Член 5а

Европейски портфейли за цифрова самоличност

1. С цел да се гарантира, че всички физически и юридически лица в Съюза имат сигурен, надежден и безпрепятствен трансграничен достъп до обществени и частни услуги, като същевременно имат пълен контрол върху своите данни, всяка държава членка предоставя поне един европейски портфейл за цифрова самоличност в срок от 24 месеца от датата на влизане в сила на актовете за изпълнение, посочени в параграф 23 от настоящия член и в член 5в, параграф 6.

2. Европейските портфейли за цифрова самоличност се предоставят по един от следните начини:

a) пряко от държава членка;

б) съгласно мандат, възложен от държава членка;

в) независимо от държава членка, но признати от тази държава членка.

3. Изходният код на приложните софтуерни компоненти на европейските портфейли за цифрова самоличност е с лиценз за отворен код. Държавите членки могат да предвидят, че по надлежно обосновани причини изходният код на специфични компоненти, различни от тези, инсталирани на потребителски устройства, не се оповестява.

4. Европейските портфейли за цифрова самоличност дават възможност на ползвателя, по лесен за ползване, прозрачен и проследим от ползвателя начин:

a) да изисква, получава, избира, комбинира, съхранява, заличава, споделя и представя, по сигурен начин и единствено под свой контрол, данни за идентификация на лице и, когато е приложимо, в комбинация с електронни удостоверения за атрибути, за удостоверяване на автентичността на доверяващите се страни онлайн и, когато е целесъобразно, в офлайн режим, с цел достъп до обществени и частни услуги, като същевременно се гарантира, че е възможно избирателно разкриване на данни;

б) да генерира псевдоними и да ги съхранява криптирани и локално в рамките на европейския портфейл за цифрова самоличност;

в) да удостоверява надеждно автентичността на европейския портфейл за цифрова самоличност на друго лице и да получава и споделя данни за идентификация на лице и електронни удостоверения за атрибути по сигурен начин между двата европейски портфейла за цифрова самоличност;

г) да осъществява достъп до регистър за всички трансакции, извършени чрез европейския портфейл за цифрова самоличност, чрез общо табло за управление, което дава възможност на ползвателя:

i) да преглежда актуалния списък на доверяващите се страни, с които ползвателят е установил връзка, и, когато е приложимо — на всички обменяни данни;

ii) да иска без затруднения изтриването от доверяваща се страна на лични данни съгласно член 17 от Регламент (ЕС) 2016/679;

iii)

да сигнализира без затруднения на компетентния национален орган за защита на данните, когато е получено предполагаемо незаконно или подозрително искане за данни;

д) да се подписва с помощта на квалифицирани електронни подписи или да полага печат с помощта на квалифицирани електронни печати;

е) да изтегля, доколкото това е технически възможно, данните на ползвателя, електронното удостоверение за атрибути и конфигурации;

ж) да упражнява правата на ползвателя за преносимост на данните.

5. По-конкретно, европейските портфейли за цифрова самоличност:

a) поддържат общи протоколи и интерфейси:

i) за издаването на данни за идентификация на лице, квалифицирани и неквалифицирани електронни удостоверения за атрибути или квалифицирани и неквалифицирани удостоверения за европейския портфейл за цифрова самоличност;

ii) за да могат доверяващите се страни да изискват и валидират данни за идентификация на лице и електронни удостоверения за атрибути;

iii)

за споделяне и представяне на доверяващите се страни на данни за идентификация на лице, електронно удостоверение за атрибути или за селективно разкриване на свързани с това данни онлайн и, когато е целесъобразно, в офлайн режим;

iv) за да може ползвателят да взаимодейства с европейския портфейл за цифрова самоличност и да представя марка за доверие на ЕС за портфейл за цифрова самоличност;

v) за да интегрират ползвателя по сигурен начин чрез средства за електронна идентификация в съответствие с член 5а, параграф 24;

vi) за взаимодействие между европейските портфейли за цифрова самоличност на две лица за целите на получаването, валидирането и споделянето на данни за идентификация на лице и електронни удостоверения за атрибути по сигурен начин;

vii)

за удостоверяване на автентичността и идентификация на доверяващите се страни чрез прилагане на механизми за удостоверяване на автентичността в съответствие с член 5б;

viii)

за да могат доверяващите се страни да проверяват автентичността и валидността на европейските портфейли за цифрова самоличност;

ix) за отправяне на искане към доверяваща се страна да изтрие лични данни съгласно член 17 от Регламент (ЕС) 2016/679;

x) за отправяне на сигнал относно доверяваща се страна до компетентния национален орган за защита на данните, когато е получено предполагаемо незаконно или подозрително искане за данни;

xi) за създаване на квалифицирани електронни подписи или електронни печати чрез устройства за създаване на квалифициран електронен подпис или електронен печат;

б) не предоставят на доставчиците на удостоверителни услуги, издаващи електронни удостоверения за атрибути, информация относно използването на тези електронни удостоверения;

в) гарантират, удостоверяване на автентичността и идентификация на доверяващите се страни чрез въвеждането на механизми за удостоверяване на автентичността в съответствие с член 5б;

г) отговарят на изискванията, посочени в член 8, по отношение на нивото на осигуреност „високо“, по-специално по отношение на изискванията за доказване и проверка на самоличността и управление и удостоверяване на автентичността на средствата за електронна идентификация;

д) в случай на електронно удостоверение за атрибути с включени политики за оповестяване, прилагат подходящия механизъм за информиране на ползвателя, че доверяващата се страна или ползвателя на европейския портфейл за цифрова самоличност, отправящ искане за това електронно удостоверение за атрибути, има разрешение за достъп до такова удостоверение;

е) гарантират, че данните за идентификация на лице, които са достъпни от схемата за електронна идентификация, по която се предоставя европейският портфейл за цифрова самоличност, представляват по уникален начин физическото лице, юридическото лице или физическото лице, представляващо физическото или юридическото лице, и са свързани с този европейски портфейл за цифрова самоличност;

ж) предлагат на всички физически лица възможността да подписват по подразбиране и безплатно с квалифицирани електронни подписи.

Независимо от първа алинея, буква ж) държавите членки могат да предвидят пропорционални мерки, за да гарантират, че безплатното използване на квалифицирани електронни подписи от физически лица е ограничено до непрофесионални цели.

6. Държавите членки информират ползвателите без забавяне за всеки пробив в сигурността, което би могло да е компрометирало изцяло или частично техния европейски портфейл за цифрова самоличност или неговото съдържание, и по-конкретно, дали техният европейски портфейл за цифрова самоличност е бил временно спрян или отменен в съгласно член 5д.

7. Без да се засяга член 5е, държавите членки могат да предвидят, в съответствие с националното право, допълнителни функции на европейските портфейли за цифрова самоличност, включително оперативна съвместимост със съществуващите национални средства за електронна идентификация. Тези допълнителни функции са в съответствие с настоящия член.

8. Държавите членки предоставят механизми за безплатно валидиране с цел:

a) да се гарантира, че автентичността и валидността на европейските портфейли за цифрова самоличност могат да бъдат проверени;

б) да се даде възможност на ползвателите да проверяват автентичността и валидността на самоличността на доверяващите се страни, регистрирани в съответствие с член 5б.

9. Държавите членки гарантират, че валидността на европейския портфейл за цифрова самоличност може да бъде отменена при следните обстоятелства:

a) по изрично искане на ползвателя;

б) когато сигурността на европейския портфейл за цифрова самоличност е била компрометирана;

в) при смърт на ползвателя или прекратяване на дейността на юридическото лице.

10. Доставчиците на европейски портфейли за цифрова самоличност гарантират, че ползвателите могат лесно да поискат техническа подкрепа и да съобщят за технически проблеми или други инциденти, които имат отрицателно въздействие върху използването на европейския портфейл за цифрова самоличност.

11. Европейските портфейли за цифрова самоличност се предоставят в рамките на схема за електронна идентификация с ниво на осигуреност „високо“.

12. Европейските портфейли за цифрова самоличност осигуряват защита още на етапа на проектиране.

13. Издаването, използването и отмяната на европейските портфейли за цифрова самоличност е безплатно за всички физически лица.

14. Ползвателите имат пълен контрол върху използването на и върху данните в своя европейския портфейл за цифрова самоличност. Доставчикът на европейския портфейл за цифрова самоличност не събира информация за използването на европейския портфейл за цифрова самоличност, която не е необходима за предоставянето на услугите на европейския портфейл за цифрова самоличност, нито комбинира данни за идентификация на лице и други лични данни, съхранявани или свързани с използването на европейския портфейл за цифрова самоличност, с лични данни от други услуги, предлагани от същия доставчик, или от услуги на трети страни, когато тези данни не са необходими за предоставянето на услугите на европейския портфейл за цифрова самоличност, освен ако ползвателят изрично не е поискал друго. Личните данни, свързани с предоставянето на европейския портфейл за цифрова самоличност, се съхраняват логически отделно от всички други данни, съхранявани от доставчика на европейския портфейл за цифрова самоличност. Ако европейският портфейл за цифрова самоличност се предоставя от частни лица в съответствие с параграф 2, букви б) и в) от настоящия член, разпоредбите на член 45з, параграф 3 се прилагат mutatis mutandis.

15. Използването на европейските портфейли за цифрова самоличност е доброволно. Достъпът до обществени и частни услуги, достъпът до пазара на труда и свободата на стопанска инициатива не се ограничават по никакъв начин или не се създават неблагоприятни условия за физическите и юридическите лица, които не използват европейски портфейли за цифрова самоличност. Запазва се възможността за достъп до обществени и частни услуги чрез други съществуващи средства за идентификация и удостоверяване на автентичността.

16. Техническата рамка на европейския портфейл за цифрова самоличност:

a) не позволява на доставчиците на електронни удостоверения за атрибути или на която и да е друга страна, след издаването на удостоверението за атрибути, да получават данни, които позволяват трансакциите или поведението на ползвателите да бъде проследявано, свързвано, корелирано или да бъда получавана по друг начин информация за трансакции или поведение на ползвателите, освен ако ползвателят изрично не е дал разрешение за това;

б) позволява техники за запазване на неприкосновеността на личния живот, които гарантират невъзможност за свързване, когато удостоверяването на атрибути не изисква идентифициране на ползвателя.

17. Всяко обработване на лични данни, извършвано от държавите членки или от тяхно име от органи или страни, отговарящи за предоставянето на европейските портфейли за цифрова самоличност като средство за електронна идентификация, се извършва в съответствие с подходящи и ефективни мерки за защита на данните. Съответствието на това обработване с Регламент (ЕС) 2016/679 се доказва. Държавите членки могат да въведат национални разпоредби за допълнително уточняване на прилагането на такива мерки.

18. Държавите членки без неоснователно забавяне известяват Комисията относно:

a) органа, отговарящ за създаването и поддържането на списъка на регистрираните доверяващи се страни, които разчитат на европейските портфейли за цифрова самоличност в съответствие с член 5б, параграф 5, и мястото, където този списък се съхранява;

б) органите, отговарящи за предоставянето на европейските портфейли за цифрова самоличност в съответствие с член 5а, параграф 1;

в) органите, отговорни да гарантират, че данните за идентификация на лицето са свързани с европейския портфейл за цифрова самоличност в съответствие с член 5а, параграф 5, буква е);

г) механизма, който дава възможност за валидиране на данните за идентификация на лице, посочени в член 5а, параграф 5, буква е), и на самоличността на доверяващите се страни;

д) механизма, с който се проверява автентичността и валидността на европейските портфейли за цифрова самоличност.

Комисията предоставя на обществеността информацията, известена съгласно първа алинея, чрез сигурен канал, в електронно подписана или подпечатана форма, подходяща за автоматизирана обработка.

19. Без да се засяга параграф 22 от настоящия член, член 11 се прилага mutatis mutandis за европейския портфейл за цифрова самоличност.

20. Член 24, параграф 2, буква б) и букви г)—з) се прилагат mutatis mutandis по отношение на доставчиците на европейските портфейли за цифрова самоличност.

21. Европейските портфейли за цифрова самоличност са достъпни за използване от лица с увреждания наравно с останалите ползватели в съответствие с Директива (ЕС) 2019/882 на Европейския парламент и на Съвета . 22. За целите на предоставянето им европейските портфейли за цифрова самоличност, както и схемите за електронна идентификация, съгласно които те се предоставят, не подлежат на изискванията по членове 7, 9, 10, 12 и 12а.

23. В срок до 21 ноември 2024 г., Комисията, посредством актове за изпълнение, изготвя списък с референтни стандарти и, когато е необходимо, установява спецификациите и процедурите за изискванията по параграфи 4, 5, 8 и 18 от настоящия член относно прилагането на европейския портфейл за цифрова самоличност. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

24. Чрез актове за изпълнение Комисията изготвя списък с референтни стандарти и, когато е необходимо, установява спецификации и процедури, за да улесни интегрирането на ползватели в европейския портфейл за цифрова самоличност чрез средства за електронна идентификация, съответстващи на ниво на осигуреност „високо“, или чрез средства за електронна идентификация, съответстващи на ниво на осигуреност „значително“, заедно с допълнителни процедури за дистанционно интегриране, които съвкупно отговарят на изискванията за ниво на осигуреност „високо“. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.