Kommissionens genomförandeförordning (EU) 2025/846 av den 6 maj 2025 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller gränsöverskridande identitetsmatchning av fysiska personer

Europeiska unionens
officiella tidning

L-serien

2025/846

7.5.2025

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2025/846

av den 6 maj 2025

om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller gränsöverskridande identitetsmatchning av fysiska personer

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (1), särskilt artikel 11a.3, och

av följande skäl:

(1)

Enligt förordning (EU) nr 910/2014 ska europeiska digitala identitetsplånböcker (plånböckerna) och anmälda medel för elektronisk identifiering finnas tillgängliga som ett alternativ för autentisering för att få tillgång till offentliga tjänster över gränserna som tillhandahålls av medlemsstaterna. I sådana fall av gränsöverskridande autentisering är register som innehåller information om användaren av plånboken eller användaren av anmälda medel för elektronisk identifiering ibland redan tillgängliga för den förlitande parten genom den förlitande partens eget register eller ett externt register, och ofta i form av ett användarkonto. I dessa fall kan viss information som rör användaren och som erhållits från plånböckerna eller från det anmälda medlet för elektronisk identifiering matchas av eller på uppdrag av den förlitande parten. Detta skulle till exempel kunna ske genom att en centraliserad lösning som drivs av ett offentligt organ används för matchning mot den information som redan innehas av den förlitande parten eller finns i ett register som den förlitande parten förlitar sig på, till exempel ett befolkningsregister eller en databas med användarkontoinformation.

(2)

Kommissionen utvärderar regelbundet ny teknik, nya metoder, standarder och tekniska specifikationer. För att säkerställa största möjliga harmonisering bland medlemsstaterna för utveckling och certifiering av plånböcker bygger de tekniska specifikationerna i denna förordning på det arbete som utförts enligt kommissionens rekommendation (EU) 2021/946 (2), särskilt arkitekturen och referensramen som är en del av den. I enlighet med skäl 75 i Europaparlamentets och rådets förordning (EU) 2024/1183 (3) bör kommissionen vid behov se över och vid behov uppdatera denna förordning för att hålla den i linje med den globala utvecklingen, arkitekturen och referensramen och för att följa praxis på den inre marknaden.

(3)

För att säkerställa att identitetsmatchningen fungerar på ett tillförlitligt sätt i alla medlemsstater bör medlemsstater som agerar som förlitande parter utföra den ursprungliga identitetsmatchningen första gången en fysisk person begär att få tillgång till en tjänst som drivs av den förlitande parten, antingen på grundval av den minimiuppsättning av uppgifter som fastställs i kommissionens genomförandeförordning (EU) 2015/1501 (4) eller den uppsättning uppgifter för personidentifiering som fastställs i kommissionens genomförandeförordning (EU) 2024/2977 (5). Denna förordning är inriktad på medlemsstater som fungerar som förlitande parter, medan förordning (EU) nr 910/2014 överlåter åt medlemsstaterna att besluta huruvida systemet för identitetsmatchning också ska göras tillgängligt för privata förlitande parter. Om medlemsstaterna föreskriver identitetsmatchning för förlitande parter som inte är offentliga organ, bör de så långt som möjligt tillämpa de mekanismer och förfaranden som fastställs i denna förordning.

(4)

För gränsöverskridande identitetsmatchning vid användning av plånböcker bör den information som används för entydig identitetsmatchning vara de obligatoriska identifierare som utgör de personidentifieringsuppgifter för fysiska personer som anges i avsnitt 1 i bilagan till genomförandeförordning (EU) 2024/2977, tillsammans med eventuella frivilliga uppgifter som krävs för att säkerställa att uppsättningen personidentifieringsuppgifter är unik.

(5)

För gränsöverskridande identitetsmatchning vid användning av anmälda medel för elektronisk identifiering bör den information som används för entydig identitetsmatchning vara de obligatoriska attributen för den minimiuppsättning uppgifter för en juridisk person som fastställs i avsnitt 1 i bilagan till genomförandeförordning (EU) 2015/1501. Hänvisningen till de obligatoriska attributen för minimiuppsättningen av uppgifter för en fysisk person bör förstås mot bakgrund av genomförandeförordning (EU) 2015/1501, som beskriver ett attribut som en beståndsdel i minimiuppsättningen av personidentifieringsuppgifter, i motsats till den definition av attribut som fastställs i artikel 3.43 i förordning (EU) nr 910/2014, ändrad genom förordning (EU) 2024/1183.

(6)

På grund av beroendet av befintlig information som den förlitande parten använder för att säkerställa entydig identitetsmatchning är det möjligt att identitetsmatchningen inte alltid lyckas. För att ge förlitande parter lämplig flexibilitet får medlemsstaterna införa kompletterande förfaranden som ger en likvärdig grad av förtroende för resultatet av identitetsmatchningen.

(7)

Om identitetsmatchningen anses lyckad enligt bestämmelserna i denna förordning, bör den förlitande parten eller den part som agerar på dess vägnar, eller ett register som förlitande parter förlitar sig på eller det centraliserade systemet säkerställa att användaren informeras om den lyckade registreringen, bland annat genom att visa användarens namn eller pseudonym och, när så är lämpligt, bland annat om de tillgängliga alternativen för lagring av resultatet av identitetsmatchningen. Dessa alternativ kan inbegripa lagring av en associering i ett register som drivs av den förlitande parten och/eller i ett register som den förlitande parten förlitar sig på och/eller utfärdande av ett särskilt elektroniskt attributsintyg som innehåller en associering som kan återanvändas i framtiden och/eller användande av andra alternativ som tillhandahålls av den förlitande parten eller den part som agerar på den förlitande partens vägnar. I tillämpliga fall bör användaren ha möjlighet att välja mellan alternativen, och lagringstiden bör stå under användarens kontroll för att säkerställa att användarna kan återanvända slutförda identitetsmatchningar i framtiden.

(8)

När matchningen av användaren inte är lyckad bör, av transparensskäl och för att öka användarkontrollen, tydliga skäl ges till varför matchningen inte är lyckad. Dessutom bör användaren informeras om eventuella kommande åtgärder. Detta bör omfatta den information som användes i identitetsmatchningsprocessen och eventuella avvikelser som konstaterades, med tydliga förklaringar och instruktioner till användarna om möjliga åtgärder och kompletterande processer.

(9)

För att göra lämpliga mekanismer för handläggning av klagomål tillgängliga i samband med att det utförs identitetsmatchningar bör förlitande parter eller parter som agerar på deras vägnar eller register som förlitande parter förlitar sig på föra lämpliga loggar över identitetsmatchningen, den information som används för matchningen och andra styrkande handlingar som tillhandahålls av den fysiska personen samt resultatet av identitetsmatchningen. Dessa loggar bör lagras i minst 6 månader och högst 12 månader för att göra det möjligt för användarna att registrera och behandla klagomål. Lagringstiden kan förlängas om det krävs enligt unionsrätten eller nationell rätt.

(10)

För att plånboksanvändare inte ska bli tvungna att utföra identitetsmatchningen upprepade gånger får medlemsstaterna kräva att systemen för identitetsmatchning ska kunna utfärda ett elektroniskt attributsintyg med en länk mellan plånboksanvändaren och ett register där användaren är registrerad som känd användare. Alternativt får medlemsstaterna lagra en associering som en referens till ett register som är tillgängligt för den förlitande parten eller lagra andra stödåtgärder.

(11)

För att säkerställa att de plånböcker som ska tillhandahållas i överensstämmelse med kraven i artikel 5a.1 i förordning (EU) nr 910/2014 och de anmälda systemen för elektronisk identifiering ska gynnas av fördelarna med att ha operativa system för identitetsmatchning, måste en längre tidsfrist för tillämpningen av respektive bestämmelser i den här förordningen fastställas. När det gäller plånböcker bör varje medlemsstat tillhandahålla minst en plånbok inom 24 månader från och med dagen för ikraftträdandet av de genomförandeakter som avses i artiklarna 5a.23 och 5c.6 i förordning (EU) nr 910/2014. Tillämpningen av de relevanta bestämmelserna i denna förordning om identitetsmatchning på grundval av plånböcker bör därför sammanfalla med ovanstående tidsram. När det gäller anmälda system för elektronisk identifiering bör tillräckligt med tid ges för att ersätta funktionerna för identitetsmatchning.

(12)	Eftersom användningen av plånboken ska vara frivillig, bör medlemsstaterna förse användarna med alternativa metoder för att få tillgång till de tjänster som de, när de agerar som förlitande parter, tillhandahåller.

(13)

Vid försök till autentisering till en elektronisk tjänst kan en ny användarregistrering vara sömlös och därmed för en användare, såväl visuellt som tekniskt, framstå som ett återbesök på en elektroniska tjänst. Därför bör, vid tillämpningen av denna förordning, en ny användarregistrering hos en elektronisk tjänst betraktas som likvärdig med en lyckad identitetsmatchning.

(14)	Medlemsstaterna bör säkerställa att identitetsmatchningen fungerar sömlöst och att användarens session inte ändras flera gånger och användaren inte måste repetera olika steg, även om identitetsmatchningen till en början inte lyckas och kompletterande processer genomförs.

(15)	Medlemsstaterna har frihet att utforma användargränssnitten och anmälningarna på ett sätt som passar deras nationella förhållanden, med beaktande av andan i i de krav som fastställs i förordningen.

(16)	Europaparlamentets och rådets förordning (EU) 2016/679 (6) och, i förekommande fall, Europaparlamentets och rådets direktiv 2002/58/EG (7) är tillämpliga på behandlingen av personuppgifter enligt denna förordning.

(17)	Samråd med Europeiska datatillsynsmannen har skett i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (8) och avgav ett yttrande den 31 januari 2025.

(18)	De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats genom artikel 48 i förordning (EU) nr 910/2014.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Innehåll

I denna förordning fastställs regler för gränsöverskridande identitetsmatchning av fysiska personer som görs av offentliga organ eller av organ som agerar för ett offentligt organs räkning, som ska uppdateras regelbundet för att hållas i linje med utvecklingen av teknik och standarder och med det arbete som utförs på grundval av rekommendation (EU) 2021/946, särskilt arkitekturen och referensramen.

Artikel 2

Allmänna villkor

1. Om ett offentligt organ agerar som förlitande part i samband med en gränsöverskridande onlinetjänst som erbjuds av det offentliga organet eller för dettas räkning, ska medlemsstaterna säkerställa att den process som anges i punkt 2 används för att säkerställa entydig identitetsmatchning av fysiska personer.

2. Entydig identitetsmatchning ska göras av, eller på uppdrag av, den förlitande parten, eller av ett register som förlitande parter förlitar sig på, eller av ett centraliserat system, och omfattar, beroende på vad som är tillämpligt, begäran om, mottagande av och validering av äktheten hos den information som förtecknas i punkt 3 eller 4.

3. Vid förlitande på en plånbok ska den information som ska användas för entydig identitetsmatchning vara de obligatoriska personidentifieringsuppgifter som anges i avsnitt 1 i bilagan till genomförandeförordning (EU) 2024/2977, tillsammans med eventuella alternativa uppgifter som krävs för att säkerställa att den uppsättning uppgifter som presenteras är unik, inbegripet, i förekommande fall, ytterligare information eller kompletterande förfaranden.

4. Vid förlitande på ett anmält system för elektronisk identifiering ska den information som ska användas för entydig identitetsmatchning vara de obligatoriska attributen för den minimiuppsättning uppgifter för en fysisk person som anges i avsnitt 1 i bilagan till genomförandeförordning (EU) 2015/1501, inbegripet, i förekommande fall, ytterligare information eller kompletterande förfaranden.

5. Vid fastställandet av huruvida det föreligger en entydig identitetsmatchning ska den förlitande parten, eller den part som agerar för dennes räkning, matcha den information som tillhandahållits av användaren med den information som den förlitande parten eller en part som agerar för dennes räkning eller ett register som förlitande parter förlitar sig på redan har registrerat.

6. Resultatet av den process som beskrivs i punkt5 ska, i möjligaste mån, inte påverkas av skillnader i translitterering, mellanslag, avstavning, länkning och liknande ortografiska variationer som krävs enligt unionsrätten eller medlemsstatens nationella rätt.

7. Om överensstämmelsen med den information som avses i punkt 2 är exakt och endast avser en fysisk person eller om resultatet av processen leder till en ny registrering av användaren som i sin funktion är likvärdig med en lyckad identitetsmatchning, ska identitetsmatchningen anses lyckad och resultera i en entydig identitetsmatchning. Om identitetsmatchningen inte är exakt eller avser mer än en fysisk person, eller om den part som utför identitetsmatchningen inte kan garantera att den är entydig, ska identitetsmatchningen anses misslyckad.

8. Medlemsstaterna får förlita sig på centraliserade system för identitetsmatchning, som drivs av ett offentligt organ som är etablerat i den medlemsstaten, för att säkerställa att anmälda medel för elektronisk identifiering eller plånböcker från en annan medlemsstat kan matchas med befintliga registreringar och register med hjälp av onlineförfaranden.

9. Om medlemsstaterna gör det möjligt för förlitande parter som inte är offentliga organ att utföra identitetsmatchning, ska de mekanismer och förfaranden som fastställs i denna förordning tillämpas, i förekommande fall.

Artikel 3

Förlitande parters skyldigheter vid lyckad identitetsmatchning

1. När en användare för första gången gör en identitetsmatchning och den anses lyckad i enlighet med artikel 2.7, ska den förlitande parten eller den part som agerar för dennes räkning, eller ett register som förlitande parter förlitar sig på eller det centraliserade systemet säkerställa att användaren informeras om att användaren har beviljats tillgång till den tjänst som användaren begärt tillgång till.

2. I tillämpliga fall ska användaren också informeras, om

a)	han eller hon har registrerats som ny användare,

b)	en lyckad matchning av honom eller henne mot en enda befintlig användare från den förlitande parten har gjorts, eller

c)	en lyckad matchning av honom eller henne mot en enda befintlig användare i ett register som den förlitande parten eller den part som agerar för dennes räkning förlitar sig på har gjorts,

han eller hon kan återanvända slutförda identitetsmatchningar i framtiden genom att välja ett av följande alternativ inbegripet lagringstiden:

—	En associering lagras i ett register som drivs av den förlitande parten eller i ett register som den förlitande parten förlitar sig på som kan återanvändas i framtida begäranden om tillträde.

—	Ett särskilt elektroniskt attributsintyg utfärdas som innehåller en associering som kan återanvändas i framtida begäranden om tillträde.

—	Andra alternativ som tillhandahålls av den förlitande parten eller den part som agerar på den förlitande partens vägnar eller det centraliserade systemet som kan återanvändas i framtida begäranden om tillgång.

Artikel 4

Förlitande parters skyldigheter vid misslyckad identitetsmatchning

1. Om en identitetsmatchning anses misslyckad i enlighet med artikel 2.7, ska den förlitande parten eller den part som agerar för dennes räkning, eller det centraliserade systemet säkerställa att användaren av det anmälda medlet för elektronisk identifiering eller av en plånbok informeras, om

a)	de uppgifter som gjorts tillgängliga matchades inte på ett lyckat och entydigt sätt med någon befintlig användare från den förlitande parten eller med någon befintlig användare i ett register som den förlitande parten eller den part som agerar för dennes räkning förlitar sig på,

b)	andra alternativ för identitetsmatchning som är tillgängliga för användaren eller andra metoder för att få tillgång till tjänsten finns tillgängliga.

2. De alternativ eller andra metoder som avses i punkt 1 (b) kan inbegripa följande:

a)	Ett annat anmält medel för elektronisk identifiering eller en annan plånbok.

b)	En uppdatering av information som redan har registrerats hos den förlitande parten, hos den part som agerar på dennes vägnar eller i ett register som den förlitande parten förlitar sig på eller i det centraliserade systemet för identitetsmatchning.

c)	Ytterligare information som tillhandahålls av den förlitande parten eller en part som agerar på dennes vägnar för identitetsmatchning eller av det centraliserade systemet.

3. Om de kompletterande metoderna resulterar i en lyckad och entydig matchning eller registrering, ska de skyldigheter som anges i artikel 3 gälla för resultatet.

4. Om den förlitande parten eller det centraliserade systemet antingen inledningsvis eller efter att ha utfört misslyckade kompletterande identitetsmatchningar fastställer att användaren inte tidigare har registrerats, får den förlitande parten eller det centraliserade systemet betrakta denna användare som en ny användare och, i tillämpliga fall, registrera användaren i enlighet med relevant nationell rätt eller relevanta nationella administrativa förfaranden.

5. Om de kompletterande metoderna inte leder till en lyckad och entydig matchning, får den part som utför identitetsmatchningen bedöma om användaren inte har någon tidigare interaktion med den förlitande parten eller ett register som den förlitande parten förlitar sig på och därför ska betraktas som en ny användare.

6. Om det är en ny användare, ska de förlitande parterna tillämpa den process som anges i artikel 3. De förlitande parterna får registrera nya användare i enlighet med relevant nationell rätt eller relevanta nationella administrativa förfaranden

Artikel 5

Förlitande parters skyldigheter efter slutförande av identitetsmatchning

1. När en identitetsmatchning enligt artikel 2 slutförs, oavsett om den är lyckad eller misslyckad, ska den förlitande parten eller den part som agerar på dess vägnar eller det register som den förlitande parten förlitar sig på lagra loggarna rörande identitetsmatchningen och dess resultat, inbegripet, i förekommande fall, följande:

a)	De värden som tillhandahålls av användaren och den förlitande parten och som används för att utföra identitetsmatchningen.

b)	Datum och tidpunkt för identitetsmatchningen.

c)	All relevant dokumentation som tillhandahålls som en del av de kompletterande metoder som avses i artikel 4.1 och 4.2 som är nödvändig för tvistlösning.

d)	I tillämpliga fall, alla identifierare eller kontonummer som används av den förlitande parten, eller ett register som förlitande parter förlitar sig på, eller den part som agerar på dess vägnar, eller det centraliserade system för identitetsmatchning som avser den fysiska personen.

2. Förlitande parter eller de parter som agerar på deras vägnar ska beakta principerna om säkerhet och inbyggt integritetsskydd i samband med loggningen av den information som anges i punkt 1.

3. Förlitande parter eller de parter som agerar på deras vägnar ska lagra loggarna i minst 6 månader och högst 12 månader av säkerhetsskäl. För andra ändamål, inbegripet för att möjliggöra registrering och behandling av klagomål från användare, får lagringstiden förlängas om så krävs enligt unionsrätten eller nationell rätt.

Artikel 6

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den 24 december 2026.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 6 maj 2025.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Kommissionens rekommendation (EU) 2021/946 av den 3 juni 2021 om en unionsgemensam verktygslåda för en samordnad strategi för en europeisk ram för digital identitet (EUT L 210, 14.6.2021, s. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).

(3) Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet (EUT L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(4) Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (EUT L 235, 9.9.2015, s. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1501/oj).

(5) Kommissionens genomförandeförordning (EU) 2024/2977 av den 28 november 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller personidentifieringsuppgifter och elektroniska attributsintyg som utfärdats för EU:s digitala identitetsplånböcker (EUT L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).

(6) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(7) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(8) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ELI: http://data.europa.eu/eli/reg_impl/2025/846/oj

ISSN 1977-0820 (electronic edition)