2015R150 - UA - 09.09.2015 - 000.001 - 1

Цей документ слугує суто засобом документування, і установи не несуть жодної відповідальності за його зміст

(До Розділу IV "Торгівля і питання, пов’язані з торгівлею"
Глава 6. Заснування підприємницької діяльності, торгівля послугами та електронна торгівля)

ІМПЛЕМЕНТАЦІЙНИЙ РЕГЛАМЕНТ КОМІСІЇ (ЄС) 2015/1501
від 8 вересня 2015 року
про рамки інтероперабельності відповідно до статті 12(8) Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку

(Текст стосується ЄЕП)

ОВ L 235, 09.09.2015, с. 1)

ІМПЛЕМЕНТАЦІЙНИЙ РЕГЛАМЕНТ КОМІСІЇ (ЄС) 2015/1501
від 8 вересня 2015 року
про рамки інтероперабельності відповідно до статті 12(8) Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку

(Текст стосується ЄЕП)

ЄВРОПЕЙСЬКА КОМІСІЯ,

Беручи до уваги Договір про функціонування Європейського Союзу,

Беручи до уваги Регламент Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС (-1), зокрема його статтю 12(8),

__________
(-1) ОВ L 257, 28.08.2014, с. 73.

Оскільки:

(1) У статті 12(2) Регламенту (ЄС) № 910/2014 передбачено, що необхідно встановити рамки інтероперабельності для цілей інтероперабельності національних схем електронної ідентифікації, які нотифікують відповідно до статті 9(1) зазначеного Регламенту.

(2) Вузли відіграють центральну роль у встановленні взаємозв'язку між схемами електронної ідентифікації держав-членів. Їхній внесок пояснюється в документації щодо Засобу єднання Європи, визначеного у Регламенті Європейського Парламенту і Ради (ЄС) № 1316/2013 (-2) , у тому числі функції та компоненти «вузла elDAS».

__________
(-2) Регламент Європейського Парламенту і Ради (ЄС) № 1316/2013 (ЄС) від 11 грудня 2013 року про Засіб єднання Європи, про внесення змін до Регламенту (ЄС) № 913/2010 і про скасування Регламентів (ЄС) № 680/2007 та (ЄС) № 67/2010 (ОВ L 348, 20.12.2013, с. 129).

(3) Якщо держава-член або Комісія надає програмне забезпечення, щоб уможливити автентифікацію до вузла, який працює в іншій державі-члені, сторона, яка надає або оновлює програмне забезпечення, що використовується для механізму автентифікації, може узгодити зі стороною, яка надає хостинг програмному забезпеченню, як управляти роботою механізму автентифікації. Така угода не повинна обтяжувати непомірними технічними вимогами або витратами (у тому числі підтримка, зобов'язання, хостинг та інші витрати) сторону-постачальника послуг хостингу.

(4) Якщо таке виправдано в межах імплементації рамок інтероперабельності, подальші технічні специфікації, у яких зазначено детальну інформацію про технічні вимоги, як встановлено в цьому Регламенті, могли бути розроблені Комісією за співпраці з державами-членами, зокрема беручи до уваги висновки Мережі співпраці, зазначені у статті 14(d) Імплементаційного рішення Комісії (ЄС) 2015/296 (-3). Такі специфікації повинні розроблятись як частина інфраструктур цифрових послуг Регламенту (ЄС) № 1316/2013, яким передбачено засоби для практичної імплементації структурного елементу електронної ідентифікації.

__________
(-3) Імплементаційне рішення Комісії (ЄС) 2015/296 від 24 лютого 2015 року про процедурний порядок співпраці між державами-членами у сфері електронної ідентифікації відповідно до статті 12(7) Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку (ОВ L 53, 25.02.2015, с. 14).

(5) Технічні вимоги, визначені у цьому Регламенті, повинні застосовуватися, незважаючи на будь-які зміни у технічних специфікаціях, які можуть бути розроблені відповідно до статті 12 цього Регламенту.

(6) Великомасштабний пілотний проект STORK, у тому числі специфікації, розроблені у його межах, а також принципи та поняття Європейських рамок інтероперабельності для європейських публічних послуг було взято до уваги найвищою мірою під час встановлення порядку дії рамок інтероперабельності, викладених у цьому Регламенті.

(7) Результати співпраці між державами-членами було взято до уваги найвищою мірою.

(8) Заходи, передбачені цим Регламентом, відповідають висновку Комітету, визначеного у статті 48 Регламенту (ЄС) № 910/2014,

УХВАЛИЛА ЦЕЙ РЕГЛАМЕНТ:

Стаття 1
Предмет

Цей Регламент встановлює техніко-експлуатаційні вимоги до рамок інтероперабельності з метою забезпечення інтероперабельності схем електронної ідентифікації, які держави-члени нотифікують Комісії.

До цих вимог відносяться зокрема:

(a) мінімальні технічні вимоги щодо рівнів надійності та відповідності між національними рівнями надійності нотифікованих засобів електронної ідентифікації, виданих у межах нотифікованих схем електронної ідентифікації згідно зі статтею 8 Регламенту (ЄС) № 910/2014, як визначено в статтях 3 і 4;

(b) мінімальні технічні вимоги до інтероперабельності, як визначено в статтях 5 і 8;

(c) мінімальний набір даних персональної ідентифікації, що однозначно представляють фізичну або юридичну особу, як визначено у статті 11 та в додатку;

(d) спільні експлуатаційні стандарти безпеки, як визначено в статтях 6, 7, 9 і 10;

(e) механізми врегулювання спорів, як зазначено в статті 13.

Стаття 2
Терміни та означення

Для цілей цього Регламенту застосовують такі терміни та означення:

(1) «вузол» означає пункт підключення, який є частиною архітектури інтероперабельності електронної ідентифікації, задіяний у транскордонній автентифікації осіб та має здатність розпізнавати та обробляти чи передавати дані на інші вузли, дозволяючи національній інфраструктурі електронної ідентифікації однієї держави-члена встановлювати зв'язок з національними інфраструктурами електронної ідентифікації інших держав-членів;

(2) «оператор вузла» означає юридичну особу, яка відповідає за забезпечення правильного та надійного виконання вузлом функції пункту підключення.

Стаття 3
Мінімальні технічні вимоги до рівнів надійності

Мінімальні технічні вимоги до рівнів надійності повинні відповідати положенням Імплементаційного регламенту Комісії (ЄС) 2015/1502 (-4).

__________
(-4) Імплементаційне регламент Комісії (ЄС) 2015/1502 від 8 вересня 2015 року про встановлення мінімальних технічних специфікацій та процедур для рівнів надійності засобів електронної ідентифікації відповідно до статті 8(3) Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку (ОВ L 235, 09.09.2015, с. 7).

Стаття 4
Відповідність між національними рівнями надійності

Встановлення відповідності між національними рівнями надійності нотифікованих схем електронної ідентифікації повинно здійснюватися відповідно до вимог, встановлених у Імплементаційному регламенті (ЄС) 2015/1502. Результати відповідності нотифікують Комісії, використовуючи шаблон нотифікації, викладений в Імплементаційному рішенні Комісії (ЄС) 2015/1984 (-5).

__________
(-5) Імплементаційне рішення Комісії (ЄС) 2015/1984 від 3 листопада 2015 року щодо обставин, форматів та процедур нотифікації відповідно до статті 9(5) Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку (ОВ L 289, 05.11.2015, с. 18).

Стаття 5
Вузли

1. Вузол в одній державі-члені повинен мати можливість встановлювати з'єднання з вузлами інших держав-членів.

2. Вузли повинні розрізняти органи публічного сектору та інші сторони-користувачі за допомогою технічних засобів.

3. Імплементація технічних вимог, викладених у цьому Регламенті, однією державою-членом не повинна обтяжувати інші держави-члени непомірними технічними вимогами або витратами для забезпечення останніми інтероперабельності з процесом імплементації, ухваленим першою державою-членом.

Стаття 6
Приватність та конфіденційність інформації

1. Необхідно забезпечити захист приватності та конфіденційності обмінюваних даних та збереження цілісності даних між вузлами шляхом використання найкращих доступних технічних рішень та способів захисту.

2. Вузли не повинні зберігати жодних персональних даних, окрім як для цілей, визначених у статті 9(3).

Стаття 7
Цілісність та автентичність даних у межах зв'язку

Зв'язок між вузлами повинен забезпечувати цілісність та автентичність даних, щоб переконатися, що усі запити та відповіді є автентичними і не були підроблені. Для цієї цілі вузли повинні використовувати рішення, які успішно застосовували у транскордонних операціях.

Стаття 8
Формат повідомлення для зв'язку

Вузли повинні використовувати для синтаксису спільні формати повідомлень на основі стандартів, які уже застосовувалися більше ніж один раз між державами-членами та вважаються придатними для використання в операційному середовищі. Синтаксис дозволяє забезпечити:

(a) належну обробку мінімального набору даних персональної ідентифікації, що однозначно представляють фізичну або юридичну особу;

(b) належну обробку рівня надійності засобів електронної ідентифікації;

(c) розрізнення органів публічного сектору та інших сторін-користувачів;

(d) гнучкість для задоволення потреб у додаткових елементах, пов'язаних з ідентифікацією.

Стаття 9
Управління інформацією про безпеку та метаданими

1. Оператор вузла повинен повідомляти метадані щодо управління вузлом у стандартній формі, яка підлягає машинній обробці, безпечним та надійним шляхом.

2. Вибірка щонайменше параметрів, що стосуються безпеки, повинна здійснюватися автоматично.

3. Оператор вузла повинен зберігати дані, які, у разі настання інциденту, дозволять відновити послідовність обміну повідомленнями для встановлення місця та характеру інциденту. Дані повинні зберігатись упродовж певного періоду часу відповідно до національних вимог та, як мінімум, повинні охоплювати такі елементи:

(a) ідентифікація вузла;

(b) ідентифікація повідомлення;

(c) дата та час повідомлення.

Стаття 10
Інформаційна безпека та стандарти безпеки

1. Оператори вузлів, які забезпечують автентифікацію, повинні довести, що, стосовно вузлів, залучених до рамок інтероперабельності, вузол відповідає вимогам стандарту ISO/IEC 27001, шляхом сертифікації, або шляхом застосування аналогічних методів оцінки, або шляхом дотримання національного законодавства.

2. Оператори вузлів повинні своєчасно здійснювати важливі для безпеки оновлення.

Стаття 11
Дані персональної ідентифікації

1. Мінімальний набір даних персональної ідентифікації, що однозначно представляють фізичну або юридичну особу, відповідають вимогам, визначеним у додатку, у разі використання таких у транскордонному контексті.

2. Мінімальний набір даних для фізичної особи, яка представляє юридичну особу, повинен містити комбінацію елементів, зазначених у додатку для фізичних та юридичних осіб, у разі використання таких у транскордонному контексті.

3. Дані повинні передаватися мовою оригіналу і, у відповідних випадках, також транслітеруватися латиницею.

Стаття 12
Технічні специфікації

1. Якщо таке виправдано у межах процесу імплементації рамок інтероперабельності, Мережа співпраці, створена відповідно до Імплементаційного рішення (ЄС) 2015/296, може ухвалити висновки відповідно до його статті 14(d) щодо необхідності розробки технічних специфікацій. Такі технічні специфікації повинні надавати детальнішу інформацію щодо технічних вимог, як визначено в цьому Регламенті.

2. Відповідно до висновку, зазначеного в параграфі 1, Комісія за співпраці з державами-членами розробляє технічні специфікації як частину інфраструктур цифрових послуг Регламенту (ЄС) № 1316/2013.

3. Мережа співпраці ухвалює висновок відповідно до статті 14(d) Імплементаційного рішення (ЄС)2015/296, у якому дає оцінку, чи технічні специфікації, розроблені згідно з параграфом 2, відповідають потребі, викладеній у висновку, зазначеному в параграфі 1, або вимогам, встановленим у цьому Регламенті, та якою мірою вони відповідають таким. Вона може рекомендувати державам-членам взяти до уваги технічні специфікації під час імплементації рамок інтероперабельності.

4. Комісія надає модель реалізації як приклад тлумачення технічних специфікацій. Держави-члени можуть застосовувати цю модель реалізації або використовувати її як зразок під час тестування інших реалізацій технічних специфікацій.

Стаття 13
Вирішення спорів

1. У разі можливості будь-які спори стосовно рамок інтероперабельності вирішуються причетними до спору державами-членами шляхом переговорів.

2. Якщо рішення не було досягнуто відповідно до параграфу 1, Мережа співпраці, створена згідно зі статтею 12 Імплементаційного рішення (ЄС) 2015/296, має компетенцію вирішувати спори відповідно до процедурних правил.

Стаття 14
Набуття чинності

Цей Регламент набуває чинності на двадцятий день після його публікації в Офіційному віснику Європейського Союзу.

Цей Регламент обов'язковий у повному обсязі та підлягає прямому застосуванню у всіх державах-членах

ДОДАТОК

Вимоги щодо мінімального набору даних персональної ідентифікації, що однозначно представляють фізичну або юридичну особу, зазначені в статті 11

1. Мінімальний набір даних, встановлений для фізичної особи

Мінімальний набір даних, встановлений для фізичної особи, повинен містити усі наведені нижче обов'язкові елементи:

(a) чинне прізвище або чинні прізвища;

(b) чинне ім'я або чинні імена;

(c) місце народження;

(d) унікальний ідентифікатор, який створено державою-членом, яка надсилає дані, відповідно до технічних специфікацій для цілей транскордонної ідентифікації та який є, наскільки це можливо, довгостроковим.

Мінімальний набір даних, встановлений для фізичної особи, може містити один або кілька з наведених нижче додаткових елементів:

(a) ім'я або імена та прізвище або прізвища при народженні;

(b) місце народження;

(c) дійсна адреса;

(d) стать.

2. Мінімальний набір даних, встановлений для юридичної особи

Мінімальний набір даних, встановлений для юридичної особи, повинен містити усі наведені нижче обов'язкові елементи:

(a) чинна юридична назва;

(b) унікальний ідентифікатор, який створено державою-членом, яка надсилає дані, відповідно до технічних специфікацій для цілей транскордонної ідентифікації та який є, наскільки це можливо, довгостроковим.

Мінімальний набір даних, встановлений для юридичної особи, може містити один або кілька з наведених нижче додаткових елементів:

(a) дійсна адреса;

(b) номер свідоцтва платника ПДВ;

(c) ідентифікаційний податковий номер;

(d) ідентифікатор, пов'язаний зі статтею 3(1) Директиви Європейського Парламенту і Ради 2009/101/ЄС (-6);

(e) ідентифікатор юридичної особи (LEI), зазначений в Імплементаційному регламенті Комісії (ЄЄ) № 1247/2012 (-7);

(f) Реєстрація та ідентифікація суб'єктів господарювання (EORI), зазначені в Імплементаційному регламенті Комісії (ЄС) № 1352/2013 (-8);

(g) акцизний номер, зазначений у статті 2(12) Регламенту Ради (ЄС) № 389/2012 (-9).

__________
(-6) Директива Європейського Парламенту і Ради 2009/101/ЄС від 16 вересня 2009 року про координацію захисних заходів, які для захисту інтересів членів та інших сторін вимагаються державами-членами від компаній в рамках трактування абзацу другого статті 48 Договору про заснування ЄС з метою забезпечення еквівалентності захисних заходів (ОВ L 258, 01.10.2009, с. 11).
(-7) Імплементаційний регламент Комісії (ЄС) № 1247/2012 (ЄС) від 19 грудня 2012 року щодо імплементаційних технічних стандартів стосовно формату та частоти подання звітів про торговельну діяльність до торгових репозитаріїв відповідно до Регламенту Європейського Парламенту і Ради(ЄС) № 648/2012 про позабіржові деривативи, центральних контрагентів та торгові репозитарії (ОВ L 352, 21.12.2012, с. 20).
(-8) Імплементаційний регламент Комісії (ЄС) № 1352/2013 від 4 грудня 2013 року про форми документів, передбачені Регламентом Європейського Парламенту і Ради (ЄС) № 608/2013 щодо митного контролю за дотриманням прав інтелектуальної власності (ОВ L 341, 18.12.2013, с. 10).
(-9) Регламент Ради (ЄС) № 389/2012 від 2 травня 2012 року про адміністративну співпрацю у сфері акцизних зборів та про скасування Регламенту (ЄС) № 2073/2004 (ОВ L 121, 08.05.2012, с. 1).