EIDAS 2014/0910 HR

1. Država članica koja provodi prijavljivanje odgovorna je za štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi nepoštovanjem obveza pri prekograničnoj transakciji prema članku 7. točkama (d) i (f).

2. Strana koja izdaje sredstva elektroničke identifikacije odgovara za štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi nepoštovanjem obveza pri prekograničnoj transakciji iz članka 7. točke (e).

3. Strana koja provodi postupak autentikacije odgovorna je za štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi nepoštovanjem obveze osiguravanja ispravne provedbe autentikacije iz članka 7. točke (f) pri prekograničnoj transakciji.

4. Stavci 1., 2. i 3. primjenjuju se u skladu s nacionalnim pravilima o odgovornosti.

5. Stavci 1., 2. i 3. ne dovode u pitanje odgovornost prema nacionalnom pravu stranaka transakcije u kojoj se koriste sredstva elektroničke identifikacije obuhvaćena sustavom elektroničke identifikacije prijavljenim na temelju članka 9. stavka 1.

Članak 13.

Odgovornost i teret dokaza

1. Ne dovodeći u pitanje stavak 2., pružatelji usluga povjerenja odgovorni su za štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi zbog nepoštovanja obveza prema ovoj Uredbi.

Teret dokazivanja namjere ili nepažnje nekvalificiranog pružatelja usluga povjerenja je na fizičkoj ili pravnoj osobi koja zahtijeva naknadu štete iz prvog podstavka.

Namjera ili nepažnja kvalificiranog pružatelja usluga povjerenja pretpostavlja se, osim ako kvalificirani pružatelj usluga povjerenja dokaže da je šteta iz prvog podstavka nastala bez namjere ili nepažnje tog kvalificiranog pružatelja usluga povjerenja.

2. U slučaju kada pružatelji usluga povjerenja propisno i unaprijed obavijeste svoje korisnike o ograničenjima pri korištenju uslugama koje pružaju i kada su ta ograničenja prepoznatljiva za treće strane, pružatelji usluga povjerenja ne odgovaraju za štete koje nastanu zbog korištenja uslugama kojim se prekoračuju naznačena ograničenja.

3. Stavci 1. i 2. primjenjuju se u skladu s nacionalnim pravilima o odgovornosti.

Članak 18.

Uzajamna pomoć

1. Nadzorna tijela surađuju s ciljem razmjenjivanja dobre prakse.

Nadzorno tijelo, po primitku obrazloženog zahtjeva drugog nadzornog tijela, tom tijelu pruža pomoć kako bi se aktivnosti nadzornih tijela mogle provoditi na dosljedan način. Uzajamna pomoć može posebno obuhvaćati zahtjeve za informacijama i nadzorne mjere, kao što su zahtjevi za provođenje kontrola koje se odnose na izvješća o ocjenjivanju sukladnosti, kako je navedeno u člancima 20. i 21.

2. Nadzorno tijelo kojemu je upućen zahtjev za pomoć može odbiti taj zahtjev zbog bilo kojeg od sljedećih razloga:

(a)	nadzorno tijelo nije nadležno za pružanje tražene pomoći;

(b)	tražena pomoć nije razmjerna aktivnostima nadzora nadzornog tijela koje se provode u skladu s člankom 17.;

(c)	pružanje tražene pomoći ne bi bilo u skladu s ovom Uredbom.

3. Prema potrebi, države članice mogu ovlastiti svoja nadzorna tijela da provode zajedničke istrage u kojima sudjeluje osoblje nadzornih tijela iz drugih država članica. Dogovore i postupke za takva zajednička djelovanja dogovaraju i uspostavljaju dotične države članice u skladu sa svojim nacionalnim pravima.

Članak 24.

Zahtjevi u vezi s kvalificiranim pružateljima usluga povjerenja

1. Pri izdavanju kvalificiranog certifikata za uslugu povjerenja kvalificirani pružatelj usluga povjerenja provjerava, na odgovarajući način i u skladu s nacionalnim pravom, identitet i, ako je to primjenjivo, posebna obilježja fizičke ili pravne osobe kojoj se izdaje kvalificirani certifikat.

Informacije iz prvog podstavka provjerava kvalificirani pružatelj usluga povjerenja bilo izravno ili oslanjajući se na treću osobu u skladu s nacionalnim pravom:

(a)	fizičkom prisutnošću fizičke osobe ili ovlaštenog predstavnika pravne osobe; ili

(b)

na daljinu, pomoću sredstava elektroničke identifikacije, za koja je prije izdavanja kvalificiranog certifikata osigurana fizička prisutnost fizičke osobe ili ovlaštenog predstavnika pravne osobe i koja ispunjavaju zahtjeve određene u članku 8. u pogledu sigurnosnih razina „značajna” ili „visoka”; ili

(c)	pomoću certifikata kvalificiranog elektroničkog potpisa ili kvalificiranog elektroničkog pečata izdanog u skladu s točkom (a) ili (b); ili

(d)	pomoću drugih metoda identifikacije priznatih na nacionalnoj razini koja po pitanju pouzdanosti pružaju sigurnost jednaku fizičkoj prisutnosti. Jednaku sigurnost potvrđuje tijelo za ocjenjivanje sukladnosti.

2. Kvalificirani pružatelj usluga povjerenja:

(a)	obavješćuje nadzorno tijelo o svim promjenama u vezi s pružanjem svojih kvalificiranih usluga povjerenja te o namjeri prestanka obavljanja te djelatnosti;

(b)

zapošljava osoblje i, ako je to primjenjivo, podizvođače koji posjeduju potrebno stručno znanje, pouzdanost, iskustvo i kvalifikacije i koji su prošli odgovarajuće osposobljavanje u vezi sa sigurnošću i propisima o zaštiti osobnih podataka te primjenjuju upravne i upravljačke postupke u skladu s europskim ili međunarodnim normama;

(c)	u pogledu rizika od odgovornosti za štetu u skladu s člankom 13., raspolaže dostatnim financijskim sredstvima i/ili je sklopio odgovarajuće osiguranje od odgovornosti, u skladu s nacionalnim pravom;

(d)	prije stupanja u ugovorni odnos, obavješćuje, na jasan i sveobuhvatan način, svaku osobu koja želi koristiti kvalificiranu uslugu povjerenja o točnim uvjetima korištenja tom uslugom, uključujući bilo kakva ograničenja korištenja;

(e)	koristi vjerodostojne sustave i proizvode koji su zaštićeni od preinaka te osiguravaju tehničku sigurnost i pouzdanost postupaka koje ti sustavi i proizvodi podržavaju;

(f)

koristi vjerodostojne sustave za pohranu podataka koji su mu dostavljeni, u obliku koji se može provjeriti, kako bi:

i.	ti podaci bili javno dostupni za dohvat samo uz pristanak osobe na koju se ti podaci odnose;

ii.	samo ovlaštene osobe mogle obavljati nove unose u pohranjene podatke i mijenjati ih;

iii.	se mogla provjeriti autentičnost podataka;

(g)	poduzima odgovarajuće mjere protiv krivotvorenja i krađe podataka;

(h)

bilježi i čini dostupnima tijekom odgovarajućeg razdoblja, uključujući razdoblje nakon prestanka obavljanja djelatnosti kvalificiranog pružatelja usluga povjerenja, sve bitne informacije u vezi s podacima koje izdaje i prima kvalificirani pružatelj usluga povjerenja, a posebno za potrebe predlaganja dokaza u sudskim postupcima i u svrhu osiguravanja kontinuiteta usluge. Takvo se bilježenje može obavljati elektronički;

(i)	ima ažuriran plan prekida pružanja usluge radi osiguravanja njezina kontinuiteta u skladu s odredbama koje je potvrdilo nadzorno tijelo prema članku 17. stavku 4. točki (i);

(j)	osigurava zakonitu obradu osobnih podataka u skladu s Direktivom 95/46/EZ;

(k)	ako je riječ o kvalificiranim pružateljima usluga povjerenja koji izdaju kvalificirane certifikate, uspostavlja i ažurira bazu podataka certifikata.

3. Ako kvalificirani pružatelj usluga povjerenja koji izdaje kvalificirane certifikate odluči opozvati certifikat, on registrira opoziv certifikata u svojoj bazi podataka certifikata i pravodobno objavljuje status opoziva certifikata, a u svakom slučaju unutar 24 sata nakon primitka zahtjeva. Opoziv stupa na snagu odmah nakon njegove objave.

4. Imajući u vidu stavak 3., kvalificirani pružatelji usluga povjerenja koji izdaju kvalificirane certifikate pružaju bilo kojoj pouzdajućoj strani informacije o statusu valjanosti ili opoziva kvalificiranih certifikata koje su izdali. Te informacije moraju biti dostupne barem za pojedinačne certifikate, u svakom trenutku i nakon isteka razdoblja valjanosti certifikata, na automatiziran način koji je pouzdan, besplatan i učinkovit.

5. Komisija može provedbenim aktima utvrditi referentne brojeve normi za vjerodostojne sustave i proizvode koji ispunjavaju zahtjeve u skladu sa stavkom 2. točkama (e) i (f) ovog članka. Ako vjerodostojni sustavi i proizvodi udovoljavaju tim normama, smatra se da su ispunjeni zahtjevi iz ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 4.

Elektronički potpisi

whereas

(14) U ovoj Uredbi moraju biti određeni izvjesni uvjeti o tome koja sredstva elektroničke identifikacije moraju biti priznata i o načinu na koji bi sustave elektroničke identifikacije trebalo prijaviti.
Ti bi uvjeti trebali pomoći državama članicama da izgrade nužno međusobno povjerenje u njihove sustave elektroničke identifikacije i uzajamno priznaju sredstva elektroničke identifikacije koja su obuhvaćena njihovim prijavljenim sustavima.
Načelo uzajamnog priznavanja trebalo bi vrijediti ako sustav elektroničke identifikacije države članice koja provodi prijavljivanje ispunjava uvjete prijavljivanja i ako je prijava objavljena u Službenom listu Europske unije.
Međutim, načelo uzajamnog priznavanja trebalo bi se odnositi samo na autentikaciju na online uslugu.
Pristup tim online uslugama i njihovo konačno pružanje podnositelju trebali bi biti usko povezani s pravom primanja takvih usluga pod uvjetima određenima nacionalnim zakonodavstvom.

- = -

(18) Ova Uredba trebala bi predvidjeti odgovornost države članice koja provodi prijavljivanje, strane koja izdaje sredstva elektroničke identifikacije i strane koja provodi postupak autentikacije za neispunjavanje odgovarajućih obveza prema ovoj Uredbi.
Međutim, ova bi se Uredba trebala primjenjivati u skladu s nacionalnim pravilima o odgovornosti.
Prema tome, ona ne utječe na nacionalna pravila, primjerice, o definiciji štete ili na pravila o odgovarajućim postupovnim pravilima koja su na snazi, uključujući teret dokaza.

- = -

(21) Ovom bi se Uredbom također trebao uspostaviti opći pravni okvir za korištenje uslugama povjerenja.
Međutim, njome se ne bi trebalo uvesti opću obvezu njihovog korištenja ili uvođenja pristupne točke za sve postojeće usluge povjerenja.
Posebice, ona ne bi smjela obuhvaćati pružanje usluga koje se isključivo koriste unutar zatvorenih sustava među utvrđenom skupinom sudionika koji nemaju nikakav utjecaj na treće strane.
Primjerice, sustavi uspostavljeni u poduzećima ili upravama javnih tijela radi upravljanja internim postupcima koji koriste usluge povjerenja ne bi trebali biti podložni zahtjevima ove Uredbe.
Samo usluge povjerenja koje se pružaju javnosti i koje imaju učinke na treće strane trebale bi ispunjavati zahtjeve utvrđene u Uredbi.
Ova Uredba ne bi trebala obuhvaćati ni aspekte koji se odnose na sklapanje i valjanost ugovorâ ili drugih pravnih obveza ako postoje zahtjevi vezani uz oblik utvrđeni nacionalnim pravom ili pravom Unije.
Osim toga, ona ne bi trebala utjecati na nacionalne zahtjeve vezane uz oblik koji vrijede za javne registre, a posebno trgovačke registre i zemljišne knjige.

- = -

(22) Radi doprinosa njihovom općem prekograničnom korištenju, trebalo bi biti moguće usluge povjerenja koristiti kao dokaze u sudskim postupcima u svim državama članicama.
Pravne učinke usluga povjerenja potrebno je odrediti nacionalnim pravom, osim ako je drukčije predviđeno ovom Uredbom.

- = -

(37) Ovom bi se Uredbom trebala predvidjeti odgovornost svih pružatelja usluga povjerenja.
Njome se posebno uspostavlja sustav odgovornosti prema kojemu bi svi pružatelji usluga povjerenja trebali biti odgovorni za štetu nanesenu svakoj fizičkoj ili pravnoj osobi zbog neispunjavanja obveza u skladu s ovom Uredbom.
Kako bi se olakšala procjena financijskog rizika koji bi pružatelji usluga povjerenja mogli snositi ili koji bi trebali pokriti policama osiguranja, ovom se Uredbom dopušta pružateljima usluga povjerenja da odrede ograničenja, pod određenim uvjetima, za korištenje uslugama koje oni pružaju te da ne podliježu odgovornosti za štete povezane s korištenjem uslugama koje prelazi takva ograničenja.
Korisnike usluga trebalo bi na odgovarajući način i unaprijed obavješćivati o tim ograničenjima.
Ta ograničenja trebala bi biti prepoznatljiva trećim osobama, na primjer, uvrštavanjem informacija o ograničenjima u uvjete poslovanja za pruženu uslugu ili putem drugih dopustivih sredstava.
U svrhu provedbe tih načela u praksi, ovu bi Uredbu trebalo primjenjivati u skladu s nacionalnim pravilima o odgovornosti.
Ova Uredba stoga ne utječe na nacionalna pravila, primjerice, o definiranju šteta, namjeri, nepažnji ili odgovarajuća postupovna pravila koja su na snazi.

- = -

(49) Ovom bi Uredbom trebalo uspostaviti načelo prema kojem se elektroničkom potpisu ne bi smio uskratiti pravni učinak zbog toga što je on u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve kvalificiranog elektroničkog potpisa.
Međutim, pravne učinke elektroničkih potpisa, osim zahtjeva predviđenih u ovoj Uredbi prema kojima bi kvalificirani elektronički potpis trebao imati jednake pravne učinke kao vlastoručni potpis, potrebno je odrediti nacionalnim pravom.

- = -

(66) Bitno je osigurati pravni okvir kako bi se olakšalo prekogranično priznavanje među postojećim nacionalnim pravnim sustavima u odnosu na usluge elektroničke preporučene dostave.
Tim bi se okvirom mogle otvoriti i nove tržišne mogućnosti za Unijine pružatelje usluga povjerenja jer će oni na paneuropskoj razini moći ponuditi nove usluge elektroničke preporučene dostave.

- = -

keyboard_tab EIDAS 2014/0910 HR

EIDAS 2014/0910 HR