EIDAS 2014/0910 HR

1. Kada se prema nacionalnom pravu ili nacionalnom administrativnom praksom zahtijeva elektronička identifikacija pomoću sredstva elektroničke identifikacije i autentikacije radi pristupa usluzi koju tijelo javnog sektora pruža online u jednoj državi članici, sredstvo elektroničke identifikacije izdano u drugoj državi članici priznaje se u prvoj državi članici za potrebe prekogranične autentikacije na tu uslugu online, pod uvjetom da su ispunjeni sljedeći uvjeti:

(a)	sredstvo elektroničke identifikacije izdano je u okviru sustava elektroničke identifikacije koji je uvršten na popis koji je objavila Komisija na temelju članka 9.;

(b)

razina sigurnosti tih sredstava elektroničke identifikacije odgovara razini sigurnosti koja je jednaka ili viša od razine sigurnosti koju zahtijeva nadležno tijelo javnog sektora radi pristupa toj usluzi online u prvoj državi članici ili viša od te razine, pod uvjetom da razina sigurnosti tih sredstava elektroničke identifikacije odgovara značajnoj ili visokoj razini sigurnosti;

(c)	odgovarajuće tijelo javnog sektora primjenjuje značajnu ili visoku razinu sigurnosti u odnosu na pristupanje toj usluzi online.

Takvo priznavanje mora uslijediti najkasnije 12 mjeseci nakon što Komisija objavi popis iz prvog podstavka točke (a).

2. Sredstvo elektroničke identifikacije koje se izdaje u okviru sustava elektroničke identifikacije uvrštenog na popis koji je objavila Komisija na temelju članka 9. i koji odgovara niskoj razini sigurnosti, tijela javnog sektora mogu priznati za potrebe prekogranične autentikacije na uslugu koju ta tijela pružaju online.

Članak 7.

Prihvatljivost sustava elektroničke identifikacije za prijavu

Sustav elektroničke identifikacije prihvatljiv je za prijavu na temelju članka 9. stavka 1. pod uvjetom da budu ispunjeni svi sljedeći uvjeti:

(a)

sredstva elektroničke identifikacije u okviru sustava elektroničke identifikacije izdana su:

i.	od strane države članice koja provodi prijavljivanje;

ii.	u okviru mandata države članice koja provodi prijavljivanje; ili

iii.	neovisno o državi članici koja provodi prijavljivanje, a priznata su od strane te države članice;

(b)	sredstva elektroničke identifikacije u okviru sustava elektroničke identifikacije mogu se koristiti za pristup barem jednoj usluzi koju pruža tijelo javnog sektora i koja zahtijeva elektroničku identifikaciju u državi članici koja provodi prijavljivanje;

(c)	sustav elektroničke identifikacije i sredstva elektroničke identifikacije izdana u okviru tog sustava ispunjavaju zahtjeve barem jedne od razina sigurnosti određenih u provedbenom aktu iz članka 8. stavka 3.;

(d)

država članica koja provodi prijavljivanje osigurava da se osobni identifikacijski podaci koji nedvojbeno predstavljaju osobu o kojoj je riječ, u skladu s tehničkim specifikacijama, normama i postupcima za odgovarajuću razinu sigurnosti određenu u provedbenom aktu iz članka 8. stavka 3., pripisuju fizičkoj ili pravnoj osobi iz članka 3. točke 1. u vrijeme kada su sredstva elektroničke identifikacije izdana u okviru tog sustava;

(e)

strana koja izdaje sredstva elektroničke identifikacije u okviru tog sustava osigurava da se sredstva elektroničke identifikacije pripisuju osobi iz točke (d) ovog članka u skladu s tehničkim specifikacijama, normama i postupcima za odgovarajuću razinu sigurnosti određenu u provedbenom aktu iz članka 8. stavka 3.;

(f)

država članica koja provodi prijavljivanje osigurava dostupnost autentikacije online, tako da svaka pouzdajuća strana s poslovnim nastanom na državnom području druge države članice može potvrditi osobne identifikacijske podatke zaprimljene u elektroničkom obliku.

Za pouzdajuće strane koje nisu tijela javnog sektora, država članica koja provodi prijavljivanje može odrediti uvjete pristupa toj autentikaciji. Prekogranična autentikacija pruža se bez naknade kada se provodi online u vezi s uslugom koju pruža tijelo javnog sektora.

Države članice ne nameću bilo kakve posebne nerazmjerne tehničke zahtjeve pouzdajućim stranama koje namjeravaju provesti takvu autentikaciju ako takvi zahtjevi sprečavaju ili znatno ograničavaju interoperabilnost prijavljenih sustava elektroničke identifikacije;

(g)

najmanje šest mjeseci prije prijave na temelju članka 9. stavka 1., za potrebe obveze prema članku 12. stavku 5., država članica koja provodi prijavljivanje drugoj državi članici dostavlja opis tog sustava u skladu s postupovnim aranžmanima koji su utvrđeni provedbenim aktima iz članka 12. stavka 7.;

(h)	sustav elektroničke identifikacije ispunjava zahtjeve određene u provedbenom aktu iz članka 12. stavka 8.

Članak 8.

Razine sigurnosti sustava elektroničke identifikacije

1. Sustav elektroničke identifikacije koji je prijavljen na temelju članka 9. stavka 1. određuje nisku, značajnu i/ili visoku razinu sigurnosti koja se pripisuje sredstvima elektroničke identifikacije koja su izdana u okviru tog sustava.

2. Niska, značajna odnosno visoka razina sigurnosti moraju ispunjavati sljedeće kriterije:

(a)

niska razina sigurnosti odnosi se na sredstva elektroničke identifikacije u kontekstu sustava elektroničke identifikacije, koja pruža ograničen stupanj pouzdanja u odnosu na traženi ili utvrđeni identitet osobe te je karakterizirana upućivanjem na tehničke specifikacije, norme i s njima povezane postupke, uključujući tehničke kontrole čija je svrha smanjenje rizika zlouporabe ili promjene identiteta;

(b)

značajna razina sigurnosti odnosi se na sredstva elektroničke identifikacije u kontekstu sustava elektroničke identifikacije, koja pruža značajan stupanj pouzdanja u odnosu na traženi ili utvrđeni identitet osobe te je karakterizirana upućivanjem na tehničke specifikacije, norme i s njima povezane postupke, uključujući tehničke kontrole čija je svrha značajno smanjenje rizika zlouporabe ili promjene identiteta;

(c)

visoka razina sigurnosti odnosi se na sredstva elektroničke identifikacije u kontekstu sustava elektroničke identifikacije, koja pruža viši stupanj pouzdanja u odnosu na traženi ili utvrđeni identitet osobe od sredstava elektroničke identifikacije sa značajnom razinom sigurnosti te je karakterizirana upućivanjem na tehničke specifikacije, norme i s njima povezane postupke, uključujući tehničke kontrole čija je svrha značajno smanjenje rizika zlouporabe ili promjene identiteta.

3. Komisija, uzimajući u obzir odgovarajuće međunarodne norme i podložno stavku 2., provedbenim aktima do 18. rujna 2015. određuje minimalne tehničke specifikacije, norme i postupke u odnosu na koje se za sredstva elektroničke identifikacije u smislu stavka 1. utvrđuju niska, značajna i visoka razina sigurnosti.

Te minimalne tehničke specifikacije, norme i postupci određuju se upućivanjem na pouzdanost i kvalitetu sljedećih elemenata:

(a)	postupka radi dokazivanja i verifikacije identiteta fizičke ili pravne osobe koja podnosi zahtjev za izdavanje sredstava elektroničke identifikacije;

(b)	postupka za izdavanje traženih sredstava elektroničke identifikacije;

(c)	mehanizma autentikacije putem kojeg fizička ili pravna osoba koristi sredstva elektroničke identifikacije za potvrđivanje svoga identiteta pouzdajućoj strani;

(d)	tijela koje izdaje sredstvo elektroničke identifikacije;

(e)	svakog drugog tijela uključenog u podnošenje zahtjeva za izdavanje sredstava elektroničke identifikacije; i

(f)	tehničkih i sigurnosnih specifikacija izdanih sredstava elektroničke identifikacije.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 9.

Prijavljivanje

1. Država članica koja provodi prijavljivanje Komisiji prijavljuje sljedeće informacije i, bez odgađanja, sve njihove naknadne izmjene:

(a)	opis sustava elektroničke identifikacije, uključujući njegove razine sigurnosti i izdavatelja ili izdavatelje sredstava elektroničke identifikacije u okviru sustava;

(b)

primjenjivi sustav nadzora i informacije o pravilima o odgovornosti s obzirom na sljedeće:

i.	stranu koja izdaje sredstvo elektroničke identifikacije; i

ii.	stranu koja provodi postupak autentikacije;

(c)	tijelo ili tijela odgovorno (odgovorna) za sustav elektroničke identifikacije;

(d)	informacije o subjektu ili subjektima koji upravljaju registracijom jedinstvenih osobnih identifikacijskih podataka;

(e)	opis načina ispunjavanja zahtjeva određenih u provedbenim aktima iz članka 12. stavka 8.;

(f)	opis autentikacije iz članka 7. točke (f);

(g)	dogovori za suspenziju ili opoziv bilo prijavljenog sustava elektroničke identifikacije ili autentikacije ili ugroženih dijelova o kojima je riječ.

2. Godinu dana od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8., Komisija u Službenom listu Europske unije objavljuje popis sustavâ elektroničke identifikacije koji su prijavljeni na temelju stavka 1. ovog članka i osnovne informacije o njima.

3. Ako Komisija primi prijavu nakon isteka razdoblja iz stavka 2., ona u Službenom listu Europske unije objavljuje izmjene popisa iz stavka 2., u roku od dva mjeseca od datuma primitka te prijave.

4. Država članica može Komisiji podnijeti zahtjev za uklanjanje sustava elektroničke identifikacije koji je prijavila ta država članica s popisa iz stavka 2. Komisija objavljuje odgovarajuće izmjene popisa u Službenom listu Europske unije u roku od mjeseca dana od datuma primitka zahtjeva države članice.

5. Komisija može provedbenim aktima utvrditi okolnosti, oblike i postupke prijava prema stavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 10.

Povreda sigurnosti

1. U slučaju povrede ili djelomičnog ugrožavanja bilo sustava elektroničke identifikacije koji je prijavljen na temelju članka 9. stavka 1. ili autentikacije iz članka 7. točke (f) na način koji utječe na pouzdanost prekogranične autentikacije tog sustava, država članica koja provodi prijavljivanje bez odgađanja suspendira ili opoziva tu prekograničnu autentikaciju ili ugrožene dijelove o kojima je riječ i obavješćuje ostale države članice i Komisiju.

2. Kada je povreda ili ugrožavanje iz stavka 1. otklonjeno, država članica koja provodi prijavljivanje ponovno uspostavlja prekograničnu autentikaciju i bez odgađanja obavješćuje ostale države članice i Komisiju.

3. Ako povreda ili ugrožavanje iz stavka 1. nije otklonjeno u roku od 3 mjeseca od suspenzije ili opoziva, država članica koja provodi prijavljivanje obavješćuje druge države članice i Komisiju o povlačenju sustava elektroničke identifikacije.

Komisija u Službenom listu Europske unije bez odgađanja objavljuje odgovarajuće izmjene popisa iz članka 9. stavka 2.

Članak 11.

Odgovornost

1. Država članica koja provodi prijavljivanje odgovorna je za štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi nepoštovanjem obveza pri prekograničnoj transakciji prema članku 7. točkama (d) i (f).

2. Strana koja izdaje sredstva elektroničke identifikacije odgovara za štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi nepoštovanjem obveza pri prekograničnoj transakciji iz članka 7. točke (e).

3. Strana koja provodi postupak autentikacije odgovorna je za štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi nepoštovanjem obveze osiguravanja ispravne provedbe autentikacije iz članka 7. točke (f) pri prekograničnoj transakciji.

4. Stavci 1., 2. i 3. primjenjuju se u skladu s nacionalnim pravilima o odgovornosti.

5. Stavci 1., 2. i 3. ne dovode u pitanje odgovornost prema nacionalnom pravu stranaka transakcije u kojoj se koriste sredstva elektroničke identifikacije obuhvaćena sustavom elektroničke identifikacije prijavljenim na temelju članka 9. stavka 1.

whereas

(5) U svojim zaključcima od 4.
veljače 2011.
i 23.
listopada 2011.
Europsko vijeće pozvalo je Komisiju da do 2015.
uspostavi jedinstveno digitalno tržište radi brzog napretka u ključnim područjima digitalnog gospodarstva i promicanja potpuno integriranog jedinstvenog digitalnog tržišta olakšavanjem prekogranične uporabe online usluga, uz pridavanje posebne pozornosti olakšavanju sigurne elektroničke identifikacije i autentikacije.

- = -

(9) U većini slučajeva građani ne mogu koristiti elektroničku identifikaciju u svrhu autentikacije u drugoj državi članici jer nacionalni sustavi elektroničke identifikacije u njihovoj zemlji nisu priznati u drugim državama članicama.
Zbog te elektroničke prepreke pružatelji usluga ne mogu koristiti sve pogodnosti unutarnjeg tržišta.
Uzajamno priznata sredstva elektroničke identifikacije olakšat će prekogranično pružanje brojnih usluga na unutarnjem tržištu te poduzećima omogućiti prekogranično poslovanje bez suočavanja s brojnim preprekama u interakcijama s tijelima javne vlasti.

- = -

(10) Direktivom 2011/24/EU Europskog parlamenta i Vijeća (6) uspostavljena je mreža nacionalnih tijela odgovornih za eZdravstvo.
Radi veće sigurnosti i kontinuiteta prekogranične zdravstvene zaštite, mreža bi trebala izrađivati smjernice o prekograničnom pristupu elektroničkim podacima i uslugama u području zdravstva, uključujući pružanjem podrške „zajedničkim mjerama za identifikaciju i autentikaciju radi olakšavanja prenosivosti podataka u prekograničnoj zdravstvenoj zaštiti”.
Uzajamno priznavanje elektroničke identifikacije i autentikacije ključ je ostvarivanja prekogranične zdravstvene zaštite za europske građane.
Kada ljudi putuju radi liječenja, njihovi medicinski podaci moraju biti dostupni u zemlji u kojoj se liječe.
To iziskuje čvrst, siguran i pouzdan okvir elektroničke identifikacije.

- = -

(12) Jedan od ciljeva ove Uredbe jest uklanjanje postojećih prepreka u prekograničnom korištenju sredstvima elektroničke identifikacije koja se koriste u državama članicama za autentikaciju, barem za javne usluge.
Ova Uredba nema za cilj zadirati u elektroničke sustave upravljanja identitetom i s njima povezane infrastrukture uspostavljene u državama članicama.
Cilj ove Uredbe jest osigurati da pri pristupu prekograničnim online uslugama koje nude države članice postoji mogućnost sigurne elektroničke identifikacije i autentikacije.

- = -

(17) Države članice trebale bi poticati privatni sektor da dobrovoljno koristi sredstva elektroničke identifikacije u okviru prijavljenog sustava u svrhu identifikacije kada je to potrebno za online usluge ili elektroničke transakcije.
Mogućnost korištenja takvim sredstvima elektroničke identifikacije privatnom bi sektoru omogućila da se pouzda u elektroničku identifikaciju i autentikaciju koje se već uvelike koriste u mnogim državama članicama barem za javne usluge, a poduzećima i građanima olakšala bi pristup prekograničnim online uslugama.
Kako bi se privatnom sektoru olakšalo korištenje takvim sredstvima prekogranične elektroničke identifikacije, mogućnost autentikacije koju osiguravaju pojedine države članice trebala bi biti dostupna pouzdajućim stranama privatnog sektora s poslovnim nastanom izvan državnog područja te države članice pod istim onim uvjetima koji se primjenjuju na pouzdajuće strane privatnog sektora s poslovnim nastanom unutar te države članice.
Shodno tome, u pogledu pouzdajućih strana privatnog sektora, država članica koja provodi prijavljivanje može odrediti uvjete pristupa sredstvima autentikacije.
Ti uvjeti pristupa mogu ukazivati na to jesu li sredstva autentikacije koja se odnose na prijavljeni sustav trenutno dostupna pouzdajućim stranama privatnog sektora.

- = -

(18) Ova Uredba trebala bi predvidjeti odgovornost države članice koja provodi prijavljivanje, strane koja izdaje sredstva elektroničke identifikacije i strane koja provodi postupak autentikacije za neispunjavanje odgovarajućih obveza prema ovoj Uredbi.
Međutim, ova bi se Uredba trebala primjenjivati u skladu s nacionalnim pravilima o odgovornosti.
Prema tome, ona ne utječe na nacionalna pravila, primjerice, o definiciji štete ili na pravila o odgovarajućim postupovnim pravilima koja su na snazi, uključujući teret dokaza.

- = -

(65) Osim autentikacije dokumenta koji je izdala pravna osoba, elektronički pečati mogu se koristiti i za autentikaciju bilo koje digitalne imovine pravne osobe, kao što su softverski kod ili poslužitelji.

- = -

(67) Usluge autentikacije mrežnih stranica osiguravaju sredstva pomoću kojih posjetitelj mrežnih stranica može biti siguran da iza tih mrežnih stranica stoji vjerodostojan i zakoniti subjekt.
Te usluge doprinose izgradnji povjerenja i pouzdanja u vođenje poslovanja online jer će korisnici imati pouzdanja u mrežne stranice koje su autenticirane.
Pružanje i korištenje uslugama autentikacije mrežnih stranica u cijelosti su dobrovoljni.
Međutim, kako bi autentikacija mrežnih stranica postala sredstvo jačanja povjerenja, pružanja boljeg iskustva za korisnika i unapređivanja rasta na unutarnjem tržištu, ovom bi Uredbom trebalo utvrditi minimalne obveze u odnosu na sigurnost i odgovornost pružateljâ usluga i usluga koje oni pružaju.
U tu svrhu, u obzir su uzeti rezultati postojećih industrijskih inicijativa, na primjer, Tijela za certificiranje/Forum preglednikâ – Forum CA/B.
Osim toga, ova Uredba ne bi trebala ograničavati korištenje drugim sredstvima ili metodama autentikacije mrežnih stranica koji nisu obuhvaćeni ovom Uredbom niti bi trebala sprečavati pružatelje usluga autentikacije mrežnih stranica iz trećih zemalja da svoje usluge pružaju korisnicima u Uniji.
Međutim, usluge autentikacije mrežnih stranica pružatelja usluga iz treće zemlje trebale bi se priznavati kao kvalificirane, u skladu s ovom Uredbom, samo ako je sklopljen međunarodni sporazum između Unije i zemlje u kojoj taj pružatelj usluge ima poslovni nastan.

- = -

keyboard_tab EIDAS 2014/0910 HR

EIDAS 2014/0910 HR