keyboard_tab EIDAS 2014/0910 CS

whereas obdržení:

• whereas (14) 1

definitions:

Článek 9

Oznámení

1.   Oznamující členský stát oznámí Komisi tyto informace a bez zbytečného odkladu i jejich případné následné změny:

a)	popis systému elektronické identifikace, včetně jeho úrovní záruky a vydavatele či vydavatelů prostředků pro elektronickou identifikaci v rámci tohoto systému;

b)	použitelný režim dohledu a informace o režimu odpovědnosti, pokud jde o: i) stranu vydávající prostředky pro elektronickou identifikaci a ii) stranu provozující postup autentizace;

c)	orgán nebo orgány odpovědné za systém elektronické identifikace;

d)	informace o subjektu či subjektech, které spravují evidenci jedinečných osobních identifikačních údajů;

e)	popis způsobu, jakým jsou plněny požadavky stanovené v prováděcích aktech uvedených v čl. 12 odst. 8;

f)	popis autentizace podle čl. 7 písm. f);

g)	opatření k pozastavení platnosti nebo zrušení oznámeného systému elektronické identifikace nebo autentizace či dotčených ohrožených součástí.

2.   Jeden rok ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8 zveřejní Komise v Úředním věstníku Evropské unie seznam systémů elektronické identifikace, které byly oznámeny podle odstavce 1 tohoto článku, a základní informace o těchto systémech.

3.   Obdrží-li Komise oznámení po uplynutí lhůty uvedené v odstavci 2, zveřejní změny v seznamu podle uvedeného odstavce v Úředním věstníku Evropské unie do dvou měsíců od obdržení daného oznámení.

4.   Členský stát může Komisi požádat o vyškrtnutí systému elektronické identifikace, který oznámil, ze seznamu uvedeného v odstavci 2. Do jednoho měsíce od obdržení žádosti členského státu zveřejní Komise odpovídající změny v seznamu v Úředním věstníku Evropské unie.

5.   Komise může prostřednictvím prováděcích aktů stanovit okolnosti, formáty a postupy pro oznamování podle odstavce 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 18

Vzájemná pomoc

1.   Orgány dohledu vzájemně spolupracují za účelem výměny osvědčených postupů.

Po obdržení odůvodněné žádosti jiného orgánu dohledu poskytne orgán dohledu danému orgánu pomoc, aby bylo možné zajistit jednotný výkon činností orgánů dohledu. Vzájemná pomoc může zahrnovat zejména žádosti o informace a opatření v oblasti dohledu, například žádosti o provedení prověrek v souvislosti se zprávami o posouzení shody podle článků 20 a 21.

2.   Orgán dohledu, jemuž byla podána žádost o pomoc, může tuto žádost zamítnout z kteréhokoliv z těchto důvodů:

a)	orgán dohledu není k poskytnutí požadované pomoci příslušný;

b)	požadovaná pomoc je nepřiměřená činnostem v oblasti dohledu, které daný orgán dohledu vykonává v souladu s článkem 17;

c)	poskytnutí požadované pomoci by nebylo slučitelné s tímto nařízením.

3.   Členské státy mohou svým příslušným orgánům dohledu případně povolit provádět společná šetření, na nichž se podílejí pracovníci orgánů dohledu z ostatních členských států. Ujednání a postupy pro tyto společné akce dohodnou a zavedou dotčené členské státy v souladu se svými vnitrostátními právními předpisy.

Článek 20

Dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru

1.   Kvalifikovaní poskytovatelé služeb vytvářejících důvěru se na vlastní náklady alespoň jednou za 24 měsíců podrobí auditu ze strany subjektu posuzování shody. Účelem auditu je potvrzení toho, že kvalifikovaní poskytovatelé služeb vytvářejících důvěru i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru předloží výslednou zprávu o posouzení shody do tří pracovních dnů od jejího obdržení orgánu dohledu.

2.   Aniž je dotčen odstavec 1, může orgán dohledu u kvalifikovaných poskytovatelů služeb vytvářejících důvěru na jejich náklady kdykoli provést audit nebo požádat subjekt posuzování shody o provedení posouzení shody za účelem potvrzení, že oni sami i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů, sdělí orgán dohledu výsledky svých auditů orgánům pro ochranu údajů.

3.   Pokud orgán dohledu požaduje, aby kvalifikovaný poskytovatel služeb vytvářejících důvěru napravil neplnění požadavků podle tohoto nařízení, a tento poskytovatel ve lhůtě případně stanovené orgánem dohledu neučiní příslušné kroky, může orgán dohledu zejména s přihlédnutím k rozsahu, délce trvání a důsledkům daného neplnění odejmout danému poskytovateli a jím poskytované dotčené službě status kvalifikovaného poskytovatele nebo kvalifikované služby a informovat o této skutečnosti subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1. Orgán dohledu vyrozumí daného kvalifikovaného poskytovatele služeb vytvářejících důvěru o odnětí statusu kvalifikovaného poskytovatele nebo kvalifikované služby.

4.   Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro:

a)	akreditaci subjektů posuzování shody a pro zprávy o posouzení shody podle odstavce 1;

b)	pravidla auditu, podle nichž budou subjekty posuzování shody provádět posuzování shody kvalifikovaných poskytovatelů služeb vytvářejících důvěru podle odstavce 1.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 21

Zahájení poskytování kvalifikované služby vytvářející důvěru

1.   Pokud mají poskytovatelé služeb vytvářejících důvěru bez statusu kvalifikovaného poskytovatele v úmyslu začít poskytovat kvalifikované služby vytvářející důvěru, předloží orgánu dohledu oznámení o svém úmyslu společně se zprávou o posouzení shody vydanou subjektem posuzování shody.

2.   Orgán dohledu ověří, zda poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení, zejména požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru a na jimi poskytované kvalifikované služby vytvářející důvěru.

Dojde-li orgán dohledu k závěru, že poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru splňují požadavky uvedené v prvním pododstavci, udělí orgán dohledu tomuto poskytovateli služeb vytvářejících důvěru a jím poskytovaným službám vytvářejícím důvěru status kvalifikovaného poskytovatele nebo kvalifikované služby a uvědomí o tom subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1, a to do tří měsíců od obdržení oznámení podle odstavce 1 tohoto článku.

Není-li ověření dokončeno do tří měsíců od oznámení, vyrozumí orgán dohledu poskytovatele služeb vytvářejících důvěru a uvede důvody prodlení a dobu, v níž bude ověřování dokončeno.

3.   Kvalifikovaní poskytovatelé služeb vytvářejících důvěru mohou začít danou kvalifikovanou službu vytvářející důvěru poskytovat poté, co byl status kvalifikovaného poskytovatele nebo kvalifikované služby vyznačen v důvěryhodných seznamech uvedených v čl. 22 odst. 1.

4.   Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy pro účely odstavců 1 a 2. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 24

Požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru

1.   Při vydávání kvalifikovaného certifikátu pro službu vytvářející důvěru ověří kvalifikovaný poskytovatel služeb vytvářejících důvěru pomocí vhodných prostředků a v souladu s vnitrostátním právem totožnost a případně zvláštní znaky fyzické nebo právnické osoby, jíž je kvalifikovaný certifikát vydáván.

Kvalifikovaný poskytovatel služeb vytvářejících důvěru ověří informace uvedené v prvním pododstavci přímo nebo tím, že se v souladu s vnitrostátním právem spolehne na třetí osobu:

a)	na základě fyzické přítomnosti fyzické osoby nebo oprávněného zástupce právnické osoby; nebo

b)

na dálku s využitím prostředku pro elektronickou identifikaci, u něhož byla před vydáním kvalifikovaného certifikátu zajištěna fyzická přítomnost fyzické osoby nebo oprávněného zástupce právnické osoby a jenž splňuje požadavky stanovené v článku 8, pokud jde o značnou nebo vysokou úroveň záruky; nebo

c)	pomocí certifikátu kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečeti, vydaného v souladu s písmenem a) nebo b); nebo

d)	pomocí jiných identifikačních metod uznávaných na vnitrostátní úrovni, které poskytují záruku spolehlivosti rovnocennou fyzické přítomnosti. Tuto rovnocennou záruku musí potvrdit subjekt posuzování shody.

2.   Kvalifikovaný poskytovatel služeb vytvářejících důvěru poskytující kvalifikované služby vytvářející důvěru:

a)	oznámí orgánu dohledu případné změny v poskytování svých kvalifikovaných služeb vytvářejících důvěru a záměr ukončit své činnosti;

b)

zaměstnává pracovníky a případně subdodavatele, kteří mají potřebné odborné znalosti, zkušenosti a kvalifikace, jsou spolehliví a absolvovali odpovídající odbornou přípravu týkající se bezpečnosti a pravidel ochrany osobních údajů, a používá správní a řídicí postupy, které odpovídají evropským nebo mezinárodním normám;

c)	vzhledem k riziku odpovědnosti za škody v souladu s článkem 13 udržuje dostatečné finanční prostředky nebo uzavřel vhodné pojištění odpovědnosti v souladu s vnitrostátním právem;

d)	před uzavřením smluvního vztahu informuje jasným a srozumitelným způsobem osobu, která chce využít kvalifikovanou službu vytvářející důvěru, o přesných podmínkách používání této služby, včetně případných omezení jejího využívání;

e)	používá důvěryhodné systémy a produkty, které jsou chráněny proti pozměnění, a zajišťuje technickou bezpečnost a spolehlivost procesů, které podporují;

f)

používá důvěryhodné systémy k uchovávání dat, která jsou mu poskytnuta, v ověřitelné podobě, aby: i) byla veřejně přístupná pro účely vyhledávání pouze se souhlasem osoby, jíž se data týkají, ii) záznamy a změny v uložených datech mohly provádět pouze oprávněné osoby, iii) bylo možno ověřit pravost dat;

g)	přijímá vhodná opatření proti padělání a odcizení dat;

h)

po přiměřenou dobu, i poté, co ukončil svou činnost kvalifikovaného poskytovatele služeb vytvářejících důvěru, eviduje a zpřístupňuje veškeré příslušné informace týkající se dat, která vydal a obdržel, zejména pro účely poskytnutí důkazů v soudním a správním řízení a pro účely zajištění kontinuity služby. Tato evidence může mít elektronickou podobu;

i)	má k dispozici aktualizovaný plán ukončení činnosti k zajištění kontinuity služby v souladu s předpisy ověřenými orgánem dohledu podle čl. 17 odst. 4 písm. i);

j)	zajišťuje zákonné zpracovávání osobních údajů v souladu se směrnicí 95/46/ES;

k)	pokud se jedná o kvalifikovaného poskytovatele služeb vytvářejících důvěru vydávajícího kvalifikované certifikáty, vede a aktualizuje databázi certifikátů.

3.   Jestliže se kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty rozhodne určitý certifikát zneplatnit, zaeviduje toto zneplatnění ve své databázi certifikátů a zneplatnění certifikátu včas a v každém případě do 24 hodin od obdržení žádosti zveřejní. Zneplatnění nabývá účinku okamžitě po zveřejnění.

4.   Pokud jde o odstavec 3, kvalifikovaní poskytovatelé služeb vytvářejících důvěru vydávající kvalifikované certifikáty poskytnou kterékoli spoléhající se straně informace o platnosti nebo o zneplatnění kvalifikovaných certifikátů, které vydali. Tyto informace se poskytnou alespoň na základě certifikátu, a to kdykoli i po skončení doby platnosti certifikátu, automatizovaným způsobem, který je spolehlivý, bezplatný a účinný.

5.   Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro důvěryhodné systémy a produkty, které splňují požadavky podle odst. 2 písm. e) a f) tohoto článku. Pokud důvěryhodné systémy a produkty vyhovují těmto normám, předpokládá se shoda s požadavky stanovenými v tomto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

ODDÍL 4

Elektronický podpis