keyboard_tab EIDAS 2014/0910 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 15 Přístupnost pro osoby se zdravotním postižením
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
ELEKTRONICKÁ IDENTIFIKACE
KAPITOLA III
SLUŽBY VYTVÁŘEJÍCÍ DŮVĚRU
ODDÍL 1
Obecná ustanovení
ODDÍL 2
Dohled
ODDÍL 3
Kvalifikované služby vytvářející důvěru
ODDÍL 4
Elektronický podpis
ODDÍL 5
Elektronické pečetě
ODDÍL 6
Elektronická časová razítka
ODDÍL 7
Služba elektronického doporučeného doručování
ODDÍL 8
Autentizace internetových stránek
KAPITOLA IV
ELEKTRONICKÉ DOKUMENTY
KAPITOLA V
PŘENESENÍ PRAVOMOCI A PROVÁDĚCÍ USTANOVENÍ
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- whereas (11) 1
- whereas (13) 3
- whereas (14) 2
- whereas (15) 1
- whereas (16) 3
- whereas (17) 1
- whereas (19) 1
- whereas (21) 3
- whereas (24) 1
- whereas (25) 1
- whereas (28) 1
- whereas (29) 3
- whereas (30) 2
- whereas (31) 1
- whereas (34) 3
- whereas (35) 1
- whereas (39) 1
- whereas (40) 1
- whereas (41) 1
- whereas (48) 1
- whereas (49) 2
- whereas (52) 1
- whereas (54) 1
- whereas (55) 1
- whereas (56) 1
- whereas (57) 1
- whereas (59) 1
- whereas (67) 1
- whereas (71) 2
Článek 15
Přístupnost pro osoby se zdravotním postižením
Je-li to proveditelné, měly by být poskytované služby vytvářející důvěru a konečné uživatelské produkty používané při poskytování těchto služeb dostupné osobám se zdravotním postižením.
whereas
(11) Toto nařízení by mělo být uplatňováno v plném souladu se zásadami ochrany osobních údajů podle směrnice Evropského parlamentu a Rady 95/46/ES (7).
V tomto směru by se, s ohledem na zásadu vzájemného uznávání stanovenou v tomto nařízení, měla autentizace pro účely on-line služeb týkat zpracování pouze těch identifikačních údajů, které jsou přiměřené, podstatné a rozsahem úměrné pro udělení přístupu k dané on-line službě.
Dále by poskytovatelé služeb vytvářejících důvěru a orgány dohledu měly dodržovat požadavky stanovené ve směrnici 95/46/ES týkající se důvěrné povahy a bezpečnosti zpracování.
(13) Členské státy by měly mít možnost používat nebo zavést prostředky pro účely elektronické identifikace pro přístup k on-line službám.
měly by mít rovněž možnost rozhodnout, zda do poskytování těchto prostředků zapojí soukromý sektor. Členské státy by neměly mít povinnost oznámit své systémy elektronické identifikace Komisi.
Je na členských státech, aby si zvolily, zda jí oznámí veškeré systémy elektronické identifikace používané na vnitrostátní úrovni pro přístup alespoň k veřejným on-line službám či zvláštním službám nebo pouze některé z těchto systémů, nebo zda tyto systémy neoznámí.
(14) V tomto nařízení je nutno stanovit určité podmínky, pokud jde o to, které prostředky pro elektronickou identifikaci musí být uznávány, a způsob oznamování systémů elektronické identifikace.
Tyto podmínky by měly členským státům pomoci při budování nezbytné vzájemné důvěry v systémy elektronické identifikace a při vzájemném uznávání prostředků pro elektronickou identifikaci spadajících do jejich oznámených systémů.
Zásada vzájemného uznávání by se měla použít, jestliže systém elektronické identifikace oznamujícího členského státu splňuje podmínky pro oznámení a toto oznámení bylo zveřejněno v Úředním věstníku Evropské unie.
Zásada vzájemného uznávání by se však měla týkat pouze autentizace pro účely on-line služby.
Přístup k těmto on-line službám a jejich skutečné poskytnutí žadateli by měly úzce souviset s právem na obdržení takovýchto služeb za podmínek stanovených ve vnitrostátních právních předpisech.
(15) Povinnost uznávat prostředky pro elektronickou identifikaci by se měla týkat pouze těch prostředků, jejichž úroveň záruky totožnosti odpovídá úrovni, která je stejná nebo vyšší než úroveň požadovaná pro dotyčnou on-line službu.
Kromě toho by tato povinnost měla platit pouze v případě, že dotyčný subjekt veřejného sektoru používá v souvislosti s přístupem k dané on-line službě značnou nebo vysokou úroveň záruky. Členské státy by měly mít možnost uznávat v souladu s právem Unie prostředky pro elektronickou identifikaci, které mají nižší úrovně záruky totožnosti.
(16) Úrovně záruky by měly vyjadřovat míru spolehlivosti prostředků pro elektronickou identifikaci při určování totožnosti osob, a tím poskytovat záruku, že osoba deklarující konkrétní totožnost je skutečně osobou, s níž je tato totožnost spojena. Úroveň záruky závisí na míře spolehlivosti, kterou daný prostředek pro elektronickou identifikaci u deklarované nebo uváděné totožnosti osoby poskytuje s přihlédnutím k postupům (například prokazování a ověřování totožnosti a autentizace), řídícím činnostem (například subjekt vydávající prostředky pro elektronickou identifikaci a postup vydávání těchto prostředků) a prováděným technickým kontrolám.
V důsledku rozsáhlých pilotních projektů financovaných Unií, normalizace a činností v mezinárodním měřítku existují různé technické definice a popisy úrovní záruk.
Zejména rozsáhlý pilotní projekt STORK a norma ISO 29115 uvádějí mimo jiné úrovně 2, 3 a 4, které by měly být v maximální míře zohledněny při stanovování minimálních technických požadavků, norem a postupů pro nízkou, značnou a vysokou úroveň záruky ve smyslu tohoto nařízení, a současně by mělo být zajištěno jednotné uplatňování tohoto nařízení, zejména pokud jde o vysokou úroveň záruky v souvislosti s prokazováním totožnosti pro vydávání kvalifikovaných certifikátů.
Stanovené požadavky by měly být z technologického hlediska neutrální.
Měla by tedy existovat možnost splnit nezbytné bezpečnostní požadavky různými technologiemi.
(17) Členské státy by měly podporovat soukromý sektor, aby pro účely identifikace, je-li u on-line služeb nebo elektronických transakcí zapotřebí, dobrovolně používal prostředky pro elektronickou identifikaci v rámci oznámeného systému.
Možnost používat tyto prostředky pro elektronickou identifikaci by soukromému sektoru umožnila spoléhat se na elektronickou identifikaci a autentizaci, která se již v mnoha členských státech ve značné míře používá přinejmenším u veřejných služeb, a usnadnila by podnikům a občanům přeshraniční přístup k on-line službám.
V zájmu snazšího přeshraničního používání těchto prostředků pro elektronickou identifikaci soukromým sektorem by možnost autentizace zajišťovaná kterýmkoli členským státem měla být k dispozici i spoléhajícím se stranám ze soukromého sektoru, které jsou usazeny mimo území daného členského státu, a to za stejných podmínek jako pro spoléhající se strany ze soukromého sektoru, které v daném členském státě usazeny jsou.
Oznamující členský stát tak může stanovit podmínky přístupu spoléhajících se stran ze soukromého sektoru k prostředkům pro autentizaci.
Tyto podmínky přístupu mohou informovat o tom, zda je prostředek pro autentizaci související s oznámeným systémem v současnosti dostupný spoléhajícím se stranám ze soukromého sektoru.
(19) Bezpečnost systémů elektronické identifikace je klíčovým předpokladem pro důvěryhodné přeshraniční vzájemné uznávání prostředků pro elektronickou identifikaci. Členské státy by v této souvislosti měly spolupracovat v otázkách bezpečnosti a interoperability systémů elektronické identifikace na úrovni Unie.
Ve všech případech, kdy systémy elektronické identifikace vyžadují, aby spoléhající se strany použily na vnitrostátní úrovni zvláštní technické zařízení nebo programové vybavení, je v zájmu přeshraniční interoperability žádoucí, aby tyto členské státy takové požadavky a související náklady neuplatňovaly vůči spoléhajícím se stranám usazeným mimo jejich území.
V takovém případě je v mezích rámce interoperability třeba projednat a vyvinout vhodná řešení.
Nicméně technické požadavky, které vyplývají z vlastních specifikací vnitrostátních prostředků pro elektronickou identifikaci a mohou mít vliv na držitele těchto elektronických prostředků (například inteligentní karty), jsou nevyhnutelné.
(21) Toto nařízení by mělo stanovit rovněž obecný právní rámec pro využívání služeb vytvářejících důvěru.
Nemělo by však zakládat obecnou povinnost používat tyto služby ani zřídit přístupový bod pro všechny existující služby vytvářející důvěru.
Zejména by se nemělo vztahovat na poskytování služeb, které jsou využívány výhradně uvnitř uzavřených systémů mezi určeným okruhem účastníků a nemají žádný vliv na třetí osoby.
Požadavky tohoto nařízení by se neměly například vztahovat na systémy zavedené v podnicích nebo v orgánech veřejné správy za účelem řízení vnitřních postupů využívajících služby vytvářející důvěru.
měly by jim podléhat pouze služby vytvářející důvěru, které jsou poskytovány veřejnosti a které mají vliv na třetí osoby.
Toto nařízení by se nemělo vztahovat ani na aspekty související s uzavíráním a platností smluv nebo jiných právních povinností, pokud existují požadavky na formu stanovené vnitrostátním právem nebo právem Unie.
Neměly by jím být dotčeny ani vnitrostátní požadavky na formu týkající se veřejných rejstříků, zejména obchodních rejstříků a katastrů nemovitostí.
(24) Členské státy mohou v souladu s právem Unie zachovat nebo zavést vnitrostátní předpisy týkající se služeb vytvářejících důvěru, pokud dané služby nejsou tímto nařízením plně harmonizovány.
Služby vytvářející důvěru, které vyhovují tomuto nařízení, by se však měly na vnitřním trhu volně pohybovat.
(25) Členské státy by měly mít možnost stanovit kromě služeb vytvářejících důvěru, jež jsou součástí uzavřeného seznamu služeb vytvářejících důvěru stanoveného v tomto nařízení, i jiné druhy služeb vytvářejících důvěru za účelem jejich uznávání na vnitrostátní úrovni jako kvalifikovaných služeb vytvářejících důvěru.
(28) Ke zvýšení důvěry zejména malých a středních podniků a spotřebitelů ve vnitřní trh a na podporu používání služeb vytvářejících důvěru a produktů by měly být zavedeny pojmy „kvalifikované služby vytvářející důvěru“ a „kvalifikovaný poskytovatel služeb vytvářejících důvěru“ za účelem stanovení požadavků a povinností, které zajistí vysokou úroveň bezpečnosti všech používaných nebo poskytovaných kvalifikovaných služeb vytvářejících důvěru a produktů.
(29) V souladu se závazky podle Úmluvy OSN o právech osob se zdravotním postižením, která byla schválena rozhodnutím Rady 2010/48/ES (8), a zejména s jejím článkem 9, by osoby se zdravotním postižením měly mít možnost využívat služby vytvářející důvěru a konečné uživatelské produkty používané při poskytování těchto služeb stejně jako ostatní spotřebitelé.
Poskytované služby vytvářející důvěru a konečné uživatelské produkty používané při poskytování těchto služeb by proto měly být dostupné osobám se zdravotním postižením, je-li to proveditelné.
Součástí posouzení proveditelnosti by měly být mimo jiné technické a ekonomické aspekty.
(30) Členské státy by měly určit orgán nebo orgány dohledu, které budou vykonávat činnosti v oblasti dohledu podle tohoto nařízení.
Na základě vzájemné dohody s jiným členským státem by členské státy rovněž měly mít možnost rozhodnout, že určí orgán dohledu na území tohoto jiného členského státu.
(31) Orgány dohledu by měly spolupracovat s orgány pro ochranu údajů, například je informovat o výsledcích auditů kvalifikovaných poskytovatelů služeb vytvářejících důvěru, jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů.
Toto poskytování informací by se mělo týkat zejména bezpečnostních incidentů a narušení bezpečnosti osobních údajů.
(34) Všechny členské státy by měly dodržovat společné základní požadavky na dohled s cílem zajistit srovnatelnou úroveň bezpečnosti kvalifikovaných služeb vytvářejících důvěru.
K usnadnění jednotného uplatňování těchto požadavků v celé Unii by členské státy měly přijmout srovnatelné postupy a měly by si vyměňovat informace o svých činnostech v oblasti dohledu a o osvědčených postupech používaných v praxi.
(35) Požadavky tohoto nařízení, zejména požadavky týkající se bezpečnosti a povinnosti zajistit hloubkovou kontrolu operací a služeb, jejich transparentnost a odpovědnost za ně, by se měly vztahovat na všechny poskytovatele služeb vytvářejících důvěru.
S přihlédnutím k druhu služeb, které poskytovatelé služeb vytvářejících důvěru poskytují, je však vhodné rozlišovat v souvislosti s těmito požadavky kvalifikované a nekvalifikované poskytovatele služeb vytvářejících důvěru.
(39) Aby mohly Komise a členské státy posoudit účinnost mechanismu pro oznamování narušení bezpečnosti, který je zaveden tímto nařízením, měly by orgány dohledu poskytovat souhrnné informace Komisi a Agentuře Evropské unie pro bezpečnost sítí a informací (ENISA).
(40) Aby mohly Komise a členské státy posoudit účinnost zdokonaleného mechanismu dohledu, který je zaveden tímto nařízením, měly by orgány dohledu podávat zprávy o své činnosti.
To by napomohlo při usnadňování výměny osvědčených postupů mezi orgány dohledu a zajistilo ověření toho, zda jsou základní požadavky na dohled ve všech členských státech uplatňovány jednotně a účinně.
(41) K zajištění udržitelnosti a stálosti kvalifikovaných služeb vytvářejících důvěru a posílení důvěry uživatelů v kontinuitu kvalifikovaných služeb vytvářejících důvěru by orgány dohledu měly ověřovat existenci a správné uplatňování předpisů o plánech ukončení činnosti v případech, kdy kvalifikovaní poskytovatelé služeb vytvářejících důvěru ukončí svou činnost.
(48) Ačkoliv k zajištění vzájemného uznávání elektronických podpisů je zapotřebí vysoká úroveň bezpečnosti, měly by být ve zvláštních případech, například v kontextu rozhodnutí Komise 2009/767/ES (10), přijímány rovněž elektronické podpisy s nižší zárukou bezpečnosti.
(49) Toto nařízení by mělo zavést zásadu, že elektronickému podpisu by neměly být upírány právní účinky na základě skutečnosti, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikovaný elektronický podpis.
Právní účinky elektronických podpisů v členských státech by však měly být vymezeny vnitrostátním právem, s výjimkou požadavků stanovených v tomto nařízení, podle něhož by měl mít kvalifikovaný elektronický podpis rovnocenný právní účinek jako podpis vlastnoruční.
(52) Vytváření elektronického podpisu na dálku, jehož prostředí spravuje poskytovatel služeb vytvářejících důvěru jménem podepisující osoby, přináší mnohé ekonomické výhody, a bude tedy pravděpodobně stále častější.
Aby však bylo zajištěno, že tyto elektronické podpisy budou z právního hlediska uznávány stejně jako elektronické podpisy, které jsou vytvářeny v prostředí spravovaném výlučně uživatelem, měli by poskytovatelé nabízející služby elektronického podpisu na dálku uplatňovat zvláštní postupy pro zajištění bezpečnosti v oblasti řízení a správy a používat důvěryhodné systémy a produkty zahrnující zabezpečené kanály pro elektronickou komunikaci, a zajistit tak spolehlivost prostředí, v němž jsou elektronické podpisy vytvářeny, a zaručit, že je toto prostředí používáno pod výlučnou kontrolou podepisující osoby.
V případě kvalifikovaného elektronického podpisu vytvořeného pomocí prostředku pro vytváření elektronických podpisů na dálku by se měly použít požadavky stanovené v tomto nařízení, které jsou použitelné na kvalifikované poskytovatele služeb vytvářejících důvěru.
(54) Pro přeshraniční uznávání kvalifikovaných elektronických podpisů jsou předpokladem přeshraniční interoperabilita a uznávání kvalifikovaných certifikátů.
Kvalifikované certifikáty by proto neměly podléhat žádným závazným požadavkům, které přesahují požadavky stanovené v tomto nařízení.
Na vnitrostátní úrovni by však zahrnutí zvláštních atributů, například jedinečných identifikátorů, do kvalifikovaných certifikátů mělo být povoleno, pokud tyto zvláštní atributy nebrání přeshraniční interoperabilitě a uznávání kvalifikovaných certifikátů a kvalifikovaných elektronických podpisů.
(55) Certifikace bezpečnosti IT systémů založená na mezinárodních normách, jako jsou ISO 15408 a související hodnotící metody a mechanismy vzájemného uznávání, je důležitým nástrojem ověřování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a měla by být podporována.
Inovační řešení a služby, jako například podepisování prostřednictvím mobilního telefonu a podepisování v cloudech, se však opírají o technická a organizační řešení pro kvalifikované prostředky pro vytváření elektronických podpisů, pro něž bezpečnostní normy dosud nemusí být k dispozici nebo pro něž první certifikace bezpečnosti IT systémů dosud probíhá.
Pouze v případě, že bezpečnostní normy nejsou k dispozici nebo první certifikace bezpečnosti IT systémů probíhá, by mohla být úroveň bezpečnosti těchto kvalifikovaných prostředků pro vytváření elektronických podpisů posouzena alternativními postupy.
Tyto postupy by měly být srovnatelné s normami pro certifikaci bezpečnosti IT systémů, pokud jsou jejich úrovně bezpečnosti rovnocenné.
Vzájemné hodnocení by mohlo tyto postupy usnadnit.
(56) Toto nařízení by mělo stanovit požadavky na kvalifikované prostředky pro vytváření elektronických podpisů, které mají zajistit funkčnost zaručených elektronických podpisů.
Toto nařízení by nemělo zahrnovat celé systémové prostředí, ve kterém se tyto prostředky využívají.
Rozsah certifikace kvalifikovaných prostředků pro vytváření podpisů by proto měl být omezen na technické zařízení a systémové programové vybavení používané pro správu a ochranu dat pro vytváření podpisů, která jsou v prostředku pro vytváření podpisů vytvořena, uložena nebo zpracovávána.
Jak je podrobně uvedeno v příslušných normách, měly by být z certifikační povinnosti vyloučeny aplikace pro vytváření podpisů.
(57) V zájmu zajištění právní jistoty ohledně platnosti podpisu je nezbytné upřesnit prvky kvalifikovaného elektronického podpisu, které by měla posoudit spoléhající se strana, jež provádí ověření platnosti.
Upřesnění požadavků na kvalifikované poskytovatele služeb vytvářejících důvěru, kteří mohou poskytovat kvalifikovanou službu ověřování platnosti spoléhajícím se stranám, jež nejsou ochotny nebo schopny provádět ověřování platnosti kvalifikovaných elektronických podpisů samy, by navíc mělo soukromý a veřejný sektor podnítit k investicím do těchto služeb.
Oba prvky by měly usnadnit ověřování platnosti kvalifikovaných elektronických podpisů a být vhodné pro všechny strany na úrovni Unie.
(59) Elektronické pečetě by měly sloužit jako důkaz toho, že elektronický dokument vydala určitá právnická osoba, a poskytovat jistotu o původu a integritě dokumentu.
(67) Služby autentizace internetových stránek poskytují prostředek, s jehož pomocí se návštěvník určitých internetových stránek může ujistit, že tyto stránky reprezentují skutečný a legitimní subjekt.
Tyto služby přispívají k budování důvěryhodnosti a důvěry v on-line obchodování, neboť uživatelé budou mít důvěru v internetové stránky, které byly autentizovány.
Poskytování a využívání služeb autentizace internetových stránek je zcela dobrovolné.
Aby se však autentizace internetových stránek stala prostředkem pro posílení důvěryhodnosti, zlepšení zkušeností uživatelů a podporu růstu na vnitřním trhu, mělo by toto nařízení stanovit pro poskytovatele a jejich služby minimální povinnosti v oblasti bezpečnosti a odpovědnosti.
Za tímto účelem byly zohledněny výsledky dosavadních iniciativ vedených odvětvím, jako například fóra pro certifikační orgány a vyhledávače – fórum CA/B.
Kromě toho by toto nařízení nemělo bránit používání jiných prostředků nebo metod pro autentizaci internetových stránek, na které se toto nařízení nevztahuje, ani by nemělo poskytovatelům služeb autentizace internetových stránek pocházejícím ze třetích zemí bránit v tom, aby své služby poskytovali zákazníkům v Unii.
Služby autentizace internetových stránek nabízené poskytovatelem ze třetí země by však měly být uznány jako kvalifikované služby podle tohoto nařízení pouze v případě, že byla uzavřena mezinárodní dohoda mezi Unií a zemí, v níž je poskytovatel usazen.
(71) Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci, zejména k určení referenčních čísel norem, jejichž použití zakládá předpoklad shody s určitými požadavky stanovenými v tomto nařízení.
Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (12).