keyboard_tab EIDAS 2014/0910 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 8 Úrovně záruky systémů elektronické identifikace
- 1 Článek 9 Oznámení
- 1 Článek 12 Spolupráce a interoperabilita
- 1 Článek 17 Orgán dohledu
- 1 Článek 19 Bezpečnostní požadavky vztahující se na poskytovatele služeb vytvářejících důvěru
- 1 Článek 20 Dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru
- 1 Článek 21 Zahájení poskytování kvalifikované služby vytvářející důvěru
- 1 Článek 22 Důvěryhodné seznamy
- 1 Článek 23 Značka důvěry EU pro kvalifikované služby vytvářející důvěru
- 1 Článek 24 Požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru
- 2 Článek 27 Elektronické podpisy ve veřejných službách
- 1 Článek 28 Kvalifikované certifikáty pro elektronické podpisy
- 1 Článek 29 Požadavky na kvalifikované prostředky pro vytváření elektronických podpisů
- 1 Článek 30 Certifikace kvalifikovaných prostředků pro vytváření elektronických podpisů
- 1 Článek 31 Zveřejnění seznamu certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů
- 1 Článek 32 Požadavky na ověřování platnosti kvalifikovaných elektronických podpisů
- 1 Článek 33 Kvalifikovaná služba ověřování platnosti kvalifikovaných elektronických podpisů
- 1 Článek 34 Kvalifikovaná služba uchovávání kvalifikovaných elektronických podpisů
- 2 Článek 37 Elektronické pečetě ve veřejných službách
- 1 Článek 38 Kvalifikované certifikáty pro elektronické pečetě
- 1 Článek 42 Požadavky na kvalifikovaná elektronická časová razítka
- 1 Článek 44 Požadavky na kvalifikované služby elektronického doporučeného doručování
- 1 Článek 45 Požadavky na kvalifikované certifikáty pro autentizaci internetových stránek
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
ELEKTRONICKÁ IDENTIFIKACE
KAPITOLA III
SLUŽBY VYTVÁŘEJÍCÍ DŮVĚRU
ODDÍL 1
Obecná ustanovení
ODDÍL 2
Dohled
ODDÍL 3
Kvalifikované služby vytvářející důvěru
ODDÍL 4
Elektronický podpis
ODDÍL 5
Elektronické pečetě
ODDÍL 6
Elektronická časová razítka
ODDÍL 7
Služba elektronického doporučeného doručování
ODDÍL 8
Autentizace internetových stránek
KAPITOLA IV
ELEKTRONICKÉ DOKUMENTY
KAPITOLA V
PŘENESENÍ PRAVOMOCI A PROVÁDĚCÍ USTANOVENÍ
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- důvěru 73
- nebo 72
- elektronické 54
- vytvářejících 53
- služeb 52
- podle 52
- odst 49
- požadavky 40
- kvalifikované 40
- dohledu 35
- služby 34
- tyto 33
- prováděcích 31
- prostřednictvím 29
- kvalifikovaných 27
- platnosti 26
- elektronickou 26
- akty 26
- aktů 26
- postupem 25
- přezkumným 25
- přijímají 25
- prováděcí 25
- elektronických 25
- může 25
- odstavci 24
- kvalifikovaného 23
- podpisů 23
- Článek 23
- bezpečnosti 21
- identifikace 21
- souladu 21
- orgán 20
- komise 20
- pokud 20
- vytvářející 20
- norem 19
- poskytovatele 19
- které 18
- identifikaci 17
- informace 17
- certifikátu 17
- státy 17
- referenční 17
- kvalifikovaný 16
- normám 16
- pečetě 16
- odstavce 16
- článku 16
- certifikáty 16
Článek 8
Úrovně záruky systémů elektronické identifikace
1. Systém elektronické identifikace oznámený podle čl. 9 odst. 1 uvádí nízkou, značnou nebo vysokou úroveň záruky pro prostředky pro elektronickou identifikaci vydávané v rámci tohoto systému.
2. Nízká, značná a vysoká úroveň záruky musí splňovat tato příslušná kritéria:
| a) | nízká úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí omezenou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je snížit riziko zneužití nebo změny totožnosti; |
| b) | značná úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí značnou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je značně snížit riziko zneužití nebo změny totožnosti; |
| c) | vysoká úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí vyšší míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby než prostředek pro elektronickou identifikaci se značnou úrovní záruky a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je předejít zneužití nebo změně totožnosti. |
3. Do 18. září 2015 Komise prostřednictvím prováděcích aktů s přihlédnutím k příslušným mezinárodním normám a s výhradou odstavce 2 stanoví minimální technické specifikace, normy a postupy, jejichž pomocí jsou pro účely odstavce 1 vymezeny nízká, značná a vysoká úroveň záruky prostředků pro elektronickou identifikaci.
Tyto minimální technické specifikace, normy a postupy se stanoví na základě spolehlivosti a kvality:
| a) | postupu prokazování a ověřování totožnosti fyzických nebo právnických osob žádajících o vydání prostředku pro elektronickou identifikaci; |
| b) | postupu vydávání požadovaných prostředků pro elektronickou identifikaci; |
| c) | mechanismu autentizace, při níž fyzická nebo právnická osoba používá prostředek pro elektronickou identifikaci k tomu, aby spoléhající se straně potvrdila svou totožnost; |
| d) | subjektu vydávajícího prostředky pro elektronickou identifikaci; |
| e) | jakéhokoli jiného subjektu zapojeného do žádosti o vydání prostředku pro elektronickou identifikaci a |
| f) | technických a bezpečnostních specifikací vydaného prostředku pro elektronickou identifikaci. |
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 9
Oznámení
1. Oznamující členský stát oznámí Komisi tyto informace a bez zbytečného odkladu i jejich případné následné změny:
| a) | popis systému elektronické identifikace, včetně jeho úrovní záruky a vydavatele či vydavatelů prostředků pro elektronickou identifikaci v rámci tohoto systému; |
| b) | použitelný režim dohledu a informace o režimu odpovědnosti, pokud jde o:
|
| c) | orgán nebo orgány odpovědné za systém elektronické identifikace; |
| d) | informace o subjektu či subjektech, které spravují evidenci jedinečných osobních identifikačních údajů; |
| e) | popis způsobu, jakým jsou plněny požadavky stanovené v prováděcích aktech uvedených v čl. 12 odst. 8; |
| f) | popis autentizace podle čl. 7 písm. f); |
| g) | opatření k pozastavení platnosti nebo zrušení oznámeného systému elektronické identifikace nebo autentizace či dotčených ohrožených součástí. |
2. Jeden rok ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8 zveřejní Komise v Úředním věstníku Evropské unie seznam systémů elektronické identifikace, které byly oznámeny podle odstavce 1 tohoto článku, a základní informace o těchto systémech.
3. Obdrží-li Komise oznámení po uplynutí lhůty uvedené v odstavci 2, zveřejní změny v seznamu podle uvedeného odstavce v Úředním věstníku Evropské unie do dvou měsíců od obdržení daného oznámení.
4. Členský stát může Komisi požádat o vyškrtnutí systému elektronické identifikace, který oznámil, ze seznamu uvedeného v odstavci 2. Do jednoho měsíce od obdržení žádosti členského státu zveřejní Komise odpovídající změny v seznamu v Úředním věstníku Evropské unie.
5. Komise může prostřednictvím prováděcích aktů stanovit okolnosti, formáty a postupy pro oznamování podle odstavce 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 12
Spolupráce a interoperabilita
1. Vnitrostátní systémy elektronické identifikace oznámené podle čl. 9 odst. 1 musí být interoperabilní.
2. Pro účely odstavce 1 se zavede rámec interoperability.
3. Rámec interoperability musí splňovat tato kritéria:
| a) | usiluje o to, aby byl z technologického hlediska neutrální, a v rámci členského státu nerozlišuje mezi žádnými zvláštními vnitrostátními technickými řešeními elektronické identifikace; |
| b) | je-li to možné, řídí se evropskými a mezinárodními normami; |
| c) | usnadňuje uplatňování zásady ochrany soukromí již od návrhu; a |
| d) | zajišťuje, aby osobní údaje byly zpracovávány v souladu se směrnicí 95/46/ES. |
4. Rámec interoperability sestává z:
| a) | odkazu na minimální technické požadavky týkající se úrovní záruky stanovených v článku 8; |
| b) | mapování vnitrostátních úrovní záruky oznámených systémů elektronické identifikace podle úrovní záruky stanovených v článku 8; |
| c) | odkazu na minimální technické požadavky pro interoperabilitu; |
| d) | odkazu na minimální soubor osobních identifikačních údajů jedinečně identifikujících fyzickou nebo právnickou osobu, který je v systémech elektronické identifikace k dispozici; |
| e) | procesních pravidel; |
| f) | opatření pro řešení sporů; a |
| g) | společných norem provozní bezpečnosti. |
5. Členské státy spolupracují ohledně:
| a) | interoperability systémů elektronické identifikace oznámených podle čl. 9 odst. 1 a systémů elektronické identifikace, jež členské státy hodlají oznámit; a |
| b) | bezpečnosti systémů elektronické identifikace. |
6. Spolupráce mezi členskými státy zahrnuje:
| a) | výměnu informací, zkušeností a osvědčených postupů v oblasti systémů elektronické identifikace, a zejména v oblasti technických požadavků týkajících se interoperability a úrovní záruky; |
| b) | výměnu informací, zkušeností a osvědčených postupů v oblasti práce s úrovněmi záruky systémů elektronické identifikace podle článku 8; |
| c) | vzájemné hodnocení systémů elektronické identifikace, které spadají do oblasti působnosti tohoto nařízení; a |
| d) | posouzení relevantního vývoje v odvětví elektronické identifikace. |
7. Komise do 18. března 2015 prostřednictvím prováděcích aktů stanoví nezbytná procesní opatření pro usnadnění spolupráce mezi členskými státy podle odstavců 5 a 6 v zájmu podpory vysoké úrovně důvěryhodnosti a bezpečnosti odpovídající míře rizika.
8. Do 18. března 2015 Komise pro účely stanovení jednotných podmínek pro provádění požadavku podle odstavce 1, s výhradou kritérií stanovených v odstavci 3 a s přihlédnutím k výsledkům spolupráce mezi členskými státy, přijme prováděcí akty týkající se rámce interoperability stanoveného v odstavci 4.
9. Prováděcí akty uvedené v odstavcích 7 a 8 tohoto článku se přijímají přezkumným postupem podle čl. 48 odst. 2.
KAPITOLA III
SLUŽBY VYTVÁŘEJÍCÍ DŮVĚRU
ODDÍL 1
Obecná ustanovení
Článek 17
Orgán dohledu
1. Členské státy určí orgán dohledu usazený na jejich území nebo po vzájemné dohodě s jiným členským státem orgán dohledu usazený v tomto jiném členském státě. Tento orgán odpovídá za plnění úkolů v oblasti dohledu v členském státě, který provedl určení.
Orgánům dohledu musí být uděleny nezbytné pravomoci a odpovídající zdroje pro plnění jejich úkolů.
2. Členské státy sdělí Komisi názvy a adresy jimi určených orgánů dohledu.
3. Orgán dohledu má tyto úlohy:
| a) | vykonávat dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými na území členského státu, který provedl určení, s cílem zajistit prostřednictvím činností předběžného a následného dohledu, aby tito kvalifikovaní poskytovatelé služeb vytvářejících důvěru a jimi poskytované kvalifikované služby vytvářející důvěru splňovali požadavky stanovené v tomto nařízení; |
| b) | v případě potřeby přijmout prostřednictvím činností následného dohledu opatření ve vztahu k nekvalifikovaným poskytovatelům služeb vytvářejících důvěru usazeným na území členského státu, který provedl určení, pokud je informován, že tito nekvalifikovaní poskytovatelé služeb vytvářejících důvěru nebo jimi poskytované služby vytvářející důvěru údajně nesplňují požadavky stanovené v tomto nařízení. |
4. Pro účely odstavce 3 a s výhradou omezení stanovených v uvedeném odstavci patří mezi úkoly orgánu dohledu zejména tyto činnosti:
| a) | spolupracovat s ostatními orgány dohledu a poskytovat jim pomoc v souladu s článkem 18; |
| b) | provádět analýzu zpráv o posouzení shody uvedených v čl. 20 odst. 1 a čl. 21 odst. 1; |
| c) | informovat ostatní orgány dohledu a veřejnost o případech narušení bezpečnosti nebo ztráty integrity v souladu s čl. 19 odst. 2; |
| d) | podávat Komisi zprávy o svých hlavních činnostech v souladu s odstavcem 6 tohoto článku; |
| e) | provádět audity kvalifikovaných poskytovatelů služeb vytvářejících důvěru nebo požadovat, aby subjekt posuzování shody provedl posouzení shody těchto poskytovatelů v souladu s čl. 20 odst. 2; |
| f) | spolupracovat s orgány pro ochranu údajů, zejména je bez zbytečného odkladu informovat o výsledcích auditů kvalifikovaných poskytovatelů služeb vytvářejících důvěru, jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů; |
| g) | udělovat poskytovatelům služeb vytvářejících důvěru a jimi poskytovaným službám status kvalifikovaného poskytovatele nebo kvalifikované služby a odnímat tento status v souladu s články 20 a 21; |
| h) | informovat subjekt odpovědný za vnitrostátní důvěryhodný seznam podle čl. 22 odst. 3 o svých rozhodnutích udělit nebo odejmout status kvalifikovaného poskytovatele nebo kvalifikované služby, pokud tento subjekt není rovněž orgánem dohledu; |
| i) | ověřovat existenci a správné uplatňování předpisů o plánech ukončení činnosti v případech, kdy kvalifikovaný poskytovatel služeb vytvářejících důvěru ukončí svou činnost, včetně způsobu zpřístupňování informací v souladu s čl. 24 odst. 2 písm. h); |
| j) | požadovat, aby poskytovatelé služeb vytvářejících důvěru napravili případné neplnění požadavků stanovených v tomto nařízení. |
5. Členské státy mohou vyžadovat, aby orgán dohledu zavedl, udržoval a aktualizoval důvěryhodnou infrastrukturu v souladu s podmínkami stanovenými vnitrostátním právem.
6. Do 31. března každého roku předloží každý orgán dohledu Komisi zprávu o svých hlavních činnostech v předchozím kalendářním roce, spolu se shrnutím oznámení o narušení bezpečnosti, která obdržel od poskytovatelů služeb vytvářejících důvěru v souladu s čl. 19 odst. 2.
7. Výroční zprávu uvedenou v odstavci 6 Komise zpřístupní členským státům.
8. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy pro podávání zpráv podle odstavce 6. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 19
Bezpečnostní požadavky vztahující se na poskytovatele služeb vytvářejících důvěru
1. Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru přijmou vhodná technická a organizační opatření k řízení rizik ohrožujících bezpečnost jimi poskytovaných služeb vytvářejících důvěru. S ohledem na nejnovější technologický vývoj musí tato opatření zajišťovat úroveň bezpečnosti, která je přiměřená míře rizika. Zejména musí být přijata opatření k zabránění bezpečnostním incidentům, k minimalizaci jejich dopadů a k informování zúčastněných stran o nepříznivých dopadech těchto incidentů.
2. Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru vyrozumí orgán dohledu a případné další příslušné subjekty, jako jsou příslušný vnitrostátní orgán pro bezpečnost informací nebo orgán pro ochranu údajů, o každém narušení bezpečnosti nebo ztrátě integrity, jež mají významný dopad na poskytovanou službu vytvářející důvěru nebo na uchovávané osobní údaje, a to bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy toto narušení zjistili.
Může-li mít narušení bezpečnosti nebo ztráta integrity nepříznivý dopad na fyzickou nebo právnickou osobu, jíž byla služba vytvářející důvěru poskytnuta, vyrozumí poskytovatel služeb vytvářejících důvěru o daném narušení bezpečnosti nebo dané ztrátě integrity bez zbytečného odkladu také tuto fyzickou nebo právnickou osobu.
Je-li to vhodné, zejména týká-li se narušení bezpečnosti nebo ztráta integrity dvou nebo více členských států, uvědomí vyrozuměný orgán dohledu orgány dohledu v ostatních dotčených členských státech a ENISA.
Vyrozuměný orgán dohledu informuje veřejnost nebo požádá, aby tak učinil poskytovatel služeb vytvářejících důvěru, pokud rozhodne, že zveřejnění informací o narušení bezpečnosti nebo ztrátě integrity je ve veřejném zájmu.
3. Orgán dohledu poskytne ENISA jednou ročně shrnutí oznámení o narušení bezpečnosti a ztrátě integrity, která od poskytovatelů služeb vytvářejících důvěru obdržel.
4. Komise může prostřednictvím prováděcích aktů:
| a) | dále upřesnit opatření uvedená v odstavci 1 a |
| b) | stanovit formáty a postupy, včetně lhůt, použitelné pro účely odstavce 2. |
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
ODDÍL 3
Kvalifikované služby vytvářející důvěru
Článek 20
Dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru
1. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru se na vlastní náklady alespoň jednou za 24 měsíců podrobí auditu ze strany subjektu posuzování shody. Účelem auditu je potvrzení toho, že kvalifikovaní poskytovatelé služeb vytvářejících důvěru i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru předloží výslednou zprávu o posouzení shody do tří pracovních dnů od jejího obdržení orgánu dohledu.
2. Aniž je dotčen odstavec 1, může orgán dohledu u kvalifikovaných poskytovatelů služeb vytvářejících důvěru na jejich náklady kdykoli provést audit nebo požádat subjekt posuzování shody o provedení posouzení shody za účelem potvrzení, že oni sami i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů, sdělí orgán dohledu výsledky svých auditů orgánům pro ochranu údajů.
3. Pokud orgán dohledu požaduje, aby kvalifikovaný poskytovatel služeb vytvářejících důvěru napravil neplnění požadavků podle tohoto nařízení, a tento poskytovatel ve lhůtě případně stanovené orgánem dohledu neučiní příslušné kroky, může orgán dohledu zejména s přihlédnutím k rozsahu, délce trvání a důsledkům daného neplnění odejmout danému poskytovateli a jím poskytované dotčené službě status kvalifikovaného poskytovatele nebo kvalifikované služby a informovat o této skutečnosti subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1. Orgán dohledu vyrozumí daného kvalifikovaného poskytovatele služeb vytvářejících důvěru o odnětí statusu kvalifikovaného poskytovatele nebo kvalifikované služby.
4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro:
| a) | akreditaci subjektů posuzování shody a pro zprávy o posouzení shody podle odstavce 1; |
| b) | pravidla auditu, podle nichž budou subjekty posuzování shody provádět posuzování shody kvalifikovaných poskytovatelů služeb vytvářejících důvěru podle odstavce 1. |
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 21
Zahájení poskytování kvalifikované služby vytvářející důvěru
1. Pokud mají poskytovatelé služeb vytvářejících důvěru bez statusu kvalifikovaného poskytovatele v úmyslu začít poskytovat kvalifikované služby vytvářející důvěru, předloží orgánu dohledu oznámení o svém úmyslu společně se zprávou o posouzení shody vydanou subjektem posuzování shody.
2. Orgán dohledu ověří, zda poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení, zejména požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru a na jimi poskytované kvalifikované služby vytvářející důvěru.
Dojde-li orgán dohledu k závěru, že poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru splňují požadavky uvedené v prvním pododstavci, udělí orgán dohledu tomuto poskytovateli služeb vytvářejících důvěru a jím poskytovaným službám vytvářejícím důvěru status kvalifikovaného poskytovatele nebo kvalifikované služby a uvědomí o tom subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1, a to do tří měsíců od obdržení oznámení podle odstavce 1 tohoto článku.
Není-li ověření dokončeno do tří měsíců od oznámení, vyrozumí orgán dohledu poskytovatele služeb vytvářejících důvěru a uvede důvody prodlení a dobu, v níž bude ověřování dokončeno.
3. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru mohou začít danou kvalifikovanou službu vytvářející důvěru poskytovat poté, co byl status kvalifikovaného poskytovatele nebo kvalifikované služby vyznačen v důvěryhodných seznamech uvedených v čl. 22 odst. 1.
4. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy pro účely odstavců 1 a 2. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 22
Důvěryhodné seznamy
1. Každý členský stát zřizuje, udržuje a zveřejňuje důvěryhodné seznamy obsahující informace týkající se kvalifikovaných poskytovatelů služeb vytvářejících důvěru v jeho působnosti spolu s informacemi o jimi poskytovaných kvalifikovaných službách vytvářejících důvěru.
2. Členské státy zřizují ve formě vhodné pro automatické zpracování, udržují a zabezpečeným způsobem zveřejňují důvěryhodné seznamy uvedené v odstavci 1, které jsou opatřeny elektronickým podpisem nebo elektronickou pečetí.
3. Členské státy bez zbytečného odkladu sdělí Komisi informace o subjektu odpovědném za zřízení, udržování a zveřejnění vnitrostátních důvěryhodných seznamů a poskytnou informace o místě zveřejnění těchto seznamů, o certifikátech použitých k opatření důvěryhodných seznamů elektronickým podpisem nebo pečetí a o jejich případných změnách.
4. Informace uvedené v odstavci 3 Komise bezpečnou cestou zpřístupní veřejnosti ve formě opatřené elektronickým podpisem nebo pečetí a vhodné pro automatické zpracování.
5. Do 18. září 2015 Komise prostřednictvím prováděcích aktů upřesní informace uvedené v odstavci 1 a stanoví technické specifikace a formáty pro důvěryhodné seznamy, které se použijí pro účely odstavců 1 až 4. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 23
Značka důvěry EU pro kvalifikované služby vytvářející důvěru
1. Po vyznačení statusu kvalifikovaného poskytovatele nebo kvalifikované služby podle čl. 21 odst. 2 druhého pododstavce v důvěryhodném seznamu uvedeném v čl. 22 odst. 1 mohou kvalifikovaní poskytovatelé služeb vytvářejících důvěru pomocí značky důvěry EU jednoduchým, rozpoznatelným a jasným způsobem označovat jimi poskytované kvalifikované služby vytvářející důvěru.
2. Pokud kvalifikovaní poskytovatelé služeb vytvářejících důvěru používají pro kvalifikované služby vytvářející důvěru uvedené v odstavci 1 značku důvěry EU, zajistí, aby byl na jejich internetových stránkách k dispozici odkaz na příslušný důvěryhodný seznam.
3. Do 1. července 2015 Komise prostřednictvím prováděcích aktů stanoví specifikace týkající se podoby, a zejména formátu, uspořádání, velikosti a vzhledu značky důvěry EU pro kvalifikované služby vytvářející důvěru. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 24
Požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru
1. Při vydávání kvalifikovaného certifikátu pro službu vytvářející důvěru ověří kvalifikovaný poskytovatel služeb vytvářejících důvěru pomocí vhodných prostředků a v souladu s vnitrostátním právem totožnost a případně zvláštní znaky fyzické nebo právnické osoby, jíž je kvalifikovaný certifikát vydáván.
Kvalifikovaný poskytovatel služeb vytvářejících důvěru ověří informace uvedené v prvním pododstavci přímo nebo tím, že se v souladu s vnitrostátním právem spolehne na třetí osobu:
| a) | na základě fyzické přítomnosti fyzické osoby nebo oprávněného zástupce právnické osoby; nebo |
| b) | na dálku s využitím prostředku pro elektronickou identifikaci, u něhož byla před vydáním kvalifikovaného certifikátu zajištěna fyzická přítomnost fyzické osoby nebo oprávněného zástupce právnické osoby a jenž splňuje požadavky stanovené v článku 8, pokud jde o značnou nebo vysokou úroveň záruky; nebo |
| c) | pomocí certifikátu kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečeti, vydaného v souladu s písmenem a) nebo b); nebo |
| d) | pomocí jiných identifikačních metod uznávaných na vnitrostátní úrovni, které poskytují záruku spolehlivosti rovnocennou fyzické přítomnosti. Tuto rovnocennou záruku musí potvrdit subjekt posuzování shody. |
2. Kvalifikovaný poskytovatel služeb vytvářejících důvěru poskytující kvalifikované služby vytvářející důvěru:
| a) | oznámí orgánu dohledu případné změny v poskytování svých kvalifikovaných služeb vytvářejících důvěru a záměr ukončit své činnosti; |
| b) | zaměstnává pracovníky a případně subdodavatele, kteří mají potřebné odborné znalosti, zkušenosti a kvalifikace, jsou spolehliví a absolvovali odpovídající odbornou přípravu týkající se bezpečnosti a pravidel ochrany osobních údajů, a používá správní a řídicí postupy, které odpovídají evropským nebo mezinárodním normám; |
| c) | vzhledem k riziku odpovědnosti za škody v souladu s článkem 13 udržuje dostatečné finanční prostředky nebo uzavřel vhodné pojištění odpovědnosti v souladu s vnitrostátním právem; |
| d) | před uzavřením smluvního vztahu informuje jasným a srozumitelným způsobem osobu, která chce využít kvalifikovanou službu vytvářející důvěru, o přesných podmínkách používání této služby, včetně případných omezení jejího využívání; |
| e) | používá důvěryhodné systémy a produkty, které jsou chráněny proti pozměnění, a zajišťuje technickou bezpečnost a spolehlivost procesů, které podporují; |
| f) | používá důvěryhodné systémy k uchovávání dat, která jsou mu poskytnuta, v ověřitelné podobě, aby:
|
| g) | přijímá vhodná opatření proti padělání a odcizení dat; |
| h) | po přiměřenou dobu, i poté, co ukončil svou činnost kvalifikovaného poskytovatele služeb vytvářejících důvěru, eviduje a zpřístupňuje veškeré příslušné informace týkající se dat, která vydal a obdržel, zejména pro účely poskytnutí důkazů v soudním a správním řízení a pro účely zajištění kontinuity služby. Tato evidence může mít elektronickou podobu; |
| i) | má k dispozici aktualizovaný plán ukončení činnosti k zajištění kontinuity služby v souladu s předpisy ověřenými orgánem dohledu podle čl. 17 odst. 4 písm. i); |
| j) | zajišťuje zákonné zpracovávání osobních údajů v souladu se směrnicí 95/46/ES; |
| k) | pokud se jedná o kvalifikovaného poskytovatele služeb vytvářejících důvěru vydávajícího kvalifikované certifikáty, vede a aktualizuje databázi certifikátů. |
3. Jestliže se kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty rozhodne určitý certifikát zneplatnit, zaeviduje toto zneplatnění ve své databázi certifikátů a zneplatnění certifikátu včas a v každém případě do 24 hodin od obdržení žádosti zveřejní. Zneplatnění nabývá účinku okamžitě po zveřejnění.
4. Pokud jde o odstavec 3, kvalifikovaní poskytovatelé služeb vytvářejících důvěru vydávající kvalifikované certifikáty poskytnou kterékoli spoléhající se straně informace o platnosti nebo o zneplatnění kvalifikovaných certifikátů, které vydali. Tyto informace se poskytnou alespoň na základě certifikátu, a to kdykoli i po skončení doby platnosti certifikátu, automatizovaným způsobem, který je spolehlivý, bezplatný a účinný.
5. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro důvěryhodné systémy a produkty, které splňují požadavky podle odst. 2 písm. e) a f) tohoto článku. Pokud důvěryhodné systémy a produkty vyhovují těmto normám, předpokládá se shoda s požadavky stanovenými v tomto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
ODDÍL 4
Elektronický podpis
Článek 27
Elektronické podpisy ve veřejných službách
1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis, uznává zaručené elektronické podpisy, zaručené elektronické podpisy založené na kvalifikovaném certifikátu pro elektronické podpisy a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.
2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis založený na kvalifikovaném certifikátu, uznává zaručené elektronické podpisy založené na kvalifikovaném certifikátu a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.
3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis.
4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické podpisy. Pokud zaručený elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické podpisy uvedenými v odstavcích 1 a 2 tohoto článku a v článku 26. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických podpisů nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 28
Kvalifikované certifikáty pro elektronické podpisy
1. Kvalifikované certifikáty pro elektronické podpisy musí splňovat požadavky stanovené v příloze I.
2. Kvalifikované certifikáty pro elektronické podpisy nepodléhají žádným závazným požadavkům, které přesahují požadavky stanovené v příloze I.
3. Kvalifikované certifikáty pro elektronické podpisy mohou obsahovat další zvláštní atributy, které nejsou povinné. Těmito atributy nesmějí být dotčeny interoperabilita a uznávání kvalifikovaných elektronických podpisů.
4. Pokud byl kvalifikovaný certifikát pro elektronické podpisy po počáteční aktivaci zneplatněn, ztrácí okamžikem zneplatnění platnost a jeho status se nemůže v žádném případě změnit zpět.
5. Členské státy mohou stanovit vnitrostátní pravidla dočasného pozastavení platnosti kvalifikovaných certifikátů pro elektronický podpis s výhradou těchto podmínek:
| a) | je-li platnost kvalifikovaného certifikátu pro elektronický podpis dočasně pozastavena, pozbývá tento certifikát na dobu pozastavení platnosti; |
| b) | doba pozastavení platnosti je jasně vyznačena v databázi certifikátů a pozastavení platnosti je po svou dobu viditelné ve službě poskytující informace o statusu certifikátu. |
6. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované certifikáty pro elektronický podpis. Pokud kvalifikovaný certifikát pro elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze I. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 29
Požadavky na kvalifikované prostředky pro vytváření elektronických podpisů
1. Kvalifikované prostředky pro vytváření elektronických podpisů musí splňovat požadavky stanovené v příloze II.
2. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované prostředky pro vytváření elektronických podpisů. Pokud kvalifikovaný prostředek pro vytváření elektronických podpisů vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze II. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 30
Certifikace kvalifikovaných prostředků pro vytváření elektronických podpisů
1. Shodu kvalifikovaných prostředků pro vytváření elektronických podpisů s požadavky stanovenými v příloze II certifikují příslušné veřejné nebo soukromé subjekty, které určily členské státy.
2. Členské státy sdělí Komisi názvy a adresy veřejných nebo soukromých subjektů uvedených v odstavci 1. Komise tyto informace zpřístupní členským státům.
3. Certifikace podle odstavce 1 je založena na jednom z těchto postupů:
| a) | postupu posouzení bezpečnosti, který byl proveden v souladu s některou z norem pro posuzování bezpečnosti produktů informačních technologií uvedených na seznamu sestaveném v souladu s druhým pododstavcem tohoto odstavce; nebo |
| b) | jiném postupu, než je postup uvedený v písmenu a), za podmínky, že používá srovnatelné úrovně bezpečnosti a že veřejný nebo soukromý subjekt uvedený v odstavci 1 daný postup oznámí Komisi. Tento postup může být použit pouze v případě, že normy uvedené v písmenu a) neexistují nebo že postup posouzení bezpečnosti podle písmene a) dosud probíhá. |
Komise prostřednictvím prováděcích aktů sestaví seznam norem pro posuzování bezpečnosti produktů informačních technologií uvedený v prvním pododstavci písm. a). Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
4. Komise je zmocněna k přijímání aktů v přenesené pravomoci v souladu s článkem 47, pokud jde o stanovení zvláštních kritérií, která mají splňovat určené subjekty uvedené v odstavci 1 tohoto článku.
Článek 31
Zveřejnění seznamu certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů
1. Členské státy bez zbytečného odkladu a nejpozději jeden měsíc po ukončení certifikace oznámí Komisi informace o kvalifikovaných prostředcích pro vytváření elektronických podpisů, které byly certifikovány subjekty uvedenými v čl. 30 odst. 1. Bez zbytečného odkladu a nejpozději jeden měsíc po zrušení certifikace Komisi rovněž oznámí informace o prostředcích pro vytváření elektronických podpisů, které již nebudou certifikovány.
2. Na základě obdržených informací Komise zřizuje, zveřejňuje a udržuje seznam certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů.
3. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy použitelné pro účely odstavce 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 32
Požadavky na ověřování platnosti kvalifikovaných elektronických podpisů
1. Postup ověření platnosti kvalifikovaného elektronického podpisu potvrdí platnost kvalifikovaného elektronického podpisu, pokud:
| a) | certifikát, na němž je podpis založen, byl v okamžiku podpisu kvalifikovaným certifikátem pro elektronický podpis, jenž je v souladu s přílohou I; |
| b) | kvalifikovaný certifikát byl vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a v okamžiku podpisu byl platný; |
| c) | data pro ověřování platnosti podpisu odpovídají datům poskytnutým spoléhající se straně; |
| d) | spoléhající se straně je řádně poskytnut jedinečný soubor dat identifikujících podepisující osobu v certifikátu; |
| e) | pokud byl v okamžiku podpisu použit pseudonym, je jeho použití jednoznačně sděleno spoléhající se straně; |
| f) | elektronický podpis byl vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů; |
| g) | nebyla ohrožena integrita podepsaných dat; |
| h) | v okamžiku podpisu byly splněny požadavky stanovené v článku 26. |
2. Systém použitý k ověření platnosti kvalifikovaného elektronického podpisu musí poskytovat spoléhající se straně řádný výsledek postupu ověření platnosti a umožňovat jí zjistit jakékoli problémy týkající se bezpečnosti.
3. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro ověřování platnosti kvalifikovaných elektronických podpisů. Pokud ověřování platnosti kvalifikovaných elektronických podpisů vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v odstavci 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 33
Kvalifikovaná služba ověřování platnosti kvalifikovaných elektronických podpisů
1. Kvalifikovanou službu ověřování platnosti kvalifikovaných elektronických podpisů může poskytovat pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru, který:
| a) | zajišťuje ověřování platnosti v souladu s čl. 32 odst. 1 a |
| b) | umožňuje, aby spoléhající se strany obdržely výsledek postupu ověření platnosti automatizovaným způsobem, který je spolehlivý, účinný a je opatřen zaručeným elektronickým podpisem nebo zaručenou elektronickou pečetí poskytovatele kvalifikované služby ověřování platnosti. |
2. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikovanou službu ověřování platnosti uvedenou v odstavci 1. Pokud služba ověřování platnosti kvalifikovaných elektronických podpisů vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v odstavci 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 34
Kvalifikovaná služba uchovávání kvalifikovaných elektronických podpisů
1. Kvalifikovanou službu uchovávání kvalifikovaných elektronických podpisů může poskytovat pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru, který používá postupy a technologie, jež jsou s to zajistit důvěryhodnost kvalifikovaného elektronického podpisu i po uplynutí doby technické platnosti.
2. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikovanou službu uchovávání kvalifikovaných elektronických podpisů. Pokud postupy pro kvalifikovanou službu uchovávání kvalifikovaných elektronických podpisů vyhovují těmto normám, předpokládá se shoda s požadavky stanovenými v odstavci 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
ODDÍL 5
Elektronické pečetě
Článek 37
Elektronické pečetě ve veřejných službách
1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť, uznává zaručené elektronické pečetě, zaručené elektronické pečetě založené na kvalifikovaném certifikátu pro elektronické pečetě a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.
2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť založenou na kvalifikovaném certifikátu, uznává zaručené elektronické pečetě založené na kvalifikovaném certifikátu a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.
3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronickou pečeť s vyšší zárukou bezpečnosti než kvalifikovanou elektronickou pečeť.
4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické pečetě. Pokud zaručená elektronická pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické pečetě uvedenými v odstavcích 1 a 2 tohoto článku a v článku 36. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických pečetí nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 38
Kvalifikované certifikáty pro elektronické pečetě
1. Kvalifikované certifikáty pro elektronické pečetě musí splňovat požadavky stanovené v příloze III.
2. Kvalifikované certifikáty pro elektronické pečetě nepodléhají žádným závazným požadavkům, které přesahují požadavky stanovené v příloze III.
3. Kvalifikované certifikáty pro elektronické pečetě mohou obsahovat další zvláštní atributy, které nejsou povinné. Těmito atributy nesmějí být dotčeny interoperabilita a uznávání kvalifikovaných elektronických pečetí.
4. Pokud byl kvalifikovaný certifikát pro elektronickou pečeť po počáteční aktivaci zneplatněn, ztrácí okamžikem zneplatnění platnost a jeho status se nemůže v žádném případě změnit zpět.
5. Členské státy mohou stanovit vnitrostátní pravidla dočasného pozastavení platnosti kvalifikovaných certifikátů pro elektronické pečetě s výhradou těchto podmínek:
| a) | je-li platnost kvalifikovaného certifikátu pro elektronickou pečeť dočasně pozastavena, pozbývá tento certifikát na dobu pozastavení platnosti; |
| b) | doba pozastavení platnosti je jasně vyznačena v databázi certifikátů a pozastavení platnosti je po svou dobu viditelné ve službě poskytující informace o statusu certifikátu. |
6. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované certifikáty pro elektronické pečetě. Pokud kvalifikovaný certifikát pro elektronickou pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze III. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 42
Požadavky na kvalifikovaná elektronická časová razítka
1. Kvalifikované elektronické časové razítko musí splňovat tyto požadavky:
| a) | spojuje datum a čas s daty takovým způsobem, aby byla přiměřeně zamezena možnost nezjistitelné změny dat; |
| b) | je založeno na zdroji přesného času, který je spojen s koordinovaným světovým časem; a |
| c) | je podepsáno s použitím zaručeného elektronického podpisu, opatřeno zaručenou elektronickou pečetí kvalifikovaného poskytovatele služeb vytvářejících důvěru nebo označeno jinou rovnocennou metodou. |
2. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro spojování data a času s daty a pro zdroje přesného času. Pokud spojení data a času s daty a zdroj přesného času vyhovují těmto normám, předpokládá se shoda s požadavky stanovenými v odstavci 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
ODDÍL 7
Služba elektronického doporučeného doručování
Článek 44
Požadavky na kvalifikované služby elektronického doporučeného doručování
1. Kvalifikované služby elektronického doporučeného doručování musí splňovat tyto požadavky:
| a) | jsou poskytovány jedním či více kvalifikovanými poskytovateli služeb vytvářejících důvěru; |
| b) | s vysokou úrovní spolehlivosti zajišťují identifikaci odesílatele; |
| c) | zajišťují identifikaci příjemce před doručením dat; |
| d) | odesílání a přijímání dat je zabezpečeno prostřednictvím zaručeného elektronického podpisu nebo zaručené elektronické pečeti kvalifikovaného poskytovatele služeb vytvářejících důvěru tak, aby byla vyloučena možnost nezjistitelné změny dat; |
| e) | odesílatel a příjemce dat jsou jednoznačně vyrozuměni o případných změnách dat potřebných za účelem odeslání nebo přijetí dat; |
| f) | datum a čas odeslání, přijetí a případná změna dat jsou označeny prostřednictvím kvalifikovaného elektronického časového razítka. |
V případě přenosu dat mezi dvěma či více kvalifikovanými poskytovateli služeb vytvářejících důvěru se požadavky uvedené v písm. a) až f) vztahují na všechny tyto kvalifikované poskytovatele služeb vytvářejících důvěru.
2. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro postupy odesílání a přijímání dat. Pokud postup odesílání a přijímání dat vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v odstavci 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
ODDÍL 8
Autentizace internetových stránek
Článek 45
Požadavky na kvalifikované certifikáty pro autentizaci internetových stránek
1. Kvalifikované certifikáty pro autentizaci internetových stránek musí splňovat požadavky stanovené v příloze IV.
2. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované certifikáty pro autentizaci internetových stránek. Pokud kvalifikovaný certifikát pro autentizaci internetových stránek vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze IV. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
KAPITOLA IV
ELEKTRONICKÉ DOKUMENTY
whereas