(1)

A Bizottság az „Európa digitális jövőjének megtervezése” című, 2020. február 19-i közleményében bejelentette a 910/2014/EU európai parlamenti és tanácsi rendelet (4) felülvizsgálatát azzal a céllal, hogy javítsa a rendelet eredményességét, kiterjessze az előnyeit a magánszektorra, és előmozdítsa a megbízható digitális személyazonosságot minden európai számára.

(2)

2020. október 1–2-i következtetéseiben az Európai Tanács felkérte a Bizottságot, hogy terjesszen elő javaslatot a biztonságos, nyilvános elektronikus azonosítás – ezen belül az interoperábilis digitális aláírások – egész Unióra kiterjedő, olyan keretének kidolgozására, amely biztosítja az emberek számára az online személyazonosságuk és adataik feletti ellenőrzést, valamint lehetővé teszi, hogy hozzáférjenek digitális köz-, magán- és határokon átnyúló szolgáltatásokhoz.

(3)

Az (EU) 2022/2481 európai parlamenti és tanácsi határozattal (5) létrehozott Digitális évtized 2030 szakpolitikai program egy olyan uniós keret célkitűzéseit és digitális céljait határozza meg, amely 2030-ra egy megbízható, önkéntes, a felhasználók által ellenőrzött digitális személyazonosság széles körű elterjedését hivatott eredményezni, amely személyazonosságot az egész Unióban elismerik, és amely minden felhasználó számára lehetővé teszi, hogy online interakciók során ellenőrzést gyakoroljon adatai felett.

(4)

Az Európai Parlament, a Tanács és a Bizottság által kihirdetett, a digitális évtizedben érvényre juttatandó digitális jogokról és elvekről szóló európai nyilatkozat (6) (a továbbiakban: a nyilatkozat) hangsúlyozza, hogy mindenkinek joga van hozzáférni az olyan digitális technológiákhoz, termékekhez és szolgáltatásokhoz, amelyek kialakításuknál fogva biztonságosak, védettek, és garantálják a magánélet védelmét. Ez magában foglalja annak biztosítását, hogy az Unióban élő minden személy olyan, hozzáférhető, biztonságos és megbízható digitális személyazonossággal rendelkezhessen, amelynek révén az online és offline szolgáltatások széles köréhez férhet hozzá, és amely védelmet élvez a kiberbiztonsági kockázatokkal és a kiberbűnözéssel szemben, beleértve az adatvédelmi incidenseket, valamint a személyazonosság-lopást, illetve -manipulációt. A nyilatkozat azt is kimondja, hogy mindenkinek joga van személyes adatainak védelméhez. Ez a jog annak ellenőrzésére is kiterjed, hogy az adatokat miként használják fel és azokat kikkel osztják meg.

(5)

Minden uniós polgár és az Unióban lakóhellyel rendelkező személy számára jogot kell biztosítani egy olyan digitális identitáshoz, amely a kizárólagos ellenőrzése alatt áll, és amely lehetővé teszi számára, hogy gyakorolja jogait a digitális környezetben, és részt vegyen a digitális gazdaságban. E cél elérése érdekében létre kell hozni egy olyan európai digitális személyazonossági keretet, amely lehetővé teszi az uniós polgárok és az Unióban lakóhellyel rendelkező személyek számára, hogy online és offline köz- és magánszolgáltatásokhoz férjenek hozzá Unió-szerte.

(6)

Egy harmonizált digitális személyazonossági keret várhatóan elősegíti majd egy digitálisan integráltabb Unió kialakítását azáltal, hogy csökkenti a tagállamok közötti digitális akadályokat, és lehetővé teszi az uniós polgárok és az Unióban lakóhellyel rendelkező személyek számára, hogy élvezzék a digitalizáció előnyeit, miközben növeli az átláthatóságot és jogaik védelmét.

(7)

Az elektronikus azonosításra vonatkozó összehangoltabb megközelítés várhatóan csökkenti majd azokat a kockázatokat és költségeket, amelyek az eltérő nemzeti megoldások használatából, illetve az ilyen elektronikus azonosítási megoldások egyes tagállamokban fennálló hiányából adódó jelenlegi széttagoltsággal járnak. Az említett megközelítés várhatóan meg fogja erősíteni a belső piacot azáltal, hogy lehetővé teszi az uniós polgárok, az Unióban lakóhellyel rendelkező, a nemzeti jogban meghatározott személyek, valamint a vállalkozások számára, hogy Unió-szerte biztonságos, megbízható, felhasználóbarát, kényelmes, hozzáférhető és harmonizált módon azonosítsák magukat online és offline. Az európai digitális személyiadat-tárca formájában egy olyan, harmonizált elektronikus azonosító eszközt kell Unió-szerte a természetes és jogi személyek rendelkezésére bocsátani, amely lehetővé teszi számukra a személyazonosságukhoz kapcsolódó adatok hitelesítését és megosztását. Mindenki számára lehetővé kell tenni, hogy biztonságosan hozzáférjen a köz- és magánszolgáltatásokhoz, a bizalmi szolgáltatások jobb ökoszisztémájára, valamint ellenőrzött személyazonosítókra és attribútumok, így például felsőoktatási képesítések – többek között felsőfokú végzettséget igazoló oklevelek, vagy az oktatás és képzés területén szerzett egyéb képesítések – elektronikus tanúsítványaira támaszkodva. Az európai digitális személyazonossági keret által elérni kívánt cél az, hogy a kizárólag a nemzeti digitális személyazonossági megoldások igénybevételétől elmozdulás történjen az érvényes és Unió-szerte jogilag elismert elektronikus attribútumtanúsítványok nyújtása felé. Az elektronikus attribútumtanúsítványokat nyújtó szolgáltatók számára egyértelmű és egységes szabályrendszert kell biztosítani, míg a közigazgatások számára azt kell lehetővé tenni, hogy támaszkodhassanak adott formátumú elektronikus dokumentumokra.

(8)

Több tagállam is bevezetett, illetve alkalmaz olyan elektronikus azonosító eszközöket, amelyeket az Unió-beli szolgáltatók elfogadnak. Emellett a 910/2014/EU rendelet alapján sor került nemzeti és határokon átnyúló megoldásokba, többek között az említett rendelet szerinti bejelentett elektronikus azonosítási rendszerek interoperabilitásába történő beruházásokra is. Az európai digitális személyiadat-tárcák bejelentett elektronikus azonosító eszközökkel való komplementaritásának és annak biztosítása érdekében, hogy az említett eszközök jelenlegi felhasználói gyorsan megkezdjék e tárcák használatát, valamint a meglévő szolgáltatókra gyakorolt hatás minimálisra csökkentése érdekében, az európai digitális személyiadat-tárcáknak építeniük kell a meglévő elektronikus azonosító eszközökkel kapcsolatos tapasztalatokra, valamint a bejelentett elektronikus azonosítási rendszerek uniós és nemzeti szinten kiépített infrastruktúrájára.

(9)

Az (EU) 2016/679 európai parlamenti és tanácsi rendelet (7) és adott esetben a 2002/58/EK európai parlamenti és tanácsi irányelv (8) a 910/2014/EU rendelet szerinti valamennyi személyesadat-kezelési tevékenységre alkalmazandó. Az e rendeletben szereplő interoperabilitási keret szerinti megoldások szintén megfelelnek ezeknek a szabályoknak. Az uniós adatvédelmi jogszabályok olyan adatvédelmi elveket írnak elő, mint az adattakarékosság és a célhozkötöttség elve, továbbá olyan kötelezettségeket, mint a beépített és alapértelmezett adatvédelem.

(10)

Az uniós vállalkozások versenyképességének támogatása érdekében mind az online, mind pedig az offline szolgáltatók számára lehetővé kell tenni, hogy az egész Unióban elismert digitális személyazonosító megoldásokat vehessenek igénybe, függetlenül attól, hogy azokat melyik tagállamban nyújtják, és így részesülhessenek a bizalomra, a biztonságra és az interoperabilitásra vonatkozó harmonizált uniós megközelítés előnyeiből. A felhasználók és a szolgáltatók számára egyaránt lehetővé kell tenni, hogy élhessenek azokkal az előnyökkel, amelyeket az elektronikus attribútumtanúsítványokhoz rendelt, az Unió egész területén azonos joghatás biztosít. A harmonizált digitális személyazonossági keret gazdasági értéket hivatott teremteni azáltal, hogy általa könnyebbé válik az árukhoz és szolgáltatásokhoz való hozzáférés, jelentősen csökkennek az elektronikus azonosítási és hitelesítési eljárásokhoz kapcsolódó működési költségek, például az új ügyfelek beléptetése során, csökken a kiberbűnözés – például a személyazonosság-lopások, az adatlopások és az online csalások – lehetősége, ezáltal előmozdítva az uniós mikro-, kis- és középvállalkozások (kkv-k) hatékonyságnövekedését és biztonságos digitális transzformációját.

(11)

Az európai digitális személyiadat-tárcák várhatóan megkönnyítik majd az egyszeri adatszolgáltatás elvének alkalmazását, ily módon csökkentve az uniós polgárok és az Unióban lakóhellyel rendelkező személyek, valamint az Unión belüli vállalkozások határokon átnyúló mobilitására nehezedő adminisztratív terheket, továbbá támogatva az említett, határokon átnyúló mobilitást Unió-szerte, valamint előmozdítva az interoperábilis e-kormányzati szolgáltatások fejlesztését az egész Unióban.

(12)

E rendelet végrehajtása során a személyes adatok kezelésére az (EU) 2016/679 európai parlamenti és tanácsi rendelet és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (9), valamint a 2002/58/EK irányelv alkalmazandó. Ezért e rendeletnek konkrét garanciákat kell megállapítania annak megakadályozására, hogy az elektronikus azonosító eszközöket és az elektronikus attribútumtanúsítványokat nyújtó szolgáltatók a más szolgáltatások nyújtása során szerzett személyes adatokat az e rendelet hatálya alá tartozó szolgáltatások nyújtása során kezelt személyes adatokkal kombinálják. Az európai digitális személyiadat-tárcák nyújtásával kapcsolatos személyes adatokat logikailag elkülönítve kell tárolni az európai digitális személyiadat-tárcát nyújtó szolgáltató birtokában lévő minden egyéb adattól. Ez a rendelet nem akadályozhatja az európai digitális személyiadat-tárcákat nyújtó szolgáltatókat abban, hogy további olyan, a személyes adatok védelmét előmozdító technikai intézkedéseket alkalmazzanak, mint például az európai digitális személyiadat-tárcák nyújtásával kapcsolatos személyes adatoknak a szolgáltató által tárolt bármely más adattól való fizikai elkülönítése. Az (EU) 2016/679 rendelet sérelme nélkül ez a rendelet tovább pontosítja a célhozkötöttség, az adattakarékosság, valamint a beépített és alapértelmezett adatvédelem elvének alkalmazását.

(13)

Az európai digitális személyiadat-tárcáknak beépített közös kezelőfelületi funkcióval kell rendelkezniük annak érdekében, hogy a felhasználók számára nagyobb fokú átláthatóságot, adatvédelmet és ellenőrzést biztosítsanak személyes adataik tekintetében. A funkciónak egy olyan, egyszerű és felhasználóbarát felületet kell biztosítania, amely áttekintést nyújt az összes olyan igénybe vevő félről, akikkel a felhasználó adatokat, többek között attribútumokat oszt meg, valamint az egyes igénybe vevő felekkel megosztott adatok típusáról. Emellett lehetővé kell tennie a felhasználók számára, hogy az európai digitális személyiadat-tárcán keresztül végrehajtott összes tranzakciót nyomon kövessék, legalább a következő adatok alapján: a tranzakció időpontja és dátuma, a partner azonosítása, a kért személyes adatok és a megosztott adatok. Ezeket az információkat akkor is el kell tárolni, ha a tranzakció nem jött létre. A tranzakciókra vonatkozó előzményekben szereplő információk hitelessége nem lehet elvitatható. Az említett funkciónak alapértelmezés szerint aktívnak kell lennie. E funkciónak lehetővé kell tennie a felhasználók számára, hogy – közvetlenül az európai digitális személyiadat-tárcán keresztül – könnyen kérelmezhessék az igénybe vevő féltől a személyes adatok azonnali törlését az (EU) 2016/679 rendelet 17. cikke alapján, és hogy – közvetlenül az európai digitális személyiadat-tárcán keresztül – könnyen bejelenthessék az igénybe vevő felet az illetékes nemzeti adatvédelmi hatóságnak, amennyiben személyes adatokra vonatkozó, állítólagosan jogellenes vagy gyanús kérelem érkezik.

(14)

A tagállamoknak különböző, a magánélet védelmét szolgáló technológiákat – például a nem feltáró bizonyítás módszerét – kell beépíteniük az európai digitális személyiadat-tárcába. E kriptográfiai módszereknek lehetővé kell tenniük az igénybe vevő fél számára annak ellenőrzését, hogy egy adott, a személy személyazonosító adatain és attribútumtanúsítványán alapuló állítás valós-e, anélkül, hogy felfedné azokat az adatokat, amelyeken e nyilatkozat alapul, megőrizve ezáltal a felhasználó magánéletének védelmét.

(15)

E rendelet meghatározza a tagállamok által nyújtandó európai digitális személyiadat-tárcák keretének létrehozására vonatkozó harmonizált feltételeket. Valamennyi uniós polgár és az Unióban lakóhellyel rendelkező, a nemzeti jogban meghatározottak szerinti személy számára lehetővé kell tenni a személyazonosságával kapcsolatos adatok biztonságos kérelmezését, kiválasztását, kombinálását, tárolását, törlését, megosztását és bemutatását, valamint annak felhasználóbarát és kényelmes módon történő kérelmezését, hogy töröljék személyes adatait, méghozzá a felhasználó kizárólagos ellenőrzése mellett, lehetővé téve ugyanakkor a személyes adatok szelektív hozzáférhetővé tételét. E rendelet tükrözi a közös európai értékeket, és megőrzi az alapvető jogokat, a jogi biztosítékokat és a felelősséget, ezáltal védelmet nyújtva a demokratikus társadalmaknak, az uniós polgároknak és az Unióban lakóhellyel rendelkező személyeknek. Az e célkitűzések eléréséhez használt technológiákat a legmagasabb szintű biztonságot, adatvédelmet, felhasználói kényelmet, akadálymentességet, széles körű használhatóságot és a zökkenőmentes interoperabilitást szem előtt tartva kell kifejleszteni. A tagállamoknak minden polgáruk és lakosuk számára egyenlő hozzáférést kell biztosítaniuk az elektronikus azonosításhoz. A tagállamok nem korlátozhatják sem közvetlenül, sem közvetve azon természetes vagy jogi személyek köz- vagy magánszolgáltatásokhoz való hozzáférését, akik úgy döntenek, hogy nem használják az európai digitális személyiadat-tárcát, és megkülönböztetésmentes alternatív megoldásokat kell elérhetővé tenniük.

(16)

A tagállamoknak igénybe kell venniük az e rendelet által kínált lehetőségeket annak érdekében, hogy felelősségi körükön belül európai digitális személyiadat-tárcákat nyújtsanak a területükön lakóhellyel, illetve székhellyel rendelkező természetes és jogi személyek általi használatra. A tagállamok részére rugalmasság biztosítása és a legkorszerűbb technológiák kiaknázása érdekében e rendeletnek az európai digitális személyiadat-tárcák nyújtását a következő módokon kell lehetővé tennie: közvetlenül valamely tagállam által, valamely tagállamtól kapott megbízás alapján vagy függetlenül valamely tagállamtól, de az adott tagállam általi elismerés mellett.

(17)

A nyilvántartásba vétel céljából az igénybe vevő feleknek rendelkezésre kell bocsátaniuk azokat az információkat, amelyek az európai digitális személyiadat-tárcák felé történő elektronikus azonosításukhoz és hitelesítésükhöz szükségesek. Az európai digitális személyiadat-tárca tervezett használatának bejelentésekor az igénybe vevő feleknek tájékoztatást kell nyújtaniuk azokról az adatokról, amelyeket adott esetben a szolgáltatásaik nyújtása érdekében kérnek, valamint az adatok kérésének okáról. Az igénybe vevő felek nyilvántartásba vétele megkönnyíti, hogy a tagállamok ellenőrizést végezzenek az igénybe vevő felek tevékenységeinek jogszerűsége tekintetében az uniós joggal összhangban. Az e rendeletben előírt nyilvántartásba vételi kötelezettség nem sértheti az egyéb uniós vagy nemzeti jogszabályokban meghatározott kötelezettségeket, például az érintetteknek az (EU) 2016/679 rendelet alapján nyújtandó tájékoztatást. Az igénybe vevő feleknek eleget kell tenniük az említett rendelet 35. és 36. cikkében foglalt biztosítékokra vonatkozó követelményeknek, különösen azáltal, hogy adatvédelmi hatásvizsgálatokat végeznek, és hogy az adatkezelést megelőzően konzultálnak az illetékes adatvédelmi hatóságokkal, amennyiben az adatvédelmi hatásvizsgálatok azt mutatják, hogy az adatkezelés magas kockázattal járna. E biztosítékok várhatóan elősegítik, hogy az igénybe vevő felek jogszerűen végezzék a személyes adatok kezelését, különösen az adatok különleges kategóriái – például az egészségügyi adatok – tekintetében. Az igénybe vevő felek nyilvántartásba vételének célja az átláthatóság és az európai digitális személyiadat-tárcák használatába vetett bizalom növelése. A nyilvántartásba vételnek költséghatékonynak és a kapcsolódó kockázatokkal arányosnak kell lennie annak biztosítása érdekében, hogy a szolgáltatók körében elterjedjen annak használata. Ezzel összefüggésben a nyilvántartásba vételhez automatizált eljárások alkalmazását kell előirányozni, ideértve a meglévő nyilvántartások tagállamok általi igénybevételét és használatát, és a nyilvántartásba vétel nem foglalhat magában előzetes jóváhagyási eljárást. A nyilvántartásba vételi folyamatnak számos felhasználási esetet lehetővé kell tennie, és ezek eltérőek lehetnek a működési mód (online vagy offline mód), vagy az eszközök abból a célból történő hitelesítésére vonatkozó követelmény tekintetében, hogy csatlakozzanak az európai digitális személyiadat-tárcához. A nyilvántartásba vétel kizárólag azokra az igénybe vevő felekre alkalmazandó, amelyek digitális interakció útján nyújtanak szolgáltatásokat.

(18)

Az uniós polgároknak és az Unióban lakóhellyel rendelkező személyeknek az európai digitális személyiadat-tárcák jogosulatlan vagy csalárd használatával szembeni védelme rendkívül fontos az európai digitális személyiadat-tárcákba vetett bizalom biztosítása és e tárcák széles körű elterjedése szempontjából. A felhasználók számára hatékony védelmet kell biztosítani az említett visszaélésekkel szemben. Különösen olyan esetekben, amikor egy nemzeti igazságügyi hatóság egy másik eljárás keretében olyan tényállásokat állapít meg, amelyek megalapozzák az európai digitális személyiadat-tárca csalárd vagy egyéb jogellenes használatát, az európai digitális személyiadat-tárca kibocsátóiért felelős felügyeleti szerveknek – a bejelentést követően – meg kell tenniük a szükséges intézkedéseket annak biztosítására, hogy az igénybe vevő fél nyilvántartásba vételét és az igénybe vevő felek hitelesítési mechanizmusba való bevonását visszavonják vagy felfüggesszék mindaddig, amíg a bejelentő hatóság meg nem erősíti, hogy az azonosított szabálytalanságokat orvosolták.

(19)

Valamennyi európai digitális személyiadat-tárcának lehetővé kell tennie, hogy a felhasználók a köz- és magánszolgáltatások széles köréhez való hozzáférés érdekében határokon átnyúlóan, elektronikusan azonosítsák és hitelesítsék magukat online és offline módban. A tagállamok polgáraik és lakosaik azonosítására vonatkozó előjogainak sérelme nélkül az európai digitális személyiadat-tárcák a közigazgatási szervek, a nemzetközi szervezetek, valamint az uniós intézmények, szervek, hivatalok és ügynökségek intézményi szükségleteit is kielégíthetik. Az offline módban történő hitelesítés számos ágazatban fontos lenne, többek között az egészségügyi ágazatban is, ahol a szolgáltatásokat gyakran személyes interakció keretében nyújtják, az elektronikus vények esetében pedig szükség van arra, hogy a hitelesség ellenőrzése során QR-kódokra vagy hasonló technológiákra lehessen támaszkodni. Az e rendelet szerinti biztonsági követelményeknek való megfelelés érdekében az európai digitális személyiadat-tárcáknak – az elektronikus azonosítási rendszerek „magas” biztonsági szintjére építve – élniük kell a biztonsági elemek, így például a hamisításbiztos megoldások által kínált lehetőségek előnyeivel. Az európai digitális személyiadat-tárcáknak emellett lehetővé kell tenniük a felhasználók számára az egész Unióban elfogadott minősített elektronikus aláírások és bélyegzők létrehozását és használatát. A természetes személyek számára lehetővé kell tenni, hogy az európai digitális személyiadat-tárcába való beléptetést követően a tárcát – alapértelmezés szerint és ingyenesen – minősített elektronikus aláírással történő aláírásra használhassák anélkül, hogy további adminisztratív eljárásokat kellene elvégezniük. Lehetővé kell tennie a felhasználók számára, hogy önbevalláson alapuló nyilatkozatokat vagy attribútumokat lássanak el aláírással vagy bélyegzővel. Annak érdekében, hogy a személyek és a vállalkozások Unió-szerte élvezhessék az egyszerűség és a költségcsökkenés előnyeit, többek között a meghatalmazások és elektronikus megbízások lehetővé tétele révén, a tagállamoknak közös szabványokra és technikai specifikációkra támaszkodó európai digitális személyiadat-tárcákat kell nyújtaniuk a zökkenőmentes interoperabilitás biztosítása és az informatikai biztonság megfelelő növelése, valamint annak érdekében, hogy megerősítsék a kibertámadásokkal szembeni ellenálló képességet, és ilyen módon jelentősen csökkentsék a folyamatban lévő digitalizáció miatt az uniós polgárokat, az Unióban lakóhellyel rendelkező személyeket és a vállalkozásokat érintő kockázatokat. Csak a tagállamok illetékes hatóságai teremthetnek magas szintű bizalmat valamely személy személyazonosságának megállapítását illetően, ezáltal csak ők nyújthatnak bizonyosságot arra vonatkozóan, hogy a valamely személyazonosságot állító, vagy arról nyilatkozó személy valóban az a személy, akinek vallja magát. Ezért az európai digitális személyiadat-tárcák nyújtásához az uniós polgárok, az Unióban lakóhellyel rendelkező személyek vagy jogi személyek jogi személyazonosságát kell alapul venni. A jogi személyazonosság alapulvétele nem akadályozhatja az európai digitális személyiadat-tárcák felhasználóit abban, hogy álnéven férjenek hozzá a szolgáltatásokhoz, amennyiben a jogszabályok a hitelesítéshez nem írnak elő jogi személyazonosságot. Az európai digitális személyiadat-tárcákba vetett bizalmat erősítené az, ha a kibocsátó és kezelő felek az (EU) 2016/679 rendelettel összhangban kötelesek lennének megfelelő technikai és szervezési intézkedéseket végrehajtani annak érdekében, hogy biztosítsák azt a legmagasabb biztonsági szintet, amely arányos a természetes személyek jogaira és szabadságaira nézve felmerülő kockázatokkal.

(20)

A minősített elektronikus aláírás használatának, amennyiben arra nem szakmai célból kerül sor, minden természetes személy számára ingyenesnek kell lennie. A tagállamok számára lehetővé kell tenni, hogy intézkedéseket hozzanak annak megakadályozására, hogy természetes személyek szakmai célból vegyék igénybe a minősített elektronikus aláírás ingyenes használatát, ugyanakkor biztosítva azt, hogy az ilyen intézkedések arányosak legyenek az azonosított kockázatokkal és indokoltak legyenek.

(21)

Észszerű megkönnyíteni az európai digitális személyiadat-tárcák elterjedését és használatát azáltal, hogy zökkenőmentesen integrálják azokat a nemzeti, helyi vagy regionális szinten már megvalósított digitális köz- és magánszolgáltatások ökoszisztémájába. E cél eléréséhez lehetővé kell tenni a tagállamok számára, hogy jogi és szervezeti intézkedéseket irányozzanak elő annak érdekében, hogy növeljék a rugalmasságot az európai digitális személyiadat-tárcákat nyújtó szolgáltatók számára, valamint hogy lehetővé tegyék az európai digitális személyiadat-tárcák funkcióinak az e rendeletben meghatározottakon túlmutató, további funkciókkal történő kibővítését, többek között a meglévő nemzeti elektronikus azonosító eszközökkel való fokozott interoperabilitás révén. Az ilyen további funkciók azonban semmiképpen sem érinthetik hátrányosan az európai digitális személyiadat-tárcák e rendeletben meghatározott alapvető funkcióinak nyújtását, továbbá nem mozdíthatják elő a meglévő nemzeti megoldásokat az európai digitális személyiadat-tárcákkal szemben. Mivel az említett további funkciók túlmutatnak e rendeleten, ezekre nem vonatkoznak az e rendeletben meghatározott, az európai digitális személyiadat-tárcák határokon átnyúló igénybevételére vonatkozó rendelkezések.

(22)

Az európai digitális személyiadat-tárcáknak tartalmazniuk kell egy olyan funkciót, amely a felhasználó által kiválasztott és kezelt álneveket generál az online szolgáltatásokhoz való hozzáférés során történő hitelesítés céljából.

(23)

A magas szintű biztonság és megbízhatóság elérése érdekében ez a rendelet meghatározza az európai digitális személyiadat-tárcákra vonatkozó követelményeket. Az európai digitális személyiadat-tárcák e követelményeknek való megfelelését a tagállamok által kijelölt akkreditált megfelelőségértékelő szervezeteknek kell tanúsítaniuk.

(24)

Az eltérő megközelítések elkerülése és az e rendeletben meghatározott követelmények végrehajtásának harmonizálása érdekében a Bizottságnak az európai digitális személyiadat-tárcák tanúsítása céljára végrehajtási jogi aktusokat kell elfogadnia abból a célból, hogy összeállítson egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapítson meg az említett követelmények részletes technikai specifikációinak ismertetése céljából. Amennyiben az e rendeletben említett meglévő kiberbiztonsági tanúsítási rendszerek nem terjednek ki annak tanúsítására, hogy az európai digitális személyiadat-tárcák megfelelnek a vonatkozó kiberbiztonsági követelményeknek, valamint tekintettel az európai digitális személyiadat-tárcákra vonatkozó nem kiberbiztonsági követelményekre, a tagállamoknak az e rendeletben meghatározott és az e rendelet alapján elfogadott harmonizált követelmények alapján nemzeti tanúsítási rendszereket kell létrehozniuk. A tagállamoknak a nemzeti tanúsítási rendszerük tervezetét továbbítaniuk kell az európai digitális személyazonossággal foglalkozó együttműködési csoportnak, amely számára lehetővé kell tenni, hogy véleményeket és ajánlásokat adjon ki.

(25)

Az e rendeletben meghatározott kiberbiztonsági követelményeknek való megfelelés tanúsításának az IKT-termékek, -folyamatok és -szolgáltatások önkéntes európai kiberbiztonsági tanúsítási keretrendszerét létrehozó (EU) 2019/881 európai parlamenti és tanácsi rendelet (10) alapján létrehozott releváns európai kiberbiztonsági tanúsítási rendszerekre kell támaszkodnia, amennyiben ilyenek rendelkezésre állnak.

(26)

A biztonsággal kapcsolatos kockázatok folyamatos értékelése és csökkentése érdekében a tanúsított európai digitális személyiadat-tárcákat rendszeres sebezhetőségi értékeléseknek kell alávetni, amelyek célja, hogy feltárják az európai digitális személyiadat-tárca tanúsított termékekhez, folyamatokhoz és szolgáltatásokhoz kapcsolódó elemeinek a sebezhetőségét.

(27)

A felhasználóknak és a vállalkozásoknak a kiberbiztonsági kockázatokkal szembeni védelme révén az e rendeletben meghatározott alapvető kiberbiztonsági követelmények fokozzák az egyének személyes adatainak a védelmét és a magánélet sérthetetlenségét is. A Bizottság, az európai szabványügyi szervezetek, az Európai Uniós Kiberbiztonsági Ügynökség (ENISA), az (EU) 2016/679 rendelettel létrehozott Európai Adatvédelmi Testület és a nemzeti adatvédelmi felügyeleti hatóságok közötti együttműködés révén figyelembe kell venni a kiberbiztonsági szempontokkal kapcsolatos szabványosítás és tanúsítás közötti szinergiákat.

(28)

Az uniós polgárok és az Unióban lakóhellyel rendelkező személyek európai digitális személyiadat-tárcába való beléptetését „magas” biztonsági szintűként kibocsátott elektronikus azonosító eszközök igénybevételével kell megkönnyíteni. „Jelentős” biztonsági szintűként kibocsátott elektronikus azonosító eszközöket csak olyan esetekben lehet igénybe venni, amikor az olyan, harmonizált technikai specifikációk és eljárások, amelyek a „jelentős” biztonsági szintűként kibocsátott elektronikus azonosító eszközöket egyéb kiegészítő azonosság-ellenőrző eszközökkel kombinálva használják, lehetővé teszik az e rendeletben a „magas” biztonsági szint tekintetében meghatározott követelmények teljesülését. Az ilyen kiegészítő eszközöknek megbízhatóknak és könnyen használhatóknak kell lenniük, és azok esetében lehetőséget lehet biztosítani távoli beléptetési eljárásoknak, minősített elektronikus aláírásokkal támogatott minősített tanúsítványoknak, minősített elektronikus attribútumtanúsítványoknak vagy ezek kombinációjának az alkalmazására. Az európai digitális személyiadat-tárcák megfelelő elterjedésének biztosítása érdekében végrehajtási jogi aktusokban harmonizált technikai specifikációkat és eljárásokat kell meghatározni a felhasználók elektronikus azonosító eszközök – köztük a „jelentős” biztonsági szintűként kibocsátott elektronikus azonosító eszközök – útján történő beléptetésére vonatkozóan.

(29)

E rendelet célja, hogy teljes mértékben mobilis, biztonságos és felhasználóbarát európai digitális személyiadat-tárcát nyújtson a felhasználók számára. Átmeneti intézkedésként lehetővé kell tenni, hogy az európai digitális személyiadat-tárcák a tanúsított hamisításbiztos megoldások, mint például a felhasználói eszközökön belüli biztonsági elemek rendelkezésre állásáig a kriptográfiai anyagok és más érzékeny adatok védelme érdekében tanúsított külső biztonsági elemekre támaszkodjanak, vagy pedig „magas” biztonsági szintű, bejelentett elektronikus azonosító eszközökre támaszkodjanak annak igazolása érdekében, hogy megfelelnek az e rendeletben az európai digitális személyiadat-tárca biztonsági szintjére vonatkozóan megállapított releváns követelményeknek. Ez a rendelet nem sértheti a tanúsított külső biztonsági elem kibocsátására és használatára vonatkozó nemzeti feltételeket abban az esetben, ha az átmeneti intézkedés az említett elemtől függ.

(30)

Az európai digitális személyiadat-tárcáknak az elektronikus azonosítás és hitelesítés céljára a legmagasabb szintű adatvédelmet és biztonságot kell biztosítaniuk a köz- és magánszolgáltatásokhoz való hozzáférés megkönnyítése céljából, függetlenül attól, hogy ezeket az adatokat helyben vagy felhőalapú megoldásokon tárolják, megfelelően figyelembe véve a különböző kockázati szinteket.

(31)

Az európai digitális személyiadat-tárcáknak beépített módon biztonságosaknak kell lenniük, és fejlett biztonsági funkciókat kell tartalmazniuk a személyazonosság-lopás, az adatlopás, a szolgáltatásmegtagadás és bármely más kiberfenyegetés elleni védelem érdekében. Az említett biztonságnak olyan, a legkorszerűbb titkosítási és tárolási módszereket kell magában foglalnia, amelyek kizárólag a felhasználó számára hozzáférhetők és kizárólag általa dekódolhatók, valamint amelyek a más európai digitális személyiadat-tárcákkal és igénybe vevő felekkel való, végponttól végpontig titkosított kommunikációra támaszkodnak. Emellett az európai digitális személyiadat-tárcáknak biztonságos, kifejezett és aktív felhasználói megerősítést kell megkövetelniük az európai digitális személyiadat-tárcákon keresztül végzett műveletekhez.

(32)

Az európai digitális személyiadat-tárcák ingyenes használata nem eredményezheti azt, hogy az európai digitális személyiadat-tárca-szolgáltatások nyújtásához szükséges adatok körén kívül eső adatokra vonatkozó adatkezelésre kerüljön sor. Ez a rendelet nem teheti lehetővé, hogy az európai digitális személyiadat-tárcát nyújtó szolgáltató az európai digitális személyiadat-tárcában tárolt vagy az annak használatából eredő személyes adatok kezelését az európai digitális személyiadat-tárca nyújtásától eltérő célokra végezze. A magánélet védelme érdekében az európai digitális személyiadat-tárcát nyújtó szolgáltatóknak biztosítaniuk kell a megfigyelhetetlenséget azáltal, hogy nem gyűjtenek adatokat, és nem nyernek betekintést az európai digitális személyiadat-tárca felhasználóinak tranzakcióiba. Ez a megfigyelhetetlenség azt jelenti, hogy a szolgáltatók nem láthatják a felhasználó által végrehajtott tranzakciók részleteit. Ugyanakkor konkrét esetekben, az egyes konkrét esetek vonatkozásában a felhasználó kifejezett előzetes hozzájárulása alapján, valamint az (EU) 2016/679 rendelettel teljes összhangban, az európai digitális személyiadat-tárcákat nyújtó szolgáltatók számára hozzáférést lehet biztosítani azokhoz az információkhoz, amelyek az európai digitális személyiadat-tárcákhoz kapcsolódó valamely konkrét szolgáltatás nyújtásához szükségesek.

(33)

Az európai digitális személyiadat-tárcák átláthatósága és az azokat nyújtó szolgáltatók elszámoltathatósága kulcsfontosságú elemeket jelentenek a társadalmi bizalom megteremtéséhez és a keret elfogadottságának ösztönzéséhez. Az európai digitális személyiadat-tárcák működésének ezért átláthatónak kell lennie, és különösen lehetővé kell tennie a személyes adatok ellenőrizhető kezelését. Ennek eléréséhez a tagállamoknak nyilvánosságra kell hozniuk az európai digitális személyiadat-tárcák alkalmazásszoftver-alkotóelemeinek forráskódját, ideértve azokét is, amelyek személyes adatok és jogi személyek adatainak kezeléséhez kapcsolódnak. E forráskód nyílt forráskódú licenc keretében történő közzétételének lehetővé kell tennie a társadalom, többek között a felhasználók és a fejlesztők számára, hogy megértsék annak működését, továbbá ellenőrizzék és módosítsák a kódot. Ez növelné a tárca ökoszisztémájába vetett felhasználói bizalmat, valamint elősegítené az európai digitális személyiadat-tárcák biztonságosságát azáltal, hogy bárki számára lehetővé teszi a kódok sebezhetőségeinek és hibáinak a bejelentését. Emellett ez várhatóan arra ösztönzi a beszállítókat, hogy rendkívül biztonságos termékeket szállítsanak és tartsanak fenn. Egyes esetekben azonban a használt könyvtárak, a távközlési csatorna vagy más, nem a felhasználói eszközön tárolt elemek forráskódjának közzétételét a tagállamok kellően indokolt okokból – különösen a közbiztonság érdekében – korlátozhatják.

(34)

Az európai digitális személyiadat-tárcák használata és használatának megszüntetése a felhasználók kizárólagos joga és választása kell, hogy legyen. A tagállamoknak egyszerű és biztonságos eljárásokat kell kidolgozniuk annak érdekében, hogy a felhasználók kérelmezhessék az európai digitális személyiadat-tárcák érvényességének azonnali visszavonását, többek között elvesztés vagy lopás esetén is. A felhasználó halála vagy a jogi személy tevékenységének megszűnése esetére olyan mechanizmust kell létrehozni, amely lehetővé teszi a természetes személy örökségének vagy a jogi személy vagyonának rendezéséért felelős hatóság számára, hogy az európai digitális személyiadat-tárca azonnali visszavonását kérje.

(35)

Az európai digitális személyiadat-tárcák elterjedésének és a digitális személyazonosság szélesebb körű használatának előmozdítása érdekében a tagállamoknak nemcsak a releváns szolgáltatások előnyeit kell népszerűsíteniük, hanem a magánszférával, a kutatókkal és a tudományos körökkel együttműködve polgáraik és lakosaik – különösen a kiszolgáltatott csoportok, például a fogyatékossággal élő személyek és az idősek – digitális készségeinek javítására irányuló képzési programokat is ki kell dolgozniuk. A tagállamoknak emellett kommunikációs kampányok révén fel kell hívniuk a figyelmet az európai digitális személyiadat-tárcák előnyeire és kockázataira.

(36)

Annak biztosítása érdekében, hogy az európai digitális személyazonossági keret nyitott legyen az innovációra és a technológiai fejlődésre, valamint hogy időtálló legyen, a tagállamokat arra ösztönzik, hogy hozzanak létre közösen tesztkörnyezeteket az innovatív megoldások ellenőrzött és biztonságos környezetben történő tesztelésére, különösen a személyes adatok védelmének, a megoldások működőképességének, biztonságosságának és interoperabilitásának javítása, valamint a műszaki referenciák és a jogi követelmények jövőbeli aktualizálásának megalapozása érdekében. Ennek a környezetnek elő kell segítenie a kis- és középvállalkozások, az induló innovatív vállalkozások, továbbá az egyéni innovátorok és kutatók, valamint a releváns ágazati érdekelt felek bevonását. Az ilyen kezdeményezéseknek elő kell segíteniük és meg kell erősíteniük az uniós polgárok és az Unióban lakóhellyel rendelkező személyek számára nyújtandó európai digitális személyiadat-tárcák jogszabályi megfelelését és műszaki stabilitását, ezáltal megakadályozva az olyan megoldások kifejlesztését, amelyek nem felelnek meg az uniós adatvédelmi jogszabályoknak, vagy amelyek ki lehetnek téve biztonsági sebezhetőségeknek.

(37)

Az (EU) 2019/1157 európai parlamenti és tanácsi rendelet (11) 2021 augusztusáig fokozott biztonsági elemekkel erősíti meg a személyazonosító igazolványok biztonságát. Az elektronikus azonosító eszközök határokon átnyúló rendelkezésre állásának bővítése érdekében a tagállamoknak fel kell mérniük ezen elemek elektronikus azonosítási rendszerek keretében történő bejelentésének megvalósíthatóságát.

(38)

Az elektronikus azonosítási rendszerek bejelentésének folyamatát egyszerűsíteni kell és fel kell gyorsítani a kényelmes, megbízható, biztonságos és innovatív hitelesítési és azonosítási megoldásokhoz való hozzáférés elősegítése érdekében, és adott esetben a magán-identitásszolgáltatók arra való bátorítása érdekében, hogy elektronikus azonosítási rendszereket kínáljanak a tagállamok hatóságai számára a 910/2014/EU rendelet szerinti nemzeti elektronikus azonosítási rendszerként történő bejelentés céljára.

(39)

A jelenlegi bejelentési és kölcsönös felülvizsgálati eljárások egyszerűsítése megakadályozza a különböző bejelentett elektronikus azonosítási rendszerek értékelésének heterogén megközelítéseit, és megkönnyíti a tagállamok közötti bizalomépítést. Az új, egyszerűsített mechanizmusok arra hivatottak, hogy elősegítsék a tagállamok együttműködését a bejelentett elektronikus azonosítási rendszereik biztonságát és interoperabilitását illetően.

(40)

A tagállamoknak új, rugalmas eszközökre kell tudniuk támaszkodni az e rendeletben és az e rendelet alapján elfogadott vonatkozó végrehajtási jogi aktusokban foglalt követelményeknek való megfelelés biztosításához. E rendeletnek lehetővé kell tennie a tagállamok számára, hogy az akkreditált megfelelőségértékelő szervezetek által az (EU) 2019/881 rendelet alapján uniós szinten létrehozandó tanúsítási rendszerekkel összefüggésben előírtak szerint készített jelentéseket és értékeléseket felhasználják a rendszereknek vagy azok részeinek a 910/2014/EU rendelettel való összhangjára vonatkozó állításuk alátámasztására.

(41)

A közszolgáltatók a 910/2014/EU rendelet szerinti elektronikus azonosító eszközökből rendelkezésre álló személyazonosító adatokat arra használják fel, hogy a más tagállamokból származó felhasználók elektronikus személyazonosságát megfeleltessék azoknak a személyazonosító adatoknak, amelyeket a határokon átnyúló személyazonosság-megfeleltetési eljárást végző tagállamban e felhasználók rendelkezésére bocsátanak. A bejelentett elektronikus azonosítási rendszerek keretében rendelkezésre bocsátott minimális adatkészlet használata ellenére azonban a pontos személyazonosság-megfeleltetés biztosításához olyankor, amikor a tagállamok igénybe vevő félként járnak el, sok esetben a felhasználóra vonatkozó további információkra és nemzeti szinten elvégzendő konkrét, kiegészítő jellegű, egyedi azonosítási eljárásokra van szükség. Az elektronikus azonosító eszközök használhatóságának további javítása, a jobb online közszolgáltatások nyújtása és a felhasználók elektronikus személyazonosságával kapcsolatos jogbiztonság növelése érdekében a 910/2014/EU rendeletnek elő kell írnia a tagállamok számára, hogy hozzanak konkrét online intézkedéseket a személyazonosság egyértelmű megfeleltetésének biztosítása érdekében olyan esetekben, amikor a felhasználók határokon átnyúló online közszolgáltatásokhoz kívánnak hozzáférni.

(42)

Az európai digitális személyiadat-tárcák kialakításakor elengedhetetlen a felhasználók igényeinek figyelembevétele. Rendelkezésre kell állniuk olyan hasznos felhasználási eseteknek és online szolgáltatásoknak, amelyek az európai digitális személyiadat-tárcákra támaszkodnak. A felhasználói kényelem és az ilyen szolgáltatások határokon átnyúló rendelkezésre állásának érdekében fontos intézkedéseket hozni annak előmozdítása érdekében, hogy valamennyi tagállam hasonló megközelítést alkalmazzon az online szolgáltatások tervezésével, fejlesztésével és megvalósításával kapcsolatban. Az európai digitális személyiadat-tárcák igénybevételére támaszkodó online szolgáltatások tervezésére, fejlesztésére és megvalósítására vonatkozó, nem kötelező iránymutatások az említett cél elérésének hasznos eszközévé válhatnak. Az ilyen iránymutatásokat az Unió interoperabilitási keretének figyelembevételével kell kidolgozni. Az említett iránymutatások elfogadása során a tagállamoknak vezető szerepet kell betölteniük.

(43)

Az (EU) 2019/882 európai parlamenti és tanácsi irányelvvel (12) összhangban a fogyatékossággal élő személyek számára biztosítani kell a lehetőséget arra, hogy a többi felhasználóval azonos alapon vehessék igénybe az európai digitális személyiadat-tárcákat, a bizalmi szolgáltatásokat és az ilyen szolgáltatások nyújtása során alkalmazott végfelhasználói termékeket.

(44)

E rendelet hatékony végrehajtásának biztosítása érdekében mind a minősített, mind a nem minősített bizalmi szolgáltatókra vonatkozóan meg kell határozni a maximális közigazgatási bírságok minimális mértékét. A tagállamoknak hatékony, arányos és visszatartó erejű szankciókat kell megállapítaniuk. A szankciók meghatározásakor kellően figyelembe kell venni az érintett szervezetek méretét, üzleti modelljét és a jogsértések súlyosságát.

(45)

A tagállamoknak szabályokat kell megállapítaniuk az olyan jogsértések esetén alkalmazandó szankciókra vonatkozóan, mint például az olyan közvetlen vagy közvetett gyakorlatok, amelyek a nem minősített és a minősített bizalmi szolgáltatások összetévesztéséhez, vagy az uniós bizalmi jegy nem minősített bizalmi szolgáltatók általi visszaélésszerű használatához vezetnek. Az uniós bizalmi jegy nem használható olyan feltételek mellett, amelyek közvetlenül vagy közvetve azt a látszatot keltik, hogy az említett szolgáltatók által kínált, nem minősített bizalmi szolgáltatások minősített bizalmi szolgáltatások.

(46)

Ez a rendelet nem foglalkozhat a szerződések megkötésének és érvényességének szempontjaival, sem más olyan jogi kötelezettségekkel, amelyekre az uniós vagy a nemzeti jogban meghatározott alaki követelmények vonatkoznak. Ezenfelül nem érintheti az állami – különösen a kereskedelmi és földhivatali – nyilvántartásokra vonatkozó, nemzeti jogszabályban előírt alaki követelményeket.

(47)

A nemzetközi kereskedelem és együttműködés szempontjából egyre fontosabbá válik a bizalmi szolgáltatások nyújtása és használata, valamint a kényelem és a jogbiztonság szempontjából ezáltal jelentett előnyök a határokon átnyúló tranzakciókkal összefüggésben, különösen minősített bizalmi szolgáltatások igénybevétele esetén. Az Unió nemzetközi partnerei bizalmi keretrendszereket hoznak létre a 910/2014/EU rendelet alapján. A minősített bizalmi szolgáltatások és azok szolgáltatói elismerésének megkönnyítése érdekében a Bizottság végrehajtási jogi aktusokat fogadhat el, hogy meghatározza azokat a feltételeket, amelyek teljesülése esetén a harmadik országok bizalmi keretrendszerei egyenértékűnek tekinthetők a minősített bizalmi szolgáltatásokra és azok szolgáltatóira vonatkozó, e rendeletben foglalt bizalmi keretrendszerrel. Ennek a megközelítésnek ki kell egészítenie a bizalmi szolgáltatásoknak és e szolgáltatások Unióban és harmadik országokban letelepedett szolgáltatóinak kölcsönös elismerésére vonatkozó lehetőséget az Európai Unió működéséről szóló szerződés (EUMSZ) 218. cikkével összhangban. Azon feltételek meghatározásakor, amelyek teljesülése esetén a harmadik országok bizalmi keretrendszerei egyenértékűnek tekinthetők a minősített bizalmi szolgáltatásokra és azok szolgáltatóira vonatkozó, a 910/2014/EU rendelet szerinti bizalmi keretrendszerrel, biztosítani kell egyfelől az (EU) 2022/2555 európai parlamenti és tanácsi irányelv (13) és az (EU) 2016/679 rendelet releváns rendelkezéseinek való megfelelést, másfelől pedig a bizalmi listáknak mint alapvető bizalomépítő elemeknek a felhasználását.

(48)

Ennek a rendeletnek elő kell mozdítania az európai digitális személyiadat-tárcák közötti választást és a közöttük való váltás lehetőségét, amennyiben egy tagállam a területén az európai digitális személyiadat-tárca tekintetében egynél több megoldást hagyott jóvá. A bezártsági hatások ilyen helyzetekben való elkerülése érdekében – amennyiben ez technikailag megvalósítható – az európai digitális személyiadat-tárca felhasználóinak kérésére az európai digitális személyiadat-tárcákat nyújtó szolgáltatóknak biztosítaniuk kell az adatok tényleges hordozhatóságát, és nem szabad lehetővé tenni számukra, hogy szerződéses, gazdasági vagy technikai akadályokat támasszanak azért, hogy megakadályozzák vagy megnehezítsék a különböző európai digitális személyiadat-tárcák közötti tényleges váltást.

(49)

Az európai digitális személyiadat-tárcák megfelelő működésének biztosítása érdekében az európai digitális személyiadat-tárcákat nyújtó szolgáltatók számára szükséges, hogy az európai digitális személyiadat-tárcáknak a mobil eszközök meghatározott hardver- és szoftverfunkcióihoz való hozzáférése tekintetében tényleges interoperabilitás, valamint tisztességes, észszerű és megkülönböztetésmentes feltételek valósuljanak meg. Ezen alkotóelemek közé tartozhatnak különösen a kis hatótávolságú kommunikációs antennák és a biztonsági elemek, köztük az univerzális integrált áramkörös kártyák, a beágyazott biztonsági elemek, a mikroSD-kártyák és a Bluetooth Low Energy technológia. Az ezen alkotóelemekhez való hozzáférés a mobilhálózat-üzemeltetők és a berendezésgyártók ellenőrzése alatt állhat. Ezért amennyiben az az európai digitális személyiadat-tárcákkal kapcsolatos szolgáltatásnyújtáshoz szükséges, a mobileszközök eredetiberendezés-gyártói vagy az elektronikus hírközlési szolgáltatók nem tagadhatják meg az ilyen alkotóelemekhez való hozzáférést. Emellett a Bizottság által az (EU) 2022/1925 európai parlamenti és tanácsi rendeletben (14) felsorolt alapvető platformszolgáltatások tekintetében kapuőrnek minősített vállalkozásokra továbbra is az említett rendelet 6. cikkének (7) bekezdésére épülő különös rendelkezéseknek kell vonatkozniuk.

(50)

A bizalmi szolgáltatókra háruló kiberbiztonsági kötelezettségek észszerűsítése, valamint annak lehetővé tétele érdekében, hogy az említett szolgáltatók és illetékes hatóságaik élhessenek az (EU) 2022/2555 irányelv által létrehozott jogi keret nyújtotta előnyökkel, a bizalmi szolgáltatóknak meg kell hozniuk az említett irányelv szerinti megfelelő technikai és szervezési intézkedéseket, például a rendszerhibák, az emberi hibák, a rosszindulatú tevékenységek vagy a természeti jelenségek kezelését célzó intézkedéseket, azon hálózati és információs rendszerek biztonságát fenyegető kockázatok kezelése érdekében, amelyeket ezen szolgáltatók alkalmaznak a szolgáltatásaik nyújtása során, valamint jelenteniük kell a jelentős biztonsági eseményeket és kiberfenyegetéseket az említett irányelvnek megfelelően. Ami a biztonsági események bejelentését illeti, a bizalmi szolgáltatóknak be kell jelenteniük minden olyan biztonsági eseményt, amely jelentős hatást gyakorol a szolgáltatásaik nyújtására, ideértve az eszközök ellopása vagy elvesztése, illetve a hálózati kábelekben bekövetkezett kár által okozott eseményeket vagy a személyek azonosításával összefüggésben bekövetkezett biztonsági eseményeket is. Az (EU) 2022/2555 irányelv szerinti kiberbiztonsági kockázatkezelési követelményeket és jelentéstételi kötelezettségeket a bizalmi szolgáltatókra vonatkozóan e rendelet alapján előírt követelmények kiegészítésének kell tekinteni. Az (EU) 2022/2555 irányelv alapján kijelölt illetékes hatóságoknak adott esetben továbbra is alkalmazniuk kell a 910/2014/EU rendelet szerinti biztonsági és jelentéstételi követelmények végrehajtásával és az e követelményeknek való megfelelés felügyeletével kapcsolatos bevált nemzeti gyakorlatokat vagy iránymutatásokat. Ez a rendelet nem érinti az adatvédelmi incidensek (EU) 2016/679 rendelet szerinti bejelentésére vonatkozó kötelezettséget.

(51)

Kellő figyelmet kell fordítani a 910/2014/EU rendelet 46b. cikke alapján kijelölt felügyeleti szervek és az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóságok közötti hatékony együttműködés biztosítására. Ha az ilyen felügyeleti szerv eltér az ilyen illetékes hatóságtól, e hatóságoknak a releváns információk cseréje révén szorosan és kellő időben együtt kell működniük annak érdekében, hogy biztosítsák a bizalmi szolgáltatók hatékony felügyeletét, valamint a 910/2014/EU rendeletben és az (EU) 2022/2555 irányelvben meghatározott követelményeknek való megfelelését. A 910/2014/EU rendelet alapján kijelölt felügyeleti szerveket fel kell jogosítani különösen arra, hogy felkérhessék az (EU) 2022/2555 irányelv alapján kijelölt vagy létrehozott illetékes hatóságokat arra, hogy bocsássák rendelkezésre a minősített státus odaítéléséhez szükséges releváns információkat, és felügyeleti intézkedéseket hajthassanak végre annak ellenőrzése érdekében, hogy a bizalmi szolgáltatók megfelelnek-e az (EU) 2022/2555 irányelv vonatkozó követelményeinek, vagy felszólíthassák őket a megfelelés elmulasztásának orvoslására.

(52)

Alapvetően fontos, hogy az ajánlott elektronikus kézbesítési szolgáltatások tekintetében jogi keret segítse elő a meglévő nemzeti jogrendszerek közötti elismerést. Az említett keret révén emellett új piaci lehetőségek nyílhatnának arra, hogy az Unióban működő bizalmi szolgáltatók új, az egész Unióra kiterjedő ajánlott elektronikus kézbesítési szolgáltatásokat nyújtsanak. Annak biztosítása érdekében, hogy a minősített ajánlott elektronikus kézbesítési szolgáltatás használata során az adatok a megfelelő címzetthez kerüljenek kézbesítésre, a minősített ajánlott elektronikus kézbesítési szolgáltatásoknak teljes bizonyossággal kell szavatolniuk a címzett azonosítását, míg a feladó azonosítása tekintetében elegendő lenne a magas szintű megbízhatóság szavatolása. A tagállamoknak ösztönözniük kell a minősített ajánlott elektronikus kézbesítési szolgáltatásokat nyújtó szolgáltatókat arra, hogy szolgáltatásaikat interoperábilissá tegyék más minősített bizalmi szolgáltatók által nyújtott minősített ajánlott elektronikus kézbesítési szolgáltatásokkal annak érdekében, hogy ezáltal az elektronikus úton rögzített adatokat könnyen lehessen továbbítani két vagy több minősített bizalmi szolgáltató között, valamint hogy tisztességes gyakorlatokat lehessen előmozdítani a belső piacon.

(53)

A legtöbb esetben az uniós polgároknak és az Unióban lakóhellyel rendelkező személyeknek a személyazonosságukkal kapcsolatos információkat, például a címüket, az életkorukat, a szakmai képesítésüket, a vezetői engedélyüket, valamint az egyéb engedélyeiket és fizetési adataikat illetően nincs lehetőségük arra, hogy biztonságosan és magas szintű adatvédelem mellett, határokon átnyúló módon digitális információkat cseréljenek.

(54)

Az adminisztratív terhek csökkentése érdekében lehetővé kell tenni a megbízható elektronikus attribútumok kibocsátását és kezelését, és lehetővé kell tenni az uniós polgárok és az Unióban lakóhellyel rendelkező személyek számára, hogy azokat magán- és közszférabeli tranzakcióik során használják. Az uniós polgárok és az Unióban lakóhellyel rendelkező személyek számára lehetővé kell tenni például annak bizonyítását, hogy rendelkeznek az egyik tagállam hatósága által kiállított, érvényes vezetői engedéllyel, úgy, hogy az más tagállamok illetékes hatóságai által ellenőrizhető legyen, és arra támaszkodhassanak, illetve lehetővé kell tenni, hogy határokon átnyúlóan használhassák társadalombiztosítási hitelesítő adataikat vagy jövőbeli digitális úti okmányaikat.

(55)

Minden olyan szolgáltatót, amely elektronikus formátumban tanúsított attribútumokat, például okleveleket, engedélyeket, születési anyakönyvi kivonatokat, vagy természetes vagy jogi személyek képviseletére vagy az azok nevében történő eljárásra vonatkozó meghatalmazásokat és megbízásokat állít ki, elektronikus attribútumtanúsítványok bizalmi szolgáltatóinak kell tekinteni. Az elektronikus attribútumtanúsítványok joghatása nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, illetve hogy nem felel meg a minősített elektronikus attribútumtanúsítványok követelményeinek. Általános követelményeket kell megállapítani annak biztosítása érdekében, hogy a minősített elektronikus attribútumtanúsítvány ugyanolyan joghatással bírjon, mint a jogszerűen kibocsátott papíralapú tanúsítványok. Ezeket a követelményeket azonban az alapul szolgáló joghatással bíró, az alakiság tekintetében további ágazatspecifikus követelményeket meghatározó uniós vagy nemzeti jog, és adott esetben különösen a minősített elektronikus attribútumtanúsítványok határokon átnyúló elismerésének sérelme nélkül kell alkalmazni.

(56)

Az európai digitális személyiadat-tárcák széles körű elérhetősége és használhatósága várhatóan javítani fogja mind a magánszemélyek, mind pedig a magánszolgáltatók általi elfogadásukat és az általuk e tárcákba vetett bizalmat. Ezért például a közlekedés, az energia, a banki és pénzügyi szolgáltatások, a szociális biztonság, az egészségügy, az ivóvíz, a postai szolgáltatások, a digitális infrastruktúra, a távközlés vagy az oktatás területén szolgáltatásokat nyújtó, magánszférabeli igénybe vevő feleknek el kell fogadniuk az európai digitális személyiadat-tárcák használatát olyan szolgáltatások nyújtásakor, amelyek esetében az uniós vagy nemzeti jog vagy szerződéses kötelezettség erős felhasználóhitelesítést ír elő az online azonosításhoz. Bármely, olyan információ iránti kérésnek, amelyet az igénybe vevő fél az európai digitális személyiadat-tárca felhasználójához intéz, szükségesnek kell lennie az adott esetben tervezett felhasználáshoz és arányosnak kell lennie azzal, összhangban kell állnia az adattakarékosság elvével, és biztosítania kell az átláthatóságot a megosztott adatok és az adatmegosztás célja tekintetében. Az európai digitális személyiadat-tárcák használatának és elfogadottságának elősegítése érdekében a bevezetésük során figyelembe kell venni a széles körben elfogadott ágazati szabványokat és specifikációkat.

(57)

Amennyiben az (EU) 2022/2065 európai parlamenti és tanácsi rendelet (15) 33. cikkének (1) bekezdése értelmében vett online óriásplatformok az online szolgáltatásokhoz való hozzáféréshez megkövetelik a felhasználók hitelesítését, e platformok számára elő kell írni, hogy a felhasználó önkéntes kérésére fogadják el az európai digitális személyiadat-tárcák használatát. A felhasználók nem kötelezhetők arra, hogy magánszolgáltatásokhoz való hozzáférés céljából európai digitális személyiadat-tárcát használjanak, és a szolgáltatásokhoz való hozzáférésük nem korlátozható vagy akadályozható azon az alapon, hogy nem használnak európai digitális személyiadat-tárcát. Ha azonban a felhasználók úgy kívánják, az online óriásplatformoknak e célból el kell fogadniuk a tárcát, tiszteletben tartva az adattakarékosság elvét és a felhasználóknak a szabadon választott álnevek használatához való jogát. Az online óriásplatformok jelentősége miatt – amely különösen a szolgáltatás igénybevevőinek és a gazdasági tranzakcióknak a számában kifejezett elterjedtségüknek köszönhető – az európai digitális személyiadat-tárca elfogadására irányuló kötelezettség a felhasználók csalással szembeni védelmének fokozása és a magas szintű adatvédelem biztosítása érdekében szükséges.

(58)

Uniós szintű magatartási kódexeket kell kidolgozni, amelyek hozzájárulnak az e rendelet hatálya alá tartozó elektronikus azonosító eszközök, köztük az európai digitális személyiadat-tárcák kiterjedt elérhetőségéhez és használhatóságához. A magatartási kódexeknek elő kell segíteniük az elektronikus azonosító eszközök – köztük az európai digitális személyiadat-tárcák – széles körű elfogadását azon szolgáltatók által, amelyek nem minősülnek óriásplatformnak, és amelyek a felhasználóhitelesítéshez harmadik féltől származó elektronikus azonosítási szolgáltatásokra támaszkodnak.

(59)

A szelektív hozzáférhetővé tétel azt a koncepciót jelöli, amely feljogosítja az adatok tulajdonosát arra, hogy egy nagyobb adatkészletnek csak bizonyos részeit tegye hozzáférhetővé annak érdekében, hogy az adatokat átvevő szervezet csak a felhasználó által kért szolgáltatás nyújtásához szükséges információkat szerezhesse meg. Az európai digitális személyiadat-tárcának technikailag lehetővé kell tennie az attribútumok szelektív hozzáférhetővé tételét az igénybe vevő felek felé. Technikailag lehetővé kell tenni a felhasználó számára, hogy az attribútumokat – többek között akkor is, ha azok több különálló elektronikus tanúsítványból származnak – szelektíven tegye hozzáférhetővé, és hogy zökkenőmentesen kombinálja és mutassa be azokat az igénybe vevő felek részére. Ennek a funkciónak az európai digitális személyiadat-tárcák alapvető funkciójává kell válnia, ezáltal javítva a kényelmet és a személyes adatok védelmét, az adattakarékosságot is ideértve.

(60)

Nem tiltható meg az álnév használatával történő hozzáférés a szolgáltatásokhoz, kivéve, ha az uniós vagy a nemzeti jog különös szabályai előírják a felhasználók számára, hogy azonosítsák magukat.

(61)

A minősített bizalmi szolgáltatók által a minősített attribútumtanúsítványok részeként szolgáltatott attribútumokat vagy közvetlenül a minősített bizalmi szolgáltatónak, vagy az uniós vagy nemzeti joggal összhangban nemzeti szinten elismert, kijelölt köztes szereplőkön keresztül kell ellenőrizni hiteles források alapján, a tanúsított attribútumoknak a személyazonossági vagy attribútumok tanúsítására irányuló szolgáltatásokat nyújtó szolgáltatók és az igénybe vevő felek közötti biztonságos cseréje céljából. A tagállamoknak nemzeti szinten megfelelő mechanizmusokat kell létrehozniuk annak biztosítása érdekében, hogy a minősített elektronikus attribútumtanúsítványokat kibocsátó minősített bizalmi szolgáltatók – annak a személynek a hozzájárulása alapján, amelynek részére a tanúsítványt kibocsátják – hiteles forrásokra támaszkodva ellenőrizhessék az attribútumok hitelességét. Lehetővé kell tenni, hogy ezek a megfelelő mechanizmusok magukban foglalják a hiteles forrásokhoz való hozzáférést lehetővé tevő konkrét köztes szereplők vagy technikai megoldások alkalmazását a nemzeti joggal összhangban. Egy olyan mechanizmus rendelkezésre állásának biztosítása, amely lehetővé teszi az attribútumok hiteles források alapján történő ellenőrzését, azt kívánja elősegíteni, hogy a minősített elektronikus attribútumtanúsítványokat kibocsátó minősített bizalmi szolgáltatók megfeleljenek a 910/2014/EU rendelet szerinti kötelezettségeiknek. Az említett rendelet egyik új mellékletének tartalmaznia kell egy listát azon attribútumkategóriákról, amelyek tekintetében a tagállamoknak biztosítaniuk kell, hogy intézkedések meghozatalára kerüljön sor annak lehetővé tétele érdekében, hogy az elektronikus attribútumtanúsítványokat kibocsátó minősített szolgáltatók – a felhasználó kérésére – elektronikus eszközök útján ellenőrizhessék azok hitelességét a vonatkozó hiteles forrás alapján.

(62)

A biztonságos elektronikus azonosításnak és az attribútumtanúsítványok rendelkezésre bocsátásának további rugalmasságot és megoldásokat kell kínálnia a pénzügyi szolgáltatási ágazat számára, hogy lehetővé tegye az ügyfelek azonosítását és például a Pénzmosás Elleni Hatóság létrehozásáról szóló jövőbeli rendelet szerinti ügyfél-átvilágítási követelményeknek való megfeleléshez szükséges egyedi attribútumok cseréjét, a befektetővédelmi jogszabályokból eredő alkalmassági követelmények mellett, vagy hogy támogassa a pénzforgalmi szolgáltatások területén a számlára való bejelentkezés és a tranzakciók kezdeményezésének céljára szolgáló szigorú ügyfél-hitelesítési követelmények teljesítését az online azonosításhoz.

(63)

Az elektronikus aláírás joghatása nem vitatható azon az alapon, hogy az elektronikus formátumú, illetve hogy nem felel meg a minősített elektronikus aláírásra vonatkozó követelményeknek. Az elektronikus aláírások joghatásának megállapítása mindazonáltal a nemzeti jog feladata, kivéve az e rendeletben előírt azon követelményeket, amelyek szerint a minősített elektronikus aláírás joghatását a saját kezű aláíráséval egyenértékűnek kell tekinteni. Az elektronikus aláírások joghatásainak meghatározásakor a tagállamoknak figyelembe kell venniük az aláírandó dokumentum jogi értéke, valamint az elektronikus aláírás tekintetében megkövetelt biztonsági szint és az azzal kapcsolatban felmerülő költségek közötti arányosság elvét. Az elektronikus aláírások hozzáférhetőségének és használatának fokozása érdekében javasolt, hogy a tagállamok mérlegeljék a fokozott biztonságú elektronikus aláírások használatát a mindennapi tranzakciók során, amelyekhez ezek kellő szintű biztonságot és bizalmat garantálnak.

(64)

A tanúsítási gyakorlatok Unión belüli összhangjának biztosítása érdekében a Bizottságnak iránymutatásokat kell kiadnia a minősített elektronikus aláírást létrehozó eszközök és a minősített elektronikus bélyegzőt létrehozó eszközök tanúsítására és újratanúsítására vonatkozóan, azok érvényességét és időbeli korlátait is beleértve. Ez a rendelet nem akadályozza meg a minősített elektronikus aláírást létrehozó eszközt tanúsító állami vagy magánszerveket abban, hogy az ilyen eszközt – a sebezhetőségi értékelés elvégzésére vonatkozó kötelezettség és az alkalmazandó tanúsítási gyakorlat sérelme nélkül – az előző tanúsítási folyamat eredménye alapján ideiglenes jelleggel újratanúsítsák egy rövid tanúsítási érvényességi időszakra, amennyiben az ilyen újratanúsítás – a biztonság megsértésétől vagy biztonsági eseménytől eltérő okok miatt – nem végezhető el a jogszabályban meghatározott határidőn belül.

(65)

A weboldal-hitelesítő tanúsítványok kibocsátásának célja, hogy garantálják a felhasználók számára a weboldal mögött álló szervezet személyazonosságának magas megbízhatósági szintű azonosítását, függetlenül attól, hogy milyen platformon jelenítik meg e személyazonosságot. E tanúsítványok várhatóan hozzájárulnak az online üzleti tevékenységbe vetett bizalom kiépüléséhez, mivel a felhasználók általában megbíznak egy hitelesített weboldalban. Az ilyen tanúsítványok weboldalak általi igénybevételének önkéntes jelleggel kell történnie. Ahhoz, hogy a weboldal-hitelesítés a bizalom növelésének, a felhasználói élmény javításának és a belső piacon a növekedés fokozásának eszközévé válhasson, ez a rendelet bizalmi keretrendszert határoz meg, amely magában foglalja a minősített weboldal-hitelesítő tanúsítványokat nyújtó szolgáltatókra vonatkozó biztonsági és felelősségi minimumkövetelményeket, valamint az említett tanúsítványok kibocsátására vonatkozó követelményeket. A tagállami bizalmi listáknak igazolniuk kell a weboldal-hitelesítési szolgáltatások és megbízható szolgáltatóik minősített státusát, beleértve azt is, hogy azok teljes mértékben megfelelnek e rendelet követelményeinek a minősített weboldal-hitelesítő tanúsítványok kibocsátása tekintetében. A minősített weboldal-hitelesítő tanúsítványok elismerése azt jelenti, hogy a webböngésző-szolgáltatók nem tagadhatják meg a minősített weboldal-hitelesítő tanúsítványok hitelességét kizárólag abból a célból, hogy tanúsítsák a honlap doménneve és azon természetes vagy jogi személy közötti kapcsolatot, akinek a részére a tanúsítványt kibocsátják, vagy igazolják e személy személyazonosságát. A webböngésző-szolgáltatóknak a böngészőkörnyezetben felhasználóbarát módon meg kell jeleníteniük a végfelhasználó számára a tanúsított azonosító adatokat és az egyéb tanúsított attribútumokat, az általuk választott technikai megoldás révén. E célból a webböngésző-szolgáltatóknak biztosítaniuk kell az e rendelettel teljes összhangban kibocsátott, minősített weboldal-hitelesítő tanúsítványok támogatását és az azokkal való interoperabilitást. A minősített weboldal-hitelesítő tanúsítványok elismerésére, interoperabilitására és támogatására vonatkozó kötelezettség nem érinti a webböngésző-szolgáltatók azzal kapcsolatos szabadságát, hogy az általuk legmegfelelőbbnek tartott módon és technológiával biztosítsák a webbiztonságot, a doménhitelesítést és az internetes forgalom titkosítását. A végfelhasználók online biztonságához való hozzájárulás érdekében a webböngésző-szolgáltatóknak kivételes körülmények között képesnek kell lenniük arra, hogy – egy azonosított tanúsítvány vagy tanúsítványegyüttes biztonságának megsértésével vagy sértetlenségének megszűnésével kapcsolatos megalapozott aggályokra válaszul – meghozzák a szükséges és arányos óvintézkedéseket. Amennyiben ilyen óvintézkedéseket tesznek, a webböngésző-szolgáltatóknak indokolatlan késedelem nélkül értesíteniük kell a Bizottságot, a nemzeti felügyeleti szervet, azt a szervezetet, amelynek részére a tanúsítványt kibocsátották, valamint a tanúsítványt vagy tanúsítványegyüttest kibocsátó minősített bizalmi szolgáltatót a biztonság ilyen megsértésével vagy a sértetlenség ilyen megszűnésével kapcsolatos aggályokról, valamint az egyetlen tanúsítványt vagy a tanúsítványegyüttest érintően hozott intézkedésekről. Ezek az intézkedések nem érinthetik a webböngésző-szolgáltatók azon kötelezettségét, hogy a tagállami bizalmi listákkal összhangban elismerjék a minősített weboldal-hitelesítő tanúsítványokat. Az uniós polgárok és az Unióban lakóhellyel rendelkező személyek védelmének fokozása és a minősített weboldal-hitelesítő tanúsítványok használatának előmozdítása érdekében a tagállami hatóságoknak mérlegelniük kell a minősített weboldal-hitelesítő tanúsítványok beépítését a weboldalaikba. Az e rendeletben előírt, a felügyeleti eljárásokkal kapcsolatos eltérő tagállami megközelítések és gyakorlatok közötti fokozott koherencia megvalósítását célzó intézkedések a minősített weboldal-hitelesítő tanúsítványok biztonságosságába, minőségébe és elérhetőségébe vetett fokozott bizalom kiépüléséhez kívánnak hozzájárulni.

(66)

Számos tagállam vezetett be nemzeti követelményeket a biztonságos és megbízható elektronikus archiválást nyújtó szolgáltatásokra vonatkozóan annak érdekében, hogy lehetővé váljon az elektronikus adatok és elektronikus dokumentumok, valamint a kapcsolódó bizalmi szolgáltatások hosszú távú megőrzése. A jogbiztonság, a bizalom és a harmonizáció tagállamokon átívelő biztosítása érdekében az e rendeletben meghatározott többi bizalmi szolgáltatás keretének mintájára létre kell hozni a minősített elektronikus archiválási szolgáltatások jogi keretét. A minősített elektronikus archiválási szolgáltatások jogi keretének egyrészt olyan hatékony eszköztárat kell kínálnia a bizalmi szolgáltatók és a felhasználók számára, amely az elektronikus archiválási szolgáltatásra vonatkozó funkcionális követelményeket is magában foglal, másrészt pedig egyértelmű joghatásokat kell biztosítania a minősített elektronikus archiválási szolgáltatások használata esetén. Az említett rendelkezéseket az elektronikus adatokra és az elektronikus formátumban előállított elektronikus dokumentumokra, valamint a szkennelt és digitalizált papíralapú dokumentumokra kell alkalmazni. Szükség esetén az említett rendelkezéseknek lehetővé kell tenniük a megőrzött elektronikus adatok és elektronikus dokumentumok különböző adathordozókon vagy formátumokban történő hordozását abból a célból, hogy a tartósságukat és olvashatóságukat a technológiai érvényességi időszakon túlra is ki lehessen terjeszteni, mindeközben pedig a lehetséges mértékben megelőzve az adatvesztést és az adatmódosítást. Amennyiben az elektronikus archiválási szolgáltatás céljára benyújtott elektronikus adatok és elektronikus dokumentumok egy vagy több minősített elektronikus aláírást vagy minősített elektronikus bélyegzőt tartalmaznak, a szolgáltatásnak olyan eljárásokat és technológiákat kell alkalmaznia, amelyek alkalmasak arra, hogy azok megbízhatóságát – lehetőség szerint az e rendelettel létrehozott egyéb minősített bizalmi szolgáltatások használatára támaszkodva – az ilyen adatok teljes megőrzési időszakára kiterjesszék. Elektronikus aláírások, elektronikus bélyegzők vagy elektronikus időbélyegzők használata esetén a megőrzési bizonyítékok generálásához minősített bizalmi szolgáltatásokat kell alkalmazni. Amilyen mértékben ez a rendelet nem harmonizálja az elektronikus archiválási szolgáltatásokat, a tagállamok számára lehetővé kell tenni, hogy – az uniós joggal összhangban – az említett szolgáltatásokhoz kapcsolódó nemzeti rendelkezéseket tartsanak fenn vagy vezessenek be, például olyan különös rendelkezéseket, amelyek egy adott szervezet szerves részét képező és kizárólag az említett szervezet belső archívumának céljára használt szolgáltatásokra vonatkoznak. Ez a rendelet nem tehet különbséget az elektronikus adatok és az elektronikus formátumban előállított elektronikus dokumentumok, valamint a digitalizált papíralapú dokumentumok között.

(67)

A nemzeti levéltárak és közgyűjtemények – mint az írásos örökség közérdekű megőrzésével foglalkozó szervezetek – tevékenységeit általában a nemzeti jog szabályozza, és ezen intézmények nem feltétlenül nyújtanak az e rendelet értelmében vett bizalmi szolgáltatásokat. Amennyiben ezek az intézmények nem nyújtanak ilyen bizalmi szolgáltatásokat, ez a rendelet nem érinti a működésüket.

(68)

Az elektronikus főkönyv elektronikus adatrekordok sorozata, amelynek biztosítania kell azok sértetlenségét, valamint időrendi sorrendjük pontosságát. Az elektronikus főkönyveknek létre kell hozniuk az adatrekordok időrendi sorrendjét. Más technológiákkal együtt hozzá kell járulniuk olyan hatékonyabb és átalakító jellegű közszolgáltatások megvalósítását célzó megoldásokhoz, mint például az e-szavazás, a vámhatóságok határokon átnyúló együttműködése, a tudományos intézmények határokon átnyúló együttműködése és az ingatlanok tulajdonjogának decentralizált földhivatali nyilvántartásokban történő nyilvántartásba vétele. A minősített elektronikus főkönyveknek jogi vélelmet kell teremteniük arra vonatkozóan, hogy a főkönyvben szereplő adatrekordok szekvenciális időrendi sorrendje egyedi és pontos, valamint hogy azok sértetlenek. Sajátosságaik – például az adatrekordok szekvenciális időrendi sorrendje – miatt az elektronikus főkönyveket meg kell különböztetni más bizalmi szolgáltatásoktól, például az elektronikus időbélyegzőktől és az ajánlott elektronikus kézbesítési szolgáltatásoktól. A jogbiztonság biztosítása és az innováció előmozdítása érdekében létre kell hozni egy uniós szintű jogi keretet, amely előírja az adatok elektronikus főkönyvekben való rögzítéséhez kapcsolódó bizalmi szolgáltatások határokon átnyúló elismerését. Ennek kellőképpen meg kell akadályoznia ugyanazon digitális eszköz lemásolását és különböző felek részére történő, többszöri értékesítését. Az elektronikus főkönyvek létrehozásának és frissítésének folyamata az alkalmazott főkönyv típusától függ, nevezetesen attól, hogy a főkönyv központosított-e vagy elosztott. Ennek a rendeletnek biztosítania kell a technológiasemlegességet, nevezetesen azt, hogy ne részesüljön sem előnyben, sem hátrányban az elektronikus főkönyvekhez kapcsolódó új bizalmi szolgáltatás megvalósításához használt egyik technológia sem. Emellett a minősített elektronikus főkönyvekre vonatkozó követelményeket meghatározó végrehajtási jogi aktusok kidolgozása során a Bizottságnak megfelelő módszertanokat alkalmazva figyelembe kell vennie az éghajlatra gyakorolt káros hatásokkal vagy a környezetet érintő egyéb káros hatásokkal kapcsolatos fenntarthatósági mutatókat.

(69)

Az elektronikus főkönyvek bizalmi szolgáltatói szerepének arra kell kiterjednie, hogy meggyőződjenek arról, hogy az adatok főkönyvben történő rögzítése szekvenciális módon történik. Ez a rendelet nem érinti az elektronikus főkönyvek felhasználóinak az uniós jog vagy a nemzeti jog szerinti jogi kötelezettségeit. Például a személyes adatok kezelésével járó felhasználási eseteknek meg kell felelniük az (EU) 2016/679 rendeletnek, a pénzügyi szolgáltatásokkal kapcsolatos felhasználási eseteknek pedig meg kell felelniük a pénzügyi szolgáltatásokra vonatkozó releváns uniós jognak.

(70)

A belső piacon az eltérő szabványokból és műszaki korlátozásokból adódó széttagoltság és akadályok elkerülése, valamint az európai digitális személyazonossági keret végrehajtása hátrányos befolyásolásának elkerülését segítő koordinált folyamat biztosítása érdekében szoros és strukturált együttműködési folyamatra van szükség a Bizottság, a tagállamok, a civil társadalom, a tudományos körök és a magánszektor között. Az említett cél elérése érdekében a tagállamoknak és a Bizottságnak együtt kell működniük egymással az (EU) 2021/946 bizottsági ajánlásban (16) meghatározott keretek között annak érdekében, hogy meghatározzák az európai digitális személyazonossági keret közös uniós eszköztárát. Ennek keretében a tagállamoknak meg kell állapodniuk egy átfogó műszaki architektúráról és referenciakeretről, a közös szabványokról és műszaki referenciákról – beleértve az elismert meglévő szabványokat is – valamint egyes iránymutatásokról és a bevált gyakorlatok leírásáról, amelyek kiterjednek legalább az e rendeletben meghatározott európai digitális személyiadat-tárcákkal – az elektronikus aláírásokat is beleértve –, valamint az elektronikus attribútumtanúsítványok minősített bizalmi szolgáltatóival kapcsolatos valamennyi funkcionalitásra és az azok közötti interoperabilitásra. Ezzel összefüggésben a tagállamoknak meg kell állapodniuk továbbá az európai digitális személyiadat-tárcák üzleti modelljét és díjszerkezetét érintő közös elemekről is, hogy megkönnyítsék annak elterjedését, különösen a kkv-k között a határokon átnyúló esetekben. Az eszköztár tartalmának az európai digitális személyazonossági kerettel kapcsolatos megbeszélésekkel és a keret elfogadásának folyamatával párhuzamosan kell alakulnia, és tükröznie kell azok eredményeit.

(71)

E rendelet harmonizált minőségi, megbízhatósági és biztonsági szintről rendelkezik a minősített bizalmi szolgáltatások tekintetében, függetlenül attól, hogy hol kerül sor a műveletek végzésére. Következésképpen a minősített bizalmi szolgáltató számára lehetővé kell tenni, hogy a minősített bizalmi szolgáltatás nyújtásához kapcsolódó műveleteit kiszervezze harmadik országba, amennyiben e harmadik ország megfelelő garanciákat nyújt annak biztosítására vonatkozóan, hogy a felügyeleti tevékenységeket és az ellenőrzéseket úgy lehessen végrehajtani, mintha ezeket az Unióban végeznék. Amennyiben az e rendeletnek való megfelelés nem biztosítható teljes mértékben, a felügyeleti szervek számára lehetővé kell tenni, hogy arányos és indokolt intézkedéseket fogadjanak el, ideértve a nyújtott bizalmi szolgáltatás minősített státusának visszavonását is.

(72)

A minősített tanúsítványokon alapuló fokozott biztonságú elektronikus aláírások érvényességével kapcsolatos jogbiztonság szavatolása érdekében elengedhetetlen részletesen meghatározni az adott, minősített tanúsítványokon alapuló fokozott biztonságú elektronikus aláírás érvényesítését végző igénybe vevő fél által végzendő értékelést.

(73)

A bizalmi szolgáltatóknak az általuk nyújtott bizalmi szolgáltatások biztonságának és megbízhatóságának szavatolása érdekében az aktuális bevált gyakorlatokat tükröző kriptográfiai módszereket, azokhoz pedig megbízható algoritmus-implementációkat kell alkalmazniuk.

(74)

Ez a rendelet kötelezi a minősített bizalmi szolgáltatókat arra, hogy – különböző uniós szintű harmonizált módszerek alapján – ellenőrizzék azon természetes vagy jogi személyek személyazonosságát, akik, illetve amelyek részére a minősített tanúsítványt vagy a minősített elektronikus attribútumtanúsítványt kibocsátják. Annak biztosítása érdekében, hogy a minősített tanúsítványokat és a minősített elektronikus attribútumtanúsítványokat azon személy részére bocsássák ki, akihez azok tartoznak, valamint hogy e tanúsítványok az adott személy személyazonosságára vonatkozó helyes és egyedi adatokat tanúsítsák, a minősített tanúsítványokat kibocsátó vagy minősített elektronikus attribútumtanúsítványokat kibocsátó minősített bizalmi szolgáltatóknak az említett tanúsítványok kibocsátásának időpontjában teljes bizonyossággal kell szavatolniuk az adott személy azonosítását. Ezen túlmenően, a személy személyazonosságának kötelező ellenőrzése mellett – adott esetben a minősített tanúsítványok kibocsátása esetében és a minősített elektronikus attribútumtanúsítványok kibocsátásakor – a minősített bizalmi szolgáltatóknak teljes bizonyossággal kell szavatolniuk azon személy tanúsított attribútumainak helyességét és pontosságát, akinek a részére a minősített tanúsítványt vagy a minősített elektronikus attribútumtanúsítványt kibocsátják. A tanúsított adatok ellenőrzése során ezen eredménykötelezettség és a teljes bizonyosságra vonatkozó e kötelezettség teljesítését megfelelő eszközöknek kell segíteniük, ideértve az e rendeletben előírt konkrét módszerek egyikének vagy – ha szükséges – azok kombinációjának alkalmazását. Lehetővé kell tenni e módszerek kombinálását annak érdekében, hogy megfelelő alapokon nyugodjon azon személy személyazonosságának az ellenőrzése, akinek a részére a minősített tanúsítványt vagy a minősített elektronikus attribútumtanúsítványt kibocsátják. Lehetővé kell tenni, hogy az ilyen kombináció magában foglalja a „jelentős” biztonsági szint követelményeinek megfelelő elektronikus azonosító eszközök igénybevételét egyéb azonosság-ellenőrző eszközökkel kombináltan, ami lehetővé tenné az e rendeletben a „magas” biztonsági szint tekintetében meghatározott harmonizált követelmények teljesülését a kiegészítő harmonizált távoli eljárások részeként, biztosítva a magas megbízhatósági szintű azonosítást. Az említett módszereknek magukban kell foglalniuk annak lehetőségét, hogy a minősített elektronikus attribútumtanúsítványt kibocsátó minősített bizalmi szolgáltató a felhasználó kérésére az uniós vagy nemzeti joggal összhangban elektronikus úton – többek között hiteles források alapján – ellenőrizze a tanúsítandó attribútumokat.

(75)

Annak biztosítása érdekében, hogy ez a rendelet folyamatosan megfeleljen a globális fejleményeknek, valamint a belső piaci bevált gyakorlatokhoz való igazodás céljából, a Bizottság által elfogadott, felhatalmazáson alapuló és végrehajtási jogi aktusokat rendszeresen felül kell vizsgálni, és azokat szükség esetén aktualizálni kell. Ezen aktualizálások szükségességének felmérése során figyelembe kell venni az új technológiákat, gyakorlatokat, szabványokat és technikai specifikációkat.

(76)

Mivel e rendelet céljait, nevezetesen az egész Unióra kiterjedő európai digitális személyazonossági keret és bizalmi szolgáltatási keret kialakítását a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés terjedelme és hatása miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat a szubszidiaritásnak az Európai Unióról szóló szerződés 5. cikkében foglalt elvével összhangban. Az arányosságnak az említett cikkben foglalt elvével összhangban ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.

(77)

Az európai adatvédelmi biztossal az (EU) 2018/1725 rendelet 42. cikkének (1) bekezdésével összhangban konzultációra került sor.

(78)

A 910/2014/EU rendeletet ezért ennek megfelelően módosítani kell,

1.

Az 1. cikk helyébe a következő szöveg lép:

2.

A 2. cikk a következőképpen módosul:

3.

A 3. cikk a következőképpen módosul:

4.

Az 5. cikk helyébe a következő szöveg lép:

5.

A II. fejezet a következő szakasszal egészül ki:

(*2)  Az Európai Parlament és a Tanács (EU) 2019/882 irányelve (2019. április 17.) a termékekre és a szolgáltatásokra vonatkozó akadálymentességi követelményekről (HL L 151., 2019.6.7., 70. o.)."

(*3)  Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15. o.)."

(*4)  A Bizottság 2003/361/EK ajánlása (2003. május 6.) a mikro-, kis- és középvállalkozások meghatározásáról (HL L 124., 2003.5.20., 36. o.)."

(*5)  Az Európai Parlament és a Tanács (EU) 2022/2065 rendelete (2022. október 19.) a digitális szolgáltatások egységes piacáról és a 2000/31/EK irányelv módosításáról (digitális szolgáltatásokról szóló rendelet) (HL L 277., 2022.10.27., 1. o.).” "

6.

A szöveg a 6. cikk előtt a következő címmel egészül ki:

7.

A 7. cikk g) pontja helyébe a következő szöveg lép:

8.

A 8. cikk (3) bekezdésének első albekezdése helyébe a következő szöveg lép:

9.

A 9. cikk (2) és (3) bekezdésének helyébe a következő szöveg lép:

10.

A 10. cikk címének helyébe a következő szöveg lép:

„Az elektronikus azonosítási rendszerek biztonságának megsértése”.

11.

A szöveg a következő cikkel egészül ki:

12.

A 12. cikk a következőképpen módosul:

13.

A II. fejezet a következő cikkekkel egészül ki:

(*6)  Az Európai Parlament és a Tanács (EU) 2022/1925 rendelete (2022. szeptember 14.) a digitális ágazat vonatkozásában a versengő és tisztességes piacokról, valamint az (EU) 2019/1937 és az (EU) 2020/1828 irányelv módosításáról (digitális piacokról szóló jogszabály) (HL L 265., 2022.10.12., 1. o.).” "

14.

A 13. cikk (1) bekezdésének helyébe a következő szöveg lép:

15.

A 14., 15. és 16. cikk helyébe a következő szöveg lép:

(*7)  Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (HL L 333., 2022.12.27., 80. o.).” "

16.

A III. fejezet 2. szakasza címének helyébe a következő szöveg lép:

„Nem minősített bizalmi szolgáltatások”

17.

A 17. és 18. cikket el kell hagyni.

18.

A III. fejezet 2. szakasza a következő cikkel egészül ki:

19.

A 20. cikk a következőképpen módosul:

20.

A 21. cikk a következőképpen módosul:

21.

A 24. cikk a következőképpen módosul:

22.

A III. fejezet 3. szakasza a következő cikkel egészül ki:

23.

A 25. cikkben a (3) bekezdést el kell hagyni.

24.

A 26. cikk a következőképpen módosul:

25.

A 27. cikkben a (4) bekezdést el kell hagyni.

26.

A 28. cikk (6) bekezdésének helyébe a következő szöveg lép:

27.

A 29. cikk a következő bekezdéssel egészül ki:

28.

A szöveg a következő cikkel egészül ki:

29.

A 30. cikk a következő bekezdéssel egészül ki:

30.

A 31. cikk (3) bekezdésének helyébe a következő szöveg lép:

31.

A 32. cikk a következőképpen módosul:

32.

A szöveg a következő cikkel egészül ki:

33.

A 33. cikk (2) bekezdésének helyébe a következő szöveg lép:

34.

A 34. cikk a következőképpen módosul:

35.

A 35. cikkben a (3) bekezdést el kell hagyni.

36.

A 36. cikk a következőképpen módosul:

37.

A 37. cikkben a (4) bekezdést el kell hagyni.

38.

A 38. cikk (6) bekezdésének helyébe a következő szöveg lép:

39.

A szöveg a következő cikkel egészül ki:

40.

A III. fejezet 5. szakasza a következő cikkel egészül ki:

41.

A 41. cikkben a (3) bekezdést el kell hagyni.

42.

A 42. cikk a következőképpen módosul:

43.

A 44. cikk a következőképpen módosul:

44.

A 45. cikk helyébe a következő szöveg lép:

45.

A szöveg a következő cikkel egészül ki:

46.

A III. fejezet a következő szakaszokkal egészül ki:

47.

A szöveg a következő fejezettel egészül ki:

48.

A 47. cikk a következőképpen módosul:

49.

A VI. fejezet a következő cikkel egészül ki:

50.

A 49. cikk helyébe a következő szöveg lép:

51.

Az 51. cikk helyébe a következő szöveg lép:

52.

Az I–IV. melléklet e rendelet I–IV. mellékletének megfelelően módosul.

53.

A szöveg kiegészül az e rendelet V., VI. és VII. mellékletében foglalt új V., VI. és VII. melléklettel.