keyboard_tab EIDAS 2014/0910 CS

whereas přihlédnutím:

• whereas (16) 1
• whereas (35) 1

definitions:

Článek 8

Úrovně záruky systémů elektronické identifikace

1.   Systém elektronické identifikace oznámený podle čl. 9 odst. 1 uvádí nízkou, značnou nebo vysokou úroveň záruky pro prostředky pro elektronickou identifikaci vydávané v rámci tohoto systému.

2.   Nízká, značná a vysoká úroveň záruky musí splňovat tato příslušná kritéria:

a)

nízká úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí omezenou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je snížit riziko zneužití nebo změny totožnosti;

b)

značná úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí značnou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je značně snížit riziko zneužití nebo změny totožnosti;

c)

vysoká úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí vyšší míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby než prostředek pro elektronickou identifikaci se značnou úrovní záruky a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je předejít zneužití nebo změně totožnosti.

3.   Do 18. září 2015 Komise prostřednictvím prováděcích aktů s přihlédnutím k příslušným mezinárodním normám a s výhradou odstavce 2 stanoví minimální technické specifikace, normy a postupy, jejichž pomocí jsou pro účely odstavce 1 vymezeny nízká, značná a vysoká úroveň záruky prostředků pro elektronickou identifikaci.

Tyto minimální technické specifikace, normy a postupy se stanoví na základě spolehlivosti a kvality:

a)	postupu prokazování a ověřování totožnosti fyzických nebo právnických osob žádajících o vydání prostředku pro elektronickou identifikaci;

b)	postupu vydávání požadovaných prostředků pro elektronickou identifikaci;

c)	mechanismu autentizace, při níž fyzická nebo právnická osoba používá prostředek pro elektronickou identifikaci k tomu, aby spoléhající se straně potvrdila svou totožnost;

d)	subjektu vydávajícího prostředky pro elektronickou identifikaci;

e)	jakéhokoli jiného subjektu zapojeného do žádosti o vydání prostředku pro elektronickou identifikaci a

f)	technických a bezpečnostních specifikací vydaného prostředku pro elektronickou identifikaci.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 12

Spolupráce a interoperabilita

1.   Vnitrostátní systémy elektronické identifikace oznámené podle čl. 9 odst. 1 musí být interoperabilní.

2.   Pro účely odstavce 1 se zavede rámec interoperability.

3.   Rámec interoperability musí splňovat tato kritéria:

a)	usiluje o to, aby byl z technologického hlediska neutrální, a v rámci členského státu nerozlišuje mezi žádnými zvláštními vnitrostátními technickými řešeními elektronické identifikace;

b)	je-li to možné, řídí se evropskými a mezinárodními normami;

c)	usnadňuje uplatňování zásady ochrany soukromí již od návrhu; a

d)	zajišťuje, aby osobní údaje byly zpracovávány v souladu se směrnicí 95/46/ES.

4.   Rámec interoperability sestává z:

a)	odkazu na minimální technické požadavky týkající se úrovní záruky stanovených v článku 8;

b)	mapování vnitrostátních úrovní záruky oznámených systémů elektronické identifikace podle úrovní záruky stanovených v článku 8;

c)	odkazu na minimální technické požadavky pro interoperabilitu;

d)	odkazu na minimální soubor osobních identifikačních údajů jedinečně identifikujících fyzickou nebo právnickou osobu, který je v systémech elektronické identifikace k dispozici;

e)	procesních pravidel;

f)	opatření pro řešení sporů; a

g)	společných norem provozní bezpečnosti.

5.   Členské státy spolupracují ohledně:

a)	interoperability systémů elektronické identifikace oznámených podle čl. 9 odst. 1 a systémů elektronické identifikace, jež členské státy hodlají oznámit; a

b)	bezpečnosti systémů elektronické identifikace.

6.   Spolupráce mezi členskými státy zahrnuje:

a)	výměnu informací, zkušeností a osvědčených postupů v oblasti systémů elektronické identifikace, a zejména v oblasti technických požadavků týkajících se interoperability a úrovní záruky;

b)	výměnu informací, zkušeností a osvědčených postupů v oblasti práce s úrovněmi záruky systémů elektronické identifikace podle článku 8;

c)	vzájemné hodnocení systémů elektronické identifikace, které spadají do oblasti působnosti tohoto nařízení; a

d)	posouzení relevantního vývoje v odvětví elektronické identifikace.

7.   Komise do 18. března 2015 prostřednictvím prováděcích aktů stanoví nezbytná procesní opatření pro usnadnění spolupráce mezi členskými státy podle odstavců 5 a 6 v zájmu podpory vysoké úrovně důvěryhodnosti a bezpečnosti odpovídající míře rizika.

8.   Do 18. března 2015 Komise pro účely stanovení jednotných podmínek pro provádění požadavku podle odstavce 1, s výhradou kritérií stanovených v odstavci 3 a s přihlédnutím k výsledkům spolupráce mezi členskými státy, přijme prováděcí akty týkající se rámce interoperability stanoveného v odstavci 4.

9.   Prováděcí akty uvedené v odstavcích 7 a 8 tohoto článku se přijímají přezkumným postupem podle čl. 48 odst. 2.

KAPITOLA III

SLUŽBY VYTVÁŘEJÍCÍ DŮVĚRU

ODDÍL 1

Obecná ustanovení

Článek 20

Dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru

1.   Kvalifikovaní poskytovatelé služeb vytvářejících důvěru se na vlastní náklady alespoň jednou za 24 měsíců podrobí auditu ze strany subjektu posuzování shody. Účelem auditu je potvrzení toho, že kvalifikovaní poskytovatelé služeb vytvářejících důvěru i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru předloží výslednou zprávu o posouzení shody do tří pracovních dnů od jejího obdržení orgánu dohledu.

2.   Aniž je dotčen odstavec 1, může orgán dohledu u kvalifikovaných poskytovatelů služeb vytvářejících důvěru na jejich náklady kdykoli provést audit nebo požádat subjekt posuzování shody o provedení posouzení shody za účelem potvrzení, že oni sami i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů, sdělí orgán dohledu výsledky svých auditů orgánům pro ochranu údajů.

3.   Pokud orgán dohledu požaduje, aby kvalifikovaný poskytovatel služeb vytvářejících důvěru napravil neplnění požadavků podle tohoto nařízení, a tento poskytovatel ve lhůtě případně stanovené orgánem dohledu neučiní příslušné kroky, může orgán dohledu zejména s přihlédnutím k rozsahu, délce trvání a důsledkům daného neplnění odejmout danému poskytovateli a jím poskytované dotčené službě status kvalifikovaného poskytovatele nebo kvalifikované služby a informovat o této skutečnosti subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1. Orgán dohledu vyrozumí daného kvalifikovaného poskytovatele služeb vytvářejících důvěru o odnětí statusu kvalifikovaného poskytovatele nebo kvalifikované služby.

4.   Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro:

a)	akreditaci subjektů posuzování shody a pro zprávy o posouzení shody podle odstavce 1;

b)	pravidla auditu, podle nichž budou subjekty posuzování shody provádět posuzování shody kvalifikovaných poskytovatelů služeb vytvářejících důvěru podle odstavce 1.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 27

Elektronické podpisy ve veřejných službách

1.   Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis, uznává zaručené elektronické podpisy, zaručené elektronické podpisy založené na kvalifikovaném certifikátu pro elektronické podpisy a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2.   Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis založený na kvalifikovaném certifikátu, uznává zaručené elektronické podpisy založené na kvalifikovaném certifikátu a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3.   Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis.

4.   Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické podpisy. Pokud zaručený elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické podpisy uvedenými v odstavcích 1 a 2 tohoto článku a v článku 26. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5.   Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických podpisů nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 37

Elektronické pečetě ve veřejných službách

1.   Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť, uznává zaručené elektronické pečetě, zaručené elektronické pečetě založené na kvalifikovaném certifikátu pro elektronické pečetě a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2.   Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť založenou na kvalifikovaném certifikátu, uznává zaručené elektronické pečetě založené na kvalifikovaném certifikátu a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3.   Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronickou pečeť s vyšší zárukou bezpečnosti než kvalifikovanou elektronickou pečeť.

4.   Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické pečetě. Pokud zaručená elektronická pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické pečetě uvedenými v odstavcích 1 a 2 tohoto článku a v článku 36. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5.   Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických pečetí nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 49

Přezkum

Do 1. července 2020 přezkoumá Komise uplatňování tohoto nařízení a podá zprávu Evropskému parlamentu a Radě. Komise zejména vyhodnotí, zda je s přihlédnutím ke zkušenostem s uplatňováním tohoto nařízení a k technologickému, tržnímu a právnímu vývoji vhodné upravit oblast působnosti tohoto nařízení nebo jeho konkrétní ustanovení, včetně článku 6, čl. 7 písm. f) a článků 34, 43, 44 a 45.

Ke zprávě uvedené v prvním pododstavci se případně připojí legislativní návrhy.

Vedle toho Komise každé čtyři roky od předložení zprávy uvedené v prvním pododstavci předloží Evropskému parlamentu a Radě zprávu o pokroku v dosahování cílů tohoto nařízení.