keyboard_tab EIDAS 2014/0910 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
-
ÜLDSÄTTED
- 1 Artikkel 2 Kohaldamisala E-IDENTIMINE
- 1 Artikkel 5 Andmetöötlus ja -kaitse
- 1 Artikkel 6 Vastastikune tunnustamine
- 1 Artikkel 11 Vastutus USALDUSTEENUSED
- 1 Artikkel 17 Järelevalveasutus Kvalifitseeritud usaldusteenus
- 3 Artikkel 24 Nõuded kvalifitseeritud usaldusteenuse osutajatele
- 1 Artikkel 28 E-allkirjade kvalifitseeritud sertifikaadid E-tempel
- 1 Artikkel 38 E-templi kvalifitseeritud sertifikaadid E-ajatemplid
Üldsätted
Järelevalve
E-allkirjad
Registreeritud e-andmevahetusteenused
Veebisaidi autentimine
E-DOKUMENDID
DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID
LÕPPSÄTTED
- kvalifitseeritud 48
- või 30
- usaldusteenuse 20
- artikli 19
- sätestatud 15
- kooskõlas 15
- sertifikaatide 14
- e-identimise 10
- osutatud 10
- lõikes 9
- usaldusväärsuse 9
- nõuetele 9
- sertifikaat 9
- kohta 8
- nende 8
- artikkel 8
- eest 7
- pärast 7
- e-templi 7
- ning 7
- kohaselt 7
- nimetatud 7
- liikmesriigis 6
- lisas 6
- osutaja 6
- sertifikaadid 6
- väljastatud 6
- teenuse 6
- võivad 6
- peatamise 6
- poolt 6
- sertifikaadi 6
- teavet 6
- siseriikliku 5
- lõike 5
- juhul 5
- kehtestada 5
- isiku 5
- liikmesriigid 5
- vastu 5
- selle 5
- kõnealune 5
- füüsilise 5
- komisjon 5
- võib 5
- suhtes 5
- e-allkirja 5
- osutajate 5
- kui 4
- osutajad 4
Artikkel 2
Kohaldamisala
1. Käesolevat määrust kohaldatakse liikmesriikide poolt teavitatud e-identimise süsteemide ja liidus asuvate usaldusteenuse osutajate suhtes.
2. Käesolevat määrust ei kohaldata selliste usaldusteenuste osutamise suhtes, mida kasutatakse eranditult suletud süsteemides, mis tulenevad siseriiklikust õigusest või määratletud osalejate kogumi vahelistest kokkulepetest.
3. Käesolev määrus ei mõjuta siseriiklikku või liidu õigust, mis reguleerib lepingute sõlmimist ja kehtivust või muude juriidiliste või menetluskohustuste tekkimist ja kehtivust seoses vorminõuetega.
Artikkel 5
Andmetöötlus ja -kaitse
1. Isikuandmete töödeldakse kooskõlas direktiiviga 95/46/EÜ.
2. Ilma et see piiraks siseriikliku õiguse kohast varjunimede õiguslikku toimet, ei keelata e-tehingute tegemisel varjunimede kasutamist.
II PEATÜKK
E-IDENTIMINE
Artikkel 6
Vastastikune tunnustamine
1. Kui ühes liikmesriigis nõutakse vastavalt siseriiklikule õigusele või haldustavale avaliku sektori asutuse osutatavale internetipõhisele teenusele juurdepääsuks e-identimist e-identimise vahendi abil ja e-autentimist, tunnustatakse selles liikmesriigis teises liikmesriigis väljastatud e-identimise vahendit kõnealuse internetipõhise teenuse piiriüleseks autentimiseks, kui täidetud on järgmised tingimused:
| a) | e-identimise vahend on väljastatud e-identimise süsteemi kohaselt, mis on kantud komisjoni poolt vastavalt artiklile 9 avaldatud nimekirja; |
| b) | e-identimise vahendi usaldusväärsuse tase vastab usaldusväärsuse tasemele, mida avaliku sektori asutus nõuab kõnealusele internetipõhisele teenusele juurdepääsuks esimesena nimetatud liikmesriigis, või on sellest usaldusväärsuse tasemest kõrgem, eeldusel et selle e-identimise vahendi usaldusväärsuse tase on märkimisväärne või kõrge; |
| c) | asjaomane avaliku sektori asutus kasutab kõnealusele internetipõhisele teenusele juurdepääsuks usaldusväärsuse taset, mille tase on märkimisväärne või kõrge. |
Tunnustamine toimub hiljemalt 12 kuud pärast seda, kui komisjon avaldab esimese lõigu punktis a osutatud nimekirja.
2. E-identimise vahendit, mis on väljastatud komisjoni poolt vastavalt artiklile 9 avaldatud nimekirjas oleva süsteemi kohaselt ning mille usaldusväärsuse tase on madal, võivad avaliku sektori asutused tunnustada nende asutuste osutatavate internetipõhiste teenuste piiriülese autentimise eesmärgil.
Artikkel 11
Vastutus
1. Teavitav liikmesriik vastutab füüsilisele või juriidilisele isikule tahtlikult või ettevaatamatusest tekitatud kahju eest, mis tuleneb artikli 7 punktides d ja f sätestatud kohustuste täitmata jätmisest piiriüleses tehingus.
2. E-identimise vahendit väljastav osaline vastutab füüsilisele või juriidilisele isikule tahtlikult või ettevaatamatusest tekitatud kahju eest, mis tuleneb artikli 7 punktis e sätestatud kohustuste täitmata jätmisest piiriüleses tehingus.
3. Autentimismenetlust läbiviiv osaline vastutab füüsilisele või juriidilisele isikule tahtlikult või ettevaatamatusest tekitatud kahju eest, mis tuleneb artikli 7 punktis f sätestatud autentimise nõuetekohase toimimise tagamata jätmisest piiriüleses tehingus.
4. Lõikeid 1, 2 ja 3 kohaldatakse kooskõlas siseriiklike vastutust käsitlevate eeskirjadega.
5. Lõiked 1, 2 ja 3 ei piira osaliste siseriikliku õiguse kohast vastutust tehingutes, milles kasutatakse artikli 9 lõike 1 kohaselt teavitatud e-identimise süsteemi kuuluvaid e-identimise vahendeid.
Artikkel 17
Järelevalveasutus
1. Liikmesriigid määravad järelevalveasutuse, mis asub nende territooriumil või, vastastikusel kokkuleppel teise liikmesriigiga, kõnealuses teises liikmesriigis asuva järelevalveasutuse. Nimetatud asutus vastutab määravas liikmesriigis järelevalveülesannete täitmise eest.
Järelevalveasutustele antakse nende ülesannete täitmiseks vajalikud volitused ja piisavad vahendid.
2. Liikmesriigid teatavad komisjonile enda poolt määratud järelevalveasutuste nimed ja aadressid.
3. Järelevalveasutuse ülesandeks on:
| a) | teostada eelneva ja järgneva järelevalve käigus määrava liikmesriigi territooriumil asuvate kvalifitseeritud usaldusteenuse osutajate üle järelevalvet selle tagamiseks, et kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad kvalifitseeritud usaldusteenused vastaksid käesolevas määruses sätestatud nõuetele; |
| b) | võtta järgneva järelevalve käigus vajaduse korral meetmeid määrava liikmesriigi territooriumil asuvate kvalifitseerimata usaldusteenuse osutajate suhtes, kui järelevalveasutusele teatatakse, et kvalifitseerimata usaldusteenuse osutajad või nende osutatavad usaldusteenused ei vasta väidetavalt käesolevas määruses sätestatud nõuetele. |
4. Lõike 3 kohaldamisel ja tulenevalt selles sätestatud piirangutest on järelevalveasutuse ülesanne eelkõige:
| a) | teha koostööd teiste järelevalveasutustega ja anda neile abi kooskõlas artikliga 18; |
| b) | analüüsida artikli 20 lõikes 1 ja artikli 21 lõikes 1 osutatud vastavushindamisaruandeid; |
| c) | teavitada teisi järelevalveasutusi ja üldsust turvarikkumistest ja tervikluse kaost kooskõlas artikli 19 lõikega 2; |
| d) | anda komisjonile aru oma põhitegevusest kooskõlas käesoleva artikli lõikega 6; |
| e) | korraldada auditeid või paluda vastavushindamisasutusel teostada kvalifitseeritud usaldusteenuse osutajate vastavushindamine kooskõlas artikli 20 lõikega 2; |
| f) | teha andmekaitseasutustega koostööd, eelkõige teavitades neid põhjendamatu viivituseta kvalifitseeritud usaldusteenuse osutajate auditite tulemustest, kui näib, et isikuandmete kaitse eeskirju on rikutud; |
| g) | anda usaldusteenuse osutajatele ja nende osutatavatele teenustele kvalifitseeritud staatus ning võtta see staatus ära kooskõlas artiklitega 20 ja 21; |
| h) | teavitada artikli 22 lõikes 3 osutatud riigisiseste usaldusnimekirjade eest vastutavat asutust oma otsustest anda kvalifitseeritud staatus või võtta see ära, välja arvatud juhul, kui kõnealune asutus on samuti järelevalveasutus; |
| i) | kontrollida lõpetamiskava käsitlevate sätete olemasolu ja nõuetekohast kohaldamist juhtudel, kui kvalifitseeritud usaldusteenuse osutajad lõpetavad oma tegevuse, sealhulgas seda, kuidas teave hoitakse kättesaadavana kooskõlas artikli 24 lõike 2 punktiga h; |
| j) | nõuda usaldusteenuse osutajatelt käesolevas määruses sätestatud nõuete täitmata jätmise heastamist. |
5. Liikmesriigid võivad nõuda, et järelevalveasutus looks, haldaks ja ajakohastaks usaldusteenuste infrastruktuuri kooskõlas siseriiklikus õiguses sätestatud tingimustega.
6. Iga järelevalveasutus esitab igal aastal 31. märtsiks komisjonile aruande oma eelmise kalendriaasta põhitegevuse kohta ning kokkuvõtte usaldusteenuse osutajatelt artikli 19 lõike 2 kohaselt saadud rikkumisteadetest.
7. Komisjon teeb lõikes 6 osutatud aastaaruande liikmesriikidele kättesaadavaks.
8. Komisjon võib rakendusaktidega määrata kindlaks lõikes 6 osutatud aruande formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 24
Nõuded kvalifitseeritud usaldusteenuse osutajatele
1. Usaldusteenusele kvalifitseeritud sertifikaati väljastades kontrollib kvalifitseeritud usaldusteenuse osutaja asjakohaste vahenditega ja siseriikliku õiguse kohaselt selle füüsilise või juriidilise isiku identiteeti, kellele kvalifitseeritud sertifikaat väljastatakse, ja vajaduse korral tema eritunnuseid.
Kvalifitseeritud usaldusteenuse osutaja kontrollib esimeses lõigus osutatud teavet siseriikliku õiguse kohaselt kas otse või kolmandale isikule tuginedes. Kontrollimine toimub ühel järgmisel moel:
| a) | füüsilise isiku või juriidilise isiku volitatud esindaja füüsilise kohaloleku alusel või |
| b) | kaughindamise teel, kasutades e-identimise vahendeid, mille puhul enne kvalifitseeritud sertifikaadi väljastamist tagati füüsilise isiku või juriidilise isiku volitatud esindaja füüsiline kohalolek ja mis vastavad artiklis 8 kehtestatud nõuetele seoses märkimisväärse või kõrge usaldusväärsuse tasemega, või |
| c) | kooskõlas punktiga a või b väljastatud kvalifitseeritud e-allkirja või kvalifitseeritud e-templi sertifikaadi abil või |
| d) | kasutades muid riiklikul tasandil tunnustatud identimismeetodeid, mis tagavad füüsilise kohalolekuga samaväärse usaldusväärsuse. Nimetatud samaväärne usaldusväärsus peab olema vastavushindamisasutuse poolt kinnitatud. |
2. Kvalifitseeritud usaldusteenuseid osutav kvalifitseeritud usaldusteenuse osutaja:
| a) | teavitab järelevalveasutust muutusest oma kvalifitseeritud usaldusteenuste osutamises ja kavatsusest kõnealune tegevus lõpetada; |
| b) | võtab tööle personali ja vajaduse korral alltöövõtjad, kellel on vajalik pädevus, usaldusväärsus, kogemus ja kvalifikatsioon ning kes on saanud turva- ja isikuandmete kaitse eeskirjade alal asjakohase koolituse ja rakendavad Euroopa või rahvusvahelistele standarditele vastavaid haldus- ja juhtimismenetlusi; |
| c) | seoses artikli 13 kohase vastutusega võimalike kahjude eest omab piisavat hulka rahalisi vahendeid ja/või sõlmib asjakohase vastutuskindlustuse kooskõlas siseriikliku õigusega; |
| d) | teavitab enne lepingu sõlmimist kõiki kvalifitseeritud usaldusteenust kasutada soovivaid isikuid selgelt ja põhjalikult kõnealuse teenuse kasutamise täpsetest tingimustest, sealhulgas kõigist selle kasutamise piirangutest; |
| e) | kasutab usaldusväärseid süsteeme ja tooteid, mis on kaitstud muutmise eest, ja tagab nende toetatavate toimingute tehnilise turvalisuse ja usaldusväärsuse; |
| f) | kasutab usaldusväärseid süsteeme talle esitatud andmete säilitamiseks ehtsuse tõendamist võimaldavas formaadis nii, et:
|
| g) | võtab asjakohaseid meetmeid andmete võltsimise ja varguse vastu; |
| h) | salvestab ja hoiavad kättesaadavana sobiva tähtaja jooksul, sealhulgas pärast seda, kui kvalifitseeritud usaldusteenuse osutaja on tegevuse lõpetanud, kogu asjakohase teabe kvalifitseeritud usaldusteenuse osutaja väljastatud ja saadud andmete kohta, eelkõige tõendina kasutamiseks kohtumenetlustes ja selleks, et tagada teenuse järjepidevus. Sellised andmed võib salvestada elektrooniliselt; |
| i) | omab teenuse järjepidevuse tagamiseks ajakohast tegevuse lõpetamise kava, mis vastab järelevalveasutuse poolt artikli 17 lõike 4 punkti i kohaselt kontrollitud sätetele; |
| j) | tagab isikuandmete seadusliku töötlemise vastavalt direktiivile 95/46/EÜ; |
| k) | juhul kui kvalifitseeritud usaldusteenuse osutaja väljastab kvalifitseeritud sertifikaate, loob sertifikaatide andmebaasi ja ajakohastab seda. |
3. Kui kvalifitseeritud sertifikaate väljastav kvalifitseeritud usaldusteenuse osutaja otsustab sertifikaadi tühistada, registreerib ta tühistamise oma sertifikaatide andmebaasis ning avaldab sertifikaadi tühistatud staatuse aegsasti, ning igal juhul 24 tunni jooksul pärast vastava taotluse saamist. Tühistamine jõustub kohe pärast selle avaldamist.
4. Seoses lõikega 3 annavad kvalifitseeritud sertifikaate väljastavad kvalifitseeritud usaldusteenuse osutajad tuginevatele isikutele teavet nende väljastatud kvalifitseeritud sertifikaatide kehtivus- või tühistamisstaatuse kohta. Kõnealune teave tehakse igal ajal ning pärast sertifikaadi kehtivusaja lõppu vähemalt iga sertifikaadi kohta eraldi kättesaadavaks automaatsel viisil, mis on usaldusväärne, tasuta ja tõhus.
5. Komisjon võib rakendusaktidega kehtestada käesoleva artikli lõike 2 punktides e ja f esitatud nõuetele vastavate usaldusväärsete süsteemide ja toodete standardite viitenumbrid. Kui usaldusväärsed süsteemid ja tooted vastavad kõnealustele standarditele, loetakse need käesolevas artiklis sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
4. JAGU
E-allkirjad
Artikkel 28
E-allkirjade kvalifitseeritud sertifikaadid
1. E-allkirjade kvalifitseeritud sertifikaadid peavad vastama I lisas sätestatud nõuetele.
2. E-allkirjade kvalifitseeritud sertifikaatide suhtes ei kohaldata ühtegi kohustuslikku nõuet, mis ületab I lisas sätestatud nõudeid.
3. E-allkirja kvalifitseeritud sertifikaadid võivad hõlmata mittekohustuslikke täiendavaid eritunnuseid. Need tunnused ei mõjuta kvalifitseeritud e-allkirjade koosvõimet ega tunnustamist.
4. Kui e-allkirjade kvalifitseeritud sertifikaat tühistatakse pärast esialgset aktiveerimist, kaotab see alates tühistamise hetkest kehtivuse ega saa oma staatust mingil juhul tagasi.
5. Liikmesriigid võivad järgmistel tingimustel kehtestada siseriiklikud eeskirjad e-allkirja kvalifitseeritud sertifikaatide ajutiseks peatamiseks:
| a) | kui e-allkirja kvalifitseeritud sertifikaat on ajutiselt peatatud, on kõnealune sertifikaat peatamise ajavahemikul kehtetu; |
| b) | peatamise ajavahemik on sertifikaatide andmebaasis selgesti märgitud ja sertifikaatide staatuse kohta teavet andva teenuse kaudu saab peatamise ajavahemikul teavet peatamisstaatuse kohta. |
6. Komisjon võib rakendusaktidega kehtestada e-allkirja kvalifitseeritud sertifikaatide standardite viitenumbrid. Kui e-allkirja kvalifitseeritud sertifikaat vastab kõnealustele standarditele, loetakse see I lisas sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 38
E-templi kvalifitseeritud sertifikaadid
1. E-templi kvalifitseeritud sertifikaadid peavad vastama III lisas sätestatud nõuetele.
2. E-templi kvalifitseeritud sertifikaatide suhtes ei kohaldata ühtegi kohustuslikku nõuet, mis ületab III lisas sätestatud nõudeid.
3. E-templi kvalifitseeritud sertifikaadid võivad hõlmata mittekohustuslikke täiendavaid eritunnuseid. Need tunnused ei mõjuta kvalifitseeritud e-templite koosvõimet ega tunnustamist.
4. Kui e-templi kvalifitseeritud sertifikaat tühistatakse pärast esialgset aktiveerimist, kaotab see alates tühistamise hetkest kehtivuse ega saa oma staatust mingil juhul tagasi.
5. Liikmesriigid võivad järgmistel tingimustel kehtestada siseriiklikud eeskirjad e-templi kvalifitseeritud sertifikaatide ajutiseks peatamiseks:
| a) | kui e-templi kvalifitseeritud sertifikaat on ajutiselt peatatud, on kõnealune sertifikaat peatamise ajavahemikul kehtetu; |
| b) | peatamise ajavahemik on sertifikaatide andmebaasis selgesti märgitud ja sertifikaatide staatuse kohta teavet andva teenuse kaudu saab peatamise ajavahemikul teavet sertifikaatide staatuse kohta. |
6. Komisjon võib rakendusaktidega kehtestada e-templi kvalifitseeritud sertifikaatide standardite viitenumbrid. Kui e-templi kvalifitseeritud sertifikaat vastab kõnealustele standarditele, loetakse see III lisas sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
whereas