„A Tanács elfogadta az európai digitális személyazonossági keretre vonatkozó javasolt jogszabállyal kapcsolatos közös álláspontját („általános megközelítés”). A felülvizsgált rendelettel a jogalkotó célja az, hogy egyetemes hozzáférést biztosítson a személyek és a vállalkozások számára a biztonságos és megbízható elektronikus azonosításhoz és hitelesítéshez, mindezt egy mobiltelefonon tárolt digitális személyiadat-tárcán keresztül.
A digitális technológiák jelentősen megkönnyíthetik az életünket. Meggyőződésem, hogy az európai digitális személyiadat-tárca elengedhetetlen eszközt jelent polgáraink és vállalkozásaink számára. Láthatjuk, milyen nagymérvű fejlődés ment végbe a tekintetben, ahogyan az emberek a közintézményekkel és a magánjogi szervezetekkel fenntartott mindennapi kapcsolataikban a személyazonosságukat és az ahhoz kapcsolódó hitelesítő adatokat használják, illetve azon a téren is, ahogyan a digitális szolgáltatásokat igénybe veszik. Mindezt úgy, hogy közben az adataik felett is szigorú ellenőrzést gyakorolnak. – Ivan Bartos, a Cseh Köztársaság digitalizációért felelős miniszterelnök-helyettese és regionális fejlesztési minisztere
A Bizottság 2021 júniusában javaslatot tett a digitális személyazonosság olyan európai keretére, amely egy európai digitális személyiadat-tárcán keresztül minden uniós polgár, lakos és vállalkozás számára elérhető lenne.
A javasolt új keret a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló 2014-es rendeletet (eIDAS-rendelet) módosítja. Az eIDAS-rendelet lefektette egy olyan rendszer alapjait, amelyben biztonságosan lehet online közszolgáltatásokat igénybe venni és tranzakciókat lebonyolítani az EU tagállamai között.
A Bizottság a javaslatban előírja a tagállamok számára, hogy az európai digitális személyiadat-tárcákat bejelentett elektronikus azonosítási rendszer keretében, közös műszaki szabványok alapján és a kötelező tanúsítást követően bocsássák ki. A szükséges műszaki architektúra kialakítása, a felülvizsgált rendelet végrehajtásának felgyorsítása, a tagállamok számára iránymutatások nyújtása és a széttöredezettség elkerülése érdekében a javaslatot egy olyan uniós eszköztár kidolgozására irányuló ajánlás kísérte, amely meghatározza a tárcára vonatkozó műszaki előírásokat.
Az európai digitális személyiadat-tárca
A javaslat egyik fő szakpolitikai célkitűzése, hogy az európai digitális személyiadat-tárca elképzelésén alapuló, harmonizált európai digitális azonosító eszközöket biztosítson a nemzeti jog által meghatározott polgárok és más lakosok számára.
Az európai digitális személyiadat-tárca – a nemzeti rendszerek keretében kibocsátott, „magas” biztonsági szintű elektronikus azonosító eszközként – olyan önálló elektronikus azonosító eszköz lenne, amely a személyazonosító adatok és a tárca tagállamok általi kibocsátásán alapul. A Tanács általános megközelítésének szövege ezért továbbfejleszti a tárca koncepcióját és annak a tagállami elektronikus azonosító eszközökkel való kapcsolatát.
Biztonsági szintek
A biztonsági szinteknek az elektronikus azonosító eszközök megbízhatósági szintjét kell jellemezniük, ezáltal biztosítékot nyújtva arra, hogy egy bizonyos személyazonosságot sajátjának mondó személy ténylegesen az, akihez az adott személyazonosságot hozzárendelték. E tekintetben a tárcát egy „magas” biztonsági szintű elektronikus azonosítási rendszer keretében kell kibocsátani.
Emellett a felülvizsgált rendelet kiegészül egy, a felhasználók tárcába való belépésére vonatkozó konkrét rendelkezéssel, amelynek célja, hogy kezelje azon tagállamok aggályait, amelyek már nagyszámú „jelentős” biztonsági szintű nemzeti elektronikus azonosító eszközt állítottak ki.
Az említett rendelkezés lehetővé teszi a felhasználók számára, hogy nemzeti elektronikus azonosító eszközeiket további távoli belépési eljárásokkal együtt használják annak érdekében, hogy lehetővé váljon a „magas” biztonsági szintű személyazonosság-ellenőrzés, végső soron pedig a tárca megszerzése.
Mivel az elektronikus azonosításról szóló rendelettervezet olyan kiberbiztonsági tanúsítási rendszerek igénybevételén alapul, amelyeknek harmonizálniuk kell a tárcák biztonságosságába vetett bizalom szintjét, a kiberbiztonsági tanúsítás várhatóan a kriptográfiai anyagok biztonságos tárolására is kiterjed majd.
A szöveg ezért egy olyan új preambulumbekezdést is tartalmaz, amely a „magas” biztonsági szint elérésének ezen technikai előfeltételeivel foglalkozik, és lehetővé teszi az európai digitális személyiadat-tárcák végrehajtásának nyomon követését.
Az igénybe vevő felek általi bejelentés
A javaslatnak az igénybe vevő felek általi bejelentésről szóló része átfogalmazásra került. Azon bejelentési eljárásnak, amelynek keretében az igénybe vevő fél közli azon szándékát, hogy igénybe kívánja venni a tárcát, főszabályként költséghatékonynak és a kockázatokkal arányosnak kell lennie, továbbá biztosítania kell, hogy az igénybe vevő fél legalább a tárcához szükséges hitelesítéshez megkívánt adatokat rendelkezésre bocsássa.
Alapértelmezés szerint kizárólag minimális szintű adatokra van szükség, és a bejelentés során lehetővé kell tenni automatizált vagy egyszerűsített önbevallási eljárások alkalmazását.
Ugyanakkor egyes ágazati követelmények – például a személyes adatok különleges kategóriáinak kezelésére alkalmazandó követelmények – egyedi szabályozást tehetnek szükségessé. Ezért bevezetésre került egy olyan rendelkezés, amelynek ki kell terjednie olyan esetekre is, amikor szigorúbb regisztrációs vagy engedélyezési eljárásra van szükség.
Ezzel szemben – amennyiben az uniós vagy a nemzeti jog nem ír elő konkrét követelményeket a tárca révén rendelkezésre bocsátott információkhoz való hozzáférés tekintetében – a tagállamok mentesíthetik az érintett igénybe vevő feleket azon kötelezettség alól, hogy bejelentsék a tárca igénybevételére irányuló szándékukat.
Tanúsítás
A rendeletnek ki kell aknáznia és igénybe kell vennie a kiberbiztonsági jogszabály szerinti releváns és meglévő tanúsítási rendszereket – vagy azok részeit –, valamint elő kell írnia ezek használatát annak tanúsítása céljából, hogy a tárcák vagy azok részei megfelelnek az alkalmazandó kiberbiztonsági követelményeknek.
Következésképpen a kiberbiztonsági jogszabály keretrendszere – és ezen belül a kiberbiztonsági jogszabályban előirányozott, a nemzeti kiberbiztonsági tanúsító hatóságok közötti kölcsönös felülvizsgálati mechanizmus – teljes körűen alkalmazandó.
Az elektronikus azonosításról szóló rendelet és a kiberbiztonsági jogszabály lehető legteljesebb mértékű összehangolása érdekében a tagállamok kijelölik azokat az állami és magánszerveket, amelyek a tárcának a kiberbiztonsági jogszabályban meghatározottak szerinti tanúsítására akkreditációval rendelkeznek.
A tárca rendelkezésre bocsátásának végrehajtási időszaka és a tárcához kapcsolódó díjak
A tagállamok iránymutatásai alapján a tanácsi szöveg azt a javaslatot tartalmazza, hogy a 24 hónapos végrehajtási időszak számítása a végrehajtási jogi aktusok elfogadásától induljon.
A szöveg azt is egyértelművé teszi, hogy a tárcák kibocsátásának, hitelesítésre való felhasználásának és visszavonásának ingyenesnek kell lennie a természetes személyek számára.
Amikor azonban a tárcákat hitelesítésre használják, a tárca használatára támaszkodó szolgáltatások igénybevétele – például az elektronikus attribútumtanúsítványok kibocsátása a tárca számára – költségekkel járhat.
Hozzáférés a hardver- és szoftverfunkciókhoz
A szöveg rendelkezik a hatályos jogszabályokhoz való kifejezett illeszkedésről, amely jogszabályok a kapuőrök által nyújtott alapvető platformszolgáltatások részeként biztosítják a hardver- és szoftverfunkciókhoz való hozzáférést.
Egy újonnan beillesztett rendelkezés egyértelművé teszi, hogy a tárcák szolgáltatói és a bejelentett elektronikus azonosító eszközök kereskedelmi vagy szakmai minőségben eljáró kibocsátói – a digitális piacokról szóló jogszabály vonatkozó fogalommeghatározása értelmében vett – kapuőrök üzleti felhasználói.
Beillesztésre került egy olyan szövegrész is, amely ismerteti a digitális piacokról szóló jogszabállyal fennálló kapcsolat hatásait, nevezetesen azt, hogy a kapuőrök számára elő kell írni, hogy díjmentesen biztosítsák a saját kiegészítő és támogató szolgáltatásaik és hardvereik nyújtása során rendelkezésre álló vagy használt operációs rendszerrel, hardver- vagy szoftverfunkciókkal való hatékony interoperabilitást és azokhoz az interoperabilitás céljából való hozzáférést.
Az elektronikus attribútumtanúsítványok állami szervek általi kibocsátásának alternatív lehetőségei
Továbbra is a szöveg részét képezi a minősített elektronikus attribútumtanúsítvány minősített szolgáltatók általi kibocsátása, beleértve a tagállamok azon kötelezettségét is, miszerint biztosítaniuk kell, hogy az attribútumok ellenőrizhetők legyenek a közszférán belüli hiteles forrás alapján.
Ezenfelül bevezetésre került annak lehetősége, hogy a minősített elektronikus attribútumtanúsítványokkal azonos joghatással bíró elektronikus attribútumtanúsítványt közvetlenül a hiteles forrásért felelős közigazgatási szerv vagy a hiteles forrásért felelős közigazgatási szerv nevében kijelölt közigazgatási szerv bocsássa ki a tárca számára, amennyiben az ehhez szükséges követelmények teljesülnek.
Az adatrekordok megfeleltetése
Az adatrekordok megfeleltetése tekintetében megtartották a tárcákhoz tartozó egyedi és tartós azonosítókra vonatkozó elképzelést. A vonatkozó fogalommeghatározás egyértelművé teszi, hogy az azonosító több nemzeti vagy ágazati azonosító kombinációjából is állhat, amennyiben megfelel céljának.
A szöveg kifejezetten utal arra, hogy a minősített elektronikus attribútumtanúsítvány megkönnyítheti az adatrekordok megfeleltetését. Ezenfelül egy olyan, a védelmet célzó rendelkezés is beillesztésre került, amelynek értelmében a tagállamoknak biztosítaniuk kell a személyes adatok védelmét és meg kell akadályozniuk a felhasználókról való profilalkotást. Végezetül a tagállamoknak – igénybe vevő felekként – biztosítaniuk kell az adatrekordok megfeleltetését.
További lépések
Az általános megközelítés elfogadása lehetővé teszi a Tanács számára, hogy tárgyalásokat (háromoldalú egyeztetéseket) kezdjen az Európai Parlamenttel – amint az elfogadja a saját álláspontját – annak érdekében, hogy megállapodás szülessen a javasolt rendeletről.
Forrás:
Európai digitális személyazonosság: a Tanács előrelépést tett az uniós digitális személyiadat-tárcák bevezetése felé, amelyek paradigmaváltást hoznak az európai digitális személyazonosság terén; Európai Unió Tanácsa; 2022. december 6.
