EIDAS 2014/0910 CS

1. Systém elektronické identifikace oznámený podle čl. 9 odst. 1 uvádí nízkou, značnou nebo vysokou úroveň záruky pro prostředky pro elektronickou identifikaci vydávané v rámci tohoto systému.

2. Nízká, značná a vysoká úroveň záruky musí splňovat tato příslušná kritéria:

nízká úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí omezenou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je snížit riziko zneužití nebo změny totožnosti;

značná úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí značnou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je značně snížit riziko zneužití nebo změny totožnosti;

vysoká úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí vyšší míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby než prostředek pro elektronickou identifikaci se značnou úrovní záruky a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je předejít zneužití nebo změně totožnosti.

3. Do 18. září 2015 Komise prostřednictvím prováděcích aktů s přihlédnutím k příslušným mezinárodním normám a s výhradou odstavce 2 stanoví minimální technické specifikace, normy a postupy, jejichž pomocí jsou pro účely odstavce 1 vymezeny nízká, značná a vysoká úroveň záruky prostředků pro elektronickou identifikaci.

Tyto minimální technické specifikace, normy a postupy se stanoví na základě spolehlivosti a kvality:

a)	postupu prokazování a ověřování totožnosti fyzických nebo právnických osob žádajících o vydání prostředku pro elektronickou identifikaci;

b)	postupu vydávání požadovaných prostředků pro elektronickou identifikaci;

c)	mechanismu autentizace, při níž fyzická nebo právnická osoba používá prostředek pro elektronickou identifikaci k tomu, aby spoléhající se straně potvrdila svou totožnost;

d)	subjektu vydávajícího prostředky pro elektronickou identifikaci;

e)	jakéhokoli jiného subjektu zapojeného do žádosti o vydání prostředku pro elektronickou identifikaci a

f)	technických a bezpečnostních specifikací vydaného prostředku pro elektronickou identifikaci.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 18

Vzájemná pomoc

1. Orgány dohledu vzájemně spolupracují za účelem výměny osvědčených postupů.

Po obdržení odůvodněné žádosti jiného orgánu dohledu poskytne orgán dohledu danému orgánu pomoc, aby bylo možné zajistit jednotný výkon činností orgánů dohledu. Vzájemná pomoc může zahrnovat zejména žádosti o informace a opatření v oblasti dohledu, například žádosti o provedení prověrek v souvislosti se zprávami o posouzení shody podle článků 20 a 21.

2. Orgán dohledu, jemuž byla podána žádost o pomoc, může tuto žádost zamítnout z kteréhokoliv z těchto důvodů:

a)	orgán dohledu není k poskytnutí požadované pomoci příslušný;

b)	požadovaná pomoc je nepřiměřená činnostem v oblasti dohledu, které daný orgán dohledu vykonává v souladu s článkem 17;

c)	poskytnutí požadované pomoci by nebylo slučitelné s tímto nařízením.

3. Členské státy mohou svým příslušným orgánům dohledu případně povolit provádět společná šetření, na nichž se podílejí pracovníci orgánů dohledu z ostatních členských států. Ujednání a postupy pro tyto společné akce dohodnou a zavedou dotčené členské státy v souladu se svými vnitrostátními právními předpisy.

Článek 20

Dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru

1. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru se na vlastní náklady alespoň jednou za 24 měsíců podrobí auditu ze strany subjektu posuzování shody. Účelem auditu je potvrzení toho, že kvalifikovaní poskytovatelé služeb vytvářejících důvěru i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru předloží výslednou zprávu o posouzení shody do tří pracovních dnů od jejího obdržení orgánu dohledu.

2. Aniž je dotčen odstavec 1, může orgán dohledu u kvalifikovaných poskytovatelů služeb vytvářejících důvěru na jejich náklady kdykoli provést audit nebo požádat subjekt posuzování shody o provedení posouzení shody za účelem potvrzení, že oni sami i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů, sdělí orgán dohledu výsledky svých auditů orgánům pro ochranu údajů.

3. Pokud orgán dohledu požaduje, aby kvalifikovaný poskytovatel služeb vytvářejících důvěru napravil neplnění požadavků podle tohoto nařízení, a tento poskytovatel ve lhůtě případně stanovené orgánem dohledu neučiní příslušné kroky, může orgán dohledu zejména s přihlédnutím k rozsahu, délce trvání a důsledkům daného neplnění odejmout danému poskytovateli a jím poskytované dotčené službě status kvalifikovaného poskytovatele nebo kvalifikované služby a informovat o této skutečnosti subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1. Orgán dohledu vyrozumí daného kvalifikovaného poskytovatele služeb vytvářejících důvěru o odnětí statusu kvalifikovaného poskytovatele nebo kvalifikované služby.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro:

a)	akreditaci subjektů posuzování shody a pro zprávy o posouzení shody podle odstavce 1;

b)	pravidla auditu, podle nichž budou subjekty posuzování shody provádět posuzování shody kvalifikovaných poskytovatelů služeb vytvářejících důvěru podle odstavce 1.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 21

Zahájení poskytování kvalifikované služby vytvářející důvěru

1. Pokud mají poskytovatelé služeb vytvářejících důvěru bez statusu kvalifikovaného poskytovatele v úmyslu začít poskytovat kvalifikované služby vytvářející důvěru, předloží orgánu dohledu oznámení o svém úmyslu společně se zprávou o posouzení shody vydanou subjektem posuzování shody.

2. Orgán dohledu ověří, zda poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení, zejména požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru a na jimi poskytované kvalifikované služby vytvářející důvěru.

Dojde-li orgán dohledu k závěru, že poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru splňují požadavky uvedené v prvním pododstavci, udělí orgán dohledu tomuto poskytovateli služeb vytvářejících důvěru a jím poskytovaným službám vytvářejícím důvěru status kvalifikovaného poskytovatele nebo kvalifikované služby a uvědomí o tom subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1, a to do tří měsíců od obdržení oznámení podle odstavce 1 tohoto článku.

Není-li ověření dokončeno do tří měsíců od oznámení, vyrozumí orgán dohledu poskytovatele služeb vytvářejících důvěru a uvede důvody prodlení a dobu, v níž bude ověřování dokončeno.

3. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru mohou začít danou kvalifikovanou službu vytvářející důvěru poskytovat poté, co byl status kvalifikovaného poskytovatele nebo kvalifikované služby vyznačen v důvěryhodných seznamech uvedených v čl. 22 odst. 1.

4. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy pro účely odstavců 1 a 2. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 44

Požadavky na kvalifikované služby elektronického doporučeného doručování

1. Kvalifikované služby elektronického doporučeného doručování musí splňovat tyto požadavky:

a)	jsou poskytovány jedním či více kvalifikovanými poskytovateli služeb vytvářejících důvěru;

b)	s vysokou úrovní spolehlivosti zajišťují identifikaci odesílatele;

c)	zajišťují identifikaci příjemce před doručením dat;

d)	odesílání a přijímání dat je zabezpečeno prostřednictvím zaručeného elektronického podpisu nebo zaručené elektronické pečeti kvalifikovaného poskytovatele služeb vytvářejících důvěru tak, aby byla vyloučena možnost nezjistitelné změny dat;

e)	odesílatel a příjemce dat jsou jednoznačně vyrozuměni o případných změnách dat potřebných za účelem odeslání nebo přijetí dat;

f)	datum a čas odeslání, přijetí a případná změna dat jsou označeny prostřednictvím kvalifikovaného elektronického časového razítka.

V případě přenosu dat mezi dvěma či více kvalifikovanými poskytovateli služeb vytvářejících důvěru se požadavky uvedené v písm. a) až f) vztahují na všechny tyto kvalifikované poskytovatele služeb vytvářejících důvěru.

2. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro postupy odesílání a přijímání dat. Pokud postup odesílání a přijímání dat vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v odstavci 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

ODDÍL 8

Autentizace internetových stránek

whereas

(10) Směrnice Evropského parlamentu a Rady 2011/24/EU (6) zřídila síť vnitrostátních orgánů odpovědných za elektronické zdravotnictví.
V zájmu zvýšení bezpečnosti a zajištění kontinuity přeshraniční zdravotní péče je tato síť povinna vypracovat pokyny k přeshraničnímu přístupu k elektronickým zdravotním údajům a službám, mimo jiné podporou „společných opatření pro identifikaci a ověřování za účelem snadnější přenositelnosti údajů v rámci přeshraniční zdravotní péče“.
Vzájemné uznávání elektronické identifikace a autentizace je hlavním předpokladem pro to, aby se přeshraniční zdravotní péče stala pro evropské občany skutečností.
Pokud občané cestují za účelem lékařského ošetření, musí být údaje o jejich zdravotním stavu dostupné v zemi, v níž je léčba poskytována.
To vyžaduje řádný, bezpečný a důvěryhodný rámec pro elektronickou identifikaci.

- = -

(20) Spolupráce členských států by měla usnadnit technickou interoperabilitu oznámených systémů elektronické identifikace v zájmu podpory vysoké úrovně důvěryhodnosti a bezpečnosti odpovídající míře rizika.
Této spolupráci by měla napomoci výměna informací a sdílení osvědčených postupů mezi členskými státy za účelem jejich vzájemného uznávání.

- = -

(21) Toto nařízení by mělo stanovit rovněž obecný právní rámec pro využívání služeb vytvářejících důvěru.
Nemělo by však zakládat obecnou povinnost používat tyto služby ani zřídit přístupový bod pro všechny existující služby vytvářející důvěru.
Zejména by se nemělo vztahovat na poskytování služeb, které jsou využívány výhradně uvnitř uzavřených systémů mezi určeným okruhem účastníků a nemají žádný vliv na třetí osoby.
Požadavky tohoto nařízení by se neměly například vztahovat na systémy zavedené v podnicích nebo v orgánech veřejné správy za účelem řízení vnitřních postupů využívajících služby vytvářející důvěru.
Měly by jim podléhat pouze služby vytvářející důvěru, které jsou poskytovány veřejnosti a které mají vliv na třetí osoby.
Toto nařízení by se nemělo vztahovat ani na aspekty související s uzavíráním a platností smluv nebo jiných právních povinností, pokud existují požadavky na formu stanovené vnitrostátním právem nebo právem Unie.
Neměly by jím být dotčeny ani vnitrostátní požadavky na formu týkající se veřejných rejstříků, zejména obchodních rejstříků a katastrů nemovitostí.

- = -

(25) Členské státy by měly mít možnost stanovit kromě služeb vytvářejících důvěru, jež jsou součástí uzavřeného seznamu služeb vytvářejících důvěru stanoveného v tomto nařízení, i jiné druhy služeb vytvářejících důvěru za účelem jejich uznávání na vnitrostátní úrovni jako kvalifikovaných služeb vytvářejících důvěru.

- = -

(28) Ke zvýšení důvěry zejména malých a středních podniků a spotřebitelů ve vnitřní trh a na podporu používání služeb vytvářejících důvěru a produktů by měly být zavedeny pojmy „kvalifikované služby vytvářející důvěru“ a „kvalifikovaný poskytovatel služeb vytvářejících důvěru“ za účelem stanovení požadavků a povinností, které zajistí vysokou úroveň bezpečnosti všech používaných nebo poskytovaných kvalifikovaných služeb vytvářejících důvěru a produktů.

- = -

(37) Toto nařízení by mělo stanovit odpovědnost pro všechny poskytovatele služeb vytvářejících důvěru.
Zejména zavádí režim odpovědnosti, podle kterého by všichni poskytovatelé služeb vytvářejících důvěru měli odpovídat za škodu, kterou fyzické nebo právnické osobě způsobí v důsledku nesplnění povinností podle tohoto nařízení.
Za účelem snadnějšího posouzení finančního rizika, které poskytovatelé služeb vytvářejících důvěru mohou být nuceni nést nebo které by mělo být kryto jejich pojistnou smlouvou, toto nařízení poskytovatelům služeb vytvářejících důvěru umožňuje stanovit za určitých podmínek omezení týkající se využívání jimi poskytovaných služeb a zprostit se odpovědnosti za škody vyplývající z využívání služeb nad rámec těchto omezení.
Zákazníci by měli být o těchto omezeních předem řádně informováni.
Tato omezení by měla být rozpoznatelná pro třetí osoby, například tím, že informace o těchto omezeních budou zahrnuty v podmínkách poskytované služby, nebo jinými rozpoznatelnými prostředky.
Za účelem účinného uplatňování těchto zásad by se toto nařízení mělo použít v souladu s vnitrostátními pravidly odpovědnosti.
Tato vnitrostátní pravidla týkající se například vymezení škody, úmyslu nebo nedbalosti nebo související platná procesní pravidla proto tímto nařízením nejsou dotčena.

- = -

(47) Důvěra v on-line služby a pohodlí, které tyto služby nabízejí, jsou zásadní pro to, aby mohli uživatelé plně využívat elektronických služeb a vědomě se na ně spoléhat.
Za tímto účelem by měla být vytvořena značka důvěry EU, jež by označovala kvalifikované služby vytvářející důvěru poskytované kvalifikovanými poskytovateli služeb vytvářejících důvěru.
Tato značka důvěry EU pro kvalifikované služby vytvářející důvěru by tyto služby jasně odlišila od ostatních služeb vytvářejících důvěru, a tím by přispěla k transparentnosti na trhu.
Používání značky důvěry EU kvalifikovanými poskytovateli služeb vytvářejících důvěru by mělo být dobrovolné a nemělo by vést k uložení žádných jiných požadavků kromě těch, které jsou stanoveny v tomto nařízení.

- = -

(53) Pozastavení platnosti kvalifikovaných certifikátů je jedním ze zavedených operativních postupů poskytovatelů služeb vytvářejících důvěru v řadě členských států, který se liší od zneplatnění a znamená dočasnou ztrátu platnosti certifikátu.
V zájmu právní jistoty je nezbytné, aby bylo pozastavení platnosti certifikátu vždy jasně vyznačeno.
Za tímto účelem by měli být poskytovatelé služeb vytvářejících důvěru odpovědní za jasné vyznačení statusu certifikátu a – v případě jeho pozastavení jeho platnosti – přesné doby, na kterou byla platnost certifikátu pozastavena.
Toto nařízení by nemělo poskytovatelům služeb vytvářejících důvěru ani členským státům ukládat povinnost pozastavení platnosti uplatňovat, ale mělo by stanovit transparentní pravidla ohledně toho, kdy a kde je tento postup k dispozici.

- = -

(67) Služby autentizace internetových stránek poskytují prostředek, s jehož pomocí se návštěvník určitých internetových stránek může ujistit, že tyto stránky reprezentují skutečný a legitimní subjekt.
Tyto služby přispívají k budování důvěryhodnosti a důvěry v on-line obchodování, neboť uživatelé budou mít důvěru v internetové stránky, které byly autentizovány.
Poskytování a využívání služeb autentizace internetových stránek je zcela dobrovolné.
Aby se však autentizace internetových stránek stala prostředkem pro posílení důvěryhodnosti, zlepšení zkušeností uživatelů a podporu růstu na vnitřním trhu, mělo by toto nařízení stanovit pro poskytovatele a jejich služby minimální povinnosti v oblasti bezpečnosti a odpovědnosti.
Za tímto účelem byly zohledněny výsledky dosavadních iniciativ vedených odvětvím, jako například fóra pro certifikační orgány a vyhledávače – fórum CA/B.
Kromě toho by toto nařízení nemělo bránit používání jiných prostředků nebo metod pro autentizaci internetových stránek, na které se toto nařízení nevztahuje, ani by nemělo poskytovatelům služeb autentizace internetových stránek pocházejícím ze třetích zemí bránit v tom, aby své služby poskytovali zákazníkům v Unii.
Služby autentizace internetových stránek nabízené poskytovatelem ze třetí země by však měly být uznány jako kvalifikované služby podle tohoto nařízení pouze v případě, že byla uzavřena mezinárodní dohoda mezi Unií a zemí, v níž je poskytovatel usazen.

- = -

(70) Za účelem pružného a rychlého doplnění určitých podrobných technických aspektů tohoto nařízení by měla být Komisi svěřena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU, pokud jde o kritéria, která musí splňovat subjekty odpovědné za certifikaci kvalifikovaných prostředků pro vytváření elektronických podpisů.
Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni.
Při přípravě a vypracování aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě.

- = -

(71) Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci, zejména k určení referenčních čísel norem, jejichž použití zakládá předpoklad shody s určitými požadavky stanovenými v tomto nařízení.
Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (12).

- = -

keyboard_tab EIDAS 2014/0910 CS

EIDAS 2014/0910 CS