EIDAS 2014/0910 CS

1)	„elektronickou identifikací“ postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující právnickou osobu;

2)	„prostředkem pro elektronickou identifikaci“ hmotná či nehmotná jednotka obsahující osobní identifikační údaje, která se používá k autentizaci pro účely on-line služby;

3)	„osobními identifikačními údaji“ soubor údajů umožňujících určit totožnost fyzické či právnické osoby nebo fyzické osoby zastupující právnickou osobu;

4)	„systémem elektronické identifikace“ systém pro elektronickou identifikaci, na jehož základě jsou fyzickým či právnickým osobám nebo fyzickým osobám zastupujícím právnické osoby vydávány prostředky pro elektronickou identifikaci;

5)	„autentizací“ elektronický postup, který umožňuje potvrdit elektronickou identifikaci fyzické či právnické osoby nebo původ a integritu dat v elektronické podobě;

6)	„spoléhající se stranou“ fyzická nebo právnická osoba, která se spoléhá na elektronickou identifikaci nebo službu vytvářející důvěru;

„subjektem veřejného sektoru“ státní, regionální nebo místní orgán, veřejnoprávní subjekt, sdružení vytvořené jedním nebo několika takovými orgány nebo jedním nebo několika takovými veřejnoprávními subjekty nebo soukromý subjekt, který byl alespoň jedním z těchto orgánů, subjektů nebo sdružení pověřen poskytovat veřejné služby, jedná-li na základě tohoto pověření;

8)	„veřejnoprávním subjektem“ subjekt vymezený v čl. 2 odst. 1 bodě 4 směrnice Evropského parlamentu a Rady 2014/24/EU (15);

9)	„podepisující osobou“ fyzická osoba, která vytváří elektronický podpis;

10)	„elektronickým podpisem“ data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání;

11)	„zaručeným elektronickým podpisem“ elektronický podpis, který splňuje požadavky stanovené v článku 26;

12)	„kvalifikovaným elektronickým podpisem“ zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy;

13)	„daty pro vytváření elektronických podpisů“ jedinečná data, která podepisující osoba používá k vytváření elektronických podpisů;

14)	„certifikátem pro elektronický podpis“ elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby;

15)	„kvalifikovaným certifikátem pro elektronický podpis“ certifikát pro elektronický podpis, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze I;

16)

„službou vytvářející důvěru“ elektronická služba, která je zpravidla poskytována za úplatu a spočívá:

a)	ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo

b)	ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo

c)	v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami;

17)	„kvalifikovanou službou vytvářející důvěru“ služba vytvářející důvěru, která splňuje použitelné požadavky stanovené v tomto nařízení;

18)

„subjektem posuzování shody“ subjekt vymezený v čl. 2 bodě 13 nařízení (ES) č. 765/2008, který je v souladu s uvedeným nařízením akreditován jako způsobilý provádět posuzování shody kvalifikovaného poskytovatele služeb vytvářejících důvěru a jím poskytovaných kvalifikovaných služeb vytvářejících důvěru;

19)	„poskytovatelem služeb vytvářejících důvěru“ fyzická nebo právnická osoba, která poskytuje jednu či více služeb vytvářejících důvěru buď jako kvalifikovaný, nebo jako nekvalifikovaný poskytovatel služeb vytvářejících důvěru;

20)	„kvalifikovaným poskytovatelem služeb vytvářejících důvěru“ poskytovatel služeb vytvářejících důvěru, který poskytuje jednu či více kvalifikovaných služeb vytvářejících důvěru a kterému orgán dohledu udělil status kvalifikovaného poskytovatele;

21)	„produktem“ technické zařízení nebo programové vybavení či jejich příslušné součásti, které jsou určeny k používání pro poskytování služeb vytvářejících důvěru;

22)	„prostředkem pro vytváření elektronických podpisů“ konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických podpisů;

23)	„kvalifikovaným prostředkem pro vytváření elektronických podpisů“ prostředek pro vytváření elektronických podpisů, který splňuje požadavky stanovené v příloze II;

24)	„pečetící osobou“ právnická osoba, která vytváří elektronickou pečeť;

25)	„elektronickou pečetí“ data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu;

26)	„zaručenou elektronickou pečetí“ elektronická pečeť, která splňuje požadavky stanovené v článku 36;

27)	„kvalifikovanou elektronickou pečetí“ zaručená elektronická pečeť, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a která je založena na kvalifikovaném certifikátu pro elektronickou pečeť;

28)	„daty pro vytváření elektronických pečetí“ jedinečná data, která pečetící osoba používá k vytváření elektronických pečetí;

29)	„certifikátem pro elektronickou pečeť“ elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických pečetí s určitou právnickou osobou a potvrzuje název této osoby;

30)	„kvalifikovaným certifikátem pro elektronickou pečeť“ certifikát pro elektronickou pečeť, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze III;

31)	„prostředkem pro vytváření elektronických pečetí“ konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických pečetí;

32)	„kvalifikovaným prostředkem pro vytváření elektronických pečetí“ prostředek pro vytváření elektronických pečetí, který přiměřeně splňuje požadavky stanovené v příloze II;

33)	„elektronickým časovým razítkem“ data v elektronické podobě, která spojují jiná data v elektronické podobě s určitým okamžikem a prokazují, že tato jiná data existovala v daném okamžiku;

34)	„kvalifikovaným elektronickým časovým razítkem“ elektronické časové razítko, které splňuje požadavky stanovené v článku 42;

35)	„elektronickým dokumentem“ jakýkoli obsah uchovávaný v elektronické podobě, zejména jako text nebo zvuková, vizuální nebo audiovizuální nahrávka;

36)

„službou elektronického doporučeného doručování“ služba, která umožňuje přenášet data mezi třetími osobami elektronickými prostředky a poskytuje důkazy týkající se nakládání s přenášenými daty, včetně dokladu o odeslání a přijetí dat, a která chrání přenášená data před rizikem ztráty, odcizení, poškození nebo neoprávněných změn;

37)	„kvalifikovanou službou elektronického doporučeného doručování“ služba elektronického doporučeného doručování, která splňuje požadavky stanovené v článku 44;

38)	„certifikátem pro autentizaci internetových stránek“ potvrzení, které umožňuje autentizovat internetové stránky a spojuje je s fyzickou nebo právnickou osobou, jíž je certifikát vydán;

39)	„kvalifikovaným certifikátem pro autentizaci internetových stránek“ certifikát pro autentizaci internetových stránek, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze IV;

40)	„daty pro ověřování platnosti“ data, která se používají k ověření platnosti elektronického podpisu nebo elektronické pečeti;

41)	„ověřováním platnosti“ postup ověřující shodu a potvrzující platnost elektronického podpisu nebo elektronické pečeti.

Článek 6

Vzájemné uznávání

1. Pokud se podle vnitrostátního práva nebo správní praxe pro přístup ke službě poskytované on-line subjektem veřejného sektoru v určitém členském státě vyžaduje elektronická identifikace s použitím prostředku pro elektronickou identifikaci a autentizace, je pro účely přeshraniční autentizace pro danou on-line službu uznán v tomto členském státě prostředek pro elektronickou identifikaci vydaný v jiném členském státě, pokud jsou splněny tyto podmínky:

a)	daný prostředek pro elektronickou identifikaci je vydán v rámci systému elektronické identifikace, který je uveden na seznamu zveřejněném Komisí podle článku 9;

úroveň záruky daného prostředku pro elektronickou identifikaci odpovídá stejné úrovni záruky, jako je úroveň záruky požadovaná příslušným subjektem veřejného sektoru v prvním členském státě pro přístup k dané on-line službě, nebo vyšší úrovni, pokud úroveň záruky daného prostředku pro elektronickou identifikaci odpovídá značné nebo vysoké úrovni záruky;

c)	příslušný subjekt veřejného sektoru používá v souvislosti s přístupem k dané on-line službě značnou nebo vysokou úroveň záruky.

K tomuto uznání dojde do dvanácti měsíců od zveřejnění seznamu uvedeného v prvním pododstavci písm. a) Komisí.

2. Pro účely přeshraniční autentizace pro on-line službu poskytovanou subjekty veřejného sektoru mohou tyto subjekty uznat prostředek pro elektronickou identifikaci, který byl vydán v rámci systému elektronické identifikace uvedeného na seznamu zveřejněném Komisí podle článku 9 a který odpovídá nízké úrovni záruky.

Článek 14

Mezinárodní aspekty

1. Služby vytvářející důvěru poskytované poskytovateli služeb vytvářejících důvěru usazenými ve třetí zemi se uznávají jako právně rovnocenné kvalifikovaným službám vytvářejícím důvěru poskytovaným kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými v Unii, pokud jsou služby vytvářející důvěru pocházející ze třetí země uznány na základě dohody uzavřené mezi Unií a dotyčnou třetí zemí nebo mezinárodní organizací v souladu s článkem 218 Smlouvy o fungování EU.

2. Dohody uvedené v odstavci 1 zejména zajistí, aby:

poskytovatelé služeb vytvářejících důvěru v třetí zemi nebo mezinárodní organizaci, s níž je dohoda uzavřena, a jimi poskytované služby vytvářející důvěru splňovali požadavky vztahující se na kvalifikované poskytovatele služeb vytvářejících důvěru usazené v Unii a jimi poskytované kvalifikované služby vytvářející důvěru;

kvalifikované služby vytvářející důvěru poskytované kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými v Unii byly uznány jako právně rovnocenné službám vytvářejícím důvěru poskytovaným poskytovateli služeb vytvářejících důvěru v třetí zemi nebo mezinárodní organizaci, s níž je dohoda uzavřena.

Článek 19

Bezpečnostní požadavky vztahující se na poskytovatele služeb vytvářejících důvěru

1. Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru přijmou vhodná technická a organizační opatření k řízení rizik ohrožujících bezpečnost jimi poskytovaných služeb vytvářejících důvěru. S ohledem na nejnovější technologický vývoj musí tato opatření zajišťovat úroveň bezpečnosti, která je přiměřená míře rizika. Zejména musí být přijata opatření k zabránění bezpečnostním incidentům, k minimalizaci jejich dopadů a k informování zúčastněných stran o nepříznivých dopadech těchto incidentů.

2. Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru vyrozumí orgán dohledu a případné další příslušné subjekty, jako jsou příslušný vnitrostátní orgán pro bezpečnost informací nebo orgán pro ochranu údajů, o každém narušení bezpečnosti nebo ztrátě integrity, jež mají významný dopad na poskytovanou službu vytvářející důvěru nebo na uchovávané osobní údaje, a to bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy toto narušení zjistili.

Může-li mít narušení bezpečnosti nebo ztráta integrity nepříznivý dopad na fyzickou nebo právnickou osobu, jíž byla služba vytvářející důvěru poskytnuta, vyrozumí poskytovatel služeb vytvářejících důvěru o daném narušení bezpečnosti nebo dané ztrátě integrity bez zbytečného odkladu také tuto fyzickou nebo právnickou osobu.

Je-li to vhodné, zejména týká-li se narušení bezpečnosti nebo ztráta integrity dvou nebo více členských států, uvědomí vyrozuměný orgán dohledu orgány dohledu v ostatních dotčených členských státech a ENISA.

Vyrozuměný orgán dohledu informuje veřejnost nebo požádá, aby tak učinil poskytovatel služeb vytvářejících důvěru, pokud rozhodne, že zveřejnění informací o narušení bezpečnosti nebo ztrátě integrity je ve veřejném zájmu.

3. Orgán dohledu poskytne ENISA jednou ročně shrnutí oznámení o narušení bezpečnosti a ztrátě integrity, která od poskytovatelů služeb vytvářejících důvěru obdržel.

4. Komise může prostřednictvím prováděcích aktů:

a)	dále upřesnit opatření uvedená v odstavci 1 a

b)	stanovit formáty a postupy, včetně lhůt, použitelné pro účely odstavce 2.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

ODDÍL 3

Kvalifikované služby vytvářející důvěru

Článek 25

Právní účinky elektronických podpisů

1. Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy.

2. Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu.

3. Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech.

Článek 26

Požadavky na zaručené elektronické podpisy

Zaručený elektronický podpis musí splňovat tyto požadavky:

a)	je jednoznačně spojen s podepisující osobou;

b)	umožňuje identifikaci podepisující osoby;

c)	je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou; a

d)	je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.

Článek 35

Právní účinky elektronických pečetí

1. Elektronické pečeti nesmějí být upírány právní účinky a nesmí být odmítána jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické pečetě.

2. U kvalifikované elektronické pečeti platí domněnka integrity dat a správnosti původu těch dat, s nimiž je kvalifikovaná elektronická pečeť spojena.

3. Kvalifikovaná elektronická pečeť založená na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaná elektronická pečeť ve všech ostatních členských státech.

Článek 36

Požadavky na zaručené elektronické pečetě

Zaručená elektronická pečeť musí splňovat tyto požadavky:

a)	je jednoznačně spojena s pečetící osobou;

b)	umožňuje identifikaci pečetící osoby;

c)	je vytvořena pomocí dat pro vytváření elektronických pečetí, která může pečetící osoba s vysokou úrovní důvěry použít k vytváření elektronické pečeti pod svou kontrolou; a

d)	je k datům, ke kterým se vztahuje, připojena takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.

Článek 41

Právní účinek elektronických časových razítek

1. Elektronickému časovému razítku nesmějí být upírány právní účinky a nesmí být odmítáno jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické časové razítko.

2. U kvalifikovaného elektronického časového razítka platí domněnka správnosti data a času, které udává, a integrity dat, s nimiž jsou toto datum a tento čas spojeny.

3. Kvalifikované elektronické časové razítko vydané v jednom členském státě se uznává jako kvalifikované elektronické časové razítko ve všech členských státech.

Článek 43

Právní účinek služby elektronického doporučeného doručování

1. Datům odeslaným a přijatým prostřednictvím služby elektronického doporučeného doručování nesmějí být upírány právní účinky a nesmějí být odmítána jako důkaz v soudním a správním řízení pouze z toho důvodu, že mají elektronickou podobu nebo že nesplňují požadavky na kvalifikovanou službu elektronického doporučeného doručování.

2. U dat odeslaných a přijatých prostřednictvím kvalifikované služby elektronického doporučeného doručování platí domněnka integrity dat, odeslání těchto dat identifikovaným odesílatelem, jejich přijetí identifikovaným příjemcem a správnosti data a času odeslání a přijetí, jež jsou u kvalifikované služby elektronického doporučeného doručování uvedeny.

Článek 46

Právní účinky elektronických dokumentů

Elektronickému dokumentu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu.

KAPITOLA V

PŘENESENÍ PRAVOMOCI A PROVÁDĚCÍ USTANOVENÍ

Článek 52

Vstup v platnost

1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2. Toto nařízení se použije ode dne 1. července 2016, s těmito výjimkami:

čl. 8 odst. 3, čl. 9 odst. 5, čl. 12 odst. 2 až 9, čl. 17 odst. 8, čl. 19 odst. 4, čl. 20 odst. 4, čl. 21 odst. 4, čl. 22 odst. 5, čl. 23 odst. 3, čl. 24 odst. 5, čl. 27 odst. 4 a 5, čl. 28 odst. 6, čl. 29 odst. 2, čl. 30 odst. 3 a 4, čl. 31 odst. 3, čl. 32 odst. 3, čl. 33 odst. 2, čl. 34 odst. 2, čl. 37 odst. 4 a 5, čl. 38 odst. 6, čl. 42 odst. 2, čl. 44 odst. 2, čl. 45 odst. 2 a články 47 a 48 se použijí ode dne 17. září 2014;

b)	článek 7, čl. 8 odst. 1 a 2, články 9, 10 a 11 a čl. 12 odst. 1 se použijí ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8;

c)	článek 6 se použije od uplynutí tří let ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8.

3. Pokud je oznámený systém elektronické identifikace na seznamu, který Komise zveřejní podle článku 9, uveden přede dnem uvedeným v odst. 2 písm. c) tohoto článku, dojde k uznání prostředků pro elektronickou identifikaci v rámci tohoto systému podle článku 6 nejpozději dvanáct měsíců po zveřejnění tohoto systému, avšak nejdříve ke dni uvedenému v odst. 2 písm. c) tohoto článku.

4. Bez ohledu na odst. 2 písm. c) tohoto článku může členský stát rozhodnout, že prostředky pro elektronickou identifikaci v rámci systému elektronické identifikace, který jiný členský stát oznámil podle čl. 9 odst. 1, se v prvním členském státě uznávají ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8. Dotyčné členské státy informují Komisi. Komise tyto informace zveřejní.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 23. července 2014.

Za Evropský parlament

předseda

M. SCHULZ

Za Radu

předseda

S. GOZI

(1) Úř. věst. C 351, 15.11.2012, s. 73.

(2) Postoj Evropského parlamentu ze dne 3. dubna 2014 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 23. července 2014.

(3) Směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy (Úř. věst. L 13, 19.1.2000, s. 12).

(4) Úř. věst. C 50 E, 21.2.2012, s. 1.

(5) Směrnice Evropského parlamentu a Rady 2006/123/ES ze dne 12. prosince 2006 o službách na vnitřním trhu (Úř. věst. L 376, 27.12.2006, s. 36).

(6) Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45).

(7) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).

(8) Rozhodnutí Rady 2010/48/ES ze dne 26. listopadu 2009 o uzavření Úmluvy Organizace spojených národů o právech osob se zdravotním postižením Evropským společenstvím (Úř. věst. L 23, 27.1.2010, s. 35).

(9) Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93 (Úř. věst. L 218, 13.8.2008, s. 30).

(10) Rozhodnutí Komise 2009/767/ES ze dne 16. října 2009, kterým se stanovují opatření pro usnadnění užití postupů s využitím elektronických prostředků prostřednictvím „jednotných kontaktních míst“ podle směrnice Evropského parlamentu a Rady 2006/123/ES o službách na vnitřním trhu (Úř. věst. L 274, 20.10.2009, s. 36).

(11) Rozhodnutí Komise 2011/130/EU ze dne 25. února 2011, kterým se stanoví minimální požadavky na přeshraniční zpracování dokumentů elektronicky podepsaných příslušnými orgány podle směrnice Evropského parlamentu a Rady 2006/123/ES o službách na vnitřním trhu (Úř. věst. L 53, 26.2.2011, s. 66).

(12) Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(13) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(14) Úř. věst. C 28, 30.1.2013, s. 6.

(15) Směrnice Evropského parlamentu a Rady 2014/24/EU ze dne 26. února 2014 o zadávání veřejných zakázek a o zrušení směrnice 2004/18/ES (Úř. věst. L 94, 28.3.2014, s. 65).

PŘÍLOHA I

POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO ELEKTRONICKÉ PODPISY

Kvalifikované certifikáty pro elektronické podpisy obsahují:

a)	označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronický podpis;

soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty, včetně alespoň členského státu, v němž je poskytovatel usazen, a

—	v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech,

—	v případě fyzické osoby: jméno osoby;

c)	alespoň jméno podepisující osoby nebo pseudonym. Je-li použit pseudonym, musí být tato skutečnost jasně vyznačena;

d)	data pro ověřování platnosti elektronických podpisů, která odpovídají datům pro vytváření elektronických podpisů;

e)	označení začátku a konce doby platnosti certifikátu;

f)	identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;

g)	zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;

h)	údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g);

i)	údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu;

j)	pokud jsou data pro vytváření elektronických podpisů spojená s daty pro ověřování platnosti elektronických podpisů obsažena v kvalifikovaném prostředku pro vytváření elektronických podpisů, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování.

PŘÍLOHA II

POŽADAVKY NA KVALIFIKOVANÉ PROSTŘEDKY PRO VYTVÁŘENÍ ELEKTRONICKÝCH PODPISŮ

Kvalifikované prostředky pro vytváření elektronických podpisů vhodnými technickými prostředky a postupy přinejmenším zajistí, aby:

a)	byla přiměřeně zajištěna důvěrnost dat pro vytváření elektronických podpisů, která byla použita při vytváření elektronického podpisu;

b)	data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu se mohla prakticky vyskytnout pouze jednou;

c)	bylo přiměřeně zajištěno, že data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu nelze odvodit a že elektronický podpis je v současnosti dostupnými technickými prostředky spolehlivě chráněn proti padělání;

d)	oprávněná podepisující osoba měla možnost data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu spolehlivě chránit před jejich zneužitím třetí osobou.

Kvalifikované prostředky pro vytváření elektronických podpisů nesmějí měnit podepisovaná data ani bránit tomu, aby byla tato data předložena podepisující osobě před vlastním podepsáním.

Data pro vytváření elektronických podpisů může jménem podepisující osoby vytvářet nebo spravovat pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru.

Aniž je dotčen bod 1 písm. d), smějí kvalifikovaní poskytovatelé služeb vytvářejících důvěru, kteří spravují data pro vytváření elektronických podpisů jménem podepisující osoby, kopírovat data pro vytváření elektronických podpisů pouze pro účely zálohování a jsou-li splněny tyto požadavky:

a)	bezpečnost zkopírovaných souborů dat je na stejné úrovni jako u původních souborů dat;

b)	počet zkopírovaných souborů dat nepřesáhne minimum potřebné pro zajištění kontinuity služby.

PŘÍLOHA III

POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO ELEKTRONICKÉ PEČETĚ

Kvalifikované certifikáty pro elektronické pečetě obsahují:

a)	označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronickou pečeť;

—	v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech,

—	v případě fyzické osoby: jméno osoby;

c)	alespoň jméno pečetící osoby a případné registrační číslo uvedené v úředních záznamech;

d)	data pro ověřování platnosti elektronických pečetí, která odpovídají datům pro vytváření elektronických pečetí;

e)	označení začátku a konce doby platnosti certifikátu;

f)	identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;

g)	zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;

h)	údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g);

i)	údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu;

j)	pokud jsou data pro vytváření elektronických pečetí spojená s daty pro ověřování platnosti elektronických pečetí obsažena v kvalifikovaném prostředku pro vytváření elektronických pečetí, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování.

PŘÍLOHA IV

POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO AUTENTIZACI INTERNETOVÝCH STRÁNEK

Kvalifikované certifikáty pro autentizaci internetových stránek obsahují:

a)	označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro autentizaci internetových stránek;

—	v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech,

—	v případě fyzické osoby: jméno osoby;

c)	v případě fyzických osob: alespoň jméno osoby, jíž byl certifikát vydán, nebo pseudonym. Je-li použit pseudonym, musí být tato skutečnost jasně vyznačena; v případě právnických osob: alespoň název právnické osoby, jíž byl certifikát vydán, a případné registrační číslo uvedené v úředních záznamech;

d)	údaje z adresy (včetně alespoň města a státu) fyzické nebo právnické osoby, jíž je certifikát vydán, jak je uvedena v případných úředních záznamech;

e)	název domény nebo domén, které provozuje fyzická nebo právnická osoba, jíž je certifikát vydán;

f)	označení začátku a konce doby platnosti certifikátu;

g)	identifikační číslo certifikátu, které musí být jedinečné u daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;

h)	zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;

i)	údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene h);

j)	údaj o umístění služeb pro ověření platnosti certifikátu, které lze využít k zjištění platnosti kvalifikovaného certifikátu.

whereas

(4) Ve sdělení Komise ze dne 26.
srpna 2010 s názvem „Digitální agenda pro Evropu“ byly jako hlavní překážky účinného cyklu digitální ekonomiky označeny roztříštěnost digitálního trhu, nedostatečná interoperabilita a nárůst kyberkriminality.
Ve své zprávě o občanství EU za rok 2010 s názvem „Odstranit překážky pro výkon práv občanů EU“ dále Komise vyzdvihla potřebu odstranit hlavní problémy, které občanům Unie brání ve využívání výhod jednotného digitálního trhu a přeshraničních digitálních služeb.

- = -

(6) Rada ve svých závěrech ze dne 27.
května 2011 Komisi vyzvala, aby přispěla k jednotnému digitálnímu trhu vytvořením vhodných podmínek pro vzájemné přeshraniční uznávání klíčových prvků, jako jsou elektronická identifikace, elektronické dokumenty, elektronické podpisy a služby elektronického doručování, a pro interoperabilní služby elektronické veřejné správy v celé Evropské unii.

- = -

(17) Členské státy by měly podporovat soukromý sektor, aby pro účely identifikace, je-li u on-line služeb nebo elektronických transakcí zapotřebí, dobrovolně používal prostředky pro elektronickou identifikaci v rámci oznámeného systému.
Možnost používat tyto prostředky pro elektronickou identifikaci by soukromému sektoru umožnila spoléhat se na elektronickou identifikaci a autentizaci, která se již v mnoha členských státech ve značné míře používá přinejmenším u veřejných služeb, a usnadnila by podnikům a občanům přeshraniční přístup k on-line službám.
V zájmu snazšího přeshraničního používání těchto prostředků pro elektronickou identifikaci soukromým sektorem by možnost autentizace zajišťovaná kterýmkoli členským státem měla být k dispozici i spoléhajícím se stranám ze soukromého sektoru, které jsou usazeny mimo území daného členského státu, a to za stejných podmínek jako pro spoléhající se strany ze soukromého sektoru, které v daném členském státě usazeny jsou.
Oznamující členský stát tak může stanovit podmínky přístupu spoléhajících se stran ze soukromého sektoru k prostředkům pro autentizaci.
Tyto podmínky přístupu mohou informovat o tom, zda je prostředek pro autentizaci související s oznámeným systémem v současnosti dostupný spoléhajícím se stranám ze soukromého sektoru.

- = -

(22) Aby se přispělo k obecnému přeshraničnímu využívání služeb vytvářejících důvěru, mělo by být možné použít je ve všech členských státech jako důkaz v soudním a správním řízení.
Je na vnitrostátním právu, aby vymezilo právní účinky služeb vytvářejících důvěru, nestanoví-li se v tomto nařízení jinak.

- = -

(25) Členské státy by měly mít možnost stanovit kromě služeb vytvářejících důvěru, jež jsou součástí uzavřeného seznamu služeb vytvářejících důvěru stanoveného v tomto nařízení, i jiné druhy služeb vytvářejících důvěru za účelem jejich uznávání na vnitrostátní úrovni jako kvalifikovaných služeb vytvářejících důvěru.

- = -

(29) V souladu se závazky podle Úmluvy OSN o právech osob se zdravotním postižením, která byla schválena rozhodnutím Rady 2010/48/ES (8), a zejména s jejím článkem 9, by osoby se zdravotním postižením měly mít možnost využívat služby vytvářející důvěru a konečné uživatelské produkty používané při poskytování těchto služeb stejně jako ostatní spotřebitelé.
Poskytované služby vytvářející důvěru a konečné uživatelské produkty používané při poskytování těchto služeb by proto měly být dostupné osobám se zdravotním postižením, je-li to proveditelné.
Součástí posouzení proveditelnosti by měly být mimo jiné technické a ekonomické aspekty.

- = -

(44) Cílem tohoto nařízení je zajistit soudržný rámec, který by v souvislosti se službami vytvářejícími důvěru zabezpečil vysokou úroveň bezpečnosti a právní jistotu.
V tomto směru by při úpravě posuzování shody produktů a služeb měla Komise ve vhodných případech usilovat o synergie se stávajícími příslušnými evropskými a mezinárodními režimy, jako je například nařízení Evropského parlamentu a Rady (ES) č. 765/2008 (9), které stanoví požadavky na akreditaci subjektů posuzování shody a dozor nad trhem s výrobky.

- = -

(49) Toto nařízení by mělo zavést zásadu, že elektronickému podpisu by neměly být upírány právní účinky na základě skutečnosti, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikovaný elektronický podpis.
Právní účinky elektronických podpisů v členských státech by však měly být vymezeny vnitrostátním právem, s výjimkou požadavků stanovených v tomto nařízení, podle něhož by měl mít kvalifikovaný elektronický podpis rovnocenný právní účinek jako podpis vlastnoruční.

- = -

(52) Vytváření elektronického podpisu na dálku, jehož prostředí spravuje poskytovatel služeb vytvářejících důvěru jménem podepisující osoby, přináší mnohé ekonomické výhody, a bude tedy pravděpodobně stále častější.
Aby však bylo zajištěno, že tyto elektronické podpisy budou z právního hlediska uznávány stejně jako elektronické podpisy, které jsou vytvářeny v prostředí spravovaném výlučně uživatelem, měli by poskytovatelé nabízející služby elektronického podpisu na dálku uplatňovat zvláštní postupy pro zajištění bezpečnosti v oblasti řízení a správy a používat důvěryhodné systémy a produkty zahrnující zabezpečené kanály pro elektronickou komunikaci, a zajistit tak spolehlivost prostředí, v němž jsou elektronické podpisy vytvářeny, a zaručit, že je toto prostředí používáno pod výlučnou kontrolou podepisující osoby.
V případě kvalifikovaného elektronického podpisu vytvořeného pomocí prostředku pro vytváření elektronických podpisů na dálku by se měly použít požadavky stanovené v tomto nařízení, které jsou použitelné na kvalifikované poskytovatele služeb vytvářejících důvěru.

- = -

(55) Certifikace bezpečnosti IT systémů založená na mezinárodních normách, jako jsou ISO 15408 a související hodnotící metody a mechanismy vzájemného uznávání, je důležitým nástrojem ověřování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a měla by být podporována.
Inovační řešení a služby, jako například podepisování prostřednictvím mobilního telefonu a podepisování v cloudech, se však opírají o technická a organizační řešení pro kvalifikované prostředky pro vytváření elektronických podpisů, pro něž bezpečnostní normy dosud nemusí být k dispozici nebo pro něž první certifikace bezpečnosti IT systémů dosud probíhá.
Pouze v případě, že bezpečnostní normy nejsou k dispozici nebo první certifikace bezpečnosti IT systémů probíhá, by mohla být úroveň bezpečnosti těchto kvalifikovaných prostředků pro vytváření elektronických podpisů posouzena alternativními postupy.
Tyto postupy by měly být srovnatelné s normami pro certifikaci bezpečnosti IT systémů, pokud jsou jejich úrovně bezpečnosti rovnocenné.
Vzájemné hodnocení by mohlo tyto postupy usnadnit.

- = -

(59) Elektronické pečetě by měly sloužit jako důkaz toho, že elektronický dokument vydala určitá právnická osoba, a poskytovat jistotu o původu a integritě dokumentu.

- = -

(67) Služby autentizace internetových stránek poskytují prostředek, s jehož pomocí se návštěvník určitých internetových stránek může ujistit, že tyto stránky reprezentují skutečný a legitimní subjekt.
Tyto služby přispívají k budování důvěryhodnosti a důvěry v on-line obchodování, neboť uživatelé budou mít důvěru v internetové stránky, které byly autentizovány.
Poskytování a využívání služeb autentizace internetových stránek je zcela dobrovolné.
Aby se však autentizace internetových stránek stala prostředkem pro posílení důvěryhodnosti, zlepšení zkušeností uživatelů a podporu růstu na vnitřním trhu, mělo by toto nařízení stanovit pro poskytovatele a jejich služby minimální povinnosti v oblasti bezpečnosti a odpovědnosti.
Za tímto účelem byly zohledněny výsledky dosavadních iniciativ vedených odvětvím, jako například fóra pro certifikační orgány a vyhledávače – fórum CA/B.
Kromě toho by toto nařízení nemělo bránit používání jiných prostředků nebo metod pro autentizaci internetových stránek, na které se toto nařízení nevztahuje, ani by nemělo poskytovatelům služeb autentizace internetových stránek pocházejícím ze třetích zemí bránit v tom, aby své služby poskytovali zákazníkům v Unii.
Služby autentizace internetových stránek nabízené poskytovatelem ze třetí země by však měly být uznány jako kvalifikované služby podle tohoto nařízení pouze v případě, že byla uzavřena mezinárodní dohoda mezi Unií a zemí, v níž je poskytovatel usazen.

- = -

keyboard_tab EIDAS 2014/0910 CS

EIDAS 2014/0910 CS