(1)

V oznámení Komisie z 19. februára 2020 s názvom „Formovanie digitálnej budúcnosti Európy“ sa ohlasuje revízia nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 (4) s cieľom zlepšiť jeho účinnosť, rozšíriť jeho prínosy na súkromný sektor a podporiť dôveryhodné digitálne identity pre všetkých Európanov.

(2)

Európska rada vo svojich záveroch z 1. a 2. októbra 2020 vyzvala Komisiu, aby navrhla vytvorenie rámca Únie na bezpečnú verejnú elektronickú identifikáciu vrátane interoperabilných digitálnych podpisov s cieľom poskytnúť ľuďom kontrolu nad ich online totožnosťou a údajmi, ako aj umožniť prístup k verejným, súkromným a cezhraničným digitálnym službám.

(3)

V politickom programe Digitálne desaťročie do roku 2030, ktorý sa zriadil rozhodnutím Európskeho parlamentu a Rady (EÚ) 2022/2481 (5), sa stanovujú všeobecné a digitálne ciele rámca Únie, ktoré majú do roku 2030 viesť k rozsiahlemu zavádzaniu dôveryhodnej, dobrovoľnej a používateľsky kontrolovanej digitálnej identity, ktorá je uznávaná v celej Únii a umožňuje každému používateľovi kontrolovať svoje údaje v online interakciách.

(4)

V Európskom vyhlásení o digitálnych právach a zásadách v digitálnom desaťročí, ktoré vydali Európsky parlament, Rada a Komisia (6) (ďalej len „vyhlásenie“), sa zdôrazňuje právo každého na prístup k digitálnym technológiám, produktom a službám, ktoré sú navrhnuté tak, aby boli bezpečné a chránené a aby chránili súkromie. Zahŕňa to aj zabezpečenie toho, aby sa všetkým ľuďom žijúcim v Únii ponúkla prístupná, bezpečná a dôveryhodná digitálna identita, ktorá umožní prístup k širokej škále online a offline služieb chránených pred rizikami kybernetickej bezpečnosti a počítačovou kriminalitou vrátane porušenia ochrany údajov a krádeže alebo manipulácie totožnosti. Vo vyhlásení sa tiež uvádza, že každý má právo na ochranu svojich osobných údajov. Toto právo zahŕňa kontrolu nad tým, ako sa údaje používajú a komu sa poskytujú.

(5)

Občania Únie a osoby s pobytom v Únii by mali mať právo na digitálnu identitu, ktorá je pod ich výlučnou kontrolou a ktorá im umožňuje uplatňovať si práva v digitálnom prostredí a zúčastňovať sa na digitálnom hospodárstve. Na dosiahnutie tohto cieľa by sa mal zriadiť európsky rámec digitálnej identity, ktorý by občanom Únie a osobám s pobytom v Únii umožnil prístup k verejným a súkromným online a offline službám v celej Únii.

(6)

Harmonizovaný rámec digitálnej identity by mal prispieť k vytvoreniu digitálne integrovanejšej Únie, pretože by zmenšil digitálne prekážky medzi členskými štátmi, umožnil by občanom Únie a osobám s pobytom v Únii využívať výhody digitalizácie a zároveň by zvýšil transparentnosť a ochranu ich práv.

(7)

Harmonizovanejší prístup k elektronickej identifikácii by mal znížiť riziká a náklady vyplývajúce zo súčasnej fragmentácie, ktorú spôsobuje používanie rozdielnych vnútroštátnych riešení alebo v niektorých členských štátoch neexistencia takýchto riešení elektronickej identifikácie. Takýmto prístupom by sa mal posilniť vnútorný trh tým, že sa občanom Únie, osobám s pobytom v Únii v zmysle vnútroštátneho práva a podnikom umožní identifikovať sa a poskytovať autentifikáciu svojej totožnosti online aj offline bezpečným, dôveryhodným, používateľsky ústretovým, pohodlným, prístupným a harmonizovaným spôsobom v celej Únii. Európska peňaženka digitálnej identity by mala fyzickým a právnickým osobám v celej Únii poskytnúť harmonizovaný prostriedok elektronickej identifikácie, ktorý im umožní vykonávať autentifikáciu a zdieľať údaje súvisiace s ich totožnosťou. Každý by mal mať bezpečný prístup k verejným a súkromným službám prostredníctvom zlepšeného ekosystému dôveryhodných služieb a prostredníctvom overených dôkazov totožnosti a elektronických osvedčení atribútov, ako sú napríklad akademické kvalifikácie vrátane vysokoškolských titulov alebo iné dosiahnuté formy vzdelania alebo odbornej kvalifikácie. Cieľom európskeho rámca digitálnej identity je dosiahnuť posun od výlučného využívania vnútroštátnych riešení digitálnej identity k poskytovaniu elektronických osvedčení atribútov platných a právne uznávaných v celej Únii. Poskytovatelia elektronických osvedčení atribútov by mali profitovať z jasného a jednotného súboru pravidiel, zatiaľ čo verejné orgány by mali mať možnosť využívať elektronické dokumenty v určitom stanovenom formáte.

(8)

Niekoľko členských štátov zaviedlo a využíva prostriedky elektronickej identifikácie, ktoré akceptujú poskytovatelia služieb v Únii. Okrem toho sa na základe nariadenia (EÚ) č. 910/2014 realizovali investície do vnútroštátnych aj cezhraničných riešení, ktoré zahŕňajú aj interoperabilitu oznámených schém elektronickej identifikácie podľa uvedeného nariadenia. Očakáva sa, že v záujme zaručenia komplementárnosti a rýchleho prijatia európskych peňaženiek digitálnej identity súčasnými používateľmi oznámených prostriedkov elektronickej identifikácie a v záujme minimalizovania vplyvu na existujúcich poskytovateľov služieb budú európske peňaženky digitálnej identity ťažiť zo skúseností, ktoré sa získali v súvislosti s existujúcimi prostriedkami elektronickej identifikácie, a z využívania infraštruktúry oznámených schém elektronickej identifikácie zavedených na úrovni Únie a na vnútroštátnej úrovni.

(9)

Na všetky činnosti spracúvania osobných údajov podľa nariadenia (EÚ) č. 910/2014 sa vzťahuje nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (7) a v relevantných prípadoch smernica Európskeho parlamentu a Rady 2002/58/ES (8). V súlade s uvedenými pravidlami sú aj riešenia, ktoré sú súčasťou rámca interoperability stanoveného v tomto nariadení. V práve Únie v oblasti ochrany údajov sa stanovujú zásady ochrany údajov, ako je zásada minimalizácie údajov a obmedzenia účelu, a povinnosti, ako je špecificky navrhnutá a štandardná ochrana údajov.

(10)

Na podporu konkurencieschopnosti podnikov v Únii by poskytovatelia online aj offline služieb mali mať možnosť využívať riešenia digitálnej identity uznávané v celej Únii bez ohľadu na členský štát, v ktorom sa tieto riešenia poskytujú, a tak profitovať z harmonizovaného únijného prístupu k dôvere, bezpečnosti a interoperabilite. Používatelia aj poskytovatelia služieb by mali mať možnosť využívať výhody, ktoré prináša rovnaká právna sila elektronických osvedčení atribútov v celej Únii. Harmonizovaný rámec digitálnej identity má vytvárať hospodársku hodnotu poskytovaním jednoduchšieho prístupu k tovaru a službám, výrazným znížením prevádzkových nákladov spojených s postupmi elektronickej identifikácie a autentifikácie, napríklad počas pripájania nových zákazníkov, obmedzením potenciálu páchať počítačovú kriminalitu, ako je krádež totožnosti, krádež údajov a online podvody, čím sa podporí zvýšenie efektívnosti a bezpečná digitálna transformácia mikropodnikov a malých a stredných podnikov (ďalej len „MSP“) v Únii.

(11)

Európske peňaženky digitálnej identity by mali uľahčiť uplatňovanie zásady „jedenkrát a dosť“, a tým znížiť administratívne zaťaženie občanov Únie, osôb s pobytom v Únii a podnikov v celej Únii, podporiť ich cezhraničnú mobilitu a posilniť rozvoj interoperabilných služieb elektronickej verejnej správy v celej Únii.

(12)

Na spracúvanie osobných údajov pri vykonávaní tohto nariadenia sa vzťahuje nariadenie (EÚ) 2016/679, nariadenie Európskeho parlamentu a Rady a (EÚ) 2018/1725 (9) a smernica 2002/58/ES. V tomto nariadení by sa preto mali stanoviť osobitné záruky, aby sa poskytovateľom prostriedkov elektronickej identifikácie a elektronického osvedčenia atribútov zabránilo spájať osobné údaje, ktoré získavajú pri poskytovaní iných služieb, s osobnými údajmi, ktoré spracúvajú na účely poskytovania služieb, ktoré patria do rozsahu pôsobnosti tohto nariadenia. Osobné údaje súvisiace s poskytovaním európskych peňaženiek digitálnej identity by sa mali uchovávať logicky oddelene od všetkých ostatných údajov, ktoré uchováva poskytovateľ európskej peňaženky digitálnej identity. Toto nariadenie by poskytovateľom európskych peňaženiek digitálnej identity nemalo brániť v tom, aby uplatňovali dodatočné technické opatrenia, ktoré prispievajú k ochrane osobných údajov, ako je fyzické oddelenie osobných údajov súvisiacich s poskytovaním európskych peňaženiek digitálnej identity od všetkých ostatných údajov, ktoré uchováva poskytovateľ. Bez toho, aby bolo dotknuté nariadenie (EÚ) 2016/679, sa v tomto nariadení bližšie špecifikuje uplatňovanie zásad obmedzenia účelu, minimalizácie údajov a špecificky navrhnutej a štandardnej ochrany údajov.

(13)

Európske peňaženky digitálnej identity by mali mať zabudovanú funkciu spoločného prehľadu, aby sa zabezpečila vyššia miera transparentnosti a súkromia a aby mali používatelia väčšiu kontrolu nad svojimi osobnými údajmi. Uvedená funkcia by mala poskytovať jednoduché a používateľsky ústretové rozhranie s prehľadom o všetkých spoliehajúcich sa stranách, s ktorým používateľ zdieľa údaje, vrátane atribútov a druhu údajov zdieľaných s jednotlivými spoliehajúcimi sa stranami. Mala by používateľom umožniť sledovať všetky transakcie vykonané prostredníctvom európskej peňaženky digitálnej identity aspoň s týmito údajmi: čas a dátum transakcie, identifikácia protistrany, požadované osobné údaje a zdieľané údaje. Tieto informácie by sa mali uchovávať aj v prípade, že sa transakcia neuzavrela. Pravosť informácií obsiahnutých v histórii transakcií by nemalo byť možné poprieť. Takáto funkcia by mala byť automaticky aktívna. Používateľom by to malo umožniť priamo prostredníctvom európskej peňaženky digitálnej identity jednoducho požiadať, aby spoliehajúca sa strana bezodkladne vymazala osobné údaje podľa článku 17 nariadenia (EÚ) 2016/679, a jednoducho nahlásiť spoliehajúcu sa stranu príslušnému vnútroštátnemu orgánu pre ochranu údajov, ak dostanú údajne nezákonnú alebo podozrivú žiadosť o osobné údaje.

(14)

Členské štáty by mali do európskej peňaženky digitálnej identity začleniť rôzne technológie na ochranu súkromia, ako je dôkaz s nulovou znalosťou. Tieto kryptografické metódy by mali umožniť spoliehajúcej sa strane validovať, či je vyhlásenie založené na identifikačných údajoch a osvedčení atribútov danej osoby pravdivé bez toho, aby sa odhalili akékoľvek údaje, na ktorých je toto vyhlásenie založené, čím sa zachová súkromie používateľa.

(15)

V tomto nariadení sa stanovujú harmonizované podmienky na vytvorenie rámca pre európske peňaženky digitálnej identity, ktoré majú poskytovať členské štáty. Všetci občania Únie a osoby s pobytom v Únii v zmysle vymedzenia vo vnútroštátnom práve by mali byť oprávnení bezpečne požadovať, vyberať, kombinovať, uchovávať, vymazávať, zdieľať a prezentovať údaje súvisiace s ich totožnosťou a požadovať vymazanie svojich osobných údajov používateľsky ústretovým a pohodlným spôsobom, pod výlučnou kontrolou používateľa, a zároveň by mali byť oprávnení umožniť selektívne zverejnenie osobných údajov. Týmto nariadením sa zohľadňujú spoločné európske hodnoty a rešpektujú základné práva, právne záruky a zodpovednosť, čím sa poskytuje ochrana demokratickým spoločnostiam, občanom Únie a osobám s pobytom v Únii. Technológie, ktoré sa použijú na dosiahnutie týchto cieľov, by sa mali vyvíjať v záujme dosiahnutia najvyššej úrovne bezpečnosti, súkromia, jednoduchosti používania, dostupnosti, širokej použiteľnosti a bezproblémovej interoperability. Členské štáty by mali zabezpečiť pre všetkých svojich občanov a osoby s pobytom na ich území rovnaký prístup k elektronickej identifikácii. Členské štáty by nemali priamo ani nepriamo obmedzovať prístup k verejným alebo súkromným službám pre fyzické alebo právnické osoby, ktoré sa nerozhodnú používať európske peňaženky digitálnej identity, a mali by sprístupniť vhodné alternatívne riešenia.

(16)

Členské štáty by mali využívať možnosti, ktoré ponúka toto nariadenie, na to, aby na vlastnú zodpovednosť poskytovali európske peňaženky digitálnej identity na používanie fyzickým a právnickým osobám s pobytom na ich území. S cieľom poskytnúť členským štátom flexibilitu a využiť najmodernejšie technológie by toto nariadenie malo umožňovať, aby európske peňaženky digitálnej identity poskytoval priamo členský štát, aby sa poskytovali na základe mandátu členského štátu alebo nezávisle od členského štátu, avšak na základe jeho uznania.

(17)

Na účely registrácie by spoliehajúce sa strany mali poskytnúť informácie potrebné na ich elektronickú identifikáciu a autentifikáciu vo vzťahu k európskym peňaženkám digitálnej identity. Pri deklarovaní zamýšľaného ich použitia európskej peňaženky digitálnej identity by spoliehajúce sa strany mali poskytnúť informácie o údajoch, ktoré môžu požadovať na účely poskytovania svojich služieb, ako aj dôvod ich požadovania. Registrácia spoliehajúcej sa strany členským štátom uľahčí overovanie zákonnosti činností spoliehajúcich sa strán v súlade s právom Únie. Povinnosťou registrácie stanovenou v tomto nariadení by nemali byť dotknuté povinnosti stanovené v iných právnych predpisoch Únie alebo vnútroštátnych právnych predpisoch, ako sú informácie, ktoré sa majú poskytnúť dotknutým osobám podľa nariadenia (EÚ) 2016/679. Spoliehajúce sa strany by mali dodržiavať záruky stanovené v článkoch 35 a 36 uvedeného nariadenia, a to najmä vykonávaním posúdení vplyvu na ochranu údajov a konzultáciami s príslušnými orgánmi pre ochranu údajov pred spracúvaním údajov, ak z posúdení vplyvu na ochranu údajov vyplýva, že spracúvanie povedie k vysokému riziku. Takéto záruky by mali podporovať zákonné spracúvanie osobných údajov spoliehajúcimi sa stranami, najmä ak ide o osobitné kategórie údajov, ako sú napríklad zdravotné údaje. Cieľom registrácie spoliehajúcich sa strán je zvýšiť transparentnosť a dôveru v používanie európskych peňaženiek digitálnej identity. Registrácia by mala byť nákladovo efektívna a primeraná súvisiacim rizikám, aby sa zabezpečilo jej využívanie poskytovateľmi služieb. V tejto súvislosti by sa v rámci registrácie malo zabezpečiť využívanie automatizovaných postupov, čo zahŕňa aj spoliehanie sa na existujúce registre a ich využívanie členskými štátmi, a nemal by sa uplatňovať postup predbežného povoľovania. Proces registrácie by mal umožňovať rôzne prípady použitia, ktoré sa môžu líšiť z hľadiska spôsobu prevádzky, či už online alebo v offline režime, alebo z hľadiska požiadavky na autentifikáciu zariadení na účely prepojenia s európskou peňaženkou digitálnej identity. Registrácia by sa mala vzťahovať výlučne na spoliehajúce sa strany, ktoré poskytujú služby prostredníctvom digitálnej interakcie.

(18)

Ochrana občanov Únie a osôb s pobytom v Únii pred neoprávneným alebo podvodným používaním európskych peňaženiek digitálnej identity má veľký význam pre zabezpečenie dôvery v európske peňaženky digitálnej identity a pre ich široké využívanie. Používateľom by sa mala pred takýmto zneužitím poskytnúť účinná ochrana. Najmä ak skutkovú podstatu podvodného alebo inak nezákonného používania európskej peňaženky digitálnej identity stanoví vnútroštátny súdny orgán v kontexte iného konania, orgány dohľadu, ktoré sú zodpovedné za vydavateľov európskej peňaženky digitálnej identity, by mali po oznámení prijať potrebné opatrenia na zabezpečenie toho, aby sa registrácia danej spoliehajúcej sa strany a jej začlenenie do mechanizmu autentifikácie zrušili alebo pozastavili dovtedy, kým oznamujúci orgán nepotvrdí, že zistené nezrovnalosti boli odstránené.

(19)

Všetky európske peňaženky digitálnej identity by mali používateľom umožňovať cezhraničnú elektronickú identifikáciu a autentifikáciu online aj v offline režime na účely získania prístupu k širokej škále verejných a súkromných služieb. Bez toho, aby boli dotknuté výhradné práva členských štátov, pokiaľ ide o identifikáciu ich občanov a osôb s pobytom na ich území, európske peňaženky digitálnej identity môžu slúžiť aj na inštitucionálne potreby orgánov verejnej správy, medzinárodných organizácií a inštitúcií, orgánov, úradov a agentúr Únie. Autentifikácia v offline režime by bola dôležitá v mnohých odvetviach vrátane zdravotníctva, kde sa služby často poskytujú prostredníctvom osobnej interakcie, a v prípade elektronických receptov by mala existovať možnosť využívať na overenie pravosti kódy QR alebo podobné technológie. S cieľom splniť bezpečnostné požiadavky podľa tohto nariadenia by európske peňaženky digitálnej identity, ktoré sa spoliehajú na úroveň zabezpečenia „vysoká“ z hľadiska schém elektronickej identifikácie, mali využívať potenciál, ktorý ponúkajú riešenia odolné proti neoprávnenej manipulácii, ako sú napríklad bezpečnostné prvky. Európske peňaženky digitálnej identity by mali používateľom takisto umožniť vytvárať a používať kvalifikované elektronické podpisy a pečate akceptované v celej Únii. Po pripojení sa na európsku peňaženku digitálnej identity by fyzické osoby mali mať možnosť štandardne a bezplatne používať túto peňaženku na podpisovanie kvalifikovanými elektronickými podpismi bez toho, aby museli absolvovať akékoľvek dodatočné administratívne postupy. Používatelia by mali mať možnosť podpisovať alebo pečatiť vlastné tvrdenia alebo vlastné atribúty. V záujme dosiahnutia výhod zo zjednodušenia a zníženia nákladov pre osoby a podniky v celej Únii, okrem iného aj umožnením vydávania oprávnení na zastupovanie a elektronických mandátov, by členské štáty mali poskytovať európske peňaženky digitálnej identity, ktoré sú založené na spoločných normách a technických špecifikáciách, aby sa zabezpečila bezproblémová interoperabilita a primerane sa zvýšila bezpečnosť informačných technológií, posilnila odolnosť proti kybernetickým útokom, a tým výrazne znížili potenciálne riziká, ktoré z prebiehajúcej digitalizácie vyplývajú pre občanov Únie, osoby s pobytom v Únii a pre podniky. Len príslušné orgány členských štátov môžu poskytnúť vysokú úroveň dôvery pri zisťovaní totožnosti osoby, a poskytnúť tak záruku, že osoba, ktorá tvrdí, že má určitú totožnosť alebo si na určitú totožnosť uplatňuje nárok, je skutočne danou osobou. Je preto potrebné, aby sa poskytovanie európskych peňaženiek digitálnej identity opieralo o právnu identitu občanov Únie, osôb s pobytom v Únii alebo právnických osôb. Opieranie sa o právnu identitu by nemalo používateľom európskej peňaženky digitálnej identity brániť v prístupe k službám na základe pseudonymu, ak sa na autentifikáciu nevzťahuje právna požiadavka na právnu identitu. Dôvera v európske peňaženky digitálnej identity by sa posilnila, ak by vydávajúce a spravujúce strany boli v súlade s nariadením (EÚ) 2016/679 povinné zaviesť primerané technické a organizačné opatrenia na zabezpečenie najvyššej úrovne bezpečnosti, ktorá zodpovedá rizikám, ktoré vznikajú v súvislosti s právami a slobodami fyzických osôb.

(20)

Používanie kvalifikovaného elektronického podpisu na neprofesionálne účely by malo byť pre všetky fyzické osoby bezplatné. Členským štátom by sa malo umožniť zavádzať opatrenia na zabránenie používania kvalifikovaných elektronických podpisov pre fyzické osoby na profesionálne účely bezplatne, a zároveň zabezpečiť, aby boli všetky takéto opatrenia primerané zisteným rizikám a aby boli odôvodnené.

(21)

Je vhodné uľahčiť zavádzanie a používanie európskych peňaženiek digitálnej identity ich bezproblémovou integráciou do ekosystému verejných a súkromných digitálnych služieb, ktoré sa už zaviedli na vnútroštátnej, miestnej alebo regionálnej úrovni. Členské štáty by na dosiahnutie tohto cieľa mali mať možnosť stanoviť právne a organizačné opatrenia s cieľom zvýšiť flexibilitu pre poskytovateľov európskych peňaženiek digitálnej identity a umožniť dodatočné funkcie európskych peňaženiek digitálnej identity popri tých, ktoré sú stanovené v tomto nariadení, a to aj prostredníctvom zvýšenej interoperability s existujúcimi vnútroštátnymi prostriedkami elektronickej identifikácie. Takéto dodatočné funkcie by nemali byť v žiadnom prípade na úkor poskytovania základných funkcií európskych peňaženiek digitálnej identity stanovených v tomto nariadení, ani by nemali presadzovať existujúce vnútroštátne riešenia namiesto európskych peňaženiek digitálnej identity. Keďže tieto dodatočné funkcie presahujú rámec tohto nariadenia, nevzťahujú sa na ne ustanovenia o cezhraničnom spoliehaní sa na európske peňaženky digitálnej identity stanovené v tomto nariadení.

(22)

Európske peňaženky digitálnej identity by mali zahŕňať funkciu vytvárania pseudonymov, ktoré si vyberá a spravuje používateľ, na účely autentifikácie pri prístupe k online službám.

(23)

S cieľom dosiahnuť vysokú úroveň bezpečnosti a dôveryhodnosti sa týmto nariadením stanovujú požiadavky na európske peňaženky digitálnej identity. Súlad európskych peňaženiek digitálnej identity s týmito požiadavkami by mali certifikovať akreditované orgány posudzovania zhody určené členskými štátmi.

(24)

S cieľom zabrániť rozdielnym prístupom a harmonizovať vykonávanie požiadaviek stanovených v tomto nariadení by Komisia mala na účely certifikácie európskych peňaženiek digitálnej identity prijať vykonávacie akty s cieľom stanoviť zoznam referenčných noriem a v prípade potreby stanoviť špecifikácie a postupy na účely vyjadrenia podrobných technických špecifikácií týchto požiadaviek. Pokiaľ sa na certifikáciu súladu európskych peňaženiek digitálnej identity s príslušnými požiadavkami kybernetickej bezpečnosti nevzťahujú existujúce schémy certifikácie kybernetickej bezpečnosti uvedené v tomto nariadení a pokiaľ ide o iné ako kybernetickobezpečnostné požiadavky relevantné pre európske peňaženky digitálnej identity, členské štáty by mali zaviesť vnútroštátne schémy certifikácie podľa harmonizovaných požiadaviek stanovených v tomto nariadení a prijatých podľa neho. Členské štáty by mali zaslať svoje návrhy vnútroštátnych schém certifikácie skupine pre európsku spoluprácu v oblasti digitálnej identity, ktorá by mala môcť vydávať stanoviská a odporúčania.

(25)

Certifikácia súladu s požiadavkami kybernetickej bezpečnosti stanovenými v tomto nariadení by sa mala, pokiaľ možno, opierať o príslušné európske schémy certifikácie kybernetickej bezpečnosti zriadené podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 (10), ktorým sa zriaďuje dobrovoľný európsky rámec certifikácie kybernetickej bezpečnosti produktov, procesov a služieb informačných a komunikačných technológií.

(26)

S cieľom priebežne posudzovať a zmierňovať riziká spojené s bezpečnosťou by certifikované európske peňaženky digitálnej identity mali podliehať pravidelným posúdeniam zraniteľnosti s cieľom odhaliť akúkoľvek zraniteľnosť v certifikovaných zložkách európskej peňaženky digitálnej identity súvisiacich s produktom, postupom a službou.

(27)

Ochranou používateľov a podnikov pred kybernetickobezpečnostnými rizikami prispievajú základné požiadavky kybernetickej bezpečnosti stanovené v tomto nariadení aj k posilneniu ochrany osobných údajov a súkromia jednotlivcov. Prostredníctvom spolupráce medzi Komisiou, európskymi normalizačnými organizáciami, Agentúrou Európskej únie pre kybernetickú bezpečnosť (ENISA), Európskym výborom pre ochranu údajov zriadeným nariadením (EÚ) 2016/679 a vnútroštátnymi orgánmi dohľadu pre ochranu údajov by sa mali zvážiť synergie v oblasti normalizácie a certifikácie aspektov kybernetickej bezpečnosti.

(28)

Pripájanie občanov Únie a osôb s pobytom v Únii k európskej peňaženke digitálnej identity by sa malo uľahčiť využívaním prostriedkov elektronickej identifikácie vydaných na úrovni záruky „vysoká“. Prostriedky elektronickej identifikácie vydané na úrovni záruky „významná“ by sa mali využívať len vtedy, keď harmonizované technické špecifikácie a postupy využívajúce prostriedky elektronickej identifikácie vydané na úrovni záruky „významná“ v kombinácii s doplnkovými prostriedkami overenia totožnosti umožnia splnenie požiadaviek stanovených v tomto nariadení, pokiaľ ide o úroveň záruky „vysoká“. Takéto doplnkové prostriedky by mali byť spoľahlivé a ľahko použiteľné a mohli by vychádzať z možnosti používať postupy diaľkového pripojenia, kvalifikované certifikáty podložené kvalifikovanými elektronickými podpismi, kvalifikované elektronické osvedčenie atribútov alebo ich kombináciu. S cieľom zabezpečiť dostatočné využívanie európskych peňaženiek digitálnej identity by sa vo vykonávacích aktoch mali stanoviť harmonizované technické špecifikácie a postupy pre pripojenie používateľov pomocou prostriedkov elektronickej identifikácie vrátane tých, ktoré boli vydané na úrovni záruky „významná“.

(29)

Cieľom tohto nariadenia je poskytnúť používateľovi plne mobilnú, bezpečnú a používateľsky ústretovú európsku peňaženku digitálnej identity. S cieľom preukázať súlad s príslušnými požiadavkami tohto nariadenia, pokiaľ ide o úroveň zabezpečenia európskej peňaženky digitálnej identity by európske peňaženky digitálnej identity prechodne, pokým nebudú k dispozícii certifikované riešenia odolné proti neoprávnenej manipulácii, ako sú bezpečnostné prvky v zariadeniach používateľov, mali mať možnosť využívať certifikované externé bezpečnostné prvky na ochranu kryptografického materiálu a iných citlivých údajov alebo oznámené prostriedky elektronickej identifikácie s úrovňou záruky „vysoká“. Týmto nariadením by nemali byť dotknuté vnútroštátne podmienky týkajúce sa vydávania a používania certifikovaného externého bezpečnostného prvku, ak od neho závisí prechodné opatrenie.

(30)

Európske peňaženky digitálnej identity by mali zabezpečiť najvyššiu úroveň ochrany a bezpečnosti údajov na účely elektronickej identifikácie a autentifikácie, aby uľahčili prístup k verejným a súkromným službám, bez ohľadu na to, či sa takéto údaje uchovávajú lokálne alebo na cloude, pričom sa náležite zohľadnia rôzne úrovne rizika.

(31)

Európske peňaženky digitálnej identity by mali byť bezpečné už v štádiu návrhu a mali by obsahovať pokročilé bezpečnostné prvky na ochranu pred krádežou totožnosti a iných údajov, vyradením služby a akoukoľvek inou kybernetickou hrozbou. Súčasťou takéhoto zabezpečenia by mali byť najmodernejšie metódy šifrovania a uchovávania, ktoré sú prístupné len používateľovi a dešifrovateľné len zo strany používateľa, pričom využívajú komunikáciu s inými európskymi peňaženkami digitálnej identity a spoliehajúcimi sa stranami, ktorá je šifrovaná bez medzifáz. Okrem toho by si európske peňaženky digitálnej identity mali vyžadovať bezpečné, explicitné a aktívne potvrdenie od používateľa v prípade operácií vykonávaných prostredníctvom európskych peňaženiek digitálnej identity.

(32)

Bezplatné používanie európskych peňaženiek digitálnej identity by nemalo viesť k spracúvaniu údajov nad rámec údajov, ktoré sú potrebné na poskytovanie služieb európskej peňaženky digitálnej identity. Toto nariadenie by nemalo poskytovateľovi európskej peňaženky digitálnej identity umožňovať, aby spracúval osobné údaje uchovávané v európskej peňaženke digitálnej identity, alebo vyplývajúce z jej používania, na iné účely, než je poskytovanie služieb európskej peňaženky digitálnej identity. Na zabezpečenie súkromia by poskytovatelia európskej peňaženky digitálnej identity mali zabezpečiť nepozorovateľnosť tým, že nebudú zbierať údaje a nebudú mať prehľad o transakciách používateľov európskej peňaženky digitálnej identity. Takáto nepozorovateľnosť znamená, že poskytovatelia nemajú možnosť vidieť podrobnosti transakcií, ktoré uskutočňuje používateľ. V osobitných prípadoch a na základe výslovného predchádzajúceho súhlasu používateľa v každom z týchto osobitných prípadov, a v plnom súlade s nariadením (EÚ) 2016/679 by sa však poskytovateľom európskych peňaženiek digitálnej identity mohol udeliť prístup k informáciám, ktoré sú potrebné na poskytovanie konkrétnej služby súvisiacej s európskymi peňaženkami digitálnej identity.

(33)

Transparentnosť európskych peňaženiek digitálnej identity a zodpovednosť ich poskytovateľov sú kľúčovými prvkami z hľadiska vytvorenia sociálnej dôvery a naštartovania akceptácie príslušného rámca. Fungovanie európskych peňaženiek digitálnej identity by preto malo byť transparentné a malo by najmä umožňovať overiteľné spracúvanie osobných údajov. V záujme dosiahnutia tohto cieľa by členské štáty mali zverejňovať zdrojový kód softvérových komponentov používateľskej aplikácie európskych peňaženiek digitálnej identity vrátane tých, ktoré súvisia so spracúvaním osobných údajov a údajov právnických osôb. Uverejnenie tohto zdrojového kódu na základe otvorenej licencie by malo spoločnosti vrátane používateľov a vývojárov umožniť pochopiť jeho fungovanie a uskutočňovať jeho audit a preskúmanie. Zvýšila by sa tým dôvera používateľov v príslušný ekosystém a prispelo by to k bezpečnosti európskych peňaženiek digitálnej identity, keďže ktokoľvek by mohol nahlasovať zraniteľné miesta a chyby v kóde. Celkovo by to malo dodávateľov motivovať k tomu, aby dodávali a udržiavali vysoko bezpečný výrobok. V určitých prípadoch by však zverejnenie zdrojového kódu použitých knižníc, komunikačného kanála alebo iných prvkov, ktoré nie sú umiestnené v zariadení používateľa, mohli členské štáty z riadne opodstatnených dôvodov obmedziť, najmä na účely verejnej bezpečnosti.

(34)

Používanie európskych peňaženiek digitálnej identity, ako aj ukončenie ich používania by malo byť výlučným právom a rozhodnutím používateľov. Členské štáty by mali vypracovať jednoduché a bezpečné postupy, na základe ktorých budú môcť používatelia požiadať o bezodkladné zrušenie platnosti európskych peňaženiek digitálnej identity, a to aj v prípade straty alebo krádeže. Mal by sa zriadiť mechanizmus, ktorý by v prípade úmrtia používateľa alebo ukončenia činnosti právnickej osoby umožnil orgánu zodpovednému za vysporiadanie dedičstva po fyzickej osobe alebo majetku právnickej osoby požiadať o bezodkladné zneplatnenie európskej peňaženky digitálnej identity.

(35)

S cieľom podporiť zavádzanie európskych peňaženiek digitálnej identity a širšie využívanie digitálnych identít by členské štáty mali nielen propagovať výhody príslušných služieb, ale mali by v spolupráci so súkromným sektorom, výskumnými pracovníkmi a akademickou obcou vypracovať aj programy odbornej prípravy zamerané na posilnenie digitálnych zručností svojich občanov a osôb s pobytom na ich území, najmä pre zraniteľné skupiny, ako sú osoby so zdravotným postihnutím a staršie osoby. Členské štáty by mali takisto prostredníctvom komunikačných kampaní zvyšovať informovanosť o prínosoch a rizikách európskych peňaženiek digitálnej identity.

(36)

S cieľom zabezpečiť, aby bol európsky rámec digitálnej identity otvorený inováciám, technologickému vývoju a aby bol nadčasový, sa členské štáty nabádajú k tomu, aby spoločne vytvárali sandboxy na testovanie inovačných riešení v kontrolovanom a bezpečnom prostredí, a to najmä so zámerom zlepšiť funkčnosť, ochranu osobných údajov, bezpečnosť a interoperabilitu riešení a získať vstupy pre budúce aktualizácie technických referencií a právnych požiadaviek. Toto prostredie by malo podporovať začlenenie MSP, startupov a individuálnych inovátorov a výskumných pracovníkov, ako aj príslušných zainteresovaných strán z odvetvia. Takéto iniciatívy by mali zvyšovať a posilňovať regulačný súlad a technickú spoľahlivosť európskych peňaženiek digitálnej identity, ktoré sa majú poskytovať občanom Únie a osobám s pobytom v Únii, čím sa zabráni vývoju riešení, ktoré nie sú v súlade s právom Únie v oblasti ochrany údajov alebo ktoré sú zraniteľné z hľadiska bezpečnosti.

(37)

Nariadením Európskeho parlamentu a Rady (EÚ) 2019/1157 (11) sa posilňuje bezpečnosť preukazov totožnosti zlepšenými bezpečnostnými prvkami do augusta 2021. Členské štáty by mali zvážiť, či je ich možné oznamovať v rámci schém elektronickej identifikácie, s cieľom rozšíriť cezhraničnú dostupnosť prostriedkov elektronickej identifikácie.

(38)

Proces oznamovania schém elektronickej identifikácie by sa mal zjednodušiť a urýchliť s cieľom podporiť prístup k pohodlným, dôveryhodným, bezpečným a inovačným riešeniam autentifikácie a identifikácie a v prípade potreby nabádať súkromných poskytovateľov totožnosti, aby orgánom členských štátov ponúkali schémy elektronickej identifikácie, ktoré môžu oznámiť ako vnútroštátne schémy elektronickej identifikácie podľa nariadenia (EÚ) č. 910/2014.

(39)

Zjednodušením súčasných postupov oznamovania a vzájomného preskúmania sa zabráni rôznorodým prístupom k posudzovaniu rôznych oznámených schém elektronickej identifikácie a uľahčí sa budovanie dôvery medzi členskými štátmi. Nové zjednodušené mechanizmy sú určené na podporu spolupráce členských štátov v oblasti bezpečnosti a interoperability ich oznámených schém elektronickej identifikácie.

(40)

Na zabezpečenie súladu s požiadavkami tohto nariadenia a príslušných vykonávacích aktov prijatých na jeho základe by členské štáty mali využívať nové, flexibilné nástroje. Toto nariadenie by malo členským štátom umožniť využívať správy a posúdenia vykonané akreditovanými orgánmi posudzovania zhody, ako sa stanovuje v kontexte schém certifikácie, ktoré sa majú zriadiť na úrovni Únie podľa nariadenia (EÚ) 2019/881, aby podporili svoje tvrdenia o zosúladení schém alebo ich častí s nariadením (EÚ) č. 910/2014.

(41)

Poskytovatelia verejných služieb používajú osobné identifikačné údaje dostupné z prostriedkov elektronickej identifikácie podľa nariadenia (EÚ) č. 910/2014 na spárovanie elektronickej totožnosti používateľov z iných členských štátov s osobnými identifikačnými údajmi, ktoré sa týmto používateľom poskytli v členskom štáte, ktorý vykonáva postup cezhraničného párovania totožnosti. V mnohých prípadoch si však napriek použitiu minimálneho súboru údajov poskytovaných v rámci oznámených schém elektronickej identifikácie zabezpečenie presného spárovania totožnosti, keď členské štáty konajú ako spoliehajúce sa strany, vyžaduje dodatočné informácie o používateľovi a osobitné doplnkové postupy jedinečnej identifikácie, ktoré je potrebné vykonať na vnútroštátnej úrovni. S cieľom ďalej podporiť použiteľnosť prostriedkov elektronickej identifikácie, poskytovať lepšie online verejné služby a zvýšiť právnu istotu, pokiaľ ide o elektronickú identitu používateľov, by sa v nariadení (EÚ) č. 910/2014 malo od členských štátov vyžadovať, aby prijali osobitné online opatrenia na zabezpečenie jednoznačného spárovania totožnosti, keď majú používatelia v úmysle získať prístup k online cezhraničným verejným službám.

(42)

Pri vývoji európskych peňaženiek digitálnej identity je nevyhnutné zohľadniť potreby používateľov. K dispozícii by mali byť zmysluplné možnosti použitia a online služby využívajúce európske peňaženky digitálnej identity. V záujme pohodlia používateľov a s cieľom zabezpečiť cezhraničnú dostupnosť takýchto služieb je dôležité prijať opatrenia na uľahčenie podobného prístupu k navrhovaniu, vývoju a zavádzaniu online služieb vo všetkých členských štátoch. Nezáväzné usmernenia o tom, ako navrhovať, vyvíjať a zavádzať online služby využívajúce európske peňaženky digitálnej identity, majú potenciál stať sa užitočným nástrojom na dosiahnutie tohto cieľa. Takéto usmernenia by sa mali vypracovať s ohľadom na rámec Únie pre interoperabilitu. Vedúcu úlohu pri prijímaní týchto usmernení by mali zohrávať členské štáty.

(43)

V súlade so smernicou Európskeho parlamentu a Rady (EÚ) 2019/882 (12) by osoby so zdravotným postihnutím mali mať možnosť používať európske peňaženky digitálnej identity, dôveryhodné služby a produkty pre koncových používateľov používané pri poskytovaní týchto služieb na rovnakom základe ako ostatní používatelia.

(44)

S cieľom zabezpečiť účinné presadzovanie tohto nariadenia by sa mala stanoviť minimálna výška čo najväčšieho počtu správnych pokút pre kvalifikovaných aj nekvalifikovaných poskytovateľov dôveryhodných služieb. Členské štáty by mali stanoviť účinné, primerané a odrádzajúce sankcie. Pri určovaní sankcií by sa mala náležite zohľadniť veľkosť dotknutých subjektov, ich obchodné modely a závažnosť porušení.

(45)

Členské štáty by mali stanoviť pravidlá týkajúce sa sankcií za porušenia, ako sú priame alebo nepriame praktiky vedúce k zámene medzi nekvalifikovanými a kvalifikovanými dôveryhodnými službami alebo k zneužívaniu značky dôvery EÚ nekvalifikovanými poskytovateľmi dôveryhodných služieb. Značka dôvery EÚ by sa nemala používať za podmienok, ktoré priamo alebo nepriamo vytvárajú dojem, že kvalifikovanými sú akékoľvek nekvalifikované dôveryhodné služby ponúkané týmito poskytovateľmi.

(46)

Toto nariadenie by sa nemalo vzťahovať na aspekty súvisiace s uzatváraním a platnosťou zmlúv alebo iných právnych záväzkov, pri ktorých sú požiadavky na formu stanovené v práve Únie alebo vo vnútroštátnom práve. Nemalo by mať ani vplyv na vnútroštátne požiadavky na formu v súvislosti s verejnými registrami, konkrétne s obchodným registrom a katastrom nehnuteľností.

(47)

Poskytovanie a využívanie dôveryhodných služieb a výhody z hľadiska pohodlia a právnej istoty v kontexte cezhraničných transakcií, najmä pri využívaní kvalifikovaných dôveryhodných služieb, sú čoraz dôležitejšie pre medzinárodný obchod a spoluprácu. Medzinárodní partneri Únie vytvárajú rámce dôvery inšpirované nariadením (EÚ) č. 910/2014. S cieľom uľahčiť uznávanie kvalifikovaných dôveryhodných služieb a ich poskytovateľov môže Komisia prijať vykonávacie akty na účely stanovenia podmienok, za ktorých by sa rámce dôvery tretích krajín mohli považovať za rovnocenné s rámcom dôvery pre kvalifikované dôveryhodné služby a ich poskytovateľov podľa tohto nariadenia. Takýto prístup by mal dopĺňať možnosť vzájomného uznávania dôveryhodných služieb a ich poskytovateľov usadených v Únii a v tretích krajinách v súlade s článkom 218 Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“). Pri stanovovaní podmienok, za ktorých by sa rámce dôvery tretích krajín mohli považovať za rovnocenné s rámcom dôvery pre kvalifikované dôveryhodné služby a ich poskytovateľov podľa nariadenia (EÚ) č. 910/2014, by sa mal zabezpečiť súlad s príslušnými ustanoveniami smernice Európskeho parlamentu a Rady (EÚ) 2022/2555 (13) a nariadenia (EÚ) 2016/679, ako aj používanie dôveryhodných zoznamov ako základných prvkov budovania dôvery.

(48)

Týmto nariadením by sa mala podporiť možnosť výberu a možnosť prechodu medzi európskymi peňaženkami digitálnej identity, ak členský štát schválil na svojom území viac ako jedno riešenie európskej peňaženky digitálnej identity. S cieľom zabrániť efektu odkázanosti na určitého poskytovateľa v takýchto situáciách by poskytovatelia európskych peňaženiek digitálnej identity, ak je to technicky možné, mali zabezpečiť účinnú prenosnosť údajov na žiadosť používateľov európskej peňaženky digitálnej identity a nemali by mať možnosť používať zmluvné, hospodárske ani technické prekážky na to, aby bránili účinnému prechodu medzi rôznymi európskymi peňaženkami digitálnej identity alebo aby od neho odrádzali.

(49)

Na zabezpečenie riadneho fungovania európskych peňaženiek digitálnej identity potrebujú ich poskytovatelia účinnú interoperabilitu a spravodlivé, primerané a nediskriminačné podmienky pre európske peňaženky digitálnej identity, pokiaľ ide o prístup k osobitným hardvérovým a softvérovým prvkom mobilných zariadení. Tieto komponenty by mohli zahŕňať najmä antény komunikácie na krátku vzdialenosť a bezpečnostné prvky vrátane univerzálnych kariet s integrovaným obvodom, zabudovaných bezpečnostných prvkov, mikroSD kariet a rozhrania Bluetooth Low Energy. Prístup k týmto komponentom by mohol byť pod kontrolou prevádzkovateľov mobilných sietí a výrobcov zariadení. Ak je to preto potrebné na poskytovanie služieb európskych peňaženiek digitálnej identity, výrobcovia originálneho vybavenia mobilných zariadení alebo poskytovatelia elektronických komunikačných služieb by nemali odmietnuť prístup k takýmto komponentom. Okrem toho by sa na podniky, ktoré sú určené za strážcov prístupu pre základné platformové služby uvedené na zozname Komisie podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2022/1925 (14), mali naďalej vzťahovať osobitné ustanovenia uvedeného nariadenia na základe jeho článku 6 ods. 7.

(50)

S cieľom zefektívniť povinnosti v oblasti kybernetickej bezpečnosti ukladané poskytovateľom dôveryhodných služieb, ako aj umožniť týmto poskytovateľom a ich príslušným orgánom využívať právny rámec ustanovený smernicou (EÚ) 2022/2555 sa od dôveryhodných služieb vyžaduje, aby prijali primerané technické a organizačné opatrenia podľa uvedenej smernice, ako sú opatrenia na riešenie systémových zlyhaní, ľudskej chyby, zlomyseľného konania alebo prírodných javov v záujme riadenia rizík, ktoré predstavujú pre bezpečnosť sietí a informačných systémov, ktoré títo poskytovatelia používajú pri poskytovaní svojich služieb, ako aj aby oznamovali závažné incidenty a kybernetické hrozby v súlade s uvedenou smernicou. Pokiaľ ide o oznamovanie incidentov, poskytovatelia dôveryhodných služieb by mali oznamovať všetky incidenty, ktoré majú závažný vplyv na poskytovanie ich služieb, vrátane incidentov spôsobených krádežou alebo stratou zariadení, poškodením sieťových káblov alebo incidentov, ku ktorým došlo v súvislosti s identifikáciou osôb. Požiadavky na riadenie kybernetických rizík a oznamovacie povinnosti podľa smernice (EÚ) 2022/2555 by sa mali považovať za doplnkové k požiadavkám, ktoré sa poskytovateľom dôveryhodných služieb ukladajú podľa tohto nariadenia. Príslušné orgány určené podľa smernice (EÚ) 2022/2555 by v prípade potreby mali naďalej uplatňovať zavedené vnútroštátne postupy alebo usmernenia týkajúce sa uplatňovania požiadaviek na bezpečnosť a oznamovanie a vykonávania dohľadu nad dodržiavaním takýchto požiadaviek podľa nariadenia (EÚ) č. 910/2014. Týmto nariadením nie je dotknutá povinnosť oznamovať prípady porušenia ochrany osobných údajov podľa nariadenia (EÚ) 2016/679.

(51)

Náležitá pozornosť by sa mala venovať zabezpečeniu účinnej spolupráce medzi orgánmi dohľadu určenými podľa článku 46b nariadenia (EÚ) č. 910/2014 a príslušnými orgánmi určenými alebo zriadenými podľa článku 8 ods. 1 smernice (EÚ) 2022/2555. Ak sa takýto orgán dohľadu líši od takéhoto príslušného orgánu, mali by úzko a včas spolupracovať prostredníctvom výmeny relevantných informácií, aby sa zabezpečil účinný dohľad a aby poskytovatelia dôveryhodných služieb plnili požiadavky stanovené v nariadení (EÚ) č. 910/2014 a v smernici (EÚ) 2022/2555. Orgány dohľadu určené podľa nariadenia (EÚ) č. 910/2014 by predovšetkým mali byť oprávnené požiadať príslušné orgány určené alebo zriadené podľa smernice (EÚ) 2022/2555, aby poskytli relevantné informácie potrebné na udelenie kvalifikovaného štatútu a aby vykonávali opatrenia dohľadu s cieľom overiť, či poskytovatelia dôveryhodných služieb dodržiavajú príslušné požiadavky podľa smernice (EÚ) 2022/2555, alebo od nich požadovať nápravu ich nedodržiavania.

(52)

Je nevyhnutné, aby sa ustanovil právny rámec na uľahčenie cezhraničného uznávania medzi existujúcimi vnútroštátnymi právnymi systémami týkajúcimi sa elektronických doručovacích služieb pre registrované zásielky. Tento rámec by tiež mohol otvoriť nové trhové príležitosti pre poskytovateľov dôveryhodných služieb z Únie, aby mohli poskytovať nové celoúnijné elektronické doručovacie služby pre registrované zásielky. S cieľom zabezpečiť, aby sa údaje pri použití kvalifikovanej elektronickej doručovacej služby pre registrované zásielky doručili správnemu adresátovi, by kvalifikované elektronické doručovacie služby pre registrované zásielky mali zabezpečiť identifikáciu adresáta s úplnou istotou, pričom pri identifikácii odosielateľa by postačovala vysoká úroveň spoľahlivosti. Členské štáty by mali poskytovateľov kvalifikovaných elektronických doručovacích služieb pre registrované zásielky nabádať k tomu, aby ich služby boli interoperabilné s kvalifikovanými elektronickými doručovacími službami pre registrované zásielky, ktoré poskytujú iní kvalifikovaní poskytovatelia dôveryhodných služieb, s cieľom ľahko prenášať elektronické údaje o registrovaných zásielkach medzi dvoma alebo viacerými kvalifikovanými poskytovateľmi dôveryhodných služieb a propagovať spravodlivé postupy na vnútornom trhu.

(53)

Občania Únie a osoby s pobytom v Únii si vo väčšine prípadov nemôžu vymieňať digitálne informácie týkajúce sa ich totožnosti, ako je ich adresa, vek, odborná kvalifikácia, vodičský preukaz a iné povolenia a platobné údaje, cezhranične a s vysokou úrovňou ochrany údajov.

(54)

Malo by byť možné vydávať a spracúvať dôveryhodné elektronické atribúty a prispievať k znižovaniu administratívneho zaťaženia tým, že sa občanom Únie a osobám s pobytom v Únii umožní využívať ich v súkromných a verejných transakciách. Občania Únie a osoby s pobytom v Únii by mali mať napríklad možnosť preukázať vlastníctvo platného vodičského preukazu vydaného orgánom v jednom členskom štáte, ktoré môžu príslušné orgány v iných členských štátoch overiť a spoľahnúť sa na naň, ako aj možnosť využívať v cezhraničnom kontexte svoje potvrdenia o sociálnom zabezpečení alebo budúce digitálne cestovné doklady.

(55)

Každý poskytovateľ služieb, ktorý vydáva v elektronickej forme osvedčené atribúty, ako sú diplomy, licencie, rodné listy alebo splnomocnenia a mandáty na zastupovanie fyzických alebo právnických osôb alebo na konanie v ich mene, by sa mal považovať za poskytovateľa dôveryhodných služieb elektronického osvedčenia atribútov. Elektronickému osvedčeniu atribútov by sa nemal odopierať právny účinok z dôvodu, že je v elektronickej forme alebo že nespĺňa požiadavky na kvalifikované elektronické osvedčenie atribútov. Mali by sa stanoviť všeobecné požiadavky na zabezpečenie toho, aby kvalifikované elektronické osvedčenie atribútov malo rovnocenný právny účinok ako osvedčenia v listinnej podobe vydané v súlade so zákonom. Tieto požiadavky by sa však mali uplatňovať bez toho, aby boli dotknuté právne predpisy Únie alebo vnútroštátne právne predpisy, v ktorých sa vymedzujú dodatočné sektorové požiadavky, pokiaľ ide o formu so základnými právnymi účinkami, a v príslušných prípadoch najmä cezhraničné uznávanie kvalifikovaného elektronického osvedčenia atribútov.

(56)

Široká dostupnosť a použiteľnosť európskych peňaženiek digitálnej identity by mala zvýšiť ich akceptáciu a dôveru v ne zo strany súkromných osôb aj súkromných poskytovateľov služieb. Súkromné spoliehajúce sa strany, ktoré poskytujú služby napríklad v oblasti dopravy, energetiky, bankovníctva, finančných služieb, sociálneho zabezpečenia, zdravia, pitnej vody, poštových služieb, digitálnej infraštruktúry, telekomunikácií alebo vzdelávania, by preto mali akceptovať používanie európskych peňaženiek digitálnej identity na poskytovanie služieb, ak sa podľa práva Únie alebo vnútroštátneho práva alebo na základe zmluvnej povinnosti vyžaduje silná autentifikácia používateľa na účely online identifikácie. Každá žiadosť spoliehajúcej sa strany o informácie od používateľa európskej peňaženky digitálnej identity by mala byť potrebná a primeraná z hľadiska zamýšľaného použitia v danom prípade, mala by byť v súlade so zásadou minimalizácie údajov a mala by sa pri nej zabezpečiť transparentnosť, pokiaľ ide o to, ktoré údaje sa zdieľajú a na aké účely. S cieľom uľahčiť používanie a akceptáciu európskych peňaženiek digitálnej identity by sa mali pri ich zavádzaní zohľadniť všeobecne uznávané odvetvové normy a špecifikácie.

(57)

Ak veľmi veľké online platformy vyžadujú od používateľov, aby boli autentifikovaní na účely prístupu k online službám v zmysle článku 33 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2022/2065 (15), od týchto platforiem by sa malo vyžadovať, aby na základe dobrovoľnej žiadosti používateľa akceptovali používanie európskych peňaženiek digitálnej identity. Používatelia by nemali mať povinnosť používať na prístup k súkromným službám európsku peňaženku digitálnej identity a nemali by byť obmedzovaní ani by sa im nemalo brániť v prístupe k službám z dôvodu, že európsku peňaženku digitálnej identity nepoužívajú. Ak si to však používatelia želajú, veľmi veľké online platformy by ich na tento účel mali akceptovať, pričom by mali dodržiavať zásadu minimalizácie údajov a právo používateľov používať voľne zvolené pseudonymy. Vzhľadom na význam veľmi veľkých online platforiem z dôvodu ich dosahu, najmä pokiaľ ide o počet príjemcov služieb a hospodárskych transakcií, je povinnosť akceptovať európske peňaženky digitálnej identity potrebná na zvýšenie ochrany používateľov pred podvodmi a na zabezpečenie vysokej úrovne ochrany údajov.

(58)

Mali by sa vypracovať kódexy správania na úrovni Únie s cieľom prispieť k širokej dostupnosti a použiteľnosti prostriedkov elektronickej identifikácie vrátane európskych peňaženiek digitálnej identity v rozsahu pôsobnosti tohto nariadenia. Tieto kódexy správania by mali uľahčiť širokú akceptáciu prostriedkov elektronickej identifikácie vrátane európskych peňaženiek digitálnej identity zo strany tých poskytovateľov služieb, ktorí nie sú považovaní za veľmi veľké platformy a ktorí na autentifikáciu používateľov využívajú služby elektronickej identifikácie tretích strán.

(59)

Selektívne zverejňovanie je koncepcia, ktorá oprávňuje vlastníka údajov zverejniť len určité časti väčšieho súboru údajov, aby prijímajúci subjekt získal len také informácie, ktoré sú potrebné na poskytovanie služby, ktorú požaduje používateľ. Európska peňaženka digitálnej identity by mala technicky umožniť selektívne zverejňovanie atribútov spoliehajúcim sa stranám. Malo by byť technicky možné pre používateľa selektívne zverejniť atribúty, a to aj z viacerých odlišných elektronických osvedčení, a kombinovať a bezproblémovo ich prezentovať spoliehajúcim sa stranám. Táto funkcia by sa mala stať základným prvkom štruktúry európskych peňaženiek digitálnej identity, čím by sa zvýšilo pohodlie používateľov a ochrana osobných údajov vrátane minimalizácie údajov.

(60)

Pokiaľ sa v osobitných pravidlách práva Únie alebo vnútroštátneho práva nevyžaduje identifikácia, aby sa používatelia identifikovali, nemal by sa zakazovať prístup k službám s použitím pseudonymu.

(61)

Atribúty poskytnuté kvalifikovanými poskytovateľmi dôveryhodných služieb ako súčasť kvalifikovaného osvedčenia atribútov by sa mali overovať na základe autentických zdrojov buď priamo kvalifikovaným poskytovateľom dôveryhodných služieb, alebo prostredníctvom určených sprostredkovateľov uznaných na vnútroštátnej úrovni v súlade s právom Únie alebo vnútroštátnym právom na účely bezpečnej výmeny osvedčených atribútov medzi poskytovateľmi služieb totožnosti alebo osvedčovania atribútov a spoliehajúcimi sa stranami. Členské štáty by mali na vnútroštátnej úrovni zaviesť vhodné mechanizmy na zabezpečenie toho, aby kvalifikovaní poskytovatelia dôveryhodných služieb, ktorí vydávajú kvalifikované elektronické osvedčenie atribútov, boli schopní na základe súhlasu osoby, ktorej sa osvedčenie vydáva, overiť pravosť atribútov na základe autentických zdrojov. Malo by byť možné, aby vhodné mechanizmy zahŕňali využívanie konkrétnych sprostredkovateľov alebo technických riešení v súlade s vnútroštátnym právom, ktoré umožňujú prístup k autentickým zdrojom. Zabezpečenie dostupnosti mechanizmu, ktorý umožňuje overovanie atribútov pomocou autentických zdrojov, má za cieľ uľahčiť kvalifikovaným poskytovateľom dôveryhodných služieb, ktorí poskytujú kvalifikované elektronické osvedčenia atribútov, dodržiavanie ich povinností podľa nariadenia (EÚ) č. 910/2014. Nová príloha k uvedenému nariadeniu by mala obsahovať zoznam kategórií atribútov, v súlade s ktorými majú členské štáty zabezpečiť prijatie opatrení, ktoré kvalifikovaným poskytovateľom elektronických osvedčení atribútov umožnia, aby elektronickými prostriedkami a na žiadosť používateľa overili pravosť týchto atribútov ich porovnaním s príslušným autentickým zdrojom.

(62)

Bezpečná elektronická identifikácia a poskytovanie osvedčení atribútov by mali ponúknuť sektoru finančných služieb dodatočnú flexibilitu a riešenia, ktoré umožnia identifikáciu klientov a výmenu osobitných atribútov potrebných napríklad na splnenie požiadaviek náležitej starostlivosti vo vzťahu ku klientovi podľa budúceho nariadenia, ktorým sa zriadi úrad pre boj proti praniu špinavých peňazí, požiadaviek na vhodnosť vyplývajúcich z právnych predpisov v oblasti ochrany investorov, alebo ktoré podporia plnenie prísnych požiadaviek na autentifikáciu zákazníkov pri online identifikácii na účely prihlásenia sa do účtu a iniciovania transakcií v oblasti platobných služieb.

(63)

Právny účinok elektronického podpisu sa nemá napadnúť z dôvodu, že je v elektronickej forme alebo že nespĺňa požiadavky kvalifikovaného elektronického podpisu. Avšak je na vnútroštátnom práve, aby stanovilo právny účinok elektronických podpisov, s výnimkou požiadaviek stanovených v tomto nariadení, podľa ktorého sa má právny účinok kvalifikovaného elektronického podpisu považovať za rovnocenný s vlastnoručným podpisom. Pri určovaní právnych účinkov elektronických podpisov by členské štáty mali zohľadniť zásadu proporcionality medzi právnou hodnotou dokumentu, ktorý sa má podpísať, a úrovňou bezpečnosti a nákladov, ktoré si vyžaduje elektronický podpis. S cieľom zvýšiť dostupnosť a používanie elektronických podpisov sa členské štáty nabádajú, aby zvážili používanie zdokonalených elektronických podpisov pri každodenných transakciách, pre ktoré poskytujú dostatočnú úroveň bezpečnosti a dôvery.

(64)

S cieľom zabezpečiť konzistentnosť certifikačných postupov v celej Únii by Komisia mala vydať usmernenia týkajúce sa certifikácie a opätovnej certifikácie zariadení na vyhotovenie kvalifikovaného elektronického podpisu a zariadení na vyhotovenie kvalifikovanej elektronickej pečate vrátane ich platnosti a časových obmedzení. Toto nariadenie nebráni verejným alebo súkromným subjektom, ktoré majú certifikované zariadenia na vyhotovenie kvalifikovaného elektronického podpisu, dočasne opätovne certifikovať takéto zariadenia na krátke obdobie certifikácie na základe výsledkov predchádzajúceho certifikačného postupu, ak takúto opätovnú certifikáciu nemožno vykonať v zákonom stanovenej lehote z iného dôvodu ako je narušenie bezpečnosti alebo bezpečnostný incident, a bez toho, aby bola dotknutá povinnosť viesť posúdenie zraniteľnosti a to bez toho, aby bol dotknutý uplatniteľný certifikačný postup.

(65)

Vydávanie certifikátov na autentifikáciu webových sídiel má za cieľ poskytovať používateľom istotu s vysokou úrovňou dôvery, pokiaľ ide o totožnosť subjektu, ktorý stojí za webovým sídlom, bez ohľadu na platformu použitú na zobrazenie uvedenej identity. Tieto certifikáty by mali prispievať k budovaniu dôvery v podnikanie online, keďže používatelia by mali dôveru vo webové sídlo, ktoré bolo autentifikované. Používanie týchto certifikátov webovými sídlami by malo byť dobrovoľné. Aby sa autentifikácia webových sídiel stala prostriedkom na zvýšenie dôvery, poskytnutie lepšieho zážitku pre používateľa a podporu rastu na vnútornom trhu, týmto nariadením sa ustanovuje rámec dôvery, ktorého súčasťou sú aj minimálne povinnosti v oblasti bezpečnosti a zodpovednosti pre poskytovateľov kvalifikovaných certifikátov pre autentifikáciu webových sídiel a požiadavky na vydávanie uvedených certifikátov. Národné dôveryhodné zoznamy by mali potvrdiť kvalifikovaný status služieb autentifikácie webových sídiel a ich poskytovateľov dôveryhodných služieb vrátane ich úplného súladu s požiadavkami tohto nariadenia, pokiaľ ide o vydávanie kvalifikovaných certifikátov pre autentifikáciu webových sídiel. Uznávanie kvalifikovaných certifikátov pre autentifikáciu webových sídiel znamená, že poskytovatelia webových prehliadačov by nemali popierať pravosť týchto certifikátov výlučne na účel osvedčenia prepojenia medzi názvom domény webového sídla a fyzickou alebo právnickou osobou, ktorej sa certifikát vydáva, alebo na účely potvrdenia totožnosti tejto osoby. Poskytovatelia webových prehliadačov by mali koncovému používateľovi zobrazovať certifikované údaje o totožnosti a ostatné osvedčené atribúty používateľsky ústretovým spôsobom v prostredí prehliadača, a to technickými prostriedkami podľa vlastného výberu. Na tento účel by poskytovatelia webových prehliadačov mali zabezpečiť podporu kvalifikovaných certifikátov pre autentifikáciu webových sídiel vydaných v plnom súlade s týmto nariadením a interoperabilitu s nimi. Povinnosť uznávania a interoperability a podpory kvalifikovaných certifikátov pre autentifikáciu webových sídiel nemá vplyv na slobodu poskytovateľov webových prehliadačov zaistiť bezpečnosť webových sídel, autentifikáciu domén a šifrovanie webovej prevádzky spôsobom a pomocou technológie, ktoré považujú za najvhodnejšie. S cieľom prispieť k online bezpečnosti koncových používateľov by poskytovatelia webových prehliadačov mali mať za výnimočných okolností možnosť prijať preventívne opatrenia, ktoré sú potrebné a primerané v reakcii na odôvodnené obavy týkajúce sa narušenia bezpečnosti alebo straty integrity identifikovaného certifikátu alebo súboru certifikátov. Ak poskytovatelia webových prehliadačov prijmú takéto preventívne opatrenia, mali by bez zbytočného odkladu informovať Komisiu, vnútroštátny orgán dohľadu, subjekt, ktorému bol certifikát vydaný, a kvalifikovaného poskytovateľa dôveryhodných služieb, ktorý vydal daný certifikát alebo súbor certifikátov, o akýchkoľvek obavách týkajúcich sa takéhoto narušenia bezpečnosti alebo straty integrity, ako aj o opatreniach prijatých v súvislosti s daným certifikátom alebo súborom certifikátov. Uvedenými opatreniami by nemala byť dotknutá povinnosť poskytovateľov webových prehliadačov uznávať kvalifikované certifikáty pre autentifikáciu webových sídiel v súlade s národnými dôveryhodnými zoznamami. S cieľom väčšmi chrániť občanov Únie a osoby s pobytom v Únii a podporovať používanie kvalifikovaných certifikátov pre autentifikáciu webových sídiel by verejné orgány v členských štátoch mali zvážiť začlenenie týchto certifikátov do svojich webových sídel. Opatrenia stanovené v tomto nariadení, ktorých cieľom je zabezpečiť väčšiu súdržnosť medzi rozdielnymi prístupmi a postupmi členských štátov v oblasti postupov dohľadu, majú prispieť k zvýšeniu dôvery v bezpečnosť, kvalitu a dostupnosť kvalifikovaných certifikátov pre autentifikáciu webových sídiel.

(66)

Mnohé členské štáty zaviedli vnútroštátne požiadavky na služby, ktoré poskytujú bezpečnú a dôveryhodnú elektronickú archiváciu s cieľom umožniť dlhodobé uchovávanie elektronických údajov a elektronických dokumentov, a na súvisiace dôveryhodné služby. S cieľom zabezpečiť právnu istotu, dôveru a harmonizáciu vo všetkých členských štátoch by sa mal vytvoriť právny rámec pre kvalifikované elektronické archivačné služby inšpirovaný rámcom pre ostatné dôveryhodné služby stanovené v tomto nariadení. Právny rámec pre kvalifikované elektronické archivačné služby by mal poskytovateľom dôveryhodných služieb a používateľom ponúknuť účinný súbor nástrojov, ktorý zahŕňa funkčné požiadavky na elektronickú archivačnú službu, ako aj jasné právne účinky pri používaní kvalifikovanej elektronickej archivačnej služby. Uvedené ustanovenia by sa mali vzťahovať na elektronické údaje a elektronické dokumenty, ktoré boli vytvorené v elektronickej forme, ako aj na dokumenty v listinnej podobe, ktoré boli naskenované a digitalizované. V prípade potreby by uvedené ustanovenia mali umožniť prenos uchovávaných elektronických údajov a elektronických dokumentov na rôznych médiách alebo v rôznych formátoch na účely predĺženia ich trvanlivosti a čitateľnosti aj po uplynutí obdobia technologickej platnosti, pričom by sa malo v čo najväčšej možnej miere zabrániť strate a pozmeňovaniu. Ak elektronické údaje a elektronické dokumenty zaslané elektronickej archivačnej službe obsahujú jeden alebo viac kvalifikovaných elektronických podpisov alebo kvalifikovaných elektronických pečatí, služba by mala používať postupy a technológie schopné predĺžiť ich dôveryhodnosť počas obdobia uchovávania takýchto údajov, pričom by mohla prípadne využívať aj iné kvalifikované dôveryhodné služby zriadené týmto nariadením. Na vytváranie dôkazov o uchovávaní v prípade použitia elektronických podpisov, elektronických pečatí alebo elektronických časových pečiatok by sa mali používať kvalifikované dôveryhodné služby. V rozsahu, v akom elektronické archivačné služby nie sú harmonizované týmto nariadením, by členské štáty mali mať možnosť zachovať alebo zaviesť vnútroštátne ustanovenia v súlade s právom Únie týkajúce sa týchto služieb, ako napríklad osobitné ustanovenia o službách začlenených do organizácie a používaných len pre interné archívy danej organizácie. V tomto nariadení by sa nemalo rozlišovať medzi elektronickými údajmi a elektronickými dokumentmi, ktoré boli vytvorené v elektronickej forme, a fyzickými dokumentmi, ktoré boli digitalizované.

(67)

Činnosti národných archívov a ústavov pamäti národa ako organizácií, ktoré sa venujú zachovávaniu dokumentárneho dedičstva vo verejnom záujme, sú zvyčajne upravené vo vnútroštátnom práve a nemusia nevyhnutne zahŕňať poskytovanie dôveryhodných služieb v zmysle tohto nariadenia. Pokiaľ tieto inštitúcie takéto dôveryhodné služby neposkytujú, ich fungovanie týmto nariadením nie je dotknuté.

(68)

Elektronické registre sú sekvenciou záznamov elektronických údajov, ktoré by mali zabezpečovať ich integritu a presnosť ich chronologického poradia. Elektronické registre by mali stanoviť chronologické poradie záznamov údajov. V spojení s inými technológiami by mali prispieť k riešeniam, ktoré majú priniesť efektívnejšie a transformačnejšie verejné služby, ako sú elektronické hlasovanie, cezhraničná spolupráca colných orgánov, cezhraničná spolupráca akademických inštitúcií a zaznamenávanie vlastníctva nehnuteľností v decentralizovaných katastroch nehnuteľností. Kvalifikované elektronické registre by mali vytvárať právny predpoklad pre jedinečné a presné sekvenčné chronologické poradie a integritu záznamov údajov v registri. Vzhľadom na ich špecifiká, ako je sekvenčné chronologické poradie záznamov údajov, by sa elektronické registre mali odlišovať od iných dôveryhodných služieb, ako sú elektronické časové pečiatky a elektronické doručovacie služby pre registrované zásielky. S cieľom zabezpečiť právnu istotu a podporiť inováciu by sa mal vytvoriť právny rámec pre celú Úniu, ktorým sa zabezpečí cezhraničné uznávanie dôveryhodných služieb na zaznamenávanie údajov v elektronických registroch. Malo by sa tým dostatočne zabrániť tomu, aby sa rovnaké digitálne aktíva kopírovali a predávali viackrát rôznym stranám. Postup vytvárania a aktualizácie elektronického registra závisí od typu použitého registra, konkrétne či ide o centralizovaný alebo distribuovaný register. Týmto nariadením by sa mala zabezpečiť technologická neutralita, čiže by sa nemala uprednostňovať ani diskriminovať žiadna technológia používaná na implementáciu novej dôveryhodnej služby pre elektronické registre. Okrem toho by Komisia mala pri príprave vykonávacích aktov, v ktorých sa špecifikujú požiadavky na kvalifikované elektronické registre, pomocou primeraných metodík zohľadniť ukazovatele udržateľnosti, pokiaľ ide o akékoľvek nepriaznivé vplyvy na klímu alebo iné nepriaznivé vplyvy súvisiace so životným prostredím.

(69)

Úlohou poskytovateľov dôveryhodných služieb pre elektronické registre by malo byť zabezpečenie sekvenčného zaznamenávania údajov do registra. Týmto nariadením nie sú dotknuté žiadne zákonné povinnosti používateľov elektronických registrov podľa práva Únie alebo vnútroštátneho práva. Napríklad prípady použitia, ktoré zahŕňajú spracúvanie osobných údajov, by mali byť v súlade s nariadením (EÚ) 2016/679 a prípady použitia súvisiace s finančnými službami by mali byť v súlade s príslušnými právnymi predpismi Únie v oblasti finančných služieb.

(70)

Na to, aby sa zabránilo fragmentácii a prekážkam na vnútornom trhu spôsobeným rôznymi normami a technickými obmedzeniami a aby sa zabezpečil koordinovaný proces, ktorý zabráni ovplyvneniu vykonávania európskeho rámca digitálnej identity, je potrebná úzka a štruktúrovaná spolupráca medzi Komisiou, členskými štátmi, občianskou spoločnosťou, akademickou obcou a súkromným sektorom. Na dosiahnutie tohto cieľa by členské štáty a Komisia mali spolupracovať v rámci stanovenom v odporúčaní Komisie (EÚ) 2021/946 (16) v záujme určenia spoločného súboru nástrojov Únie pre európsky rámec digitálnej identity. V tejto súvislosti by sa členské štáty mali dohodnúť na komplexnej technickej architektúre a referenčnom rámci, súbore spoločných noriem a technických referencií vrátane uznávaných existujúcich noriem a na súbore usmernení a opisov najlepších postupov vzťahujúcich sa aspoň na všetky funkcie a interoperabilitu európskych peňaženiek digitálnej identity vrátane elektronických podpisov a kvalifikovaných poskytovateľov dôveryhodných služieb pre elektronické osvedčenie atribútov, ako sa stanovuje v tomto nariadení. V tejto súvislosti by sa členské štáty mali dohodnúť aj na spoločných prvkoch obchodného modelu a štruktúry poplatkov za európske peňaženky digitálnej identity s cieľom uľahčiť ich využívanie, najmä zo strany MSP, v cezhraničnom kontexte. Obsah súboru nástrojov by sa mal vyvíjať a upravovať paralelne s výsledkami diskusií a procesom prijímania európskeho rámca digitálnej identity.

(71)

Týmto nariadením sa stanovuje harmonizovaná úroveň kvality, dôveryhodnosti a bezpečnosti kvalifikovaných dôveryhodných služieb bez ohľadu na to, kde sa operácie vykonávajú. Kvalifikovaný poskytovateľ dôveryhodných služieb by preto mal môcť vykonávať svoje operácie súvisiace s poskytovaním kvalifikovanej dôveryhodnej služby prostredníctvom externých dodávateľov v tretej krajine, ak táto tretia krajina poskytne primerané záruky a zabezpečí, že činnosti dohľadu a audity možno presadzovať tak, ako keby sa vykonávali v Únii. Ak súlad s týmto nariadením nemožno v plnej miere zabezpečiť, orgány dohľadu by mali mať možnosť prijať primerané a odôvodnené opatrenia vrátane odňatia kvalifikovaného štatútu poskytovanej dôveryhodnej službe.

(72)

S cieľom zabezpečiť právnu istotu, pokiaľ ide o platnosť zdokonalených elektronických podpisov založených na kvalifikovaných certifikátoch, je nevyhnutné špecifikovať posúdenie spoliehajúcou sa stranou, ktorá vykonáva validáciu daného zdokonaleného elektronického podpisu na základe kvalifikovaných certifikátov.

(73)

Poskytovatelia dôveryhodných služieb by na zaistenie bezpečnosti a spoľahlivosti svojich dôveryhodných služieb mali používať kryptografické metódy odzrkadľujúce súčasné najlepšie postupy a dôveryhodné vykonávanie týchto algoritmov.

(74)

V tomto nariadení sa stanovuje povinnosť kvalifikovaných poskytovateľov dôveryhodných služieb overovať totožnosť fyzickej alebo právnickej osoby, ktorej sa vydáva kvalifikovaný certifikát alebo kvalifikované elektronické osvedčenie atribútov, na základe rôznych harmonizovaných metód v rámci Únie. S cieľom zabezpečiť, aby sa kvalifikované certifikáty a kvalifikované elektronické osvedčenia atribútov vydávali osobe, ktorej patria, a aby osvedčovali správny a jedinečný súbor údajov predstavujúcich totožnosť danej osoby, by kvalifikovaní poskytovatelia dôveryhodných služieb, ktorí vydávajú kvalifikované certifikáty alebo kvalifikované elektronické osvedčenia atribútov, mali v čase vydávania týchto certifikátov a osvedčení s úplnou istotou zabezpečiť identifikáciu danej osoby. Okrem povinného overovania totožnosti osoby, ak sa vzťahuje na vydávanie kvalifikovaných certifikátov a pri vydávaní kvalifikovaného elektronického osvedčenia atribútov, by kvalifikovaní poskytovatelia dôveryhodných služieb mali s úplnou istotou zabezpečiť aj správnosť a presnosť overených atribútov osoby, ktorej sa vydáva kvalifikovaný certifikát alebo kvalifikované elektronické osvedčenie atribútov. Uvedené povinnosti týkajúce sa výsledku a úplnej istoty pri overovaní osvedčovaných údajov by mali byť podporené vhodnými prostriedkami, okrem iného aj použitím jednej alebo v prípade potreby viacerých z osobitných metód stanovených v tomto nariadení. Tieto metódy by malo byť možné kombinovať, aby sa poskytol vhodný základ na overenie totožnosti osoby, ktorej sa vydáva kvalifikovaný certifikát alebo kvalifikované elektronické osvedčenie atribútov. Malo by byť možné, aby takáto kombinácia zahŕňala aj využívanie prostriedkov elektronickej identifikácie, ktoré spĺňajú požiadavky na úroveň záruky „významná“, v kombinácii s inými prostriedkami overovania totožnosti. Takáto elektronická identifikácia by umožnila splnenie harmonizovaných požiadaviek stanovených v tomto nariadení, pokiaľ ide o úroveň záruky „vysoká“ v rámci dodatočných harmonizovaných postupov na diaľku, ktorými sa zabezpečuje identifikácia s vysokou úrovňou spoľahlivosti. Uvedené metódy by mali umožňovať, aby kvalifikovaný poskytovateľ dôveryhodných služieb, ktorý vydáva kvalifikované elektronické osvedčenie atribútov, overil atribúty, ktoré sa majú osvedčiť, elektronickými prostriedkami na žiadosť používateľa v súlade s právom Únie alebo vnútroštátnym právom, a to aj na základe autentických zdrojov.

(75)

Aby bolo toto nariadenie v súlade so globálnym vývojom a aby sa dodržiavali najlepšie postupy na vnútornom trhu, mali by sa delegované a vykonávacie akty prijaté Komisiou pravidelne preskúmavať a v prípade potreby aktualizovať. Pri posudzovaní potreby týchto aktualizácií by sa mali zohľadniť nové technológie, postupy, normy alebo technické špecifikácie.

(76)

Keďže ciele tohto nariadenia, a to rozvoj celoúnijného európskeho rámca digitálnej identity a rámca dôveryhodných služieb, nie je možné uspokojivo dosiahnuť na úrovni členských štátov, ale z dôvodov ich rozsahu a dôsledkov ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie týchto cieľov.

(77)

V súlade s článkom 42 ods. 1 nariadenia (EÚ) 2018/1725 sa konzultovalo s európskym dozorným úradníkom pre ochranu údajov.

(78)

Nariadenie (EÚ) č. 910/2014 by sa preto malo zodpovedajúcim spôsobom zmeniť,

1.

Článok 1 sa nahrádza takto:

2.

Článok 2 sa mení takto:

3.

Článok 3 sa mení takto:

4.

Článok 5 sa nahrádza takto:

5.

V kapitole II sa vkladá tento oddiel:

(*2)  Smernica Európskeho parlamentu a Rady (EÚ) 2019/882 zo 17. apríla 2019 o požiadavkách na prístupnosť výrobkov a služieb (Ú. v. EÚ L 151, 7.6.2019, s. 70)."

(*3)  Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15)."

(*4)  Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení mikropodnikov, malých a stredných podnikov (Ú. v. EÚ L 124, 20.5.2003, s. 36)."

(*5)  Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2065 z 19. októbra 2022 o jednotnom trhu s digitálnymi službami a o zmene smernice 2000/31/ES (akt o digitálnych službách) (Ú. v. EÚ L 277, 27.10.2022, s. 1).“ "

6.

Pred článok 6 sa vkladá tento nadpis:

7.

V článku 7 sa písmeno g) nahrádza takto:

8.

V článku 8 ods. 3 sa prvý pododsek nahrádza takto:

9.

V článku 9 sa odseky 2 a 3 nahrádzajú takto:

10.

V článku 10 sa názov nahrádza takto:

„Narušenie bezpečnosti schém elektronickej identifikácie“

11.

Vkladá sa tento článok:

12.

Článok 12 sa mení takto:

13.

V kapitole II sa vkladajú tieto články:

(*6)  Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/1925 zo 14. septembra 2022 o súťažeschopných a spravodlivých trhoch digitálneho sektora a o zmene smerníc (EÚ) 2019/1937 a (EÚ) 2020/1828 (akt o digitálnych trhoch) (Ú. v. EÚ L 265, 12.10.2022, s. 1).“ "

14.

V článku 13 sa odsek 1 nahrádza takto:

15.

Články 14, 15 a 16 sa nahrádzajú takto:

(*7)  Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).“ "

16.

V kapitole III, oddiele 2 sa názov nahrádza takto:

„Nekvalifikované dôveryhodné služby“

17.

Články 17 a 18 sa vypúšťajú.

18.

V kapitole III oddiele 2 sa vkladá tento článok:

19.

Článok 20 sa mení takto:

20.

Článok 21 sa mení takto:

21.

Článok 24 sa mení takto:

22.

V kapitole III oddiele 3 sa vkladá tento článok:

23.

V článku 25 sa vypúšťa odsek 3.

24.

Článok 26 sa mení takto:

25.

V článku 27 sa vypúšťa odsek 4.

26.

V článku 28 sa odsek 6 nahrádza takto:

27.

V článku 29 sa vkladá tento odsek:

28.

Vkladá sa tento článok:

29.

V článku 30 sa vkladá tento odsek:

30.

V článku 31 sa odsek 3 nahrádza takto:

31.

Článok 32 sa mení takto:

32.

Vkladá sa tento článok:

33.

V článku 33 sa odsek 2 nahrádza takto:

34.

Článok 34 sa mení takto:

35.

V článku 35 sa vypúšťa odsek 3.

36.

Článok 36 sa mení takto:

37.

V článku 37 sa vypúšťa odsek 4.

38.

V článku 38 sa odsek 6 nahrádza takto:

39.

Vkladá sa tento článok:

40.

V kapitole III, oddiele 5 sa vkladá tento článok:

41.

V článku 41 sa vypúšťa odsek 3.

42.

Článok 42 sa mení takto:

43.

Článok 44 sa mení takto:

44.

Článok 45 sa nahrádza takto:

45.

Vkladá sa tento článok:

46.

V kapitole III sa dopĺňajú tieto oddiely:

47.

Vkladá sa táto kapitola:

48.

Článok 47 sa mení takto:

49.

V kapitole VI sa vkladá tento článok:

50.

Článok 49 sa nahrádza takto:

51.

Článok 51 sa nahrádza takto:

52.

Prílohy I až IV sa menia v súlade s prílohami I až IV k tomuto nariadeniu.

53.

Dopĺňajú sa nové prílohy V, VI a VII, ktoré sa uvádzajú v prílohách V, VI a VII k tomuto nariadeniu.