AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. cikkére,
tekintettel az Európai Bizottság javaslatára,
a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,
tekintettel az Európai Gazdasági és Szociális Bizottság véleményére * ,
tekintettel a Régiók Bizottságának véleményére * ,
rendes jogalkotási eljárás keretében * ,
mivel:
(1) A Bizottság az „Európa digitális jövőjének megtervezése” című, 2020. február 19-i közleményében bejelentette a 910/2014/EU európai parlamenti és tanácsi rendelet * felülvizsgálatát azzal a céllal, hogy javítsa a rendelet eredményességét, kiterjessze az előnyeit a magánszektorra, és előmozdítsa a megbízható digitális személyazonosságot minden európai számára.
(2) 2020. október 1-2-i következtetéseiben az Európai Tanács felkérte a Bizottságot, hogy terjesszen elő javaslatot a biztonságos, nyilvános elektronikus azonosítás - ezen belül az interoperábilis digitális aláírások - egész Unióra kiterjedő, olyan keretének kidolgozására, amely biztosítja az emberek számára az online személyazonosságuk és adataik feletti ellenőrzést, valamint lehetővé teszi, hogy hozzáférjenek digitális köz-, magán- és határokon átnyúló szolgáltatásokhoz.
(3) Az (EU) 2022/2481 európai parlamenti és tanácsi határozattal * létrehozott Digitális évtized 2030 szakpolitikai program egy olyan uniós keret célkitűzéseit és digitális céljait határozza meg, amely 2030-ra egy megbízható, önkéntes, a felhasználók által ellenőrzött digitális személyazonosság széles körű elterjedését hivatott eredményezni, amely személyazonosságot az egész Unióban elismerik, és amely minden felhasználó számára lehetővé teszi, hogy online interakciók során ellenőrzést gyakoroljon adatai felett.
(4) Az Európai Parlament, a Tanács és a Bizottság által kihirdetett, a digitális évtizedben érvényre juttatandó digitális jogokról és elvekről szóló európai nyilatkozat * (a továbbiakban: a nyilatkozat) hangsúlyozza, hogy mindenkinek joga van hozzáférni az olyan digitális technológiákhoz, termékekhez és szolgáltatásokhoz, amelyek kialakításuknál fogva biztonságosak, védettek, és garantálják a magánélet védelmét. Ez magában foglalja annak biztosítását, hogy az Unióban élő minden személy olyan, hozzáférhető, biztonságos és megbízható digitális személyazonossággal rendelkezhessen, amelynek révén az online és offline szolgáltatások széles köréhez férhet hozzá, és amely védelmet élvez a kiberbiztonsági kockázatokkal és a kiberbűnözéssel szemben, beleértve az adatvédelmi incidenseket, valamint a személyazonosság-lopást, illetve -manipulációt. A nyilatkozat azt is kimondja, hogy mindenkinek joga van személyes adatainak védelméhez. Ez a jog annak ellenőrzésére is kiterjed, hogy az adatokat miként használják fel és azokat kikkel osztják meg.
(5) Minden uniós polgár és az Unióban lakóhellyel rendelkező személy számára jogot kell biztosítani egy olyan digitális identitáshoz, amely a kizárólagos ellenőrzése alatt áll, és amely lehetővé teszi számára, hogy gyakorolja jogait a digitális környezetben, és részt vegyen a digitális gazdaságban. E cél elérése érdekében létre kell hozni egy olyan európai digitális személyazonossági keretet, amely lehetővé teszi az uniós polgárok és az Unióban lakóhellyel rendelkező személyek számára, hogy online és offline köz- és magánszolgáltatásokhoz férjenek hozzá Unió-szerte.
(6) Egy harmonizált digitális személyazonossági keret várhatóan elősegíti majd egy digitálisan integráltabb Unió kialakítását azáltal, hogy csökkenti a tagállamok közötti digitális akadályokat, és lehetővé teszi az uniós polgárok és az Unióban lakóhellyel rendelkező személyek számára, hogy élvezzék a digitalizáció előnyeit, miközben növeli az átláthatóságot és jogaik védelmét.
(7) Az elektronikus azonosításra vonatkozó összehangoltabb megközelítés várhatóan csökkenti majd azokat a kockázatokat és költségeket, amelyek az eltérő nemzeti megoldások használatából, illetve az ilyen elektronikus azonosítási megoldások egyes tagállamokban fennálló hiányából adódó jelenlegi széttagoltsággal járnak. Az említett megközelítés várhatóan meg fogja erősíteni a belső piacot azáltal, hogy lehetővé teszi az uniós polgárok, az Unióban lakóhellyel rendelkező, a nemzeti jogban meghatározott személyek, valamint a vállalkozások számára, hogy Unió-szerte biztonságos, megbízható, felhasználóbarát, kényelmes, hozzáférhető és harmonizált módon azonosítsák magukat online és offline. Az európai digitális személyiadat-tárca formájában egy olyan, harmonizált elektronikus azonosító eszközt kell Unió-szerte a természetes és jogi személyek rendelkezésére bocsátani, amely lehetővé teszi számukra a személyazonosságukhoz kapcsolódó adatok hitelesítését és megosztását. Mindenki számára lehetővé kell tenni, hogy biztonságosan hozzáférjen a köz- és magánszolgáltatásokhoz, a bizalmi szolgáltatások jobb ökoszisztémájára, valamint ellenőrzött személyazonosítókra és attribútumok, így például felsőoktatási képesítések - többek között felsőfokú végzettséget igazoló oklevelek, vagy az oktatás és képzés területén szerzett egyéb képesítések - elektronikus tanúsítványaira támaszkodva. Az európai digitális személyazonossági keret által elérni kívánt cél az, hogy a kizárólag a nemzeti digitális személyazonossági megoldások igénybevételétől elmozdulás történjen az érvényes és Unió-szerte jogilag elismert elektronikus attribútumtanúsítványok nyújtása felé. Az elektronikus attribútumtanúsítványokat nyújtó szolgáltatók számára egyértelmű és egységes szabályrendszert kell biztosítani, míg a közigazgatások számára azt kell lehetővé tenni, hogy támaszkodhassanak adott formátumú elektronikus dokumentumokra.
(8) Több tagállam is bevezetett, illetve alkalmaz olyan elektronikus azonosító eszközöket, amelyeket az Unió-beli szolgáltatók elfogadnak. Emellett a 910/2014/EU rendelet alapján sor került nemzeti és határokon átnyúló megoldásokba, többek között az említett rendelet szerinti bejelentett elektronikus azonosítási rendszerek interoperabilitásába történő beruházásokra is. Az európai digitális személyiadat-tárcák bejelentett elektronikus azonosító eszközökkel való komplementaritásának és annak biztosítása érdekében, hogy az említett eszközök jelenlegi felhasználói gyorsan megkezdjék e tárcák használatát, valamint a meglévő szolgáltatókra gyakorolt hatás minimálisra csökkentése érdekében, az európai digitális személyiadat-tárcáknak építeniük kell a meglévő elektronikus azonosító eszközökkel kapcsolatos tapasztalatokra, valamint a bejelentett elektronikus azonosítási rendszerek uniós és nemzeti szinten kiépített infrastruktúrájára.
(9) Az (EU) 2016/679 európai parlamenti és tanácsi rendelet * és adott esetben a 2002/58/EK európai parlamenti és tanácsi irányelv * a 910/2014/EU rendelet szerinti valamennyi személyesadat-kezelési tevékenységre alkalmazandó. Az e rendeletben szereplő interoperabilitási keret szerinti megoldások szintén megfelelnek ezeknek a szabályoknak. Az uniós adatvédelmi jogszabályok olyan adatvédelmi elveket írnak elő, mint az adattakarékosság és a célhozkötöttség elve, továbbá olyan kötelezettségeket, mint a beépített és alapértelmezett adatvédelem.
(10) Az uniós vállalkozások versenyképességének támogatása érdekében mind az online, mind pedig az offline szolgáltatók számára lehetővé kell tenni, hogy az egész Unióban elismert digitális személyazonosító megoldásokat vehessenek igénybe, függetlenül attól, hogy azokat melyik tagállamban nyújtják, és így részesülhessenek a bizalomra, a biztonságra és az interoperabilitásra vonatkozó harmonizált uniós megközelítés előnyeiből. A felhasználók és a szolgáltatók számára egyaránt lehetővé kell tenni, hogy élhessenek azokkal az előnyökkel, amelyeket az elektronikus attribútumtanúsítványokhoz rendelt, az Unió egész területén azonos joghatás biztosít. A harmonizált digitális személyazonossági keret gazdasági értéket hivatott teremteni azáltal, hogy általa könnyebbé válik az árukhoz és szolgáltatásokhoz való hozzáférés, jelentősen csökkennek az elektronikus azonosítási és hitelesítési eljárásokhoz kapcsolódó működési költségek, például az új ügyfelek beléptetése során, csökken a kiberbűnözés - például a személyazonosság-lopások, az adatlopások és az online csalások - lehetősége, ezáltal előmozdítva az uniós mikro-, kis- és középvállalkozások (kkv-k) hatékonyságnövekedését és biztonságos digitális transzformációját.
(11) Az európai digitális személyiadat-tárcák várhatóan megkönnyítik majd az egyszeri adatszolgáltatás elvének alkalmazását, ily módon csökkentve az uniós polgárok és az Unióban lakóhellyel rendelkező személyek, valamint az Unión belüli vállalkozások határokon átnyúló mobilitására nehezedő adminisztratív terheket, továbbá támogatva az említett, határokon átnyúló mobilitást Unió-szerte, valamint előmozdítva az interoperábilis e-kormányzati szolgáltatások fejlesztését az egész Unióban.
(12) E rendelet végrehajtása során a személyes adatok kezelésére az (EU) 2016/679 európai parlamenti és tanácsi rendelet és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet * , valamint a 2002/58/EK irányelv alkalmazandó. Ezért e rendeletnek konkrét garanciákat kell megállapítania annak megakadályozására, hogy az elektronikus azonosító eszközöket és az elektronikus attribútumtanúsítványokat nyújtó szolgáltatók a más szolgáltatások nyújtása során szerzett személyes adatokat az e rendelet hatálya alá tartozó szolgáltatások nyújtása során kezelt személyes adatokkal kombinálják. Az európai digitális személyiadat-tárcák nyújtásával kapcsolatos személyes adatokat logikailag elkülönítve kell tárolni az európai digitális személyiadat-tárcát nyújtó szolgáltató birtokában lévő minden egyéb adattól. Ez a rendelet nem akadályozhatja az európai digitális személyiadat-tárcákat nyújtó szolgáltatókat abban, hogy további olyan, a személyes adatok védelmét előmozdító technikai intézkedéseket alkalmazzanak, mint például az európai digitális személyiadat-tárcák nyújtásával kapcsolatos személyes adatoknak a szolgáltató által tárolt bármely más adattól való fizikai elkülönítése. Az (EU) 2016/679 rendelet sérelme nélkül ez a rendelet tovább pontosítja a célhozkötöttség, az adattakarékosság, valamint a beépített és alapértelmezett adatvédelem elvének alkalmazását.
(13) Az európai digitális személyiadat-tárcáknak beépített közös kezelőfelületi funkcióval kell rendelkezniük annak érdekében, hogy a felhasználók számára nagyobb fokú átláthatóságot, adatvédelmet és ellenőrzést biztosítsanak személyes adataik tekintetében. A funkciónak egy olyan, egyszerű és felhasználóbarát felületet kell biztosítania, amely áttekintést nyújt az összes olyan igénybe vevő félről, akikkel a felhasználó adatokat, többek között attribútumokat oszt meg, valamint az egyes igénybe vevő felekkel megosztott adatok típusáról. Emellett lehetővé kell tennie a felhasználók számára, hogy az európai digitális személyiadat-tárcán keresztül végrehajtott összes tranzakciót nyomon kövessék, legalább a következő adatok alapján: a tranzakció időpontja és dátuma, a partner azonosítása, a kért személyes adatok és a megosztott adatok. Ezeket az információkat akkor is el kell tárolni, ha a tranzakció nem jött létre. A tranzakciókra vonatkozó előzményekben szereplő információk hitelessége nem lehet elvitatható. Az említett funkciónak alapértelmezés szerint aktívnak kell lennie. E funkciónak lehetővé kell tennie a felhasználók számára, hogy - közvetlenül az európai digitális személyiadat-tárcán keresztül - könnyen kérelmezhessék az igénybe vevő féltől a személyes adatok azonnali törlését az (EU) 2016/679 rendelet 17. cikke alapján, és hogy - közvetlenül az európai digitális személyiadat-tárcán keresztül - könnyen bejelenthessék az igénybe vevő felet az illetékes nemzeti adatvédelmi hatóságnak, amennyiben személyes adatokra vonatkozó, állítólagosan jogellenes vagy gyanús kérelem érkezik.
(14) A tagállamoknak különböző, a magánélet védelmét szolgáló technológiákat - például a nem feltáró bizonyítás módszerét - kell beépíteniük az európai digitális személyiadat-tárcába. E kriptográfiai módszereknek lehetővé kell tenniük az igénybe vevő fél számára annak ellenőrzését, hogy egy adott, a személy személyazonosító adatain és attribútumtanúsítványán alapuló állítás valós-e, anélkül, hogy felfedné azokat az adatokat, amelyeken e nyilatkozat alapul, megőrizve ezáltal a felhasználó magánéletének védelmét.
(15) E rendelet meghatározza a tagállamok által nyújtandó európai digitális személyiadat-tárcák keretének létrehozására vonatkozó harmonizált feltételeket. Valamennyi uniós polgár és az Unióban lakóhellyel rendelkező, a nemzeti jogban meghatározottak szerinti személy számára lehetővé kell tenni a személyazonosságával kapcsolatos adatok biztonságos kérelmezését, kiválasztását, kombinálását, tárolását, törlését, megosztását és bemutatását, valamint annak felhasználóbarát és kényelmes módon történő kérelmezését, hogy töröljék személyes adatait, méghozzá a felhasználó kizárólagos ellenőrzése mellett, lehetővé téve ugyanakkor a személyes adatok szelektív hozzáférhetővé tételét. E rendelet tükrözi a közös európai értékeket, és megőrzi az alapvető jogokat, a jogi biztosítékokat és a felelősséget, ezáltal védelmet nyújtva a demokratikus társadalmaknak, az uniós polgároknak és az Unióban lakóhellyel rendelkező személyeknek. Az e célkitűzések eléréséhez használt technológiákat a legmagasabb szintű biztonságot, adatvédelmet, felhasználói kényelmet, akadálymentességet, széles körű használhatóságot és a zökkenőmentes interoperabilitást szem előtt tartva kell kifejleszteni. A tagállamoknak minden polgáruk és lakosuk számára egyenlő hozzáférést kell biztosítaniuk az elektronikus azonosításhoz. A tagállamok nem korlátozhatják sem közvetlenül, sem közvetve azon természetes vagy jogi személyek köz- vagy magánszolgáltatásokhoz való hozzáférését, akik úgy döntenek, hogy nem használják az európai digitális személyiadat-tárcát, és megkülönböztetésmentes alternatív megoldásokat kell elérhetővé tenniük.
(16) A tagállamoknak igénybe kell venniük az e rendelet által kínált lehetőségeket annak érdekében, hogy felelősségi körükön belül európai digitális személyiadat-tárcákat nyújtsanak a területükön lakóhellyel, illetve székhellyel rendelkező természetes és jogi személyek általi használatra. A tagállamok részére rugalmasság biztosítása és a legkorszerűbb technológiák kiaknázása érdekében e rendeletnek az európai digitális személyiadat-tárcák nyújtását a következő módokon kell lehetővé tennie: közvetlenül valamely tagállam által, valamely tagállamtól kapott megbízás alapján vagy függetlenül valamely tagállamtól, de az adott tagállam általi elismerés mellett.
(17) A nyilvántartásba vétel céljából az igénybe vevő feleknek rendelkezésre kell bocsátaniuk azokat az információkat, amelyek az európai digitális személyiadat-tárcák felé történő elektronikus azonosításukhoz és hitelesítésükhöz szükségesek. Az európai digitális személyiadat-tárca tervezett használatának bejelentésekor az igénybe vevő feleknek tájékoztatást kell nyújtaniuk azokról az adatokról, amelyeket adott esetben a szolgáltatásaik nyújtása érdekében kérnek, valamint az adatok kérésének okáról. Az igénybe vevő felek nyilvántartásba vétele megkönnyíti, hogy a tagállamok ellenőrizést végezzenek az igénybe vevő felek tevékenységeinek jogszerűsége tekintetében az uniós joggal összhangban. Az e rendeletben előírt nyilvántartásba vételi kötelezettség nem sértheti az egyéb uniós vagy nemzeti jogszabályokban meghatározott kötelezettségeket, például az érintetteknek az (EU) 2016/679 rendelet alapján nyújtandó tájékoztatást. Az igénybe vevő feleknek eleget kell tenniük az említett rendelet 35. és 36. cikkében foglalt biztosítékokra vonatkozó követelményeknek, különösen azáltal, hogy adatvédelmi hatásvizsgálatokat végeznek, és hogy az adatkezelést megelőzően konzultálnak az illetékes adatvédelmi hatóságokkal, amennyiben az adatvédelmi hatásvizsgálatok azt mutatják, hogy az adatkezelés magas kockázattal járna. E biztosítékok várhatóan elősegítik, hogy az igénybe vevő felek jogszerűen végezzék a személyes adatok kezelését, különösen az adatok különleges kategóriái - például az egészségügyi adatok - tekintetében. Az igénybe vevő felek nyilvántartásba vételének célja az átláthatóság és az európai digitális személyiadat-tárcák használatába vetett bizalom növelése. A nyilvántartásba vételnek költséghatékonynak és a kapcsolódó kockázatokkal arányosnak kell lennie annak biztosítása érdekében, hogy a szolgáltatók körében elterjedjen annak használata. Ezzel összefüggésben a nyilvántartásba vételhez automatizált eljárások alkalmazását kell előirányozni, ideértve a meglévő nyilvántartások tagállamok általi igénybevételét és használatát, és a nyilvántartásba vétel nem foglalhat magában előzetes jóváhagyási eljárást. A nyilvántartásba vételi folyamatnak számos felhasználási esetet lehetővé kell tennie, és ezek eltérőek lehetnek a működési mód (online vagy offline mód), vagy az eszközök abból a célból történő hitelesítésére vonatkozó követelmény tekintetében, hogy csatlakozzanak az európai digitális személyiadat-tárcához. A nyilvántartásba vétel kizárólag azokra az igénybe vevő felekre alkalmazandó, amelyek digitális interakció útján nyújtanak szolgáltatásokat.
(18) Az uniós polgároknak és az Unióban lakóhellyel rendelkező személyeknek az európai digitális személyiadat-tárcák jogosulatlan vagy csalárd használatával szembeni védelme rendkívül fontos az európai digitális személyiadat-tár- cákba vetett bizalom biztosítása és e tárcák széles körű elterjedése szempontjából. A felhasználók számára hatékony védelmet kell biztosítani az említett visszaélésekkel szemben. Különösen olyan esetekben, amikor egy nemzeti igazságügyi hatóság egy másik eljárás keretében olyan tényállásokat állapít meg, amelyek megalapozzák az európai digitális személyiadat-tárca csalárd vagy egyéb jogellenes használatát, az európai digitális személyiadat-tárca kibocsátóiért felelős felügyeleti szerveknek - a bejelentést követően - meg kell tenniük a szükséges intézkedéseket annak biztosítására, hogy az igénybe vevő fél nyilvántartásba vételét és az igénybe vevő felek hitelesítési mechanizmusba való bevonását visszavonják vagy felfüggesszék mindaddig, amíg a bejelentő hatóság meg nem erősíti, hogy az azonosított szabálytalanságokat orvosolták.
(19) Valamennyi európai digitális személyiadat-tárcának lehetővé kell tennie, hogy a felhasználók a köz- és magánszolgáltatások széles köréhez való hozzáférés érdekében határokon átnyúlóan, elektronikusan azonosítsák és hitelesítsék magukat online és offline módban. A tagállamok polgáraik és lakosaik azonosítására vonatkozó előjogainak sérelme nélkül az európai digitális személyiadat-tárcák a közigazgatási szervek, a nemzetközi szervezetek, valamint az uniós intézmények, szervek, hivatalok és ügynökségek intézményi szükségleteit is kielégíthetik. Az offline módban történő hitelesítés számos ágazatban fontos lenne, többek között az egészségügyi ágazatban is, ahol a szolgáltatásokat gyakran személyes interakció keretében nyújtják, az elektronikus vények esetében pedig szükség van arra, hogy a hitelesség ellenőrzése során QR-kódokra vagy hasonló technológiákra lehessen támaszkodni. Az e rendelet szerinti biztonsági követelményeknek való megfelelés érdekében az európai digitális személyiadat-tárcáknak - az elektronikus azonosítási rendszerek „magas” biztonsági szintjére építve - élniük kell a biztonsági elemek, így például a hamisításbiztos megoldások által kínált lehetőségek előnyeivel. Az európai digitális személyiadat-tárcáknak emellett lehetővé kell tenniük a felhasználók számára az egész Unióban elfogadott minősített elektronikus aláírások és bélyegzők létrehozását és használatát. A természetes személyek számára lehetővé kell tenni, hogy az európai digitális személyiadat-tárcába való beléptetést követően a tárcát - alapértelmezés szerint és ingyenesen - minősített elektronikus aláírással történő aláírásra használhassák anélkül, hogy további adminisztratív eljárásokat kellene elvégezniük. Lehetővé kell tennie a felhasználók számára, hogy önbevalláson alapuló nyilatkozatokat vagy attribútumokat lássanak el aláírással vagy bélyegzővel. Annak érdekében, hogy a személyek és a vállalkozások Unió-szerte élvezhessék az egyszerűség és a költségcsökkenés előnyeit, többek között a meghatalmazások és elektronikus megbízások lehetővé tétele révén, a tagállamoknak közös szabványokra és technikai specifikációkra támaszkodó európai digitális személyiadat-tárcákat kell nyújtaniuk a zökkenőmentes interoperabilitás biztosítása és az informatikai biztonság megfelelő növelése, valamint annak érdekében, hogy megerősítsék a kibertámadásokkal szembeni ellenálló képességet, és ilyen módon jelentősen csökkentsék a folyamatban lévő digitalizáció miatt az uniós polgárokat, az Unióban lakóhellyel rendelkező személyeket és a vállalkozásokat érintő kockázatokat. Csak a tagállamok illetékes hatóságai teremthetnek magas szintű bizalmat valamely személy személyazonosságának megállapítását illetően, ezáltal csak ők nyújthatnak bizonyosságot arra vonatkozóan, hogy a valamely személyazonosságot állító, vagy arról nyilatkozó személy valóban az a személy, akinek vallja magát. Ezért az európai digitális személyiadat-tárcák nyújtásához az uniós polgárok, az Unióban lakóhellyel rendelkező személyek vagy jogi személyek jogi személyazonosságát kell alapul venni. A jogi személyazonosság alapulvétele nem akadályozhatja az európai digitális személyiadat-tárcák felhasználóit abban, hogy álnéven férjenek hozzá a szolgáltatásokhoz, amennyiben a jogszabályok a hitelesítéshez nem írnak elő jogi személyazonosságot. Az európai digitális személyiadat-tárcákba vetett bizalmat erősítené az, ha a kibocsátó és kezelő felek az (EU) 2016/679 rendelettel összhangban kötelesek lennének megfelelő technikai és szervezési intézkedéseket végrehajtani annak érdekében, hogy biztosítsák azt a legmagasabb biztonsági szintet, amely arányos a természetes személyek jogaira és szabadságaira nézve felmerülő kockázatokkal.
(20) A minősített elektronikus aláírás használatának, amennyiben arra nem szakmai célból kerül sor, minden természetes személy számára ingyenesnek kell lennie. A tagállamok számára lehetővé kell tenni, hogy intézkedéseket hozzanak annak megakadályozására, hogy természetes személyek szakmai célból vegyék igénybe a minősített elektronikus aláírás ingyenes használatát, ugyanakkor biztosítva azt, hogy az ilyen intézkedések arányosak legyenek az azonosított kockázatokkal és indokoltak legyenek.
(21) Észszerű megkönnyíteni az európai digitális személyiadat-tárcák elterjedését és használatát azáltal, hogy zökkenőmentesen integrálják azokat a nemzeti, helyi vagy regionális szinten már megvalósított digitális köz- és magánszolgáltatások ökoszisztémájába. E cél eléréséhez lehetővé kell tenni a tagállamok számára, hogy jogi és szervezeti intézkedéseket irányozzanak elő annak érdekében, hogy növeljék a rugalmasságot az európai digitális személyiadat-tárcákat nyújtó szolgáltatók számára, valamint hogy lehetővé tegyék az európai digitális személyiadat-tárcák funkcióinak az e rendeletben meghatározottakon túlmutató, további funkciókkal történő kibővítését, többek között a meglévő nemzeti elektronikus azonosító eszközökkel való fokozott interoperabilitás révén. Az ilyen további funkciók azonban semmiképpen sem érinthetik hátrányosan az európai digitális személyiadat-tárcák e rendeletben meghatározott alapvető funkcióinak nyújtását, továbbá nem mozdíthatják elő a meglévő nemzeti megoldásokat az európai digitális személyiadat-tárcákkal szemben. Mivel az említett további funkciók túlmutatnak e rendeleten, ezekre nem vonatkoznak az e rendeletben meghatározott, az európai digitális személyiadat-tárcák határokon átnyúló igénybevételére vonatkozó rendelkezések.
(22) Az európai digitális személyiadat-tárcáknak tartalmazniuk kell egy olyan funkciót, amely a felhasználó által kiválasztott és kezelt álneveket generál az online szolgáltatásokhoz való hozzáférés során történő hitelesítés céljából.
(23) A magas szintű biztonság és megbízhatóság elérése érdekében ez a rendelet meghatározza az európai digitális személyiadat-tárcákra vonatkozó követelményeket. Az európai digitális személyiadat-tárcák e követelményeknek való megfelelését a tagállamok által kijelölt akkreditált megfelelőségértékelő szervezeteknek kell tanúsítaniuk.
(24) Az eltérő megközelítések elkerülése és az e rendeletben meghatározott követelmények végrehajtásának harmonizálása érdekében a Bizottságnak az európai digitális személyiadat-tárcák tanúsítása céljára végrehajtási jogi aktusokat kell elfogadnia abból a célból, hogy összeállítson egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapítson meg az említett követelmények részletes technikai specifikációinak ismertetése céljából. Amennyiben az e rendeletben említett meglévő kiberbiztonsági tanúsítási rendszerek nem terjednek ki annak tanúsítására, hogy az európai digitális személyiadat-tárcák megfelelnek a vonatkozó kiberbiztonsági követelményeknek, valamint tekintettel az európai digitális személyiadat-tárcákra vonatkozó nem kiberbiztonsági követelményekre, a tagállamoknak az e rendeletben meghatározott és az e rendelet alapján elfogadott harmonizált követelmények alapján nemzeti tanúsítási rendszereket kell létrehozniuk. A tagállamoknak a nemzeti tanúsítási rendszerük tervezetét továbbítaniuk kell az európai digitális személyazonossággal foglalkozó együttműködési csoportnak, amely számára lehetővé kell tenni, hogy véleményeket és ajánlásokat adjon ki.
(25) Az e rendeletben meghatározott kiberbiztonsági követelményeknek való megfelelés tanúsításának az IKT-termékek, -folyamatok és -szolgáltatások önkéntes európai kiberbiztonsági tanúsítási keretrendszerét létrehozó (EU) 2019/881 európai parlamenti és tanácsi rendelet * alapján létrehozott releváns európai kiberbiztonsági tanúsítási rendszerekre kell támaszkodnia, amennyiben ilyenek rendelkezésre állnak.
(26) A biztonsággal kapcsolatos kockázatok folyamatos értékelése és csökkentése érdekében a tanúsított európai digitális személyiadat-tárcákat rendszeres sebezhetőségi értékeléseknek kell alávetni, amelyek célja, hogy feltárják az európai digitális személyiadat-tárca tanúsított termékekhez, folyamatokhoz és szolgáltatásokhoz kapcsolódó elemeinek a sebezhetőségét.
(27) A felhasználóknak és a vállalkozásoknak a kiberbiztonsági kockázatokkal szembeni védelme révén az e rendeletben meghatározott alapvető kiberbiztonsági követelmények fokozzák az egyének személyes adatainak a védelmét és a magánélet sérthetetlenségét is. A Bizottság, az európai szabványügyi szervezetek, az Európai Uniós Kiberbiztonsági Ügynökség (ENISA), az (EU) 2016/679 rendelettel létrehozott Európai Adatvédelmi Testület és a nemzeti adatvédelmi felügyeleti hatóságok közötti együttműködés révén figyelembe kell venni a kiberbiztonsági szempontokkal kapcsolatos szabványosítás és tanúsítás közötti szinergiákat.
(28) Az uniós polgárok és az Unióban lakóhellyel rendelkező személyek európai digitális személyiadat-tárcába való beléptetését „magas” biztonsági szintűként kibocsátott elektronikus azonosító eszközök igénybevételével kell megkönnyíteni. „Jelentős” biztonsági szintűként kibocsátott elektronikus azonosító eszközöket csak olyan esetekben lehet igénybe venni, amikor az olyan, harmonizált technikai specifikációk és eljárások, amelyek a „jelentős” biztonsági szintűként kibocsátott elektronikus azonosító eszközöket egyéb kiegészítő azonosság-ellenőrző eszközökkel kombinálva használják, lehetővé teszik az e rendeletben a „magas” biztonsági szint tekintetében meghatározott követelmények teljesülését. Az ilyen kiegészítő eszközöknek megbízhatóknak és könnyen használhatóknak kell lenniük, és azok esetében lehetőséget lehet biztosítani távoli beléptetési eljárásoknak, minősített elektronikus aláírásokkal támogatott minősített tanúsítványoknak, minősített elektronikus attribútumtanúsítványoknak vagy ezek kombinációjának az alkalmazására. Az európai digitális személyiadat-tárcák megfelelő elterjedésének biztosítása érdekében végrehajtási jogi aktusokban harmonizált technikai specifikációkat és eljárásokat kell meghatározni a felhasználók elektronikus azonosító eszközök - köztük a „jelentős” biztonsági szintűként kibocsátott elektronikus azonosító eszközök - útján történő beléptetésére vonatkozóan.
(29) E rendelet célja, hogy teljes mértékben mobilis, biztonságos és felhasználóbarát európai digitális személyiadat-tárcát nyújtson a felhasználók számára. Átmeneti intézkedésként lehetővé kell tenni, hogy az európai digitális személyiadat-tárcák a tanúsított hamisításbiztos megoldások, mint például a felhasználói eszközökön belüli biztonsági elemek rendelkezésre állásáig a kriptográfiai anyagok és más érzékeny adatok védelme érdekében tanúsított külső biztonsági elemekre támaszkodjanak, vagy pedig „magas” biztonsági szintű, bejelentett elektronikus azonosító eszközökre támaszkodjanak annak igazolása érdekében, hogy megfelelnek az e rendeletben az európai digitális személyiadat-tárca biztonsági szintjére vonatkozóan megállapított releváns követelményeknek. Ez a rendelet nem sértheti a tanúsított külső biztonsági elem kibocsátására és használatára vonatkozó nemzeti feltételeket abban az esetben, ha az átmeneti intézkedés az említett elemtől függ.
(30) Az európai digitális személyiadat-tárcáknak az elektronikus azonosítás és hitelesítés céljára a legmagasabb szintű adatvédelmet és biztonságot kell biztosítaniuk a köz- és magánszolgáltatásokhoz való hozzáférés megkönnyítése céljából, függetlenül attól, hogy ezeket az adatokat helyben vagy felhőalapú megoldásokon tárolják, megfelelően figyelembe véve a különböző kockázati szinteket.
(31) Az európai digitális személyiadat-tárcáknak beépített módon biztonságosaknak kell lenniük, és fejlett biztonsági funkciókat kell tartalmazniuk a személyazonosság-lopás, az adatlopás, a szolgáltatásmegtagadás és bármely más kiberfenyegetés elleni védelem érdekében. Az említett biztonságnak olyan, a legkorszerűbb titkosítási és tárolási módszereket kell magában foglalnia, amelyek kizárólag a felhasználó számára hozzáférhetők és kizárólag általa dekódolhatók, valamint amelyek a más európai digitális személyiadat-tárcákkal és igénybe vevő felekkel való, végponttól végpontig titkosított kommunikációra támaszkodnak. Emellett az európai digitális személyiadat-tárcák- nak biztonságos, kifejezett és aktív felhasználói megerősítést kell megkövetelniük az európai digitális személyiadat-tárcákon keresztül végzett műveletekhez.
(32) Az európai digitális személyiadat-tárcák ingyenes használata nem eredményezheti azt, hogy az európai digitális személyiadat-tárca-szolgáltatások nyújtásához szükséges adatok körén kívül eső adatokra vonatkozó adatkezelésre kerüljön sor. Ez a rendelet nem teheti lehetővé, hogy az európai digitális személyiadat-tárcát nyújtó szolgáltató az európai digitális személyiadat-tárcában tárolt vagy az annak használatából eredő személyes adatok kezelését az európai digitális személyiadat-tárca nyújtásától eltérő célokra végezze. A magánélet védelme érdekében az európai digitális személyiadat-tárcát nyújtó szolgáltatóknak biztosítaniuk kell a megfigyelhetetlenséget azáltal, hogy nem gyűjtenek adatokat, és nem nyernek betekintést az európai digitális személyiadat-tárca felhasználóinak tranzakcióiba. Ez a megfigyelhetetlenség azt jelenti, hogy a szolgáltatók nem láthatják a felhasználó által végrehajtott tranzakciók részleteit. Ugyanakkor konkrét esetekben, az egyes konkrét esetek vonatkozásában a felhasználó kifejezett előzetes hozzájárulása alapján, valamint az (EU) 2016/679 rendelettel teljes összhangban, az európai digitális személyiadat-tárcákat nyújtó szolgáltatók számára hozzáférést lehet biztosítani azokhoz az információkhoz, amelyek az európai digitális személyiadat-tárcákhoz kapcsolódó valamely konkrét szolgáltatás nyújtásához szükségesek.
(33) Az európai digitális személyiadat-tárcák átláthatósága és az azokat nyújtó szolgáltatók elszámoltathatósága kulcsfontosságú elemeket jelentenek a társadalmi bizalom megteremtéséhez és a keret elfogadottságának ösztönzéséhez. Az európai digitális személyiadat-tárcák működésének ezért átláthatónak kell lennie, és különösen lehetővé kell tennie a személyes adatok ellenőrizhető kezelését. Ennek eléréséhez a tagállamoknak nyilvánosságra kell hozniuk az európai digitális személyiadat-tárcák alkalmazásszoftver-alkotóelemeinek forráskódját, ideértve azokét is, amelyek személyes adatok és jogi személyek adatainak kezeléséhez kapcsolódnak. E forráskód nyílt forráskódú licenc keretében történő közzétételének lehetővé kell tennie a társadalom, többek között a felhasználók és a fejlesztők számára, hogy megértsék annak működését, továbbá ellenőrizzék és módosítsák a kódot. Ez növelné a tárca ökoszisztémájába vetett felhasználói bizalmat, valamint elősegítené az európai digitális személyiadat-tárcák biztonságosságát azáltal, hogy bárki számára lehetővé teszi a kódok sebezhetőségeinek és hibáinak a bejelentését. Emellett ez várhatóan arra ösztönzi a beszállítókat, hogy rendkívül biztonságos termékeket szállítsanak és tartsanak fenn. Egyes esetekben azonban a használt könyvtárak, a távközlési csatorna vagy más, nem a felhasználói eszközön tárolt elemek forráskódjának közzétételét a tagállamok kellően indokolt okokból - különösen a közbiztonság érdekében - korlátozhatják.
(34) Az európai digitális személyiadat-tárcák használata és használatának megszüntetése a felhasználók kizárólagos joga és választása kell, hogy legyen. A tagállamoknak egyszerű és biztonságos eljárásokat kell kidolgozniuk annak érdekében, hogy a felhasználók kérelmezhessék az európai digitális személyiadat-tárcák érvényességének azonnali visszavonását, többek között elvesztés vagy lopás esetén is. A felhasználó halála vagy a jogi személy tevékenységének megszűnése esetére olyan mechanizmust kell létrehozni, amely lehetővé teszi a természetes személy örökségének vagy a jogi személy vagyonának rendezéséért felelős hatóság számára, hogy az európai digitális személyiadat-tárca azonnali visszavonását kérje.
(35) Az európai digitális személyiadat-tárcák elterjedésének és a digitális személyazonosság szélesebb körű használatának előmozdítása érdekében a tagállamoknak nemcsak a releváns szolgáltatások előnyeit kell népszerűsíteniük, hanem a magánszférával, a kutatókkal és a tudományos körökkel együttműködve polgáraik és lakosaik - különösen a kiszolgáltatott csoportok, például a fogyatékossággal élő személyek és az idősek - digitális készségeinek javítására irányuló képzési programokat is ki kell dolgozniuk. A tagállamoknak emellett kommunikációs kampányok révén fel kell hívniuk a figyelmet az európai digitális személyiadat-tárcák előnyeire és kockázataira.
(36) Annak biztosítása érdekében, hogy az európai digitális személyazonossági keret nyitott legyen az innovációra és a technológiai fejlődésre, valamint hogy időtálló legyen, a tagállamokat arra ösztönzik, hogy hozzanak létre közösen tesztkörnyezeteket az innovatív megoldások ellenőrzött és biztonságos környezetben történő tesztelésére, különösen a személyes adatok védelmének, a megoldások működőképességének, biztonságosságának és interoperabilitásának javítása, valamint a műszaki referenciák és a jogi követelmények jövőbeli aktualizálásának megalapozása érdekében. Ennek a környezetnek elő kell segítenie a kis- és középvállalkozások, az induló innovatív vállalkozások, továbbá az egyéni innovátorok és kutatók, valamint a releváns ágazati érdekelt felek bevonását. Az ilyen kezdeményezéseknek elő kell segíteniük és meg kell erősíteniük az uniós polgárok és az Unióban lakóhellyel rendelkező személyek számára nyújtandó európai digitális személyiadat-tárcák jogszabályi megfelelését és műszaki stabilitását, ezáltal megakadályozva az olyan megoldások kifejlesztését, amelyek nem felelnek meg az uniós adatvédelmi jogszabályoknak, vagy amelyek ki lehetnek téve biztonsági sebezhetőségeknek.
(37) Az (EU) 2019/1157 európai parlamenti és tanácsi rendelet * 2021 augusztusáig fokozott biztonsági elemekkel erősíti meg a személyazonosító igazolványok biztonságát. Az elektronikus azonosító eszközök határokon átnyúló rendelkezésre állásának bővítése érdekében a tagállamoknak fel kell mérniük ezen elemek elektronikus azonosítási rendszerek keretében történő bejelentésének megvalósíthatóságát.
(38) Az elektronikus azonosítási rendszerek bejelentésének folyamatát egyszerűsíteni kell és fel kell gyorsítani a kényelmes, megbízható, biztonságos és innovatív hitelesítési és azonosítási megoldásokhoz való hozzáférés elősegítése érdekében, és adott esetben a magán-identitásszolgáltatók arra való bátorítása érdekében, hogy elektronikus azonosítási rendszereket kínáljanak a tagállamok hatóságai számára a 910/2014/EU rendelet szerinti nemzeti elektronikus azonosítási rendszerként történő bejelentés céljára.
(39) A jelenlegi bejelentési és kölcsönös felülvizsgálati eljárások egyszerűsítése megakadályozza a különböző bejelentett elektronikus azonosítási rendszerek értékelésének heterogén megközelítéseit, és megkönnyíti a tagállamok közötti bizalomépítést. Az új, egyszerűsített mechanizmusok arra hivatottak, hogy elősegítsék a tagállamok együttműködését a bejelentett elektronikus azonosítási rendszereik biztonságát és interoperabilitását illetően.
(40) A tagállamoknak új, rugalmas eszközökre kell tudniuk támaszkodni az e rendeletben és az e rendelet alapján elfogadott vonatkozó végrehajtási jogi aktusokban foglalt követelményeknek való megfelelés biztosításához. E rendeletnek lehetővé kell tennie a tagállamok számára, hogy az akkreditált megfelelőségértékelő szervezetek által az (EU) 2019/881 rendelet alapján uniós szinten létrehozandó tanúsítási rendszerekkel összefüggésben előírtak szerint készített jelentéseket és értékeléseket felhasználják a rendszereknek vagy azok részeinek a 910/2014/EU rendelettel való összhangjára vonatkozó állításuk alátámasztására.
(41) A közszolgáltatók a 910/2014/EU rendelet szerinti elektronikus azonosító eszközökből rendelkezésre álló személyazonosító adatokat arra használják fel, hogy a más tagállamokból származó felhasználók elektronikus személyazonosságát megfeleltessék azoknak a személyazonosító adatoknak, amelyeket a határokon átnyúló személyazonosság-megfeleltetési eljárást végző tagállamban e felhasználók rendelkezésére bocsátanak. A bejelentett elektronikus azonosítási rendszerek keretében rendelkezésre bocsátott minimális adatkészlet használata ellenére azonban a pontos személyazonosság-megfeleltetés biztosításához olyankor, amikor a tagállamok igénybe vevő félként járnak el, sok esetben a felhasználóra vonatkozó további információkra és nemzeti szinten elvégzendő konkrét, kiegészítő jellegű, egyedi azonosítási eljárásokra van szükség. Az elektronikus azonosító eszközök használhatóságának további javítása, a jobb online közszolgáltatások nyújtása és a felhasználók elektronikus személyazonosságával kapcsolatos jogbiztonság növelése érdekében a 910/2014/EU rendeletnek elő kell írnia a tagállamok számára, hogy hozzanak konkrét online intézkedéseket a személyazonosság egyértelmű megfeleltetésének biztosítása érdekében olyan esetekben, amikor a felhasználók határokon átnyúló online közszolgáltatásokhoz kívánnak hozzáférni.
(42) Az európai digitális személyiadat-tárcák kialakításakor elengedhetetlen a felhasználók igényeinek figyelembevétele. Rendelkezésre kell állniuk olyan hasznos felhasználási eseteknek és online szolgáltatásoknak, amelyek az európai digitális személyiadat-tárcákra támaszkodnak. A felhasználói kényelem és az ilyen szolgáltatások határokon átnyúló rendelkezésre állásának érdekében fontos intézkedéseket hozni annak előmozdítása érdekében, hogy valamennyi tagállam hasonló megközelítést alkalmazzon az online szolgáltatások tervezésével, fejlesztésével és megvalósításával kapcsolatban. Az európai digitális személyiadat-tárcák igénybevételére támaszkodó online szolgáltatások tervezésére, fejlesztésére és megvalósítására vonatkozó, nem kötelező iránymutatások az említett cél elérésének hasznos eszközévé válhatnak. Az ilyen iránymutatásokat az Unió interoperabilitási keretének figyelembevételével kell kidolgozni. Az említett iránymutatások elfogadása során a tagállamoknak vezető szerepet kell betölteniük.
(43) Az (EU) 2019/882 európai parlamenti és tanácsi irányelvvel * összhangban a fogyatékossággal élő személyek számára biztosítani kell a lehetőséget arra, hogy a többi felhasználóval azonos alapon vehessék igénybe az európai digitális személyiadat-tárcákat, a bizalmi szolgáltatásokat és az ilyen szolgáltatások nyújtása során alkalmazott végfelhasználói termékeket.
(44) E rendelet hatékony végrehajtásának biztosítása érdekében mind a minősített, mind a nem minősített bizalmi szolgáltatókra vonatkozóan meg kell határozni a maximális közigazgatási bírságok minimális mértékét. A tagállamoknak hatékony, arányos és visszatartó erejű szankciókat kell megállapítaniuk. A szankciók meghatározásakor kellően figyelembe kell venni az érintett szervezetek méretét, üzleti modelljét és a jogsértések súlyosságát.
(45) A tagállamoknak szabályokat kell megállapítaniuk az olyan jogsértések esetén alkalmazandó szankciókra vonatkozóan, mint például az olyan közvetlen vagy közvetett gyakorlatok, amelyek a nem minősített és a minősített bizalmi szolgáltatások összetévesztéséhez, vagy az uniós bizalmi jegy nem minősített bizalmi szolgáltatók általi visszaélésszerű használatához vezetnek. Az uniós bizalmi jegy nem használható olyan feltételek mellett, amelyek közvetlenül vagy közvetve azt a látszatot keltik, hogy az említett szolgáltatók által kínált, nem minősített bizalmi szolgáltatások minősített bizalmi szolgáltatások.
(46) Ez a rendelet nem foglalkozhat a szerződések megkötésének és érvényességének szempontjaival, sem más olyan jogi kötelezettségekkel, amelyekre az uniós vagy a nemzeti jogban meghatározott alaki követelmények vonatkoznak. Ezenfelül nem érintheti az állami - különösen a kereskedelmi és földhivatali - nyilvántartásokra vonatkozó, nemzeti jogszabályban előírt alaki követelményeket.
(47) A nemzetközi kereskedelem és együttműködés szempontjából egyre fontosabbá válik a bizalmi szolgáltatások nyújtása és használata, valamint a kényelem és a jogbiztonság szempontjából ezáltal jelentett előnyök a határokon átnyúló tranzakciókkal összefüggésben, különösen minősített bizalmi szolgáltatások igénybevétele esetén. Az Unió nemzetközi partnerei bizalmi keretrendszereket hoznak létre a 910/2014/EU rendelet alapján. A minősített bizalmi szolgáltatások és azok szolgáltatói elismerésének megkönnyítése érdekében a Bizottság végrehajtási jogi aktusokat fogadhat el, hogy meghatározza azokat a feltételeket, amelyek teljesülése esetén a harmadik országok bizalmi keretrendszerei egyenértékűnek tekinthetők a minősített bizalmi szolgáltatásokra és azok szolgáltatóira vonatkozó, e rendeletben foglalt bizalmi keretrendszerrel. Ennek a megközelítésnek ki kell egészítenie a bizalmi szolgáltatásoknak és e szolgáltatások Unióban és harmadik országokban letelepedett szolgáltatóinak kölcsönös elismerésére vonatkozó lehetőséget az Európai Unió működéséről szóló szerződés (EUMSZ) 218. cikkével összhangban. Azon feltételek meghatározásakor, amelyek teljesülése esetén a harmadik országok bizalmi keretrendszerei egyenértékűnek tekinthetők a minősített bizalmi szolgáltatásokra és azok szolgáltatóira vonatkozó, a 910/2014/EU rendelet szerinti bizalmi keretrendszerrel, biztosítani kell egyfelől az (EU) 2022/2555 európai parlamenti és tanácsi irányelv * és az (EU) 2016/679 rendelet releváns rendelkezéseinek való megfelelést, másfelől pedig a bizalmi listáknak mint alapvető bizalomépítő elemeknek a felhasználását.
(48) Ennek a rendeletnek elő kell mozdítania az európai digitális személyiadat-tárcák közötti választást és a közöttük való váltás lehetőségét, amennyiben egy tagállam a területén az európai digitális személyiadat-tárca tekintetében egynél több megoldást hagyott jóvá. A bezártsági hatások ilyen helyzetekben való elkerülése érdekében - amennyiben ez technikailag megvalósítható - az európai digitális személyiadat-tárca felhasználóinak kérésére az európai digitális személyiadat-tárcákat nyújtó szolgáltatóknak biztosítaniuk kell az adatok tényleges hordozhatóságát, és nem szabad lehetővé tenni számukra, hogy szerződéses, gazdasági vagy technikai akadályokat támasszanak azért, hogy megakadályozzák vagy megnehezítsék a különböző európai digitális személyiadat-tárcák közötti tényleges váltást.
(49) Az európai digitális személyiadat-tárcák megfelelő működésének biztosítása érdekében az európai digitális személyiadat-tárcákat nyújtó szolgáltatók számára szükséges, hogy az európai digitális személyiadat-tárcáknak a mobil eszközök meghatározott hardver- és szoftverfunkcióihoz való hozzáférése tekintetében tényleges interoperabilitás, valamint tisztességes, észszerű és megkülönböztetésmentes feltételek valósuljanak meg. Ezen alkotóelemek közé tartozhatnak különösen a kis hatótávolságú kommunikációs antennák és a biztonsági elemek, köztük az univerzális integrált áramkörös kártyák, a beágyazott biztonsági elemek, a mikroSD-kártyák és a Bluetooth Low Energy technológia. Az ezen alkotóelemekhez való hozzáférés a mobilhálózat-üzemeltetők és a berendezésgyártók ellenőrzése alatt állhat. Ezért amennyiben az az európai digitális személyiadat-tárcákkal kapcsolatos szolgáltatásnyújtáshoz szükséges, a mobileszközök eredetiberendezés-gyártói vagy az elektronikus hírközlési szolgáltatók nem tagadhatják meg az ilyen alkotóelemekhez való hozzáférést. Emellett a Bizottság által az (EU) 2022/1925 európai parlamenti és tanácsi rendeletben * felsorolt alapvető platformszolgáltatások tekintetében kapuőrnek minősített vállalkozásokra továbbra is az említett rendelet 6. cikkének (7) bekezdésére épülő különös rendelkezéseknek kell vonatkozniuk.
(50) A bizalmi szolgáltatókra háruló kiberbiztonsági kötelezettségek észszerűsítése, valamint annak lehetővé tétele érdekében, hogy az említett szolgáltatók és illetékes hatóságaik élhessenek az (EU) 2022/2555 irányelv által létrehozott jogi keret nyújtotta előnyökkel, a bizalmi szolgáltatóknak meg kell hozniuk az említett irányelv szerinti megfelelő technikai és szervezési intézkedéseket, például a rendszerhibák, az emberi hibák, a rosszindulatú tevékenységek vagy a természeti jelenségek kezelését célzó intézkedéseket, azon hálózati és információs rendszerek biztonságát fenyegető kockázatok kezelése érdekében, amelyeket ezen szolgáltatók alkalmaznak a szolgáltatásaik nyújtása során, valamint jelenteniük kell a jelentős biztonsági eseményeket és kiberfenyegetéseket az említett irányelvnek megfelelően. Ami a biztonsági események bejelentését illeti, a bizalmi szolgáltatóknak be kell jelenteniük minden olyan biztonsági eseményt, amely jelentős hatást gyakorol a szolgáltatásaik nyújtására, ideértve az eszközök ellopása vagy elvesztése, illetve a hálózati kábelekben bekövetkezett kár által okozott eseményeket vagy a személyek azonosításával összefüggésben bekövetkezett biztonsági eseményeket is. Az (EU) 2022/2555 irányelv szerinti kiberbiztonsági kockázatkezelési követelményeket és jelentéstételi kötelezettségeket a bizalmi szolgáltatókra vonatkozóan e rendelet alapján előírt követelmények kiegészítésének kell tekinteni. Az (EU) 2022/2555 irányelv alapján kijelölt illetékes hatóságoknak adott esetben továbbra is alkalmazniuk kell a 910/2014/EU rendelet szerinti biztonsági és jelentéstételi követelmények végrehajtásával és az e követelményeknek való megfelelés felügyeletével kapcsolatos bevált nemzeti gyakorlatokat vagy iránymutatásokat. Ez a rendelet nem érinti az adatvédelmi incidensek (EU) 2016/679 rendelet szerinti bejelentésére vonatkozó kötelezettséget.
(51) Kellő figyelmet kell fordítani a 910/2014/EU rendelet 46b. cikke alapján kijelölt felügyeleti szervek és az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóságok közötti hatékony együttműködés biztosítására. Ha az ilyen felügyeleti szerv eltér az ilyen illetékes hatóságtól, e hatóságoknak a releváns információk cseréje révén szorosan és kellő időben együtt kell működniük annak érdekében, hogy biztosítsák a bizalmi szolgáltatók hatékony felügyeletét, valamint a 910/2014/EU rendeletben és az (EU) 2022/2555 irányelvben meghatározott követelményeknek való megfelelését. A 910/2014/EU rendelet alapján kijelölt felügyeleti szerveket fel kell jogosítani különösen arra, hogy felkérhessék az (EU) 2022/2555 irányelv alapján kijelölt vagy létrehozott illetékes hatóságokat arra, hogy bocsássák rendelkezésre a minősített státus odaítéléséhez szükséges releváns információkat, és felügyeleti intézkedéseket hajthassanak végre annak ellenőrzése érdekében, hogy a bizalmi szolgáltatók megfelelnek-e az (EU) 2022/2555 irányelv vonatkozó követelményeinek, vagy felszólíthassák őket a megfelelés elmulasztásának orvoslására.
(52) Alapvetően fontos, hogy az ajánlott elektronikus kézbesítési szolgáltatások tekintetében jogi keret segítse elő a meglévő nemzeti jogrendszerek közötti elismerést. Az említett keret révén emellett új piaci lehetőségek nyílhatnának arra, hogy az Unióban működő bizalmi szolgáltatók új, az egész Unióra kiterjedő ajánlott elektronikus kézbesítési szolgáltatásokat nyújtsanak. Annak biztosítása érdekében, hogy a minősített ajánlott elektronikus kézbesítési szolgáltatás használata során az adatok a megfelelő címzetthez kerüljenek kézbesítésre, a minősített ajánlott elektronikus kézbesítési szolgáltatásoknak teljes bizonyossággal kell szavatolniuk a címzett azonosítását, míg a feladó azonosítása tekintetében elegendő lenne a magas szintű megbízhatóság szavatolása. A tagállamoknak ösztönözniük kell a minősített ajánlott elektronikus kézbesítési szolgáltatásokat nyújtó szolgáltatókat arra, hogy szolgáltatásaikat interoperábilissá tegyék más minősített bizalmi szolgáltatók által nyújtott minősített ajánlott elektronikus kézbesítési szolgáltatásokkal annak érdekében, hogy ezáltal az elektronikus úton rögzített adatokat könnyen lehessen továbbítani két vagy több minősített bizalmi szolgáltató között, valamint hogy tisztességes gyakorlatokat lehessen előmozdítani a belső piacon.
(53) A legtöbb esetben az uniós polgároknak és az Unióban lakóhellyel rendelkező személyeknek a személyazonosságukkal kapcsolatos információkat, például a címüket, az életkorukat, a szakmai képesítésüket, a vezetői engedélyüket, valamint az egyéb engedélyeiket és fizetési adataikat illetően nincs lehetőségük arra, hogy biztonságosan és magas szintű adatvédelem mellett, határokon átnyúló módon digitális információkat cseréljenek.
(54) Az adminisztratív terhek csökkentése érdekében lehetővé kell tenni a megbízható elektronikus attribútumok kibocsátását és kezelését, és lehetővé kell tenni az uniós polgárok és az Unióban lakóhellyel rendelkező személyek számára, hogy azokat magán- és közszférabeli tranzakcióik során használják. Az uniós polgárok és az Unióban lakóhellyel rendelkező személyek számára lehetővé kell tenni például annak bizonyítását, hogy rendelkeznek az egyik tagállam hatósága által kiállított, érvényes vezetői engedéllyel, úgy, hogy az más tagállamok illetékes hatóságai által ellenőrizhető legyen, és arra támaszkodhassanak, illetve lehetővé kell tenni, hogy határokon átnyúlóan használhassák társadalombiztosítási hitelesítő adataikat vagy jövőbeli digitális úti okmányaikat.
(55) Minden olyan szolgáltatót, amely elektronikus formátumban tanúsított attribútumokat, például okleveleket, engedélyeket, születési anyakönyvi kivonatokat, vagy természetes vagy jogi személyek képviseletére vagy az azok nevében történő eljárásra vonatkozó meghatalmazásokat és megbízásokat állít ki, elektronikus attribútumtanúsítványok bizalmi szolgáltatóinak kell tekinteni. Az elektronikus attribútumtanúsítványok joghatása nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, illetve hogy nem felel meg a minősített elektronikus attribútumtanúsítványok követelményeinek. Általános követelményeket kell megállapítani annak biztosítása érdekében, hogy a minősített elektronikus attribútumtanúsítvány ugyanolyan joghatással bírjon, mint a jogszerűen kibocsátott papíralapú tanúsítványok. Ezeket a követelményeket azonban az alapul szolgáló joghatással bíró, az alakiság tekintetében további ágazatspecifikus követelményeket meghatározó uniós vagy nemzeti jog, és adott esetben különösen a minősített elektronikus attribútumtanúsítványok határokon átnyúló elismerésének sérelme nélkül kell alkalmazni.
(56) Az európai digitális személyiadat-tárcák széles körű elérhetősége és használhatósága várhatóan javítani fogja mind a magánszemélyek, mind pedig a magánszolgáltatók általi elfogadásukat és az általuk e tárcákba vetett bizalmat. Ezért például a közlekedés, az energia, a banki és pénzügyi szolgáltatások, a szociális biztonság, az egészségügy, az ivóvíz, a postai szolgáltatások, a digitális infrastruktúra, a távközlés vagy az oktatás területén szolgáltatásokat nyújtó, magánszférabeli igénybe vevő feleknek el kell fogadniuk az európai digitális személyiadat-tárcák használatát olyan szolgáltatások nyújtásakor, amelyek esetében az uniós vagy nemzeti jog vagy szerződéses kötelezettség erős felhasználóhitelesítést ír elő az online azonosításhoz. Bármely, olyan információ iránti kérésnek, amelyet az igénybe vevő fél az európai digitális személyiadat-tárca felhasználójához intéz, szükségesnek kell lennie az adott esetben tervezett felhasználáshoz és arányosnak kell lennie azzal, összhangban kell állnia az adattakarékosság elvével, és biztosítania kell az átláthatóságot a megosztott adatok és az adatmegosztás célja tekintetében. Az európai digitális személyiadat-tárcák használatának és elfogadottságának elősegítése érdekében a bevezetésük során figyelembe kell venni a széles körben elfogadott ágazati szabványokat és specifikációkat.
(57) Amennyiben az (EU) 2022/2065 európai parlamenti és tanácsi rendelet * 33. cikkének (1) bekezdése értelmében vett online óriásplatformok az online szolgáltatásokhoz való hozzáféréshez megkövetelik a felhasználók hitelesítését, e platformok számára elő kell írni, hogy a felhasználó önkéntes kérésére fogadják el az európai digitális személyiadat-tárcák használatát. A felhasználók nem kötelezhetők arra, hogy magánszolgáltatásokhoz való hozzáférés céljából európai digitális személyiadat-tárcát használjanak, és a szolgáltatásokhoz való hozzáférésük nem korlátozható vagy akadályozható azon az alapon, hogy nem használnak európai digitális személyiadat-tárcát. Ha azonban a felhasználók úgy kívánják, az online óriásplatformoknak e célból el kell fogadniuk a tárcát, tiszteletben tartva az adattakarékosság elvét és a felhasználóknak a szabadon választott álnevek használatához való jogát. Az online óriásplatformok jelentősége miatt - amely különösen a szolgáltatás igénybevevőinek és a gazdasági tranzakcióknak a számában kifejezett elterjedtségüknek köszönhető - az európai digitális személyiadat-tárca elfogadására irányuló kötelezettség a felhasználók csalással szembeni védelmének fokozása és a magas szintű adatvédelem biztosítása érdekében szükséges.
(58) Uniós szintű magatartási kódexeket kell kidolgozni, amelyek hozzájárulnak az e rendelet hatálya alá tartozó elektronikus azonosító eszközök, köztük az európai digitális személyiadat-tárcák kiterjedt elérhetőségéhez és használhatóságához. A magatartási kódexeknek elő kell segíteniük az elektronikus azonosító eszközök - köztük az európai digitális személyiadat-tárcák - széles körű elfogadását azon szolgáltatók által, amelyek nem minősülnek óriásplatformnak, és amelyek a felhasználóhitelesítéshez harmadik féltől származó elektronikus azonosítási szolgáltatásokra támaszkodnak.
(59) A szelektív hozzáférhetővé tétel azt a koncepciót jelöli, amely feljogosítja az adatok tulajdonosát arra, hogy egy nagyobb adatkészletnek csak bizonyos részeit tegye hozzáférhetővé annak érdekében, hogy az adatokat átvevő szervezet csak a felhasználó által kért szolgáltatás nyújtásához szükséges információkat szerezhesse meg. Az európai digitális személyiadat-tárcának technikailag lehetővé kell tennie az attribútumok szelektív hozzáférhetővé tételét az igénybe vevő felek felé. Technikailag lehetővé kell tenni a felhasználó számára, hogy az attribútumokat - többek között akkor is, ha azok több különálló elektronikus tanúsítványból származnak - szelektíven tegye hozzáférhetővé, és hogy zökkenőmentesen kombinálja és mutassa be azokat az igénybe vevő felek részére. Ennek a funkciónak az európai digitális személyiadat-tárcák alapvető funkciójává kell válnia, ezáltal javítva a kényelmet és a személyes adatok védelmét, az adattakarékosságot is ideértve.
(60) Nem tiltható meg az álnév használatával történő hozzáférés a szolgáltatásokhoz, kivéve, ha az uniós vagy a nemzeti jog különös szabályai előírják a felhasználók számára, hogy azonosítsák magukat.
(61) A minősített bizalmi szolgáltatók által a minősített attribútumtanúsítványok részeként szolgáltatott attribútumokat vagy közvetlenül a minősített bizalmi szolgáltatónak, vagy az uniós vagy nemzeti joggal összhangban nemzeti szinten elismert, kijelölt köztes szereplőkön keresztül kell ellenőrizni hiteles források alapján, a tanúsított attribútumoknak a személyazonossági vagy attribútumok tanúsítására irányuló szolgáltatásokat nyújtó szolgáltatók és az igénybe vevő felek közötti biztonságos cseréje céljából. A tagállamoknak nemzeti szinten megfelelő mechanizmusokat kell létrehozniuk annak biztosítása érdekében, hogy a minősített elektronikus attribútumtanúsítványokat kibocsátó minősített bizalmi szolgáltatók - annak a személynek a hozzájárulása alapján, amelynek részére a tanúsítványt kibocsátják - hiteles forrásokra támaszkodva ellenőrizhessék az attribútumok hitelességét. Lehetővé kell tenni, hogy ezek a megfelelő mechanizmusok magukban foglalják a hiteles forrásokhoz való hozzáférést lehetővé tevő konkrét köztes szereplők vagy technikai megoldások alkalmazását a nemzeti joggal összhangban. Egy olyan mechanizmus rendelkezésre állásának biztosítása, amely lehetővé teszi az attribútumok hiteles források alapján történő ellenőrzését, azt kívánja elősegíteni, hogy a minősített elektronikus attribútumtanúsítványokat kibocsátó minősített bizalmi szolgáltatók megfeleljenek a 910/2014/EU rendelet szerinti kötelezettségeiknek. Az említett rendelet egyik új mellékletének tartalmaznia kell egy listát azon attribútumkategóriákról, amelyek tekintetében a tagállamoknak biztosítaniuk kell, hogy intézkedések meghozatalára kerüljön sor annak lehetővé tétele érdekében, hogy az elektronikus attribútumtanúsítványokat kibocsátó minősített szolgáltatók - a felhasználó kérésére - elektronikus eszközök útján ellenőrizhessék azok hitelességét a vonatkozó hiteles forrás alapján.
(62) A biztonságos elektronikus azonosításnak és az attribútumtanúsítványok rendelkezésre bocsátásának további rugalmasságot és megoldásokat kell kínálnia a pénzügyi szolgáltatási ágazat számára, hogy lehetővé tegye az ügyfelek azonosítását és például a Pénzmosás Elleni Hatóság létrehozásáról szóló jövőbeli rendelet szerinti ügyfél-átvilágítási követelményeknek való megfeleléshez szükséges egyedi attribútumok cseréjét, a befektetővédelmi jogszabályokból eredő alkalmassági követelmények mellett, vagy hogy támogassa a pénzforgalmi szolgáltatások területén a számlára való bejelentkezés és a tranzakciók kezdeményezésének céljára szolgáló szigorú ügyfél-hitelesítési követelmények teljesítését az online azonosításhoz.
(63) Az elektronikus aláírás joghatása nem vitatható azon az alapon, hogy az elektronikus formátumú, illetve hogy nem felel meg a minősített elektronikus aláírásra vonatkozó követelményeknek. Az elektronikus aláírások joghatásának megállapítása mindazonáltal a nemzeti jog feladata, kivéve az e rendeletben előírt azon követelményeket, amelyek szerint a minősített elektronikus aláírás joghatását a saját kezű aláíráséval egyenértékűnek kell tekinteni. Az elektronikus aláírások joghatásainak meghatározásakor a tagállamoknak figyelembe kell venniük az aláírandó dokumentum jogi értéke, valamint az elektronikus aláírás tekintetében megkövetelt biztonsági szint és az azzal kapcsolatban felmerülő költségek közötti arányosság elvét. Az elektronikus aláírások hozzáférhetőségének és használatának fokozása érdekében javasolt, hogy a tagállamok mérlegeljék a fokozott biztonságú elektronikus aláírások használatát a mindennapi tranzakciók során, amelyekhez ezek kellő szintű biztonságot és bizalmat garantálnak.
(64) A tanúsítási gyakorlatok Unión belüli összhangjának biztosítása érdekében a Bizottságnak iránymutatásokat kell kiadnia a minősített elektronikus aláírást létrehozó eszközök és a minősített elektronikus bélyegzőt létrehozó eszközök tanúsítására és újratanúsítására vonatkozóan, azok érvényességét és időbeli korlátait is beleértve. Ez a rendelet nem akadályozza meg a minősített elektronikus aláírást létrehozó eszközt tanúsító állami vagy magánszerveket abban, hogy az ilyen eszközt - a sebezhetőségi értékelés elvégzésére vonatkozó kötelezettség és az alkalmazandó tanúsítási gyakorlat sérelme nélkül - az előző tanúsítási folyamat eredménye alapján ideiglenes jelleggel újratanúsítsák egy rövid tanúsítási érvényességi időszakra, amennyiben az ilyen újratanúsítás - a biztonság megsértésétől vagy biztonsági eseménytől eltérő okok miatt - nem végezhető el a jogszabályban meghatározott határidőn belül.
(65) A weboldal-hitelesítő tanúsítványok kibocsátásának célja, hogy garantálják a felhasználók számára a weboldal mögött álló szervezet személyazonosságának magas megbízhatósági szintű azonosítását, függetlenül attól, hogy milyen platformon jelenítik meg e személyazonosságot. E tanúsítványok várhatóan hozzájárulnak az online üzleti tevékenységbe vetett bizalom kiépüléséhez, mivel a felhasználók általában megbíznak egy hitelesített weboldalban. Az ilyen tanúsítványok weboldalak általi igénybevételének önkéntes jelleggel kell történnie. Ahhoz, hogy a weboldal-hitelesítés a bizalom növelésének, a felhasználói élmény javításának és a belső piacon a növekedés fokozásának eszközévé válhasson, ez a rendelet bizalmi keretrendszert határoz meg, amely magában foglalja a minősített weboldal-hitelesítő tanúsítványokat nyújtó szolgáltatókra vonatkozó biztonsági és felelősségi minimumkövetelményeket, valamint az említett tanúsítványok kibocsátására vonatkozó követelményeket. A tagállami bizalmi listáknak igazolniuk kell a weboldal-hitelesítési szolgáltatások és megbízható szolgáltatóik minősített státusát, beleértve azt is, hogy azok teljes mértékben megfelelnek e rendelet követelményeinek a minősített weboldal-hitelesítő tanúsítványok kibocsátása tekintetében. A minősített weboldal-hitelesítő tanúsítványok elismerése azt jelenti, hogy a webböngésző-szolgáltatók nem tagadhatják meg a minősített weboldal-hitelesítő tanúsítványok hitelességét kizárólag abból a célból, hogy tanúsítsák a honlap doménneve és azon természetes vagy jogi személy közötti kapcsolatot, akinek a részére a tanúsítványt kibocsátják, vagy igazolják e személy személyazonosságát. A webböngésző-szolgáltatóknak a böngészőkörnyezetben felhasználóbarát módon meg kell jeleníteniük a végfelhasználó számára a tanúsított azonosító adatokat és az egyéb tanúsított attribútumokat, az általuk választott technikai megoldás révén. E célból a webböngésző-szolgáltatóknak biztosítaniuk kell az e rendelettel teljes összhangban kibocsátott, minősített weboldal-hitelesítő tanúsítványok támogatását és az azokkal való interoperabilitást. A minősített weboldal-hitelesítő tanúsítványok elismerésére, interoperabilitására és támogatására vonatkozó kötelezettség nem érinti a webböngésző-szolgáltatók azzal kapcsolatos szabadságát, hogy az általuk legmegfelelőbbnek tartott módon és technológiával biztosítsák a webbiztonságot, a doménhitelesítést és az internetes forgalom titkosítását. A végfelhasználók online biztonságához való hozzájárulás érdekében a webbön- gésző-szolgáltatóknak kivételes körülmények között képesnek kell lenniük arra, hogy - egy azonosított tanúsítvány vagy tanúsítványegyüttes biztonságának megsértésével vagy sértetlenségének megszűnésével kapcsolatos megalapozott aggályokra válaszul - meghozzák a szükséges és arányos óvintézkedéseket. Amennyiben ilyen óvintézkedéseket tesznek, a webböngésző-szolgáltatóknak indokolatlan késedelem nélkül értesíteniük kell a Bizottságot, a nemzeti felügyeleti szervet, azt a szervezetet, amelynek részére a tanúsítványt kibocsátották, valamint a tanúsítványt vagy tanúsítványegyüttest kibocsátó minősített bizalmi szolgáltatót a biztonság ilyen megsértésével vagy a sértetlenség ilyen megszűnésével kapcsolatos aggályokról, valamint az egyetlen tanúsítványt vagy a tanúsítványegyüttest érintően hozott intézkedésekről. Ezek az intézkedések nem érinthetik a webböngész- ő-szolgáltatók azon kötelezettségét, hogy a tagállami bizalmi listákkal összhangban elismerjék a minősített weboldal-hitelesítő tanúsítványokat. Az uniós polgárok és az Unióban lakóhellyel rendelkező személyek védelmének fokozása és a minősített weboldal-hitelesítő tanúsítványok használatának előmozdítása érdekében a tagállami hatóságoknak mérlegelniük kell a minősített weboldal-hitelesítő tanúsítványok beépítését a weboldalaikba. Az e rendeletben előírt, a felügyeleti eljárásokkal kapcsolatos eltérő tagállami megközelítések és gyakorlatok közötti fokozott koherencia megvalósítását célzó intézkedések a minősített weboldal-hitelesítő tanúsítványok biztonságosságába, minőségébe és elérhetőségébe vetett fokozott bizalom kiépüléséhez kívánnak hozzájárulni.
(66) Számos tagállam vezetett be nemzeti követelményeket a biztonságos és megbízható elektronikus archiválást nyújtó szolgáltatásokra vonatkozóan annak érdekében, hogy lehetővé váljon az elektronikus adatok és elektronikus dokumentumok, valamint a kapcsolódó bizalmi szolgáltatások hosszú távú megőrzése. A jogbiztonság, a bizalom és a harmonizáció tagállamokon átívelő biztosítása érdekében az e rendeletben meghatározott többi bizalmi szolgáltatás keretének mintájára létre kell hozni a minősített elektronikus archiválási szolgáltatások jogi keretét. A minősített elektronikus archiválási szolgáltatások jogi keretének egyrészt olyan hatékony eszköztárat kell kínálnia a bizalmi szolgáltatók és a felhasználók számára, amely az elektronikus archiválási szolgáltatásra vonatkozó funkcionális követelményeket is magában foglal, másrészt pedig egyértelmű joghatásokat kell biztosítania a minősített elektronikus archiválási szolgáltatások használata esetén. Az említett rendelkezéseket az elektronikus adatokra és az elektronikus formátumban előállított elektronikus dokumentumokra, valamint a szkennelt és digitalizált papíralapú dokumentumokra kell alkalmazni. Szükség esetén az említett rendelkezéseknek lehetővé kell tenniük a megőrzött elektronikus adatok és elektronikus dokumentumok különböző adathordozókon vagy formátumokban történő hordozását abból a célból, hogy a tartósságukat és olvashatóságukat a technológiai érvényességi időszakon túlra is ki lehessen terjeszteni, mindeközben pedig a lehetséges mértékben megelőzve az adatvesztést és az adatmódosítást. Amennyiben az elektronikus archiválási szolgáltatás céljára benyújtott elektronikus adatok és elektronikus dokumentumok egy vagy több minősített elektronikus aláírást vagy minősített elektronikus bélyegzőt tartalmaznak, a szolgáltatásnak olyan eljárásokat és technológiákat kell alkalmaznia, amelyek alkalmasak arra, hogy azok megbízhatóságát - lehetőség szerint az e rendelettel létrehozott egyéb minősített bizalmi szolgáltatások használatára támaszkodva - az ilyen adatok teljes megőrzési időszakára kiterjesszék. Elektronikus aláírások, elektronikus bélyegzők vagy elektronikus időbélyegzők használata esetén a megőrzési bizonyítékok generálásához minősített bizalmi szolgáltatásokat kell alkalmazni. Amilyen mértékben ez a rendelet nem harmonizálja az elektronikus archiválási szolgáltatásokat, a tagállamok számára lehetővé kell tenni, hogy - az uniós joggal összhangban - az említett szolgáltatásokhoz kapcsolódó nemzeti rendelkezéseket tartsanak fenn vagy vezessenek be, például olyan különös rendelkezéseket, amelyek egy adott szervezet szerves részét képező és kizárólag az említett szervezet belső archívumának céljára használt szolgáltatásokra vonatkoznak. Ez a rendelet nem tehet különbséget az elektronikus adatok és az elektronikus formátumban előállított elektronikus dokumentumok, valamint a digitalizált papíralapú dokumentumok között.
(67) A nemzeti levéltárak és közgyűjtemények - mint az írásos örökség közérdekű megőrzésével foglalkozó szervezetek - tevékenységeit általában a nemzeti jog szabályozza, és ezen intézmények nem feltétlenül nyújtanak az e rendelet értelmében vett bizalmi szolgáltatásokat. Amennyiben ezek az intézmények nem nyújtanak ilyen bizalmi szolgáltatásokat, ez a rendelet nem érinti a működésüket.
(68) Az elektronikus főkönyv elektronikus adatrekordok sorozata, amelynek biztosítania kell azok sértetlenségét, valamint időrendi sorrendjük pontosságát. Az elektronikus főkönyveknek létre kell hozniuk az adatrekordok időrendi sorrendjét. Más technológiákkal együtt hozzá kell járulniuk olyan hatékonyabb és átalakító jellegű közszolgáltatások megvalósítását célzó megoldásokhoz, mint például az e-szavazás, a vámhatóságok határokon átnyúló együttműködése, a tudományos intézmények határokon átnyúló együttműködése és az ingatlanok tulajdonjogának decentralizált földhivatali nyilvántartásokban történő nyilvántartásba vétele. A minősített elektronikus főkönyveknek jogi vélelmet kell teremteniük arra vonatkozóan, hogy a főkönyvben szereplő adatrekordok szekvenciális időrendi sorrendje egyedi és pontos, valamint hogy azok sértetlenek. Sajátosságaik - például az adatrekordok szekvenciális időrendi sorrendje - miatt az elektronikus főkönyveket meg kell különböztetni más bizalmi szolgáltatásoktól, például az elektronikus időbélyegzőktől és az ajánlott elektronikus kézbesítési szolgáltatásoktól. A jogbiztonság biztosítása és az innováció előmozdítása érdekében létre kell hozni egy uniós szintű jogi keretet, amely előírja az adatok elektronikus főkönyvekben való rögzítéséhez kapcsolódó bizalmi szolgáltatások határokon átnyúló elismerését. Ennek kellőképpen meg kell akadályoznia ugyanazon digitális eszköz lemásolását és különböző felek részére történő, többszöri értékesítését. Az elektronikus főkönyvek létrehozásának és frissítésének folyamata az alkalmazott főkönyv típusától függ, nevezetesen attól, hogy a főkönyv központosított-e vagy elosztott. Ennek a rendeletnek biztosítania kell a technológiasemlegességet, nevezetesen azt, hogy ne részesüljön sem előnyben, sem hátrányban az elektronikus főkönyvekhez kapcsolódó új bizalmi szolgáltatás megvalósításához használt egyik technológia sem. Emellett a minősített elektronikus főkönyvekre vonatkozó követelményeket meghatározó végrehajtási jogi aktusok kidolgozása során a Bizottságnak megfelelő módszertanokat alkalmazva figyelembe kell vennie az éghajlatra gyakorolt káros hatásokkal vagy a környezetet érintő egyéb káros hatásokkal kapcsolatos fenntarthatósági mutatókat.
(69) Az elektronikus főkönyvek bizalmi szolgáltatói szerepének arra kell kiterjednie, hogy meggyőződjenek arról, hogy az adatok főkönyvben történő rögzítése szekvenciális módon történik. Ez a rendelet nem érinti az elektronikus főkönyvek felhasználóinak az uniós jog vagy a nemzeti jog szerinti jogi kötelezettségeit. Például a személyes adatok kezelésével járó felhasználási eseteknek meg kell felelniük az (EU) 2016/679 rendeletnek, a pénzügyi szolgáltatásokkal kapcsolatos felhasználási eseteknek pedig meg kell felelniük a pénzügyi szolgáltatásokra vonatkozó releváns uniós jognak.
(70) A belső piacon az eltérő szabványokból és műszaki korlátozásokból adódó széttagoltság és akadályok elkerülése, valamint az európai digitális személyazonossági keret végrehajtása hátrányos befolyásolásának elkerülését segítő koordinált folyamat biztosítása érdekében szoros és strukturált együttműködési folyamatra van szükség a Bizottság, a tagállamok, a civil társadalom, a tudományos körök és a magánszektor között. Az említett cél elérése érdekében a tagállamoknak és a Bizottságnak együtt kell működniük egymással az (EU) 2021/946 bizottsági ajánlásban * meghatározott keretek között annak érdekében, hogy meghatározzák az európai digitális személyazonossági keret közös uniós eszköztárát. Ennek keretében a tagállamoknak meg kell állapodniuk egy átfogó műszaki architektúráról és referenciakeretről, a közös szabványokról és műszaki referenciákról - beleértve az elismert meglévő szabványokat is - valamint egyes iránymutatásokról és a bevált gyakorlatok leírásáról, amelyek kiterjednek legalább az e rendeletben meghatározott európai digitális személyiadat-tárcákkal - az elektronikus aláírásokat is beleértve -, valamint az elektronikus attribútumtanúsítványok minősített bizalmi szolgáltatóival kapcsolatos valamennyi funkcionalitásra és az azok közötti interoperabilitásra. Ezzel összefüggésben a tagállamoknak meg kell állapodniuk továbbá az európai digitális személyiadat-tárcák üzleti modelljét és díjszerkezetét érintő közös elemekről is, hogy megkönnyítsék annak elterjedését, különösen a kkv-k között a határokon átnyúló esetekben. Az eszköztár tartalmának az európai digitális személyazonossági kerettel kapcsolatos megbeszélésekkel és a keret elfogadásának folyamatával párhuzamosan kell alakulnia, és tükröznie kell azok eredményeit.
(71) E rendelet harmonizált minőségi, megbízhatósági és biztonsági szintről rendelkezik a minősített bizalmi szolgáltatások tekintetében, függetlenül attól, hogy hol kerül sor a műveletek végzésére. Következésképpen a minősített bizalmi szolgáltató számára lehetővé kell tenni, hogy a minősített bizalmi szolgáltatás nyújtásához kapcsolódó műveleteit kiszervezze harmadik országba, amennyiben e harmadik ország megfelelő garanciákat nyújt annak biztosítására vonatkozóan, hogy a felügyeleti tevékenységeket és az ellenőrzéseket úgy lehessen végrehajtani, mintha ezeket az Unióban végeznék. Amennyiben az e rendeletnek való megfelelés nem biztosítható teljes mértékben, a felügyeleti szervek számára lehetővé kell tenni, hogy arányos és indokolt intézkedéseket fogadjanak el, ideértve a nyújtott bizalmi szolgáltatás minősített státusának visszavonását is.
(72) A minősített tanúsítványokon alapuló fokozott biztonságú elektronikus aláírások érvényességével kapcsolatos jogbiztonság szavatolása érdekében elengedhetetlen részletesen meghatározni az adott, minősített tanúsítványokon alapuló fokozott biztonságú elektronikus aláírás érvényesítését végző igénybe vevő fél által végzendő értékelést.
(73) A bizalmi szolgáltatóknak az általuk nyújtott bizalmi szolgáltatások biztonságának és megbízhatóságának szavatolása érdekében az aktuális bevált gyakorlatokat tükröző kriptográfiai módszereket, azokhoz pedig megbízható algoritmus-implementációkat kell alkalmazniuk.
(74) Ez a rendelet kötelezi a minősített bizalmi szolgáltatókat arra, hogy - különböző uniós szintű harmonizált módszerek alapján - ellenőrizzék azon természetes vagy jogi személyek személyazonosságát, akik, illetve amelyek részére a minősített tanúsítványt vagy a minősített elektronikus attribútumtanúsítványt kibocsátják. Annak biztosítása érdekében, hogy a minősített tanúsítványokat és a minősített elektronikus attribútumtanúsítványokat azon személy részére bocsássák ki, akihez azok tartoznak, valamint hogy e tanúsítványok az adott személy személyazonosságára vonatkozó helyes és egyedi adatokat tanúsítsák, a minősített tanúsítványokat kibocsátó vagy minősített elektronikus attribútumtanúsítványokat kibocsátó minősített bizalmi szolgáltatóknak az említett tanúsítványok kibocsátásának időpontjában teljes bizonyossággal kell szavatolniuk az adott személy azonosítását. Ezen túlmenően, a személy személyazonosságának kötelező ellenőrzése mellett - adott esetben a minősített tanúsítványok kibocsátása esetében és a minősített elektronikus attribútumtanúsítványok kibocsátásakor - a minősített bizalmi szolgáltatóknak teljes bizonyossággal kell szavatolniuk azon személy tanúsított attribútumainak helyességét és pontosságát, akinek a részére a minősített tanúsítványt vagy a minősített elektronikus attribútumtanúsítványt kibocsátják. A tanúsított adatok ellenőrzése során ezen eredménykötelezettség és a teljes bizonyosságra vonatkozó e kötelezettség teljesítését megfelelő eszközöknek kell segíteniük, ideértve az e rendeletben előírt konkrét módszerek egyikének vagy - ha szükséges - azok kombinációjának alkalmazását. Lehetővé kell tenni e módszerek kombinálását annak érdekében, hogy megfelelő alapokon nyugodjon azon személy személyazonosságának az ellenőrzése, akinek a részére a minősített tanúsítványt vagy a minősített elektronikus attribútumtanúsítványt kibocsátják. Lehetővé kell tenni, hogy az ilyen kombináció magában foglalja a „jelentős” biztonsági szint követelményeinek megfelelő elektronikus azonosító eszközök igénybevételét egyéb azonosság-ellenőrző eszközökkel kombináltan, ami lehetővé tenné az e rendeletben a „magas” biztonsági szint tekintetében meghatározott harmonizált követelmények teljesülését a kiegészítő harmonizált távoli eljárások részeként, biztosítva a magas megbízhatósági szintű azonosítást. Az említett módszereknek magukban kell foglalniuk annak lehetőségét, hogy a minősített elektronikus attribútumtanúsítványt kibocsátó minősített bizalmi szolgáltató a felhasználó kérésére az uniós vagy nemzeti joggal összhangban elektronikus úton - többek között hiteles források alapján - ellenőrizze a tanúsítandó attribútumokat.
(75) Annak biztosítása érdekében, hogy ez a rendelet folyamatosan megfeleljen a globális fejleményeknek, valamint a belső piaci bevált gyakorlatokhoz való igazodás céljából, a Bizottság által elfogadott, felhatalmazáson alapuló és végrehajtási jogi aktusokat rendszeresen felül kell vizsgálni, és azokat szükség esetén aktualizálni kell. Ezen aktualizálások szükségességének felmérése során figyelembe kell venni az új technológiákat, gyakorlatokat, szabványokat és technikai specifikációkat.
(76) Mivel e rendelet céljait, nevezetesen az egész Unióra kiterjedő európai digitális személyazonossági keret és bizalmi szolgáltatási keret kialakítását a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés terjedelme és hatása miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat a szubszidiaritásnak az Európai Unióról szóló szerződés 5. cikkében foglalt elvével összhangban. Az arányosságnak az említett cikkben foglalt elvével összhangban ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.
(77) Az európai adatvédelmi biztossal az (EU) 2018/1725 rendelet 42. cikkének (1) bekezdésével összhangban konzultációra került sor.
(78) A 910/2014/EU rendeletet ezért ennek megfelelően módosítani kell,
ELFOGADTA EZT A RENDELETET:
A 910/2014/EU rendelet a következőképpen módosul:
1. Az 1. cikk helyébe a következő szöveg lép:
„1. cikk
Tárgy
E rendelet célja a belső piac megfelelő működésének biztosítása, valamint az Unió egészében használt elektronikus azonosító eszközök és bizalmi szolgáltatások megfelelő szintű biztonságának garantálása annak érdekében, hogy lehetővé tegye és megkönnyítse a természetes és jogi személyek számára a digitális társadalomban való biztonságos részvételhez és az online köz- és magánszolgáltatásokhoz való hozzáféréshez való jog gyakorlását az Unió egész területén. E célból ez a rendelet:
a) megállapítja azokat a feltételeket, amelyek mellett a tagállamoknak el kell ismerniük a természetes és jogi személyek olyan elektronikus azonosító eszközeit, amelyek más tagállamok bejelentett elektronikus azonosítási rendszerének keretébe tartoznak, valamint amelyek mellett európai digitális személyiadat-tárcákat kell nyújtaniuk és elismerniük;
b) megállapítja a bizalmi szolgáltatásokra vonatkozó szabályokat, különösen az elektronikus tranzakciókra vonatkozókat;
c) létrehozza az elektronikus aláírásokra, az elektronikus bélyegzőkre, az elektronikus időbélyegzőkre, az elektronikus dokumentumokra, az ajánlott elektronikus kézbesítési szolgáltatásokra, a weboldal-hitelesítési szolgáltatásokra, az elektronikus archiválásra, az elektronikus attribútumtanúsítványra, az elektronikus aláírást létrehozó eszközökre, az elektronikus bélyegzőt létrehozó eszközökre és az elektronikus főkönyvekre vonatkozó jogi keretet.”
2. A 2. cikk a következőképpen módosul:
a) az (1) bekezdés helyébe a következő szöveg lép:
„(1) Ez a rendelet a tagállamok által bejelentett elektronikus azonosítási rendszerekre, a tagállamok által nyújtott európai digitális személyiadat-tárcákra és az Unió területén letelepedett bizalmi szolgáltatókra alkalmazandó.”;
b) a (3) bekezdés helyébe a következő szöveg lép:
„(3) Ez a rendelet nem érinti sem a szerződések megkötésére és érvényességére, sem az alaki követelményekkel kapcsolatos más jogi vagy eljárási kötelezettségekre vagy az ágazatspecifikus alaki követelményekre vonatkozó uniós vagy nemzeti jogot.
(4) Ez a rendelet nem érinti az (EU) 2016/679 európai parlamenti és tanácsi rendeletet * .”
3. A 3. cikk a következőképpen módosul:
a) az 1-5. pont helyébe a következő szöveg lép:
„1. »elektronikus azonosítás«: egy természetes vagy jogi személyt, illetve egy másik természetes személyt vagy egy jogi személyt képviselő természetes személyt egyedileg azonosító elektronikus személyazonosító adatok felhasználásának folyamata;
2. »elektronikus azonosító eszköz«: olyan fizikai és/vagy nem fizikai egység, amely személyazonosító adatokat tartalmaz, és amelyet online szolgáltatások, vagy adott esetben offline szolgáltatások céljából történő hitelesítésre használnak;
3. »személyazonosító adatok«: egy természetes vagy jogi személy, vagy egy másik természetes személyt vagy egy jogi személyt képviselő természetes személy személyazonosságának megállapítását lehetővé tevő, az uniós vagy a nemzeti joggal összhangban kibocsátott adatok;
4. »elektronikus azonosítási rendszer«: elektronikus azonosításra szolgáló rendszer, amelynek keretében természetes vagy jogi személyek, vagy más természetes személyeket vagy jogi személyeket képviselő természetes személyek számára elektronikus azonosító eszközöket bocsátanak ki;
5. »hitelesítés«: olyan elektronikus folyamat, amely lehetővé teszi a természetes vagy jogi személy elektronikus azonosításának igazolását vagy az elektronikus adatok eredetének és sértetlenségének igazolását;”
b) a cikk a következő ponttal egészül ki:
„5a. »felhasználó«: az e rendelettel összhangban nyújtott bizalmi szolgáltatásokat vagy elektronikus azonosító eszközöket igénybe vevő természetes vagy jogi személy, vagy egy másik természetes személyt vagy egy jogi személyt képviselő természetes személy;”
c) a 6. pont helyébe a következő szöveg lép:
„6. »igénybe vevő fél«: olyan természetes vagy jogi személy, aki, illetve amely elektronikus azonosítást, európai digitális személyiadat-tárcát vagy más elektronikus azonosító eszközt, vagy bizalmi szolgáltatást vesz igénybe;”
d) a 16. pont helyébe a következő szöveg lép:
„16. »bizalmi szolgáltatás«: rendszerint díjazás ellenében nyújtott, az alábbiak bármelyikéből álló elektronikus szolgáltatás:
a) elektronikus aláírások tanúsítványainak, elektronikus bélyegzők tanúsítványainak, weboldal-hitelesítő tanúsítványoknak vagy egyéb bizalmi szolgáltatások nyújtására vonatkozó tanúsítványoknak a kibocsátása;
b) elektronikus aláírások tanúsítványainak, elektronikus bélyegzők tanúsítványainak, weboldal-hitelesítő tanúsítványoknak vagy egyéb bizalmi szolgáltatások nyújtására vonatkozó tanúsítványoknak az érvényesítése;
c) elektronikus aláírások vagy elektronikus bélyegzők létrehozása;
d) elektronikus aláírások vagy elektronikus bélyegzők érvényesítése;
e) elektronikus aláírásoknak, elektronikus bélyegzőknek, elektronikus aláírások tanúsítványainak vagy elektronikus bélyegzők tanúsítványainak a megőrzése;
f) távoli elektronikus aláírást létrehozó eszközök vagy távoli elektronikus bélyegzőt létrehozó eszközök kezelése;
g) elektronikus attribútumtanúsítványok kibocsátása;
h) elektronikus attribútumtanúsítványok érvényesítése;
i) elektronikus időbélyegzők létrehozása;
j) elektronikus időbélyegzők érvényesítése;
k) ajánlott elektronikus kézbesítési szolgáltatások nyújtása;
l) az ajánlott elektronikus kézbesítési szolgáltatásokon keresztül továbbított adatok és a kapcsolódó bizonyítékok érvényesítése;
m) elektronikus adatok és elektronikus dokumentumok elektronikus archiválása;
n) elektronikus adatok rögzítése elektronikus főkönyvbe;”
e) a 18. pont helyébe a következő szöveg lép:
„18. »megfelelőségértékelő szervezet«: a 765/2008/EK rendelet 2. cikkének 13. pontjában meghatározott megfelelőségértékelő szervezet, amelyet az említett rendelettel összhangban illetékesnek ismernek el a minősített bizalmi szolgáltató és az általa nyújtott minősített bizalmi szolgáltatások megfelelőségének értékelésére, vagy az európai digitális személyiadat-tárcák vagy az elektronikus azonosító eszközök tanúsításának elvégzésére;”
f) a 21. pont helyébe a következő szöveg lép:
„21. »termék«: olyan hardver vagy szoftver, vagy hardver vagy szoftver megfelelő alkotóeleme, amelyet elektronikus azonosítási és bizalmi szolgáltatások nyújtásában való felhasználásra szántak;”
g) a cikk a következő pontokkal egészül ki:
„23a. »távoli minősített elektronikus aláírást létrehozó eszköz«: az aláíró nevében valamely minősített bizalmi szolgáltató által a 29a. cikkel összhangban kezelt, minősített elektronikus aláírást létrehozó eszköz;
23b. »távoli minősített elektronikus bélyegzőt létrehozó eszköz«: a bélyegző létrehozója nevében valamely minősített bizalmi szolgáltató által a 39a. cikkel összhangban kezelt, minősített elektronikus bélyegzőt létrehozó eszköz”;
h) a 38. pont helyébe a következő szöveg lép:
„38. »weboldal-hitelesítő tanúsítvány«: olyan elektronikus igazolás, amely lehetővé teszi a weboldal hitelesítését és a weboldalt ahhoz a természetes vagy jogi személyhez kapcsolja, akinek vagy amelynek részére a tanúsítványt kibocsátották;”
i) a 41. pont helyébe a következő szöveg lép:
„41. »érvényesítés«: az a folyamat, amelynek keretében ellenőrzik és igazolják, hogy az elektronikus adatok e rendelettel összhangban érvényesek;”
j) a szöveg a következő pontokkal egészül ki:
„42. »európai digitális személyiadat-tárca«: olyan elektronikus azonosító eszköz, amely lehetővé teszi a felhasználó számára, hogy személyazonosító adatokat és elektronikus attribútumtanúsítványokat biztonságosan tároljon, kezeljen és érvényesítsen abból a célból, hogy azokat az igénybe vevő feleknek és az európai digitális személyiadat-tárcák egyéb felhasználóinak a rendelkezésére bocsássa, valamint hogy minősített elektronikus aláírások révén aláírjon vagy minősített elektronikus bélyegzők révén bélyegezzen;
43. »attribútum«: valamely természetes vagy jogi személy, vagy tárgy jellemzője, sajátossága, joga vagy engedélye;
44. »elektronikus attribútumtanúsítvány«: olyan, elektronikus formátumú igazolás, amely lehetővé teszi az attribútumok hitelesítését;
45. »minősített elektronikus attribútumtanúsítvány«: olyan elektronikus attribútumtanúsítvány, amelyet minősített bizalmi szolgáltató bocsát ki, és amely megfelel az V. mellékletben megállapított követelményeknek;
46. »a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsít- vány«: olyan elektronikus attribútumtanúsítvány, amelyet a hiteles forrásért felelős közigazgatási szerv vagy ilyen attribútumtanúsítványoknak a hiteles forrásért felelős közigazgatási szerv nevében való kibocsátására a tagállam által kijelölt közigazgatási szerv bocsátott ki a 45f. cikkel és a VII. melléklettel összhangban;
47. »hiteles forrás«: olyan, közigazgatási szerv vagy magánszervezet felelősségi körében kezelt adattár vagy rendszer, amely valamely természetes vagy jogi személyre vagy tárgyra vonatkozó attribútumokat tartalmaz és szolgáltat, és amely az adott információ elsődleges forrásának minősül, vagy amelyet az uniós vagy a nemzeti jognak - beleértve a közigazgatási gyakorlatot is - megfelelően hitelesnek ismernek el;
48. »elektronikus archiválás«: olyan szolgáltatás, amely elektronikus adatok és elektronikus dokumentumok fogadását, tárolását, visszakeresését és törlését biztosítja annak érdekében, hogy a megőrzési időszak egésze alatt garantálja azok tartósságát és olvashatóságát, valamint megőrizze azok sértetlenségét, bizalmasságát és eredetének bizonyítékát;
49. »minősített elektronikus archiválási szolgáltatás«: olyan elektronikus archiválási szolgáltatás, amelyet valamely minősített bizalmi szolgáltató nyújt, és amely megfelel a 45j. cikkben meghatározott követelményeknek;
50. »európai digitális személyiadat-tárca bizalmi jegye«: ellenőrizhető, egyszerű, és felismerhető, egyértelműen közölt jelzés arra vonatkozóan, hogy az európai digitális személyiadat-tárcát e rendelettel összhangban nyújtották;
51. »erős felhasználóhitelesítés«: legalább két olyan, különböző kategóriákba - az ismeret, vagyis csak a felhasználó által ismert információ, a birtoklás, vagyis amit a felhasználó birtokol, vagy a biológiai tulajdonság, vagyis a felhasználó egyedi jellemzője, kategóriájába - tartozó hitelesítési tényező felhasználásán alapuló hitelesítés, melyek egymástól függetlenek oly módon, hogy az egyik feltörése nem veszélyezteti a többi megbízhatóságát, és az eljárás kialakítása gondoskodik a hitelesítési adatok bizalmasságáról;
52. »elektronikus főkönyv«: elektronikus adatrekordok sorozata, amely biztosítja ezen adatrekordok integritását és ezen adatrekordok időrendi sorrendjének pontosságát;
53. »minősített elektronikus főkönyv«: olyan elektronikus főkönyv, amelyet valamely minősített bizalmi szolgáltató nyújt és amely megfelel a 45l. cikkben meghatározott követelményeknek;
54. »személyes adat«: az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott bármely információ;
55. »személyazonosság megfeleltetése«: olyan folyamat, amelynek során személyazonosító adatokat vagy elektronikus személyazonosító eszközöket az ugyanahhoz a személyhez tartozó meglévő fiókkal párosítanak vagy ahhoz kapcsolnak;
56. »adatrekord«: az adatkezelést támogató kapcsolódó metaadatokkal együtt rögzített elektronikus adatok;
57. »offline mód«: az európai digitális személyiadat-tárcák használata tekintetében a felhasználó és egy harmadik fél közötti, fizikai helyszínen, kis hatótávolságú technológiák alkalmazásával történő interakció, amelynek során az európai digitális személyiadat-tárcának nem szükséges az interakció céljából elektronikus hírközlő hálózatokon keresztül távoli rendszerekhez hozzáférnie.”
4. Az 5. cikk helyébe a következő szöveg lép:
„5. cikk
Elektronikus tranzakciókban használt álnevek
Az uniós vagy nemzeti jog azon konkrét szabályainak sérelme nélkül, amelyek előírják a felhasználók számára, hogy azonosítsák magukat, illetve az álnevek nemzeti jog szerinti joghatásának sérelme nélkül, nem tilos a felhasználó által választott álnevek használata.”
5. A II. fejezet a következő szakasszal egészül ki:
„1. SZAKASZ
EURÓPAI DIGITÁLIS SZEMÉLYIADAT-TÁRCA
5a. cikk
Európai digitális személyiadat-tárcák
(1) Annak biztosítása érdekében, hogy az Unióban minden természetes és jogi személy biztonságos, megbízható és zökkenőmentes, határokon átnyúló hozzáféréssel rendelkezzen a köz- és magánszolgáltatásokhoz úgy, hogy mindeközben teljes körű ellenőrzést gyakoroljon az adatai felett, minden tagállam legalább egy európai digitális személyiadat-tárcát nyújt az e cikk (23) bekezdésében és az 5c. cikk (6) bekezdésében említett végrehajtási jogi aktusok hatálybalépésétől számított 24 hónapon belül.
(2) Az európai digitális személyiadat-tárcákat az alábbi egy vagy több módon kell nyújtani:
a) közvetlenül valamely tagállam által;
b) valamely tagállam megbízásából;
c) valamely tagállamtól függetlenül, de az említett tagállam által elismert módon.
(3) Az európai digitális személyiadat-tárcák alkalmazásszoftver-alkotóelemének forráskódját nyílt forráskódú licenccel kell ellátni. A tagállamok rendelkezhetnek úgy, hogy kellően indokolt esetben a felhasználói eszközökre telepítettektől eltérő egyes konkrét alkotóelemek forráskódja ne legyen nyilvános.
(4) Az európai digitális személyiadat-tárcák a következőket teszik lehetővé a felhasználó számára felhasználóbarát, átlátható és nyomon követhető módon:
a) személyazonosító adatok és adott esetben az azokhoz társított elektronikus attribútumtanúsítványok biztonságos kérelmezése, megszerzése, kiválasztása, kombinálása, tárolása, törlése, megosztása és bemutatása - a felhasználó kizárólagos ellenőrzése mellett - az igénybe vevő felek számára online és adott esetben offline módon való hitelesítés céljából, köz- és magánszolgáltatásokhoz való hozzáférés érdekében, biztosítva ugyanakkor az adatok szelektív hozzáférhetővé tételének lehetőségét;
b) álnevek generálása és azok titkosított, helyi szintű tárolása az európai digitális személyiadat-tárcán belül;
c) egy másik személy európai digitális személyiadat-tárcájának biztonságos hitelesítése, valamint a személyazonosító adatok és az elektronikus attribútumtanúsítványok biztonságos módon történő fogadása és megosztása a két európai digitális személyiadat-tárca között;
d) hozzáférés az európai digitális személyiadat-tárcán keresztül végrehajtott összes tranzakció naplójához egy közös irányítópulton keresztül, amely lehetővé teszi a felhasználó számára, hogy:
i. megtekintse azon igénybe vevő felek naprakész listáját, amelyekkel a felhasználó kapcsolatot létesített, és adott esetben az összes kicserélt adatot;
ii. könnyen kérelmezhesse az igénybe vevő féltől a személyes adatok törlését az (EU) 2016/679 rendelet 17. cikke alapján;
iii. könnyen bejelenthesse az igénybe vevő felet az illetékes nemzeti adatvédelmi hatóságnak, ha állítólagosan jogellenes vagy gyanús adatigénylés érkezik;
e) minősített elektronikus aláírással történő aláírás vagy minősített elektronikus bélyegzővel történő bélyegzés;
f) a felhasználói adatok, az elektronikus attribútumtanúsítványok és a konfigurációk letöltése a műszakilag megvalósítható mértékben;
g) az adathordozhatóságra vonatkozó felhasználói jogok gyakorlása.
(5) Az európai digitális személyiadat-tárcáknak különösen:
a) támogatniuk kell a következőkre szolgáló közös protokollokat és interfészeket:
i. személyazonosító adatoknak, minősített és nem minősített elektronikus attribútumtanúsítványoknak vagy minősített és nem minősített tanúsítványoknak az európai digitális személyiadat-tárcák számára történő kibocsátása;
ii. személyazonosító adatoknak és elektronikus attribútumtanúsítványoknak az igénybe vevő felek általi kérelmezése és érvényesítése;
iii. személyazonosító adatok, elektronikus attribútumtanúsítványok vagy szelektíven hozzáférhetővé tett kapcsolódó adatok online és adott esetben offline módon történő megosztása és az igénybe vevő felek számára történő bemutatása;
iv. az európai digitális személyiadat-tárcával való interakció lehetővé tétele a felhasználó számára és az európai digitális személyiadat-tárca bizalmi jegyének megjelenítése;
v. a felhasználó biztonságos beléptetése elektronikus azonosító eszköz használatával az 5a. cikk (24) bekezdésének megfelelően;
vi. két személy európai digitális személyiadat-tárcája közötti interakció személyazonosító adatok és elektronikus attribútumtanúsítványok biztonságos módon történő fogadása, érvényesítése és megosztása céljából;
vii. az igénybe vevő felek hitelesítése és azonosítása hitelesítési mechanizmusok alkalmazásával az 5b. cikknek megfelelően;
viii. az európai digitális személyiadat-tárcák hitelességének és érvényességének ellenőrzése az igénybe vevő felek által;
ix. a személyes adatok törlésének kérelmezése az igénybe vevő féltől az (EU) 2016/679 rendelet 17. cikke alapján;
x. az igénybe vevő fél bejelentése az illetékes nemzeti adatvédelmi hatóságnak, ha állítólagosan jogellenes vagy gyanús adatigénylés érkezik;
xi. minősített elektronikus aláírások vagy elektronikus bélyegzők létrehozása minősített elektronikus aláírást vagy elektronikus bélyegzőt létrehozó eszközökkel;
b) nem szolgáltathatnak információt az elektronikus attribútumtanúsítványok bizalmi szolgáltatói számára az említett elektronikus tanúsítványok felhasználásáról;
c) biztosítaniuk kell, hogy az igénybe vevő feleket hitelesíteni és azonosítani lehessen az 5b. cikk szerinti hitelesítési mechanizmusok alkalmazásával;
d) meg kell felelniük a 8. cikkben a »magas« biztonsági szint tekintetében meghatározott követelményeknek, különösen a személyazonosság igazolására és ellenőrzésére, valamint az elektronikus azonosító eszközök kezelésére és hitelesítésére vonatkozó követelményeket illetően;
e) a beágyazott közzétételi szabályzatot tartalmazó elektronikus attribútumtanúsítvány esetében végre kell hajtaniuk az arra szolgáló megfelelő mechanizmust, hogy tájékoztassák a felhasználót arról, hogy az említett elektronikus attribútumtanúsítványt kérelmező igénybe vevő fél vagy az európai digitális személyiadat-tárca említett elektronikus attribútumtanúsítványt kérelmező felhasználója rendelkezik az ilyen tanúsítványhoz való hozzáférésre vonatkozó engedéllyel;
f) biztosítaniuk kell, hogy az azon elektronikus azonosítási rendszerből rendelkezésre bocsátott személyazonosító adatok, amelynek keretében az európai digitális személyiadat-tárcát nyújtják, egyedileg azonosítsák a természetes személyt, a jogi személyt vagy a természetes vagy jogi személyt képviselő természetes személyt, és össze legyenek kapcsolva az említett európai digitális személyiadat-tárcával;
g) minden természetes személy számára lehetővé kell tenniük, hogy alapértelmezés szerint és ingyenesen alkalmazhassák a minősített elektronikus aláírást.
Az első albekezdés g) pontjától eltérve a tagállamok arányos intézkedésekről rendelkezhetnek annak biztosítása érdekében, hogy a minősített elektronikus aláírás természetes személyek általi ingyenes használata a nem szakmai célú felhasználásra korlátozódjon.
(6) A tagállamok késedelem nélkül tájékoztatják a felhasználókat a biztonság minden olyan megsértéséről, amely részben vagy egészben veszélyeztethette az európai digitális személyiadat-tárcájukat vagy annak tartalmát, különösen akkor, ha az európai digitális személyiadat-tárcájukat az 5e. cikk alapján felfüggesztették vagy visszavonták.
(7) Az 5f. cikk sérelme nélkül a tagállamok a nemzeti joggal összhangban rendelkezhetnek az európai digitális személyiadat-tárcák további funkcióiról, beleértve a meglévő nemzeti elektronikus azonosító eszközökkel való interoperabilitást is. E további funkcióknak meg kell felelniük e cikknek.
(8) A tagállamok ingyenes érvényesítési mechanizmusokat biztosítanak a következők érdekében:
a) annak biztosítása, hogy az európai digitális személyiadat-tárcák hitelessége és érvényessége ellenőrizhető legyen;
b) annak lehetővé tétele, hogy a felhasználók ellenőrizni tudják az 5b. cikkel összhangban nyilvántartásba vett igénybe vevő felek személyazonosságának hitelességét és érvényességét.
(9) A tagállamok biztosítják, hogy az európai digitális személyiadat-tárca érvényességét vissza lehessen vonni az alábbi körülmények fennállása esetén:
a) a felhasználó kifejezett kérésére;
b) ha az európai digitális személyiadat-tárca biztonsága sérült;
c) a felhasználó halála vagy a jogi személy tevékenységének megszűnése esetén.
(10) Az európai digitális személyiadat-tárcákat nyújtó szolgáltatóknak biztosítaniuk kell, hogy a felhasználók könnyen kérhessenek technikai támogatást és könnyen bejelenthessék a technikai problémákat vagy az európai digitális személyiadat-tárca használatára negatív hatást gyakorló eseményeket.
(11) Az európai digitális személyiadat-tárcákat »magas« biztonsági szintű elektronikus azonosítási rendszer keretében kell biztosítani.
(12) Az európai digitális személyiadat-tárcáknak biztosítaniuk kell a beépített biztonságot.
(13) Az európai digitális személyiadat-tárcák kibocsátásának, használatának és visszavonásának ingyenesnek kell lennie minden természetes személy számára.
(14) A felhasználóknak teljes körű ellenőrzést kell tudniuk gyakorolni saját európai digitális személyiadat-tárcájuk használata felett és a saját európai digitális személyiadat-tárcájukban tárolt adatok felett. Az európai digitális személyiadat-tárcát nyújtó szolgáltató nem gyűjthet az európai digitális személyiadat-tárca használatáról olyan információkat, amelyek nem szükségesek az európai digitális személyiadat-tárcával kapcsolatos szolgáltatások nyújtásához, és nem kombinálhatja a személyazonosító adatokat vagy az európai digitális személyiadat-tárcán tárolt vagy annak használatával kapcsolatos más személyes adatokat az e szolgáltató által kínált bármely más szolgáltatásból vagy harmadik fél szolgáltatásaiból származó olyan személyes adatokkal, amelyek nem szükségesek az európai digitális személyiadat-tárcával kapcsolatos szolgáltatások nyújtásához, kivéve, ha a felhasználó kifejezetten másként kéri. Az európai digitális személyiadat-tárca nyújtásával kapcsolatos személyes adatokat az európai digitális személyiadat-tárcát nyújtó szolgáltatók birtokában lévő minden egyéb adattól logikailag elkülönítve kell tárolni. Amennyiben az európai digitális személyiadat-tárcát e cikk (2) bekezdésének b) és c) pontjával összhangban magánfelek nyújtják, a 45h. cikk (3) bekezdésének rendelkezései értelemszerűen alkalmazandók.
(15) Az európai digitális személyiadat-tárcák használata önkéntes. A köz- és magánszolgáltatásokhoz való hozzáférés, a munkaerőpiachoz való hozzáférés és a vállalkozás szabadsága semmilyen módon nem korlátozható, illetve nem tehető hátrányossá az európai digitális személyiadat-tárcákat nem használó természetes vagy jogi személyek számára. Továbbra is lehetővé kell tenni a köz- és magánszolgáltatásokhoz való hozzáférést más meglévő azonosítási és hitelesítési eszközökkel.
(16) Az európai digitális személyiadat-tárcák technikai keretének:
a) nem szabad lehetővé tennie az elektronikus attribútumtanúsítványokat nyújtó szolgáltatók vagy bármely más fél számára, hogy az attribútumtanúsítvány kibocsátását követően olyan adatokat szerezzenek meg, amelyek lehetővé teszik a tranzakciók vagy a felhasználói magatartás nyomon követését, összekapcsolását, korrelációját vagy a tranzakciókra vonatkozó ismeret vagy a felhasználói magatartás más módon történő megszerzését, kivéve, ha ezt a felhasználó kifejezetten engedélyezi;
b) lehetővé kell tennie a magánélet védelmére szolgáló olyan technikák használatát, amelyek biztosítják az ösz- szekapcsolás megakadályozását, amennyiben az attribútumok tanúsítása nem teszi szükségessé a felhasználó azonosítását.
(17) A személyes adatoknak a tagállamok által vagy a nevükben az európai digitális személyiadat-tárcák elektronikus azonosító eszközként való nyújtásáért felelős szervek vagy felek által végzett bármely kezelését megfelelő és hatékony adatvédelmi intézkedésekkel összhangban kell végezni. Bizonyítani kell, hogy az ilyen adatkezelés megfelel az (EU) 2016/679 rendeletnek. A tagállamok nemzeti szintű rendelkezéseket vezethetnek be az ilyen intézkedések alkalmazásának további pontosítása érdekében.
(18) A tagállamok indokolatlan késedelem nélkül értesítik a Bizottságot a következőkről:
a) az 5b. cikk (5) bekezdése szerinti, az európai digitális személyiadat-tárcákat igénybe vevő, nyilvántartásba vett igénybe vevő felek jegyzékének összeállításáért és fenntartásáért felelős szerv és az, hogy hol található e jegyzék;
b) az 5a. cikk (1) bekezdése szerinti, az európai digitális személyiadat-tárcák nyújtásáért felelős szervek;
c) az 5a. cikk (5) bekezdésének f) pontja szerinti, annak biztosításáért felelős szervek, hogy a személyazonosító adatok össze legyenek kapcsolva az európai digitális személyiadat-tárcával;
d) az a mechanizmus, amely lehetővé teszi az 5a. cikk (5) bekezdésének f) pontjában említett személyazonosító adatoknak és az igénybe vevő felek személyazonosságának az érvényesítését;
e) az európai digitális személyiadat-tárcák hitelességének és érvényességének érvényesítésére szolgáló mechanizmus.
A Bizottság az első albekezdés alapján bejelentett információkat automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban, biztonságos csatornán keresztül hozzáférhetővé teszi a nyilvánosság számára.
(19) E cikk (22) bekezdésének sérelme nélkül, a 11. cikk értelemszerűen alkalmazandó az európai digitális személyiadat-tárcára.
(20) A 24. cikk (2) bekezdésének b) pontja, valamint d)-h) pontja értelemszerűen alkalmazandó az európai digitális személyiadat-tárcákat nyújtó szolgáltatókra.
(21) Az európai digitális személyiadat-tárcákat az (EU) 2019/882 európai parlamenti és tanácsi irányelvvel * összhangban a többi felhasználóval azonos alapon hozzáférhetővé kell tenni a fogyatékossággal élő személyek általi használatra.
(22) Az európai digitális személyiadat-tárcák biztosítása céljából az európai digitális személyiadat-tárcák és azon elektronikus azonosítási rendszerek, amelyek keretében nyújtják őket, nem tartoznak a 7., 9., 10., 12. és 12a. cikkben meghatározott követelmények hatálya alá.
(23) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az európai digitális személyiadat-tárcák megvalósításával kapcsolatos, az e cikk (4), (5), (8) és (18) bekezdésében említett követelményekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(24) A Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg annak érdekében, hogy megkönnyítse a felhasználóknak az európai digitális személyiadat-tárcába való beléptetését, mégpedig vagy »magas« biztonsági szintnek megfelelő elektronikus azonosító eszközök, vagy olyan, »jelentős« biztonsági szintnek megfelelő elektronikus azonosító eszközök alkalmazásával, amelyek további, távoli beléptetési eljárásokkal kombinálva együttesen megfelelnek a »magas« biztonsági szint követelményeinek. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
5b. cikk
Az európai digitális személyiadat-tárcák igénybe vevő felei
(1) Amennyiben az igénybe vevő fél köz- vagy magánszolgáltatások digitális interakció útján történő nyújtása céljából európai digitális személyiadat-tárcákat kíván igénybe venni, az igénybe vevő félnek nyilvántartásba kell vetetnie magát a letelepedési helye szerinti tagállamban.
(2) A nyilvántartásba vételi eljárásnak költséghatékonynak és a kockázattal arányosnak kell lennie. Az igénybe vevő félnek legalább a következőket kell megadnia:
a) az európai digitális személyiadat-tárcákhoz szükséges hitelesítéshez megkívánt információk, amelyek legalább a következőket magukban foglalják:
i. az igénybe vevő fél letelepedési helye szerinti tagállam; és
ii. az igénybe vevő fél hivatalos nyilvántartásban szereplő megnevezése és adott esetben nyilvántartási száma az említett hivatalos nyilvántartás azonosító adataival együtt;
b) az igénybe vevő fél elérhetősége;
c) az európai digitális személyiadat-tárcák tervezett felhasználása, beleértve az igénybe vevő fél által a felhasználóktól kért adatok megjelölését.
(3) Az igénybe vevő felek nem kérhetik a felhasználóktól, hogy a (2) bekezdés c) pontja alapján megjelölt adatokon kívül egyéb adatokat is szolgáltassanak.
(4) Az (1) és (2) bekezdés nem érinti a konkrét szolgáltatások nyújtására alkalmazandó uniós vagy nemzeti jogot.
(5) A tagállamok a (2) bekezdésben említett információkat automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban online nyilvánosan hozzáférhetővé teszik.
(6) Az e cikkel összhangban nyilvántartásba vett igénybe vevő feleknek haladéktalanul tájékoztatniuk kell a tagállamokat a nyilvántartásba vétel során a (2) bekezdés szerint megadott információk bármely változásáról.
(7) A tagállamok olyan közös mechanizmusról gondoskodnak, amely az 5a. cikk (5) bekezdésének c) pontjában említetteknek megfelelően lehetővé teszi az igénybe vevő felek azonosítását és hitelesítését.
(8) Amennyiben az igénybe vevő felek európai digitális személyiadat-tárcákat kívánnak igénybe venni, azonosítaniuk kell magukat a felhasználó felé.
(9) Az igénybe vevő felek felelősek az európai digitális személyiadat-tárcákból igényelt személyazonosító adatok és elektronikus attribútumtanúsítványok hitelesítésére és érvényesítésére irányuló eljárás lefolytatásáért. Az igénybe vevő felek nem utasíthatják el az álnevek használatát, ha a felhasználó azonosítását az uniós vagy nemzeti jog nem írja elő.
(10) Az igénybe vevő felek nevében eljáró köztes szereplők igénybe vevő feleknek tekintendők, és nem tárolhatnak a tranzakció tartalmával kapcsolatos adatokat.
(11) 2024. november 21-ig a Bizottság az 5a. cikk (23) bekezdésében említett, az európai digitális személyiadat-tárcák megvalósításáról szóló végrehajtási jogi aktusok útján megállapítja az e cikk (2), (5) és (6)-(9) bekezdésében említett követelményekre vonatkozó technikai specifikációkat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében vizsgálóbizottsági eljárás keretében kell elfogadni.
5c. cikk
Az európai digitális személyiadat-tárcák tanúsítása
(1) Azt, hogy az európai digitális személyiadat-tárcák és az elektronikus azonosítási rendszer, amelynek keretében nyújtják őket, megfelelnek az 5a. cikk (4), (5) és (8) bekezdésében meghatározott követelményeknek, az 5a. cikk (14) bekezdésében meghatározott logikai elkülönítés követelményének, valamint adott esetben az 5a. cikk (24) bekezdésében meghatározott szabványoknak és technikai specifikációknak, a tagállamok által kijelölt megfelelőségértékelő szervezeteknek kell tanúsítaniuk.
(2) Annak tanúsítását, hogy az európai digitális személyiadat-tárcák megfelelnek az e cikk (1) bekezdésében említett azon követelményeknek vagy azok egy részének, amelyek a kiberbiztonság szempontjából relevánsak, az (EU) 2019/881 európai parlamenti és tanácsi rendelet * alapján elfogadott európai kiberbiztonsági tanúsítási rendszereknek és az e cikk (6) bekezdésében említett végrehajtási jogi aktusokban foglaltaknak megfelelően kell elvégezni.
(3) Az e cikk (1) bekezdésében említett azon követelmények tekintetében, amelyek a kiberbiztonság szempontjából nem relevánsak, és az e cikk (1) bekezdésében említett azon követelmények tekintetében, amelyek a kiberbiztonság szempontjából relevánsak annyiban, amennyiben az e cikk (2) bekezdésében említettek szerinti kiberbiztonsági tanúsítási rendszerek nem vagy csak részben terjednek ki az említett kiberbiztonsági követelményekre, a tagállamok nemzeti tanúsítási rendszereket hoznak létre az e cikk (6) bekezdésében említett végrehajtási jogi aktusokban meghatározott követelményeknek megfelelően. A tagállamok a nemzeti tanúsítási rendszerük tervezetét továbbítják a 46e. cikk (1) bekezdése alapján létrehozott, az európai digitális személyazonossággal foglalkozó együttműködési csoportnak (a továbbiakban: az együttműködési csoport). Az együttműködési csoport véleményeket és ajánlásokat adhat ki.
(4) Az (1) bekezdés szerinti tanúsítás legfeljebb öt évig érvényes, feltéve, hogy kétévente sebezhetőségi értékelést végeznek. Amennyiben sebezhetőséget azonosítanak, és azt kellő időn belül nem orvosolják, a tanúsítást törölni kell.
(5) A személyesadat-kezelési műveletekre vonatkozó, az e rendelet 5a. cikkében meghatározott követelményeknek való megfelelés az (EU) 2016/679 rendelet szerint tanúsítható.
(6) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1), (2) és (3) bekezdésében említett, az európai digitális személyiadat-tárcák tanúsítására vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében vizsgálóbizottsági eljárás keretében kell elfogadni.
(7) A tagállamok tájékoztatják a Bizottságot az (1) bekezdésben említett megfelelőségértékelő szervezetek nevéről és címéről. A Bizottság ezt az információt valamennyi tagállam rendelkezésére bocsátja.
(8) A Bizottság felhatalmazást kap arra, hogy a 47. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el az e cikk (1) bekezdésében említett, kijelölt megfelelőségértékelő szervezetek által teljesítendő egyedi kritériumok meghatározására vonatkozóan.
5d. cikk
A tanúsított európai digitális személyiadat-tárcák listájának közzététele
(1) A tagállamok indokolatlan késedelem nélkül tájékoztatják a Bizottságot és a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoportot az 5a. cikk alapján nyújtott és az 5c. cikk (1) bekezdésében említett megfelelőségértékelő szervezetek által tanúsított európai digitális személyiadat-tárcákról. A tagállamok indokolatlan késedelem nélkül tájékoztatják a Bizottságot és a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoportot a tanúsítás esetleges törléséről, és megjelölik a törlés okait.
(2) Az 5a. cikk (18) bekezdésének sérelme nélkül a tagállamok által szolgáltatott, az e cikk (1) bekezdésében említett információknak legalább a következőket magukban kell foglalniuk:
a) a tanúsított európai digitális személyiadat-tárca tanúsítványa és a tanúsítására vonatkozó értékelő jelentés;
b) azon elektronikus azonosítási rendszer leírása, amelynek keretében az európai digitális személyiadat-tárcát nyújtják;
c) az alkalmazandó felügyeleti rendszer, valamint tájékoztatás az európai digitális személyiadat-tárcát biztosító félre vonatkozó felelősségi rendszerről;
d) az elektronikus azonosítási rendszerért felelős hatóság vagy hatóságok;
e) az elektronikus azonosítási rendszernek vagy a hitelesítésnek vagy azok érintett veszélyeztetett részeinek a felfüggesztésére vagy visszavonására vonatkozó szabályok.
(3) Az (1) bekezdés szerint beérkezett információk alapján a Bizottság összeállítja, az Európai Unió Hivatalos Lapjában közzéteszi, és géppel olvasható formátumban vezeti a tanúsított európai digitális személyiadat-tárcák listáját.
(4) A tagállamok kérelmet nyújthatnak be a Bizottsághoz arra vonatkozóan, hogy egy adott európai digitális személyiadat-tárcát és az elektronikus azonosítási rendszert, amelynek keretében azt nyújtják, törölje a (3) bekezdésben említett listáról.
(5) Amennyiben az (1) bekezdés szerint szolgáltatott információkban változás következik be, a tagállam a Bizottság rendelkezésére bocsátja az aktualizált információkat.
(6) A Bizottság naprakészen tartja a (3) bekezdésben említett listát oly módon, hogy a (4) bekezdés szerinti kérelem vagy az (5) bekezdés szerinti aktualizált információk kézhezvételétől számított egy hónapon belül közzéteszi a lista megfelelő módosításait az Európai Unió Hivatalos Lapjában.
(7) 2024. november 21-ig a Bizottság az 5a. cikk (23) bekezdésében említett, az európai digitális személyiadat-tárcák megvalósításáról szóló végrehajtási jogi aktusok útján meghatározza az e cikk (1), (4) és (5) bekezdésének céljából alkalmazandó formátumokat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
5e. cikk
Az európai digitális személyiadat-tárcák biztonságának megsértése
(1) Amennyiben az 5a. cikk alapján nyújtott európai digitális személyiadat-tárcákat, az 5a. cikk (8) bekezdésében említett érvényesítési mechanizmusokat vagy azon elektronikus azonosítási rendszert, amelynek keretében az európai digitális személyiadat-tárcákat nyújtják, oly módon megsértik vagy részben veszélyeztetik, hogy az hátrányosan érinti a megbízhatóságukat vagy más európai digitális személyiadat-tárcák megbízhatóságát, az európai digitális személyiadat-tárcákat nyújtó tagállam indokolatlan késedelem nélkül felfüggeszti az európai digitális személyiadat-tárcák nyújtását és használatát.
Amennyiben az első albekezdésben említett biztonságsértés vagy veszélyeztetés súlyossága indokolja, a tagállam indokolatlan késedelem nélkül visszavonja az európai digitális személyiadat-tárcákat.
A tagállam ennek megfelelően tájékoztatja az érintett felhasználókat, a 46c. cikk (1) bekezdése alapján kijelölt egyedüli kapcsolattartó pontokat, az igénybe vevő feleket és a Bizottságot.
(2) Ha az e cikk (1) bekezdésének első albekezdésében említett biztonságsértést vagy veszélyeztetést nem orvosolják a felfüggesztéstől számított három hónapon belül, az európai digitális személyiadat-tárcákat nyújtó tagállam visz- szavonja az európai digitális személyiadat-tárcákat és azok érvényességét. A tagállam ennek megfelelően tájékoztatja a visszavonásról az érintett felhasználókat, a 46c. cikk (1) bekezdése alapján kijelölt egyedüli kapcsolattartó pontokat, az igénybe vevő feleket és a Bizottságot.
(3) Amennyiben az e cikk (1) bekezdésének első albekezdésében említett biztonságsértést vagy veszélyeztetést orvosolják, a tárcákat biztosító tagállam visszaállítja az európai digitális személyiadat-tárcák nyújtását és használatát, és indokolatlan késedelem nélkül tájékoztatja az érintett felhasználókat és igénybe vevő feleket, a 46c. cikk (1) bekezdése alapján kijelölt egyedüli kapcsolattartó pontokat és a Bizottságot.
(4) A Bizottság indokolatlan késedelem nélkül közzéteszi az Európai Unió Hivatalos Lapjában az 5d. cikkben említett lista ennek megfelelő módosításait.
(5) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1), (2) és (3) bekezdésében említett intézkedésekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
5f. cikk
Az európai digitális személyiadat-tárcák határokon átnyúló igénybevétele
(1) Amennyiben a tagállamok egy közigazgatási szerv által nyújtott online szolgáltatáshoz való hozzáféréshez elektronikus azonosítást és hitelesítést írnak elő, akkor az e rendelettel összhangban nyújtott európai digitális személyiadat-tárcákat is el kell fogadniuk.
(2) Amennyiben a szolgáltatásokat nyújtó, magánszférabeli igénybe vevő felek - a 2003/361/EK bizottsági ajánlás * mellékletének 2. cikkében meghatározott mikrovállalkozások és kisvállalkozások kivételével - az uniós vagy a nemzeti jog értelmében erős felhasználóhitelesítést kötelesek használni az online azonosításhoz, vagy ha szerződéses kötelezettség írja elő az erős felhasználóhitelesítést az online azonosításhoz - többek között a közlekedés, az energia, a banki és pénzügyi szolgáltatások, a szociális biztonság, az egészségügy, az ivóvíz, a postai szolgáltatások, a digitális infrastruktúra, az oktatás vagy a távközlés területén -, az említett magánszférabeli igénybe vevő feleknek legkésőbb az 5a. cikk (23) bekezdésében és az 5c. cikk (6) bekezdésében említett végrehajtási jogi aktusok hatálybalépésétől számított 36 hónappal és kizárólag a felhasználó önkéntes kérésére el kell fogadniuk az e rendelettel összhangban nyújtott európai digitális személyiadat-tárcák használatát is.
(3) Amennyiben az (EU) 2022/2065 európai parlamenti és tanácsi rendelet * 33. cikkében említett, online óriásplatformokat üzemeltető szolgáltatók az online szolgáltatásokhoz való hozzáféréshez megkövetelik a felhasználóhitelesítést, akkor - kizárólag a felhasználó önkéntes kérésére, valamint az azon konkrét online szolgáltatáshoz szükséges minimális adatok tekintetében, amelyre vonatkozóan a hitelesítést kérik - a felhasználóhitelesítés céljára el kell fogadniuk és elő kell segíteniük az e rendelettel összhangban nyújtott európai digitális személyiadat-tárcák használatát is.
(4) A Bizottság a tagállamokkal együttműködve elősegíti a magatartási kódexeknek - valamennyi érdekelt féllel, köztük a civil társadalommal szoros együttműködésben történő - kidolgozását annak érdekében, hogy hozzájáruljon az e rendelet hatálya alá tartozó európai digitális személyiadat-tárcák széles körű elérhetőségéhez és használhatóságához, és hogy arra ösztönözze a szolgáltatókat, hogy végezzék el a magatartási kódexek kidolgozását.
(5) A Bizottság az európai digitális személyiadat-tárcák bevezetésétől számított 24 hónapon belül értékeli az európai digitális személyiadat-tárcák iránti keresletet, valamint azok elérhetőségét és használhatóságát olyan kritériumokat figyelembe véve, mint például a felhasználók körében való elterjedés, a szolgáltatók határokon átnyúló jelenléte, a technológiai fejlődés, a használati minták alakulása és a fogyasztói kereslet.”
6. A szöveg a 6. cikk előtt a következő címmel egészül ki:
„2. SZAKASZ
ELEKTRONIKUS AZONOSÍTÁSI RENDSZEREK”.
7. A 7. cikk g) pontja helyébe a következő szöveg lép:
„g) a 12. cikk (5) bekezdése alkalmazásának céljából a bejelentő tagállam a 9. cikk (1) bekezdése szerinti bejelentést megelőzően legalább hat hónappal, a 12. cikk (6) bekezdése szerint elfogadott végrehajtási jogi aktusokban meghatározott eljárási szabályokkal összhangban eljuttatja a többi tagállamnak az említett rendszer leírását;”.
8. A 8. cikk (3) bekezdésének első albekezdése helyébe a következő szöveg lép:
„(3) A Bizottság - a vonatkozó nemzetközi szabványokat figyelembe véve és a (2) bekezdésre is figyelemmel - 2015. szeptember 18-ig végrehajtási jogi aktusok útján minimális technikai specifikációkat, szabványokat és eljárásokat állapít meg, amelyekre hivatkozva meghatározható az elektronikus azonosító eszközök »alacsony«, »jelentős« vagy »magas« biztonsági szintje.”
9. A 9. cikk (2) és (3) bekezdésének helyébe a következő szöveg lép:
„(2) A Bizottság indokolatlan késedelem nélkül közzéteszi az Európai Unió Hivatalos Lapjában az (1) bekezdés szerint bejelentett elektronikus azonosítási rendszerek listáját az említett rendszerekkel kapcsolatos alapinformációkkal együtt.
(3) A Bizottság az említett bejelentés kézhezvételétől számított egy hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a (2) bekezdésben említett lista módosításait.”
10. A 10. cikk címének helyébe a következő szöveg lép:
„Az elektronikus azonosítási rendszerek biztonságának megsértése”.
11. A szöveg a következő cikkel egészül ki:
„11a. cikk
A személyazonosság határokon átnyúló megfeleltetése
(1) Amikor a tagállamok határokon átnyúló szolgáltatásokat igénybe vevő felekként járnak el, bejelentett elektronikus azonosító eszközök vagy európai digitális személyiadat-tárcák használatával biztosítják a természetes személyek személyazonosságának egyértelmű megfeleltetését.
(2) A tagállamok technikai és szervezési intézkedéseket írnak elő a személyazonosság megfeleltetéséhez használt személyes adatok magas szintű védelmének biztosítása és a felhasználókról való profilalkotás megakadályozása érdekében.
(3) 2024. november 21-ig a Bizottság összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében említett követelményekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
12. A 12. cikk a következőképpen módosul:
a) a cím helyébe a következő szöveg lép:
„Átjárhatóság”;
b) a (3) bekezdés a következőképpen módosul:
i. a c) pont helyébe a következő szöveg lép:
„c) megkönnyíti a beépített adatvédelem és biztonság érvényesítését;”
ii. a d) pontot el kell hagyni;
c) a (4) bekezdés d) pontja helyébe a következő szöveg lép:
„d) egy természetes vagy jogi személy, illetve egy másik természetes személyt vagy egy jogi személyt képviselő természetes személy kizárólagos azonosításához szükséges, az elektronikus azonosítási rendszerekből megszerezhető minimális személyazonosító adatokra való hivatkozás”;
d) az (5) és a (6) bekezdés helyébe a következő szöveg lép:
„(5) A tagállamok elvégzik az e rendelet hatálya alá tartozó, és a 9. cikk (1) bekezdésének a) pontja szerint bejelentendő elektronikus azonosítási rendszerek partneri felülvizsgálatát.
(6) A Bizottság 2025. március 18-ig végrehajtási jogi aktusok útján megállapítja az e cikk (5) bekezdésében említett partneri felülvizsgálatokhoz szükséges eljárási szabályokat a kockázat mértékének megfelelő, magas szintű bizalom és biztonság előmozdítása céljából. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”;
e) a (7) bekezdést el kell hagyni;
f) a (8) bekezdés helyébe a következő szöveg lép:
„(8) Az e cikk (1) bekezdése szerinti követelmény végrehajtása egységes feltételeinek meghatározása céljából a Bizottság 2025. szeptember 18-ig - az e cikk (3) bekezdésében foglalt kritériumoknak megfelelően és a tagállamok közötti együttműködés eredményeinek figyelembevételével - végrehajtási jogi aktusokat fogad el az e cikk (4) bekezdésében meghatározottak szerinti átjárhatósági keretre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
13. A II. fejezet a következő cikkekkel egészül ki:
„12a. cikk
Az elektronikus azonosítási rendszerek tanúsítása
(1) A bejelentendő elektronikus azonosítási rendszereknek az e rendeletben meghatározott kiberbiztonsági követelményeknek való megfelelését - beleértve a 8. cikk (2) bekezdésében meghatározott, a kiberbiztonság szempontjából releváns, az elektronikus azonosítási rendszerek biztonsági szintjeire vonatkozó követelményeknek való megfelelést is - a tagállamok által kijelölt megfelelőségértékelő szervezeteknek kell tanúsítaniuk.
(2) Az e cikk (1) bekezdése szerinti tanúsítást az (EU) 2019/881 rendelet szerinti releváns kiberbiztonsági tanúsítási rendszer vagy annak részei keretében kell elvégezni annyiban, amennyiben a kiberbiztonsági tanúsítvány vagy annak részei kiterjednek az említett kiberbiztonsági követelményekre.
(3) Az (1) bekezdés szerinti tanúsítás legfeljebb öt évig érvényes, feltéve, hogy kétévente sebezhetőségi értékelést végeznek. Amennyiben sebezhetőséget azonosítanak, és azt az azonosítástól számított három hónapon belül nem orvosolják, a tanúsítást törölni kell.
(4) A (2) bekezdéstől eltérve, a tagállamok a (2) bekezdéssel összhangban további információkat kérhetnek a bejelentő tagállamtól a tanúsított elektronikus azonosítási rendszerekkel vagy azok ilyen módon tanúsított részével kapcsolatban.
(5) Az elektronikus azonosítási rendszereknek a 12. cikk (5) bekezdésének d) pontjában említett partneri felülvizsgálata nem alkalmazandó az e cikk (1) bekezdésének megfelelően tanúsított elektronikus azonosítási rendszerekre vagy azok ilyen módon tanúsított részeire. A tagállamok használhatják a releváns tanúsítási rendszerek vagy az ilyen rendszerek részei keretében kiadott tanúsítványt vagy megfelelőségi nyilatkozatot annak igazolására, hogy valamely elektronikus azonosítási rendszer megfelel a 8. cikk (2) bekezdésében az elektronikus azonosítási rendszerek biztonsági szintje tekintetében meghatározott nem kiberbiztonsági követelményeknek.
(6) A tagállamok tájékoztatják a Bizottságot az (1) bekezdésben említett megfelelőségértékelő szervezetek nevéről és címéről. A Bizottság ezt az információt valamennyi tagállam rendelkezésére bocsátja.
12b. cikk
Hozzáférés a hardver- és szoftverfunkciókhoz
Amennyiben az európai digitális személyiadat-tárcák azon szolgáltatói és a bejelentett elektronikus azonosító eszközök azon kibocsátói, amelyek kereskedelmi vagy szakmai minőségben járnak el és az (EU) 2022/1925 európai parlamenti és tanácsi rendelet * 2. cikkének 2. pontjában meghatározott alapvető platformszolgáltatásokat használnak az európai digitális személyiadat-tárcákkal kapcsolatos szolgáltatások és az elektronikus azonosító eszközök végfelhasználók részére történő nyújtása céljából vagy annak során, az említett rendelet 2. cikkének 21. pontjában meghatározott üzleti felhasználóknak minősülnek, a kapuőröknek különösen lehetővé kell tenniük a számukra az ugyanazon operációs rendszerrel, hardver- vagy szoftverfunkciókkal való tényleges interoperabilitást és azokhoz az interoperabilitás céljából való tényleges hozzáférést. Az ilyen tényleges interoperabilitást és hozzáférést díjmentesen kell lehetővé tenni, függetlenül attól, hogy az (EU) 2022/1925 rendelet 6. cikkének (7) bekezdése értelmében azon hardver- vagy szoftverfunkciók az operációs rendszer részét képezik-e, a kapuőr rendelkezésére állnak-e, vagy a kapuőr használja-e azokat az ilyen szolgáltatások nyújtása során. Ez a cikk nem érinti e rendelet 5a. cikkének (14) bekezdését.”
14. A 13. cikk (1) bekezdésének helyébe a következő szöveg lép:
„(1) E cikk (2) bekezdésétől eltérve és az (EU) 2016/679 rendelet sérelme nélkül a bizalmi szolgáltatóknak felelősséggel tartoznak az olyan kárért, amelyet szándékosan vagy gondatlanságból bármely természetes vagy jogi személynek okoztak az e rendelet szerinti kötelezettségeik megszegéséből eredően. Minden olyan természetes vagy jogi személy, aki, illetve amely e rendelet valamely bizalmi szolgáltató általi megsértése következtében vagyoni vagy nem vagyoni kárt szenvedett, jogosult arra, hogy az uniós és a nemzeti joggal összhangban kártérítést követeljen.
A nem minősített bizalmi szolgáltató szándékossága vagy gondatlansága bizonyításának azt a természetes vagy jogi személyt kell terhelnie, aki, illetve amely állítása szerint az első albekezdésben említett kárt elszenvedte.
Vélelmezni kell a minősített bizalmi szolgáltató szándékosságát vagy gondatlanságát, kivéve abban az esetben, ha a minősített bizalmi szolgáltató bizonyítja, hogy az első albekezdésben említett kár anélkül következett be, hogy az említett minősített bizalmi szolgáltató szándékosan vagy gondatlanul járt volna el.”
15. A 14., 15. és 16. cikk helyébe a következő szöveg lép:
„14. cikk
Nemzetközi vonatkozások
(1) A valamely harmadik országban letelepedett bizalmi szolgáltatók vagy valamely nemzetközi szervezet által nyújtott bizalmi szolgáltatásokat abban az esetben kell jogilag egyenértékűnek elismerni az Unióban letelepedett minősített bizalmi szolgáltatók által nyújtott minősített bizalmi szolgáltatásokkal, ha a harmadik országból származó bizalmi szolgáltatásokat vagy a nemzetközi szervezetet végrehajtási jogi aktusok útján, vagy az Unió és a harmadik ország vagy a nemzetközi szervezet által az EUMSZ 218. cikke alapján megkötött megállapodás útján elismerték.
Az első albekezdésben említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(2) Az (1) bekezdésben említett végrehajtási jogi aktusoknak és megállapodásnak biztosítaniuk kell, hogy az érintett harmadik ország bizalmi szolgáltatói vagy a nemzetközi szervezetek, valamint az általuk nyújtott bizalmi szolgáltatások megfeleljenek az Unióban letelepedett minősített bizalmi szolgáltatókra és az általuk nyújtott minősített bizalmi szolgáltatásokra alkalmazandó követelményeknek. Ennek megfelelően a harmadik országoknak és a nemzetközi szervezeteknek létre kell hozniuk, vezetniük kell és közzé kell tenniük az elismert bizalmi szolgáltatók bizalmi listáját.
(3) Az (1) bekezdésben említett megállapodásoknak biztosítaniuk kell, hogy az Unióban letelepedett minősített bizalmi szolgáltatók által nyújtott minősített bizalmi szolgáltatásokat jogilag egyenértékűnek ismerjék el az azon harmadik ország bizalmi szolgáltatói vagy az azon nemzetközi szervezet által nyújtott bizalmi szolgáltatásokkal, amellyel megállapodás jött létre.
15. cikk
Akadálymentesség a fogyatékossággal élő és a különleges szükségletekkel rendelkező személyek számára
Az elektronikus azonosító eszközök és a bizalmi szolgáltatások nyújtását, továbbá az ilyen szolgáltatásnyújtás során alkalmazott végfelhasználói termékeket egyszerű és érthető nyelven, a fogyatékossággal élő személyek jogairól szóló ENSZ-egyezménynek, valamint a termékekre és a szolgáltatásokra vonatkozó akadálymentességi követelményekről szóló (EU) 2019/882 irányelvben foglalt akadálymentességi követelményeknek megfelelően kell elérhetővé tenni, hogy ezáltal azokat olyan személyek is igénybe vehessék, akik funkcióképességükben korlátozottak, mint például az időskorúak és a digitális technológiákhoz korlátozott hozzáféréssel rendelkező személyek.
16. cikk
Szankciók
(1) Az (EU) 2022/2555 európai parlamenti és tanácsi irányelv * 31. cikkének sérelme nélkül a tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat. Ezeknek a szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük.
(2) A tagállamok biztosítják, hogy e rendeletnek a minősített és a nem minősített bizalmi szolgáltatók általi megsértését legalább a következő maximális közigazgatási bírsággal sújtsák:
a) 5 000 000 EUR, ha a bizalmi szolgáltató természetes személy; vagy
b) ha a bizalmi szolgáltató jogi személy, 5 000 000 EUR vagy az azon vállalkozás globális éves összforgalma 1%-ának megfelelő összeg, amelyhez a jogsértés bekövetkezését megelőző pénzügyi évben a bizalmi szolgáltató tartozott - e két összeg közül a magasabbat kell figyelembe venni.
(3) A tagállamok jogrendszerétől függően a közigazgatási bírságokra vonatkozó szabályokat oly módon is lehet alkalmazni, hogy a bírságot az illetékes felügyeleti szerv kezdeményezésére az illetékes nemzeti bíróságok róják ki. E szabályokat úgy kell alkalmazni az érintett tagállamokban, hogy biztosítva legyen e jogorvoslatok hatékonysága és a közvetlenül a felügyeleti hatóságok által kiszabott közigazgatási bírságokéval egyenértékű hatása.”
16. A III. fejezet 2. szakasza címének helyébe a következő szöveg lép:
„Nem minősített bizalmi szolgáltatások”
17. A 17. és 18. cikket el kell hagyni.
18. A III. fejezet 2. szakasza a következő cikkel egészül ki:
„19a. cikk
A nem minősített bizalmi szolgáltatókra vonatkozó követelmények
(1) A nem minősített bizalmi szolgáltatásokat nyújtó nem minősített bizalmi szolgáltató köteles:
a) megfelelő szabályzatokkal rendelkezni és ezeknek megfelelő intézkedéseket hozni a nem minősített bizalmi szolgáltatás nyújtásával kapcsolatos jogi, üzleti, működési és egyéb közvetlen vagy közvetett kockázatok kezelésére, amelyeknek - az (EU) 2022/2555 irányelv 21. cikke ellenére - magukban kell foglalniuk legalább a következőkkel kapcsolatos intézkedéseket:
i. a bizalmi szolgáltatással kapcsolatos regisztrációra és beléptetésre vonatkozó eljárások;
ii. a bizalmi szolgáltatások nyújtásához szükséges eljárási vagy adminisztratív ellenőrzések;
iii. a bizalmi szolgáltatások irányítása és végrehajtása;
b) a biztonságnak a szolgáltatás nyújtása vagy az a) pont i., ii. és iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan megsértéséről vagy a szolgáltatás nyújtása vagy az a) pont i., ii. és iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan zavarról, amely jelentős hatást gyakorol a nyújtott bizalmi szolgáltatásra vagy az annak keretében tárolt személyes adatokra, indokolatlan késedelem nélkül, de legkésőbb a biztonság megsértéséről vagy a zavarról való tudomásszerzéstől számított 24 órán belül értesíteni a felügyeleti szervet, az azonosítható érintett személyeket, a nyilvánosságot - amennyiben az közérdekű -, valamint adott esetben más érintett illetékes hatóságokat.
(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg e cikk (1) bekezdésének a) pontjára vonatkozóan. Az e szabványoknak, specifikációknak és eljárásoknak való megfelelés esetén vélelmezni kell az e cikkben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
19. A 20. cikk a következőképpen módosul:
a) az (1) bekezdés helyébe a következő szöveg lép:
„(1) A minősített bizalmi szolgáltatókat legalább 24 havonta, a szolgáltatók saját költségére megfelelőségértékelő szervezetnek kell ellenőriznie. Az ellenőrzésnek igazolnia kell, hogy a minősített bizalmi szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfelelnek az e rendeletben és az (EU) 2022/2555 irányelv 21. cikkében megállapított követelményeknek. A minősített bizalmi szolgáltatók kötelesek az elkészült megfelelőségértékelési jelentést a kézhezvételtől számított három munkanapon belül benyújtani a felügyeleti szervnek.”;
b) a cikk a következő bekezdésekkel egészül ki:
„(1a) A minősített bizalmi szolgáltatóknak bármely tervezett ellenőrzésről legalább egy hónappal azt megelőzően tájékoztatniuk kell a felügyeleti szervet, és kérésre lehetővé kell tenniük a felügyeleti szerv megfigyelőként való részvételét.
(1b) A tagállamok indokolatlan késedelem nélkül bejelentik a Bizottságnak az (1) bekezdésben említett megfelelőségértékelő szervezetek nevét, címét és akkreditációs adatait, valamint azok későbbi változásait. A Bizottság ezt az információt valamennyi tagállam rendelkezésére bocsátja.”;
c) a (2), a (3) és a (4) bekezdés helyébe a következő szöveg lép:
„(2) Az (1) bekezdés sérelme nélkül, a felügyeleti szerv bármikor ellenőrizheti a minősített bizalmi szolgáltatókat, illetve felkérhet egy megfelelőségértékelő szervezetet a minősített bizalmi szolgáltatók megfelelőségértékelésének elvégzésére a bizalmi szolgáltatók költségére annak igazolása céljából, hogy e szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfelelnek az e rendeletben megállapított követelményeknek. A személyes adatok védelmére vonatkozó szabályok vélhető megsértése esetén a felügyeleti szervnek indokolatlan késedelem nélkül tájékoztatnia kell az (EU) 2016/679 rendelet 51. cikke alapján létrehozott illetékes felügyeleti hatóságokat.
(3) Amennyiben a minősített bizalmi szolgáltató nem teljesíti az e rendeletben meghatározott követelmények valamelyikét, a felügyeleti szervnek adott esetben elő kell írnia számára, hogy meghatározott határidőn belül orvosolja a helyzetet.
Amennyiben a szolgáltató - adott esetben a felügyeleti szerv által megszabott határidőn belül - nem orvosolja a helyzetet, a felügyeleti szervnek - különösen, ha ez a mulasztás mértéke, időtartama és következményei miatt indokolt - vissza kell vonnia a szolgáltató vagy az általa nyújtott érintett szolgáltatás minősített státusát.
(3a) Amennyiben az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóság arról tájékoztatja a felügyeleti szervet, hogy a minősített bizalmi szolgáltató nem teljesít valamely, az említett irányelv 21. cikkében meghatározott követelményt, a felügyeleti szervnek - különösen, ha ez a mulasztás mértéke, időtartama és következményei miatt indokolt - vissza kell vonnia a szolgáltató vagy az általa nyújtott érintett szolgáltatás minősített státusát.
(3b) Amennyiben az (EU) 2016/679 rendelet 51. cikke alapján létrehozott felügyeleti hatóság arról tájékoztatja a felügyeleti szervet, hogy a minősített bizalmi szolgáltató nem teljesít valamely, az említett rendeletben meghatározott követelményt, a felügyeleti szervnek - különösen, ha ez a mulasztás mértéke, időtartama és következményei miatt indokolt - vissza kell vonnia a szolgáltató vagy az általa nyújtott érintett szolgáltatás minősített státusát.
(3c) A felügyeleti szervnek tájékoztatnia kell a minősített bizalmi szolgáltatót a minősített státusának vagy az érintett szolgáltatás minősített státusának a visszavonásáról. A felügyeleti szervnek - az e rendelet 22. cikkének (1) bekezdésében említett bizalmi listák frissítése céljából - tájékoztatnia kell az említett cikk (3) bekezdése szerint bejelentett szervet, valamint az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóságot.
(4) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a következőkre vonatkozóan:
a) az (1) bekezdésben említett megfelelőségértékelő szervezetek akkreditációja, valamint az (1) bekezdésben említett megfelelőségértékelési jelentés;
b) azon ellenőrzési követelmények, amelyek alapján a megfelelőségértékelő szervezetek elvégzik a minősített bizalmi szolgáltatóknak az (1) bekezdés szerinti megfelelőségértékelését, beleértve az összetett értékelést is;
c) a minősített bizalmi szolgáltatók megfelelőségértékelésének a megfelelőségértékelő szervezetek általi elvégzésére és az (1) bekezdésben említett jelentés benyújtására szolgáló megfelelőségértékelési rendszerek.
Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
20. A 21. cikk a következőképpen módosul:
a) az (1) és a (2) bekezdés helyébe a következő szöveg lép:
„(1) Amennyiben bizalmi szolgáltatók minősített bizalmi szolgáltatás elindítását tervezik, értesíteniük kell e szándékukról a felügyeleti szervet, az értesítéshez egy megfelelőségértékelő szervezet által kibocsátott olyan megfelelőségértékelési jelentést is mellékelve, amely igazolja, hogy megfelelnek az e rendeletben és az (EU) 2022/2555 irányelv 21. cikkében megállapított követelményeknek.
(2) A felügyeleti szervnek ellenőriznie kell, hogy a bizalmi szolgáltató és az általa nyújtott bizalmi szolgáltatások megfelelnek-e e rendelet előírásainak, különösen a minősített bizalmi szolgáltatókra és az általuk nyújtott minősített bizalmi szolgáltatásokra vonatkozó előírásoknak.
Annak ellenőrzése érdekében, hogy a bizalmi szolgáltató megfelel-e az (EU) 2022/2555 irányelv 21. cikkében meghatározott követelményeknek, a felügyeleti szervnek fel kell kérnie az említett irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóságokat, hogy hajtsák végre az ezzel kapcsolatos felügyeleti intézkedéseket, és indokolatlan késedelem nélkül, de minden esetben az említett felkérés kézhezvételétől számított két hónapon belül nyújtsanak tájékoztatást az eredményekről. Amennyiben az ellenőrzés az értesítéstől számított két hónapon belül nem zárul le, az említett illetékes hatóságoknak tájékoztatniuk kell a felügyeleti szervet a késedelem okairól és az ellenőrzés befejezésére kitűzött időpontról.
Amennyiben a felügyeleti szerv azt állapítja meg, hogy a bizalmi szolgáltató és az általa nyújtott bizalmi szolgáltatások megfelelnek az e rendeletben meghatározott követelményeknek, meg kell adnia a minősített státust a bizalmi szolgáltató és az általa nyújtott bizalmi szolgáltatások számára, valamint legkésőbb három hónappal az e cikk (1) bekezdése szerinti értesítést követően a 22. cikk (1) bekezdésében említett bizalmi listák frissítése céljából tájékoztatnia kell a 22. cikk (3) bekezdésében említett szervet.
Amennyiben az ellenőrzés az értesítéstől számított három hónapon belül nem zárul le, a felügyeleti szervnek tájékoztatnia kell erről a bizalmi szolgáltatót, megjelölve a késedelem okait és az ellenőrzés befejezésére kitűzött időpontot.”;
b) a (4) bekezdés helyébe a következő szöveg lép:
„(4) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján megállapítja az értesítés és az ellenőrzés e cikk (1) és (2) bekezdésének céljából alkalmazandó formátumait és eljárásait. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
21. A 24. cikk a következőképpen módosul:
a) az (1) bekezdés helyébe a következő szöveg lép:
„(1) Minősített tanúsítvány vagy minősített elektronikus attribútumtanúsítvány kibocsátásakor a minősített bizalmi szolgáltatónak ellenőriznie kell annak a természetes vagy jogi személynek az azonosságát és - adott esetben - egyedi attribútumait, akinek vagy amelynek a részére a minősített tanúsítvány vagy a minősített elektronikus attribútumtanúsítvány kibocsátásra kerül.
(1a) Az azonosság (1) bekezdésben említett ellenőrzését a minősített bizalmi szolgáltatónak megfelelő eszközökkel, közvetlenül vagy harmadik fél révén kell elvégeznie az alábbi módszerek egyike alapján vagy szükség esetén azokat kombinálva, az (1c) bekezdésben említett végrehajtási jogi aktusokkal összhangban:
a) az európai digitális személyiadat-tárcával vagy olyan bejelentett elektronikus azonosító eszközzel, amely a »magas« biztonsági szint tekintetében megfelel a 8. cikkben meghatározott követelményeknek;
b) minősített elektronikus aláírásnak vagy minősített elektronikus bélyegzőnek az a), c) vagy d) ponttal összhangban kibocsátott tanúsítványával;
c) olyan egyéb azonosítási módszerek alkalmazásával, amelyek biztosítják a személy magas megbízhatósági szintű azonosítását, és amelyek megfelelőségét megfelelőségértékelő szervezetnek kell igazolnia;
d) a természetes személynek vagy a jogi személy meghatalmazott képviselőjének személyes jelenléte útján, megfelelő bizonyítékok és eljárások révén, a nemzeti joggal összhangban.
(1b) Az attribútumok (1) bekezdésben említett ellenőrzését a minősített bizalmi szolgáltatónak megfelelő eszközökkel, közvetlenül vagy harmadik fél révén kell elvégeznie az alábbi módszerek egyike alapján vagy szükség esetén azokat kombinálva, az (1c) bekezdésben említett végrehajtási jogi aktusokkal összhangban:
a) az európai digitális személyiadat-tárcával vagy olyan bejelentett elektronikus azonosító eszközzel, amely a »magas« biztonsági szint tekintetében megfelel a 8. cikkben meghatározott követelményeknek;
b) minősített elektronikus aláírásnak vagy minősített elektronikus bélyegzőnek az (1a) bekezdés a), c) vagy d) pontjával összhangban kibocsátott tanúsítványával;
c) minősített elektronikus attribútumtanúsítvánnyal;
d) olyan egyéb módszerek alkalmazásával, amelyek biztosítják az attribútumok magas megbízhatósági szintű ellenőrzését, és amelyek megfelelőségét megfelelőségértékelő szervezetnek kell igazolnia;
e) a természetes személynek vagy a jogi személy meghatalmazott képviselőjének személyes jelenléte útján, megfelelő bizonyítékok és eljárások révén, a nemzeti joggal összhangban.
(1c) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén technikai specifikációkat és eljárásokat állapít meg az azonosság és az attribútumok e cikk (1), (1a) és (1b) bekezdésével összhangban történő ellenőrzésére vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében vizsgálóbizottsági eljárás keretében kell elfogadni.”;
b) a (2) bekezdés a következőképpen módosul:
i. az a) pont helyébe a következő szöveg lép:
„a) értesíteni a felügyeleti szervet legalább egy hónappal a minősített bizalmi szolgáltatásai nyújtásában bekövetkező bármely változás végrehajtása előtt, illetve az említett tevékenységek beszüntetésének szándéka esetén legalább három hónappal a tevékenységek beszüntetése előtt;”
ii. a d) és e) pont helyébe a következő szöveg lép:
„d) a szerződéskötést megelőzően közérthetően, teljeskörűen és könnyen hozzáférhető formában, nyilvánosan elérhető helyen és egyénileg tájékoztatni a minősített bizalmi szolgáltatást igénybe venni kívánó személyt a szolgáltatás igénybevételére vonatkozó pontos szerződési feltételekről, beleértve az igénybevételre vonatkozó bármely korlátozást is;
e) olyan megbízható rendszereket és termékeket használni, amelyek védettek a módosításokkal szemben, és biztosítják az általuk támogatott eljárások műszaki biztonságát és megbízhatóságát, többek között megfelelő kriptográfiai technikák alkalmazásával;”
iii. a bekezdés a következő pontokkal egészül ki:
„fa) az (EU) 2022/2555 irányelv 21. cikke ellenére, megfelelő szabályzatokkal rendelkezni és megfelelő intézkedéseket hozni a minősített bizalmi szolgáltatás nyújtásával kapcsolatos jogi, üzleti, működési és egyéb közvetlen vagy közvetett kockázatok kezelésére, beleértve legalább a következőkkel kapcsolatos intézkedéseket:
i. a szolgáltatással kapcsolatos regisztrációra és beléptetésre vonatkozó eljárások;
ii. eljárási vagy adminisztratív ellenőrzések;
iii. a szolgáltatások irányítása és végrehajtása;
fb) a biztonságnak a szolgáltatás nyújtása vagy az fa) pont i., ii. és iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan megsértéséről vagy a szolgáltatás nyújtása vagy az fa) pont i., ii. vagy iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan zavarról, amely jelentős hatást gyakorol a nyújtott bizalmi szolgáltatásra vagy az annak keretében tárolt személyes adatokra, indokolatlan késedelem nélkül, de legkésőbb a biztonság megsértéséről vagy a zavarról való tudomász- szerzéstől számított 24 órán belül értesíteni a felügyeleti szervet, az azonosítható érintett személyeket, adott esetben más érintett illetékes szerveket, valamint a felügyeleti szerv kérésére a nyilvánosságot, amennyiben az közérdekű.”;
iv. a g), h) és i) pont helyébe a következő szöveg lép:
„g) megfelelő intézkedéseket hozni az adathamisítás, adatlopás vagy jogosulatlan adatfelhasználás, illetve az adatok jogosulatlan törlése, megváltoztatása vagy hozzáférhetetlenné tétele ellen;
h) a minősített bizalmi szolgáltató tevékenységeinek beszüntetését követően a szükséges időre rögzíteni és hozzáférhetővé tenni az általa kibocsátott vagy általa kapott adatokra vonatkozó összes lényeges információt bizonyítékok bírósági eljárások során történő bemutatása, valamint a szolgáltatás folytonosságának biztosítása céljából. Az ilyen adatrögzítés elektronikus úton is végezhető;
i) a felügyeleti szerv által a 46b. cikk (4) bekezdésének i) pontja szerint ellenőrzött rendelkezéseknek megfelelő, a szolgáltatás megszüntetésére vonatkozó naprakész tervvel rendelkezni a szolgáltatás folytonosságának biztosítása érdekében;”
v. a j) pontot el kell hagyni;
vi. a szöveg a következő albekezdéssel egészül ki:
„A felügyeleti szerv az első albekezdés a) pontja szerint bejelentett információkon kívül is bekérhet információkat, illetve bekérheti a megfelelőségértékelés eredményét, és feltételekhez kötheti a minősített bizalmi szolgáltatások tervezett változtatásainak végrehajtására vonatkozó engedély megadását. Amennyiben az ellenőrzés az értesítéstől számított három hónapon belül nem zárul le, a felügyeleti szervnek tájékoztatnia kell erről a bizalmi szolgáltatót, megjelölve a késedelem okait és az ellenőrzés befejezésére kitűzött időpontot;”
c) az (5) bekezdés helyébe a következő szöveg lép:
„(4a) A (3) és a (4) bekezdést ennek megfelelően alkalmazni kell a minősített elektronikus attribútumtanúsítványok visszavonására.
(4b) A Bizottság felhatalmazást kap arra, hogy a 47. cikknek megfelelően, felhatalmazáson alapuló jogi aktusok útján további, az e cikk (2) bekezdésének fa) pontjában említett intézkedéseket állapítson meg.
(5) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (2) bekezdésében említett követelményekre vonatkozóan. Az e szabványoknak, specifikációknak és eljárásoknak való megfelelés esetén vélelmezni kell az e bekezdésben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
22. A III. fejezet 3. szakasza a következő cikkel egészül ki:
„24a. cikk
A minősített bizalmi szolgáltatások elismerése
(1) A valamely tagállamban kibocsátott minősített tanúsítványon alapuló minősített elektronikus aláírásokat és a valamely tagállamban kibocsátott minősített tanúsítványon alapuló minősített elektronikus bélyegzőket az összes többi tagállamban el kell ismerni minősített elektronikus aláírásként, illetve minősített elektronikus bélyegzőként.
(2) A valamely tagállamban tanúsított, minősített elektronikus aláírást létrehozó eszközöket, illetve minősített elektronikus bélyegzőt létrehozó eszközöket az összes többi tagállamban el kell ismerni minősített elektronikus aláírást létrehozó eszközként, illetve minősített elektronikus bélyegzőt létrehozó eszközként.
(3) Az elektronikus aláírások, illetve az elektronikus bélyegzők valamely tagállamban kibocsátott, minősített tanúsítványát, valamint a valamely tagállamban nyújtott, távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatást, illetve távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatást az összes többi tagállamban el kell ismerni elektronikus aláírások, illetve elektronikus bélyegzők minősített tanúsítványaként, valamint távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatásként, illetve távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatásként.
(4) A valamely tagállamban nyújtott, minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatást, illetve minősített elektronikus bélyegzőt érvényesítő minősített érvényesítési szolgáltatást az összes többi tagállamban el kell ismerni minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatásként, illetve minősített elektronikus bélyegzőt érvényesítő minősített érvényesítési szolgáltatásként.
(5) A valamely tagállamban nyújtott, minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatást, illetve minősített elektronikus bélyegzők megőrzésére vonatkozó minősített szolgáltatást az összes többi tagállamban el kell ismerni minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatásként, illetve minősített elektronikus bélyegzők megőrzésére vonatkozó minősített szolgáltatásként.
(6) A valamely tagállamban kiadott, minősített elektronikus időbélyegzőt az összes többi tagállamban el kell ismerni minősített elektronikus időbélyegzőként.
(7) A valamely tagállamban kibocsátott, minősített weboldal-hitelesítő tanúsítványt az összes többi tagállamban el kell ismerni minősített weboldal-hitelesítő tanúsítványként.
(8) A valamely tagállamban nyújtott, minősített ajánlott elektronikus kézbesítési szolgáltatást az összes többi tagállamban el kell ismerni minősített ajánlott elektronikus kézbesítési szolgáltatásként.
(9) A valamely tagállamban kibocsátott, minősített elektronikus attribútumtanúsítványt az összes többi tagállamban el kell ismerni minősített elektronikus attribútumtanúsítványként.
(10) A valamely tagállamban nyújtott, minősített elektronikus archiválási szolgáltatást az összes többi tagállamban el kell ismerni minősített elektronikus archiválási szolgáltatásként.
(11) A valamely tagállamban vezetett, minősített elektronikus főkönyvet az összes többi tagállamban el kell ismerni minősített elektronikus főkönyvként.”
23. A 25. cikkben a (3) bekezdést el kell hagyni.
24. A 26. cikk a következőképpen módosul:
a) az egyetlen bekezdés (1) bekezdésre módosul;
b) a cikk a következő bekezdéssel egészül ki:
„(2) 2026. május 21-ig a Bizottság értékeli, hogy szükség van-e olyan végrehajtási jogi aktusok elfogadására, amelyek útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a fokozott biztonságú elektronikus aláírásokra vonatkozóan. Ezen értékelés alapján a Bizottság ilyen végrehajtási jogi aktusokat fogadhat el. Amennyiben egy fokozott biztonságú elektronikus aláírás megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell, hogy az aláírás a fokozott biztonságú elektronikus aláírásokra vonatkozó követelményeknek is megfelel. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
25. A 27. cikkben a (4) bekezdést el kell hagyni.
26. A 28. cikk (6) bekezdésének helyébe a következő szöveg lép:
„(6) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az elektronikus aláírások minősített tanúsítványaira vonatkozóan. Amennyiben az elektronikus aláírás minősített tanúsítványa megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az I. mellékletben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
27. A 29. cikk a következő bekezdéssel egészül ki:
„(1a) Az elektronikus aláírás létrehozásához használt adatok előállítását és kezelését vagy az ilyen aláírás létrehozására használt adatok adatmentési célból történő másolását csak az aláíró nevében - az aláíró kérésére - lehet végezni, és csak távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatást nyújtó minősített bizalmi szolgáltató által.”
28. A szöveg a következő cikkel egészül ki:
„29a. cikk
Távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített szolgáltatásra vonatkozó követelmények
(1) Távoli minősített elektronikus aláírást létrehozó eszközök kezelését minősített szolgáltatásként csak olyan minősített bizalmi szolgáltató végezheti, amely:
a) az aláíró nevében állít elő és kezel az elektronikus aláírás létrehozásához használt adatokat;
b) a II. melléklet 1. pontjának d) alpontja ellenére - kizárólag adatmentési célból - biztonsági másolatot készít az elektronikus aláírás létrehozásához használt adatokról, feltéve, hogy teljesülnek a következő követelmények:
i. a biztonsági adatállomány ugyanolyan biztonságos, mint az eredeti adatállomány;
ii. a biztonsági adatállományok száma nem haladhatja meg a szolgáltatás folytonosságának biztosításához minimálisan szükséges mennyiséget;
c) megfelel a minősített elektronikus aláírást létrehozó eszközre vonatkozóan a 30. cikk szerint kiadott tanúsítási jelentésben meghatározott követelményeknek.
(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg e cikk (1) bekezdésének alkalmazása céljából. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
29. A 30. cikk a következő bekezdéssel egészül ki:
„(3a) Az (1) bekezdésben említett tanúsítás legfeljebb öt évig lehet érvényes, feltéve, hogy kétévente sebezhetőségi értékelést végeznek. Amennyiben sebezhetőségeket azonosítanak, de azokat nem orvosolják, a tanúsítást törölni kell.”
30. A 31. cikk (3) bekezdésének helyébe a következő szöveg lép:
„(3) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján meghatározza az e cikk (1) bekezdésének céljából alkalmazandó formátumokat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
31. A 32. cikk a következőképpen módosul:
a) az (1) bekezdés a következő albekezdéssel egészül ki:
„Amennyiben a minősített elektronikus aláírások érvényesítése megfelel a (3) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az e bekezdés első albekezdésében foglalt követelményeknek való megfelelést.”;
b) a (3) bekezdés helyébe a következő szöveg lép:
„(3) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus aláírások érvényesítésére vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
32. A szöveg a következő cikkel egészül ki:
„32a. cikk
A minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére vonatkozó követelmények
(1) A minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére szolgáló eljárás keretében meg kell állapítani a minősített tanúsítványon alapuló, fokozott biztonságú elektronikus aláírás érvényességét, feltéve, hogy:
a) az aláírást igazoló tanúsítvány az aláírás időpontjában elektronikus aláírás olyan minősített tanúsítványa volt, amely megfelel az I. mellékletnek;
b) a minősített tanúsítványt minősített bizalmi szolgáltató bocsátotta ki, és az az aláírás időpontjában érvényes volt;
c) az aláírás-érvényesítési adatok megfelelnek az igénybe vevő fél számára megadott adatoknak;
d) az igénybe vevő fél pontosan megkapja a tanúsítványban az aláírót azonosító egyedi adatokat;
e) amennyiben az aláírás időpontjában álnév használatára került sor, az álnév használatának tényét egyértelműen feltüntették az igénybe vevő fél számára;
f) az aláírt adatok sértetlensége nem került veszélybe;
g) az aláírás időpontjában teljesültek a 26. cikkben foglalt követelmények.
(2) A minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére használt rendszernek biztosítania kell az érvényesítési eljárás pontos eredményét az igénybe vevő fél számára, és lehetővé kell tennie, hogy az igénybe vevő fél minden, a biztonságot érintő problémát észleljen.
(3) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére vonatkozóan. Amennyiben a minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítése megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az e cikk (1) bekezdésében foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
33. A 33. cikk (2) bekezdésének helyébe a következő szöveg lép:
„(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében említett minősített érvényesítési szolgáltatásra vonatkozóan. Amennyiben a minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatás megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az e cikk (1) bekezdésében foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
34. A 34. cikk a következőképpen módosul:
a) a cikk a következő bekezdéssel egészül ki:
„(1a) Amennyiben a minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatás megfelel a (2) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.”;
b) a (2) bekezdés helyébe a következő szöveg lép:
„(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatásra vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
35. A 35. cikkben a (3) bekezdést el kell hagyni.
36. A 36. cikk a következőképpen módosul:
a) az egyetlen bekezdés (1) bekezdésre módosul;
b) a cikk a következő bekezdéssel egészül ki:
„(2) 2026. május 21-ig a Bizottság elvégzi annak értékelését, hogy szükség van-e olyan végrehajtási jogi aktusok elfogadására, amelyek útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a fokozott biztonságú elektronikus bélyegzőkre vonatkozóan. Az értékelés eredménye alapján a Bizottság ilyen végrehajtási jogi aktusokat fogadhat el. Amennyiben egy fokozott biztonságú elektronikus bélyegző megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell, hogy a bélyegző a fokozott biztonságú elektronikus bélyegzőkre vonatkozó követelményeket is teljesíti. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
37. A 37. cikkben a (4) bekezdést el kell hagyni.
38. A 38. cikk (6) bekezdésének helyébe a következő szöveg lép:
„(6) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az elektronikus bélyegzők minősített tanúsítványaira vonatkozóan. Amennyiben az elektronikus bélyegző minősített tanúsítványa megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell a III. mellékletben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
39. A szöveg a következő cikkel egészül ki:
„39a. cikk
Távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített szolgáltatásra vonatkozó követelmények
A 29a. cikket értelemszerűen alkalmazni kell a távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített szolgáltatásra.”
40. A III. fejezet 5. szakasza a következő cikkel egészül ki:
„40a. cikk
A minősített tanúsítványokon alapuló fokozott biztonságú elektronikus bélyegzők érvényesítésére vonatkozó követelmények
A 32a. cikket értelemszerűen alkalmazni kell a minősített tanúsítványokon alapuló fokozott biztonságú elektronikus bélyegzők érvényesítésére.”
41. A 41. cikkben a (3) bekezdést el kell hagyni.
42. A 42. cikk a következőképpen módosul:
a) a szöveg a következő bekezdéssel egészül ki:
„(1a) Amennyiben a dátumnak és az időpontnak az adatokhoz való hozzárendelése, valamint az időforrás pontossága megfelel a (2) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.”;
b) a (2) bekezdés helyébe a következő szöveg lép:
„(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a dátumnak és az időpontnak az adatokhoz való hozzárendelésére, valamint az időforrások pontosságának meghatározására vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
43. A 44. cikk a következőképpen módosul:
a) a szöveg a következő bekezdéssel egészül ki:
„(1a) Amennyiben az adatküldés és az adatfogadás folyamata megfelel a (2) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.”;
b) a (2) bekezdés helyébe a következő szöveg lép:
„(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az adatküldés és az adatfogadás folyamatára vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”;
c) a cikk a következő bekezdésekkel egészül ki:
„(2a) A minősített ajánlott elektronikus kézbesítési szolgáltatásokat nyújtó szolgáltatók megállapodhatnak az általuk nyújtott minősített ajánlott elektronikus kézbesítési szolgáltatások közötti interoperabilitásról. Ezen interoperabilitási keretnek meg kell felelnie az (1) bekezdésben meghatározott követelményeknek, és e megfelelést megfelelőségértékelő szervezetnek kell igazolnia.
(2b) A Bizottság végrehajtási jogi aktusok útján összeállíthat egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapíthat meg az e cikk (2a) bekezdésében említett interoperabilitási keretre vonatkozóan. A technikai specifikációknak és a szabványok tartalmának költséghatékonynak és arányosnak kell lenniük. A végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
44. A 45. cikk helyébe a következő szöveg lép:
„45. cikk
Minősített weboldal-hitelesítő tanúsítványokra vonatkozó követelmények
(1) A minősített weboldal-hitelesítő tanúsítványoknak meg kell felelniük a IV. mellékletben foglalt követelményeknek. Az e követelményeknek való megfelelés értékelését az e cikk (2) bekezdésében említett szabványokkal, specifikációkkal és eljárásokkal összhangban kell elvégezni.
(1a) Az e cikk (1) bekezdésével összhangban kibocsátott, minősített weboldal-hitelesítő tanúsítványokat a webböngésző-szolgáltatóknak el kell ismerniük. A webböngésző-szolgáltatóknak biztosítaniuk kell, hogy a tanúsítványban tanúsított személyazonosító adatok és a további tanúsított attribútumok felhasználóbarát módon legyenek megjelenítve. A webböngésző-szolgáltatóknak biztosítaniuk kell az e cikk (1) bekezdésében említett, minősített weboldal-hitelesítő tanúsítványok támogatását és interoperabilitását; ez alól kivételt képeznek a működésük első öt évében a webböngészési szolgáltatásokat nyújtó, a 2003/361/EK ajánlás mellékletének 2. cikkében meghatározott mikro- vagy kisvállalkozások.
(1b) A minősített weboldal-hitelesítő tanúsítványokra nem vonatkozhatnak az (1) bekezdésben foglalt követelményeken kívüli kötelező követelmények.
(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében említett, minősített weboldal-hitelesítő tanúsítványokra vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
45. A szöveg a következő cikkel egészül ki:
„45a. cikk
Kiberbiztonsági óvintézkedések
(1) A webböngésző-szolgáltatók nem hozhatnak olyan intézkedéseket, amelyek ellentétesek a 45. cikkben meghatározott kötelezettségeikkel, különösen azon követelményekkel, amelyek a minősített weboldal-hitelesítő tanúsítványok elismerésére és a rendelkezésre bocsátott személyazonosító adatok felhasználóbarát módon való megjelenítésére vonatkoznak.
(2) Az (1) bekezdéstől eltérve, és kizárólag abban az esetben, ha megalapozott aggályok merülnek fel egy azonosított tanúsítvány vagy tanúsítványegyüttes biztonságának megsértésével vagy sértetlenségének megszűnésével kapcsolatban, a webböngésző-szolgáltatók óvintézkedéseket hozhatnak az adott tanúsítvány vagy tanúsítványegyüttes tekintetében.
(3) Amennyiben egy webböngésző-szolgáltató a (2) bekezdés alapján óvintézkedéseket hoz, a webböngésző-szol- gáltatónak indokolatlan késedelem nélkül, írásban értesítenie kell aggályairól a Bizottságot, az illetékes felügyeleti szervet, azt a szervezetet, amely részére a tanúsítványt kiállították, valamint a tanúsítványt vagy tanúsítványegyüttest kibocsátó minősített bizalmi szolgáltatót, és az értesítésben ismertetnie kell az aggályos jelenség mérséklése céljából hozott intézkedéseket. Az értesítés kézhezvételét követően az illetékes felügyeleti szervnek átvételi elismervényt kell kibocsátania az adott webböngésző-szolgáltató részére.
(4) Az illetékes felügyeleti szervnek a 46b. cikk (4) bekezdésének k) pontjával összhangban meg kell vizsgálnia az értesítésben felvetett kérdéseket. Amennyiben e vizsgálat nem eredményezi a tanúsítvány minősített státusának visszavonását, a felügyeleti szervnek tájékoztatnia kell erről a webböngésző-szolgáltatót, és fel kell kérnie az említett szolgáltatót arra, hogy szüntesse meg az e cikk (2) bekezdésében említett óvintézkedéseket.”
46. A III. fejezet a következő szakaszokkal egészül ki:
„9. SZAKASZ
ELEKTRONIKUS ATTRIBÚTUMTANÚSÍTVÁNY
45b. cikk
Az elektronikus attribútumtanúsítvány joghatásai
(1) Az elektronikus attribútumtanúsítvány joghatása vagy bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, vagy hogy az nem felel meg a minősített elektronikus attribútumtanúsítványokra vonatkozó követelményeknek.
(2) A minősített elektronikus attribútumtanúsítványoknak és a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott attribútumtanúsítványoknak ugyanolyan joghatással kell bírniuk, mint a jogszerűen kibocsátott papíralapú tanúsítványoknak.
(3) A hiteles forrásért felelős közigazgatási szerv által vagy nevében valamely tagállamban kibocsátott attribútumtanúsítványt valamennyi tagállamban el kell ismerni hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott attribútumtanúsítványként.
45c. cikk
Az elektronikus attribútumtanúsítványok használata a közigazgatásban
Ha a nemzeti jogszabályok értelmében egy közigazgatási szerv által nyújtott online szolgáltatás elérését elektronikus azonosító eszközt és hitelesítést alkalmazó elektronikus azonosításhoz kötik, az elektronikus attribútumtanúsítványban szereplő személyazonosító adatok nem helyettesíthetik az elektronikus azonosító eszközt és hitelesítést alkalmazó elektronikus azonosítást, kivéve, ha azt a tagállam kifejezetten megengedi. Ilyen esetben a más tagállamokból származó, minősített elektronikus attribútumtanúsítványt is el kell fogadni.
45d. cikk
A minősített elektronikus attribútumtanúsítványra vonatkozó követelmények
(1) A minősített elektronikus attribútumtanúsítványoknak meg kell felelniük az V. mellékletben foglalt követelményeknek.
(2) Az V. mellékletben megállapított követelményeknek való megfelelés értékelését az e cikk (5) bekezdésében említett szabványokkal, specifikációkkal és eljárásokkal összhangban kell elvégezni.
(3) A minősített elektronikus attribútumtanúsítványokra az V. mellékletben szereplőkön túl nem vonatkozhatnak kötelező követelmények.
(4) Ha a minősített elektronikus attribútumtanúsítványt a kezdeti kibocsátást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényességét veszti, státusa pedig semmilyen körülmények között nem állítható vissza.
(5) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus attribútumtanúsítványokra vonatkozóan. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
45e. cikk
Az attribútumok hiteles források alapján történő ellenőrzése
(1) A tagállamok az 5a. cikk (23) bekezdésében és az 5c. cikk (6) bekezdésében említett végrehajtási jogi aktusok hatálybalépésének napját követő 24 hónapon belül biztosítják, hogy legalább a VI. mellékletben felsorolt attribútumok tekintetében - amennyiben ezek az attribútumok a közszférán belüli hiteles forrásokra támaszkodnak - intézkedéseket hozzanak annak érdekében, hogy az elektronikus attribútumtanúsítványok minősített bizalmi szolgáltatói ezeket az attribútumokat a felhasználó kérésére, az uniós vagy a nemzeti joggal összhangban elektronikus úton ellenőrizhessék.
(2) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján, a vonatkozó nemzetközi szabványok figyelembevételével összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az attribútumok katalógusára, az attribútumok tanúsítási rendszereire, valamint a minősített elektronikus attribútumtanúsítványok ellenőrzési eljárásaira vonatkozóan e cikk (1) bekezdésének alkalmazása céljából. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
45f. cikk
A hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványokra vonatkozó követelmények
(1) A hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványnak az alábbi követelményeknek kell megfelelnie:
a) a VII. mellékletben megállapított követelmények;
b) a VII. melléklet b) pontja szerinti kibocsátóként azonosított, a 3. cikk 46. pontja szerinti közigazgatási szerv minősített elektronikus aláírására vagy minősített elektronikus bélyegzőjére vonatkozó minősített tanúsítványnak, amely automatizált feldolgozásra alkalmas formában tartalmazza a következő konkrét tanúsított attribútumokat:
i. annak feltüntetése, hogy a kibocsátó szervet - az uniós vagy a nemzeti joggal összhangban - az azon hiteles forrásért felelős szervként vagy az annak nevében való eljárásra kijelölt szervként hozták létre, amelynek alapján az elektronikus attribútumtanúsítványt kibocsátják;
ii. az i. alpontban említett hiteles forrást egyértelműen azonosító adatok; és
iii. az i. alpontban említett uniós vagy nemzeti jog megjelölése.
(2) A 3. cikk 46. pontjában említett közigazgatási szervek letelepedési helye szerinti tagállam biztosítja, hogy az elektronikus attribútumtanúsítványokat kibocsátó közigazgatási szervek a megbízhatóság szintje szempontjából egyenértékűek legyenek a 24. cikk szerinti minősített bizalmi szolgáltatókkal.
(3) A tagállamok értesítik a Bizottságot a 3. cikk 46. pontjában említett közigazgatási szervekről. Ezen értesítésnek tartalmaznia kell a megfelelőségértékelő szervezet által kibocsátott megfelelőségértékelési jelentést, amely megerősíti, hogy az e cikk (1), (2) és (6) bekezdésében meghatározott követelmények teljesülnek. A Bizottság biztonságos csatornán keresztül, automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban a nyilvánosság számára elérhetővé teszi a 3. cikk 46. pontjában említett közigazgatási szervek jegyzékét.
(4) Amennyiben a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványt a kezdeti kibocsátást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényességét veszti és a státusa nem állítható vissza.
(5) Amennyiben a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítvány megfelel a (6) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben megállapított követelményeknek való megfelelést.
(6) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványokra vonatkozóan. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(7) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg e cikk (3) bekezdésének alkalmazásához. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(8) Az elektronikus attribútumtanúsítványokat kibocsátó, a 3. cikk 46. pontjában említett közigazgatási szerveknek felületet kell biztosítaniuk az 5a. cikkel összhangban nyújtott európai digitális személyiadat-tárcákhoz.
45g. cikk
Elektronikus attribútumtanúsítványok kibocsátása az európai digitális személyiadat-tárcákba
(1) Az elektronikus attribútumtanúsítványokat nyújtó szolgáltatóknak lehetővé kell tenniük az európai digitális személyiadat-tárcák felhasználói számára az elektronikus attribútumtanúsítvány igénylését, beszerzését, tárolását és kezelését, függetlenül attól, hogy az európai digitális személyiadat-tárcát mely tagállamokban nyújtják.
(2) A minősített elektronikus attribútumtanúsítványokat nyújtó szolgáltatóknak felületet kell biztosítaniuk az 5a. cikkel összhangban nyújtott európai digitális személyiadat-tárcákhoz.
45h. cikk
Az elektronikus attribútumtanúsítvánnyal kapcsolatos szolgáltatások nyújtásának további szabályai
(1) A minősített és nem minősített elektronikus attribútumtanúsítványokkal kapcsolatos szolgáltatásokat nyújtó szolgáltatók nem kombinálhatják az e szolgáltatások nyújtásához kapcsolódó személyes adatokat az általuk vagy kereskedelmi partnereik által kínált bármely más szolgáltatásból származó személyes adatokkal.
(2) Az elektronikus attribútumtanúsítványok nyújtására irányuló szolgáltatásokkal kapcsolatos személyes adatokat minden egyéb, az elektronikus attribútumtanúsítványokat nyújtó szolgáltató által tárolt adattól logikailag elkülönítve kell tárolni.
(3) A minősített elektronikus attribútumtanúsítványokra irányuló szolgáltatásokat nyújtó szolgáltatóknak az ilyen minősített bizalmi szolgáltatásokat az általuk nyújtott egyéb szolgáltatásoktól funkcionálisan elkülönített módon kell nyújtaniuk.
10. SZAKASZ
ELEKTRONIKUS ARCHIVÁLÁSI SZOLGÁLTATÁSOK
45i. cikk
Az elektronikus archiválási szolgáltatás joghatása
(1) Az elektronikus archiválási szolgáltatás alkalmazásával megőrzött elektronikus adatok és elektronikus dokumentumok joghatása vagy bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy azok elektronikus formátumban állnak rendelkezésre, illetve hogy megőrzésük nem minősített elektronikus archiválási szolgáltatás igénybevételével történik.
(2) A minősített elektronikus archiválási szolgáltatás alkalmazásával megőrzött elektronikus adatok és elektronikus dokumentumok esetében a minősített bizalmi szolgáltató általi megőrzés időszaka alatt vélelmezni kell az adatok sértetlenségét és megfelelő eredetét.
45j. cikk
A minősített elektronikus archiválási szolgáltatásokra vonatkozó követelmények
(1) A minősített elektronikus archiválási szolgáltatásoknak az alábbi követelményeknek kell megfelelniük:
a) azokat minősített bizalmi szolgáltatóknak kell nyújtaniuk;
b) olyan eljárásokat és technológiákat kell alkalmazniuk, amelyek lehetővé teszik az elektronikus adatok és elektronikus dokumentumok tartósságának és olvashatóságának biztosítását - azok sértetlenségének és eredetük pontosságának megtartása mellett - a technológiai érvényességi időszakon túlmenően és legalább a jogi vagy szerződéses megőrzési időszak tartamára;
c) biztosítaniuk kell, hogy az említett elektronikus adatok és az említett elektronikus dokumentumok a megőrzésük során - az adathordozójukat vagy elektronikus formátumukat érintő változások kivételével - védve legyenek az adatvesztéssel és az adatmódosítással szemben;
d) lehetővé kell tenniük a jogosult igénybe vevő felek számára, hogy automatizált módon olyan jelentést kapjanak, amely megerősíti, hogy valamely, a minősített elektronikus archívumban visszakeresett elektronikus adat vagy elektronikus dokumentum sértetlensége a megőrzési időszak kezdetétől a keresés pillanatáig vélelmezhető.
Az első albekezdés d) pontjában említett jelentést megbízható és hatékony módon kell eljuttatni, és el kell látni a minősített elektronikus archiválási szolgáltatás nyújtójának minősített elektronikus aláírásával vagy minősített elektronikus bélyegzőjével.
(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus archiválási szolgáltatásokra vonatkozóan. Amennyiben a minősített elektronikus archiválási szolgáltatások megfelelnek ezeknek a szabványoknak, előírásoknak és eljárásoknak, vélelmezni kell a minősített elektronikus archiválási szolgáltatásokra vonatkozó követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
11. SZAKASZ
ELEKTRONIKUS FŐKÖNYVEK
45k. cikk
Az elektronikus főkönyvek joghatásai
(1) Az elektronikus főkönyv joghatása vagy bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumban létezik, vagy hogy nem felel meg a minősített elektronikus főkönyvekre vonatkozó követelményeknek.
(2) A minősített elektronikus főkönyvben szereplő adatrekordokkal kapcsolatban vélelmezni kell azok egyedi és pontos szekvenciális időrendi sorrendjét és sértetlenségét.
45l. cikk
A minősített elektronikus főkönyvekre vonatkozó követelmények
(1) A minősített elektronikus főkönyveknek a következő követelményeknek kell megfelelniük:
a) egy vagy több minősített bizalmi szolgáltató hozta létre és kezeli őket;
b) megállapítják a főkönyvben szereplő adatrekordok eredetét;
c) garantálják a főkönyvben szereplő adatrekordok egyedi szekvenciális időrendi sorrendjét;
d) oly módon rögzítik az adatokat, hogy az adatok bármely későbbi változása azonnal észlelhető legyen, így biztosítva azok sértetlenségét az idők során.
(2) Amennyiben egy elektronikus főkönyv megfelel a (3) bekezdésben említett szabványoknak, előírásoknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.
(3) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében meghatározott követelményekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
47. A szöveg a következő fejezettel egészül ki:
„IVa. FEJEZET
IRÁNYÍTÁSI KERET
46a. cikk
Az európai digitális személyiadat-tárcákra vonatkozó keret felügyelete
(1) A tagállamok kijelölnek egy vagy több, a területükön letelepedett felügyeleti szervet.
Az első albekezdés szerint kijelölt felügyeleti szerveknek rendelkezniük kell a feladataik eredményes, hatékony és független ellátásához szükséges hatáskörökkel és megfelelő erőforrásokkal.
(2) A tagállamok bejelentik a Bizottságnak az (1) bekezdés szerint kijelölt felügyeleti szerveik nevét és címét, valamint ezek későbbi változásait. A Bizottság közzéteszi a bejelentett felügyeleti szervek jegyzékét.
(3) Az (1) bekezdés szerint kijelölt felügyeleti szervek szerepe a következő:
a) ellátni az európai digitális személyiadat-tárcákat nyújtó, a kijelölő tagállam területén letelepedett szolgáltatók felügyeletét, valamint előzetes és utólagos felügyeleti tevékenységek révén biztosítani, hogy e szolgáltatók és az általuk nyújtott európai digitális személyiadat-tárcák megfeleljenek az e rendeletben megállapított követelményeknek;
b) szükség esetén - utólagos felügyeleti tevékenységek révén - intézkedéseket hozni az európai digitális személyiadat-tárcákat nyújtó, a kijelölő tagállam területén letelepedett szolgáltatókkal kapcsolatban, amennyiben tájékoztatást kaptak arról, hogy e szolgáltatók vagy az általuk nyújtott európai digitális személyiadat-tárcák sértik ezt a rendeletet.
(4) Az (1) bekezdés szerint kijelölt felügyeleti szervek feladatai különösen a következők:
a) együttműködni más felügyeleti szervekkel, és a 46c. és 46e. cikkel összhangban segítséget nyújtani e szerveknek;
b) bekérni az e rendeletnek való megfelelés ellenőrzéséhez szükséges információkat;
c) tájékoztatni az érintett tagállamoknak az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott érintett illetékes hatóságait a biztonság olyan jelentős megsértéséről vagy a sértetlenség olyan megszűnéséről, amelyről feladataik ellátása során tudomást szereznek, valamint a biztonság más tagállamokat érintő, jelentős megsértése vagy a sértetlenség más tagállamokat érintő megszűnése esetén tájékoztatni az érintett tagállamnak az (EU) 2022/2555 irányelv 8. cikkének (3) bekezdése szerint kijelölt vagy létrehozott egyedüli kapcsolattartó pontját, valamint a többi érintett tagállamnak az e rendelet 46c. cikkének (1) bekezdése szerint kijelölt egyedüli kapcsolattartó pontját, továbbá tájékoztatni a nyilvánosságot - vagy erre kötelezni az európai digitális személyiadat-tárcát nyújtó szolgáltatót -, amennyiben a felügyeleti szerv megállapítja, hogy a biztonság megsértésének vagy a sértetlenség megszűnésének a nyilvánosságra hozatala közérdeket szolgálna;
d) helyszíni ellenőrzéseket végezni és távoli felügyeletet ellátni;
e) előírni, hogy az európai digitális személyiadat-tárcákat nyújtó szolgáltatók az e rendeletben foglalt követelményeknek való megfelelés elmulasztása esetén orvosolják a helyzetet;
f) az európai digitális személyiadat-tárca jogellenes vagy csalárd használata esetén felfüggeszteni vagy törölni az igénybe vevő felek nyilvántartásba vételét és az 5b. cikk (7) bekezdésében említett mechanizmusban való részvételét;
g) együttműködni az (EU) 2016/679 rendelet 51. cikke alapján létrehozott illetékes felügyeleti hatóságokkal, különösen azáltal, hogy indokolatlan késedelem nélkül tájékoztatják őket egyrészt arról, ha vélhetően megsértették a személyes adatok védelmére vonatkozó szabályokat, másrészt pedig a biztonság vélhetően adatvédelmi incidensnek minősülő megsértéséről.
(5) Amennyiben az (1) bekezdés szerint kijelölt felügyeleti szerv előírja az európai digitális személyiadat-tárcát nyújtó szolgáltató számára, hogy a (4) bekezdés e) pontjával összhangban orvosolja az e rendeletben foglalt követelményeknek való megfelelés elmulasztását, és a szolgáltató - adott esetben az említett felügyeleti szerv által meghatározott határidőn belül - ezt nem teljesíti, az (1) bekezdés szerint kijelölt felügyeleti szerv - figyelembe véve különösen a mulasztás mértékét, időtartamát és következményeit - kötelezheti a szolgáltatót az európai digitális személyiadat-tárca nyújtásának felfüggesztésére vagy megszüntetésére. A felügyeleti szervnek indokolatlan késedelem nélkül értesíteniük kell a többi tagállam felügyeleti szerveit, a Bizottságot, az igénybe vevő feleket és az európai digitális személyiadat-tárca felhasználóit az európai digitális személyiadat-tárca nyújtásának felfüggesztését vagy megszüntetését elrendelő határozatról.
(6) Minden évben március 31-ig az (1) bekezdés szerint kijelölt felügyeleti szervek mindegyikének be kell nyújtania a Bizottság részére egy, az előző naptári évben végzett főbb tevékenységeiről szóló jelentést. A Bizottság ezeket az éves jelentéseket az Európai Parlament és a Tanács rendelkezésére bocsátja.
(7) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján meghatározza az e cikk (6) bekezdésében említett jelentés formátumait és a kapcsolódó eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
46b. cikk
A bizalmi szolgáltatások felügyelete
(1) A tagállamok kijelölnek egy, a területükön letelepedett felügyeleti szervet vagy egy másik tagállammal kötött kölcsönös megállapodás alapján kijelölnek egy, e másik tagállamban letelepedett felügyeleti szervet. E felügyeleti szerv felelős a felügyeleti feladatoknak a bizalmi szolgáltatások tekintetében a kijelölő tagállamban való ellátásáért.
Az első albekezdés szerint kijelölt felügyeleti szerveknek rendelkezniük kell a feladataik ellátásához szükséges hatáskörökkel és megfelelő erőforrásokkal.
(2) A tagállamok bejelentik a Bizottságnak az (1) bekezdés szerint kijelölt felügyeleti szerveik nevét és címét, valamint ezek későbbi változásait. A Bizottság közzéteszi a bejelentett felügyeleti szervek jegyzékét.
(3) Az (1) bekezdés szerint kijelölt felügyeleti szervek szerepe a következő:
a) ellátni a kijelölő tagállam területén letelepedett minősített bizalmi szolgáltatók felügyeletét, és előzetes és utólagos felügyeleti tevékenységek révén biztosítani, hogy e minősített bizalmi szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfeleljenek az e rendeletben megállapított követelményeknek;
b) szükség esetén, utólagos felügyeleti tevékenységek révén intézkedést hozni a kijelölő tagállam területén letelepedett nem minősített bizalmi szolgáltatókkal szemben, amennyiben arról értesülnek, hogy e nem minősített bizalmi szolgáltatók vagy az általuk nyújtott bizalmi szolgáltatások vélhetően nem felelnek meg az e rendeletben megállapított követelményeknek.
(4) Az (1) bekezdés szerint kijelölt felügyeleti szerv feladatai különösen a következők:
a) tájékoztatni az érintett tagállamoknak az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott érintett illetékes hatóságait a biztonság olyan jelentős megsértéséről vagy a sértetlenség olyan megszűnéséről, amelyről feladatai ellátása során tudomást szerez, valamint a biztonság más tagállamokat érintő, jelentős megsértése vagy a sértetlenség más tagállamokat érintő megszűnése esetén tájékoztatni az érintett tagállamnak az (EU) 2022/2555 irányelv 8. cikkének (3) bekezdése szerint kijelölt vagy létrehozott egyedüli kapcsolattartó pontját, valamint a többi érintett tagállamnak az e rendelet 46c. cikkének (1) bekezdése szerint kijelölt egyedüli kapcsolattartó pontját, továbbá tájékoztatni a nyilvánosságot - vagy erre kötelezni a bizalmi szolgáltatót -, amennyiben a felügyeleti szerv megállapítja, hogy a biztonság megsértésének vagy a sértetlenség megszűnésének a nyilvánosságra hozatala közérdeket szolgálna;
b) együttműködni más felügyeleti szervekkel, és a 46c. és 46e. cikkel összhangban segítséget nyújtani e szerveknek;
c) elemezni a 20. cikk (1) bekezdésében és a 21. cikk (1) bekezdésében említett megfelelőségértékelési jelentéseket;
d) e cikk (6) bekezdésével összhangban jelentést tenni a Bizottság részére a főbb tevékenységeiről;
e) a 20. cikk (2) bekezdésével összhangban ellenőrzéseket végezni, vagy felkérni egy megfelelőségértékelő szervezetet a minősített bizalmi szolgáltatókra vonatkozó megfelelőségértékelés elvégzésére;
f) együttműködni az (EU) 2016/679 rendelet 51. cikke alapján létrehozott illetékes felügyeleti hatóságokkal, különösen azáltal, hogy indokolatlan késedelem nélkül tájékoztatja őket egyrészt arról, ha vélhetően megsértették a személyes adatok védelmére vonatkozó szabályokat, másrészt pedig a biztonság vélhetően adatvédelmi incidensnek minősülő megsértéséről;
g) a 20. és a 21. cikkel összhangban megadni a minősített státust a bizalmi szolgáltatóknak és az általuk nyújtott szolgáltatásoknak, valamint visszavonni tőlük e státust;
h) tájékoztatni a 22. cikk (3) bekezdésében említett, a tagállami bizalmi listáért felelős szervet a minősített státus megadására és visszavonására vonatkozó határozatairól, amennyiben ez a szerv egyben nem maga az e cikk (1) bekezdése szerint kijelölt felügyeleti szerv;
i) ellenőrizni a szolgáltatás megszüntetésére vonatkozó terv meglétét, valamint a tervre vonatkozó rendelkezések helyes alkalmazását olyan esetekben, amikor valamely minősített bizalmi szolgáltató meg kívánja szüntetni a tevékenységét, beleértve annak ellenőrzését is, hogy az információ milyen módon lesz továbbra is hozzáférhető a 24. cikk (2) bekezdésének h) pontjával összhangban;
j) előírni, hogy a bizalmi szolgáltatók az e rendeletben foglalt követelményeknek való megfelelés elmulasztása esetén orvosolják a helyzetet;
k) megvizsgálni a webböngésző-szolgáltatók által a 45a. cikk alapján benyújtott kérelmeket és szükség esetén intézkedést hozni.
(5) A tagállamok előírhatják, hogy az (1) bekezdés szerint kijelölt felügyeleti szerv a tagállami joggal összhangban hozzon létre egy bizalmi infrastruktúrát, azt tartsa fenn és tegye naprakésszé.
(6) Minden évben március 31-ig az (1) bekezdés szerint kijelölt felügyeleti szervek mindegyikének be kell nyújtania a Bizottság részére egy, az előző naptári évben végzett főbb tevékenységeiről szóló jelentést. A Bizottság ezeket az éves jelentéseket az Európai Parlament és a Tanács rendelkezésére bocsátja.
(7) 2025. május 21-ig a Bizottság iránymutatásokat fogad el az e cikk (4) bekezdésében említett feladatoknak az e cikk (1) bekezdése szerint kijelölt felügyeleti szervek általi ellátására vonatkozóan, valamint végrehajtási jogi aktusok útján meghatározza az e cikk (6) bekezdésében említett jelentés formátumait és a kapcsolódó eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
46c. cikk
Egyedüli kapcsolattartó pontok
(1) Minden tagállam kijelöl egy egyedüli kapcsolattartó pontot a bizalmi szolgáltatások, az európai digitális személyiadat-tárcák és a bejelentett elektronikus azonosítási rendszerek tekintetében.
(2) Minden egyedüli kapcsolattartó pont összekötő feladatot lát el abból a célból, hogy elősegítése a bizalmi szolgáltatók felügyeleti hatóságai közötti és az európai digitális személyiadat-tárcákat nyújtó szolgáltatók felügyeleti hatóságai közötti, továbbá - adott esetben - a Bizottsággal és az Európai Uniós Kiberbiztonsági Ügynökséggel (ENISA), valamint az adott tagállamban működő egyéb illetékes hatóságokkal történő, határokon átnyúló együttműködést.
(3) Minden tagállam nyilvánosságra hozza az (1) bekezdés szerint kijelölt egyedüli kapcsolattartó pont nevét és címét, valamint ezek későbbi változásait, és indokolatlan késedelem nélkül bejelenti azokat a Bizottságnak.
(4) A Bizottság közzéteszi a (3) bekezdéssel összhangban bejelentett egyedüli kapcsolattartó pontjok jegyzékét.
46d. cikk
Kölcsönös segítségnyújtás
(1) Az e rendelet szerinti kötelezettségekre vonatkozó felügyeletnek és e kötelezettségek betartatásának a megköny- nyítése érdekében a bizalmi szolgáltatásokért felelős, a 46a. cikk (1) bekezdése és a 46b. cikk (1) bekezdése szerint kijelölt felügyeleti szervek - többek között a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoporton keresztül - kölcsönös segítségnyújtást kérhetnek egy olyan másik tagállam felügyeleti szerveitől, amelyben az európai digitális személyiadat-tárcát nyújtó szolgáltató vagy a bizalmi szolgáltató letelepedett, vagy amelyben a hálózati és információs rendszerei találhatók, vagy ahol az a szolgáltatásait nyújtja.
(2) A kölcsönös segítségnyújtásnak legalább a következőket kell magában foglalnia:
a) az egyik tagállamban felügyeleti és jogérvényesítési intézkedéseket alkalmazó felügyeleti szerv tájékoztatja a másik érintett tagállam felügyeleti szervét, és konzultál vele;
b) a felügyeleti szerv felkérheti egy másik érintett tagállam felügyeleti szervét felügyeleti vagy jogérvényesítési intézkedések meghozatalára, ideértve például az aziránti megkereséseket, hogy a megkeresett felügyeleti szerv a 20. és 21. cikkel összhangban a megfelelőségértékelési jelentésekkel kapcsolatos vizsgálatokat végezzen a bizalmi szolgáltatások nyújtása tekintetében;
c) a felügyeleti szervek adott esetben közös vizsgálatokat folytathatnak más tagállamok felügyeleti szerveivel.
Az első albekezdés szerinti közös intézkedésekre vonatkozó részletes szabályokat és eljárásokat az érintett tagállamok állapítják meg és hagyják jóvá a saját nemzeti joguknak megfelelően.
(3) A segítségnyújtás iránti megkeresés teljesítését a megkeresett felügyeleti szerv bármely alábbi indokkal megtagadhatja:
a) a kért segítség nem arányos a felügyeleti szervnek a 46a. és 46b. cikkel összhangban végzett felügyeleti tevékenységeivel;
b) a felügyeleti szerv nem illetékes a kért segítség megadására;
c) a kért segítség megadása nem lenne összeegyeztethető e rendelettel.
(4) 2025. május 21-ig, majd azt követően kétévente a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoport iránymutatást ad ki az e cikk (1) és (2) bekezdésében említett kölcsönös segítségnyújtás szervezeti szempontjairól és eljárásairól.
46e. cikk
Az európai digitális személyazonossággal foglalkozó együttműködési csoport
(1) A bizalmi szolgáltatásokkal, az európai digitális személyiadat-tárcákkal és a bejelentett elektronikus azonosítási rendszerekkel kapcsolatos, határokon átnyúló tagállami együttműködés és információcsere támogatása és megköny- nyítése érdekében a Bizottság létrehozza az európai digitális személyazonossággal foglalkozó együttműködési csoportot (a továbbiakban: az együttműködési csoport).
(2) Az együttműködési csoport a tagállamok és a Bizottság által kijelölt képviselőkből áll. Az együttműködési csoport elnöki tisztét a Bizottság tölti be. A Bizottság egyúttal az együttműködési csoport titkárságát is biztosítja.
(3) Az érdekelt felek képviselői eseti alapon meghívást kaphatnak az együttműködési csoport üléseire és megfigyelőként részt vehetnek annak munkájában.
(4) Az ENISA-t fel kell kérni arra, hogy megfigyelőként részt vegyen az együttműködési csoport munkájában, amikor a csoport véleményt, legjobb gyakorlatokat és információkat cserél a releváns kiberbiztonsági szempontokkal - például a biztonság megsértésének bejelentésével - kapcsolatban, vagy amikor a kiberbiztonsági tanúsítványok vagy szabványok alkalmazásával foglalkoznak.
(5) Az együttműködési csoport a következő feladatokat látja el:
a) véleményt cserél és együttműködik a Bizottsággal a digitális személyiadat-tárcák, az elektronikus azonosító eszközök és a bizalmi szolgáltatások területén felmerülő szakpolitikai kezdeményezésekkel kapcsolatban;
b) adott esetben tanácsot ad a Bizottság részére az e rendelet alapján elfogadandó végrehajtási jogi aktusok és felhatalmazáson alapuló jogi aktusok tervezete kidolgozásának korai szakaszában;
c) annak érdekében, hogy támogassa a felügyeleti szerveket e rendelet rendelkezéseinek végrehajtásában:
i. legjobb gyakorlatokat és információkat cserél e rendelet rendelkezéseinek végrehajtásával kapcsolatban;
ii. értékeli a digitális személyiadat-tárcák, az elektronikus azonosítás és a bizalmi szolgáltatások ágazatában bekövetkezett fejleményeket;
iii. közös üléseket szervez az Unió egész területéről részt vevő érdekelt felekkel az általa végzett tevékenységek megvitatása, valamint a felmerülő szakpolitikai kihívásokkal kapcsolatos információgyűjtés céljából;
iv. az ENISA támogatásával véleményt, legjobb gyakorlatokat és információkat cserél az európai digitális személyiadat-tárcákkal, az elektronikus azonosítási rendszerekkel és a bizalmi szolgáltatásokkal kapcsolatos releváns kiberbiztonsági szempontokról;
v. legjobb gyakorlatokat cserél a biztonság megsértésének bejelentésére vonatkozó szabályok, valamint az 5e. és a 10. cikkben említett közös intézkedések kidolgozása és végrehajtása tekintetében;
vi. közös üléseket szervez az (EU) 2022/2555 irányelv 14. cikkének (1) bekezdése alapján létrehozott Kiberbiztonsági Együttműködési Csoporttal abból a célból, hogy megosszák egymással a bizalmi szolgáltatásokkal és az elektronikus azonosítással kapcsolatos kiberfenyegetésekre, biztonsági eseményekre, sebezhetőségekre, tájékoztatási kezdeményezésekre, képzésekre, gyakorlatokra és készségekre, kapacitásépítésre, valamint szabványokra és technikai specifikációkra vonatkozó releváns információkat;
vii. valamely felügyeleti szerv kérésére megvitat konkrét, kölcsönös segítségnyújtás iránti, a 46d. cikk szerinti megkereséseket;
viii. elősegíti a felügyeleti szervek közötti információcserét azáltal, hogy iránymutatást nyújt a 46d. cikkben említett kölcsönös segítségnyújtás szervezeti szempontjaira és eljárásaira vonatkozóan;
d) partneri felülvizsgálatokat szervez az e rendelet hatálya alá tartozó, bejelentendő elektronikus azonosítási rendszerekre vonatkozóan.
(6) A tagállamok biztosítják, hogy kijelölt képviselőik eredményesen és hatékonyan működjenek együtt az együttműködési csoportban.
(7) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján meghatározza a tagállamok közötti, e cikk (5) bekezdésének d) pontja szerinti együttműködés megkönnyítéséhez szükséges eljárási szabályokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.”
48. A 47. cikk a következőképpen módosul:
a) a (2) és (3) bekezdés helyébe a következő szöveg lép:
„(2) A Bizottságnak az 5c. cikk (7) bekezdésében, a 24. cikk (4b) bekezdésében és a 30. cikk (4) bekezdésében említett, felhatalmazáson alapuló jogi aktus elfogadására vonatkozó felhatalmazása határozatlan időre szól 2014. szeptember 17-től kezdődő hatállyal.
(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja az 5c. cikk (7) bekezdésében, a 24. cikk (4b) bekezdésében és a 30. cikk (4) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.”;
b) az (5) bekezdés helyébe a következő szöveg lép:
„(5) Az 5c. cikk (7) bekezdése, a 24. cikk (4b) bekezdése vagy a 30. cikk (4) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam két hónappal meghosszabbodik.”
49. A VI. fejezet a következő cikkel egészül ki:
„48a. cikk
Jelentéstételi követelmények
(1) A tagállamok biztosítják a területükön nyújtott európai digitális személyiadat-tárcák és minősített bizalmi szolgáltatások működésével kapcsolatos statisztikák gyűjtését.
(2) Az (1) bekezdésnek megfelelően gyűjtött statisztikáknak a következőket kell tartalmazniuk:
a) az érvényes európai digitális személyiadat-tárcával rendelkező természetes és jogi személyek száma;
b) az európai digitális személyiadat-tárca használatát elfogadó szolgáltatások típusa és száma;
c) az igénybe vevő felekkel és a minősített bizalmi szolgáltatásokkal kapcsolatos felhasználói panaszok, valamint fogyasztóvédelmi vagy adatvédelmi incidensek száma;
d) az európai digitális személyiadat-tárca használatát megakadályozó eseményekre vonatkozó adatokat is tartalmazó összefoglaló jelentés;
e) összefoglaló a jelentős biztonsági eseményekről, adatvédelmi incidensekről, valamint az európai digitális személyiadat-tárcák vagy minősített bizalmi szolgáltatások érintett felhasználóiról.
(3) A (2) bekezdésben említett statisztikákat nyílt és széles körben használt, géppel olvasható formátumban elérhetővé kell tenni a nyilvánosság számára.
(4) A tagállamok minden év március 31-ig benyújtanak a Bizottságnak egy, a (2) bekezdéssel összhangban gyűjtött statisztikákról szóló jelentést.”
50. A 49. cikk helyébe a következő szöveg lép:
„49. cikk
Felülvizsgálat
(1) A Bizottság 2026. május 21-ig felülvizsgálja e rendelet alkalmazását, és jelentést tesz az Európai Parlamentnek és a Tanácsnak. Ebben a jelentésben a Bizottság különösen azt vizsgálja meg, hogy helyénvaló-e e rendelet hatályának, illetve bizonyos rendelkezéseinek - többek között különösen az 5c. cikk (5) bekezdésében foglalt rendelkezéseknek - a módosítása, figyelemmel az e rendelet alkalmazása során szerzett tapasztalatokra és a technológiai, piaci és jogi fejleményekre. Ezen jelentéshez szükség esetén az e rendeletre vonatkozó módosítási javaslatot kell mellékelni.
(2) Az (1) bekezdésben említett jelentésnek tartalmaznia kell az e rendelet hatálya alá tartozó bejelentett elektronikus azonosító eszközök és európai digitális személyiadat-tárcák elérhetőségének, biztonságosságának és használhatóságának értékelését, valamint annak értékelését, hogy a felhasználóhitelesítés céljából harmadik féltől származó elektronikus azonosítási szolgáltatásokat igénybe vevő valamennyi online magánszolgáltatót kötelezni kell-e arra, hogy elfogadja a bejelentett elektronikus azonosító eszközök és az európai digitális személyiadat-tárcák használatát.
(3) Ezenkívül a Bizottság 2030. május 21-ig és azt követően négyévente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak az e rendelet céljainak megvalósítása terén elért eredményekről.”
51. Az 51. cikk helyébe a következő szöveg lép:
„51. cikk
Átmeneti intézkedések
(1) Azokat a biztonságos elektronikus aláírást létrehozó eszközöket, amelyek megfelelőségét az 1999/93/EK irányelv 3. cikkének (4) bekezdésével összhangban állapították meg, e rendelet értelmében 2027. május 21-ig továbbra is minősített elektronikus aláírást létrehozó eszköznek kell tekinteni.
(2) Az 1999/93/EK irányelv alapján természetes személyek számára kibocsátott minősített tanúsítványokat 2026. május 21-ig továbbra is elektronikus aláírások e rendelet szerinti minősített tanúsítványának kell tekinteni.
(3) A távoli minősített elektronikus aláírást és bélyegzőt létrehozó eszközök olyan minősített bizalmi szolgáltatók általi kezelése, amelyek nem olyan minősített bizalmi szolgáltatók, amelyek távoli minősített elektronikus aláírást és bélyegzőt létrehozó eszközöknek a 29a. és 39a. cikkel összhangban történő kezelése céljából nyújtanak minősített bizalmi szolgáltatásokat, 2026. május 21-ig végezhető, anélkül, hogy meg kellene szerezni a minősített státust ezen kezelési szolgáltatások nyújtásához.
(4) Azoknak a minősített bizalmi szolgáltatóknak, amelyeknek e rendelet alapján 2024. május 20. előtt ítélték oda a minősített státust, a lehető leghamarabb, de minden esetben 2026. május 21-ig olyan megfelelőségértékelési jelentést kell benyújtaniuk a felügyeleti szervnek, amely jelentés igazolja a 24. cikk (1), (1a) és (1b) bekezdésének való megfelelést.”
52. Az I-IV. melléklet e rendelet I-IV. mellékletének megfelelően módosul.
53. A szöveg kiegészül az e rendelet V., VI. és VII. mellékletében foglalt új V., VI. és VII. melléklettel.
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet teljes egészében kötelező, és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2024. április 11-én.
az Európai Parlament részéről | a Tanács részéről | |
az elnök | az elnök | |
R. METSOLA | H. LAHBIB |
A 910/2014/EU rendelet I. mellékletében az i) pont helyébe a következő szöveg lép:
„i) információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető;”
A 910/2014/EU rendelet II. mellékletének 3. és 4. pontját el kell hagyni.
A 910/2014/EU rendelet III. mellékletében az i) pont helyébe a következő szöveg lép:
„i) információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető;”
A 910/2014/EU rendelet IV. melléklete a következőképpen módosul:
1. A c) pont helyébe a következő szöveg lép:
„c) természetes személyek esetében legalább annak a személynek a neve, aki számára a tanúsítványt kibocsátották, vagy egy álnév; álnév használata esetén ezt egyértelműen jelezni kell;
ca) jogi személy esetében az azon jogi személyt egyértelműen azonosító egyedi adatok, amely számára a tanúsítványt kibocsátották; ezen adatok között szerepelnie kell legalább azon jogi személy hivatalos nyilvántartásban szereplő megnevezését és - adott esetben - nyilvántartási számát, amely számára a tanúsítványt kibocsátották;”
2. A j) pont helyébe a következő szöveg lép:
„j) információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a tanúsítvány érvényességi állapotával kapcsolatos szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető.”
„V. MELLÉKLET
A MINŐSÍTETT ELEKTRONIKUS ATTRIBÚTUMTANÚSÍTVÁNYRA VONATKOZÓ KÖVETELMÉNYEK
A minősített elektronikus attribútumtanúsítványnak a következőket kell tartalmaznia:
a) legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt minősített elektronikus attribútumtanúsítványként bocsátották ki;
b) a minősített elektronikus attribútumtanúsítványt kibocsátó minősített bizalmi szolgáltatót egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett szolgáltató letelepedett, valamint:
i. jogi személy esetében a hivatalos nyilvántartásban szereplő megnevezés és adott esetben nyilvántartási szám;
ii. természetes személy esetében a személy neve;
c) az azon szervezetet egyértelműen azonosító adatok, amelyre a tanúsított attribútumok vonatkoznak; álnév használata esetén ezt egyértelműen jelezni kell;
d) a tanúsított attribútum vagy attribútumok, beleértve adott esetben az említett attribútumok alkalmazási körének meghatározásához szükséges információkat;
e) a tanúsítvány érvényességi idejének kezdete és vége;
f) a tanúsítvány azonosító kódja, amelynek a minősített bizalmi szolgáltatóhoz tartozó egyedi kódnak kell lennie, továbbá adott esetben annak a tanúsítási rendszernek a megjelölése, amelynek az attribútumtanúsítvány a részét képezi;
g) a tanúsítványt kibocsátó minősített bizalmi szolgáltató minősített elektronikus aláírása vagy minősített elektronikus bélyegzője;
h) az a helyszín, ahol a g) pontban említett, a minősített elektronikus aláírásra vagy minősített elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen elérhető;
i) információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető.”
„VI. MELLÉKLET
AZ ATTRIBÚTUMOK MINIMÁLIS KÖRÉNEK LISTÁJA
A 45e. cikkel összhangban a tagállamok biztosítják olyan intézkedések meghozatalát, amelyek lehetővé teszik az elektronikus attribútumtanúsítványok minősített bizalmi szolgáltatói számára, hogy a felhasználó kérésére elektronikus úton ellenőrizhessék a következő attribútumok hitelességét a nemzeti szintű, releváns hiteles forrás alapján vagy az uniós vagy a nemzeti joggal összhangban nemzeti szinten elismert, kijelölt köztes szereplőkön keresztül, amennyiben ezek az attribútumok a közszférán belüli hiteles forrásokra támaszkodnak:
1. cím;
2. életkor;
3. nem;
4. családi állapot;
5. családösszetétel;
6. nemzetiség vagy állampolgárság;
7. iskolai végzettségek, címek és engedélyek;
8. szakmai képesítések, címek és engedélyek;
9. természetes vagy jogi személyek képviseletére vonatkozó meghatalmazások és megbízások;
10. nyilvános engedélyek;
11. jogi személyek esetében pénzügyi és vállalati adatok.”
„VII. MELLÉKLET
A HITELES FORRÁSÉRT FELELŐS KÖZIGAZGATÁSI SZERV ÁLTAL VAGY NEVÉBEN KIBOCSÁTOTT ELEKTRONIKUS ATTRIBÚTUMTANÚSÍTVÁNYOKRA VONATKOZÓ KÖVETELMÉNYEK
A hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványnak az alábbiakat kell tartalmaznia:
a) annak jelzése - legalább automatizált feldolgozásra alkalmas formában -, hogy a tanúsítványt valamely hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványként adták ki;
b) az elektronikus attribútumtanúsítványt kibocsátó közigazgatási szervet egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett közigazgatási szerv letelepedett, valamint a közigazgatási szervnek a hivatalos nyilvántartásban szereplő megnevezését és adott esetben nyilvántartási számát;
c) az azon szervezetet egyértelműen azonosító adatok, amelyre a tanúsított attribútumok vonatkoznak; álnév használata esetén ezt egyértelműen jelezni kell;
d) a tanúsított attribútum vagy attribútumok, beleértve adott esetben az említett attribútumok alkalmazási körének meghatározásához szükséges információkat;
e) a tanúsítvány érvényességi idejének kezdete és vége;
f) a tanúsítvány azonosító kódja, amelynek a kibocsátó közigazgatási szervhez tartozó egyedi kódnak kell lennie, és adott esetben annak a tanúsítási rendszernek a megjelölése, amelynek az attribútumtanúsítvány a részét képezi;
g) a kibocsátó szerv minősített elektronikus aláírása vagy minősített elektronikus bélyegzője;
h) az a helyszín, ahol a g) pontban említett, a minősített elektronikus aláírásra vagy minősített elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen elérhető;
i) információ a tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető.”