EIDAS 2014/0910 CS

a)	usiluje o to, aby byl z technologického hlediska neutrální, a v rámci členského státu nerozlišuje mezi žádnými zvláštními vnitrostátními technickými řešeními elektronické identifikace;

b)	je-li to možné, řídí se evropskými a mezinárodními normami;

c)	usnadňuje uplatňování zásady ochrany soukromí již od návrhu; a

d)	zajišťuje, aby osobní údaje byly zpracovávány v souladu se směrnicí 95/46/ES.

4. Rámec interoperability sestává z:

a)	odkazu na minimální technické požadavky týkající se úrovní záruky stanovených v článku 8;

b)	mapování vnitrostátních úrovní záruky oznámených systémů elektronické identifikace podle úrovní záruky stanovených v článku 8;

c)	odkazu na minimální technické požadavky pro interoperabilitu;

d)	odkazu na minimální soubor osobních identifikačních údajů jedinečně identifikujících fyzickou nebo právnickou osobu, který je v systémech elektronické identifikace k dispozici;

e)	procesních pravidel;

f)	opatření pro řešení sporů; a

g)	společných norem provozní bezpečnosti.

5. Členské státy spolupracují ohledně:

a)	interoperability systémů elektronické identifikace oznámených podle čl. 9 odst. 1 a systémů elektronické identifikace, jež členské státy hodlají oznámit; a

b)	bezpečnosti systémů elektronické identifikace.

6. Spolupráce mezi členskými státy zahrnuje:

a)	výměnu informací, zkušeností a osvědčených postupů v oblasti systémů elektronické identifikace, a zejména v oblasti technických požadavků týkajících se interoperability a úrovní záruky;

b)	výměnu informací, zkušeností a osvědčených postupů v oblasti práce s úrovněmi záruky systémů elektronické identifikace podle článku 8;

c)	vzájemné hodnocení systémů elektronické identifikace, které spadají do oblasti působnosti tohoto nařízení; a

d)	posouzení relevantního vývoje v odvětví elektronické identifikace.

7. Komise do 18. března 2015 prostřednictvím prováděcích aktů stanoví nezbytná procesní opatření pro usnadnění spolupráce mezi členskými státy podle odstavců 5 a 6 v zájmu podpory vysoké úrovně důvěryhodnosti a bezpečnosti odpovídající míře rizika.

8. Do 18. března 2015 Komise pro účely stanovení jednotných podmínek pro provádění požadavku podle odstavce 1, s výhradou kritérií stanovených v odstavci 3 a s přihlédnutím k výsledkům spolupráce mezi členskými státy, přijme prováděcí akty týkající se rámce interoperability stanoveného v odstavci 4.

9. Prováděcí akty uvedené v odstavcích 7 a 8 tohoto článku se přijímají přezkumným postupem podle čl. 48 odst. 2.

KAPITOLA III

SLUŽBY VYTVÁŘEJÍCÍ DŮVĚRU

ODDÍL 1

Obecná ustanovení

Článek 17

Orgán dohledu

1. Členské státy určí orgán dohledu usazený na jejich území nebo po vzájemné dohodě s jiným členským státem orgán dohledu usazený v tomto jiném členském státě. Tento orgán odpovídá za plnění úkolů v oblasti dohledu v členském státě, který provedl určení.

Orgánům dohledu musí být uděleny nezbytné pravomoci a odpovídající zdroje pro plnění jejich úkolů.

2. Členské státy sdělí Komisi názvy a adresy jimi určených orgánů dohledu.

3. Orgán dohledu má tyto úlohy:

vykonávat dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými na území členského státu, který provedl určení, s cílem zajistit prostřednictvím činností předběžného a následného dohledu, aby tito kvalifikovaní poskytovatelé služeb vytvářejících důvěru a jimi poskytované kvalifikované služby vytvářející důvěru splňovali požadavky stanovené v tomto nařízení;

v případě potřeby přijmout prostřednictvím činností následného dohledu opatření ve vztahu k nekvalifikovaným poskytovatelům služeb vytvářejících důvěru usazeným na území členského státu, který provedl určení, pokud je informován, že tito nekvalifikovaní poskytovatelé služeb vytvářejících důvěru nebo jimi poskytované služby vytvářející důvěru údajně nesplňují požadavky stanovené v tomto nařízení.

4. Pro účely odstavce 3 a s výhradou omezení stanovených v uvedeném odstavci patří mezi úkoly orgánu dohledu zejména tyto činnosti:

a)	spolupracovat s ostatními orgány dohledu a poskytovat jim pomoc v souladu s článkem 18;

b)	provádět analýzu zpráv o posouzení shody uvedených v čl. 20 odst. 1 a čl. 21 odst. 1;

c)	informovat ostatní orgány dohledu a veřejnost o případech narušení bezpečnosti nebo ztráty integrity v souladu s čl. 19 odst. 2;

d)	podávat Komisi zprávy o svých hlavních činnostech v souladu s odstavcem 6 tohoto článku;

e)	provádět audity kvalifikovaných poskytovatelů služeb vytvářejících důvěru nebo požadovat, aby subjekt posuzování shody provedl posouzení shody těchto poskytovatelů v souladu s čl. 20 odst. 2;

f)	spolupracovat s orgány pro ochranu údajů, zejména je bez zbytečného odkladu informovat o výsledcích auditů kvalifikovaných poskytovatelů služeb vytvářejících důvěru, jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů;

g)	udělovat poskytovatelům služeb vytvářejících důvěru a jimi poskytovaným službám status kvalifikovaného poskytovatele nebo kvalifikované služby a odnímat tento status v souladu s články 20 a 21;

h)	informovat subjekt odpovědný za vnitrostátní důvěryhodný seznam podle čl. 22 odst. 3 o svých rozhodnutích udělit nebo odejmout status kvalifikovaného poskytovatele nebo kvalifikované služby, pokud tento subjekt není rovněž orgánem dohledu;

i)	ověřovat existenci a správné uplatňování předpisů o plánech ukončení činnosti v případech, kdy kvalifikovaný poskytovatel služeb vytvářejících důvěru ukončí svou činnost, včetně způsobu zpřístupňování informací v souladu s čl. 24 odst. 2 písm. h);

j)	požadovat, aby poskytovatelé služeb vytvářejících důvěru napravili případné neplnění požadavků stanovených v tomto nařízení.

5. Členské státy mohou vyžadovat, aby orgán dohledu zavedl, udržoval a aktualizoval důvěryhodnou infrastrukturu v souladu s podmínkami stanovenými vnitrostátním právem.

6. Do 31. března každého roku předloží každý orgán dohledu Komisi zprávu o svých hlavních činnostech v předchozím kalendářním roce, spolu se shrnutím oznámení o narušení bezpečnosti, která obdržel od poskytovatelů služeb vytvářejících důvěru v souladu s čl. 19 odst. 2.

7. Výroční zprávu uvedenou v odstavci 6 Komise zpřístupní členským státům.

8. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy pro podávání zpráv podle odstavce 6. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 18

Vzájemná pomoc

1. Orgány dohledu vzájemně spolupracují za účelem výměny osvědčených postupů.

Po obdržení odůvodněné žádosti jiného orgánu dohledu poskytne orgán dohledu danému orgánu pomoc, aby bylo možné zajistit jednotný výkon činností orgánů dohledu. Vzájemná pomoc může zahrnovat zejména žádosti o informace a opatření v oblasti dohledu, například žádosti o provedení prověrek v souvislosti se zprávami o posouzení shody podle článků 20 a 21.

2. Orgán dohledu, jemuž byla podána žádost o pomoc, může tuto žádost zamítnout z kteréhokoliv z těchto důvodů:

a)	orgán dohledu není k poskytnutí požadované pomoci příslušný;

b)	požadovaná pomoc je nepřiměřená činnostem v oblasti dohledu, které daný orgán dohledu vykonává v souladu s článkem 17;

c)	poskytnutí požadované pomoci by nebylo slučitelné s tímto nařízením.

3. Členské státy mohou svým příslušným orgánům dohledu případně povolit provádět společná šetření, na nichž se podílejí pracovníci orgánů dohledu z ostatních členských států. Ujednání a postupy pro tyto společné akce dohodnou a zavedou dotčené členské státy v souladu se svými vnitrostátními právními předpisy.

Článek 22

Důvěryhodné seznamy

1. Každý členský stát zřizuje, udržuje a zveřejňuje důvěryhodné seznamy obsahující informace týkající se kvalifikovaných poskytovatelů služeb vytvářejících důvěru v jeho působnosti spolu s informacemi o jimi poskytovaných kvalifikovaných službách vytvářejících důvěru.

2. Členské státy zřizují ve formě vhodné pro automatické zpracování, udržují a zabezpečeným způsobem zveřejňují důvěryhodné seznamy uvedené v odstavci 1, které jsou opatřeny elektronickým podpisem nebo elektronickou pečetí.

3. Členské státy bez zbytečného odkladu sdělí Komisi informace o subjektu odpovědném za zřízení, udržování a zveřejnění vnitrostátních důvěryhodných seznamů a poskytnou informace o místě zveřejnění těchto seznamů, o certifikátech použitých k opatření důvěryhodných seznamů elektronickým podpisem nebo pečetí a o jejich případných změnách.

4. Informace uvedené v odstavci 3 Komise bezpečnou cestou zpřístupní veřejnosti ve formě opatřené elektronickým podpisem nebo pečetí a vhodné pro automatické zpracování.

5. Do 18. září 2015 Komise prostřednictvím prováděcích aktů upřesní informace uvedené v odstavci 1 a stanoví technické specifikace a formáty pro důvěryhodné seznamy, které se použijí pro účely odstavců 1 až 4. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 27

Elektronické podpisy ve veřejných službách

1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis, uznává zaručené elektronické podpisy, zaručené elektronické podpisy založené na kvalifikovaném certifikátu pro elektronické podpisy a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis založený na kvalifikovaném certifikátu, uznává zaručené elektronické podpisy založené na kvalifikovaném certifikátu a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické podpisy. Pokud zaručený elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické podpisy uvedenými v odstavcích 1 a 2 tohoto článku a v článku 26. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických podpisů nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 28

Kvalifikované certifikáty pro elektronické podpisy

1. Kvalifikované certifikáty pro elektronické podpisy musí splňovat požadavky stanovené v příloze I.

2. Kvalifikované certifikáty pro elektronické podpisy nepodléhají žádným závazným požadavkům, které přesahují požadavky stanovené v příloze I.

3. Kvalifikované certifikáty pro elektronické podpisy mohou obsahovat další zvláštní atributy, které nejsou povinné. Těmito atributy nesmějí být dotčeny interoperabilita a uznávání kvalifikovaných elektronických podpisů.

4. Pokud byl kvalifikovaný certifikát pro elektronické podpisy po počáteční aktivaci zneplatněn, ztrácí okamžikem zneplatnění platnost a jeho status se nemůže v žádném případě změnit zpět.

5. Členské státy mohou stanovit vnitrostátní pravidla dočasného pozastavení platnosti kvalifikovaných certifikátů pro elektronický podpis s výhradou těchto podmínek:

a)	je-li platnost kvalifikovaného certifikátu pro elektronický podpis dočasně pozastavena, pozbývá tento certifikát na dobu pozastavení platnosti;

b)	doba pozastavení platnosti je jasně vyznačena v databázi certifikátů a pozastavení platnosti je po svou dobu viditelné ve službě poskytující informace o statusu certifikátu.

6. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované certifikáty pro elektronický podpis. Pokud kvalifikovaný certifikát pro elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze I. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 30

Certifikace kvalifikovaných prostředků pro vytváření elektronických podpisů

1. Shodu kvalifikovaných prostředků pro vytváření elektronických podpisů s požadavky stanovenými v příloze II certifikují příslušné veřejné nebo soukromé subjekty, které určily členské státy.

2. Členské státy sdělí Komisi názvy a adresy veřejných nebo soukromých subjektů uvedených v odstavci 1. Komise tyto informace zpřístupní členským státům.

3. Certifikace podle odstavce 1 je založena na jednom z těchto postupů:

a)	postupu posouzení bezpečnosti, který byl proveden v souladu s některou z norem pro posuzování bezpečnosti produktů informačních technologií uvedených na seznamu sestaveném v souladu s druhým pododstavcem tohoto odstavce; nebo

jiném postupu, než je postup uvedený v písmenu a), za podmínky, že používá srovnatelné úrovně bezpečnosti a že veřejný nebo soukromý subjekt uvedený v odstavci 1 daný postup oznámí Komisi. Tento postup může být použit pouze v případě, že normy uvedené v písmenu a) neexistují nebo že postup posouzení bezpečnosti podle písmene a) dosud probíhá.

Komise prostřednictvím prováděcích aktů sestaví seznam norem pro posuzování bezpečnosti produktů informačních technologií uvedený v prvním pododstavci písm. a). Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

4. Komise je zmocněna k přijímání aktů v přenesené pravomoci v souladu s článkem 47, pokud jde o stanovení zvláštních kritérií, která mají splňovat určené subjekty uvedené v odstavci 1 tohoto článku.

Článek 31

Zveřejnění seznamu certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů

1. Členské státy bez zbytečného odkladu a nejpozději jeden měsíc po ukončení certifikace oznámí Komisi informace o kvalifikovaných prostředcích pro vytváření elektronických podpisů, které byly certifikovány subjekty uvedenými v čl. 30 odst. 1. Bez zbytečného odkladu a nejpozději jeden měsíc po zrušení certifikace Komisi rovněž oznámí informace o prostředcích pro vytváření elektronických podpisů, které již nebudou certifikovány.

2. Na základě obdržených informací Komise zřizuje, zveřejňuje a udržuje seznam certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů.

3. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy použitelné pro účely odstavce 1. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 37

Elektronické pečetě ve veřejných službách

1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť, uznává zaručené elektronické pečetě, zaručené elektronické pečetě založené na kvalifikovaném certifikátu pro elektronické pečetě a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť založenou na kvalifikovaném certifikátu, uznává zaručené elektronické pečetě založené na kvalifikovaném certifikátu a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronickou pečeť s vyšší zárukou bezpečnosti než kvalifikovanou elektronickou pečeť.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické pečetě. Pokud zaručená elektronická pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické pečetě uvedenými v odstavcích 1 a 2 tohoto článku a v článku 36. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických pečetí nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Článek 38

Kvalifikované certifikáty pro elektronické pečetě

1. Kvalifikované certifikáty pro elektronické pečetě musí splňovat požadavky stanovené v příloze III.

2. Kvalifikované certifikáty pro elektronické pečetě nepodléhají žádným závazným požadavkům, které přesahují požadavky stanovené v příloze III.

3. Kvalifikované certifikáty pro elektronické pečetě mohou obsahovat další zvláštní atributy, které nejsou povinné. Těmito atributy nesmějí být dotčeny interoperabilita a uznávání kvalifikovaných elektronických pečetí.

4. Pokud byl kvalifikovaný certifikát pro elektronickou pečeť po počáteční aktivaci zneplatněn, ztrácí okamžikem zneplatnění platnost a jeho status se nemůže v žádném případě změnit zpět.

5. Členské státy mohou stanovit vnitrostátní pravidla dočasného pozastavení platnosti kvalifikovaných certifikátů pro elektronické pečetě s výhradou těchto podmínek:

a)	je-li platnost kvalifikovaného certifikátu pro elektronickou pečeť dočasně pozastavena, pozbývá tento certifikát na dobu pozastavení platnosti;

b)	doba pozastavení platnosti je jasně vyznačena v databázi certifikátů a pozastavení platnosti je po svou dobu viditelné ve službě poskytující informace o statusu certifikátu.

6. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované certifikáty pro elektronické pečetě. Pokud kvalifikovaný certifikát pro elektronickou pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze III. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

whereas

keyboard_tab EIDAS 2014/0910 CS

EIDAS 2014/0910 CS