9.9.2015 |
PL |
Dziennik Urzędowy Unii Europejskiej |
L 235/1 |
ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2015/1501
z dnia 8 września 2015 r.
w sprawie ram interoperacyjności na podstawie art. 12 ust. 8 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (1), w szczególności jego art. 12 ust. 8,
a także mając na uwadze, co następuje:
(1) |
Zgodnie z art. 12 ust. 2 rozporządzenia (UE) nr 910/2014 należy ustanowić ramy interoperacyjności do celów współdziałania krajowych systemów identyfikacji elektronicznej notyfikowanych na podstawie art. 9 ust. 1 tegoż rozporządzenia. |
(2) |
Węzły odgrywają kluczową rolę w łączeniu systemów identyfikacji elektronicznej państw członkowskich. Ich rola, w tym funkcje i komponenty „węzła eIDAS”, została wyjaśniona w dokumentacji dotyczącej instrumentu „Łącząc Europę” ustanowionego rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1316/2013 (2). |
(3) |
Jeżeli państwo członkowskie lub Komisja dostarcza oprogramowanie umożliwiające uwierzytelnianie do węzła eksploatowanego w innym państwie członkowskim, strona, która dostarcza i uaktualnia oprogramowanie wykorzystywane do mechanizmu uwierzytelniającego, może uzgodnić ze stroną hostingującą oprogramowanie sposób zarządzania eksploatacją mechanizmu uwierzytelniającego. Takie porozumienie nie powinno obciążać strony hostingującej niewspółmiernymi wymaganiami technicznymi i kosztami (w tym w zakresie asysty technicznej, odpowiedzialności, hostingu i innych kosztów). |
(4) |
W zakresie uzasadnionym wdrażaniem ram interoperacyjności Komisja – we współpracy z państwami członkowskimi i ze szczególnym uwzględnieniem opinii sieci współpracy, o których mowa w art. 14 lit. d) decyzji wykonawczej Komisji (UE) 2015/296 (3) – może opracować dalsze specyfikacje techniczne zawierające szczegółowe informacje o wymaganiach technicznych określonych w niniejszym rozporządzeniu. Takie specyfikacje powinny zostać opracowane w ramach infrastruktury usług cyfrowych, której dotyczy rozporządzenie (UE) nr 1316/2013, w którym określono środki umożliwiające praktycznego wdrożenia podstawowych elementów systemu identyfikacji elektronicznej. |
(5) |
Wymagania techniczne określone w niniejszym rozporządzeniu powinny mieć zastosowanie niezależnie od wszelkich zmian w specyfikacjach technicznych, które mogłyby zostać opracowane zgodnie z art. 12 niniejszego rozporządzenia. |
(6) |
Przy ustalaniu warunków ram interoperacyjności, określonych w niniejszym rozporządzeniu, w możliwie jak największym stopniu uwzględniono pilotażowy projekt na dużą skalę STORK, w tym opracowane w jego ramach specyfikacje oraz zasady i koncepcje europejskich ram interoperacyjności dla europejskich usług użyteczności publicznej. |
(7) |
Wyniki współpracy pomiędzy państwami członkowskimi zostały w jak największym stopniu wzięte pod uwagę. |
(8) |
Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na podstawie art. 48 rozporządzenia (UE) nr 910/2014, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Przedmiot
Niniejszym rozporządzeniem ustanawia się wymagania techniczne i operacyjne ram interoperacyjności w celu zapewnienia interoperacyjności systemów identyfikacji elektronicznej, które państwa członkowskie zgłaszają Komisji.
Wymagania te obejmują w szczególności:
a) |
minimalne wymagania techniczne związane z poziomami zaufania i przyporządkowanie krajowych poziomów zaufania notyfikowanych środków identyfikacji elektronicznej wydanych w ramach notyfikowanych systemów identyfikacji elektronicznej zgodnie z art. 8 rozporządzenia (UE) nr 910/2014, określone w artykułach 3 i 4; |
b) |
minimalne wymagania techniczne dotyczące interoperacyjności, określone w artykułach 5 i 8; |
c) |
wymagania dotyczące minimalnego zbioru danych identyfikujących osobę reprezentujących niepowtarzalnie osobę fizyczną lub prawną, określone w art. 11 i załączniku; |
d) |
wspólne operacyjne normy bezpieczeństwa określone w artykułach 6, 7, 9 i 10; |
e) |
ustalenia dotyczące rozstrzygania sporów określone w art. 13. |
Artykuł 2
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
1) |
„węzeł” oznacza punkt przyłączenia będący częścią architektury systemu interoperacyjności identyfikacji elektronicznej, który jest wykorzystywany w procesie transgranicznego uwierzytelniania osób i który ma zdolność do rozpoznawania i przetwarzania lub przesyłania danych do innych węzłów poprzez umożliwienie sprzężenia krajowej infrastruktury identyfikacji elektronicznej jednego państwa członkowskiego z krajowymi infrastrukturami służącymi do identyfikacji elektronicznej innych państw członkowskich; |
2) |
„operator węzła” oznacza podmiot odpowiedzialny za zapewnienie prawidłowego i niezawodnego funkcjonowania węzła jako punktu przyłączenia. |
Artykuł 3
Minimalne wymagania techniczne związane z poziomami zaufania
Minimalne wymagania techniczne odnoszące się do poziomów zaufania zostały określone w rozporządzeniu wykonawczym Komisji (UE) 2015/1502 (4).
Artykuł 4
Przyporządkowanie krajowych poziomów zaufania
Przyporządkowanie krajowych poziomów zaufania notyfikowanych systemów identyfikacji elektronicznej musi być zgodne z wymaganiami określonymi w rozporządzeniu wykonawczym Komisji (UE) 2015/1502. Wyniki tego przyporządkowania są przekazywane Komisji przy użyciu formularza powiadomienia określonego w decyzji wykonawczej Komisji (UE) 2015/1505 (5).
Artykuł 5
Węzły
1. Węzeł w jednym państwie członkowskim ma możliwość połączenia się z węzłami w innych państwach członkowskich.
2. Węzły są w stanie za pomocą środków technicznych dokonać rozróżnienia między organami sektora publicznego i innymi stronami ufającymi.
3. Wdrożenie przez państwo członkowskie wymagań technicznych określonych w niniejszym rozporządzeniu nie może obciążać innych państw członkowskich niewspółmiernymi wymaganiami technicznymi i kosztami koniecznymi do osiągnięcia interoperacyjności z systemem wdrożonym przez to państwo członkowskie.
Artykuł 6
Bezpieczeństwo i poufność danych
1. Ochronę prywatności i poufności wymienianych danych oraz utrzymanie integralności danych pomiędzy węzłami należy zapewnić poprzez stosowanie najlepszych dostępnych rozwiązań technicznych i praktyk ochrony.
2. Węzły nie przechowują żadnych danych osobowych, z wyjątkiem przechowywania do celów określonych w art. 9 ust. 3.
Artykuł 7
Integralność i autentyczność danych na potrzeby przekazywania
W łączności między węzłami należy zapewnić integralność i autentyczność danych, tak aby wszystkie zapytania i odpowiedzi były autentyczne i nie ulegały manipulacjom. W tym celu w węzłach stosuje się rozwiązania, które są z powodzeniem wykorzystywane w transgranicznym ruchu operacyjnym.
Artykuł 8
Format przekazywania wiadomości
Węzły wykorzystują składnię powszechnych formatów komunikatów opartych na normach, które zastosowano już więcej niż jeden raz między państwami członkowskimi i które sprawdziły się w środowisku operacyjnym. Składnia ta umożliwia:
a) |
prawidłowe przetwarzanie minimalnego zbioru danych identyfikujących osobę reprezentujących niepowtarzalnie osobę fizyczną lub prawną; |
b) |
właściwe przetwarzanie poziomu bezpieczeństwa środków identyfikacji elektronicznej; |
c) |
rozróżnienie między organami sektora publicznego i innymi stronami ufającymi; |
d) |
elastyczność służącą spełnieniu potrzeb w zakresie dodatkowych atrybutów odnoszących się do identyfikacji. |
Artykuł 9
Zarządzanie bezpieczeństwem informacji i metadane
1. Operator węzła przekazuje metadane związane z zarządzaniem węzłem w znormalizowanej postaci przetwarzalnej maszynowo oraz w sposób bezpieczny i godny zaufania.
2. Przynajmniej parametry dotyczące bezpieczeństwa są pobierane automatycznie.
3. Operator węzła przechowuje dane, które w razie incydentu umożliwią odbudowę sekwencji wymiany komunikatów w celu określenie miejsca i charakteru incydentu. Dane przechowywane są przez czas określony zgodnie z wymaganiami krajowymi i obejmują one co najmniej następujące elementy:
a) |
dane identyfikujące węzeł; |
b) |
dane identyfikujące wiadomość; |
c) |
datę i godzinę wiadomości. |
Artykuł 10
Bezpieczeństwo informacji i normy bezpieczeństwa
1. Operatorzy węzłów zapewniających uwierzytelnienie muszą udowodnić – poprzez certyfikację lub równoważne metody oceny, bądź dzięki zgodności z przepisami krajowymi – że w odniesieniu do węzłów uczestniczących w ramach interoperacyjności dany węzeł spełnia wymogi normy ISO/IEC 27001.
2. Operatorzy węzłów niezwłocznie dokonują aktualizacji o krytycznym znaczeniu dla bezpieczeństwa.
Artykuł 11
Dane identyfikujące osobę
1. Minimalny zbiór danych identyfikujących osobę reprezentujących niepowtarzalnie osobę fizyczną lub prawną musi spełniać wymagania określone w załączniku, jeśli dane te są stosowane w ruchu transgranicznym.
2. Minimalny zestaw danych dotyczących osoby fizycznej reprezentującej osobę prawną musi zawierać połączenie atrybutów wymienionych w załączniku dotyczących osób fizycznych i osób prawnych, jeśli dane te są stosowane w ruchu transgranicznym.
3. Dane są przekazywane w oparciu o oryginalne znaki, a w stosownych przypadkach także w transliteracji na alfabet łaciński.
Artykuł 12
Specyfikacja techniczna
1. W przypadkach uzasadnionych procesem wdrażania ram interoperacyjności sieć współpracy ustanowiona decyzją wykonawczą Komisji (UE) 2015/296 może zgodnie z art. 14 lit. d) tejże decyzji wydawać opinie na temat potrzeby opracowania specyfikacji technicznych. Specyfikacje techniczne zawierają bardziej szczegółowe informacje o wymaganiach technicznych określonych w niniejszym rozporządzeniu.
2. Na podstawie opinii, o której mowa w ust. 1, Komisja we współpracy z państwami członkowskimi opracowuje specyfikacje techniczne w ramach infrastruktury usług cyfrowych określonej rozporządzeniem (UE) nr 1316/2013.
3. Sieć współpracy przyjmuje opinię zgodnie z art. 14 lit. d) decyzji wykonawczej Komisji (UE) 2015/296, zawierającej ocenę, czy i w jakim stopniu specyfikacje techniczne opracowane zgodnie z ust. 2 odpowiadają na potrzebę wskazaną w opinii, o której mowa w ust. 1, lub są zgodne z wymaganiami określonymi w niniejszym rozporządzeniu. Sieć współpracy może zalecić państwom członkowskim uwzględnienie specyfikacji technicznych przy wdrażaniu ram interoperacyjności.
4. Komisja dostarcza przykładu interpretacji specyfikacji technicznych w postaci modelowego wdrożenia. Państwa członkowskie mogą zastosować to wdrożenie modelowe lub wykorzystać je jako wzorzec, testując inne wdrożenia specyfikacji technicznych.
Artykuł 13
Rozstrzyganie sporów
1. W miarę możliwości wszelkie spory dotyczące ram interoperacyjności są rozwiązywane przez zainteresowane państwa członkowskie w drodze negocjacji.
2. Jeżeli nie uda się znaleźć rozwiązania zgodnie z ust. 1, sieć współpracy ustanowiona zgodnie z art. 12 decyzji wykonawczej (UE) 2015/296 dysponuje kompetencjami w odniesieniu do sporu zgodnie ze swoim regulaminem wewnętrznym.
Artykuł 14
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 8 września 2015 r.
W imieniu Komisji
Jean-Claude JUNCKER
Przewodniczący
(1) Dz.U. L 257 z 28.8.2014, s. 73.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1316/2013 z dnia 11 grudnia 2013 r. ustanawiające instrument „Łącząc Europę”, zmieniające rozporządzenie (UE) nr 913/2010 oraz uchylające rozporządzenia (WE) nr 680/2007 i (WE) nr 67/2010 (Dz.U. L 348 z 20.12.2013, s. 129).
(3) Decyzja wykonawcza Komisji (UE) 2015/296 z dnia 24 lutego 2015 r. ustanawiająca proceduralne warunki współpracy między państwami członkowskimi w zakresie identyfikacji elektronicznej na podstawie art. 12 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.U. L 53 z 25.2.2015, s. 14).
(4) Rozporządzenie wykonawcze Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (zob. s. 7 niniejszego Dziennika Urzędowego).
(5) Decyzja wykonawcza Komisji (UE) 2015/1505 z dnia 8 września 2015 r. ustanawiająca specyfikacje techniczne i formaty dotyczące zaufanych list zgodnie z art. 22 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (zob. s. 26 niniejszego Dziennika Urzędowego).
ZAŁĄCZNIK
Wymagania dotyczące minimalnego zbioru danych identyfikujących osobę, reprezentujących niepowtarzalnie osobę fizyczną lub prawną, o których mowa w art. 11
1. Minimalny zestaw danych dotyczących osoby fizycznej
Minimalny zestaw danych dotyczących osoby fizycznej zawiera wszystkie poniższe elementy obowiązkowe:
a) |
obecnie używane nazwisko lub nazwiska; |
b) |
obecnie używane imię lub imiona; |
c) |
data urodzenia; |
d) |
niepowtarzalny identyfikator zbudowany przez wysyłające państwo członkowskie zgodnie ze specyfikacjami technicznymi do celów transgranicznej identyfikacji, który jest możliwie jak najtrwalszy. |
Minimalny zestaw danych dotyczących osoby fizycznej może zawierać co najmniej jeden z następujących elementów dodatkowych:
a) |
imię lub imiona oraz nazwisko lub nazwiska rodowe; |
b) |
miejsce urodzenia; |
c) |
aktualny adres; |
d) |
płeć. |
2. Minimalny zestaw danych dotyczących osoby prawnej
Minimalny zestaw danych dotyczących osoby prawnej zawiera wszystkie poniższe atrybuty obowiązkowe:
a) |
obecnie używana nazwa prawna; |
b) |
niepowtarzalny identyfikator zbudowany przez wysyłające państwo członkowskie zgodnie ze specyfikacjami technicznymi do celów transgranicznej identyfikacji, który jest możliwie jak najtrwalszy. |
Minimalny zestaw danych dotyczących osoby prawnej może zawierać co najmniej jeden z następujących elementów dodatkowych:
a) |
aktualny adres; |
b) |
identyfikator płatnika podatku VAT; |
c) |
numer identyfikacji podatkowej; |
d) |
identyfikator odnoszący się do art. 3 ust. 1 dyrektywy 2009/101/WE Parlamentu Europejskiego i Rady (1); |
e) |
identyfikator podmiotu prawnego (LEI), o którym mowa w rozporządzeniu wykonawczym Komisji (UE) nr 1247/2012 (2); |
f) |
identyfikator Wspólnotowego Systemu Rejestracji i Identyfikacji Podmiotów Gospodarczych (EORI), o którym mowa w rozporządzeniu wykonawczym Komisji (UE) nr 1352/2013 (3); |
g) |
numer akcyzowy określony w art. 2 ust. 12 rozporządzenia Rady nr 389/2012 (4). |
(1) Dyrektywa 2009/101/WE Parlamentu Europejskiego i Rady z dnia 16 września 2009 r. w sprawie koordynacji gwarancji, jakie są wymagane w państwach członkowskich od spółek w rozumieniu art. 48 akapit drugi Traktatu, w celu uzyskania ich równoważności, dla zapewnienia ochrony interesów zarówno wspólników, jak i osób trzecich (Dz.U. L 258 z 1.10.2009, s. 11).
(2) Rozporządzenie wykonawcze Komisji (UE) nr 1247/2012 z dnia 19 grudnia 2012 r. ustanawiające wykonawcze standardy techniczne w odniesieniu do formatu i częstotliwości dokonywania zgłoszeń dotyczących transakcji do repozytoriów transakcji zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 648/2012 w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 352 z 21.12.2012, s. 20).
(3) Rozporządzenie wykonawcze Komisji (UE) nr 1352/2013 z dnia 4 grudnia 2013 r. ustanawiające formularze przewidziane w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 608/2013 w sprawie egzekwowania praw własności intelektualnej przez organy celne (Dz.U. L 341 z 18.12.2013, s. 10).
(4) Rozporządzenie Rady (UE) nr 389/2012 z dnia 2 maja 2012 r. w sprawie współpracy administracyjnej w dziedzinie podatków akcyzowych oraz uchylenia rozporządzenia (WE) nr 2073/2004 (Dz.U. L 121 z 8.5.2012, s. 1).