keyboard_tab EIDAS 2014/0910 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
-
ÜLDSÄTTED
- 10 Artikkel 3 Mõisted E-IDENTIMINE
- 1 Artikkel 6 Vastastikune tunnustamine
- 1 Artikkel 7 E-identimise süsteemidest teavitamise tingimused
- 1 Artikkel 8 E-identimise süsteemide usaldusväärsuse tasemed USALDUSTEENUSED
- 2 Artikkel 12 Koostöö ja koosvõime Järelevalve
- 1 Artikkel 24 Nõuded kvalifitseeritud usaldusteenuse osutajatele
- 1 Artikkel 26 Nõuded täiustatud e-allkirjale
- 1 Artikkel 27 E-allkirjad avalikus teenistuses
- 1 Artikkel 28 E-allkirjade kvalifitseeritud sertifikaadid
- 1 Artikkel 29 Nõuded kvalifitseeritud e-allkirja andmise vahenditele
- 1 Artikkel 32 Nõuded kvalifitseeritud e-allkirjade valideerimisele
- 1 Artikkel 33 Kvalifitseeritud e-allkirjade kvalifitseeritud valideerimisteenus E-tempel
- 1 Artikkel 34 Kvalifitseeritud e-allkirjade kvalifitseeritud säilitamisteenus
- 1 Artikkel 36 Nõuded täiustatud e-templile
- 1 Artikkel 37 E-templid avalikus teenistuses
- 1 Artikkel 38 E-templi kvalifitseeritud sertifikaadid E-ajatemplid
- 1 Artikkel 42 Nõuded kvalifitseeritud e-ajatemplitele Veebisaidi autentimine
- 1 Artikkel 44 Nõuded kvalifitseeritud registreeritud e-andmevahetusteenustele E-DOKUMENDID
- 1 Artikkel 45 Nõuded veebisaidi autentimise kvalifitseeritud sertifikaatidele DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID
Üldsätted
Kvalifitseeritud usaldusteenus
E-allkirjad
Registreeritud e-andmevahetusteenused
LÕPPSÄTTED
- kvalifitseeritud 106
- või 84
- e-identimise 48
- artikli 38
- sätestatud 35
- lõikes 33
- osutatud 33
- e-allkirja 31
- täiustatud 30
- nõuetele 30
- vastab 29
- usaldusväärsuse 26
- usaldusteenuse 25
- kooskõlas 23
- ning 23
- e-templi 22
- andmete 21
- vastu 20
- osutaja 19
- rakendusaktid 19
- artikkel 19
- nimetatud 19
- mille 18
- sertifikaat 18
- sertifikaatide 18
- e-allkirjade 18
- standarditele 17
- võetakse 16
- andmed 16
- võib 16
- kontrollimenetlusega 16
- seotud 16
- lisas 15
- rakendusaktidega 15
- poolt 15
- komisjon 15
- isiku 15
- teenuse 14
- standardite 14
- kehtestada 14
- sektori 14
- liikmesriik 13
- allkirja 13
- mida 13
- avaliku 13
- vastavaks 12
- viitenumbrid 12
- andmise 12
- loetakse 12
- kohaselt 11
Artikkel 3
Mõisted
Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „e-identimine”– protsess, mille käigus kasutatakse elektroonilisi isikutuvastusandmeid, mis tähistavad üheselt füüsilist või juriidilist isikut või juriidilist isikut esindavat füüsilist isikut;
2) „e-identimise vahend”– kehaline ja/või kehatu üksus, mis sisaldab isikutuvastusandmeid ja mida kasutatakse internetipõhiste teenuste puhul autentimiseks;
3) „isikutuvastusandmed”– andmed, mis võimaldavad teha kindlaks füüsilise või juriidilise isiku või juriidilist isikut esindava füüsilise isiku;
4) „e-identimise süsteem”– e-identimiseks vajalik süsteem, mille raames väljastatakse e-identimise vahendeid füüsilistele või juriidilistele isikutele või juriidilist isikut esindavatele füüsilistele isikutele;
5) „autentimine”– elektrooniline protsess, mis võimaldab füüsilise või juriidilise isiku e-identimist või elektrooniliste andmete päritolu ja tervikluse kinnitamist;
6) „tuginev isik”– füüsiline või juriidiline isik, kes tugineb e-identimisele või usaldusteenusele;
7) „avaliku sektori asutus”– riigi-, piirkondlik või kohalik asutus, avalik-õiguslik isik või ühe või mitme kõnealuse asutuse või avalik-õigusliku isiku poolt asutatud ühendus või eraõiguslik isik, kellele on vähemalt üks kõnealune asutus, isik või ühendus andnud õiguse osutada avalikke teenuseid, kui ta tegutseb kõnealust õigust teostades;
8) „avalik-õiguslik isik”– Euroopa Parlamendi ja nõukogu direktiivi 2014/24/EL (15) artikli 2 lõike 1 punktis 4 määratletud isik;
9) „allkirja andja”– e-allkirja andnud füüsiline isik;
10) „e-allkiri”– elektroonilised andmed, mis on lisatud muudele elektroonilistele andmetele või on nendega loogiliselt seotud ja mida allkirja andja kasutab allkirja andmiseks;
11) „täiustatud e-allkiri”– e-allkiri, mis vastab artiklis 26 sätestatud nõuetele;
12) „kvalifitseeritud e-allkiri”– täiustatud e-allkiri, mis antakse kvalifitseeritud e-allkirja andmise vahendi abil ja mis põhineb e-allkirja kvalifitseeritud sertifikaadil;
13) „e-allkirja andmiseks vajalikud andmed”– ainulaadsed andmed, mida allkirja andja kasutab e-allkirja andmiseks;
14) „e-allkirja sertifikaat”– elektrooniline dokument, mis seob e-allkirja valideerimise andmed füüsilise isikuga ja kinnitab vähemalt selle isiku nime või varjunime;
15) „e-allkirja kvalifitseeritud sertifikaat”– e-allkirja sertifikaat, mille väljastab kvalifitseeritud usaldusteenuse osutaja ja mis vastab I lisas sätestatud nõuetele;
16) „usaldusteenus”– elektrooniline teenus, mida tavaliselt osutatakse tasu eest ja mis seisneb:
| a) | e-allkirjade, e-templite või e-ajatemplite, registreeritud e-andmevahetusteenuste ning nende teenustega seotud sertifikaatide loomises, kontrollimises ja valideerimises, või |
| b) | veebisaidi autentimise sertifikaatide loomises, kontrollimises ja valideerimises, või |
| c) | e-allkirjade, e-templite või nende teenustega seotud sertifikaatide säilitamises; |
17) „kvalifitseeritud usaldusteenus”– usaldusteenus, mis vastab käesolevas määruses sätestatud kohaldatavatele nõuetele;
18) „vastavushindamisasutus”– määruse (EÜ) nr 765/2008 artikli 2 punktis 13 määratletud asutus, mis on kooskõlas nimetatud määrusega akrediteeritud asutusena, millel on pädevus teostada kvalifitseeritud usaldusteenuse osutaja ja tema osutatavate kvalifitseeritud usaldusteenuste vastavushindamist;
19) „usaldusteenuse osutaja”– füüsiline või juriidiline isik, kes osutab üht või mitut usaldusteenust kas kvalifitseeritud või kvalifitseerimata usaldusteenuse osutajana;
20) „kvalifitseeritud usaldusteenuse osutaja”– usaldusteenuse osutaja, kes osutab üht või mitut kvalifitseeritud usaldusteenust ning kellele järelevalveasutus on andnud kvalifitseeritud staatuse;
21) „toode”– riist- või tarkvara või riist- või tarkvara asjakohased osad, mis on ette nähtud usaldusteenuste osutamiseks;
22) „e-allkirja andmise vahend”– seadistatud tark- või riistvara, mida kasutatakse e-allkirja andmiseks;
23) „kvalifitseeritud e-allkirja andmise vahend”– e-allkirja andmise vahend, mis vastab II lisas sätestatud nõuetele;
24) „templi andja”– e-templi loonud juriidiline isik;
25) „e-tempel”– elektroonilised andmed, mis on lisatud muudele elektroonilistele andmetele või on nendega loogiliselt seotud ja mis tagavad viimatinimetatud andmete päritolu ja tervikluse;
26) „täiustatud e-tempel”– e-tempel, mis vastab artiklis 36 sätestatud nõuetele;
27) „kvalifitseeritud e-tempel”– täiustatud e-tempel, mis luuakse kvalifitseeritud e-templi loomise vahendi abil ja mis põhineb e-templi kvalifitseeritud sertifikaadil;
28) „e-templi loomiseks vajalikud andmed”– ainulaadsed andmed, mida e-templi andja kasutab e-templi loomiseks;
29) „e-templi sertifikaat”– elektrooniline dokument, mis seob e-templi valideerimise andmed juriidilise isikuga ja kinnitab selle isiku nime;
30) „e-templi kvalifitseeritud sertifikaat”– e-templi sertifikaat, mille väljastab kvalifitseeritud usaldusteenuse osutaja ja mis vastab III lisas sätestatud nõuetele;
31) „e-templi loomise vahend”– seadistatud tark- või riistvara, mida kasutatakse e-templi loomiseks;
32) „kvalifitseeritud e-templi loomise vahend”– e-templi loomise vahend, mis vastab mutatis mutandis II lisas sätestatud nõuetele;
33) „e-ajatempel”– elektroonilised andmed, mis seovad muud elektroonilised andmed kindla ajahetkega ja tõendavad, et viimatinimetatud andmed olid sel ajahetkel olemas;
34) „kvalifitseeritud e-ajatempel”– e-ajatempel, mis vastab artiklis 42 sätestatud nõuetele;
35) „e-dokument”– mis tahes sisu, mida säilitatakse elektroonilisel kujul, eelkõige teksti või heli visuaal- või audiovisuaalsalvestisena;
36) „registreeritud e-andmevahetusteenus”– teenus, mis võimaldab edastada kolmandate isikute vahel andmeid elektrooniliselt, tõendab edastatud andmete käitamist, sealhulgas andmete saatmist ja kättesaamist, ning kaitseb edastatud andmeid kadumise, varguse, kahjustamise või lubamatu muutmise eest;
37) „kvalifitseeritud registreeritud e-andmevahetusteenus”– registreeritud e-andmevahetusteenus, mis vastab artiklis 44 sätestatud nõuetele;
38) „sertifikaat veebisaidi autentimiseks”– dokument, mis võimaldab autentida veebisaiti ja seob selle füüsilise või juriidilise isikuga, kellele sertifikaat on väljastatud;
39) „kvalifitseeritud sertifikaat veebisaidi autentimiseks”– sertifikaat veebisaidi autentimiseks, mille on väljastanud kvalifitseeritud usaldusteenuse osutaja ja mis vastab IV lisas sätestatud nõuetele;
40) „valideerimisandmed”– andmed, mida kasutatakse e-allkirja või e-templi valideerimiseks;
41) „valideerimine”– protsess, mille käigus kontrollitakse ja kinnitatakse e-allkirja või e-templi kehtivust.
Artikkel 6
Vastastikune tunnustamine
1. Kui ühes liikmesriigis nõutakse vastavalt siseriiklikule õigusele või haldustavale avaliku sektori asutuse osutatavale internetipõhisele teenusele juurdepääsuks e-identimist e-identimise vahendi abil ja e-autentimist, tunnustatakse selles liikmesriigis teises liikmesriigis väljastatud e-identimise vahendit kõnealuse internetipõhise teenuse piiriüleseks autentimiseks, kui täidetud on järgmised tingimused:
| a) | e-identimise vahend on väljastatud e-identimise süsteemi kohaselt, mis on kantud komisjoni poolt vastavalt artiklile 9 avaldatud nimekirja; |
| b) | e-identimise vahendi usaldusväärsuse tase vastab usaldusväärsuse tasemele, mida avaliku sektori asutus nõuab kõnealusele internetipõhisele teenusele juurdepääsuks esimesena nimetatud liikmesriigis, või on sellest usaldusväärsuse tasemest kõrgem, eeldusel et selle e-identimise vahendi usaldusväärsuse tase on märkimisväärne või kõrge; |
| c) | asjaomane avaliku sektori asutus kasutab kõnealusele internetipõhisele teenusele juurdepääsuks usaldusväärsuse taset, mille tase on märkimisväärne või kõrge. |
Tunnustamine toimub hiljemalt 12 kuud pärast seda, kui komisjon avaldab esimese lõigu punktis a osutatud nimekirja.
2. E-identimise vahendit, mis on väljastatud komisjoni poolt vastavalt artiklile 9 avaldatud nimekirjas oleva süsteemi kohaselt ning mille usaldusväärsuse tase on madal, võivad avaliku sektori asutused tunnustada nende asutuste osutatavate internetipõhiste teenuste piiriülese autentimise eesmärgil.
Artikkel 7
E-identimise süsteemidest teavitamise tingimused
E-identimise süsteemist saab vastavalt artikli 9 lõikele 1 teavitada juhul, kui täidetud on kõik järgmised tingimused:
| a) | e-identimise süsteemi kuuluv e-identimise vahend on väljastatud:
|
| b) | e-identimise süsteemi kuuluvat e-identimise vahendit saab kasutada juurdepääsuks vähemalt ühele teenusele, mida osutab avaliku sektori asutus ja mis eeldab teavitavas liikmesriigis e-identimist; |
| c) | e-identimise süsteem ja selle kohaselt väljastatud e-identimise vahend vastavad vähemalt ühe usaldusväärsuse taseme nõuetele, mis on sätestatud artikli 8 lõikes 3 osutatud rakendusaktis; |
| d) | teavitav liikmesriik tagab, et ainulaadsed kõnealust isikut tähistavad isikutuvastusandmed omistatakse artikli 3 punktis 1 osutatud füüsilisele või juriidilisele isikule sellesse süsteemi kuuluva e-identimise vahendi väljastamisel kooskõlas tehniliste kirjelduste, standardite ja menetlustega, mis on artikli 8 lõikes 3 osutatud rakendusaktis ette nähtud asjakohase usaldusväärsuse taseme jaoks; |
| e) | sellesse süsteemi kuuluvat e-identimise vahendit väljastav osaline tagab e-identimise vahendi omistamise käesoleva artikli punktis d osutatud isikule kooskõlas tehniliste kirjelduste, standardite ja menetlustega, mis on artikli 8 lõikes 3 osutatud rakendusaktis ette nähtud asjakohase usaldusväärsuse taseme jaoks; |
| f) | teavitav liikmesriik tagab internetipõhise autentimise võimaluse nii, et teise liikmesriigi territooriumil asuv tuginev isik saab kinnitada elektrooniliselt saadud isikutuvastusandmeid. Teavitav liikmesriik võib kindlaks määrata kõnealusee autentimise kasutustingimused tuginevatele isikutele, kes ei ole avaliku sektori asutused. Piiriülene autentimine on tasuta, kui autenditakse avaliku sektori asutuse internetipõhist teenust. Liikmesriigid ei kehtesta autentimiskavatsusega tuginevate isikute suhtes ebaproportsionaalseid tehnilisi tingimusi, mis takistavad või raskendavad märkimisväärselt teavitatud e-identimise süsteemide koosvõimet; |
| g) | vähemalt kuus kuud enne artikli 9 lõike 1 kohast teavitamist esitab teavitav liikmesriik teistele liikmesriikidele artikli 12 lõikest 5 tuleneva kohustuse täitmiseks selle süsteemi kirjelduse artikli 12 lõikes 7 osutatud rakendusaktidega kehtestatud menetluskorra kohaselt; |
| h) | e-identimise süsteem vastab artikli 12 lõikes 8 osutatud rakendusaktis sätestatud nõuetele. |
Artikkel 8
E-identimise süsteemide usaldusväärsuse tasemed
1. E-identimise süsteemis, millest on teavitatud artikli 9 lõike 1 kohaselt, määratakse süsteemi raames väljastatud e-identimise vahenditele madal, märkimisväärne ja/või kõrge usaldusväärsuse tase.
2. Madal, märkimisväärne ja kõrge usaldusväärsuse tase vastab järgmistele nõuetele:
| a) | madal usaldusväärsuse tase osutab e-identimise süsteemi kuuluvale e-identimise vahendile, mis on isiku väidetava või tema poolt kinnitatud isikusamasuse tuvastamiseks piiratud määral usaldusväärne ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada isikuandmete väärkasutamise või muutmise ohtu; |
| b) | märkimisväärne usaldusväärsuse tase osutab e-identimise süsteemi kuuluvale e-identimise vahendile, mis on isiku väidetava või tema poolt kinnitatud isikusamasuse tuvastamiseks olulisel määral usaldusväärne ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada märkimisväärselt isikuandmete väärkasutamise või muutmise ohtu; |
| c) | kõrge usaldusväärsuse tase osutab e-identimise süsteemi kuuluvale e-identimise vahendile, mis on isiku väidetava või tema poolt kinnitatud isikusamasuse tuvastamiseks kõrgema usaldusväärsuse tasemega kui märkimisväärse usaldusväärsuse tasemega e-identimise vahend ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on hoida ära isikuandmete väärkasutamist või muutmist. |
3. Võttes arvesse asjakohaseid rahvusvahelisi standardeid ja vastavalt lõikele 2 kehtestab komisjon hiljemalt 18. septembriks 2015 rakendusaktidega minimaalsed tehnilised kirjeldused, standardid ja menetlused, mille suhtes määratakse lõike 1 kohaldamise eesmärgil e-identimise vahendite jaoks kindlaks madal, märkimisväärne või kõrge usaldusväärsuse tase.
Nimetatud minimaalsed tehnilised kirjeldused, standardid ja menetlused kehtestatakse, kasutades lähtealusena järgmiste elementide usaldusväärsust ja kvaliteeti:
| a) | e-identimise vahendi väljastamist taotleva füüsilise või juriidilise isiku isikusamasuse tõendamise ja kontrollimise menetlus; |
| b) | taotletava e-identimise vahendi väljastamise menetlus; |
| c) | autentimise mehhanism, kus füüsiline või juriidiline isik kasutab e-identimise vahendit selleks, et kinnitada oma isikusamasust tuginevale isikule; |
| d) | e-identimise vahendit väljastav üksus; |
| e) | muu asutus, kes osaleb e-identimise vahendi väljastamise taotlemises, ning |
| f) | väljastatud e-identimise vahendite tehnilised kirjeldused ja turvaspetsifikaadid. |
Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 12
Koostöö ja koosvõime
1. Artikli 9 lõike 1 kohaselt teavitatud riiklikud e-identimise süsteemid peavad olema koosvõimelised.
2. Lõike 1 kohaldamise eesmärgil luuakse koosvõime raamistik.
3. Koosvõime raamistik peab vastama järgmistele nõuetele:
| a) | see on tehnoloogiliselt neutraalne ja ei diskrimineeri asjaomases liikmesriigis ühtegi konkreetset siseriiklikku e-identimise tehnilist lahendust; |
| b) | see vastab võimaluse korral Euroopa ja rahvusvahelistele standarditele; |
| c) | see hõlbustab lõimitud eraelukaitse põhimõtte rakendamist ning |
| d) | see tagab isikuandmete töötlemise kooskõlas direktiiviga 95/46/EÜ. |
4. Koosvõime raamistik koosneb järgmisest:
| a) | viide artiklis 8 sätestatud usaldusväärsuse tasemetega seotud tehnilistele miinimumnõuetele; |
| b) | teavitatud e-identimise süsteemide siseriiklike usaldusväärsuse tasemete seostamine artikli 8 kohaste usaldusväärsuse tasemetega; |
| c) | viide ette nähtud tehnilise koosvõime miinimumnõuetele; |
| d) | viide e-identimise süsteemidest kättesaadavatele minimaalsele hulgale isikutuvastamisandmetele, mis tähistavad ainuüksi üht füüsilist või juriidilist isikut; |
| e) | menetluseeskirjad; |
| f) | vaidluste lahendamise kord ning |
| g) | ühised toimimise turvalisuse standardid. |
5. Liikmesriigid teevad koostööd seoses järgmisega:
| a) | koosvõime artikli 9 lõike 1 kohaselt teavitatud e-identimise süsteemide ja nende e-identimise süsteemide vahel, millest liikmesriigid kavatsevad teavitada, ning |
| b) | e-identimise süsteemide turvalisus. |
6. Liikmesriikide vaheline koostöö hõlmab järgmist:
| a) | teabe, kogemuste ja heade tavade vahetamine e-identimise süsteemide ning eelkõige koosvõime ja usaldusväärsuse tasemetega seotud tehniliste nõuete kohta; |
| b) | teabe, kogemuste ja heade tavade vahetamine artiklis 8 sätestatud e-identimise süsteemide usaldusväärsuse tasemetega töötamise kohta; |
| c) | käesoleva määruse kohaldamisalasse kuuluvate e-identimise süsteemide vastastikune hindamine ning |
| d) | e-identimise sektoris toimuvate asjakohaste arengute analüüsimine. |
7. Komisjon kehtestab hiljemalt 18. märtsiks 2015 rakendusaktidega vajaliku menetluskorra lõigetes 5 ja 6 osutatud liikmesriikidevahelise koostöö hõlbustamiseks, et edendada usalduse ja turvalisuse kõrget taset, mis vastab riski astmele.
8. Selleks et näha ette ühtsed tingimused lõikest 1 tuleneva nõude rakendamiseks, võtab komisjon hiljemalt 18. septembriks 2015 lõikes 3 sätestatud kriteeriumite kohaselt ja liikmesriikidevahelise koostöö tulemusi arvesse võttes vastu rakendusaktid lõikes 4 sätestatud koosvõime raamistiku kohta.
9. Käesoleva artikli lõigetes 7 ja 8 osutatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
III PEATÜKK
USALDUSTEENUSED
1. JAGU
Üldsätted
Artikkel 24
Nõuded kvalifitseeritud usaldusteenuse osutajatele
1. Usaldusteenusele kvalifitseeritud sertifikaati väljastades kontrollib kvalifitseeritud usaldusteenuse osutaja asjakohaste vahenditega ja siseriikliku õiguse kohaselt selle füüsilise või juriidilise isiku identiteeti, kellele kvalifitseeritud sertifikaat väljastatakse, ja vajaduse korral tema eritunnuseid.
Kvalifitseeritud usaldusteenuse osutaja kontrollib esimeses lõigus osutatud teavet siseriikliku õiguse kohaselt kas otse või kolmandale isikule tuginedes. Kontrollimine toimub ühel järgmisel moel:
| a) | füüsilise isiku või juriidilise isiku volitatud esindaja füüsilise kohaloleku alusel või |
| b) | kaughindamise teel, kasutades e-identimise vahendeid, mille puhul enne kvalifitseeritud sertifikaadi väljastamist tagati füüsilise isiku või juriidilise isiku volitatud esindaja füüsiline kohalolek ja mis vastavad artiklis 8 kehtestatud nõuetele seoses märkimisväärse või kõrge usaldusväärsuse tasemega, või |
| c) | kooskõlas punktiga a või b väljastatud kvalifitseeritud e-allkirja või kvalifitseeritud e-templi sertifikaadi abil või |
| d) | kasutades muid riiklikul tasandil tunnustatud identimismeetodeid, mis tagavad füüsilise kohalolekuga samaväärse usaldusväärsuse. Nimetatud samaväärne usaldusväärsus peab olema vastavushindamisasutuse poolt kinnitatud. |
2. Kvalifitseeritud usaldusteenuseid osutav kvalifitseeritud usaldusteenuse osutaja:
| a) | teavitab järelevalveasutust muutusest oma kvalifitseeritud usaldusteenuste osutamises ja kavatsusest kõnealune tegevus lõpetada; |
| b) | võtab tööle personali ja vajaduse korral alltöövõtjad, kellel on vajalik pädevus, usaldusväärsus, kogemus ja kvalifikatsioon ning kes on saanud turva- ja isikuandmete kaitse eeskirjade alal asjakohase koolituse ja rakendavad Euroopa või rahvusvahelistele standarditele vastavaid haldus- ja juhtimismenetlusi; |
| c) | seoses artikli 13 kohase vastutusega võimalike kahjude eest omab piisavat hulka rahalisi vahendeid ja/või sõlmib asjakohase vastutuskindlustuse kooskõlas siseriikliku õigusega; |
| d) | teavitab enne lepingu sõlmimist kõiki kvalifitseeritud usaldusteenust kasutada soovivaid isikuid selgelt ja põhjalikult kõnealuse teenuse kasutamise täpsetest tingimustest, sealhulgas kõigist selle kasutamise piirangutest; |
| e) | kasutab usaldusväärseid süsteeme ja tooteid, mis on kaitstud muutmise eest, ja tagab nende toetatavate toimingute tehnilise turvalisuse ja usaldusväärsuse; |
| f) | kasutab usaldusväärseid süsteeme talle esitatud andmete säilitamiseks ehtsuse tõendamist võimaldavas formaadis nii, et:
|
| g) | võtab asjakohaseid meetmeid andmete võltsimise ja varguse vastu; |
| h) | salvestab ja hoiavad kättesaadavana sobiva tähtaja jooksul, sealhulgas pärast seda, kui kvalifitseeritud usaldusteenuse osutaja on tegevuse lõpetanud, kogu asjakohase teabe kvalifitseeritud usaldusteenuse osutaja väljastatud ja saadud andmete kohta, eelkõige tõendina kasutamiseks kohtumenetlustes ja selleks, et tagada teenuse järjepidevus. Sellised andmed võib salvestada elektrooniliselt; |
| i) | omab teenuse järjepidevuse tagamiseks ajakohast tegevuse lõpetamise kava, mis vastab järelevalveasutuse poolt artikli 17 lõike 4 punkti i kohaselt kontrollitud sätetele; |
| j) | tagab isikuandmete seadusliku töötlemise vastavalt direktiivile 95/46/EÜ; |
| k) | juhul kui kvalifitseeritud usaldusteenuse osutaja väljastab kvalifitseeritud sertifikaate, loob sertifikaatide andmebaasi ja ajakohastab seda. |
3. Kui kvalifitseeritud sertifikaate väljastav kvalifitseeritud usaldusteenuse osutaja otsustab sertifikaadi tühistada, registreerib ta tühistamise oma sertifikaatide andmebaasis ning avaldab sertifikaadi tühistatud staatuse aegsasti, ning igal juhul 24 tunni jooksul pärast vastava taotluse saamist. Tühistamine jõustub kohe pärast selle avaldamist.
4. Seoses lõikega 3 annavad kvalifitseeritud sertifikaate väljastavad kvalifitseeritud usaldusteenuse osutajad tuginevatele isikutele teavet nende väljastatud kvalifitseeritud sertifikaatide kehtivus- või tühistamisstaatuse kohta. Kõnealune teave tehakse igal ajal ning pärast sertifikaadi kehtivusaja lõppu vähemalt iga sertifikaadi kohta eraldi kättesaadavaks automaatsel viisil, mis on usaldusväärne, tasuta ja tõhus.
5. Komisjon võib rakendusaktidega kehtestada käesoleva artikli lõike 2 punktides e ja f esitatud nõuetele vastavate usaldusväärsete süsteemide ja toodete standardite viitenumbrid. Kui usaldusväärsed süsteemid ja tooted vastavad kõnealustele standarditele, loetakse need käesolevas artiklis sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
4. JAGU
E-allkirjad
Artikkel 26
Nõuded täiustatud e-allkirjale
Täiustatud e-allkiri vastab järgmistele nõuetele:
| a) | see on seotud ainuüksi allkirja andjaga; |
| b) | selle abil on võimalik allkirja andjat tuvastada; |
| c) | see antakse e-allkirja andmiseks vajalike andmete abil, mida saab kõrge salastatuse taseme juures kasutada üksnes allkirja andja, ning |
| d) | see on allkirjastatud andmetega seotud sellisel viisil, et kõik hilisemad andmete muudatused on tuvastatavad. |
Artikkel 27
E-allkirjad avalikus teenistuses
1. Kui liikmesriik nõuab avaliku sektori asutuse poolt või tema nimel osutatava internetipõhise teenuse kasutamiseks täiustatud e-allkirja, tunnustab see liikmesriik täiustatud e-allkirju, e-allkirja kvalifitseeritud sertifikaadil põhinevaid täiustatud e-allkirju ja kvalifitseeritud e-allkirju, mis on antud vähemalt lõikes 5 osutatud formaadis või rakendusaktides määratletud meetodeid kasutades.
2. Kui liikmesriik nõuab avaliku sektori asutuse poolt või tema nimel osutatava internetipõhise teenuse kasutamiseks kvalifitseeritud sertifikaadil põhinevat täiustatud e-allkirja, tunnustab see liikmesriik kvalifitseeritud sertifikaadil põhinevaid täiustatud e-allkirju ja kvalifitseeritud e-allkirju, mis on antud vähemalt lõikes 5 osutatud formaadis või rakendusaktides määratletud meetodeid kasutades.
3. Liikmesriigid ei nõua avaliku sektori asutuse poolt osutatava internetipõhise teenuse piiriüleseks kasutamiseks e-allkirja, mille tagatistase on kõrgem kui kvalifitseeritud e-allkirjal.
4. Komisjon võib rakendusaktidega kehtestada täiustatud e-allkirjade standardite viitenumbrid. Kui täiustatud e-allkiri vastab neile standarditele, loetakse see käesoleva artikli lõigetes 1 ja 2 ning artiklis 26 täiustatud e-allkirjadele sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
5. Komisjon võtab kehtivaid tavasid, standardeid ja liidu õigusakte arvestades hiljemalt 18. septembriks 2015 vastu rakendusaktid, milles määratakse kindlaks täiustatud e-allkirjade standardformaadid või alternatiivsete formaatide kasutamise korral standardmeetodid. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 28
E-allkirjade kvalifitseeritud sertifikaadid
1. E-allkirjade kvalifitseeritud sertifikaadid peavad vastama I lisas sätestatud nõuetele.
2. E-allkirjade kvalifitseeritud sertifikaatide suhtes ei kohaldata ühtegi kohustuslikku nõuet, mis ületab I lisas sätestatud nõudeid.
3. E-allkirja kvalifitseeritud sertifikaadid võivad hõlmata mittekohustuslikke täiendavaid eritunnuseid. Need tunnused ei mõjuta kvalifitseeritud e-allkirjade koosvõimet ega tunnustamist.
4. Kui e-allkirjade kvalifitseeritud sertifikaat tühistatakse pärast esialgset aktiveerimist, kaotab see alates tühistamise hetkest kehtivuse ega saa oma staatust mingil juhul tagasi.
5. Liikmesriigid võivad järgmistel tingimustel kehtestada siseriiklikud eeskirjad e-allkirja kvalifitseeritud sertifikaatide ajutiseks peatamiseks:
| a) | kui e-allkirja kvalifitseeritud sertifikaat on ajutiselt peatatud, on kõnealune sertifikaat peatamise ajavahemikul kehtetu; |
| b) | peatamise ajavahemik on sertifikaatide andmebaasis selgesti märgitud ja sertifikaatide staatuse kohta teavet andva teenuse kaudu saab peatamise ajavahemikul teavet peatamisstaatuse kohta. |
6. Komisjon võib rakendusaktidega kehtestada e-allkirja kvalifitseeritud sertifikaatide standardite viitenumbrid. Kui e-allkirja kvalifitseeritud sertifikaat vastab kõnealustele standarditele, loetakse see I lisas sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 29
Nõuded kvalifitseeritud e-allkirja andmise vahenditele
1. Kvalifitseeritud e-allkirja andmise vahendid peavad vastama II lisas sätestatud nõuetele.
2. Komisjon võib rakendusaktidega kehtestada kvalifitseeritud e-allkirja andmise vahendite standardite viitenumbrid. Kui kvalifitseeritud e-allkirja andmise vahend vastab kõnealustele standarditele, loetakse see II lisas sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 32
Nõuded kvalifitseeritud e-allkirjade valideerimisele
1. Kvalifitseeritud e-allkirja valideerimise protsess kinnitab kvalifitseeritud e-allkirja kehtivust, kui on täidetud järgmised tingimused:
| a) | allkirja kinnitav sertifikaat oli allkirja andmise ajal I lisa sätetele vastav kvalifitseeritud e-allkirja sertifikaat; |
| b) | kvalifitseeritud sertifikaadi väljastas kvalifitseeritud usaldusteenuse osutaja ja sertifikaat oli allkirja andmise ajal kehtiv; |
| c) | allkirja valideerimise andmed vastavad tuginevatele isikutele esitatud andmetele; |
| d) | sertifikaadil olevat allkirja andjat tähistavad kordumatud andmed on nõuetekohaselt esitatud tuginevatele isikutele; |
| e) | kui allkirja andmisel kasutati varjunime, on varjunime kasutus tuginevale isikule selgesti näidatud; |
| f) | e-allkiri on antud kvalifitseeritud e-allkirja andmise vahendiga; |
| g) | allkirjastatud andmete terviklust ei ole rikutud; |
| h) | artiklis 26 sätestatud nõuded olid allkirja andmise ajal täidetud. |
2. Kvalifitseeritud e-allkirja valideerimiseks kasutatav süsteem annab tuginevale isikule valideerimisprotsessi korrektse tulemuse ja võimaldab tugineval isikul tuvastada turvalisusega seotud probleeme.
3. Komisjon võib rakendusaktidega kehtestada kvalifitseeritud e-allkirjade valideerimise standardite viitenumbrid. Kui kvalifitseeritud e-allkirjade valideerimine vastab kõnealustele standarditele, loetakse see lõikes 1 sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 33
Kvalifitseeritud e-allkirjade kvalifitseeritud valideerimisteenus
1. Kvalifitseeritud e-allkirjade kvalifitseeritud valideerimisteenust võib osutada üksnes kvalifitseeritud usaldusteenuse osutaja, kes:
| a) | osutab valideerimisteenust kooskõlas artikli 32 lõikega 1 ja |
| b) | võimaldab tuginevatel isikutel saada valideerimisprotsessi tulemuse automaatsel viisil, mis on usaldusväärne, tõhus ja millel on kvalifitseeritud valideerimisteenuse osutaja täiustatud e-allkiri või täiustatud e-tempel. |
2. Komisjon võib rakendusaktidega kehtestada lõikes 1 osutatud kvalifitseeritud valideerimisteenuse standardite viitenumbrid. Kui kvalifitseeritud e-allkirjade valideerimisteenus vastab kõnealustele standarditele, loetakse see lõikes 1 sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 34
Kvalifitseeritud e-allkirjade kvalifitseeritud säilitamisteenus
1. Kvalifitseeritud e-allkirjade kvalifitseeritud säilitamise teenust võib osutada üksnes kvalifitseeritud usaldusteenuse osutaja, kes kasutab menetlusi ja tehnoloogiat, millega on võimalik tagada kvalifitseeritud e-allkirjade usaldusväärsus ka pärast nende tehnoloogilise kehtivusaja lõppemist.
2. Komisjon võib rakendusaktidega kehtestada kvalifitseeritud e-allkirjade kvalifitseeritud säilitamise teenuse standardite viitenumbrid. Kui kvalifitseeritud e-allkirjade kvalifitseeritud säilitamise teenuse suhtes kohaldatav kord vastab kõnealustele standarditele, loetakse see lõikes 1 sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
5. JAGU
E-tempel
Artikkel 36
Nõuded täiustatud e-templile
Täiustatud e-tempel vastab järgmistele nõuetele:
| a) | see on seotud ainuüksi templi andjaga; |
| b) | selle abil on võimalik templi andjat tuvastada; |
| c) | see antakse e-templi loomiseks vajalike andmete abil, mida templi andja saab kõrge salastatuse taseme juures kasutada e-templi loomiseks, ning |
| d) | see on seotud seda puudutavate andmetega sellisel viisil, et kõik hilisemad andmete muudatused on tuvastatavad. |
Artikkel 37
E-templid avalikus teenistuses
1. Kui liikmesriik nõuab avaliku sektori asutuse poolt või tema nimel osutatava internetipõhise teenuse kasutamiseks täiustatud e-templit, tunnustab see liikmesriik täiustatud e-templeid, e-templi kvalifitseeritud sertifikaadil põhinevaid täiustatud e-templeid ja kvalifitseeritud e-templeid, mis on loodud vähemalt lõikes 5 osutatud formaadis või rakendusaktides määratletud meetodeid kasutades.
2. Kui liikmesriik nõuab avaliku sektori asutuse poolt või tema nimel osutatava internetipõhise teenuse kasutamiseks kvalifitseeritud sertifikaadil põhinevat täiustatud e-templit, tunnustab see liikmesriik kvalifitseeritud sertifikaadil põhinevaid täiustatud e-templeid ja kvalifitseeritud e-templeid, mis on loodud vähemalt lõikes 5 osutatud formaadis või rakendusaktides määratletud meetodeid kasutades.
3. Liikmesriigid ei nõua avaliku sektori asutuse poolt osutatava internetipõhise teenuse piiriüleseks kasutamiseks e-templit, mille turvatase on kõrgem kui kvalifitseeritud e-templil.
4. Komisjon võib rakendusaktidega kehtestada täiustatud e-templite standardite viitenumbrid. Kui täiustatud e-tempel vastab neile standarditele, loetakse see käesoleva artikli lõigetes 1 ja 2 ning artiklis 36 täiustatud e-templitele sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
5. Komisjon võtab kehtivaid tavasid, standardeid ja liidu õigusakte arvestades hiljemalt 18. septembriks 2015 vastu rakendusaktid, milles määratakse kindlaks täiustatud e-templite standardformaadid või alternatiivsete formaatide kasutamise korral standardmeetodid. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 38
E-templi kvalifitseeritud sertifikaadid
1. E-templi kvalifitseeritud sertifikaadid peavad vastama III lisas sätestatud nõuetele.
2. E-templi kvalifitseeritud sertifikaatide suhtes ei kohaldata ühtegi kohustuslikku nõuet, mis ületab III lisas sätestatud nõudeid.
3. E-templi kvalifitseeritud sertifikaadid võivad hõlmata mittekohustuslikke täiendavaid eritunnuseid. Need tunnused ei mõjuta kvalifitseeritud e-templite koosvõimet ega tunnustamist.
4. Kui e-templi kvalifitseeritud sertifikaat tühistatakse pärast esialgset aktiveerimist, kaotab see alates tühistamise hetkest kehtivuse ega saa oma staatust mingil juhul tagasi.
5. Liikmesriigid võivad järgmistel tingimustel kehtestada siseriiklikud eeskirjad e-templi kvalifitseeritud sertifikaatide ajutiseks peatamiseks:
| a) | kui e-templi kvalifitseeritud sertifikaat on ajutiselt peatatud, on kõnealune sertifikaat peatamise ajavahemikul kehtetu; |
| b) | peatamise ajavahemik on sertifikaatide andmebaasis selgesti märgitud ja sertifikaatide staatuse kohta teavet andva teenuse kaudu saab peatamise ajavahemikul teavet sertifikaatide staatuse kohta. |
6. Komisjon võib rakendusaktidega kehtestada e-templi kvalifitseeritud sertifikaatide standardite viitenumbrid. Kui e-templi kvalifitseeritud sertifikaat vastab kõnealustele standarditele, loetakse see III lisas sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 42
Nõuded kvalifitseeritud e-ajatemplitele
1. Kvalifitseeritud e-ajatempel vastab järgmistele nõuetele:
| a) | see seob kuupäeva ja ajahetke andmetega sellisel viisil, mis mõistlikkuse piires välistab andmete tuvastamatu muutmise võimaluse; |
| b) | see põhineb täpsel ajaallikal, mis on seotud koordineeritud maailmaajaga, ning |
| c) | see on allkirjastatud kvalifitseeritud usaldusteenuse osutaja täiustatud e-allkirjaga või kinnitatud kvalifitseeritud usaldusteenuse osutaja täiustatud e-templiga või mõne muu samaväärse meetodi abil. |
2. Komisjon võib rakendusaktidega kehtestada kuupäeva ja ajahetke andmetega sidumise ja täpsete ajaallikate standardite viitenumbrid. Kui kuupäeva ja ajahetke andmetega sidumine ja täpne ajaallikas vastavad kõnealustele standarditele, loetakse need lõikes 1 sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
7. JAGU
Registreeritud e-andmevahetusteenused
Artikkel 44
Nõuded kvalifitseeritud registreeritud e-andmevahetusteenustele
1. Kvalifitseeritud registreeritud e-andmevahetusteenused peavad vastama järgmistele nõuetele:
| a) | neid pakub üks või mitu kvalifitseeritud usaldusteenuse osutajat; |
| b) | need tagavad saatja väga usaldusväärse identimise; |
| c) | need tagavad adressaadi identimise enne andmete kättetoimetamist; |
| d) | andmete saatmine ja kättesaamine on kaitstud kvalifitseeritud usaldusteenuse osutaja pakutava täiustatud e-allkirja või täiustatud e-templiga viisil, mis välistab andmete tuvastamatu muutmise võimaluse; |
| e) | mis tahes muudatusi andmete saatmiseks või kättesaamiseks vajalikes andmetes näidatakse andmete saatjale ja adressaadile selgesti; |
| f) | andmete saatmise, kättesaamise ja mis tahes muudatuste tegemise kuupäev ja ajahetk näidatakse kvalifitseeritud e-ajatempliga. |
Kui andmeid saadetakse kahe või enama kvalifitseeritud usaldusteenuse osutaja vahel, kohaldatakse punktides a–f osutatud nõudeid kõikide kvalifitseeritud usaldusteenuse osutajate suhtes.
2. Komisjon võib rakendusaktidega kehtestada andmete saatmise ja kättesaamise protsesse käsitlevate standardite viitenumbrid. Kui andmete saatmise ja kättesaamise protsess vastab kõnealustele standarditele, loetakse see lõikes 1 sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
8. JAGU
Veebisaidi autentimine
Artikkel 45
Nõuded veebisaidi autentimise kvalifitseeritud sertifikaatidele
1. Veebisaidi autentimise kvalifitseeritud sertifikaadid peavad vastama IV lisas sätestatud nõuetele.
2. Komisjon võib rakendusaktidega kehtestada veebisaidi autentimise kvalifitseeritud sertifikaatide standardite viitenumbrid. Kui veebisaidi autentimise kvalifitseeritud sertifikaat vastab kõnealustele standarditele, loetakse see IV lisas sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
IV PEATÜKK
E-DOKUMENDID
whereas