EIDAS 2014/0910 ET

1. Kui ühes liikmesriigis nõutakse vastavalt siseriiklikule õigusele või haldustavale avaliku sektori asutuse osutatavale internetipõhisele teenusele juurdepääsuks e-identimist e-identimise vahendi abil ja e-autentimist, tunnustatakse selles liikmesriigis teises liikmesriigis väljastatud e-identimise vahendit kõnealuse internetipõhise teenuse piiriüleseks autentimiseks, kui täidetud on järgmised tingimused:

a)	e-identimise vahend on väljastatud e-identimise süsteemi kohaselt, mis on kantud komisjoni poolt vastavalt artiklile 9 avaldatud nimekirja;

e-identimise vahendi usaldusväärsuse tase vastab usaldusväärsuse tasemele, mida avaliku sektori asutus nõuab kõnealusele internetipõhisele teenusele juurdepääsuks esimesena nimetatud liikmesriigis, või on sellest usaldusväärsuse tasemest kõrgem, eeldusel et selle e-identimise vahendi usaldusväärsuse tase on märkimisväärne või kõrge;

c)	asjaomane avaliku sektori asutus kasutab kõnealusele internetipõhisele teenusele juurdepääsuks usaldusväärsuse taset, mille tase on märkimisväärne või kõrge.

Tunnustamine toimub hiljemalt 12 kuud pärast seda, kui komisjon avaldab esimese lõigu punktis a osutatud nimekirja.

2. E-identimise vahendit, mis on väljastatud komisjoni poolt vastavalt artiklile 9 avaldatud nimekirjas oleva süsteemi kohaselt ning mille usaldusväärsuse tase on madal, võivad avaliku sektori asutused tunnustada nende asutuste osutatavate internetipõhiste teenuste piiriülese autentimise eesmärgil.

Artikkel 7

E-identimise süsteemidest teavitamise tingimused

E-identimise süsteemist saab vastavalt artikli 9 lõikele 1 teavitada juhul, kui täidetud on kõik järgmised tingimused:

e-identimise süsteemi kuuluv e-identimise vahend on väljastatud:

i)	teatava liikmesriigi poolt;

ii)	teavitava liikmesriigi volituse alusel või

iii)	sõltumatult teavitavast liikmesriigist ning see liikmesriik tunnustab seda;

b)	e-identimise süsteemi kuuluvat e-identimise vahendit saab kasutada juurdepääsuks vähemalt ühele teenusele, mida osutab avaliku sektori asutus ja mis eeldab teavitavas liikmesriigis e-identimist;

c)	e-identimise süsteem ja selle kohaselt väljastatud e-identimise vahend vastavad vähemalt ühe usaldusväärsuse taseme nõuetele, mis on sätestatud artikli 8 lõikes 3 osutatud rakendusaktis;

teavitav liikmesriik tagab, et ainulaadsed kõnealust isikut tähistavad isikutuvastusandmed omistatakse artikli 3 punktis 1 osutatud füüsilisele või juriidilisele isikule sellesse süsteemi kuuluva e-identimise vahendi väljastamisel kooskõlas tehniliste kirjelduste, standardite ja menetlustega, mis on artikli 8 lõikes 3 osutatud rakendusaktis ette nähtud asjakohase usaldusväärsuse taseme jaoks;

sellesse süsteemi kuuluvat e-identimise vahendit väljastav osaline tagab e-identimise vahendi omistamise käesoleva artikli punktis d osutatud isikule kooskõlas tehniliste kirjelduste, standardite ja menetlustega, mis on artikli 8 lõikes 3 osutatud rakendusaktis ette nähtud asjakohase usaldusväärsuse taseme jaoks;

teavitav liikmesriik tagab internetipõhise autentimise võimaluse nii, et teise liikmesriigi territooriumil asuv tuginev isik saab kinnitada elektrooniliselt saadud isikutuvastusandmeid.

Teavitav liikmesriik võib kindlaks määrata kõnealusee autentimise kasutustingimused tuginevatele isikutele, kes ei ole avaliku sektori asutused. Piiriülene autentimine on tasuta, kui autenditakse avaliku sektori asutuse internetipõhist teenust.

Liikmesriigid ei kehtesta autentimiskavatsusega tuginevate isikute suhtes ebaproportsionaalseid tehnilisi tingimusi, mis takistavad või raskendavad märkimisväärselt teavitatud e-identimise süsteemide koosvõimet;

g)	vähemalt kuus kuud enne artikli 9 lõike 1 kohast teavitamist esitab teavitav liikmesriik teistele liikmesriikidele artikli 12 lõikest 5 tuleneva kohustuse täitmiseks selle süsteemi kirjelduse artikli 12 lõikes 7 osutatud rakendusaktidega kehtestatud menetluskorra kohaselt;

h)	e-identimise süsteem vastab artikli 12 lõikes 8 osutatud rakendusaktis sätestatud nõuetele.

Artikkel 9

Teavitamine

1. Teavitav liikmesriik edastab komisjonile järgmise teabe ja põhjendamatu viivituseta selle iga hilisema muudatuse:

a)	e-identimise süsteemi kirjeldus. kaasa arvatud selle usaldusväärsuse tase ja sellesse süsteemi kuuluvate e-identimise vahendite väljastaja(d);

kohaldatav järelevalvekord ja järgmine vastutuskorda puudutav teave:

i)	e-identimise vahendit väljastav osaline ning

ii)	autentimismenetlust läbiviiv osaline;

c)	teavitatud e-identimise süsteemi eest vastutav asutus või vastutavad asutused;

d)	teave ainulaadsete isikutuvastusandmete registreerimist haldava üksuse või haldavate üksuste kohta;

e)	kirjeldus, kuidas täidetakse artikli 12 lõikes 8 osutatud rakendusaktis sätestatud nõuded;

f)	artikli 7 punktis f osutatud autentimise kirjeldus;

g)	teavitatud e-identimise süsteemi, autentimise või asjaomase ohustatud osa peatamise või tühistamise kord.

2. Üks aasta pärast artikli 8 lõikes 3 ja artikli 12 lõikes 8 osutatud rakendusaktide kohaldamise alguskuupäeva avaldab komisjon Euroopa Liidu Teatajas nimekirja e-identimise süsteemidest, millest on teavitatud vastavalt käesoleva artikli lõikele 1, ja nendega seotud põhiteabe.

3. Kui komisjoni teavitatakse pärast lõikes 2 osutatud ajavahemiku möödumist, avaldab ta Euroopa Liidu Teatajas lõikes 2 osutatud nimekirja muudatused kahe kuu jooksul alates kõnealuse teate saamise kuupäevast.

4. Liikmesriik võib komisjonile esitada taotluse jätta selle liikmesriigi poolt teavitatud e-identimise süsteem lõikes 2 osutatud nimekirjast välja. Komisjon avaldab vastavad nimekirja muudatused Euroopa Liidu Teatajas ühe kuu jooksul pärast liikmesriigilt taotluse saamist.

5. Komisjon võib rakendusaktidega kindlaks määrata lõikes 1 osutatud teavitamise asjaolud, formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 18

Vastastikune abi

1. Järelevalveasutused teevad koostööd heade tavade vahetamiseks.

Järelevalveasutus annab teiselt järelevalveasutuselt saadud põhjendatud taotluse korral kõnealusele asutusele abi, et järelevalveasutuste tegevus saaks toimuda järjepidevalt. Vastastikune abi võib hõlmata eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi artiklites 20 ja 21 osutatud vastavushindamisaruannetega seotud kontrollide läbiviimiseks.

2. Järelevalveasutus, kellele abitaotlus on adresseeritud, võib taotluse täitmisest keelduda mis tahes järgmisel alusel:

a)	järelevalveasutus ei ole pädev taotletavat abi andma;

b)	taotletav abi ei ole proportsionaalne järelevalveasutuse poolt kooskõlas artikliga 17 teostatava järelevalvega;

c)	taotletava abi andmine oleks vastuolus käesoleva määrusega.

3. Kui see on asjakohane, võivad liikmesriigid anda oma vastavatele järelevalveasutustele volitused korraldada ühiseid uurimisi, millesse on kaasatud teiste liikmesriikide järelevalveasutuste töötajad. Asjaomased liikmesriigid lepivad kokku sellise ühistegevuse korra ja protseduurid ning kehtestavad need oma riigi õiguse kohaselt.

Artikkel 20

Kvalifitseeritud usaldusteenuse osutajate järelevalve

1. Vastavushindamisasutus auditeerib kvalifitseeritud usaldusteenuse osutajaid nende oma kulul vähemalt iga 24 kuu järel. Auditi eesmärk on saada kinnitust, et kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad kvalifitseeritud usaldusteenused vastavad käesolevas määruses sätestatud nõuetele. Kvalifitseeritud usaldusteenuse osutaja esitavad vastavushindamisaruande järelevalveasutusele kolme tööpäeva pikkuse jooksul alates selle saamisest.

2. Ilma et see piiraks lõike 1 kohaldamist, võib järelevalveasutus kvalifitseeritud usaldusteenuse osutajaid igal ajal auditeerida või nõuda, et vastavushindamisasutus teostaks kvalifitseeritud usaldusteenuse osutajate vastavushindamise nende kvalifitseeritud usaldusteenuse osutajate kulul kinnituse saamiseks, et kõnealused kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad kvalifitseeritud usaldusteenused vastavad käesolevas määruses sätestatud nõuetele. Kui isikuandmete kaitse eeskirju on ilmselt rikutud, teavitab järelevalveasutus auditite tulemustest andmekaitseasutusi.

3. Kui järelevalveasutus nõuab, et kvalifitseeritud usaldusteenuse osutaja heastaks käesolevas määruses sätestatud nõuete täitmata jätmise, kuid asjaomane teenuseosutaja ei tee seda, ning järelevalveasutuse seatud ajavahemiku jooksul (kui see on kohaldatav), võib järelevalveasutus eelkõige asjaomase rikkumise ulatust, kestust ja tagajärgi arvestades võtta sellelt teenuseosutajalt või tema osutatavalt asjaomaselt teenuselt kvalifitseeritud staatuse ning teavitada artikli 22 lõikes 3 osutatud asutust artikli 22 lõikes 1 osutatud usaldusnimekirjade ajakohastamise eesmärgil. Järelevalveasutus teavitab kvalifitseeritud usaldusteenuse osutajat temalt kvalifitseeritud staatuse või asjaomaselt teenuselt kvalifitseeritud staatuse äravõtmisest.

4. Komisjon võib rakendusaktidega kehtestada järgmiste standardite viitenumbri:

a)	standardid vastavushindamisasutuste akrediteerimise ja lõikes 1 osutatud vastavushindamisaruande jaoks;

b)	standardid auditeerimiseeskirjade kohta, mille alusel vastavushindamisasutused hindavad kvalifitseeritud usaldusteenuse osutajate nõuetele vastavust, nagu on osutatud lõikes 1.

Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 30

Kvalifitseeritud e-allkirja andmise vahendite sertifitseerimine

1. Kvalifitseeritud e-allkirja andmise vahendite vastavust II lisas sätestatud nõuetele sertifitseerivad liikmesriikide määratud asjakohased avalik-õiguslikud või eraõiguslikud asutused.

2. Liikmesriigid teatavad komisjonile lõikes 1 osutatud avalik-õiguslike või eraõiguslike asutuste nimed ja aadressid. Komisjon teeb selle teabe liikmesriikidele kättesaadavaks.

3. Lõikes 1 osutatud sertifitseerimine põhineb ühel järgmistest võimalustest:

a)	turvalisuse hindamise protsess, mis on tehtud kooskõlas ühega standarditest selliste infotehnoloogiatoodete turvalisuse hindamiseks, mis on kantud kooskõlas teise lõiguga koostatud nimekirja, või

punktis a osutatust erinev protsess, tingimusel et selles protsessis kasutatakse samaväärseid turvatasemeid ning et lõikes 1 osutatud avalik-õiguslik või eraõiguslik asutus teatab sellest protsessist komisjonile. Seda protsessi võib kasutada üksnes punktis a osutatud standardite puudumisel või juhul kui käimas on punktis a osutatud turvalisuse hindamise protsess.

Komisjon koostab rakendusaktidega punktis a osutatud infotehnoloogiatoodete turvalisuse hindamise standardite nimekirja. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

4. Komisjonile on õigus võtta kooskõlas artikliga 47 vastu delegeeritud õigusakte, et kehtestada konkreetsed kriteeriumid, millele käesoleva artikli lõikes 1 osutatud määratud asutused peavad vastama.

Artikkel 31

Sertifitseeritud kvalifitseeritud e-allkirja andmise vahendite nimekirja avaldamine

1. Liikmesriigid edastavad komisjonile põhjendamatu viivituseta ja mitte hiljem kui üks kuu pärast sertifitseerimise lõpuleviimist teabe selliste kvalifitseeritud e-allkirja andmise vahendite kohta, mille on sertifitseerinud artikli 30 lõikes 1 osutatud asutused. Samuti edastavad nad komisjonile põhjendamatu viivituseta ja mitte hiljem kui üks kuu pärast sertifitseerimise tühistamist teabe selliste kvalifitseeritud e-allkirja andmise vahendite kohta, mis ei ole enam sertifitseeritud.

2. Saadud teabe põhjal koostab komisjon sertifitseeritud kvalifitseeritud e-allkirja andmise vahendite nimekirja, haldab seda ja avaldab selle.

3. Komisjon võib rakendusaktidega kindlaks määrata lõike 1 kohaldamisega seotud formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

whereas

(1) Usalduse loomine internetikeskkonnas on majandusliku ja sotsiaalse arengu alus.
Usalduse puudumise tõttu, mida eelkõige põhjustab arvatav õiguskindluse puudumine, on tarbijad, ettevõtjad ja ametiasutused elektrooniliste tehingute tegemise ja uute teenuste kasutuselevõtu suhtes ebalevad.

- = -

(11) Käesolevat määrust tuleks kohaldada täielikus vastavuses isikuandmete kaitse põhimõtetega, mis on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 95/46/EÜ (7).
Seda arvesse võttes tuleks käesoleva määrusega kehtestatud vastastikuse tunnustamise põhimõtte kohaselt internetipõhise teenuse jaoks tehtava autentimise käigus töödelda ainult selliseid tuvastamisandmeid, mis on piisavad, asjakohased ega ületa asjaomasele teenusele internetipõhise juurdepääsu võimaldamiseks vajalikku.
Samuti peaksid direktiivis 95/46/EÜ sätestatud töötlemise konfidentsiaalsuse ja turvalisuse nõuetest kinni pidama usaldusteenuse osutajad ja järelevalveasutused.

- = -

(30) Liikmesriigid peaksid määrama järelevalveasutuse või järelevalveasutused käesoleva määruse kohase järelevalve teostamiseks.
Samuti peaks liikmesriikidel olema võimalik vastastikusel kokkuleppel teise liikmesriigiga otsustada määrata selle teostamiseks kõnealuses teises liikmesriigis asuv järelevalveasutus.

- = -

(31) Järelevalveasutused peaksid tegema andmekaitseasutustega koostööd, näiteks teavitades neid kvalifitseeritud usaldusteenuse osutajate auditite tulemustest, kui ilmneb, et isikuandmete kaitse eeskirju on rikutud.
Teavitamine peaks hõlmama eelkõige turvaintsidente ja isikuandmetega seotud rikkumisi.

- = -

(41) Selleks et tagada kvalifitseeritud usaldusteenuste jätkusuutlikkus ja püsivus ning suurendada kasutajate usaldust kvalifitseeritud usaldusteenuste järjepidevuse vastu, peaksid järelevalveasutused kontrollima lõpetamiskava käsitlevate sätete olemasolu ja nõuetekohast kohaldamist juhtudel, kui kvalifitseeritud usaldusteenuse osutajad lõpetavad oma tegevuse.

- = -

(50) Kuna praegu kasutavad liikmesriikide pädevad ametiasutused oma dokumentide elektrooniliseks allkirjastamiseks täiustatud e-allkirja erinevaid formaate, on vaja tagada, et liikmesriikidel on võimalik elektrooniliselt allkirjastatud dokumentide saamise korral tehniliselt toetada vähemalt teatavat hulka täiustatud e-allkirja formaate.
Samamoodi tuleks tagada, et kui liikmesriikide pädevad asutused kasutavad täiustatud e-templit, toetaksid nad vähemalt teatavat hulka täiustatud e-templi formaate.

- = -

(70) Käesoleva määruse teatavate tehniliste aspektide paindlikuks ja kiireks täiendamiseks peaks komisjonil olema õigus võtta kooskõlas ELi toimimise lepingu artikliga 290 vastu delegeeritud õigusakte kriteeriumide kohta, millele peavad vastama kvalifitseeritud e-allkirja andmise vahendite sertifitseerimise eest vastutavad asutused.
On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil.
Delegeeritud õigusaktide ettevalmistamisel ja koostamisel peaks komisjon tagama asjaomaste dokumentide sama- ja õigeaegse ning asjakohase edastamise Euroopa Parlamendile ja nõukogule.

- = -

keyboard_tab EIDAS 2014/0910 ET

EIDAS 2014/0910 ET