EIDAS 2014/0910 CS

1)	„elektronickou identifikací“ postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující právnickou osobu;

2)	„prostředkem pro elektronickou identifikaci“ hmotná či nehmotná jednotka obsahující osobní identifikační údaje, která se používá k autentizaci pro účely on-line služby;

3)	„osobními identifikačními údaji“ soubor údajů umožňujících určit totožnost fyzické či právnické osoby nebo fyzické osoby zastupující právnickou osobu;

4)	„systémem elektronické identifikace“ systém pro elektronickou identifikaci, na jehož základě jsou fyzickým či právnickým osobám nebo fyzickým osobám zastupujícím právnické osoby vydávány prostředky pro elektronickou identifikaci;

5)	„autentizací“ elektronický postup, který umožňuje potvrdit elektronickou identifikaci fyzické či právnické osoby nebo původ a integritu dat v elektronické podobě;

6)	„spoléhající se stranou“ fyzická nebo právnická osoba, která se spoléhá na elektronickou identifikaci nebo službu vytvářející důvěru;

„subjektem veřejného sektoru“ státní, regionální nebo místní orgán, veřejnoprávní subjekt, sdružení vytvořené jedním nebo několika takovými orgány nebo jedním nebo několika takovými veřejnoprávními subjekty nebo soukromý subjekt, který byl alespoň jedním z těchto orgánů, subjektů nebo sdružení pověřen poskytovat veřejné služby, jedná-li na základě tohoto pověření;

8)	„veřejnoprávním subjektem“ subjekt vymezený v čl. 2 odst. 1 bodě 4 směrnice Evropského parlamentu a Rady 2014/24/EU (15);

9)	„podepisující osobou“ fyzická osoba, která vytváří elektronický podpis;

10)	„elektronickým podpisem“ data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání;

11)	„zaručeným elektronickým podpisem“ elektronický podpis, který splňuje požadavky stanovené v článku 26;

12)	„kvalifikovaným elektronickým podpisem“ zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy;

13)	„daty pro vytváření elektronických podpisů“ jedinečná data, která podepisující osoba používá k vytváření elektronických podpisů;

14)	„certifikátem pro elektronický podpis“ elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby;

15)	„kvalifikovaným certifikátem pro elektronický podpis“ certifikát pro elektronický podpis, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze I;

16)

„službou vytvářející důvěru“ elektronická služba, která je zpravidla poskytována za úplatu a spočívá:

a)	ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo

b)	ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo

c)	v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami;

17)	„kvalifikovanou službou vytvářející důvěru“ služba vytvářející důvěru, která splňuje použitelné požadavky stanovené v tomto nařízení;

18)

„subjektem posuzování shody“ subjekt vymezený v čl. 2 bodě 13 nařízení (ES) č. 765/2008, který je v souladu s uvedeným nařízením akreditován jako způsobilý provádět posuzování shody kvalifikovaného poskytovatele služeb vytvářejících důvěru a jím poskytovaných kvalifikovaných služeb vytvářejících důvěru;

19)	„poskytovatelem služeb vytvářejících důvěru“ fyzická nebo právnická osoba, která poskytuje jednu či více služeb vytvářejících důvěru buď jako kvalifikovaný, nebo jako nekvalifikovaný poskytovatel služeb vytvářejících důvěru;

20)	„kvalifikovaným poskytovatelem služeb vytvářejících důvěru“ poskytovatel služeb vytvářejících důvěru, který poskytuje jednu či více kvalifikovaných služeb vytvářejících důvěru a kterému orgán dohledu udělil status kvalifikovaného poskytovatele;

21)	„produktem“ technické zařízení nebo programové vybavení či jejich příslušné součásti, které jsou určeny k používání pro poskytování služeb vytvářejících důvěru;

22)	„prostředkem pro vytváření elektronických podpisů“ konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických podpisů;

23)	„kvalifikovaným prostředkem pro vytváření elektronických podpisů“ prostředek pro vytváření elektronických podpisů, který splňuje požadavky stanovené v příloze II;

24)	„pečetící osobou“ právnická osoba, která vytváří elektronickou pečeť;

25)	„elektronickou pečetí“ data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu;

26)	„zaručenou elektronickou pečetí“ elektronická pečeť, která splňuje požadavky stanovené v článku 36;

27)	„kvalifikovanou elektronickou pečetí“ zaručená elektronická pečeť, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a která je založena na kvalifikovaném certifikátu pro elektronickou pečeť;

28)	„daty pro vytváření elektronických pečetí“ jedinečná data, která pečetící osoba používá k vytváření elektronických pečetí;

29)	„certifikátem pro elektronickou pečeť“ elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických pečetí s určitou právnickou osobou a potvrzuje název této osoby;

30)	„kvalifikovaným certifikátem pro elektronickou pečeť“ certifikát pro elektronickou pečeť, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze III;

31)	„prostředkem pro vytváření elektronických pečetí“ konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických pečetí;

32)	„kvalifikovaným prostředkem pro vytváření elektronických pečetí“ prostředek pro vytváření elektronických pečetí, který přiměřeně splňuje požadavky stanovené v příloze II;

33)	„elektronickým časovým razítkem“ data v elektronické podobě, která spojují jiná data v elektronické podobě s určitým okamžikem a prokazují, že tato jiná data existovala v daném okamžiku;

34)	„kvalifikovaným elektronickým časovým razítkem“ elektronické časové razítko, které splňuje požadavky stanovené v článku 42;

35)	„elektronickým dokumentem“ jakýkoli obsah uchovávaný v elektronické podobě, zejména jako text nebo zvuková, vizuální nebo audiovizuální nahrávka;

36)

„službou elektronického doporučeného doručování“ služba, která umožňuje přenášet data mezi třetími osobami elektronickými prostředky a poskytuje důkazy týkající se nakládání s přenášenými daty, včetně dokladu o odeslání a přijetí dat, a která chrání přenášená data před rizikem ztráty, odcizení, poškození nebo neoprávněných změn;

37)	„kvalifikovanou službou elektronického doporučeného doručování“ služba elektronického doporučeného doručování, která splňuje požadavky stanovené v článku 44;

38)	„certifikátem pro autentizaci internetových stránek“ potvrzení, které umožňuje autentizovat internetové stránky a spojuje je s fyzickou nebo právnickou osobou, jíž je certifikát vydán;

39)	„kvalifikovaným certifikátem pro autentizaci internetových stránek“ certifikát pro autentizaci internetových stránek, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze IV;

40)	„daty pro ověřování platnosti“ data, která se používají k ověření platnosti elektronického podpisu nebo elektronické pečeti;

41)	„ověřováním platnosti“ postup ověřující shodu a potvrzující platnost elektronického podpisu nebo elektronické pečeti.

Článek 17

Orgán dohledu

1. Členské státy určí orgán dohledu usazený na jejich území nebo po vzájemné dohodě s jiným členským státem orgán dohledu usazený v tomto jiném členském státě. Tento orgán odpovídá za plnění úkolů v oblasti dohledu v členském státě, který provedl určení.

Orgánům dohledu musí být uděleny nezbytné pravomoci a odpovídající zdroje pro plnění jejich úkolů.

2. Členské státy sdělí Komisi názvy a adresy jimi určených orgánů dohledu.

3. Orgán dohledu má tyto úlohy:

vykonávat dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými na území členského státu, který provedl určení, s cílem zajistit prostřednictvím činností předběžného a následného dohledu, aby tito kvalifikovaní poskytovatelé služeb vytvářejících důvěru a jimi poskytované kvalifikované služby vytvářející důvěru splňovali požadavky stanovené v tomto nařízení;

v případě potřeby přijmout prostřednictvím činností následného dohledu opatření ve vztahu k nekvalifikovaným poskytovatelům služeb vytvářejících důvěru usazeným na území členského státu, který provedl určení, pokud je informován, že tito nekvalifikovaní poskytovatelé služeb vytvářejících důvěru nebo jimi poskytované služby vytvářející důvěru údajně nesplňují požadavky stanovené v tomto nařízení.

4. Pro účely odstavce 3 a s výhradou omezení stanovených v uvedeném odstavci patří mezi úkoly orgánu dohledu zejména tyto činnosti:

a)	spolupracovat s ostatními orgány dohledu a poskytovat jim pomoc v souladu s článkem 18;

b)	provádět analýzu zpráv o posouzení shody uvedených v čl. 20 odst. 1 a čl. 21 odst. 1;

c)	informovat ostatní orgány dohledu a veřejnost o případech narušení bezpečnosti nebo ztráty integrity v souladu s čl. 19 odst. 2;

d)	podávat Komisi zprávy o svých hlavních činnostech v souladu s odstavcem 6 tohoto článku;

e)	provádět audity kvalifikovaných poskytovatelů služeb vytvářejících důvěru nebo požadovat, aby subjekt posuzování shody provedl posouzení shody těchto poskytovatelů v souladu s čl. 20 odst. 2;

f)	spolupracovat s orgány pro ochranu údajů, zejména je bez zbytečného odkladu informovat o výsledcích auditů kvalifikovaných poskytovatelů služeb vytvářejících důvěru, jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů;

g)	udělovat poskytovatelům služeb vytvářejících důvěru a jimi poskytovaným službám status kvalifikovaného poskytovatele nebo kvalifikované služby a odnímat tento status v souladu s články 20 a 21;

h)	informovat subjekt odpovědný za vnitrostátní důvěryhodný seznam podle čl. 22 odst. 3 o svých rozhodnutích udělit nebo odejmout status kvalifikovaného poskytovatele nebo kvalifikované služby, pokud tento subjekt není rovněž orgánem dohledu;

i)	ověřovat existenci a správné uplatňování předpisů o plánech ukončení činnosti v případech, kdy kvalifikovaný poskytovatel služeb vytvářejících důvěru ukončí svou činnost, včetně způsobu zpřístupňování informací v souladu s čl. 24 odst. 2 písm. h);

j)	požadovat, aby poskytovatelé služeb vytvářejících důvěru napravili případné neplnění požadavků stanovených v tomto nařízení.

5. Členské státy mohou vyžadovat, aby orgán dohledu zavedl, udržoval a aktualizoval důvěryhodnou infrastrukturu v souladu s podmínkami stanovenými vnitrostátním právem.

6. Do 31. března každého roku předloží každý orgán dohledu Komisi zprávu o svých hlavních činnostech v předchozím kalendářním roce, spolu se shrnutím oznámení o narušení bezpečnosti, která obdržel od poskytovatelů služeb vytvářejících důvěru v souladu s čl. 19 odst. 2.

7. Výroční zprávu uvedenou v odstavci 6 Komise zpřístupní členským státům.

8. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy pro podávání zpráv podle odstavce 6. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 20

Dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru

1. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru se na vlastní náklady alespoň jednou za 24 měsíců podrobí auditu ze strany subjektu posuzování shody. Účelem auditu je potvrzení toho, že kvalifikovaní poskytovatelé služeb vytvářejících důvěru i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru předloží výslednou zprávu o posouzení shody do tří pracovních dnů od jejího obdržení orgánu dohledu.

2. Aniž je dotčen odstavec 1, může orgán dohledu u kvalifikovaných poskytovatelů služeb vytvářejících důvěru na jejich náklady kdykoli provést audit nebo požádat subjekt posuzování shody o provedení posouzení shody za účelem potvrzení, že oni sami i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů, sdělí orgán dohledu výsledky svých auditů orgánům pro ochranu údajů.

3. Pokud orgán dohledu požaduje, aby kvalifikovaný poskytovatel služeb vytvářejících důvěru napravil neplnění požadavků podle tohoto nařízení, a tento poskytovatel ve lhůtě případně stanovené orgánem dohledu neučiní příslušné kroky, může orgán dohledu zejména s přihlédnutím k rozsahu, délce trvání a důsledkům daného neplnění odejmout danému poskytovateli a jím poskytované dotčené službě status kvalifikovaného poskytovatele nebo kvalifikované služby a informovat o této skutečnosti subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1. Orgán dohledu vyrozumí daného kvalifikovaného poskytovatele služeb vytvářejících důvěru o odnětí statusu kvalifikovaného poskytovatele nebo kvalifikované služby.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro:

a)	akreditaci subjektů posuzování shody a pro zprávy o posouzení shody podle odstavce 1;

b)	pravidla auditu, podle nichž budou subjekty posuzování shody provádět posuzování shody kvalifikovaných poskytovatelů služeb vytvářejících důvěru podle odstavce 1.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 22

Důvěryhodné seznamy

1. Každý členský stát zřizuje, udržuje a zveřejňuje důvěryhodné seznamy obsahující informace týkající se kvalifikovaných poskytovatelů služeb vytvářejících důvěru v jeho působnosti spolu s informacemi o jimi poskytovaných kvalifikovaných službách vytvářejících důvěru.

2. Členské státy zřizují ve formě vhodné pro automatické zpracování, udržují a zabezpečeným způsobem zveřejňují důvěryhodné seznamy uvedené v odstavci 1, které jsou opatřeny elektronickým podpisem nebo elektronickou pečetí.

3. Členské státy bez zbytečného odkladu sdělí Komisi informace o subjektu odpovědném za zřízení, udržování a zveřejnění vnitrostátních důvěryhodných seznamů a poskytnou informace o místě zveřejnění těchto seznamů, o certifikátech použitých k opatření důvěryhodných seznamů elektronickým podpisem nebo pečetí a o jejich případných změnách.

4. Informace uvedené v odstavci 3 Komise bezpečnou cestou zpřístupní veřejnosti ve formě opatřené elektronickým podpisem nebo pečetí a vhodné pro automatické zpracování.

5. Do 18. září 2015 Komise prostřednictvím prováděcích aktů upřesní informace uvedené v odstavci 1 a stanoví technické specifikace a formáty pro důvěryhodné seznamy, které se použijí pro účely odstavců 1 až 4. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 24

Požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru

1. Při vydávání kvalifikovaného certifikátu pro službu vytvářející důvěru ověří kvalifikovaný poskytovatel služeb vytvářejících důvěru pomocí vhodných prostředků a v souladu s vnitrostátním právem totožnost a případně zvláštní znaky fyzické nebo právnické osoby, jíž je kvalifikovaný certifikát vydáván.

Kvalifikovaný poskytovatel služeb vytvářejících důvěru ověří informace uvedené v prvním pododstavci přímo nebo tím, že se v souladu s vnitrostátním právem spolehne na třetí osobu:

a)	na základě fyzické přítomnosti fyzické osoby nebo oprávněného zástupce právnické osoby; nebo

na dálku s využitím prostředku pro elektronickou identifikaci, u něhož byla před vydáním kvalifikovaného certifikátu zajištěna fyzická přítomnost fyzické osoby nebo oprávněného zástupce právnické osoby a jenž splňuje požadavky stanovené v článku 8, pokud jde o značnou nebo vysokou úroveň záruky; nebo

c)	pomocí certifikátu kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečeti, vydaného v souladu s písmenem a) nebo b); nebo

d)	pomocí jiných identifikačních metod uznávaných na vnitrostátní úrovni, které poskytují záruku spolehlivosti rovnocennou fyzické přítomnosti. Tuto rovnocennou záruku musí potvrdit subjekt posuzování shody.

2. Kvalifikovaný poskytovatel služeb vytvářejících důvěru poskytující kvalifikované služby vytvářející důvěru:

a)	oznámí orgánu dohledu případné změny v poskytování svých kvalifikovaných služeb vytvářejících důvěru a záměr ukončit své činnosti;

zaměstnává pracovníky a případně subdodavatele, kteří mají potřebné odborné znalosti, zkušenosti a kvalifikace, jsou spolehliví a absolvovali odpovídající odbornou přípravu týkající se bezpečnosti a pravidel ochrany osobních údajů, a používá správní a řídicí postupy, které odpovídají evropským nebo mezinárodním normám;

c)	vzhledem k riziku odpovědnosti za škody v souladu s článkem 13 udržuje dostatečné finanční prostředky nebo uzavřel vhodné pojištění odpovědnosti v souladu s vnitrostátním právem;

d)	před uzavřením smluvního vztahu informuje jasným a srozumitelným způsobem osobu, která chce využít kvalifikovanou službu vytvářející důvěru, o přesných podmínkách používání této služby, včetně případných omezení jejího využívání;

e)	používá důvěryhodné systémy a produkty, které jsou chráněny proti pozměnění, a zajišťuje technickou bezpečnost a spolehlivost procesů, které podporují;

používá důvěryhodné systémy k uchovávání dat, která jsou mu poskytnuta, v ověřitelné podobě, aby:

i)	byla veřejně přístupná pro účely vyhledávání pouze se souhlasem osoby, jíž se data týkají,

ii)	záznamy a změny v uložených datech mohly provádět pouze oprávněné osoby,

iii)	bylo možno ověřit pravost dat;

g)	přijímá vhodná opatření proti padělání a odcizení dat;

po přiměřenou dobu, i poté, co ukončil svou činnost kvalifikovaného poskytovatele služeb vytvářejících důvěru, eviduje a zpřístupňuje veškeré příslušné informace týkající se dat, která vydal a obdržel, zejména pro účely poskytnutí důkazů v soudním a správním řízení a pro účely zajištění kontinuity služby. Tato evidence může mít elektronickou podobu;

i)	má k dispozici aktualizovaný plán ukončení činnosti k zajištění kontinuity služby v souladu s předpisy ověřenými orgánem dohledu podle čl. 17 odst. 4 písm. i);

j)	zajišťuje zákonné zpracovávání osobních údajů v souladu se směrnicí 95/46/ES;

k)	pokud se jedná o kvalifikovaného poskytovatele služeb vytvářejících důvěru vydávajícího kvalifikované certifikáty, vede a aktualizuje databázi certifikátů.

3. Jestliže se kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty rozhodne určitý certifikát zneplatnit, zaeviduje toto zneplatnění ve své databázi certifikátů a zneplatnění certifikátu včas a v každém případě do 24 hodin od obdržení žádosti zveřejní. Zneplatnění nabývá účinku okamžitě po zveřejnění.

4. Pokud jde o odstavec 3, kvalifikovaní poskytovatelé služeb vytvářejících důvěru vydávající kvalifikované certifikáty poskytnou kterékoli spoléhající se straně informace o platnosti nebo o zneplatnění kvalifikovaných certifikátů, které vydali. Tyto informace se poskytnou alespoň na základě certifikátu, a to kdykoli i po skončení doby platnosti certifikátu, automatizovaným způsobem, který je spolehlivý, bezplatný a účinný.

5. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro důvěryhodné systémy a produkty, které splňují požadavky podle odst. 2 písm. e) a f) tohoto článku. Pokud důvěryhodné systémy a produkty vyhovují těmto normám, předpokládá se shoda s požadavky stanovenými v tomto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

ODDÍL 4

Elektronický podpis

Článek 28

Kvalifikované certifikáty pro elektronické podpisy

1. Kvalifikované certifikáty pro elektronické podpisy musí splňovat požadavky stanovené v příloze I.

2. Kvalifikované certifikáty pro elektronické podpisy nepodléhají žádným závazným požadavkům, které přesahují požadavky stanovené v příloze I.

3. Kvalifikované certifikáty pro elektronické podpisy mohou obsahovat další zvláštní atributy, které nejsou povinné. Těmito atributy nesmějí být dotčeny interoperabilita a uznávání kvalifikovaných elektronických podpisů.

4. Pokud byl kvalifikovaný certifikát pro elektronické podpisy po počáteční aktivaci zneplatněn, ztrácí okamžikem zneplatnění platnost a jeho status se nemůže v žádném případě změnit zpět.

5. Členské státy mohou stanovit vnitrostátní pravidla dočasného pozastavení platnosti kvalifikovaných certifikátů pro elektronický podpis s výhradou těchto podmínek:

a)	je-li platnost kvalifikovaného certifikátu pro elektronický podpis dočasně pozastavena, pozbývá tento certifikát na dobu pozastavení platnosti;

b)	doba pozastavení platnosti je jasně vyznačena v databázi certifikátů a pozastavení platnosti je po svou dobu viditelné ve službě poskytující informace o statusu certifikátu.

6. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované certifikáty pro elektronický podpis. Pokud kvalifikovaný certifikát pro elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze I. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 30

Certifikace kvalifikovaných prostředků pro vytváření elektronických podpisů

1. Shodu kvalifikovaných prostředků pro vytváření elektronických podpisů s požadavky stanovenými v příloze II certifikují příslušné veřejné nebo soukromé subjekty, které určily členské státy.

2. Členské státy sdělí Komisi názvy a adresy veřejných nebo soukromých subjektů uvedených v odstavci 1. Komise tyto informace zpřístupní členským státům.

3. Certifikace podle odstavce 1 je založena na jednom z těchto postupů:

a)	postupu posouzení bezpečnosti, který byl proveden v souladu s některou z norem pro posuzování bezpečnosti produktů informačních technologií uvedených na seznamu sestaveném v souladu s druhým pododstavcem tohoto odstavce; nebo

jiném postupu, než je postup uvedený v písmenu a), za podmínky, že používá srovnatelné úrovně bezpečnosti a že veřejný nebo soukromý subjekt uvedený v odstavci 1 daný postup oznámí Komisi. Tento postup může být použit pouze v případě, že normy uvedené v písmenu a) neexistují nebo že postup posouzení bezpečnosti podle písmene a) dosud probíhá.

Komise prostřednictvím prováděcích aktů sestaví seznam norem pro posuzování bezpečnosti produktů informačních technologií uvedený v prvním pododstavci písm. a). Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

4. Komise je zmocněna k přijímání aktů v přenesené pravomoci v souladu s článkem 47, pokud jde o stanovení zvláštních kritérií, která mají splňovat určené subjekty uvedené v odstavci 1 tohoto článku.

Článek 31

Zveřejnění seznamu certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů

1. Členské státy bez zbytečného odkladu a nejpozději jeden měsíc po ukončení certifikace oznámí Komisi informace o kvalifikovaných prostředcích pro vytváření elektronických podpisů, které byly certifikovány subjekty uvedenými v čl. 30 odst. 1. Bez zbytečného odkladu a nejpozději jeden měsíc po zrušení certifikace Komisi rovněž oznámí informace o prostředcích pro vytváření elektronických podpisů, které již nebudou certifikovány.

2. Na základě obdržených informací Komise zřizuje, zveřejňuje a udržuje seznam certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů.

3. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy použitelné pro účely odstavce 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 32

Požadavky na ověřování platnosti kvalifikovaných elektronických podpisů

1. Postup ověření platnosti kvalifikovaného elektronického podpisu potvrdí platnost kvalifikovaného elektronického podpisu, pokud:

a)	certifikát, na němž je podpis založen, byl v okamžiku podpisu kvalifikovaným certifikátem pro elektronický podpis, jenž je v souladu s přílohou I;

b)	kvalifikovaný certifikát byl vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a v okamžiku podpisu byl platný;

c)	data pro ověřování platnosti podpisu odpovídají datům poskytnutým spoléhající se straně;

d)	spoléhající se straně je řádně poskytnut jedinečný soubor dat identifikujících podepisující osobu v certifikátu;

e)	pokud byl v okamžiku podpisu použit pseudonym, je jeho použití jednoznačně sděleno spoléhající se straně;

f)	elektronický podpis byl vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů;

g)	nebyla ohrožena integrita podepsaných dat;

h)	v okamžiku podpisu byly splněny požadavky stanovené v článku 26.

2. Systém použitý k ověření platnosti kvalifikovaného elektronického podpisu musí poskytovat spoléhající se straně řádný výsledek postupu ověření platnosti a umožňovat jí zjistit jakékoli problémy týkající se bezpečnosti.

3. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro ověřování platnosti kvalifikovaných elektronických podpisů. Pokud ověřování platnosti kvalifikovaných elektronických podpisů vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v odstavci 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 33

Kvalifikovaná služba ověřování platnosti kvalifikovaných elektronických podpisů

1. Kvalifikovanou službu ověřování platnosti kvalifikovaných elektronických podpisů může poskytovat pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru, který:

a)	zajišťuje ověřování platnosti v souladu s čl. 32 odst. 1 a

b)	umožňuje, aby spoléhající se strany obdržely výsledek postupu ověření platnosti automatizovaným způsobem, který je spolehlivý, účinný a je opatřen zaručeným elektronickým podpisem nebo zaručenou elektronickou pečetí poskytovatele kvalifikované služby ověřování platnosti.

2. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikovanou službu ověřování platnosti uvedenou v odstavci 1. Pokud služba ověřování platnosti kvalifikovaných elektronických podpisů vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v odstavci 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 34

Kvalifikovaná služba uchovávání kvalifikovaných elektronických podpisů

1. Kvalifikovanou službu uchovávání kvalifikovaných elektronických podpisů může poskytovat pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru, který používá postupy a technologie, jež jsou s to zajistit důvěryhodnost kvalifikovaného elektronického podpisu i po uplynutí doby technické platnosti.

2. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikovanou službu uchovávání kvalifikovaných elektronických podpisů. Pokud postupy pro kvalifikovanou službu uchovávání kvalifikovaných elektronických podpisů vyhovují těmto normám, předpokládá se shoda s požadavky stanovenými v odstavci 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

ODDÍL 5

Elektronické pečetě

Článek 38

Kvalifikované certifikáty pro elektronické pečetě

1. Kvalifikované certifikáty pro elektronické pečetě musí splňovat požadavky stanovené v příloze III.

2. Kvalifikované certifikáty pro elektronické pečetě nepodléhají žádným závazným požadavkům, které přesahují požadavky stanovené v příloze III.

3. Kvalifikované certifikáty pro elektronické pečetě mohou obsahovat další zvláštní atributy, které nejsou povinné. Těmito atributy nesmějí být dotčeny interoperabilita a uznávání kvalifikovaných elektronických pečetí.

4. Pokud byl kvalifikovaný certifikát pro elektronickou pečeť po počáteční aktivaci zneplatněn, ztrácí okamžikem zneplatnění platnost a jeho status se nemůže v žádném případě změnit zpět.

5. Členské státy mohou stanovit vnitrostátní pravidla dočasného pozastavení platnosti kvalifikovaných certifikátů pro elektronické pečetě s výhradou těchto podmínek:

a)	je-li platnost kvalifikovaného certifikátu pro elektronickou pečeť dočasně pozastavena, pozbývá tento certifikát na dobu pozastavení platnosti;

b)	doba pozastavení platnosti je jasně vyznačena v databázi certifikátů a pozastavení platnosti je po svou dobu viditelné ve službě poskytující informace o statusu certifikátu.

6. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované certifikáty pro elektronické pečetě. Pokud kvalifikovaný certifikát pro elektronickou pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze III. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 39

Kvalifikované prostředky pro vytváření elektronických pečetí

1. Na kvalifikované prostředky pro vytváření elektronických pečetí se použije přiměřeně článek 29.

2. Na certifikaci kvalifikovaných prostředků pro vytváření elektronických pečetí se použije přiměřeně článek 30.

3. Na zveřejnění seznamu certifikovaných kvalifikovaných prostředků pro vytváření elektronických pečetí se použije přiměřeně článek 31.

Článek 40

Ověřování platnosti a uchovávání kvalifikovaných elektronických pečetí

Na ověřování platnosti a uchovávání kvalifikovaných elektronických pečetí se použijí přiměřeně články 32, 33 a 34.

ODDÍL 6

Elektronická časová razítka

whereas

(16) Úrovně záruky by měly vyjadřovat míru spolehlivosti prostředků pro elektronickou identifikaci při určování totožnosti osob, a tím poskytovat záruku, že osoba deklarující konkrétní totožnost je skutečně osobou, s níž je tato totožnost spojena. Úroveň záruky závisí na míře spolehlivosti, kterou daný prostředek pro elektronickou identifikaci u deklarované nebo uváděné totožnosti osoby poskytuje s přihlédnutím k postupům (například prokazování a ověřování totožnosti a autentizace), řídícím činnostem (například subjekt vydávající prostředky pro elektronickou identifikaci a postup vydávání těchto prostředků) a prováděným technickým kontrolám.
V důsledku rozsáhlých pilotních projektů financovaných Unií, normalizace a činností v mezinárodním měřítku existují různé technické definice a popisy úrovní záruk.
Zejména rozsáhlý pilotní projekt STORK a norma ISO 29115 uvádějí mimo jiné úrovně 2, 3 a 4, které by měly být v maximální míře zohledněny při stanovování minimálních technických požadavků, norem a postupů pro nízkou, značnou a vysokou úroveň záruky ve smyslu tohoto nařízení, a současně by mělo být zajištěno jednotné uplatňování tohoto nařízení, zejména pokud jde o vysokou úroveň záruky v souvislosti s prokazováním totožnosti pro vydávání kvalifikovaných certifikátů.
Stanovené požadavky by měly být z technologického hlediska neutrální.
Měla by tedy existovat možnost splnit nezbytné bezpečnostní požadavky různými technologiemi.

- = -

(25) Členské státy by měly mít možnost stanovit kromě služeb vytvářejících důvěru, jež jsou součástí uzavřeného seznamu služeb vytvářejících důvěru stanoveného v tomto nařízení, i jiné druhy služeb vytvářejících důvěru za účelem jejich uznávání na vnitrostátní úrovni jako kvalifikovaných služeb vytvářejících důvěru.

- = -

(28) Ke zvýšení důvěry zejména malých a středních podniků a spotřebitelů ve vnitřní trh a na podporu používání služeb vytvářejících důvěru a produktů by měly být zavedeny pojmy „kvalifikované služby vytvářející důvěru“ a „kvalifikovaný poskytovatel služeb vytvářejících důvěru“ za účelem stanovení požadavků a povinností, které zajistí vysokou úroveň bezpečnosti všech používaných nebo poskytovaných kvalifikovaných služeb vytvářejících důvěru a produktů.

- = -

(31) Orgány dohledu by měly spolupracovat s orgány pro ochranu údajů, například je informovat o výsledcích auditů kvalifikovaných poskytovatelů služeb vytvářejících důvěru, jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů.
Toto poskytování informací by se mělo týkat zejména bezpečnostních incidentů a narušení bezpečnosti osobních údajů.

- = -

(34) Všechny členské státy by měly dodržovat společné základní požadavky na dohled s cílem zajistit srovnatelnou úroveň bezpečnosti kvalifikovaných služeb vytvářejících důvěru.
K usnadnění jednotného uplatňování těchto požadavků v celé Unii by členské státy měly přijmout srovnatelné postupy a měly by si vyměňovat informace o svých činnostech v oblasti dohledu a o osvědčených postupech používaných v praxi.

- = -

(41) K zajištění udržitelnosti a stálosti kvalifikovaných služeb vytvářejících důvěru a posílení důvěry uživatelů v kontinuitu kvalifikovaných služeb vytvářejících důvěru by orgány dohledu měly ověřovat existenci a správné uplatňování předpisů o plánech ukončení činnosti v případech, kdy kvalifikovaní poskytovatelé služeb vytvářejících důvěru ukončí svou činnost.

- = -

(45) S cílem umožnit účinný postup pro zahájení poskytování služeb, který by měl vést k zařazení kvalifikovaných poskytovatelů služeb vytvářejících důvěru a jimi poskytovaných kvalifikovaných služeb vytvářejících důvěru na důvěryhodné seznamy, je nutno podporovat předběžné kontakty mezi potencionálními kvalifikovanými poskytovateli služeb vytvářejících důvěru a příslušným orgánem dohledu v zájmu usnadnění hloubkové kontroly vedoucí k poskytování kvalifikovaných služeb vytvářejících důvěru.

- = -

(53) Pozastavení platnosti kvalifikovaných certifikátů je jedním ze zavedených operativních postupů poskytovatelů služeb vytvářejících důvěru v řadě členských států, který se liší od zneplatnění a znamená dočasnou ztrátu platnosti certifikátu.
V zájmu právní jistoty je nezbytné, aby bylo pozastavení platnosti certifikátu vždy jasně vyznačeno.
Za tímto účelem by měli být poskytovatelé služeb vytvářejících důvěru odpovědní za jasné vyznačení statusu certifikátu a – v případě jeho pozastavení jeho platnosti – přesné doby, na kterou byla platnost certifikátu pozastavena.
Toto nařízení by nemělo poskytovatelům služeb vytvářejících důvěru ani členským státům ukládat povinnost pozastavení platnosti uplatňovat, ale mělo by stanovit transparentní pravidla ohledně toho, kdy a kde je tento postup k dispozici.

- = -

(54) Pro přeshraniční uznávání kvalifikovaných elektronických podpisů jsou předpokladem přeshraniční interoperabilita a uznávání kvalifikovaných certifikátů.
Kvalifikované certifikáty by proto neměly podléhat žádným závazným požadavkům, které přesahují požadavky stanovené v tomto nařízení.
Na vnitrostátní úrovni by však zahrnutí zvláštních atributů, například jedinečných identifikátorů, do kvalifikovaných certifikátů mělo být povoleno, pokud tyto zvláštní atributy nebrání přeshraniční interoperabilitě a uznávání kvalifikovaných certifikátů a kvalifikovaných elektronických podpisů.

- = -

(55) Certifikace bezpečnosti IT systémů založená na mezinárodních normách, jako jsou ISO 15408 a související hodnotící metody a mechanismy vzájemného uznávání, je důležitým nástrojem ověřování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a měla by být podporována.
Inovační řešení a služby, jako například podepisování prostřednictvím mobilního telefonu a podepisování v cloudech, se však opírají o technická a organizační řešení pro kvalifikované prostředky pro vytváření elektronických podpisů, pro něž bezpečnostní normy dosud nemusí být k dispozici nebo pro něž první certifikace bezpečnosti IT systémů dosud probíhá.
Pouze v případě, že bezpečnostní normy nejsou k dispozici nebo první certifikace bezpečnosti IT systémů probíhá, by mohla být úroveň bezpečnosti těchto kvalifikovaných prostředků pro vytváření elektronických podpisů posouzena alternativními postupy.
Tyto postupy by měly být srovnatelné s normami pro certifikaci bezpečnosti IT systémů, pokud jsou jejich úrovně bezpečnosti rovnocenné.
Vzájemné hodnocení by mohlo tyto postupy usnadnit.

- = -

(56) Toto nařízení by mělo stanovit požadavky na kvalifikované prostředky pro vytváření elektronických podpisů, které mají zajistit funkčnost zaručených elektronických podpisů.
Toto nařízení by nemělo zahrnovat celé systémové prostředí, ve kterém se tyto prostředky využívají.
Rozsah certifikace kvalifikovaných prostředků pro vytváření podpisů by proto měl být omezen na technické zařízení a systémové programové vybavení používané pro správu a ochranu dat pro vytváření podpisů, která jsou v prostředku pro vytváření podpisů vytvořena, uložena nebo zpracovávána.
Jak je podrobně uvedeno v příslušných normách, měly by být z certifikační povinnosti vyloučeny aplikace pro vytváření podpisů.

- = -

(57) V zájmu zajištění právní jistoty ohledně platnosti podpisu je nezbytné upřesnit prvky kvalifikovaného elektronického podpisu, které by měla posoudit spoléhající se strana, jež provádí ověření platnosti.
Upřesnění požadavků na kvalifikované poskytovatele služeb vytvářejících důvěru, kteří mohou poskytovat kvalifikovanou službu ověřování platnosti spoléhajícím se stranám, jež nejsou ochotny nebo schopny provádět ověřování platnosti kvalifikovaných elektronických podpisů samy, by navíc mělo soukromý a veřejný sektor podnítit k investicím do těchto služeb.
Oba prvky by měly usnadnit ověřování platnosti kvalifikovaných elektronických podpisů a být vhodné pro všechny strany na úrovni Unie.

- = -

(62) Aby byla zajištěna bezpečnost kvalifikovaných elektronických časových razítek, mělo by toto nařízení vyžadovat použití zaručené elektronické pečeti nebo zaručeného elektronického podpisu nebo jiných rovnocenných metod.
Lze předpokládat, že inovace mohou vést ke vzniku nových technologií, jež mohou zajistit rovnocennou úroveň bezpečnosti pro časová razítka.
Kdykoli je použita jiná metoda než zaručená elektronická pečeť nebo zaručený elektronický podpis, mělo by být na kvalifikovaném poskytovateli služeb vytvářejících důvěru, aby ve zprávě o posouzení shody prokázal, že daná metoda zajišťuje rovnocennou úroveň bezpečnosti a splňuje povinnosti stanovené v tomto nařízení.

- = -

(70) Za účelem pružného a rychlého doplnění určitých podrobných technických aspektů tohoto nařízení by měla být Komisi svěřena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU, pokud jde o kritéria, která musí splňovat subjekty odpovědné za certifikaci kvalifikovaných prostředků pro vytváření elektronických podpisů.
Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni.
Při přípravě a vypracování aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě.

- = -

keyboard_tab EIDAS 2014/0910 CS

EIDAS 2014/0910 CS