EIDAS 2014/0910 CS

S cílem zajistit řádné fungování vnitřního trhu a současně usilovat o odpovídající úroveň bezpečnosti prostředků pro elektronickou identifikaci a služeb vytvářejících důvěru toto nařízení:

a)	stanoví podmínky, za nichž členské státy uznávají prostředky pro elektronickou identifikaci fyzických a právnických osob, které spadají do oznámeného systému elektronické identifikace jiného členského státu;

b)	stanoví pravidla pro služby vytvářející důvěru, zejména u elektronických transakcí; a

c)	stanoví právní rámec pro elektronické podpisy, elektronické pečetě, elektronická časová razítka, elektronické dokumenty, služby elektronického doporučeného doručování a certifikační služby pro autentizaci internetových stránek.

Článek 8

Úrovně záruky systémů elektronické identifikace

1. Systém elektronické identifikace oznámený podle čl. 9 odst. 1 uvádí nízkou, značnou nebo vysokou úroveň záruky pro prostředky pro elektronickou identifikaci vydávané v rámci tohoto systému.

2. Nízká, značná a vysoká úroveň záruky musí splňovat tato příslušná kritéria:

nízká úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí omezenou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je snížit riziko zneužití nebo změny totožnosti;

značná úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí značnou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je značně snížit riziko zneužití nebo změny totožnosti;

vysoká úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí vyšší míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby než prostředek pro elektronickou identifikaci se značnou úrovní záruky a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je předejít zneužití nebo změně totožnosti.

3. Do 18. září 2015 Komise prostřednictvím prováděcích aktů s přihlédnutím k příslušným mezinárodním normám a s výhradou odstavce 2 stanoví minimální technické specifikace, normy a postupy, jejichž pomocí jsou pro účely odstavce 1 vymezeny nízká, značná a vysoká úroveň záruky prostředků pro elektronickou identifikaci.

Tyto minimální technické specifikace, normy a postupy se stanoví na základě spolehlivosti a kvality:

a)	postupu prokazování a ověřování totožnosti fyzických nebo právnických osob žádajících o vydání prostředku pro elektronickou identifikaci;

b)	postupu vydávání požadovaných prostředků pro elektronickou identifikaci;

c)	mechanismu autentizace, při níž fyzická nebo právnická osoba používá prostředek pro elektronickou identifikaci k tomu, aby spoléhající se straně potvrdila svou totožnost;

d)	subjektu vydávajícího prostředky pro elektronickou identifikaci;

e)	jakéhokoli jiného subjektu zapojeného do žádosti o vydání prostředku pro elektronickou identifikaci a

f)	technických a bezpečnostních specifikací vydaného prostředku pro elektronickou identifikaci.

Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 9

Oznámení

1. Oznamující členský stát oznámí Komisi tyto informace a bez zbytečného odkladu i jejich případné následné změny:

a)	popis systému elektronické identifikace, včetně jeho úrovní záruky a vydavatele či vydavatelů prostředků pro elektronickou identifikaci v rámci tohoto systému;

použitelný režim dohledu a informace o režimu odpovědnosti, pokud jde o:

i)	stranu vydávající prostředky pro elektronickou identifikaci a

ii)	stranu provozující postup autentizace;

c)	orgán nebo orgány odpovědné za systém elektronické identifikace;

d)	informace o subjektu či subjektech, které spravují evidenci jedinečných osobních identifikačních údajů;

e)	popis způsobu, jakým jsou plněny požadavky stanovené v prováděcích aktech uvedených v čl. 12 odst. 8;

f)	popis autentizace podle čl. 7 písm. f);

g)	opatření k pozastavení platnosti nebo zrušení oznámeného systému elektronické identifikace nebo autentizace či dotčených ohrožených součástí.

2. Jeden rok ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8 zveřejní Komise v Úředním věstníku Evropské unie seznam systémů elektronické identifikace, které byly oznámeny podle odstavce 1 tohoto článku, a základní informace o těchto systémech.

3. Obdrží-li Komise oznámení po uplynutí lhůty uvedené v odstavci 2, zveřejní změny v seznamu podle uvedeného odstavce v Úředním věstníku Evropské unie do dvou měsíců od obdržení daného oznámení.

4. Členský stát může Komisi požádat o vyškrtnutí systému elektronické identifikace, který oznámil, ze seznamu uvedeného v odstavci 2. Do jednoho měsíce od obdržení žádosti členského státu zveřejní Komise odpovídající změny v seznamu v Úředním věstníku Evropské unie.

5. Komise může prostřednictvím prováděcích aktů stanovit okolnosti, formáty a postupy pro oznamování podle odstavce 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 24

Požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru

1. Při vydávání kvalifikovaného certifikátu pro službu vytvářející důvěru ověří kvalifikovaný poskytovatel služeb vytvářejících důvěru pomocí vhodných prostředků a v souladu s vnitrostátním právem totožnost a případně zvláštní znaky fyzické nebo právnické osoby, jíž je kvalifikovaný certifikát vydáván.

Kvalifikovaný poskytovatel služeb vytvářejících důvěru ověří informace uvedené v prvním pododstavci přímo nebo tím, že se v souladu s vnitrostátním právem spolehne na třetí osobu:

a)	na základě fyzické přítomnosti fyzické osoby nebo oprávněného zástupce právnické osoby; nebo

na dálku s využitím prostředku pro elektronickou identifikaci, u něhož byla před vydáním kvalifikovaného certifikátu zajištěna fyzická přítomnost fyzické osoby nebo oprávněného zástupce právnické osoby a jenž splňuje požadavky stanovené v článku 8, pokud jde o značnou nebo vysokou úroveň záruky; nebo

c)	pomocí certifikátu kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečeti, vydaného v souladu s písmenem a) nebo b); nebo

d)	pomocí jiných identifikačních metod uznávaných na vnitrostátní úrovni, které poskytují záruku spolehlivosti rovnocennou fyzické přítomnosti. Tuto rovnocennou záruku musí potvrdit subjekt posuzování shody.

2. Kvalifikovaný poskytovatel služeb vytvářejících důvěru poskytující kvalifikované služby vytvářející důvěru:

a)	oznámí orgánu dohledu případné změny v poskytování svých kvalifikovaných služeb vytvářejících důvěru a záměr ukončit své činnosti;

zaměstnává pracovníky a případně subdodavatele, kteří mají potřebné odborné znalosti, zkušenosti a kvalifikace, jsou spolehliví a absolvovali odpovídající odbornou přípravu týkající se bezpečnosti a pravidel ochrany osobních údajů, a používá správní a řídicí postupy, které odpovídají evropským nebo mezinárodním normám;

c)	vzhledem k riziku odpovědnosti za škody v souladu s článkem 13 udržuje dostatečné finanční prostředky nebo uzavřel vhodné pojištění odpovědnosti v souladu s vnitrostátním právem;

d)	před uzavřením smluvního vztahu informuje jasným a srozumitelným způsobem osobu, která chce využít kvalifikovanou službu vytvářející důvěru, o přesných podmínkách používání této služby, včetně případných omezení jejího využívání;

e)	používá důvěryhodné systémy a produkty, které jsou chráněny proti pozměnění, a zajišťuje technickou bezpečnost a spolehlivost procesů, které podporují;

používá důvěryhodné systémy k uchovávání dat, která jsou mu poskytnuta, v ověřitelné podobě, aby:

i)	byla veřejně přístupná pro účely vyhledávání pouze se souhlasem osoby, jíž se data týkají,

ii)	záznamy a změny v uložených datech mohly provádět pouze oprávněné osoby,

iii)	bylo možno ověřit pravost dat;

g)	přijímá vhodná opatření proti padělání a odcizení dat;

po přiměřenou dobu, i poté, co ukončil svou činnost kvalifikovaného poskytovatele služeb vytvářejících důvěru, eviduje a zpřístupňuje veškeré příslušné informace týkající se dat, která vydal a obdržel, zejména pro účely poskytnutí důkazů v soudním a správním řízení a pro účely zajištění kontinuity služby. Tato evidence může mít elektronickou podobu;

i)	má k dispozici aktualizovaný plán ukončení činnosti k zajištění kontinuity služby v souladu s předpisy ověřenými orgánem dohledu podle čl. 17 odst. 4 písm. i);

j)	zajišťuje zákonné zpracovávání osobních údajů v souladu se směrnicí 95/46/ES;

k)	pokud se jedná o kvalifikovaného poskytovatele služeb vytvářejících důvěru vydávajícího kvalifikované certifikáty, vede a aktualizuje databázi certifikátů.

3. Jestliže se kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty rozhodne určitý certifikát zneplatnit, zaeviduje toto zneplatnění ve své databázi certifikátů a zneplatnění certifikátu včas a v každém případě do 24 hodin od obdržení žádosti zveřejní. Zneplatnění nabývá účinku okamžitě po zveřejnění.

4. Pokud jde o odstavec 3, kvalifikovaní poskytovatelé služeb vytvářejících důvěru vydávající kvalifikované certifikáty poskytnou kterékoli spoléhající se straně informace o platnosti nebo o zneplatnění kvalifikovaných certifikátů, které vydali. Tyto informace se poskytnou alespoň na základě certifikátu, a to kdykoli i po skončení doby platnosti certifikátu, automatizovaným způsobem, který je spolehlivý, bezplatný a účinný.

5. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro důvěryhodné systémy a produkty, které splňují požadavky podle odst. 2 písm. e) a f) tohoto článku. Pokud důvěryhodné systémy a produkty vyhovují těmto normám, předpokládá se shoda s požadavky stanovenými v tomto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

ODDÍL 4

Elektronický podpis

Článek 30

Certifikace kvalifikovaných prostředků pro vytváření elektronických podpisů

1. Shodu kvalifikovaných prostředků pro vytváření elektronických podpisů s požadavky stanovenými v příloze II certifikují příslušné veřejné nebo soukromé subjekty, které určily členské státy.

2. Členské státy sdělí Komisi názvy a adresy veřejných nebo soukromých subjektů uvedených v odstavci 1. Komise tyto informace zpřístupní členským státům.

3. Certifikace podle odstavce 1 je založena na jednom z těchto postupů:

a)	postupu posouzení bezpečnosti, který byl proveden v souladu s některou z norem pro posuzování bezpečnosti produktů informačních technologií uvedených na seznamu sestaveném v souladu s druhým pododstavcem tohoto odstavce; nebo

jiném postupu, než je postup uvedený v písmenu a), za podmínky, že používá srovnatelné úrovně bezpečnosti a že veřejný nebo soukromý subjekt uvedený v odstavci 1 daný postup oznámí Komisi. Tento postup může být použit pouze v případě, že normy uvedené v písmenu a) neexistují nebo že postup posouzení bezpečnosti podle písmene a) dosud probíhá.

Komise prostřednictvím prováděcích aktů sestaví seznam norem pro posuzování bezpečnosti produktů informačních technologií uvedený v prvním pododstavci písm. a). Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

4. Komise je zmocněna k přijímání aktů v přenesené pravomoci v souladu s článkem 47, pokud jde o stanovení zvláštních kritérií, která mají splňovat určené subjekty uvedené v odstavci 1 tohoto článku.

Článek 31

Zveřejnění seznamu certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů

1. Členské státy bez zbytečného odkladu a nejpozději jeden měsíc po ukončení certifikace oznámí Komisi informace o kvalifikovaných prostředcích pro vytváření elektronických podpisů, které byly certifikovány subjekty uvedenými v čl. 30 odst. 1. Bez zbytečného odkladu a nejpozději jeden měsíc po zrušení certifikace Komisi rovněž oznámí informace o prostředcích pro vytváření elektronických podpisů, které již nebudou certifikovány.

2. Na základě obdržených informací Komise zřizuje, zveřejňuje a udržuje seznam certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů.

3. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy použitelné pro účely odstavce 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 39

Kvalifikované prostředky pro vytváření elektronických pečetí

1. Na kvalifikované prostředky pro vytváření elektronických pečetí se použije přiměřeně článek 29.

2. Na certifikaci kvalifikovaných prostředků pro vytváření elektronických pečetí se použije přiměřeně článek 30.

3. Na zveřejnění seznamu certifikovaných kvalifikovaných prostředků pro vytváření elektronických pečetí se použije přiměřeně článek 31.

Článek 52

Vstup v platnost

1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2. Toto nařízení se použije ode dne 1. července 2016, s těmito výjimkami:

čl. 8 odst. 3, čl. 9 odst. 5, čl. 12 odst. 2 až 9, čl. 17 odst. 8, čl. 19 odst. 4, čl. 20 odst. 4, čl. 21 odst. 4, čl. 22 odst. 5, čl. 23 odst. 3, čl. 24 odst. 5, čl. 27 odst. 4 a 5, čl. 28 odst. 6, čl. 29 odst. 2, čl. 30 odst. 3 a 4, čl. 31 odst. 3, čl. 32 odst. 3, čl. 33 odst. 2, čl. 34 odst. 2, čl. 37 odst. 4 a 5, čl. 38 odst. 6, čl. 42 odst. 2, čl. 44 odst. 2, čl. 45 odst. 2 a články 47 a 48 se použijí ode dne 17. září 2014;

b)	článek 7, čl. 8 odst. 1 a 2, články 9, 10 a 11 a čl. 12 odst. 1 se použijí ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8;

c)	článek 6 se použije od uplynutí tří let ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8.

3. Pokud je oznámený systém elektronické identifikace na seznamu, který Komise zveřejní podle článku 9, uveden přede dnem uvedeným v odst. 2 písm. c) tohoto článku, dojde k uznání prostředků pro elektronickou identifikaci v rámci tohoto systému podle článku 6 nejpozději dvanáct měsíců po zveřejnění tohoto systému, avšak nejdříve ke dni uvedenému v odst. 2 písm. c) tohoto článku.

4. Bez ohledu na odst. 2 písm. c) tohoto článku může členský stát rozhodnout, že prostředky pro elektronickou identifikaci v rámci systému elektronické identifikace, který jiný členský stát oznámil podle čl. 9 odst. 1, se v prvním členském státě uznávají ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8. Dotyčné členské státy informují Komisi. Komise tyto informace zveřejní.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 23. července 2014.

Za Evropský parlament

předseda

M. SCHULZ

Za Radu

předseda

S. GOZI

(1) Úř. věst. C 351, 15.11.2012, s. 73.

(2) Postoj Evropského parlamentu ze dne 3. dubna 2014 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 23. července 2014.

(3) Směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy (Úř. věst. L 13, 19.1.2000, s. 12).

(4) Úř. věst. C 50 E, 21.2.2012, s. 1.

(5) Směrnice Evropského parlamentu a Rady 2006/123/ES ze dne 12. prosince 2006 o službách na vnitřním trhu (Úř. věst. L 376, 27.12.2006, s. 36).

(6) Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45).

(7) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).

(8) Rozhodnutí Rady 2010/48/ES ze dne 26. listopadu 2009 o uzavření Úmluvy Organizace spojených národů o právech osob se zdravotním postižením Evropským společenstvím (Úř. věst. L 23, 27.1.2010, s. 35).

(9) Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93 (Úř. věst. L 218, 13.8.2008, s. 30).

(10) Rozhodnutí Komise 2009/767/ES ze dne 16. října 2009, kterým se stanovují opatření pro usnadnění užití postupů s využitím elektronických prostředků prostřednictvím „jednotných kontaktních míst“ podle směrnice Evropského parlamentu a Rady 2006/123/ES o službách na vnitřním trhu (Úř. věst. L 274, 20.10.2009, s. 36).

(11) Rozhodnutí Komise 2011/130/EU ze dne 25. února 2011, kterým se stanoví minimální požadavky na přeshraniční zpracování dokumentů elektronicky podepsaných příslušnými orgány podle směrnice Evropského parlamentu a Rady 2006/123/ES o službách na vnitřním trhu (Úř. věst. L 53, 26.2.2011, s. 66).

(12) Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(13) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(14) Úř. věst. C 28, 30.1.2013, s. 6.

(15) Směrnice Evropského parlamentu a Rady 2014/24/EU ze dne 26. února 2014 o zadávání veřejných zakázek a o zrušení směrnice 2004/18/ES (Úř. věst. L 94, 28.3.2014, s. 65).

PŘÍLOHA I

POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO ELEKTRONICKÉ PODPISY

Kvalifikované certifikáty pro elektronické podpisy obsahují:

a)	označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronický podpis;

soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty, včetně alespoň členského státu, v němž je poskytovatel usazen, a

—	v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech,

—	v případě fyzické osoby: jméno osoby;

c)	alespoň jméno podepisující osoby nebo pseudonym. Je-li použit pseudonym, musí být tato skutečnost jasně vyznačena;

d)	data pro ověřování platnosti elektronických podpisů, která odpovídají datům pro vytváření elektronických podpisů;

e)	označení začátku a konce doby platnosti certifikátu;

f)	identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;

g)	zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;

h)	údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g);

i)	údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu;

j)	pokud jsou data pro vytváření elektronických podpisů spojená s daty pro ověřování platnosti elektronických podpisů obsažena v kvalifikovaném prostředku pro vytváření elektronických podpisů, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování.

PŘÍLOHA II

POŽADAVKY NA KVALIFIKOVANÉ PROSTŘEDKY PRO VYTVÁŘENÍ ELEKTRONICKÝCH PODPISŮ

Kvalifikované prostředky pro vytváření elektronických podpisů vhodnými technickými prostředky a postupy přinejmenším zajistí, aby:

a)	byla přiměřeně zajištěna důvěrnost dat pro vytváření elektronických podpisů, která byla použita při vytváření elektronického podpisu;

b)	data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu se mohla prakticky vyskytnout pouze jednou;

c)	bylo přiměřeně zajištěno, že data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu nelze odvodit a že elektronický podpis je v současnosti dostupnými technickými prostředky spolehlivě chráněn proti padělání;

d)	oprávněná podepisující osoba měla možnost data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu spolehlivě chránit před jejich zneužitím třetí osobou.

Kvalifikované prostředky pro vytváření elektronických podpisů nesmějí měnit podepisovaná data ani bránit tomu, aby byla tato data předložena podepisující osobě před vlastním podepsáním.

Data pro vytváření elektronických podpisů může jménem podepisující osoby vytvářet nebo spravovat pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru.

Aniž je dotčen bod 1 písm. d), smějí kvalifikovaní poskytovatelé služeb vytvářejících důvěru, kteří spravují data pro vytváření elektronických podpisů jménem podepisující osoby, kopírovat data pro vytváření elektronických podpisů pouze pro účely zálohování a jsou-li splněny tyto požadavky:

a)	bezpečnost zkopírovaných souborů dat je na stejné úrovni jako u původních souborů dat;

b)	počet zkopírovaných souborů dat nepřesáhne minimum potřebné pro zajištění kontinuity služby.

PŘÍLOHA III

POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO ELEKTRONICKÉ PEČETĚ

Kvalifikované certifikáty pro elektronické pečetě obsahují:

a)	označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronickou pečeť;

—	v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech,

—	v případě fyzické osoby: jméno osoby;

c)	alespoň jméno pečetící osoby a případné registrační číslo uvedené v úředních záznamech;

d)	data pro ověřování platnosti elektronických pečetí, která odpovídají datům pro vytváření elektronických pečetí;

e)	označení začátku a konce doby platnosti certifikátu;

f)	identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;

g)	zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;

h)	údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g);

i)	údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu;

j)	pokud jsou data pro vytváření elektronických pečetí spojená s daty pro ověřování platnosti elektronických pečetí obsažena v kvalifikovaném prostředku pro vytváření elektronických pečetí, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování.

PŘÍLOHA IV

POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO AUTENTIZACI INTERNETOVÝCH STRÁNEK

Kvalifikované certifikáty pro autentizaci internetových stránek obsahují:

a)	označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro autentizaci internetových stránek;

—	v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech,

—	v případě fyzické osoby: jméno osoby;

c)	v případě fyzických osob: alespoň jméno osoby, jíž byl certifikát vydán, nebo pseudonym. Je-li použit pseudonym, musí být tato skutečnost jasně vyznačena; v případě právnických osob: alespoň název právnické osoby, jíž byl certifikát vydán, a případné registrační číslo uvedené v úředních záznamech;

d)	údaje z adresy (včetně alespoň města a státu) fyzické nebo právnické osoby, jíž je certifikát vydán, jak je uvedena v případných úředních záznamech;

e)	název domény nebo domén, které provozuje fyzická nebo právnická osoba, jíž je certifikát vydán;

f)	označení začátku a konce doby platnosti certifikátu;

g)	identifikační číslo certifikátu, které musí být jedinečné u daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;

h)	zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;

i)	údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene h);

j)	údaj o umístění služeb pro ověření platnosti certifikátu, které lze využít k zjištění platnosti kvalifikovaného certifikátu.

whereas

(8) Směrnice Evropského parlamentu a Rady 2006/123/ES (5) vyžaduje, aby členské státy vytvořily jednotná kontaktní místa s cílem zajistit, aby veškeré postupy a formality vztahující se k přístupu k činnosti poskytování služeb a jejímu výkonu mohly být snadno splněny na dálku a pomocí elektronických prostředků, a to prostřednictvím příslušného jednotného kontaktního místa a u příslušných orgánů.
Mnoho on-line služeb přístupných prostřednictvím jednotného kontaktního místa vyžaduje elektronickou identifikaci, autentizaci a podpis.

- = -

(12) Jedním z cílů tohoto nařízení je odstranění stávajících překážek přeshraničního využívání prostředků pro elektronickou identifikaci, které se v členských státech používají k autentizaci, alespoň pro účely veřejných služeb.
Toto nařízení nemá za cíl zasahovat do systémů správy elektronické identity a souvisejících infrastruktur zřízených v členských státech.
Jeho cílem je zajistit, aby u přístupu k přeshraničním on-line službám poskytovaným členskými státy byla možná bezpečná elektronická identifikace a autentizace.

- = -

(13) Členské státy by měly mít možnost používat nebo zavést prostředky pro účely elektronické identifikace pro přístup k on-line službám.
Měly by mít rovněž možnost rozhodnout, zda do poskytování těchto prostředků zapojí soukromý sektor. Členské státy by neměly mít povinnost oznámit své systémy elektronické identifikace Komisi.
Je na členských státech, aby si zvolily, zda jí oznámí veškeré systémy elektronické identifikace používané na vnitrostátní úrovni pro přístup alespoň k veřejným on-line službám či zvláštním službám nebo pouze některé z těchto systémů, nebo zda tyto systémy neoznámí.

- = -

(14) V tomto nařízení je nutno stanovit určité podmínky, pokud jde o to, které prostředky pro elektronickou identifikaci musí být uznávány, a způsob oznamování systémů elektronické identifikace.
Tyto podmínky by měly členským státům pomoci při budování nezbytné vzájemné důvěry v systémy elektronické identifikace a při vzájemném uznávání prostředků pro elektronickou identifikaci spadajících do jejich oznámených systémů.
Zásada vzájemného uznávání by se měla použít, jestliže systém elektronické identifikace oznamujícího členského státu splňuje podmínky pro oznámení a toto oznámení bylo zveřejněno v Úředním věstníku Evropské unie.
Zásada vzájemného uznávání by se však měla týkat pouze autentizace pro účely on-line služby.
Přístup k těmto on-line službám a jejich skutečné poskytnutí žadateli by měly úzce souviset s právem na obdržení takovýchto služeb za podmínek stanovených ve vnitrostátních právních předpisech.

- = -

(15) Povinnost uznávat prostředky pro elektronickou identifikaci by se měla týkat pouze těch prostředků, jejichž úroveň záruky totožnosti odpovídá úrovni, která je stejná nebo vyšší než úroveň požadovaná pro dotyčnou on-line službu.
Kromě toho by tato povinnost měla platit pouze v případě, že dotyčný subjekt veřejného sektoru používá v souvislosti s přístupem k dané on-line službě značnou nebo vysokou úroveň záruky. Členské státy by měly mít možnost uznávat v souladu s právem Unie prostředky pro elektronickou identifikaci, které mají nižší úrovně záruky totožnosti.

- = -

(16) Úrovně záruky by měly vyjadřovat míru spolehlivosti prostředků pro elektronickou identifikaci při určování totožnosti osob, a tím poskytovat záruku, že osoba deklarující konkrétní totožnost je skutečně osobou, s níž je tato totožnost spojena. Úroveň záruky závisí na míře spolehlivosti, kterou daný prostředek pro elektronickou identifikaci u deklarované nebo uváděné totožnosti osoby poskytuje s přihlédnutím k postupům (například prokazování a ověřování totožnosti a autentizace), řídícím činnostem (například subjekt vydávající prostředky pro elektronickou identifikaci a postup vydávání těchto prostředků) a prováděným technickým kontrolám.
V důsledku rozsáhlých pilotních projektů financovaných Unií, normalizace a činností v mezinárodním měřítku existují různé technické definice a popisy úrovní záruk.
Zejména rozsáhlý pilotní projekt STORK a norma ISO 29115 uvádějí mimo jiné úrovně 2, 3 a 4, které by měly být v maximální míře zohledněny při stanovování minimálních technických požadavků, norem a postupů pro nízkou, značnou a vysokou úroveň záruky ve smyslu tohoto nařízení, a současně by mělo být zajištěno jednotné uplatňování tohoto nařízení, zejména pokud jde o vysokou úroveň záruky v souvislosti s prokazováním totožnosti pro vydávání kvalifikovaných certifikátů.
Stanovené požadavky by měly být z technologického hlediska neutrální.
Měla by tedy existovat možnost splnit nezbytné bezpečnostní požadavky různými technologiemi.

- = -

(17) Členské státy by měly podporovat soukromý sektor, aby pro účely identifikace, je-li u on-line služeb nebo elektronických transakcí zapotřebí, dobrovolně používal prostředky pro elektronickou identifikaci v rámci oznámeného systému.
Možnost používat tyto prostředky pro elektronickou identifikaci by soukromému sektoru umožnila spoléhat se na elektronickou identifikaci a autentizaci, která se již v mnoha členských státech ve značné míře používá přinejmenším u veřejných služeb, a usnadnila by podnikům a občanům přeshraniční přístup k on-line službám.
V zájmu snazšího přeshraničního používání těchto prostředků pro elektronickou identifikaci soukromým sektorem by možnost autentizace zajišťovaná kterýmkoli členským státem měla být k dispozici i spoléhajícím se stranám ze soukromého sektoru, které jsou usazeny mimo území daného členského státu, a to za stejných podmínek jako pro spoléhající se strany ze soukromého sektoru, které v daném členském státě usazeny jsou.
Oznamující členský stát tak může stanovit podmínky přístupu spoléhajících se stran ze soukromého sektoru k prostředkům pro autentizaci.
Tyto podmínky přístupu mohou informovat o tom, zda je prostředek pro autentizaci související s oznámeným systémem v současnosti dostupný spoléhajícím se stranám ze soukromého sektoru.

- = -

(19) Bezpečnost systémů elektronické identifikace je klíčovým předpokladem pro důvěryhodné přeshraniční vzájemné uznávání prostředků pro elektronickou identifikaci. Členské státy by v této souvislosti měly spolupracovat v otázkách bezpečnosti a interoperability systémů elektronické identifikace na úrovni Unie.
Ve všech případech, kdy systémy elektronické identifikace vyžadují, aby spoléhající se strany použily na vnitrostátní úrovni zvláštní technické zařízení nebo programové vybavení, je v zájmu přeshraniční interoperability žádoucí, aby tyto členské státy takové požadavky a související náklady neuplatňovaly vůči spoléhajícím se stranám usazeným mimo jejich území.
V takovém případě je v mezích rámce interoperability třeba projednat a vyvinout vhodná řešení.
Nicméně technické požadavky, které vyplývají z vlastních specifikací vnitrostátních prostředků pro elektronickou identifikaci a mohou mít vliv na držitele těchto elektronických prostředků (například inteligentní karty), jsou nevyhnutelné.

- = -

(55) Certifikace bezpečnosti IT systémů založená na mezinárodních normách, jako jsou ISO 15408 a související hodnotící metody a mechanismy vzájemného uznávání, je důležitým nástrojem ověřování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a měla by být podporována.
Inovační řešení a služby, jako například podepisování prostřednictvím mobilního telefonu a podepisování v cloudech, se však opírají o technická a organizační řešení pro kvalifikované prostředky pro vytváření elektronických podpisů, pro něž bezpečnostní normy dosud nemusí být k dispozici nebo pro něž první certifikace bezpečnosti IT systémů dosud probíhá.
Pouze v případě, že bezpečnostní normy nejsou k dispozici nebo první certifikace bezpečnosti IT systémů probíhá, by mohla být úroveň bezpečnosti těchto kvalifikovaných prostředků pro vytváření elektronických podpisů posouzena alternativními postupy.
Tyto postupy by měly být srovnatelné s normami pro certifikaci bezpečnosti IT systémů, pokud jsou jejich úrovně bezpečnosti rovnocenné.
Vzájemné hodnocení by mohlo tyto postupy usnadnit.

- = -

(56) Toto nařízení by mělo stanovit požadavky na kvalifikované prostředky pro vytváření elektronických podpisů, které mají zajistit funkčnost zaručených elektronických podpisů.
Toto nařízení by nemělo zahrnovat celé systémové prostředí, ve kterém se tyto prostředky využívají.
Rozsah certifikace kvalifikovaných prostředků pro vytváření podpisů by proto měl být omezen na technické zařízení a systémové programové vybavení používané pro správu a ochranu dat pro vytváření podpisů, která jsou v prostředku pro vytváření podpisů vytvořena, uložena nebo zpracovávána.
Jak je podrobně uvedeno v příslušných normách, měly by být z certifikační povinnosti vyloučeny aplikace pro vytváření podpisů.

- = -

(67) Služby autentizace internetových stránek poskytují prostředek, s jehož pomocí se návštěvník určitých internetových stránek může ujistit, že tyto stránky reprezentují skutečný a legitimní subjekt.
Tyto služby přispívají k budování důvěryhodnosti a důvěry v on-line obchodování, neboť uživatelé budou mít důvěru v internetové stránky, které byly autentizovány.
Poskytování a využívání služeb autentizace internetových stránek je zcela dobrovolné.
Aby se však autentizace internetových stránek stala prostředkem pro posílení důvěryhodnosti, zlepšení zkušeností uživatelů a podporu růstu na vnitřním trhu, mělo by toto nařízení stanovit pro poskytovatele a jejich služby minimální povinnosti v oblasti bezpečnosti a odpovědnosti.
Za tímto účelem byly zohledněny výsledky dosavadních iniciativ vedených odvětvím, jako například fóra pro certifikační orgány a vyhledávače – fórum CA/B.
Kromě toho by toto nařízení nemělo bránit používání jiných prostředků nebo metod pro autentizaci internetových stránek, na které se toto nařízení nevztahuje, ani by nemělo poskytovatelům služeb autentizace internetových stránek pocházejícím ze třetích zemí bránit v tom, aby své služby poskytovali zákazníkům v Unii.
Služby autentizace internetových stránek nabízené poskytovatelem ze třetí země by však měly být uznány jako kvalifikované služby podle tohoto nařízení pouze v případě, že byla uzavřena mezinárodní dohoda mezi Unií a zemí, v níž je poskytovatel usazen.

- = -

(70) Za účelem pružného a rychlého doplnění určitých podrobných technických aspektů tohoto nařízení by měla být Komisi svěřena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU, pokud jde o kritéria, která musí splňovat subjekty odpovědné za certifikaci kvalifikovaných prostředků pro vytváření elektronických podpisů.
Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni.
Při přípravě a vypracování aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě.

- = -

keyboard_tab EIDAS 2014/0910 CS

EIDAS 2014/0910 CS