EIDAS 2014/0910 ET

2. Käesolevat määrust ei kohaldata selliste usaldusteenuste osutamise suhtes, mida kasutatakse eranditult suletud süsteemides, mis tulenevad siseriiklikust õigusest või määratletud osalejate kogumi vahelistest kokkulepetest.

3. Käesolev määrus ei mõjuta siseriiklikku või liidu õigust, mis reguleerib lepingute sõlmimist ja kehtivust või muude juriidiliste või menetluskohustuste tekkimist ja kehtivust seoses vorminõuetega.

Artikkel 14

Rahvusvahelised aspektid

1. Kolmandas riigis asuvate usaldusteenuse osutajate pakutavad usaldusteenused tunnistatakse õiguslikult samaväärseteks liidu territooriumil asuvate kvalifitseeritud usaldusteenuse osutajate pakutavate kvalifitseeritud usaldusteenustega juhul, kui kolmandast riigist pärit usaldusteenuseid tunnustatakse liidu ja kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni vahel sõlmitud kokkuleppe alusel kooskõlas ELi toimimise lepingu artikliga 218.

2. Lõikes 1 osutatud kokkulepetega tagatakse eelkõige, et:

a)	kolmanda riigi usaldusteenuse osutajad või rahvusvahelised organisatsioonid, kellega on sõlmitud kokkulepe, ning nende osutatavad teenused vastavad liidus asuvate kvalifitseeritud usaldusteenuse osutajate ja nende osutatavate kvalifitseeritud usaldusteenuste suhtes kohaldatavatele nõuetele;

b)	liidus asuvate kvalifitseeritud usaldusteenuse osutajate poolt osutatavad kvalifitseeritud usaldusteenused tunnistatakse õiguslikult samaväärseteks usaldusteenustega, mida osutavad kolmandas riigis asuvad usaldusteenuse osutajad või rahvusvahelised organisatsioonid, kellega on sõlmitud kokkulepe.

Artikkel 17

Järelevalveasutus

1. Liikmesriigid määravad järelevalveasutuse, mis asub nende territooriumil või, vastastikusel kokkuleppel teise liikmesriigiga, kõnealuses teises liikmesriigis asuva järelevalveasutuse. Nimetatud asutus vastutab määravas liikmesriigis järelevalveülesannete täitmise eest.

Järelevalveasutustele antakse nende ülesannete täitmiseks vajalikud volitused ja piisavad vahendid.

2. Liikmesriigid teatavad komisjonile enda poolt määratud järelevalveasutuste nimed ja aadressid.

3. Järelevalveasutuse ülesandeks on:

teostada eelneva ja järgneva järelevalve käigus määrava liikmesriigi territooriumil asuvate kvalifitseeritud usaldusteenuse osutajate üle järelevalvet selle tagamiseks, et kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad kvalifitseeritud usaldusteenused vastaksid käesolevas määruses sätestatud nõuetele;

võtta järgneva järelevalve käigus vajaduse korral meetmeid määrava liikmesriigi territooriumil asuvate kvalifitseerimata usaldusteenuse osutajate suhtes, kui järelevalveasutusele teatatakse, et kvalifitseerimata usaldusteenuse osutajad või nende osutatavad usaldusteenused ei vasta väidetavalt käesolevas määruses sätestatud nõuetele.

4. Lõike 3 kohaldamisel ja tulenevalt selles sätestatud piirangutest on järelevalveasutuse ülesanne eelkõige:

a)	teha koostööd teiste järelevalveasutustega ja anda neile abi kooskõlas artikliga 18;

b)	analüüsida artikli 20 lõikes 1 ja artikli 21 lõikes 1 osutatud vastavushindamisaruandeid;

c)	teavitada teisi järelevalveasutusi ja üldsust turvarikkumistest ja tervikluse kaost kooskõlas artikli 19 lõikega 2;

d)	anda komisjonile aru oma põhitegevusest kooskõlas käesoleva artikli lõikega 6;

e)	korraldada auditeid või paluda vastavushindamisasutusel teostada kvalifitseeritud usaldusteenuse osutajate vastavushindamine kooskõlas artikli 20 lõikega 2;

f)	teha andmekaitseasutustega koostööd, eelkõige teavitades neid põhjendamatu viivituseta kvalifitseeritud usaldusteenuse osutajate auditite tulemustest, kui näib, et isikuandmete kaitse eeskirju on rikutud;

g)	anda usaldusteenuse osutajatele ja nende osutatavatele teenustele kvalifitseeritud staatus ning võtta see staatus ära kooskõlas artiklitega 20 ja 21;

h)	teavitada artikli 22 lõikes 3 osutatud riigisiseste usaldusnimekirjade eest vastutavat asutust oma otsustest anda kvalifitseeritud staatus või võtta see ära, välja arvatud juhul, kui kõnealune asutus on samuti järelevalveasutus;

i)	kontrollida lõpetamiskava käsitlevate sätete olemasolu ja nõuetekohast kohaldamist juhtudel, kui kvalifitseeritud usaldusteenuse osutajad lõpetavad oma tegevuse, sealhulgas seda, kuidas teave hoitakse kättesaadavana kooskõlas artikli 24 lõike 2 punktiga h;

j)	nõuda usaldusteenuse osutajatelt käesolevas määruses sätestatud nõuete täitmata jätmise heastamist.

5. Liikmesriigid võivad nõuda, et järelevalveasutus looks, haldaks ja ajakohastaks usaldusteenuste infrastruktuuri kooskõlas siseriiklikus õiguses sätestatud tingimustega.

6. Iga järelevalveasutus esitab igal aastal 31. märtsiks komisjonile aruande oma eelmise kalendriaasta põhitegevuse kohta ning kokkuvõtte usaldusteenuse osutajatelt artikli 19 lõike 2 kohaselt saadud rikkumisteadetest.

7. Komisjon teeb lõikes 6 osutatud aastaaruande liikmesriikidele kättesaadavaks.

8. Komisjon võib rakendusaktidega määrata kindlaks lõikes 6 osutatud aruande formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 19

Usaldusteenuse osutajate suhtes kohaldatavad turvanõuded

1. Kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutajad võtavad asjakohased tehnilised ja korralduslikud meetmed, et ohjata nende osutatavate usaldusteenuste turvalisusega seotud riske. Tehnoloogia viimaseid arenguid arvesse võttes tagatakse nende meetmetega riski astmele vastav turvalisuse tase. Eelkõige võetakse meetmeid turvaintsidentide vältimiseks ja nende mõju minimeerimiseks ning sidusrühmade teavitamiseks intsidentide kahjulikust mõjust.

2. Kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutajad teavitavad järelevalveasutust ning vajaduse korral teisi asjakohaseid asutusi, nagu infoturbe eest vastutav pädev riiklik asutus või andmekaitseasutus, igast turvarikkumisest või tervikluse kaost, millel on märkimisväärne mõju osutatavale usaldusteenusele või selles sisalduvatele isikuandmetele, tehes seda põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast sellest teadasaamist.

Kui turvarikkumisel või tervikluse kaol on tõenäoliselt kahjulik mõju füüsilisele või juriidilisele isikule, kellele usaldusteenus on osutatud, teavitab usaldusteenuse osutaja põhjendamatu viivituseta ka füüsilist või juriidilist isikut turvarikkumisest või tervikluse kaost.

Kui see on asjakohane ja eelkõige juhul, kui turvarikkumine või tervikluse kadu hõlmab kahte või enamat liikmesriiki, teavitab teavitatud järelevalveasutus teiste asjaomaste liikmesriikide järelevalveasutusi ning ENISA-t.

Kui teavitatud järelevalveasutus leiab, et turvarikkumise või tervikluse kao avalikustamine on avalikes huvides, teavitab ta üldsust või nõuab üldsuse teavitamist asjaomaselt usaldusteenuse osutajalt.

3. Järelevalveasutus esitab ENISA-le kord aastas kokkuvõtte usaldusteenuse osutajatelt saadud turvarikkumise või tervikluse kao teadetest.

4. Komisjon võib rakendusaktidega:

a)	täpsustada lähemalt lõikes 1 osutatud meetmeid ning

b)	määrata kindlaks lõike 2 kohaldamisega seotud formaadid ja menetlused, sealhulgas tähtajad.

Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

3. JAGU

Kvalifitseeritud usaldusteenus

Artikkel 20

Kvalifitseeritud usaldusteenuse osutajate järelevalve

1. Vastavushindamisasutus auditeerib kvalifitseeritud usaldusteenuse osutajaid nende oma kulul vähemalt iga 24 kuu järel. Auditi eesmärk on saada kinnitust, et kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad kvalifitseeritud usaldusteenused vastavad käesolevas määruses sätestatud nõuetele. Kvalifitseeritud usaldusteenuse osutaja esitavad vastavushindamisaruande järelevalveasutusele kolme tööpäeva pikkuse jooksul alates selle saamisest.

2. Ilma et see piiraks lõike 1 kohaldamist, võib järelevalveasutus kvalifitseeritud usaldusteenuse osutajaid igal ajal auditeerida või nõuda, et vastavushindamisasutus teostaks kvalifitseeritud usaldusteenuse osutajate vastavushindamise nende kvalifitseeritud usaldusteenuse osutajate kulul kinnituse saamiseks, et kõnealused kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad kvalifitseeritud usaldusteenused vastavad käesolevas määruses sätestatud nõuetele. Kui isikuandmete kaitse eeskirju on ilmselt rikutud, teavitab järelevalveasutus auditite tulemustest andmekaitseasutusi.

3. Kui järelevalveasutus nõuab, et kvalifitseeritud usaldusteenuse osutaja heastaks käesolevas määruses sätestatud nõuete täitmata jätmise, kuid asjaomane teenuseosutaja ei tee seda, ning järelevalveasutuse seatud ajavahemiku jooksul (kui see on kohaldatav), võib järelevalveasutus eelkõige asjaomase rikkumise ulatust, kestust ja tagajärgi arvestades võtta sellelt teenuseosutajalt või tema osutatavalt asjaomaselt teenuselt kvalifitseeritud staatuse ning teavitada artikli 22 lõikes 3 osutatud asutust artikli 22 lõikes 1 osutatud usaldusnimekirjade ajakohastamise eesmärgil. Järelevalveasutus teavitab kvalifitseeritud usaldusteenuse osutajat temalt kvalifitseeritud staatuse või asjaomaselt teenuselt kvalifitseeritud staatuse äravõtmisest.

4. Komisjon võib rakendusaktidega kehtestada järgmiste standardite viitenumbri:

a)	standardid vastavushindamisasutuste akrediteerimise ja lõikes 1 osutatud vastavushindamisaruande jaoks;

b)	standardid auditeerimiseeskirjade kohta, mille alusel vastavushindamisasutused hindavad kvalifitseeritud usaldusteenuse osutajate nõuetele vastavust, nagu on osutatud lõikes 1.

Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 21

Kvalifitseeritud usaldusteenuse osutamise alustamine

1. Kui usaldusteenuse osutajad, kellel ei ole kvalifitseeritud staatust, kavatsevad alustada kvalifitseeritud usaldusteenuse osutamist, esitavad nad järelevalveasutusele teate oma kavatsusest ja vastavushindamisasutuse koostatud vastavushindamisaruande.

2. Järelevalveasutus kontrollib usaldusteenuse osutaja ja tema osutatavate usaldusteenuste vastavust käesolevas määruses sätestatud nõuetele ning eelkõige kvalifitseeritud usaldusteenuse osutajatele ja nende osutatavatele kvalifitseeritud usaldusteenustele ette nähtud nõuetele.

Kui järelevalveasutus leiab, et usaldusteenuse osutaja ja tema osutatavad teenused vastavad esimeses lõigus osutatud nõuetele, annab järelevalveasutus usaldusteenuse osutajale ja tema osutatavatele usaldusteenustele kvalifitseeritud staatuse ning teavitab artikli 22 lõikes 3 osutatud asutust artikli 22 lõikes 1 osutatud usaldusnimekirjade ajakohastamise eesmärgil hiljemalt kolm kuud pärast käesoleva artikli lõike 1 kohast teavitamist.

Kui kontrolli ei ole kolme kuu jooksul alates teavitamisest lõpule viidud, teavitab järelevalveasutus usaldusteenuse osutajat viivituse põhjustest ja ajavahemikust, mille jooksul kontroll lõpule viiakse.

3. Kvalifitseeritud usaldusteenuse osutaja võib alustada kvalifitseeritud usaldusteenuse osutamist, kui kvalifitseeritud staatus on kantud artikli 22 lõikes 1 osutatud usaldusnimekirjadesse.

4. Komisjon võib rakendusaktidega kindlaks määrata lõigete 1 ja 2 kohaldamisega seotud formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 22

Usaldusnimekirjad

1. Iga liikmesriik koostab, haldab ja avaldab usaldusnimekirju, mis sisaldavad teavet tema vastutusalasse kuuluvate kvalifitseeritud usaldusteenuse osutajate ja nende osutatavate kvalifitseeritud usaldusteenuste kohta.

2. Liikmesriigid koostavad elektrooniliselt allkirjastatud või e-templiga varustatud, lõikes 1 osutatud usaldusnimekirjad, haldavad neid ja avaldavad need turvalisel viisil ja automaatseks töötlemiseks sobivas formaadis.

3. Liikmesriigid edastavad komisjonile põhjendamatu viivituseta teabe, mis hõlmab riigisiseste usaldusnimekirjade koostamise, haldamise ja avaldamise eest vastutavat asutust, kõnealuste nimekirjade avaldamise koha üksikasju, nimekirjade allkirjastamiseks või templiga varustamiseks kasutatavaid sertifikaate ning nimekirjade mis tahes muudatusi.

4. Komisjon teeb lõikes 3 osutatud teabe turvalise kanali kaudu avalikkusele kättesaadavaks automaatseks töötlemiseks sobivas, elektrooniliselt allkirjastatud või e-templiga varustatud formaadis.

5. Komisjon täpsustab hiljemalt 18. septembriks 2015 rakendusaktidega lõikes 1 osutatud teabe ning määrab kindlaks lõigete 1–4 kohaldamisega seotud usaldusnimekirjade tehnilised kirjeldused ja formaadid. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 24

Nõuded kvalifitseeritud usaldusteenuse osutajatele

1. Usaldusteenusele kvalifitseeritud sertifikaati väljastades kontrollib kvalifitseeritud usaldusteenuse osutaja asjakohaste vahenditega ja siseriikliku õiguse kohaselt selle füüsilise või juriidilise isiku identiteeti, kellele kvalifitseeritud sertifikaat väljastatakse, ja vajaduse korral tema eritunnuseid.

Kvalifitseeritud usaldusteenuse osutaja kontrollib esimeses lõigus osutatud teavet siseriikliku õiguse kohaselt kas otse või kolmandale isikule tuginedes. Kontrollimine toimub ühel järgmisel moel:

a)	füüsilise isiku või juriidilise isiku volitatud esindaja füüsilise kohaloleku alusel või

kaughindamise teel, kasutades e-identimise vahendeid, mille puhul enne kvalifitseeritud sertifikaadi väljastamist tagati füüsilise isiku või juriidilise isiku volitatud esindaja füüsiline kohalolek ja mis vastavad artiklis 8 kehtestatud nõuetele seoses märkimisväärse või kõrge usaldusväärsuse tasemega, või

c)	kooskõlas punktiga a või b väljastatud kvalifitseeritud e-allkirja või kvalifitseeritud e-templi sertifikaadi abil või

d)	kasutades muid riiklikul tasandil tunnustatud identimismeetodeid, mis tagavad füüsilise kohalolekuga samaväärse usaldusväärsuse. Nimetatud samaväärne usaldusväärsus peab olema vastavushindamisasutuse poolt kinnitatud.

2. Kvalifitseeritud usaldusteenuseid osutav kvalifitseeritud usaldusteenuse osutaja:

a)	teavitab järelevalveasutust muutusest oma kvalifitseeritud usaldusteenuste osutamises ja kavatsusest kõnealune tegevus lõpetada;

võtab tööle personali ja vajaduse korral alltöövõtjad, kellel on vajalik pädevus, usaldusväärsus, kogemus ja kvalifikatsioon ning kes on saanud turva- ja isikuandmete kaitse eeskirjade alal asjakohase koolituse ja rakendavad Euroopa või rahvusvahelistele standarditele vastavaid haldus- ja juhtimismenetlusi;

c)	seoses artikli 13 kohase vastutusega võimalike kahjude eest omab piisavat hulka rahalisi vahendeid ja/või sõlmib asjakohase vastutuskindlustuse kooskõlas siseriikliku õigusega;

d)	teavitab enne lepingu sõlmimist kõiki kvalifitseeritud usaldusteenust kasutada soovivaid isikuid selgelt ja põhjalikult kõnealuse teenuse kasutamise täpsetest tingimustest, sealhulgas kõigist selle kasutamise piirangutest;

e)	kasutab usaldusväärseid süsteeme ja tooteid, mis on kaitstud muutmise eest, ja tagab nende toetatavate toimingute tehnilise turvalisuse ja usaldusväärsuse;

kasutab usaldusväärseid süsteeme talle esitatud andmete säilitamiseks ehtsuse tõendamist võimaldavas formaadis nii, et:

i)	need on otsingutes avalikult kättesaadavad üksnes siis, kui isik, kellega andmed on seotud, on andnud selleks nõusoleku,

ii)	säilitatud andmeid saavad sisestada ja muuta üksnes selleks volitatud isikud,

iii)	on võimalik kindlaks teha, kas andmed on ehtsad;

g)	võtab asjakohaseid meetmeid andmete võltsimise ja varguse vastu;

salvestab ja hoiavad kättesaadavana sobiva tähtaja jooksul, sealhulgas pärast seda, kui kvalifitseeritud usaldusteenuse osutaja on tegevuse lõpetanud, kogu asjakohase teabe kvalifitseeritud usaldusteenuse osutaja väljastatud ja saadud andmete kohta, eelkõige tõendina kasutamiseks kohtumenetlustes ja selleks, et tagada teenuse järjepidevus. Sellised andmed võib salvestada elektrooniliselt;

i)	omab teenuse järjepidevuse tagamiseks ajakohast tegevuse lõpetamise kava, mis vastab järelevalveasutuse poolt artikli 17 lõike 4 punkti i kohaselt kontrollitud sätetele;

j)	tagab isikuandmete seadusliku töötlemise vastavalt direktiivile 95/46/EÜ;

k)	juhul kui kvalifitseeritud usaldusteenuse osutaja väljastab kvalifitseeritud sertifikaate, loob sertifikaatide andmebaasi ja ajakohastab seda.

3. Kui kvalifitseeritud sertifikaate väljastav kvalifitseeritud usaldusteenuse osutaja otsustab sertifikaadi tühistada, registreerib ta tühistamise oma sertifikaatide andmebaasis ning avaldab sertifikaadi tühistatud staatuse aegsasti, ning igal juhul 24 tunni jooksul pärast vastava taotluse saamist. Tühistamine jõustub kohe pärast selle avaldamist.

4. Seoses lõikega 3 annavad kvalifitseeritud sertifikaate väljastavad kvalifitseeritud usaldusteenuse osutajad tuginevatele isikutele teavet nende väljastatud kvalifitseeritud sertifikaatide kehtivus- või tühistamisstaatuse kohta. Kõnealune teave tehakse igal ajal ning pärast sertifikaadi kehtivusaja lõppu vähemalt iga sertifikaadi kohta eraldi kättesaadavaks automaatsel viisil, mis on usaldusväärne, tasuta ja tõhus.

5. Komisjon võib rakendusaktidega kehtestada käesoleva artikli lõike 2 punktides e ja f esitatud nõuetele vastavate usaldusväärsete süsteemide ja toodete standardite viitenumbrid. Kui usaldusväärsed süsteemid ja tooted vastavad kõnealustele standarditele, loetakse need käesolevas artiklis sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

4. JAGU

E-allkirjad

Artikkel 44

Nõuded kvalifitseeritud registreeritud e-andmevahetusteenustele

1. Kvalifitseeritud registreeritud e-andmevahetusteenused peavad vastama järgmistele nõuetele:

a)	neid pakub üks või mitu kvalifitseeritud usaldusteenuse osutajat;

b)	need tagavad saatja väga usaldusväärse identimise;

c)	need tagavad adressaadi identimise enne andmete kättetoimetamist;

d)	andmete saatmine ja kättesaamine on kaitstud kvalifitseeritud usaldusteenuse osutaja pakutava täiustatud e-allkirja või täiustatud e-templiga viisil, mis välistab andmete tuvastamatu muutmise võimaluse;

e)	mis tahes muudatusi andmete saatmiseks või kättesaamiseks vajalikes andmetes näidatakse andmete saatjale ja adressaadile selgesti;

f)	andmete saatmise, kättesaamise ja mis tahes muudatuste tegemise kuupäev ja ajahetk näidatakse kvalifitseeritud e-ajatempliga.

Kui andmeid saadetakse kahe või enama kvalifitseeritud usaldusteenuse osutaja vahel, kohaldatakse punktides a–f osutatud nõudeid kõikide kvalifitseeritud usaldusteenuse osutajate suhtes.

2. Komisjon võib rakendusaktidega kehtestada andmete saatmise ja kättesaamise protsesse käsitlevate standardite viitenumbrid. Kui andmete saatmise ja kättesaamise protsess vastab kõnealustele standarditele, loetakse see lõikes 1 sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

8. JAGU

Veebisaidi autentimine

whereas

(9) Enamasti ei saa kodanikud kasutada e-identimist enda autentimiseks teises liikmesriigis, sest nende koduriigi riiklikke e-identimise süsteeme teistes liikmesriikides ei tunnustata.
Selline elektrooniline takistus ei lase teenuseosutajatel siseturust täit kasu saada.
Vastastikku tunnustatavad e-identimise vahendid lihtsustavad paljude teenuste piiriülest osutamist siseturul ja võimaldavad ettevõtjatel piiriüleselt tegutseda, ilma et neil oleks palju takistusi avaliku sektori asutustega suhtlemisel.

- = -

(31) Järelevalveasutused peaksid tegema andmekaitseasutustega koostööd, näiteks teavitades neid kvalifitseeritud usaldusteenuse osutajate auditite tulemustest, kui ilmneb, et isikuandmete kaitse eeskirju on rikutud.
Teavitamine peaks hõlmama eelkõige turvaintsidente ja isikuandmetega seotud rikkumisi.

- = -

(35) Käesoleva määruse nõudeid, eelkõige turvalisust ja vastutust käsitlevaid sätteid, tuleks kohaldada kõigi usaldusteenuse osutajate suhtes, et tagada nende tegevuse ja teenustega seotud hoolsuskohustuse täitmine, läbipaistvus ja vastutus.
Võttes arvesse usaldusteenuse osutajate poolt osutatavate teenuste liiki, on selliste nõuete puhul siiski kohane teha vahet kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutajatel.

- = -

(36) Kõiki usaldusteenuse osutajaid hõlmava järelevalvekorra kehtestamine peaks tagama nende tegevuse ja teenuste turvalisusele ja nendega seotud vastutusele võrdsed tingimused, mis parandab kasutajate kaitset ja siseturu toimimist.
Kvalifitseerimata usaldusteenuse osutajate suhtes tuleks kohaldada paindlikku ja reageerivat järgnevat järelevalvet, mis on nende teenuste ja tegevuse laadist tulenevalt põhjendatud.
Seega ei peaks järelevalveasutusel olema üldist kohustust teostada järelevalvet kvalifitseerimata usaldusteenuse osutajate üle.
Järelevalveasutus peaks võtma meetmeid vaid juhul, kui talle saab teatavaks (näiteks ta saab asjakohase teate kvalifitseerimata usaldusteenuse osutajalt endalt, teiselt järelevalveasutuselt, tema kasutajalt või äripartnerilt või see selgub järelevalveasutuse enda läbiviidud uurimise põhjal), et kvalifitseerimata usaldusteenuse osutaja ei vasta käesoleva määruse nõuetele.

- = -

(37) Käesolevas määruses tuleks sätestada kõigi usaldusteenuse osutajate vastutus.
Eelkõige kehtestatakse määrusega vastutuskord, mille kohaselt kõik usaldusteenuse osutajad peaksid vastutama füüsilisele või juriidilisele isikule põhjustatud kahju eest, mis tuleneb käesolevas määruses sätestatud kohustuste täitmata jätmisest.
Selleks et hõlbustada sellise finantsriski hindamist, mida usaldusteenuse osutajatel tuleb võib-olla kanda või mille nad peaksid katma kindlustuspoliisidega, võivad usaldusteenuse osutajad käesoleva määruse kohaselt teatud tingimustel kehtestada nende osutatavate teenuste kasutamisele piirangud ja mitte vastutada kahju eest, mis tuleneb selliseid piiranguid ületavast teenuste kasutamisest.
Kliente tuleks piirangutest eelnevalt nõuetekohaselt teavitada.
Sellised piirangud peaksid olema kolmandale isikule arusaadavad, näiteks võib sellekohase piiranguid käsitleva teabe lisada osutatavate teenuste kasutamistingimustesse või kasutada muid arusaadavaid vahendeid.
Nende põhimõtete jõustamisel tuleks käesolevat määrust kohaldada kooskõlas siseriiklike vastutust käsitlevate eeskirjadega.
Seega ei mõjuta käesolev määrus näiteks siseriiklikke eeskirju, mis puudutavad kahjude määratlust, tahtlikkust, ettevaatamatust või asjakohaseid kohaldatavaid menetluseeskirju.

- = -

(42) Kvalifitseeritud usaldusteenuse osutajate üle järelevalve teostamise lihtsustamiseks näiteks juhul, kui teenuseosutaja pakub oma teenuseid teise liikmesriigi territooriumil ega ole seal järelevalve all, või juhul, kui teenuseosutaja arvutid asuvad mõne muu liikmesriigi territooriumil kui teenuseosutaja asukohaliikmesriik, tuleks luua liikmesriikide järelevalveasutuste vahelise vastastikuse abistamise süsteem.

- = -

(43) Selleks et tagada kvalifitseeritud usaldusteenuse osutajate ja nende osutatavate teenuste vastavus käesoleva määruse nõuetele, peaks vastavushindamisasutus teostama nende vastavushindamise ja kvalifitseeritud usaldusteenuse osutajad peaksid hindamise tulemusel valminud vastavushindamisaruande esitama järelevalveasutusele.
Kui järelevalveasutus nõuab kvalifitseeritud usaldusteenuse osutajalt ad hoc-vastavushindamisaruande esitamist, peaks järelevalveasutus kinni pidama eelkõige hea valitsemistava põhimõttest, sealhulgas kohustusest oma otsuseid põhjendada, ning proportsionaalsuse põhimõttest.
Seetõttu peaks järelevalveasutus nõuetekohaselt põhjendama oma otsust, millega nõutakse ad hoc-vastavushindamisaruande esitamist.

- = -

(45) Selleks et võimaldada tõhusat algatusprotsessi, mis viiks kvalifitseeritud usaldusteenuse osutajate ja nende pakutavate kvalifitseeritud usaldusteenuste usaldusnimekirja kandmiseni, tuleks ergutada eelsuhtlust tulevaste kvalifitseeritud usaldusteenuse osutajate ja pädevate järelevalveasutuste vahel, et lihtsustada hoolsuskohustuse täitmist, mis viib kvalifitseeritud usaldusteenuste osutamiseni.

- = -

(47) Usaldus internetipõhiste teenuste vastu ja nende kasutamise mugavus on üliolulised selleks, et kasutajad saaksid e-teenustest täielikku kasu ja neid teadlikult kasutada.
Selleks tuleks luua ELi usaldusmärk, mis tähistaks kvalifitseeritud usaldusteenuse osutajate poolt osutatavaid kvalifitseeritud usaldusteenuseid.
Selline kvalifitseeritud usaldusteenuse osutajate ELi usaldusmärk eristaks kvalifitseeritud usaldusteenuseid selgelt teistest usaldusteenustest, aidates seega kaasa turu läbipaistvusele.
ELi usaldusmärgi kasutamine kvalifitseeritud usaldusteenuse osutajate poolt peaks olema vabatahtlik ja sellest ei peaks tulenema muid nõudeid peale käesolevas määruses sätestatud nõuete.

- = -

(52) E-allkirjade andmine vahemaa tagant, mille puhul e-allkirja andmise keskkonda haldab allkirja andja nimel usaldusteenuse osutaja, tõenäoliselt suureneb e-allkirja paljude majanduslike eeliste tõttu.
Tagamaks, et sellised e-allkirjad tunnistatakse õiguslikult samaväärseks täielikult kasutaja hallatavas keskkonnas antud e-allkirjadega, peaksid vahemaa tagant e-allkirja andmise teenuse osutajad kohaldama konkreetseid turvalisi juhtimis- ja haldusmenetlusi ning kasutama usaldusväärseid süsteeme ja tooteid, sealhulgas turvalisi elektroonilise side kanaleid, et tagada e-allkirja andmise keskkonna usaldusväärsus ja sellise keskkonna kasutamine üksnes allkirja andja järelevalve all.
Juhul kui kvalifitseeritud e-allkiri on antud vahemaa tagant e-allkirja andmise vahendiga, tuleks kohaldada käesoleva määrusega sätestatud kvalifitseeritud usaldusteenuse osutajate suhtes kohaldatavaid nõudeid.

- = -

(53) Kvalifitseeritud sertifikaatide peatamine on mitme liikmesriigi puhul usaldusteenuse osutajate seas kindlalt väljakujunenud tegevuspraktika, mis erineb tühistamisest ja mis toob kaasa sertifikaadi ajutise kehtetuse. Õiguskindluse huvides on vaja, et sertifikaadi peatatud staatus oleks alati selgesti märgitud.
Seetõttu peaks usaldusteenuse osutajad olema kohustatud selgelt märkima sertifikaadi staatuse ja selle peatamise korral täpse ajavahemiku, mille jooksul sertifikaat on peatatud.
Käesoleva määrusega ei tohiks usaldusteenuse osutajaid või liikmesriike kohustada sertifikaadi peatamist kasutama, vaid tuleks ette näha läbipaistvuseeskirjad juhtudeks, kui selline võimalus on olemas.

- = -

(57) Allkirja kehtivusega seotud õiguskindluse tagamiseks on väga oluline täpsustada, milliseid kvalifitseeritud e-allkirja osi peaks valideeriv tuginev isik hindama.
Lisaks peaks selliste nõuete määratlemine, mida esitatakse kvalifitseeritud usaldusteenuse osutajatele, kes võivad osutada kvalifitseeritud valideerimisteenust tuginevatele isikutele, kes ei soovi või ei saa ise kvalifitseeritud e-allkirju valideerida, innustama era- ja avalikku sektorit sellistesse teenustesse investeerima.
Need mõlemad asjaolud peaksid muutma kvalifitseeritud e-allkirjade valideerimise liidu tasandil lihtsaks ja mugavaks kõigile osalistele.

- = -

(66) Oluline on luua õigusraamistik registreeritud e-andmevahetusteenusega seotud olemasolevate riiklike õigussüsteemide piiriülese tunnustamise hõlbustamiseks.
Selline raamistik võiks avada liidu usaldusteenuste osutajatele uued turuvõimalused ka uute üleeuroopaliste registreeritud e-andmevahetusteenuste pakkumisel.

- = -

(67) Veebisaidi autentimisteenused pakuvad veebisaidi külastajale vahendi, mille abil teha kindlaks, et veebisait on ehtne ja seaduslik.
Sellised teenused aitavad luua usaldust ja kindlustunnet internetipõhise äritegevuse suhtes, kuna autenditud veebisait on kasutajate jaoks usaldusväärne.
Veebisaidi autentimisteenuste osutamine ja kasutamine on täiesti vabatahtlik.
Selleks aga, et veebisaidi autentimisteenusest saaks usalduse suurendamise, kasutajakogemuse parandamise ja siseturu kasvu edendamise vahend, tuleks käesolevas määruses kehtestada teenuseosutajatele ja nende teenustele minimaalsed turvalisuse ja vastutusega seotud kohustused.
Seetõttu on arvesse võetud olemasolevate tööstusharupoolsete algatuste, näiteks sertifitseerimisasutuste ja brauserite foorumi tulemusi.
Lisaks ei tohiks käesolev määrus takistada teiste, käesoleva määruse kohaldamisalasse mittekuuluvate veebisaidi autentimisvahendite või meetodite kasutamist ega takistada kolmandate riikide veebisaidi autentimisteenuste pakkujaid liidus oma teenuseid pakkumast.
Käesoleva määruse kohaselt tuleks kolmanda riigi teenuseosutaja veebisaidil pakutavaid autentimisteenuseid tunnustada kvalifitseeritud teenustena vaid juhul, kui liidu ja kolmanda riigi vahel, kus teenuseosutaja on asutatud, on sõlmitud rahvusvaheline kokkulepe.

- = -

(74) Selleks et tagada õiguskindlus turul osalejatele, kes juba kasutavad vastavalt direktiivile 1999/93/EÜ väljastatud kvalifitseeritud sertifikaate, on vaja ette näha piisav üleminekuaeg.
Samuti tuleks ette näha üleminekumeetmed turvalise allkirja andmise vahendite jaoks, mille vastavus on kindlaks määratud direktiiviga 1999/93/EÜ, ning sertifitseerimisteenuste osutajate jaoks, kes väljastavad kvalifitseeritud sertifikaate enne 1.
juulit 2016.
Lisaks tuleb anda komisjoni käsutusse vahendid rakendusaktide ja delegeeritud õigusaktide vastuvõtmiseks enne nimetatud tähtaega.

- = -

keyboard_tab EIDAS 2014/0910 ET

EIDAS 2014/0910 ET