Az Európai Parlament 2022. május 31-én tette közzé az európai digitális személyazonosság keretének létrehozásáról szóló rendeletjavaslattal kapcsolatos jelentéstervezetét, amely számos megállapítást tartalmaz az új eIDAS rendelet részeként az európai digitális személyiadat-tárca fejlesztésére, valamint az európai polgárok digitális személyazonosságának védelmére.
A rendelet fő célja a digitális azonosítás uniós szintű harmonizálása, és ezáltal az eltérő nemzeti megoldások okozta jelenlegi széttagoltságból eredő költségek és kockázatok csökkentése. Ez a kezdeményezés az egységes piacot is erősítené azáltal, hogy lehetővé tenné a polgárok, a nemzeti jog által meghatározott egyéb lakosok és vállalkozások számára, hogy uniószerte kényelmesen és egységes módon azonosítsák és hitelesítsék magukat online és offline egyaránt.
Új javaslatok az európai digitális személyazonosság tárcára (European Digital Identity Wallet – „Tárca”) vonatkozóan
A jelentés módosítja a Tárca fogalommeghatározását, és azt olyan termékként és szolgáltatásként határozza meg, amely az elektronikus azonosítás alapján működik. A Tárca lehetővé teszi a felhasználó számára, hogy tárolja és kezelje a személyazonosságához kapcsolódó személyazonosító adatokat és attribútumokat, kérésre más felek rendelkezésére bocsássa azokat, minősített elektronikus aláírásokat és bélyegzőket hozzon létre, és a rendelet rendelkezéseivel összhangban online és offline személyazonosításra és hitelesítésre használja azokat a köz- és magánszolgáltatásokhoz való hozzáférés során.
A Tárcának rendelkeznie kell a tranzakciótörténet funkciójával, amely lehetővé teszi a felhasználó számára a Tárcán keresztül végrehajtott valamennyi tranzakció és a tranzakciók részleteinek nyomon követését, ezeket a részleteket még akkor is tárolni kell, ha a tranzakció nem jött létre. A jelentés szerint a tranzakciós előzményekben szereplő információk semmilyen jogi célból nem tagadhatók meg.
Az „egyszeri adatszolgáltatás” elve
Az új rendelet másik célja, hogy támogassa a digitalizáció elterjedését a tagállamok közszféra-szolgáltatásaiban, és ösztönözze az európai digitálisidentitás-keretrendszer és az európai digitális személyazonosság tárcák széles körű alkalmazását. Ezt a célt szolgálja az „egyszeri adatszolgáltatás” elvének bevezetése is, amely lehetővé teszi a polgárok és a vállalkozások számára, hogy ne kelljen ugyanazokat az adatokat többször megadniuk a hatóságoknak. Az elv az adminisztratív terhek csökkentését és a polgárok és vállalkozások határokon átnyúló mobilitásának támogatását szolgálja. A jelentés azt is kiemeli, hogy ezen adatok felhasználását a felhasználó kérésére lehetővé kell tenni a határokon átnyúló online eljárások lefolytatása céljából is.
Kiberbiztonság és adatvédelem
A jelentés javaslatokat tartalmaz az európai digitális személyazonosság megfelelő kiberbiztonsági és adatvédelmi szintjének biztosítására is. A Tárcákat „magas” megbízhatósági szintű, bejelentett elektronikus azonosítási rendszer keretében kell kibocsátani, és a rendszer kialakítása során biztosítani kell a beépített kiberbiztonságot. A tervezet szerint a Tárcáknak a legmagasabb szintű biztonságot kell garantálniuk az azonosításhoz és hitelesítéshez használt személyes adatok számára is, függetlenül attól, hogy ezeket az adatokat különböző kockázati szinteknek megfelelően helyben vagy felhőalapú megoldásokban tárolják. Ezzel összefüggésben a biometrikus adatok azonosításra és hitelesítésre való felhasználása nem lesz előfeltétele az európai digitális személyazonosság tárca használatának, és a biometrikus adatokat nem szabad felhőben tárolni. A Tárcában található további információk esetében az adatok felhőben történő tárolása csak a felhasználó kifejezett beleegyezése után lehet választható funkció. A rendelet azt is kiemeli, hogy a különös szabályai csak kiegészítik a GDPR-t, de nem tekintendők a GDPR szempontjából lex specialis-nak.
Nulla ismeretű bizonyítás (Zero Knowledge Proof, ZKP)
A jelentéstervezet bevezeti a „nulla ismeretű bizonyítás” kifejezést, amely kriptográfiai algoritmusok alapján lehetővé teszi egy állítás anélkül történő ellenőrzését, hogy felfedné az azt alátámasztó adatokat. Az EP szerint a ZKP lehetővé teszi a birtokos számára, hogy igazolja például, hogy felnőtt, vagy hogy hol tartózkodik, ha erre az információ szükséges egy bizonyos szolgáltatás eléréséhez. A kezdeményezés emellett segíthetne az internetes robotok és a dezinformációs támadások elleni küzdelemben is, hiszen a platformok ellenőrizhetik, hogy a platformjukon végrehajtott műveletet az Unióban tartózkodó valós személy hajtja végre, a névtelenség jogának megőrzése mellett.
A digitális személyazonossággal foglalkozó európai testület (European Digital Identity Board – „EDIB”)
A rendelet végrehajtásának megkönnyítése érdekében a jelentés javasolja az Európai Digitális Identitás Testület létrehozását is, amely az illetékes nemzeti hatóságokból és a Bizottságból áll majd. Az EDIB olyan feladatokat lát majd el, mint például a Bizottság segítése a digitális személyazonosság tárcák, az elektronikus azonosító eszközök és a bizalmi szolgáltatások területén a jogalkotási javaslatok és szakpolitikai kezdeményezések előkészítése; vagy a rendelet következetes alkalmazásának támogatása.
A fentiek fényében ez a javaslat egy újabb fontos lépés az egységes európai digitális személyazonosság megvalósítása felé, és várakozással tekintünk az európai jogalkotás soron következő fejleményei elé.