EIDAS 2014/0910 CS

1. Pokud se podle vnitrostátního práva nebo správní praxe pro přístup ke službě poskytované on-line subjektem veřejného sektoru v určitém členském státě vyžaduje elektronická identifikace s použitím prostředku pro elektronickou identifikaci a autentizace, je pro účely přeshraniční autentizace pro danou on-line službu uznán v tomto členském státě prostředek pro elektronickou identifikaci vydaný v jiném členském státě, pokud jsou splněny tyto podmínky:

a)	daný prostředek pro elektronickou identifikaci je vydán v rámci systému elektronické identifikace, který je uveden na seznamu zveřejněném Komisí podle článku 9;

úroveň záruky daného prostředku pro elektronickou identifikaci odpovídá stejné úrovni záruky, jako je úroveň záruky požadovaná příslušným subjektem veřejného sektoru v prvním členském státě pro přístup k dané on-line službě, nebo vyšší úrovni, pokud úroveň záruky daného prostředku pro elektronickou identifikaci odpovídá značné nebo vysoké úrovni záruky;

c)	příslušný subjekt veřejného sektoru používá v souvislosti s přístupem k dané on-line službě značnou nebo vysokou úroveň záruky.

K tomuto uznání dojde do dvanácti měsíců od zveřejnění seznamu uvedeného v prvním pododstavci písm. a) Komisí.

2. Pro účely přeshraniční autentizace pro on-line službu poskytovanou subjekty veřejného sektoru mohou tyto subjekty uznat prostředek pro elektronickou identifikaci, který byl vydán v rámci systému elektronické identifikace uvedeného na seznamu zveřejněném Komisí podle článku 9 a který odpovídá nízké úrovni záruky.

Článek 7

Způsobilost systémů elektronické identifikace pro oznámení

Systém elektronické identifikace je způsobilý pro oznámení podle čl. 9 odst. 1, jsou-li splněny všechny tyto podmínky:

prostředky pro elektronickou identifikaci v rámci daného systému elektronické identifikace:

i)	vydává oznamující členský stát;

ii)	jsou vydávány z pověření oznamujícího členského státu; nebo

iii)	jsou vydávány nezávisle na oznamujícím členském státu a tento členský stát je uznává;

b)	prostředky pro elektronickou identifikaci v rámci daného systému elektronické identifikace lze použít pro přístup k alespoň jedné službě poskytované subjektem veřejného sektoru, u níž se v oznamujícím členském státě vyžaduje elektronická identifikace;

c)	daný systém elektronické identifikace a prostředky pro elektronickou identifikaci v rámci tohoto systému vydávané splňují požadavky alespoň na jednu z úrovní záruky stanovených v prováděcím aktu uvedeném v čl. 8 odst. 3;

oznamující členský stát zajišťuje, aby osobní identifikační údaje jedinečně identifikující danou osobu byly v okamžiku vydání prostředku pro elektronickou identifikaci v rámci daného systému v souladu s technickými specifikacemi, normami a postupy pro příslušnou úroveň záruky stanovenými v prováděcím aktu uvedeném v čl. 8 odst. 3 spojeny s fyzickou nebo právnickou osobou uvedenou v čl. 3 bodě 1;

strana vydávající prostředky pro elektronickou identifikaci v rámci daného systému zajišťuje, aby byl prostředek pro elektronickou identifikaci spojen s osobou uvedenou v písmeni d) tohoto článku v souladu s technickými specifikacemi, normami a postupy pro příslušnou úroveň záruky stanovenými v prováděcím aktu uvedeném v čl. 8 odst. 3;

oznamující členský stát zajišťuje dostupnost on-line autentizace tak, aby kterákoli spoléhající se strana usazená na území jiného členského státu byla schopna potvrdit osobní identifikační údaje, které obdržela v elektronické podobě.

V případě jiných spoléhajících se stran než subjektů veřejného sektoru může oznamující členský stát stanovit podmínky přístupu k této autentizaci. Tato přeshraniční autentizace se poskytuje bezplatně, pokud je prováděna v souvislosti s on-line službou poskytovanou subjektem veřejného sektoru.

Členské státy nesmějí spoléhajícím se stranám, které chtějí tuto autentizaci provést, ukládat zvláštní nepřiměřené technické požadavky, které by bránily interoperabilitě oznámených systémů elektronické identifikace nebo by ji významně ztěžovaly;

g)	nejméně šest měsíců před oznámením podle čl. 9 odst. 1 poskytne oznamující členský stát ostatním členským státům pro účely povinnosti stanovené v čl. 12 odst. 5 popis daného systému v souladu s procesními opatřeními stanovenými v prováděcích aktech uvedených v čl. 12 odst. 7;

h)	daný systém elektronické identifikace splňuje požadavky stanovené v prováděcím aktu uvedeném v čl. 12 odst. 8.

Článek 25

Právní účinky elektronických podpisů

1. Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy.

2. Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu.

3. Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech.

Článek 27

Elektronické podpisy ve veřejných službách

1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis, uznává zaručené elektronické podpisy, zaručené elektronické podpisy založené na kvalifikovaném certifikátu pro elektronické podpisy a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis založený na kvalifikovaném certifikátu, uznává zaručené elektronické podpisy založené na kvalifikovaném certifikátu a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické podpisy. Pokud zaručený elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické podpisy uvedenými v odstavcích 1 a 2 tohoto článku a v článku 26. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických podpisů nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 28

Kvalifikované certifikáty pro elektronické podpisy

1. Kvalifikované certifikáty pro elektronické podpisy musí splňovat požadavky stanovené v příloze I.

2. Kvalifikované certifikáty pro elektronické podpisy nepodléhají žádným závazným požadavkům, které přesahují požadavky stanovené v příloze I.

3. Kvalifikované certifikáty pro elektronické podpisy mohou obsahovat další zvláštní atributy, které nejsou povinné. Těmito atributy nesmějí být dotčeny interoperabilita a uznávání kvalifikovaných elektronických podpisů.

4. Pokud byl kvalifikovaný certifikát pro elektronické podpisy po počáteční aktivaci zneplatněn, ztrácí okamžikem zneplatnění platnost a jeho status se nemůže v žádném případě změnit zpět.

5. Členské státy mohou stanovit vnitrostátní pravidla dočasného pozastavení platnosti kvalifikovaných certifikátů pro elektronický podpis s výhradou těchto podmínek:

a)	je-li platnost kvalifikovaného certifikátu pro elektronický podpis dočasně pozastavena, pozbývá tento certifikát na dobu pozastavení platnosti;

b)	doba pozastavení platnosti je jasně vyznačena v databázi certifikátů a pozastavení platnosti je po svou dobu viditelné ve službě poskytující informace o statusu certifikátu.

6. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované certifikáty pro elektronický podpis. Pokud kvalifikovaný certifikát pro elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze I. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 35

Právní účinky elektronických pečetí

1. Elektronické pečeti nesmějí být upírány právní účinky a nesmí být odmítána jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické pečetě.

2. U kvalifikované elektronické pečeti platí domněnka integrity dat a správnosti původu těch dat, s nimiž je kvalifikovaná elektronická pečeť spojena.

3. Kvalifikovaná elektronická pečeť založená na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaná elektronická pečeť ve všech ostatních členských státech.

Článek 37

Elektronické pečetě ve veřejných službách

1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť, uznává zaručené elektronické pečetě, zaručené elektronické pečetě založené na kvalifikovaném certifikátu pro elektronické pečetě a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť založenou na kvalifikovaném certifikátu, uznává zaručené elektronické pečetě založené na kvalifikovaném certifikátu a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronickou pečeť s vyšší zárukou bezpečnosti než kvalifikovanou elektronickou pečeť.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické pečetě. Pokud zaručená elektronická pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické pečetě uvedenými v odstavcích 1 a 2 tohoto článku a v článku 36. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických pečetí nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 38

Kvalifikované certifikáty pro elektronické pečetě

1. Kvalifikované certifikáty pro elektronické pečetě musí splňovat požadavky stanovené v příloze III.

2. Kvalifikované certifikáty pro elektronické pečetě nepodléhají žádným závazným požadavkům, které přesahují požadavky stanovené v příloze III.

3. Kvalifikované certifikáty pro elektronické pečetě mohou obsahovat další zvláštní atributy, které nejsou povinné. Těmito atributy nesmějí být dotčeny interoperabilita a uznávání kvalifikovaných elektronických pečetí.

4. Pokud byl kvalifikovaný certifikát pro elektronickou pečeť po počáteční aktivaci zneplatněn, ztrácí okamžikem zneplatnění platnost a jeho status se nemůže v žádném případě změnit zpět.

5. Členské státy mohou stanovit vnitrostátní pravidla dočasného pozastavení platnosti kvalifikovaných certifikátů pro elektronické pečetě s výhradou těchto podmínek:

a)	je-li platnost kvalifikovaného certifikátu pro elektronickou pečeť dočasně pozastavena, pozbývá tento certifikát na dobu pozastavení platnosti;

b)	doba pozastavení platnosti je jasně vyznačena v databázi certifikátů a pozastavení platnosti je po svou dobu viditelné ve službě poskytující informace o statusu certifikátu.

6. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované certifikáty pro elektronické pečetě. Pokud kvalifikovaný certifikát pro elektronickou pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze III. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 41

Právní účinek elektronických časových razítek

1. Elektronickému časovému razítku nesmějí být upírány právní účinky a nesmí být odmítáno jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické časové razítko.

2. U kvalifikovaného elektronického časového razítka platí domněnka správnosti data a času, které udává, a integrity dat, s nimiž jsou toto datum a tento čas spojeny.

3. Kvalifikované elektronické časové razítko vydané v jednom členském státě se uznává jako kvalifikované elektronické časové razítko ve všech členských státech.

whereas

(6) Rada ve svých závěrech ze dne 27.
května 2011 Komisi vyzvala, aby přispěla k jednotnému digitálnímu trhu vytvořením vhodných podmínek pro vzájemné přeshraniční uznávání klíčových prvků, jako jsou elektronická identifikace, elektronické dokumenty, elektronické podpisy a služby elektronického doručování, a pro interoperabilní služby elektronické veřejné správy v celé Evropské unii.

- = -

(9) Ve většině případů nemohou občané svou elektronickou identifikaci využívat k autentizaci v jiném členském státě, neboť vnitrostátní systémy elektronické identifikace v jejich zemi nejsou uznávány v ostatních členských státech.
Tato elektronická bariéra znemožňuje poskytovatelům služeb plně využívat výhod vnitřního trhu.
Vzájemně uznávané prostředky pro elektronickou identifikaci usnadní přeshraniční poskytování četných služeb na vnitřním trhu a umožní podnikům přeshraniční působení, aniž by se při kontaktech s orgány veřejné moci potýkaly s mnoha překážkami.

- = -

(10) Směrnice Evropského parlamentu a Rady 2011/24/EU (6) zřídila síť vnitrostátních orgánů odpovědných za elektronické zdravotnictví.
V zájmu zvýšení bezpečnosti a zajištění kontinuity přeshraniční zdravotní péče je tato síť povinna vypracovat pokyny k přeshraničnímu přístupu k elektronickým zdravotním údajům a službám, mimo jiné podporou „společných opatření pro identifikaci a ověřování za účelem snadnější přenositelnosti údajů v rámci přeshraniční zdravotní péče“.
Vzájemné uznávání elektronické identifikace a autentizace je hlavním předpokladem pro to, aby se přeshraniční zdravotní péče stala pro evropské občany skutečností.
Pokud občané cestují za účelem lékařského ošetření, musí být údaje o jejich zdravotním stavu dostupné v zemi, v níž je léčba poskytována.
To vyžaduje řádný, bezpečný a důvěryhodný rámec pro elektronickou identifikaci.

- = -

(11) Toto nařízení by mělo být uplatňováno v plném souladu se zásadami ochrany osobních údajů podle směrnice Evropského parlamentu a Rady 95/46/ES (7).
V tomto směru by se, s ohledem na zásadu vzájemného uznávání stanovenou v tomto nařízení, měla autentizace pro účely on-line služeb týkat zpracování pouze těch identifikačních údajů, které jsou přiměřené, podstatné a rozsahem úměrné pro udělení přístupu k dané on-line službě.
Dále by poskytovatelé služeb vytvářejících důvěru a orgány dohledu měly dodržovat požadavky stanovené ve směrnici 95/46/ES týkající se důvěrné povahy a bezpečnosti zpracování.

- = -

(14) V tomto nařízení je nutno stanovit určité podmínky, pokud jde o to, které prostředky pro elektronickou identifikaci musí být uznávány, a způsob oznamování systémů elektronické identifikace.
Tyto podmínky by měly členským státům pomoci při budování nezbytné vzájemné důvěry v systémy elektronické identifikace a při vzájemném uznávání prostředků pro elektronickou identifikaci spadajících do jejich oznámených systémů.
Zásada vzájemného uznávání by se měla použít, jestliže systém elektronické identifikace oznamujícího členského státu splňuje podmínky pro oznámení a toto oznámení bylo zveřejněno v Úředním věstníku Evropské unie.
Zásada vzájemného uznávání by se však měla týkat pouze autentizace pro účely on-line služby.
Přístup k těmto on-line službám a jejich skutečné poskytnutí žadateli by měly úzce souviset s právem na obdržení takovýchto služeb za podmínek stanovených ve vnitrostátních právních předpisech.

- = -

(19) Bezpečnost systémů elektronické identifikace je klíčovým předpokladem pro důvěryhodné přeshraniční vzájemné uznávání prostředků pro elektronickou identifikaci. Členské státy by v této souvislosti měly spolupracovat v otázkách bezpečnosti a interoperability systémů elektronické identifikace na úrovni Unie.
Ve všech případech, kdy systémy elektronické identifikace vyžadují, aby spoléhající se strany použily na vnitrostátní úrovni zvláštní technické zařízení nebo programové vybavení, je v zájmu přeshraniční interoperability žádoucí, aby tyto členské státy takové požadavky a související náklady neuplatňovaly vůči spoléhajícím se stranám usazeným mimo jejich území.
V takovém případě je v mezích rámce interoperability třeba projednat a vyvinout vhodná řešení.
Nicméně technické požadavky, které vyplývají z vlastních specifikací vnitrostátních prostředků pro elektronickou identifikaci a mohou mít vliv na držitele těchto elektronických prostředků (například inteligentní karty), jsou nevyhnutelné.

- = -

(20) Spolupráce členských států by měla usnadnit technickou interoperabilitu oznámených systémů elektronické identifikace v zájmu podpory vysoké úrovně důvěryhodnosti a bezpečnosti odpovídající míře rizika.
Této spolupráci by měla napomoci výměna informací a sdílení osvědčených postupů mezi členskými státy za účelem jejich vzájemného uznávání.

- = -

(25) Členské státy by měly mít možnost stanovit kromě služeb vytvářejících důvěru, jež jsou součástí uzavřeného seznamu služeb vytvářejících důvěru stanoveného v tomto nařízení, i jiné druhy služeb vytvářejících důvěru za účelem jejich uznávání na vnitrostátní úrovni jako kvalifikovaných služeb vytvářejících důvěru.

- = -

(48) Ačkoliv k zajištění vzájemného uznávání elektronických podpisů je zapotřebí vysoká úroveň bezpečnosti, měly by být ve zvláštních případech, například v kontextu rozhodnutí Komise 2009/767/ES (10), přijímány rovněž elektronické podpisy s nižší zárukou bezpečnosti.

- = -

(52) Vytváření elektronického podpisu na dálku, jehož prostředí spravuje poskytovatel služeb vytvářejících důvěru jménem podepisující osoby, přináší mnohé ekonomické výhody, a bude tedy pravděpodobně stále častější.
Aby však bylo zajištěno, že tyto elektronické podpisy budou z právního hlediska uznávány stejně jako elektronické podpisy, které jsou vytvářeny v prostředí spravovaném výlučně uživatelem, měli by poskytovatelé nabízející služby elektronického podpisu na dálku uplatňovat zvláštní postupy pro zajištění bezpečnosti v oblasti řízení a správy a používat důvěryhodné systémy a produkty zahrnující zabezpečené kanály pro elektronickou komunikaci, a zajistit tak spolehlivost prostředí, v němž jsou elektronické podpisy vytvářeny, a zaručit, že je toto prostředí používáno pod výlučnou kontrolou podepisující osoby.
V případě kvalifikovaného elektronického podpisu vytvořeného pomocí prostředku pro vytváření elektronických podpisů na dálku by se měly použít požadavky stanovené v tomto nařízení, které jsou použitelné na kvalifikované poskytovatele služeb vytvářejících důvěru.

- = -

(54) Pro přeshraniční uznávání kvalifikovaných elektronických podpisů jsou předpokladem přeshraniční interoperabilita a uznávání kvalifikovaných certifikátů.
Kvalifikované certifikáty by proto neměly podléhat žádným závazným požadavkům, které přesahují požadavky stanovené v tomto nařízení.
Na vnitrostátní úrovni by však zahrnutí zvláštních atributů, například jedinečných identifikátorů, do kvalifikovaných certifikátů mělo být povoleno, pokud tyto zvláštní atributy nebrání přeshraniční interoperabilitě a uznávání kvalifikovaných certifikátů a kvalifikovaných elektronických podpisů.

- = -

(55) Certifikace bezpečnosti IT systémů založená na mezinárodních normách, jako jsou ISO 15408 a související hodnotící metody a mechanismy vzájemného uznávání, je důležitým nástrojem ověřování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a měla by být podporována.
Inovační řešení a služby, jako například podepisování prostřednictvím mobilního telefonu a podepisování v cloudech, se však opírají o technická a organizační řešení pro kvalifikované prostředky pro vytváření elektronických podpisů, pro něž bezpečnostní normy dosud nemusí být k dispozici nebo pro něž první certifikace bezpečnosti IT systémů dosud probíhá.
Pouze v případě, že bezpečnostní normy nejsou k dispozici nebo první certifikace bezpečnosti IT systémů probíhá, by mohla být úroveň bezpečnosti těchto kvalifikovaných prostředků pro vytváření elektronických podpisů posouzena alternativními postupy.
Tyto postupy by měly být srovnatelné s normami pro certifikaci bezpečnosti IT systémů, pokud jsou jejich úrovně bezpečnosti rovnocenné.
Vzájemné hodnocení by mohlo tyto postupy usnadnit.

- = -

(66) Je nezbytné stanovit právní rámec, který usnadní přeshraniční uznávání služeb elektronického doporučeného doručování mezi stávajícími vnitrostátními právními systémy.
Tento rámec by mohl rovněž přinést nové tržní příležitosti pro poskytovatele služeb vytvářejících důvěru z Unie, kteří budou moci nabízet nové panevropské služby elektronického doporučeného doručování.

- = -

keyboard_tab EIDAS 2014/0910 CS

EIDAS 2014/0910 CS