottamuspalvelun tarjoajien osalta, joita ei ole rekisteröity tällaisiin kansallisiin luotettuihin luetteloihin, jäsenvaltioiden 4 artiklan mukaisissa rekisteröintiperiaatteissaan vahvistamiin todentamismenettelyihin. |
|
3. |
Sen tarkistamisen, että lompakkoon luottava osapuoli on henkilön tunnistetietojen tarjoaja, on perustuttava komission asetuksen (EU) N:o 910/2014 5 a artiklan 18 kohdan mukaisesti julkaisemaan henkilön tunnistetietojen tarjoajien luetteloon. |
|
4. |
Sen tarkistamisen, että lompakkoon luottava osapuoli on virallisesta lähteestä vastaavan julkisen sektorin elimen myöntämien tai sen puolesta myönnettyjen sähköisten attribuuttitodistusten tarjoaja, on perustuttava komission asetuksen (EU) N:o 910/2014 45 f artiklan 3 kohdan mukaisesti julkaisemaan luetteloon. |
LIITE IV
7 artiklassa tarkoitetut lompakkoon luottavan osapuolen pääsyvarmenteita koskevat vaatimukset
|
1. |
Lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoamiseen sovellettavassa varmennepolitiikassa on kuvattava lompakkoon luottavan osapuolen pääsyvarmenteeseen sovellettavat turvavaatimukset sekä säännöt, jotka ilmaisevat, milloin lompakkoon luottavan osapuolen pääsyvarmennetta voidaan käyttää, jotta kyseisiä varmenteita voidaan myöntää lompakkoon luottaville osapuolille ja nämä voivat käyttää niitä vuorovaikutuksessaan lompakkoratkaisujen kanssa. |
|
2. |
Lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoamiseen sovellettavassa varmennuskäytännössä on kuvattava käytännöt, joita lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoaja soveltaa lompakkoon luottavan osapuolen pääsyvarmenteiden myöntämiseen, hallinnointiin, sulkemiseen ja avainten uudelleenluontiin. |
|
3. |
Lompakkoon luottavan osapuolen pääsyvarmenteiden tarjoamiseen sovellettavan varmennepolitiikan ja varmennuskäytännön on oltava syntaktisesti ja semanttisesti yhdenmukaistettuja koko unionissa ja niiden on soveltuvin osin täytettävä vähintään standardin ETSI EN 319411–1 versiossa 1.4.1 (2023–10) määritellyt normalisoidun varmennepolitiikan (NCP) vaatimukset, ja niihin on sisällyttävä:
|
|
4. |
Edellä 3 kohdan g alakohdassa tarkoitettu sulkeminen tulee voimaan välittömästi kun se julkaistaan. |
|
5. |
Edellä 3 kohdan h alakohdassa tarkoitettu tieto on asetettava saataville ainakin varmennekohtaisesti milloin tahansa ja vähintään varmenteen voimassaolon päätyttyä automatisoidulla tavalla, joka on luotettava, maksuton ja tosiasiallisesti varmennepolitiikan mukainen. |
LIITE V
8 artiklassa tarkoitetut lompakkoon luottavan osapuolen rekisteröintivarmenteita koskevat vaatimukset
|
1. |
Lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoamiseen sovellettavassa varmennepolitiikassa on kuvattava lompakkoon luottavan osapuolen rekisteröintivarmenteeseen sovellettavat turvavaatimukset sekä säännöt, jotka ilmaisevat, milloin lompakkoon luottavan osapuolen rekisteröintivarmennetta voidaan käyttää, jotta kyseisiä varmenteita voidaan myöntää lompakkoon luottaville osapuolille ja ne voivat käyttää niitä vuorovaikutuksessaan lompakkoratkaisujen kanssa. Lompakkoon luottavan osapuolen rekisteröintivarmenteita koskeva varmennepolitiikka on julkaistava ihmisen luettavassa muodossa. |
|
2. |
Lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoamiseen sovellettavassa varmennuskäytännössä on kuvattava käytännöt, joita lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoaja soveltaa lompakkoon luottavan osapuolen rekisteröintivarmenteiden myöntämiseen, hallinnointiin, sulkemiseen ja avainten uudelleenluontiin, ja tarvittaessa se, miten ne liittyvät lompakkoon luottaville osapuolille myönnettyihin lompakkoon luottavan osapuolen pääsyvarmenteisiin. Lompakkoon luottavan osapuolen rekisteröintivarmenteita koskeva varmennuskäytäntö on julkaistava ihmisen luettavassa muodossa. |
|
3. |
Lompakkoon luottavan osapuolen rekisteröintivarmenteiden tarjoamiseen sovellettavan varmennepolitiikan ja varmennuskäytännön on oltava syntaktisesti ja semanttisesti yhdenmukaistettuja koko unionissa ja niiden on täytettävä vähintään standardin ETSI EN 319411–1 versiossa 1.4.1 (2023–10) määritellyt sovellettavat NCP-vaatimukset ja niihin on sisällyttävä:
|
|
4. |
Luottavan osapuolen rekisteröintivarmenteiden tiedonsiirtomuodoissa on käytettävä allekirjoituksia JSON Web Tokens (IETF RFC 7519) ja CBOR Web Tokens (IETF RFC 8392). |
|
5. |
Edellä 3 kohdan g alakohdassa tarkoitettu sulkeminen tulee voimaan välittömästi kun se julkaistaan. |
|
6. |
Edellä 3 kohdan h alakohdassa tarkoitettu tieto on asetettava saataville ainakin varmennekohtaisesti milloin tahansa ja vähintään varmenteen voimassaolon päätyttyä automatisoidulla tavalla, joka on luotettava, maksuton ja tosiasiallisesti varmennepolitiikan mukainen. |
ELI: http://data.europa.eu/eli/reg_impl/2025/848/oj
ISSN 1977-0812 (electronic edition)