keyboard_tab EIDAS 2014/0910 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
-
ÜLDSÄTTED
- 2 Artikkel 3 Mõisted E-IDENTIMINE
- 1 Artikkel 9 Teavitamine
- 3 Artikkel 11 Vastutus USALDUSTEENUSED
- 2 Artikkel 13 Vastutus ja tõendamiskoormis Järelevalve
- 1 Artikkel 16 Karistused
- 2 Artikkel 17 Järelevalveasutus Kvalifitseeritud usaldusteenus
- 1 Artikkel 19 Usaldusteenuse osutajate suhtes kohaldatavad turvanõuded
- 1 Artikkel 22 Usaldusnimekirjad E-allkirjad
- 2 Artikkel 24 Nõuded kvalifitseeritud usaldusteenuse osutajatele E-tempel
Üldsätted
E-ajatemplid
Registreeritud e-andmevahetusteenused
Veebisaidi autentimine
E-DOKUMENDID
DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID
LÕPPSÄTTED
- või 85
- kvalifitseeritud 48
- usaldusteenuse 40
- artikli 27
- osutatud 25
- lõikes 21
- sätestatud 21
- kooskõlas 17
- osutaja 16
- ning 16
- nõuetele 15
- eest 15
- nende 14
- andmed 14
- e-templi 13
- e-allkirja 12
- vastab 11
- e-identimise 11
- isiku 11
- selle 11
- füüsilise 10
- artikkel 9
- tervikluse 9
- isik 9
- nimetatud 9
- „kvalifitseeritud 9
- seotud 9
- osutajad 9
- mida 9
- lõike 8
- pärast 8
- kahju 7
- järelevalveasutus 7
- mille 7
- kohta 7
- kasutatakse 7
- juriidilise 7
- käesolevas 7
- andmete 7
- teavitatud 7
- asutus 7
- komisjon 7
- artiklis 6
- sertifikaadi 6
- kvalifitseerimata 6
- komisjonile 6
- sertifikaatide 6
- võetakse 6
- võib 6
- vastu 6
Artikkel 3
Mõisted
Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „e-identimine”– protsess, mille käigus kasutatakse elektroonilisi isikutuvastusandmeid, mis tähistavad üheselt füüsilist või juriidilist isikut või juriidilist isikut esindavat füüsilist isikut;
2) „e-identimise vahend”– kehaline ja/või kehatu üksus, mis sisaldab isikutuvastusandmeid ja mida kasutatakse internetipõhiste teenuste puhul autentimiseks;
3) „isikutuvastusandmed”– andmed, mis võimaldavad teha kindlaks füüsilise või juriidilise isiku või juriidilist isikut esindava füüsilise isiku;
4) „e-identimise süsteem”– e-identimiseks vajalik süsteem, mille raames väljastatakse e-identimise vahendeid füüsilistele või juriidilistele isikutele või juriidilist isikut esindavatele füüsilistele isikutele;
5) „autentimine”– elektrooniline protsess, mis võimaldab füüsilise või juriidilise isiku e-identimist või elektrooniliste andmete päritolu ja tervikluse kinnitamist;
6) „tuginev isik”– füüsiline või juriidiline isik, kes tugineb e-identimisele või usaldusteenusele;
7) „avaliku sektori asutus”– riigi-, piirkondlik või kohalik asutus, avalik-õiguslik isik või ühe või mitme kõnealuse asutuse või avalik-õigusliku isiku poolt asutatud ühendus või eraõiguslik isik, kellele on vähemalt üks kõnealune asutus, isik või ühendus andnud õiguse osutada avalikke teenuseid, kui ta tegutseb kõnealust õigust teostades;
8) „avalik-õiguslik isik”– Euroopa Parlamendi ja nõukogu direktiivi 2014/24/EL (15) artikli 2 lõike 1 punktis 4 määratletud isik;
9) „allkirja andja”– e-allkirja andnud füüsiline isik;
10) „e-allkiri”– elektroonilised andmed, mis on lisatud muudele elektroonilistele andmetele või on nendega loogiliselt seotud ja mida allkirja andja kasutab allkirja andmiseks;
11) „täiustatud e-allkiri”– e-allkiri, mis vastab artiklis 26 sätestatud nõuetele;
12) „kvalifitseeritud e-allkiri”– täiustatud e-allkiri, mis antakse kvalifitseeritud e-allkirja andmise vahendi abil ja mis põhineb e-allkirja kvalifitseeritud sertifikaadil;
13) „e-allkirja andmiseks vajalikud andmed”– ainulaadsed andmed, mida allkirja andja kasutab e-allkirja andmiseks;
14) „e-allkirja sertifikaat”– elektrooniline dokument, mis seob e-allkirja valideerimise andmed füüsilise isikuga ja kinnitab vähemalt selle isiku nime või varjunime;
15) „e-allkirja kvalifitseeritud sertifikaat”– e-allkirja sertifikaat, mille väljastab kvalifitseeritud usaldusteenuse osutaja ja mis vastab I lisas sätestatud nõuetele;
16) „usaldusteenus”– elektrooniline teenus, mida tavaliselt osutatakse tasu eest ja mis seisneb:
| a) | e-allkirjade, e-templite või e-ajatemplite, registreeritud e-andmevahetusteenuste ning nende teenustega seotud sertifikaatide loomises, kontrollimises ja valideerimises, või |
| b) | veebisaidi autentimise sertifikaatide loomises, kontrollimises ja valideerimises, või |
| c) | e-allkirjade, e-templite või nende teenustega seotud sertifikaatide säilitamises; |
17) „kvalifitseeritud usaldusteenus”– usaldusteenus, mis vastab käesolevas määruses sätestatud kohaldatavatele nõuetele;
18) „vastavushindamisasutus”– määruse (EÜ) nr 765/2008 artikli 2 punktis 13 määratletud asutus, mis on kooskõlas nimetatud määrusega akrediteeritud asutusena, millel on pädevus teostada kvalifitseeritud usaldusteenuse osutaja ja tema osutatavate kvalifitseeritud usaldusteenuste vastavushindamist;
19) „usaldusteenuse osutaja”– füüsiline või juriidiline isik, kes osutab üht või mitut usaldusteenust kas kvalifitseeritud või kvalifitseerimata usaldusteenuse osutajana;
20) „kvalifitseeritud usaldusteenuse osutaja”– usaldusteenuse osutaja, kes osutab üht või mitut kvalifitseeritud usaldusteenust ning kellele järelevalveasutus on andnud kvalifitseeritud staatuse;
21) „toode”– riist- või tarkvara või riist- või tarkvara asjakohased osad, mis on ette nähtud usaldusteenuste osutamiseks;
22) „e-allkirja andmise vahend”– seadistatud tark- või riistvara, mida kasutatakse e-allkirja andmiseks;
23) „kvalifitseeritud e-allkirja andmise vahend”– e-allkirja andmise vahend, mis vastab II lisas sätestatud nõuetele;
24) „templi andja”– e-templi loonud juriidiline isik;
25) „e-tempel”– elektroonilised andmed, mis on lisatud muudele elektroonilistele andmetele või on nendega loogiliselt seotud ja mis tagavad viimatinimetatud andmete päritolu ja tervikluse;
26) „täiustatud e-tempel”– e-tempel, mis vastab artiklis 36 sätestatud nõuetele;
27) „kvalifitseeritud e-tempel”– täiustatud e-tempel, mis luuakse kvalifitseeritud e-templi loomise vahendi abil ja mis põhineb e-templi kvalifitseeritud sertifikaadil;
28) „e-templi loomiseks vajalikud andmed”– ainulaadsed andmed, mida e-templi andja kasutab e-templi loomiseks;
29) „e-templi sertifikaat”– elektrooniline dokument, mis seob e-templi valideerimise andmed juriidilise isikuga ja kinnitab selle isiku nime;
30) „e-templi kvalifitseeritud sertifikaat”– e-templi sertifikaat, mille väljastab kvalifitseeritud usaldusteenuse osutaja ja mis vastab III lisas sätestatud nõuetele;
31) „e-templi loomise vahend”– seadistatud tark- või riistvara, mida kasutatakse e-templi loomiseks;
32) „kvalifitseeritud e-templi loomise vahend”– e-templi loomise vahend, mis vastab mutatis mutandis II lisas sätestatud nõuetele;
33) „e-ajatempel”– elektroonilised andmed, mis seovad muud elektroonilised andmed kindla ajahetkega ja tõendavad, et viimatinimetatud andmed olid sel ajahetkel olemas;
34) „kvalifitseeritud e-ajatempel”– e-ajatempel, mis vastab artiklis 42 sätestatud nõuetele;
35) „e-dokument”– mis tahes sisu, mida säilitatakse elektroonilisel kujul, eelkõige teksti või heli visuaal- või audiovisuaalsalvestisena;
36) „registreeritud e-andmevahetusteenus”– teenus, mis võimaldab edastada kolmandate isikute vahel andmeid elektrooniliselt, tõendab edastatud andmete käitamist, sealhulgas andmete saatmist ja kättesaamist, ning kaitseb edastatud andmeid kadumise, varguse, kahjustamise või lubamatu muutmise eest;
37) „kvalifitseeritud registreeritud e-andmevahetusteenus”– registreeritud e-andmevahetusteenus, mis vastab artiklis 44 sätestatud nõuetele;
38) „sertifikaat veebisaidi autentimiseks”– dokument, mis võimaldab autentida veebisaiti ja seob selle füüsilise või juriidilise isikuga, kellele sertifikaat on väljastatud;
39) „kvalifitseeritud sertifikaat veebisaidi autentimiseks”– sertifikaat veebisaidi autentimiseks, mille on väljastanud kvalifitseeritud usaldusteenuse osutaja ja mis vastab IV lisas sätestatud nõuetele;
40) „valideerimisandmed”– andmed, mida kasutatakse e-allkirja või e-templi valideerimiseks;
41) „valideerimine”– protsess, mille käigus kontrollitakse ja kinnitatakse e-allkirja või e-templi kehtivust.
Artikkel 9
Teavitamine
1. Teavitav liikmesriik edastab komisjonile järgmise teabe ja põhjendamatu viivituseta selle iga hilisema muudatuse:
| a) | e-identimise süsteemi kirjeldus. kaasa arvatud selle usaldusväärsuse tase ja sellesse süsteemi kuuluvate e-identimise vahendite väljastaja(d); |
| b) | kohaldatav järelevalvekord ja järgmine vastutuskorda puudutav teave:
|
| c) | teavitatud e-identimise süsteemi eest vastutav asutus või vastutavad asutused; |
| d) | teave ainulaadsete isikutuvastusandmete registreerimist haldava üksuse või haldavate üksuste kohta; |
| e) | kirjeldus, kuidas täidetakse artikli 12 lõikes 8 osutatud rakendusaktis sätestatud nõuded; |
| f) | artikli 7 punktis f osutatud autentimise kirjeldus; |
| g) | teavitatud e-identimise süsteemi, autentimise või asjaomase ohustatud osa peatamise või tühistamise kord. |
2. Üks aasta pärast artikli 8 lõikes 3 ja artikli 12 lõikes 8 osutatud rakendusaktide kohaldamise alguskuupäeva avaldab komisjon Euroopa Liidu Teatajas nimekirja e-identimise süsteemidest, millest on teavitatud vastavalt käesoleva artikli lõikele 1, ja nendega seotud põhiteabe.
3. Kui komisjoni teavitatakse pärast lõikes 2 osutatud ajavahemiku möödumist, avaldab ta Euroopa Liidu Teatajas lõikes 2 osutatud nimekirja muudatused kahe kuu jooksul alates kõnealuse teate saamise kuupäevast.
4. Liikmesriik võib komisjonile esitada taotluse jätta selle liikmesriigi poolt teavitatud e-identimise süsteem lõikes 2 osutatud nimekirjast välja. Komisjon avaldab vastavad nimekirja muudatused Euroopa Liidu Teatajas ühe kuu jooksul pärast liikmesriigilt taotluse saamist.
5. Komisjon võib rakendusaktidega kindlaks määrata lõikes 1 osutatud teavitamise asjaolud, formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 11
Vastutus
1. Teavitav liikmesriik vastutab füüsilisele või juriidilisele isikule tahtlikult või ettevaatamatusest tekitatud kahju eest, mis tuleneb artikli 7 punktides d ja f sätestatud kohustuste täitmata jätmisest piiriüleses tehingus.
2. E-identimise vahendit väljastav osaline vastutab füüsilisele või juriidilisele isikule tahtlikult või ettevaatamatusest tekitatud kahju eest, mis tuleneb artikli 7 punktis e sätestatud kohustuste täitmata jätmisest piiriüleses tehingus.
3. Autentimismenetlust läbiviiv osaline vastutab füüsilisele või juriidilisele isikule tahtlikult või ettevaatamatusest tekitatud kahju eest, mis tuleneb artikli 7 punktis f sätestatud autentimise nõuetekohase toimimise tagamata jätmisest piiriüleses tehingus.
4. Lõikeid 1, 2 ja 3 kohaldatakse kooskõlas siseriiklike vastutust käsitlevate eeskirjadega.
5. Lõiked 1, 2 ja 3 ei piira osaliste siseriikliku õiguse kohast vastutust tehingutes, milles kasutatakse artikli 9 lõike 1 kohaselt teavitatud e-identimise süsteemi kuuluvaid e-identimise vahendeid.
Artikkel 13
Vastutus ja tõendamiskoormis
1. Ilma et see piiraks lõike 2 kohaldamist, vastutavad usaldusteenuse osutajad füüsilisele või juriidilisele isikule tahtlikult või ettevaatamatusest tekitatud kahju eest, mis tuleneb käesolevas määruses sätestatud kohustuste täitmata jätmisest.
Kvalifitseerimata usaldusteenuse osutaja tegevuse tahtlikkuse või ettevaatamatuse tõendamise kohustus lasub füüsilisel või juriidilisel isikul, kes väidab, et talle on põhjustatud esimeses lõigus osutatud kahju.
Eeldatakse, et kvalifitseeritud usaldusteenuse osutaja on tegutsenud tahtlikult või ettevaatamatusest, kui nimetatud kvalifitseeritud usaldusteenuse osutaja ei tõesta, et esimeses lõigus osutatud kahju põhjustati ilma selle kvalifitseeritud usaldusteenuse osutaja tahtliku või ettevaatamatu tegutsemiseta.
2. Kui usaldusteenuse osutajad teavitavad oma kliente eelnevalt nõuetekohaselt nende poolt osutatavate teenuste kasutamise piirangutest ja need piirangud on kolmandatele isikutele arusaadavad, siis ei vastuta usaldusteenuse osutajad kahju eest, mis tuleneb osutatud piiranguid ületavast teenuste kasutamisest.
3. Lõikeid 1 ja 2 kohaldatakse kooskõlas siseriiklike vastutust käsitlevate eeskirjadega.
Artikkel 16
Karistused
Liikmesriigid kehtestavad eeskirjad käesoleva määruse rikkumise eest kohaldatavate karistuste kohta. Kehtestatud karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad.
2. JAGU
Järelevalve
Artikkel 17
Järelevalveasutus
1. Liikmesriigid määravad järelevalveasutuse, mis asub nende territooriumil või, vastastikusel kokkuleppel teise liikmesriigiga, kõnealuses teises liikmesriigis asuva järelevalveasutuse. Nimetatud asutus vastutab määravas liikmesriigis järelevalveülesannete täitmise eest.
Järelevalveasutustele antakse nende ülesannete täitmiseks vajalikud volitused ja piisavad vahendid.
2. Liikmesriigid teatavad komisjonile enda poolt määratud järelevalveasutuste nimed ja aadressid.
3. Järelevalveasutuse ülesandeks on:
| a) | teostada eelneva ja järgneva järelevalve käigus määrava liikmesriigi territooriumil asuvate kvalifitseeritud usaldusteenuse osutajate üle järelevalvet selle tagamiseks, et kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad kvalifitseeritud usaldusteenused vastaksid käesolevas määruses sätestatud nõuetele; |
| b) | võtta järgneva järelevalve käigus vajaduse korral meetmeid määrava liikmesriigi territooriumil asuvate kvalifitseerimata usaldusteenuse osutajate suhtes, kui järelevalveasutusele teatatakse, et kvalifitseerimata usaldusteenuse osutajad või nende osutatavad usaldusteenused ei vasta väidetavalt käesolevas määruses sätestatud nõuetele. |
4. Lõike 3 kohaldamisel ja tulenevalt selles sätestatud piirangutest on järelevalveasutuse ülesanne eelkõige:
| a) | teha koostööd teiste järelevalveasutustega ja anda neile abi kooskõlas artikliga 18; |
| b) | analüüsida artikli 20 lõikes 1 ja artikli 21 lõikes 1 osutatud vastavushindamisaruandeid; |
| c) | teavitada teisi järelevalveasutusi ja üldsust turvarikkumistest ja tervikluse kaost kooskõlas artikli 19 lõikega 2; |
| d) | anda komisjonile aru oma põhitegevusest kooskõlas käesoleva artikli lõikega 6; |
| e) | korraldada auditeid või paluda vastavushindamisasutusel teostada kvalifitseeritud usaldusteenuse osutajate vastavushindamine kooskõlas artikli 20 lõikega 2; |
| f) | teha andmekaitseasutustega koostööd, eelkõige teavitades neid põhjendamatu viivituseta kvalifitseeritud usaldusteenuse osutajate auditite tulemustest, kui näib, et isikuandmete kaitse eeskirju on rikutud; |
| g) | anda usaldusteenuse osutajatele ja nende osutatavatele teenustele kvalifitseeritud staatus ning võtta see staatus ära kooskõlas artiklitega 20 ja 21; |
| h) | teavitada artikli 22 lõikes 3 osutatud riigisiseste usaldusnimekirjade eest vastutavat asutust oma otsustest anda kvalifitseeritud staatus või võtta see ära, välja arvatud juhul, kui kõnealune asutus on samuti järelevalveasutus; |
| i) | kontrollida lõpetamiskava käsitlevate sätete olemasolu ja nõuetekohast kohaldamist juhtudel, kui kvalifitseeritud usaldusteenuse osutajad lõpetavad oma tegevuse, sealhulgas seda, kuidas teave hoitakse kättesaadavana kooskõlas artikli 24 lõike 2 punktiga h; |
| j) | nõuda usaldusteenuse osutajatelt käesolevas määruses sätestatud nõuete täitmata jätmise heastamist. |
5. Liikmesriigid võivad nõuda, et järelevalveasutus looks, haldaks ja ajakohastaks usaldusteenuste infrastruktuuri kooskõlas siseriiklikus õiguses sätestatud tingimustega.
6. Iga järelevalveasutus esitab igal aastal 31. märtsiks komisjonile aruande oma eelmise kalendriaasta põhitegevuse kohta ning kokkuvõtte usaldusteenuse osutajatelt artikli 19 lõike 2 kohaselt saadud rikkumisteadetest.
7. Komisjon teeb lõikes 6 osutatud aastaaruande liikmesriikidele kättesaadavaks.
8. Komisjon võib rakendusaktidega määrata kindlaks lõikes 6 osutatud aruande formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 19
Usaldusteenuse osutajate suhtes kohaldatavad turvanõuded
1. Kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutajad võtavad asjakohased tehnilised ja korralduslikud meetmed, et ohjata nende osutatavate usaldusteenuste turvalisusega seotud riske. Tehnoloogia viimaseid arenguid arvesse võttes tagatakse nende meetmetega riski astmele vastav turvalisuse tase. Eelkõige võetakse meetmeid turvaintsidentide vältimiseks ja nende mõju minimeerimiseks ning sidusrühmade teavitamiseks intsidentide kahjulikust mõjust.
2. Kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutajad teavitavad järelevalveasutust ning vajaduse korral teisi asjakohaseid asutusi, nagu infoturbe eest vastutav pädev riiklik asutus või andmekaitseasutus, igast turvarikkumisest või tervikluse kaost, millel on märkimisväärne mõju osutatavale usaldusteenusele või selles sisalduvatele isikuandmetele, tehes seda põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast sellest teadasaamist.
Kui turvarikkumisel või tervikluse kaol on tõenäoliselt kahjulik mõju füüsilisele või juriidilisele isikule, kellele usaldusteenus on osutatud, teavitab usaldusteenuse osutaja põhjendamatu viivituseta ka füüsilist või juriidilist isikut turvarikkumisest või tervikluse kaost.
Kui see on asjakohane ja eelkõige juhul, kui turvarikkumine või tervikluse kadu hõlmab kahte või enamat liikmesriiki, teavitab teavitatud järelevalveasutus teiste asjaomaste liikmesriikide järelevalveasutusi ning ENISA-t.
Kui teavitatud järelevalveasutus leiab, et turvarikkumise või tervikluse kao avalikustamine on avalikes huvides, teavitab ta üldsust või nõuab üldsuse teavitamist asjaomaselt usaldusteenuse osutajalt.
3. Järelevalveasutus esitab ENISA-le kord aastas kokkuvõtte usaldusteenuse osutajatelt saadud turvarikkumise või tervikluse kao teadetest.
4. Komisjon võib rakendusaktidega:
| a) | täpsustada lähemalt lõikes 1 osutatud meetmeid ning |
| b) | määrata kindlaks lõike 2 kohaldamisega seotud formaadid ja menetlused, sealhulgas tähtajad. |
Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
3. JAGU
Kvalifitseeritud usaldusteenus
Artikkel 22
Usaldusnimekirjad
1. Iga liikmesriik koostab, haldab ja avaldab usaldusnimekirju, mis sisaldavad teavet tema vastutusalasse kuuluvate kvalifitseeritud usaldusteenuse osutajate ja nende osutatavate kvalifitseeritud usaldusteenuste kohta.
2. Liikmesriigid koostavad elektrooniliselt allkirjastatud või e-templiga varustatud, lõikes 1 osutatud usaldusnimekirjad, haldavad neid ja avaldavad need turvalisel viisil ja automaatseks töötlemiseks sobivas formaadis.
3. Liikmesriigid edastavad komisjonile põhjendamatu viivituseta teabe, mis hõlmab riigisiseste usaldusnimekirjade koostamise, haldamise ja avaldamise eest vastutavat asutust, kõnealuste nimekirjade avaldamise koha üksikasju, nimekirjade allkirjastamiseks või templiga varustamiseks kasutatavaid sertifikaate ning nimekirjade mis tahes muudatusi.
4. Komisjon teeb lõikes 3 osutatud teabe turvalise kanali kaudu avalikkusele kättesaadavaks automaatseks töötlemiseks sobivas, elektrooniliselt allkirjastatud või e-templiga varustatud formaadis.
5. Komisjon täpsustab hiljemalt 18. septembriks 2015 rakendusaktidega lõikes 1 osutatud teabe ning määrab kindlaks lõigete 1–4 kohaldamisega seotud usaldusnimekirjade tehnilised kirjeldused ja formaadid. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 24
Nõuded kvalifitseeritud usaldusteenuse osutajatele
1. Usaldusteenusele kvalifitseeritud sertifikaati väljastades kontrollib kvalifitseeritud usaldusteenuse osutaja asjakohaste vahenditega ja siseriikliku õiguse kohaselt selle füüsilise või juriidilise isiku identiteeti, kellele kvalifitseeritud sertifikaat väljastatakse, ja vajaduse korral tema eritunnuseid.
Kvalifitseeritud usaldusteenuse osutaja kontrollib esimeses lõigus osutatud teavet siseriikliku õiguse kohaselt kas otse või kolmandale isikule tuginedes. Kontrollimine toimub ühel järgmisel moel:
| a) | füüsilise isiku või juriidilise isiku volitatud esindaja füüsilise kohaloleku alusel või |
| b) | kaughindamise teel, kasutades e-identimise vahendeid, mille puhul enne kvalifitseeritud sertifikaadi väljastamist tagati füüsilise isiku või juriidilise isiku volitatud esindaja füüsiline kohalolek ja mis vastavad artiklis 8 kehtestatud nõuetele seoses märkimisväärse või kõrge usaldusväärsuse tasemega, või |
| c) | kooskõlas punktiga a või b väljastatud kvalifitseeritud e-allkirja või kvalifitseeritud e-templi sertifikaadi abil või |
| d) | kasutades muid riiklikul tasandil tunnustatud identimismeetodeid, mis tagavad füüsilise kohalolekuga samaväärse usaldusväärsuse. Nimetatud samaväärne usaldusväärsus peab olema vastavushindamisasutuse poolt kinnitatud. |
2. Kvalifitseeritud usaldusteenuseid osutav kvalifitseeritud usaldusteenuse osutaja:
| a) | teavitab järelevalveasutust muutusest oma kvalifitseeritud usaldusteenuste osutamises ja kavatsusest kõnealune tegevus lõpetada; |
| b) | võtab tööle personali ja vajaduse korral alltöövõtjad, kellel on vajalik pädevus, usaldusväärsus, kogemus ja kvalifikatsioon ning kes on saanud turva- ja isikuandmete kaitse eeskirjade alal asjakohase koolituse ja rakendavad Euroopa või rahvusvahelistele standarditele vastavaid haldus- ja juhtimismenetlusi; |
| c) | seoses artikli 13 kohase vastutusega võimalike kahjude eest omab piisavat hulka rahalisi vahendeid ja/või sõlmib asjakohase vastutuskindlustuse kooskõlas siseriikliku õigusega; |
| d) | teavitab enne lepingu sõlmimist kõiki kvalifitseeritud usaldusteenust kasutada soovivaid isikuid selgelt ja põhjalikult kõnealuse teenuse kasutamise täpsetest tingimustest, sealhulgas kõigist selle kasutamise piirangutest; |
| e) | kasutab usaldusväärseid süsteeme ja tooteid, mis on kaitstud muutmise eest, ja tagab nende toetatavate toimingute tehnilise turvalisuse ja usaldusväärsuse; |
| f) | kasutab usaldusväärseid süsteeme talle esitatud andmete säilitamiseks ehtsuse tõendamist võimaldavas formaadis nii, et:
|
| g) | võtab asjakohaseid meetmeid andmete võltsimise ja varguse vastu; |
| h) | salvestab ja hoiavad kättesaadavana sobiva tähtaja jooksul, sealhulgas pärast seda, kui kvalifitseeritud usaldusteenuse osutaja on tegevuse lõpetanud, kogu asjakohase teabe kvalifitseeritud usaldusteenuse osutaja väljastatud ja saadud andmete kohta, eelkõige tõendina kasutamiseks kohtumenetlustes ja selleks, et tagada teenuse järjepidevus. Sellised andmed võib salvestada elektrooniliselt; |
| i) | omab teenuse järjepidevuse tagamiseks ajakohast tegevuse lõpetamise kava, mis vastab järelevalveasutuse poolt artikli 17 lõike 4 punkti i kohaselt kontrollitud sätetele; |
| j) | tagab isikuandmete seadusliku töötlemise vastavalt direktiivile 95/46/EÜ; |
| k) | juhul kui kvalifitseeritud usaldusteenuse osutaja väljastab kvalifitseeritud sertifikaate, loob sertifikaatide andmebaasi ja ajakohastab seda. |
3. Kui kvalifitseeritud sertifikaate väljastav kvalifitseeritud usaldusteenuse osutaja otsustab sertifikaadi tühistada, registreerib ta tühistamise oma sertifikaatide andmebaasis ning avaldab sertifikaadi tühistatud staatuse aegsasti, ning igal juhul 24 tunni jooksul pärast vastava taotluse saamist. Tühistamine jõustub kohe pärast selle avaldamist.
4. Seoses lõikega 3 annavad kvalifitseeritud sertifikaate väljastavad kvalifitseeritud usaldusteenuse osutajad tuginevatele isikutele teavet nende väljastatud kvalifitseeritud sertifikaatide kehtivus- või tühistamisstaatuse kohta. Kõnealune teave tehakse igal ajal ning pärast sertifikaadi kehtivusaja lõppu vähemalt iga sertifikaadi kohta eraldi kättesaadavaks automaatsel viisil, mis on usaldusväärne, tasuta ja tõhus.
5. Komisjon võib rakendusaktidega kehtestada käesoleva artikli lõike 2 punktides e ja f esitatud nõuetele vastavate usaldusväärsete süsteemide ja toodete standardite viitenumbrid. Kui usaldusväärsed süsteemid ja tooted vastavad kõnealustele standarditele, loetakse need käesolevas artiklis sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
4. JAGU
E-allkirjad
whereas