EIDAS 2014/0910 CS

1)	„elektronickou identifikací“ postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující právnickou osobu;

2)	„prostředkem pro elektronickou identifikaci“ hmotná či nehmotná jednotka obsahující osobní identifikační údaje, která se používá k autentizaci pro účely on-line služby;

3)	„osobními identifikačními údaji“ soubor údajů umožňujících určit totožnost fyzické či právnické osoby nebo fyzické osoby zastupující právnickou osobu;

4)	„systémem elektronické identifikace“ systém pro elektronickou identifikaci, na jehož základě jsou fyzickým či právnickým osobám nebo fyzickým osobám zastupujícím právnické osoby vydávány prostředky pro elektronickou identifikaci;

5)	„autentizací“ elektronický postup, který umožňuje potvrdit elektronickou identifikaci fyzické či právnické osoby nebo původ a integritu dat v elektronické podobě;

6)	„spoléhající se stranou“ fyzická nebo právnická osoba, která se spoléhá na elektronickou identifikaci nebo službu vytvářející důvěru;

„subjektem veřejného sektoru“ státní, regionální nebo místní orgán, veřejnoprávní subjekt, sdružení vytvořené jedním nebo několika takovými orgány nebo jedním nebo několika takovými veřejnoprávními subjekty nebo soukromý subjekt, který byl alespoň jedním z těchto orgánů, subjektů nebo sdružení pověřen poskytovat veřejné služby, jedná-li na základě tohoto pověření;

8)	„veřejnoprávním subjektem“ subjekt vymezený v čl. 2 odst. 1 bodě 4 směrnice Evropského parlamentu a Rady 2014/24/EU (15);

9)	„podepisující osobou“ fyzická osoba, která vytváří elektronický podpis;

10)	„elektronickým podpisem“ data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání;

11)	„zaručeným elektronickým podpisem“ elektronický podpis, který splňuje požadavky stanovené v článku 26;

12)	„kvalifikovaným elektronickým podpisem“ zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy;

13)	„daty pro vytváření elektronických podpisů“ jedinečná data, která podepisující osoba používá k vytváření elektronických podpisů;

14)	„certifikátem pro elektronický podpis“ elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby;

15)	„kvalifikovaným certifikátem pro elektronický podpis“ certifikát pro elektronický podpis, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze I;

16)

„službou vytvářející důvěru“ elektronická služba, která je zpravidla poskytována za úplatu a spočívá:

a)	ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo

b)	ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo

c)	v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami;

17)	„kvalifikovanou službou vytvářející důvěru“ služba vytvářející důvěru, která splňuje použitelné požadavky stanovené v tomto nařízení;

18)

„subjektem posuzování shody“ subjekt vymezený v čl. 2 bodě 13 nařízení (ES) č. 765/2008, který je v souladu s uvedeným nařízením akreditován jako způsobilý provádět posuzování shody kvalifikovaného poskytovatele služeb vytvářejících důvěru a jím poskytovaných kvalifikovaných služeb vytvářejících důvěru;

19)	„poskytovatelem služeb vytvářejících důvěru“ fyzická nebo právnická osoba, která poskytuje jednu či více služeb vytvářejících důvěru buď jako kvalifikovaný, nebo jako nekvalifikovaný poskytovatel služeb vytvářejících důvěru;

20)	„kvalifikovaným poskytovatelem služeb vytvářejících důvěru“ poskytovatel služeb vytvářejících důvěru, který poskytuje jednu či více kvalifikovaných služeb vytvářejících důvěru a kterému orgán dohledu udělil status kvalifikovaného poskytovatele;

21)	„produktem“ technické zařízení nebo programové vybavení či jejich příslušné součásti, které jsou určeny k používání pro poskytování služeb vytvářejících důvěru;

22)	„prostředkem pro vytváření elektronických podpisů“ konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických podpisů;

23)	„kvalifikovaným prostředkem pro vytváření elektronických podpisů“ prostředek pro vytváření elektronických podpisů, který splňuje požadavky stanovené v příloze II;

24)	„pečetící osobou“ právnická osoba, která vytváří elektronickou pečeť;

25)	„elektronickou pečetí“ data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu;

26)	„zaručenou elektronickou pečetí“ elektronická pečeť, která splňuje požadavky stanovené v článku 36;

27)	„kvalifikovanou elektronickou pečetí“ zaručená elektronická pečeť, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a která je založena na kvalifikovaném certifikátu pro elektronickou pečeť;

28)	„daty pro vytváření elektronických pečetí“ jedinečná data, která pečetící osoba používá k vytváření elektronických pečetí;

29)	„certifikátem pro elektronickou pečeť“ elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických pečetí s určitou právnickou osobou a potvrzuje název této osoby;

30)	„kvalifikovaným certifikátem pro elektronickou pečeť“ certifikát pro elektronickou pečeť, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze III;

31)	„prostředkem pro vytváření elektronických pečetí“ konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických pečetí;

32)	„kvalifikovaným prostředkem pro vytváření elektronických pečetí“ prostředek pro vytváření elektronických pečetí, který přiměřeně splňuje požadavky stanovené v příloze II;

33)	„elektronickým časovým razítkem“ data v elektronické podobě, která spojují jiná data v elektronické podobě s určitým okamžikem a prokazují, že tato jiná data existovala v daném okamžiku;

34)	„kvalifikovaným elektronickým časovým razítkem“ elektronické časové razítko, které splňuje požadavky stanovené v článku 42;

35)	„elektronickým dokumentem“ jakýkoli obsah uchovávaný v elektronické podobě, zejména jako text nebo zvuková, vizuální nebo audiovizuální nahrávka;

36)

„službou elektronického doporučeného doručování“ služba, která umožňuje přenášet data mezi třetími osobami elektronickými prostředky a poskytuje důkazy týkající se nakládání s přenášenými daty, včetně dokladu o odeslání a přijetí dat, a která chrání přenášená data před rizikem ztráty, odcizení, poškození nebo neoprávněných změn;

37)	„kvalifikovanou službou elektronického doporučeného doručování“ služba elektronického doporučeného doručování, která splňuje požadavky stanovené v článku 44;

38)	„certifikátem pro autentizaci internetových stránek“ potvrzení, které umožňuje autentizovat internetové stránky a spojuje je s fyzickou nebo právnickou osobou, jíž je certifikát vydán;

39)	„kvalifikovaným certifikátem pro autentizaci internetových stránek“ certifikát pro autentizaci internetových stránek, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze IV;

40)	„daty pro ověřování platnosti“ data, která se používají k ověření platnosti elektronického podpisu nebo elektronické pečeti;

41)	„ověřováním platnosti“ postup ověřující shodu a potvrzující platnost elektronického podpisu nebo elektronické pečeti.

Článek 7

Způsobilost systémů elektronické identifikace pro oznámení

Systém elektronické identifikace je způsobilý pro oznámení podle čl. 9 odst. 1, jsou-li splněny všechny tyto podmínky:

prostředky pro elektronickou identifikaci v rámci daného systému elektronické identifikace:

i)	vydává oznamující členský stát;

ii)	jsou vydávány z pověření oznamujícího členského státu; nebo

iii)	jsou vydávány nezávisle na oznamujícím členském státu a tento členský stát je uznává;

b)	prostředky pro elektronickou identifikaci v rámci daného systému elektronické identifikace lze použít pro přístup k alespoň jedné službě poskytované subjektem veřejného sektoru, u níž se v oznamujícím členském státě vyžaduje elektronická identifikace;

c)	daný systém elektronické identifikace a prostředky pro elektronickou identifikaci v rámci tohoto systému vydávané splňují požadavky alespoň na jednu z úrovní záruky stanovených v prováděcím aktu uvedeném v čl. 8 odst. 3;

oznamující členský stát zajišťuje, aby osobní identifikační údaje jedinečně identifikující danou osobu byly v okamžiku vydání prostředku pro elektronickou identifikaci v rámci daného systému v souladu s technickými specifikacemi, normami a postupy pro příslušnou úroveň záruky stanovenými v prováděcím aktu uvedeném v čl. 8 odst. 3 spojeny s fyzickou nebo právnickou osobou uvedenou v čl. 3 bodě 1;

strana vydávající prostředky pro elektronickou identifikaci v rámci daného systému zajišťuje, aby byl prostředek pro elektronickou identifikaci spojen s osobou uvedenou v písmeni d) tohoto článku v souladu s technickými specifikacemi, normami a postupy pro příslušnou úroveň záruky stanovenými v prováděcím aktu uvedeném v čl. 8 odst. 3;

oznamující členský stát zajišťuje dostupnost on-line autentizace tak, aby kterákoli spoléhající se strana usazená na území jiného členského státu byla schopna potvrdit osobní identifikační údaje, které obdržela v elektronické podobě.

V případě jiných spoléhajících se stran než subjektů veřejného sektoru může oznamující členský stát stanovit podmínky přístupu k této autentizaci. Tato přeshraniční autentizace se poskytuje bezplatně, pokud je prováděna v souvislosti s on-line službou poskytovanou subjektem veřejného sektoru.

Členské státy nesmějí spoléhajícím se stranám, které chtějí tuto autentizaci provést, ukládat zvláštní nepřiměřené technické požadavky, které by bránily interoperabilitě oznámených systémů elektronické identifikace nebo by ji významně ztěžovaly;

g)	nejméně šest měsíců před oznámením podle čl. 9 odst. 1 poskytne oznamující členský stát ostatním členským státům pro účely povinnosti stanovené v čl. 12 odst. 5 popis daného systému v souladu s procesními opatřeními stanovenými v prováděcích aktech uvedených v čl. 12 odst. 7;

h)	daný systém elektronické identifikace splňuje požadavky stanovené v prováděcím aktu uvedeném v čl. 12 odst. 8.

Článek 17

Orgán dohledu

1. Členské státy určí orgán dohledu usazený na jejich území nebo po vzájemné dohodě s jiným členským státem orgán dohledu usazený v tomto jiném členském státě. Tento orgán odpovídá za plnění úkolů v oblasti dohledu v členském státě, který provedl určení.

Orgánům dohledu musí být uděleny nezbytné pravomoci a odpovídající zdroje pro plnění jejich úkolů.

2. Členské státy sdělí Komisi názvy a adresy jimi určených orgánů dohledu.

3. Orgán dohledu má tyto úlohy:

vykonávat dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými na území členského státu, který provedl určení, s cílem zajistit prostřednictvím činností předběžného a následného dohledu, aby tito kvalifikovaní poskytovatelé služeb vytvářejících důvěru a jimi poskytované kvalifikované služby vytvářející důvěru splňovali požadavky stanovené v tomto nařízení;

v případě potřeby přijmout prostřednictvím činností následného dohledu opatření ve vztahu k nekvalifikovaným poskytovatelům služeb vytvářejících důvěru usazeným na území členského státu, který provedl určení, pokud je informován, že tito nekvalifikovaní poskytovatelé služeb vytvářejících důvěru nebo jimi poskytované služby vytvářející důvěru údajně nesplňují požadavky stanovené v tomto nařízení.

4. Pro účely odstavce 3 a s výhradou omezení stanovených v uvedeném odstavci patří mezi úkoly orgánu dohledu zejména tyto činnosti:

a)	spolupracovat s ostatními orgány dohledu a poskytovat jim pomoc v souladu s článkem 18;

b)	provádět analýzu zpráv o posouzení shody uvedených v čl. 20 odst. 1 a čl. 21 odst. 1;

c)	informovat ostatní orgány dohledu a veřejnost o případech narušení bezpečnosti nebo ztráty integrity v souladu s čl. 19 odst. 2;

d)	podávat Komisi zprávy o svých hlavních činnostech v souladu s odstavcem 6 tohoto článku;

e)	provádět audity kvalifikovaných poskytovatelů služeb vytvářejících důvěru nebo požadovat, aby subjekt posuzování shody provedl posouzení shody těchto poskytovatelů v souladu s čl. 20 odst. 2;

f)	spolupracovat s orgány pro ochranu údajů, zejména je bez zbytečného odkladu informovat o výsledcích auditů kvalifikovaných poskytovatelů služeb vytvářejících důvěru, jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů;

g)	udělovat poskytovatelům služeb vytvářejících důvěru a jimi poskytovaným službám status kvalifikovaného poskytovatele nebo kvalifikované služby a odnímat tento status v souladu s články 20 a 21;

h)	informovat subjekt odpovědný za vnitrostátní důvěryhodný seznam podle čl. 22 odst. 3 o svých rozhodnutích udělit nebo odejmout status kvalifikovaného poskytovatele nebo kvalifikované služby, pokud tento subjekt není rovněž orgánem dohledu;

i)	ověřovat existenci a správné uplatňování předpisů o plánech ukončení činnosti v případech, kdy kvalifikovaný poskytovatel služeb vytvářejících důvěru ukončí svou činnost, včetně způsobu zpřístupňování informací v souladu s čl. 24 odst. 2 písm. h);

j)	požadovat, aby poskytovatelé služeb vytvářejících důvěru napravili případné neplnění požadavků stanovených v tomto nařízení.

5. Členské státy mohou vyžadovat, aby orgán dohledu zavedl, udržoval a aktualizoval důvěryhodnou infrastrukturu v souladu s podmínkami stanovenými vnitrostátním právem.

6. Do 31. března každého roku předloží každý orgán dohledu Komisi zprávu o svých hlavních činnostech v předchozím kalendářním roce, spolu se shrnutím oznámení o narušení bezpečnosti, která obdržel od poskytovatelů služeb vytvářejících důvěru v souladu s čl. 19 odst. 2.

7. Výroční zprávu uvedenou v odstavci 6 Komise zpřístupní členským státům.

8. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy pro podávání zpráv podle odstavce 6. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 19

Bezpečnostní požadavky vztahující se na poskytovatele služeb vytvářejících důvěru

1. Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru přijmou vhodná technická a organizační opatření k řízení rizik ohrožujících bezpečnost jimi poskytovaných služeb vytvářejících důvěru. S ohledem na nejnovější technologický vývoj musí tato opatření zajišťovat úroveň bezpečnosti, která je přiměřená míře rizika. Zejména musí být přijata opatření k zabránění bezpečnostním incidentům, k minimalizaci jejich dopadů a k informování zúčastněných stran o nepříznivých dopadech těchto incidentů.

2. Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru vyrozumí orgán dohledu a případné další příslušné subjekty, jako jsou příslušný vnitrostátní orgán pro bezpečnost informací nebo orgán pro ochranu údajů, o každém narušení bezpečnosti nebo ztrátě integrity, jež mají významný dopad na poskytovanou službu vytvářející důvěru nebo na uchovávané osobní údaje, a to bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy toto narušení zjistili.

Může-li mít narušení bezpečnosti nebo ztráta integrity nepříznivý dopad na fyzickou nebo právnickou osobu, jíž byla služba vytvářející důvěru poskytnuta, vyrozumí poskytovatel služeb vytvářejících důvěru o daném narušení bezpečnosti nebo dané ztrátě integrity bez zbytečného odkladu také tuto fyzickou nebo právnickou osobu.

Je-li to vhodné, zejména týká-li se narušení bezpečnosti nebo ztráta integrity dvou nebo více členských států, uvědomí vyrozuměný orgán dohledu orgány dohledu v ostatních dotčených členských státech a ENISA.

Vyrozuměný orgán dohledu informuje veřejnost nebo požádá, aby tak učinil poskytovatel služeb vytvářejících důvěru, pokud rozhodne, že zveřejnění informací o narušení bezpečnosti nebo ztrátě integrity je ve veřejném zájmu.

3. Orgán dohledu poskytne ENISA jednou ročně shrnutí oznámení o narušení bezpečnosti a ztrátě integrity, která od poskytovatelů služeb vytvářejících důvěru obdržel.

4. Komise může prostřednictvím prováděcích aktů:

a)	dále upřesnit opatření uvedená v odstavci 1 a

b)	stanovit formáty a postupy, včetně lhůt, použitelné pro účely odstavce 2.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

ODDÍL 3

Kvalifikované služby vytvářející důvěru

Článek 24

Požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru

1. Při vydávání kvalifikovaného certifikátu pro službu vytvářející důvěru ověří kvalifikovaný poskytovatel služeb vytvářejících důvěru pomocí vhodných prostředků a v souladu s vnitrostátním právem totožnost a případně zvláštní znaky fyzické nebo právnické osoby, jíž je kvalifikovaný certifikát vydáván.

Kvalifikovaný poskytovatel služeb vytvářejících důvěru ověří informace uvedené v prvním pododstavci přímo nebo tím, že se v souladu s vnitrostátním právem spolehne na třetí osobu:

a)	na základě fyzické přítomnosti fyzické osoby nebo oprávněného zástupce právnické osoby; nebo

na dálku s využitím prostředku pro elektronickou identifikaci, u něhož byla před vydáním kvalifikovaného certifikátu zajištěna fyzická přítomnost fyzické osoby nebo oprávněného zástupce právnické osoby a jenž splňuje požadavky stanovené v článku 8, pokud jde o značnou nebo vysokou úroveň záruky; nebo

c)	pomocí certifikátu kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečeti, vydaného v souladu s písmenem a) nebo b); nebo

d)	pomocí jiných identifikačních metod uznávaných na vnitrostátní úrovni, které poskytují záruku spolehlivosti rovnocennou fyzické přítomnosti. Tuto rovnocennou záruku musí potvrdit subjekt posuzování shody.

2. Kvalifikovaný poskytovatel služeb vytvářejících důvěru poskytující kvalifikované služby vytvářející důvěru:

a)	oznámí orgánu dohledu případné změny v poskytování svých kvalifikovaných služeb vytvářejících důvěru a záměr ukončit své činnosti;

zaměstnává pracovníky a případně subdodavatele, kteří mají potřebné odborné znalosti, zkušenosti a kvalifikace, jsou spolehliví a absolvovali odpovídající odbornou přípravu týkající se bezpečnosti a pravidel ochrany osobních údajů, a používá správní a řídicí postupy, které odpovídají evropským nebo mezinárodním normám;

c)	vzhledem k riziku odpovědnosti za škody v souladu s článkem 13 udržuje dostatečné finanční prostředky nebo uzavřel vhodné pojištění odpovědnosti v souladu s vnitrostátním právem;

d)	před uzavřením smluvního vztahu informuje jasným a srozumitelným způsobem osobu, která chce využít kvalifikovanou službu vytvářející důvěru, o přesných podmínkách používání této služby, včetně případných omezení jejího využívání;

e)	používá důvěryhodné systémy a produkty, které jsou chráněny proti pozměnění, a zajišťuje technickou bezpečnost a spolehlivost procesů, které podporují;

používá důvěryhodné systémy k uchovávání dat, která jsou mu poskytnuta, v ověřitelné podobě, aby:

i)	byla veřejně přístupná pro účely vyhledávání pouze se souhlasem osoby, jíž se data týkají,

ii)	záznamy a změny v uložených datech mohly provádět pouze oprávněné osoby,

iii)	bylo možno ověřit pravost dat;

g)	přijímá vhodná opatření proti padělání a odcizení dat;

po přiměřenou dobu, i poté, co ukončil svou činnost kvalifikovaného poskytovatele služeb vytvářejících důvěru, eviduje a zpřístupňuje veškeré příslušné informace týkající se dat, která vydal a obdržel, zejména pro účely poskytnutí důkazů v soudním a správním řízení a pro účely zajištění kontinuity služby. Tato evidence může mít elektronickou podobu;

i)	má k dispozici aktualizovaný plán ukončení činnosti k zajištění kontinuity služby v souladu s předpisy ověřenými orgánem dohledu podle čl. 17 odst. 4 písm. i);

j)	zajišťuje zákonné zpracovávání osobních údajů v souladu se směrnicí 95/46/ES;

k)	pokud se jedná o kvalifikovaného poskytovatele služeb vytvářejících důvěru vydávajícího kvalifikované certifikáty, vede a aktualizuje databázi certifikátů.

3. Jestliže se kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty rozhodne určitý certifikát zneplatnit, zaeviduje toto zneplatnění ve své databázi certifikátů a zneplatnění certifikátu včas a v každém případě do 24 hodin od obdržení žádosti zveřejní. Zneplatnění nabývá účinku okamžitě po zveřejnění.

4. Pokud jde o odstavec 3, kvalifikovaní poskytovatelé služeb vytvářejících důvěru vydávající kvalifikované certifikáty poskytnou kterékoli spoléhající se straně informace o platnosti nebo o zneplatnění kvalifikovaných certifikátů, které vydali. Tyto informace se poskytnou alespoň na základě certifikátu, a to kdykoli i po skončení doby platnosti certifikátu, automatizovaným způsobem, který je spolehlivý, bezplatný a účinný.

5. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro důvěryhodné systémy a produkty, které splňují požadavky podle odst. 2 písm. e) a f) tohoto článku. Pokud důvěryhodné systémy a produkty vyhovují těmto normám, předpokládá se shoda s požadavky stanovenými v tomto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

ODDÍL 4

Elektronický podpis

Článek 26

Požadavky na zaručené elektronické podpisy

Zaručený elektronický podpis musí splňovat tyto požadavky:

a)	je jednoznačně spojen s podepisující osobou;

b)	umožňuje identifikaci podepisující osoby;

c)	je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou; a

d)	je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.

Článek 27

Elektronické podpisy ve veřejných službách

1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis, uznává zaručené elektronické podpisy, zaručené elektronické podpisy založené na kvalifikovaném certifikátu pro elektronické podpisy a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis založený na kvalifikovaném certifikátu, uznává zaručené elektronické podpisy založené na kvalifikovaném certifikátu a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické podpisy. Pokud zaručený elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické podpisy uvedenými v odstavcích 1 a 2 tohoto článku a v článku 26. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických podpisů nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 30

Certifikace kvalifikovaných prostředků pro vytváření elektronických podpisů

1. Shodu kvalifikovaných prostředků pro vytváření elektronických podpisů s požadavky stanovenými v příloze II certifikují příslušné veřejné nebo soukromé subjekty, které určily členské státy.

2. Členské státy sdělí Komisi názvy a adresy veřejných nebo soukromých subjektů uvedených v odstavci 1. Komise tyto informace zpřístupní členským státům.

3. Certifikace podle odstavce 1 je založena na jednom z těchto postupů:

a)	postupu posouzení bezpečnosti, který byl proveden v souladu s některou z norem pro posuzování bezpečnosti produktů informačních technologií uvedených na seznamu sestaveném v souladu s druhým pododstavcem tohoto odstavce; nebo

jiném postupu, než je postup uvedený v písmenu a), za podmínky, že používá srovnatelné úrovně bezpečnosti a že veřejný nebo soukromý subjekt uvedený v odstavci 1 daný postup oznámí Komisi. Tento postup může být použit pouze v případě, že normy uvedené v písmenu a) neexistují nebo že postup posouzení bezpečnosti podle písmene a) dosud probíhá.

Komise prostřednictvím prováděcích aktů sestaví seznam norem pro posuzování bezpečnosti produktů informačních technologií uvedený v prvním pododstavci písm. a). Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

4. Komise je zmocněna k přijímání aktů v přenesené pravomoci v souladu s článkem 47, pokud jde o stanovení zvláštních kritérií, která mají splňovat určené subjekty uvedené v odstavci 1 tohoto článku.

Článek 36

Požadavky na zaručené elektronické pečetě

Zaručená elektronická pečeť musí splňovat tyto požadavky:

a)	je jednoznačně spojena s pečetící osobou;

b)	umožňuje identifikaci pečetící osoby;

c)	je vytvořena pomocí dat pro vytváření elektronických pečetí, která může pečetící osoba s vysokou úrovní důvěry použít k vytváření elektronické pečeti pod svou kontrolou; a

d)	je k datům, ke kterým se vztahuje, připojena takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.

Článek 37

Elektronické pečetě ve veřejných službách

1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť, uznává zaručené elektronické pečetě, zaručené elektronické pečetě založené na kvalifikovaném certifikátu pro elektronické pečetě a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť založenou na kvalifikovaném certifikátu, uznává zaručené elektronické pečetě založené na kvalifikovaném certifikátu a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronickou pečeť s vyšší zárukou bezpečnosti než kvalifikovanou elektronickou pečeť.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické pečetě. Pokud zaručená elektronická pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické pečetě uvedenými v odstavcích 1 a 2 tohoto článku a v článku 36. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických pečetí nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 52

Vstup v platnost

1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2. Toto nařízení se použije ode dne 1. července 2016, s těmito výjimkami:

čl. 8 odst. 3, čl. 9 odst. 5, čl. 12 odst. 2 až 9, čl. 17 odst. 8, čl. 19 odst. 4, čl. 20 odst. 4, čl. 21 odst. 4, čl. 22 odst. 5, čl. 23 odst. 3, čl. 24 odst. 5, čl. 27 odst. 4 a 5, čl. 28 odst. 6, čl. 29 odst. 2, čl. 30 odst. 3 a 4, čl. 31 odst. 3, čl. 32 odst. 3, čl. 33 odst. 2, čl. 34 odst. 2, čl. 37 odst. 4 a 5, čl. 38 odst. 6, čl. 42 odst. 2, čl. 44 odst. 2, čl. 45 odst. 2 a články 47 a 48 se použijí ode dne 17. září 2014;

b)	článek 7, čl. 8 odst. 1 a 2, články 9, 10 a 11 a čl. 12 odst. 1 se použijí ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8;

c)	článek 6 se použije od uplynutí tří let ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8.

3. Pokud je oznámený systém elektronické identifikace na seznamu, který Komise zveřejní podle článku 9, uveden přede dnem uvedeným v odst. 2 písm. c) tohoto článku, dojde k uznání prostředků pro elektronickou identifikaci v rámci tohoto systému podle článku 6 nejpozději dvanáct měsíců po zveřejnění tohoto systému, avšak nejdříve ke dni uvedenému v odst. 2 písm. c) tohoto článku.

4. Bez ohledu na odst. 2 písm. c) tohoto článku může členský stát rozhodnout, že prostředky pro elektronickou identifikaci v rámci systému elektronické identifikace, který jiný členský stát oznámil podle čl. 9 odst. 1, se v prvním členském státě uznávají ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8. Dotyčné členské státy informují Komisi. Komise tyto informace zveřejní.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 23. července 2014.

Za Evropský parlament

předseda

M. SCHULZ

Za Radu

předseda

S. GOZI

(1) Úř. věst. C 351, 15.11.2012, s. 73.

(2) Postoj Evropského parlamentu ze dne 3. dubna 2014 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 23. července 2014.

(3) Směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy (Úř. věst. L 13, 19.1.2000, s. 12).

(4) Úř. věst. C 50 E, 21.2.2012, s. 1.

(5) Směrnice Evropského parlamentu a Rady 2006/123/ES ze dne 12. prosince 2006 o službách na vnitřním trhu (Úř. věst. L 376, 27.12.2006, s. 36).

(6) Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45).

(7) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).

(8) Rozhodnutí Rady 2010/48/ES ze dne 26. listopadu 2009 o uzavření Úmluvy Organizace spojených národů o právech osob se zdravotním postižením Evropským společenstvím (Úř. věst. L 23, 27.1.2010, s. 35).

(9) Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93 (Úř. věst. L 218, 13.8.2008, s. 30).

(10) Rozhodnutí Komise 2009/767/ES ze dne 16. října 2009, kterým se stanovují opatření pro usnadnění užití postupů s využitím elektronických prostředků prostřednictvím „jednotných kontaktních míst“ podle směrnice Evropského parlamentu a Rady 2006/123/ES o službách na vnitřním trhu (Úř. věst. L 274, 20.10.2009, s. 36).

(11) Rozhodnutí Komise 2011/130/EU ze dne 25. února 2011, kterým se stanoví minimální požadavky na přeshraniční zpracování dokumentů elektronicky podepsaných příslušnými orgány podle směrnice Evropského parlamentu a Rady 2006/123/ES o službách na vnitřním trhu (Úř. věst. L 53, 26.2.2011, s. 66).

(12) Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(13) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(14) Úř. věst. C 28, 30.1.2013, s. 6.

(15) Směrnice Evropského parlamentu a Rady 2014/24/EU ze dne 26. února 2014 o zadávání veřejných zakázek a o zrušení směrnice 2004/18/ES (Úř. věst. L 94, 28.3.2014, s. 65).

PŘÍLOHA I

POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO ELEKTRONICKÉ PODPISY

Kvalifikované certifikáty pro elektronické podpisy obsahují:

a)	označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronický podpis;

soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty, včetně alespoň členského státu, v němž je poskytovatel usazen, a

—	v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech,

—	v případě fyzické osoby: jméno osoby;

c)	alespoň jméno podepisující osoby nebo pseudonym. Je-li použit pseudonym, musí být tato skutečnost jasně vyznačena;

d)	data pro ověřování platnosti elektronických podpisů, která odpovídají datům pro vytváření elektronických podpisů;

e)	označení začátku a konce doby platnosti certifikátu;

f)	identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;

g)	zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;

h)	údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g);

i)	údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu;

j)	pokud jsou data pro vytváření elektronických podpisů spojená s daty pro ověřování platnosti elektronických podpisů obsažena v kvalifikovaném prostředku pro vytváření elektronických podpisů, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování.

PŘÍLOHA II

POŽADAVKY NA KVALIFIKOVANÉ PROSTŘEDKY PRO VYTVÁŘENÍ ELEKTRONICKÝCH PODPISŮ

Kvalifikované prostředky pro vytváření elektronických podpisů vhodnými technickými prostředky a postupy přinejmenším zajistí, aby:

a)	byla přiměřeně zajištěna důvěrnost dat pro vytváření elektronických podpisů, která byla použita při vytváření elektronického podpisu;

b)	data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu se mohla prakticky vyskytnout pouze jednou;

c)	bylo přiměřeně zajištěno, že data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu nelze odvodit a že elektronický podpis je v současnosti dostupnými technickými prostředky spolehlivě chráněn proti padělání;

d)	oprávněná podepisující osoba měla možnost data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu spolehlivě chránit před jejich zneužitím třetí osobou.

Kvalifikované prostředky pro vytváření elektronických podpisů nesmějí měnit podepisovaná data ani bránit tomu, aby byla tato data předložena podepisující osobě před vlastním podepsáním.

Data pro vytváření elektronických podpisů může jménem podepisující osoby vytvářet nebo spravovat pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru.

Aniž je dotčen bod 1 písm. d), smějí kvalifikovaní poskytovatelé služeb vytvářejících důvěru, kteří spravují data pro vytváření elektronických podpisů jménem podepisující osoby, kopírovat data pro vytváření elektronických podpisů pouze pro účely zálohování a jsou-li splněny tyto požadavky:

a)	bezpečnost zkopírovaných souborů dat je na stejné úrovni jako u původních souborů dat;

b)	počet zkopírovaných souborů dat nepřesáhne minimum potřebné pro zajištění kontinuity služby.

PŘÍLOHA III

POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO ELEKTRONICKÉ PEČETĚ

Kvalifikované certifikáty pro elektronické pečetě obsahují:

a)	označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronickou pečeť;

—	v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech,

—	v případě fyzické osoby: jméno osoby;

c)	alespoň jméno pečetící osoby a případné registrační číslo uvedené v úředních záznamech;

d)	data pro ověřování platnosti elektronických pečetí, která odpovídají datům pro vytváření elektronických pečetí;

e)	označení začátku a konce doby platnosti certifikátu;

f)	identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;

g)	zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;

h)	údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g);

i)	údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu;

j)	pokud jsou data pro vytváření elektronických pečetí spojená s daty pro ověřování platnosti elektronických pečetí obsažena v kvalifikovaném prostředku pro vytváření elektronických pečetí, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování.

PŘÍLOHA IV

POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO AUTENTIZACI INTERNETOVÝCH STRÁNEK

Kvalifikované certifikáty pro autentizaci internetových stránek obsahují:

a)	označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro autentizaci internetových stránek;

—	v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech,

—	v případě fyzické osoby: jméno osoby;

c)	v případě fyzických osob: alespoň jméno osoby, jíž byl certifikát vydán, nebo pseudonym. Je-li použit pseudonym, musí být tato skutečnost jasně vyznačena; v případě právnických osob: alespoň název právnické osoby, jíž byl certifikát vydán, a případné registrační číslo uvedené v úředních záznamech;

d)	údaje z adresy (včetně alespoň města a státu) fyzické nebo právnické osoby, jíž je certifikát vydán, jak je uvedena v případných úředních záznamech;

e)	název domény nebo domén, které provozuje fyzická nebo právnická osoba, jíž je certifikát vydán;

f)	označení začátku a konce doby platnosti certifikátu;

g)	identifikační číslo certifikátu, které musí být jedinečné u daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;

h)	zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;

i)	údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene h);

j)	údaj o umístění služeb pro ověření platnosti certifikátu, které lze využít k zjištění platnosti kvalifikovaného certifikátu.

whereas

(15) Povinnost uznávat prostředky pro elektronickou identifikaci by se měla týkat pouze těch prostředků, jejichž úroveň záruky totožnosti odpovídá úrovni, která je stejná nebo vyšší než úroveň požadovaná pro dotyčnou on-line službu.
Kromě toho by tato povinnost měla platit pouze v případě, že dotyčný subjekt veřejného sektoru používá v souvislosti s přístupem k dané on-line službě značnou nebo vysokou úroveň záruky. Členské státy by měly mít možnost uznávat v souladu s právem Unie prostředky pro elektronickou identifikaci, které mají nižší úrovně záruky totožnosti.

- = -

(17) Členské státy by měly podporovat soukromý sektor, aby pro účely identifikace, je-li u on-line služeb nebo elektronických transakcí zapotřebí, dobrovolně používal prostředky pro elektronickou identifikaci v rámci oznámeného systému.
Možnost používat tyto prostředky pro elektronickou identifikaci by soukromému sektoru umožnila spoléhat se na elektronickou identifikaci a autentizaci, která se již v mnoha členských státech ve značné míře používá přinejmenším u veřejných služeb, a usnadnila by podnikům a občanům přeshraniční přístup k on-line službám.
V zájmu snazšího přeshraničního používání těchto prostředků pro elektronickou identifikaci soukromým sektorem by možnost autentizace zajišťovaná kterýmkoli členským státem měla být k dispozici i spoléhajícím se stranám ze soukromého sektoru, které jsou usazeny mimo území daného členského státu, a to za stejných podmínek jako pro spoléhající se strany ze soukromého sektoru, které v daném členském státě usazeny jsou.
Oznamující členský stát tak může stanovit podmínky přístupu spoléhajících se stran ze soukromého sektoru k prostředkům pro autentizaci.
Tyto podmínky přístupu mohou informovat o tom, zda je prostředek pro autentizaci související s oznámeným systémem v současnosti dostupný spoléhajícím se stranám ze soukromého sektoru.

- = -

(29) V souladu se závazky podle Úmluvy OSN o právech osob se zdravotním postižením, která byla schválena rozhodnutím Rady 2010/48/ES (8), a zejména s jejím článkem 9, by osoby se zdravotním postižením měly mít možnost využívat služby vytvářející důvěru a konečné uživatelské produkty používané při poskytování těchto služeb stejně jako ostatní spotřebitelé.
Poskytované služby vytvářející důvěru a konečné uživatelské produkty používané při poskytování těchto služeb by proto měly být dostupné osobám se zdravotním postižením, je-li to proveditelné.
Součástí posouzení proveditelnosti by měly být mimo jiné technické a ekonomické aspekty.

- = -

(56) Toto nařízení by mělo stanovit požadavky na kvalifikované prostředky pro vytváření elektronických podpisů, které mají zajistit funkčnost zaručených elektronických podpisů.
Toto nařízení by nemělo zahrnovat celé systémové prostředí, ve kterém se tyto prostředky využívají.
Rozsah certifikace kvalifikovaných prostředků pro vytváření podpisů by proto měl být omezen na technické zařízení a systémové programové vybavení používané pro správu a ochranu dat pro vytváření podpisů, která jsou v prostředku pro vytváření podpisů vytvořena, uložena nebo zpracovávána.
Jak je podrobně uvedeno v příslušných normách, měly by být z certifikační povinnosti vyloučeny aplikace pro vytváření podpisů.

- = -

(70) Za účelem pružného a rychlého doplnění určitých podrobných technických aspektů tohoto nařízení by měla být Komisi svěřena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU, pokud jde o kritéria, která musí splňovat subjekty odpovědné za certifikaci kvalifikovaných prostředků pro vytváření elektronických podpisů.
Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni.
Při přípravě a vypracování aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě.

- = -

keyboard_tab EIDAS 2014/0910 CS

EIDAS 2014/0910 CS