(1)

Eiropas digitālās identitātes satvars, kas izveidots ar Regulu (ES) Nr. 910/2014, ir būtisks drošas un sadarbspējīgas digitālās identitātes ekosistēmas izveides elements visā Savienībā. Eiropas digitālās identitātes maki (“maki”) ir satvara stūrakmens, un tā mērķis ir atvieglot piekļuvi pakalpojumiem visās dalībvalstīs, vienlaikus nodrošinot personas datu un privātuma aizsardzību.

(2)

Visām šajā regulā paredzētajām personas datu apstrādes darbībām piemēro Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2) un, attiecīgā gadījumā, Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK (3).

(3)

Regulas (ES) Nr. 910/2014 5.a panta 23. punktā Komisija ir pilnvarota vajadzības gadījumā noteikt attiecīgās specifikācijas un procedūras. To panāk ar četrām īstenošanas regulām, kuras attiecas uz: protokoliem un saskarnēm – Komisijas Īstenošanas regula (ES) 2024/2982 (4); integritāti un pamatfunkcijām – Komisijas Īstenošanas regula (ES) 2024/2979 (5); personas identifikācijas datiem un atribūtu elektroniskajiem apliecinājumiem – Komisijas Īstenošanas regula (ES) 2024/2977 (6), kā arī paziņojumiem Komisijai – Komisijas Īstenošanas regula (ES) 2024/2980 (7). Šajā regulā nosaka attiecīgās prasības attiecībā uz Eiropas digitālās identitātes makiem izdodamajiem personas identifikācijas datiem un atribūtu elektroniskajiem apliecinājumiem.

(4)

Komisija regulāri novērtē jaunās tehnoloģijas, praksi, standartus vai tehniskās specifikācijas. Lai nodrošinātu visaugstāko saskaņotības līmeni starp dalībvalstīm attiecībā uz maku izstrādi un sertifikāciju, šajā īstenošanas regulā izklāstīto tehnisko specifikāciju pamatā ir darbs, kas veikts, pamatojoties uz Komisijas 2021. gada 3. jūnija Ieteikumu (ES) 2021/946 par kopīgu Savienības rīkkopu koordinētai pieejai Eiropas digitālajam identitātes satvaram (8) un jo īpaši arhitektūru un atsauces sistēmu, kas ir tā daļa. Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2024/1183 (9) 75. apsvērumu Komisijai šī īstenošanas regula vajadzības gadījumā būtu jāpārskata un jāatjaunina, lai tā atbilstu globālajām norisēm, arhitektūrai un atsauces sistēmai un tajā būtu ņemta vērā paraugprakse iekšējā tirgū.

(5)

Lai panāktu integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, makiem būtu jānodrošina vairāki privātuma uzlabošanas elementi, novēršot to, ka elektroniskās identifikācijas līdzekļu un atribūtu elektroniskā apliecinājuma sniedzēji apvieno personas datus, kas iegūti, sniedzot citus pakalpojumus, ar personas datiem, kas apstrādāti, lai sniegtu Regulas (ES) Nr. 910/2014 darbības jomā esošus pakalpojumus.

(6)

Lai nodrošinātu saskaņošanu, visos makos vajadzētu būt pieejamām dažām kopīgām funkcijām, tajā skaitā spējai droši pieprasīt, saņemt, atlasīt, kombinēt, uzglabāt, dzēst, kopīgot un tikai maka lietotāja kontrolē uzrādīt personas identifikācijas datus un atribūtu elektroniskos apliecinājumus. Lai nodrošinātu, ka personas identifikācijas datus un atribūtu elektroniskos apliecinājumus var apstrādāt jebkurā maka vienībā, visiem maka risinājumiem jāatbalsta tehniskās specifikācijas, kas attiecas uz personas identifikācijas datu atribūtiem, datu formātu un infrastruktūru, kura vajadzīga, lai nodrošinātu personas identifikācijas datu pienācīgu uzticamību. Turklāt kopīgu specifikāciju attiecībā uz personas identifikācijas datu atribūtiem mērķis ir panākt, ka šos datus vajadzības gadījumā var izmantot identitātes saskaņošanai.

(7)

Dalībvalstīm ir jānodrošina, ka maki spēj autentificēt atkarīgās puses, personas identifikācijas datu sniedzējus un atribūtu elektronisko apliecinājumu sniedzējus neatkarīgi no tā, kur tie Savienībā ir iedibināti. Lai to panāktu, šīm struktūrām, kad tās identificējas maku vienībām, būtu jāizmanto maka atkarīgās puses piekļuves sertifikāti. Lai garantētu šo sertifikātu sadarbspēju visos makos, kas tiek nodrošināti Savienībā, maka atkarīgo pušu piekļuves sertifikātiem būtu jāatbilst kopējiem standartiem. Komisijai sadarbībā ar dalībvalstīm būtu cieši jāuzrauga jaunu vai alternatīvu standartu izstrāde, uz kuriem varētu balstīt atkarīgo pušu piekļuves sertifikātus. It īpaši būtu jānovērtē uzticamības modeļi, kas ir pierādījuši savu efektivitāti un drošību dalībvalstīs.

(8)

Lai nodrošinātu pārredzamību maka lietotājiem, dalībvalstīm būtu jāpublicē informācija par to, kurus maka risinājumus atbalsta to teritorijā iedibināti personas identifikācijas datu sniedzēji. Tā kā lietotāja identitātei jābūt maksimāli uzticamai, maka lietotāju identitātes apliecināšanai pirms personas identifikācijas datu izdošanas būtu jāparedz kopīgs augsts uzticamības līmenis, kas atbilst augstam uzticamības līmenim, kurš noteikts elektroniskajiem identifikācijas līdzekļiem saskaņā ar Regulu (ES) Nr. 910/2014. Tādējādi maka vienības nodrošina visaugstāko pieejamo identifikācijas līdzekļu uzticamības līmeni visā Savienībā. Veicot maka lietotāju uzņemšanu augstā uzticamības līmenī, ir iespējami dažādi droši procesi, piemēram, ja ir verificēts, ka maka lietotāja rīcībā ir fotogrāfiskās vai biometriskās identifikācijas pierādījumi, kas ir atzīti, bet nav izdoti dalībvalstī, kurā iesniegts elektroniskās identifikācijas līdzekļa pieteikums, un ja pierādījumi atspoguļo apgalvoto identitāti, pierādījumi būtu jāpārbauda, lai noteiktu, vai tie ir derīgi saskaņā ar attiecīgu autoritatīvu avotu.

(9)

Lai atbalstītu sadarbspēju, atribūtu elektroniskajiem apliecinājumiem būtu jāatbilst saskaņotām formāta prasībām.

(10)

Lai aizsargātu maka lietotāju datus un nodrošinātu atribūtu elektronisko apliecinājumu autentiskumu, pirms apliecinājumu izdošanas maka vienībām būtu jāizmanto mehānismi atribūtu elektronisko apliecinājumu nodrošinātāju autentifikācijai un maka vienību autentiskuma un spēkā esības verifikācijai, ko veic minētais nodrošinātājs.

(11)

Lai izvairītos no tādu personas identifikācijas datu un atribūtu elektronisko apliecinājumu izmantošanas un paļaušanās uz tādiem personas identifikācijas datiem un atribūtu elektroniskajiem apliecinājumiem, kuri pēc izdošanas maka vienībai juridiski ir zaudējuši savu spēku, personas identifikācijas datu un atribūtu elektronisko apliecinājumu sniedzējiem būtu jāpublicē procedūra, izklāstot atsaukšanas apstākļus un procedūras.

(12)

Lai nodrošinātu, ka personas identifikācijas dati atbilst unikālam maka lietotājam, dalībvalstīm papildus obligātajiem atribūtiem personas identifikācijas datos, kas noteikti šajā regulā, būtu jāparedz neobligāti atribūti, kas vajadzīgi, lai nodrošinātu, ka personas identifikācijas datu kopums ir unikāls.

(13)

Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 (10) 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2024. gada 30. septembrī sniedza savu atzinumu.

(14)

Šajā regulā paredzētie pasākumi ir saskaņā ar Regulas (ES) Nr. 910/2014 48. pantā minētās komitejas atzinumu,

1)

“maka lietotājs” ir lietotājs, kas kontrolē maka vienību;

2)

“maka vienība” ir maka risinājuma unikāla konfigurācija, kas ietver maka instances, maka drošas kriptogrāfijas lietojumprogrammas un maka drošas kriptogrāfijas ierīces, ko maka nodrošinātājs nodrošina individuālam maka lietotājam;

3)

“maka risinājums” ir programmatūras, aparatūras, pakalpojumu, iestatījumu un konfigurāciju kombinācija, kas ietver maka instances, vienu vai vairākas maka drošas kriptogrāfijas lietojumprogrammas un vienu vai vairākas maka drošas kriptogrāfijas ierīces;

4)

“personas identifikācijas datu sniedzējs” ir fiziska vai juridiska persona, kas atbild par personas identifikācijas datu izdošanu un atsaukšanu un nodrošina, ka lietotāja personas identifikācijas dati ir kriptogrāfiski saistīti ar maka vienību;

5)

“maka vienības apliecinājums” ir datu objekts, kas apraksta maka vienības komponentus vai ļauj šos komponentus autentificēt un validēt;

6)

“maka instance” ir lietojumprogramma, kas uzstādīta un konfigurēta maka lietotāja ierīcē vai vidē, tā ir daļa no maka vienības un maka lietotājs to izmanto, lai mijiedarbotos ar maka vienību;

7)

“maka drošas kriptogrāfijas lietojumprogramma” ir lietojumprogramma, kura sasaistē ar kriptogrāfiskām un nekriptogrāfiskām funkcijām, ko nodrošina maka drošas kriptogrāfijas ierīce, un, izmantojot šīs funkcijas, pārvalda kritiski svarīgus aktīvus;

8)

“maka drošas kriptogrāfijas ierīce” ir pret nesankcionētām manipulācijām noturīga ierīce, kas nodrošina vidi, kura ir sasaistīta ar maka drošas kriptogrāfijas lietojumprogrammu, kas šo vidi izmanto, lai aizsargātu kritiski svarīgus aktīvus un nodrošinātu kriptogrāfijas funkcijas kritiski svarīgu operāciju drošai izpildei;

9)

“maka nodrošinātājs” ir fiziska vai juridiska persona, kas nodrošina maka risinājumus;

10)

“kritiski svarīgi aktīvi” ir aktīvi maka vienībā vai saistībā ar to, kas ir tik ārkārtīgi svarīgi, ka, ja to pieejamība, konfidencialitāte vai integritāte tiktu kompromitēta, tas ļoti nopietni un negatīvi ietekmētu spēju paļauties uz maka vienību;

11)

“maka atkarīgā puse” ir atkarīgā puse, kas, izmantojot digitālu mijiedarbību, plāno paļauties uz maka vienībām, lai sniegtu publiskus vai privātus pakalpojumus;

12)

“maka atkarīgās puses piekļuves sertifikāts” ir elektronisko zīmogu vai parakstu sertifikāts, ar ko autentificē un validē maka atkarīgo pusi un ko izdevis maka atkarīgās puses piekļuves sertifikātu nodrošinātājs;

13)

“maka atkarīgās puses piekļuves sertifikātu nodrošinātājs” ir fiziska vai juridiska persona, ko dalībvalsts pilnvarojusi izdot atkarīgās puses piekļuves sertifikātus minētajā dalībvalstī reģistrētām maka atkarīgajām pusēm.