EIDAS 2014/0910 HU

A belső piac megfelelő működésének biztosítása, ugyanakkor az elektronikus_azonosító_eszközök és a bizalmi_szolgáltatások megfelelő szintű biztonságának garantálása érdekében ez a rendelet:

a)	megállapítja azokat a feltételeket, amelyek mellett a tagállamok elismerik a természetes és jogi_személyek más tagállamok bejelentett elektronikus_azonosítási rendszerének keretébe tartozó elektronikus_azonosító_eszközeit;

b)	megállapítja különösen az elektronikus tranzakciókhoz kapcsolódó bizalmi_szolgáltatásokra vonatkozó szabályokat; valamint

c)	létrehozza az elektronikus_aláírások, az elektronikus_bélyegzők, az elektronikus_időbélyegzők, az elektronikus_dokumentumok, az ajánlott_elektronikus_kézbesítési_szolgáltatások és a weboldal- hitelesítési szolgáltatások jogi keretét.

9. cikk

Bejelentés

(1) A bejelentő tagállam a következő információkat, valamint azok későbbi változásait indokolatlan késedelem nélkül bejelenti a Bizottságnak:

a)	az elektronikus_azonosítási rendszer leírása, ezen belül a rendszer biztonsági szintjei, az adott rendszerbe tartozó elektronikus_azonosító_eszközök kibocsátója (kibocsátói);

az alkalmazandó felügyeleti rendszer, valamint tájékoztatás a felelősségi szabályokról az alábbiak vonatkozásában:

i.	az elektronikus_azonosító_eszközt kibocsátó fél; valamint

ii.	a hitelesítési eljárást végrehajtó fél;

c)	az elektronikus_azonosítási rendszerért felelős hatóság vagy hatóságok;

d)	tájékoztatás az egyedi személyazonosító_adatok nyilvántartásba vételét kezelő szervezetről vagy szervezetekről;

e)	annak ismertetése, hogy a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusokban foglalt előírások milyen módon teljesülnek;

f)	a 7. cikk f) pontjában említett hitelesítés leírása;

g)	a bejelentett elektronikus_azonosítási rendszernek vagy hitelesítésnek vagy azok veszélyeztetett részeinek a felfüggesztésére vagy visszavonására vonatkozó szabályok.

(2) A 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazásának időpontját követően egy évvel a Bizottság az Európai Unió Hivatalos Lapjában közzéteszi az e cikk (1) bekezdése szerint bejelentett elektronikus_azonosítási rendszerek listáját és az azokkal kapcsolatos alapinformációkat.

(3) Amennyiben a (2) bekezdésben említett határidő lejárta után érkezik bejelentés, a Bizottság a bejelentés kézhezvételétől számított két hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a (2) bekezdésben említett lista változásait.

(4) Bármely tagállam kérelmezheti a Bizottságtól, hogy az általa bejelentett elektronikus_azonosítási rendszert törölje a (2) bekezdésben említett listáról. A Bizottság a tagállam kérelmének kézhezvételétől számított egy hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a lista módosításait.

(5) A Bizottság végrehajtási jogi aktusok útján meghatározhatja az (1) bekezdés szerinti bejelentés feltételeit, formátumait és eljárásait. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

19. cikk

Bizalmi szolgáltatókra vonatkozó biztonsági előírások

(1) A minősített és nem minősített bizalmi_szolgáltatók megfelelő technikai és szervezeti intézkedéseket hajtanak végre az általuk nyújtott bizalmi_szolgáltatások biztonságát fenyegető kockázatok kezelése érdekében. Ezen intézkedésekkel – figyelembe véve a legújabb technológiai fejleményeket – biztosítani kell, hogy a biztonsági szint arányos legyen a kockázat mértékével. Intézkedéseket kell végrehajtani különösen a biztonsági események megelőzése és azok hatásának minimálisra csökkentése, valamint az érdekeltek bármely esemény káros hatásairól való tájékoztatása érdekében.

(2) A minősített és nem minősített bizalmi_szolgáltatók indokolatlan késedelem nélkül, de minden esetben az esetről való értesüléstől számított 24 órán belül értesítik a felügyeleti szervet és adott esetben más érintett szerveket, például az információbiztonságért felelős nemzeti szervet vagy az adatvédelmi hatóságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről, amennyiben az jelentős hatást gyakorol a bizalmi_szolgáltatásra vagy az annak keretében tárolt személyes adatokra.

Amennyiben a biztonság megsértése vagy az adatok sértetlenségének megszűnése vélhetőleg hátrányosan érintheti azt a természetes vagy jogi_személyt, aki bizalmi_szolgáltatást vett igénybe, a bizalmi_szolgáltató a természetes vagy jogi_személyt is indokolatlan késedelem nélkül értesíti a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről.

Adott esetben, különösen, ha a biztonság megsértése vagy az adatok sértetlenségének megszűnése két vagy több tagállamot érint, az értesítést kézhez vevő felügyeleti szerv tájékoztatja a többi érintett tagállam felügyeleti szerveit és az ENISA-t.

Az értesített felügyeleti szerv tájékoztatja a nyilvánosságot, vagy a bizalmi_szolgáltatókat kötelezi erre, amennyiben megállapítja, hogy a biztonság megsértésének vagy az adatok sértetlensége megszűnésének a nyilvánosságra hozatala közérdekből szükséges.

(3) A felügyeleti szerv évente egyszer összefoglaló tájékoztatást nyújt az ENISA számára a bizalmi_szolgáltatóktól beérkezett, a biztonság megsértésére és az adatok sértetlenségének megszűnésére vonatkozó bejelentésekről.

(4) A Bizottság végrehajtási jogi aktusok útján:

a)	az (1) bekezdésben említett intézkedéseket tovább pontosíthatja, és

b)	meghatározhatja a (2) bekezdés céljára alkalmazandó formátumokat és eljárásokat, beleértve a határidőket is.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

3. SZAKASZ

Minősített bizalmi_szolgáltatások

26. cikk

A fokozott biztonságú elektronikus_aláírásra vonatkozó követelmények

A fokozott biztonságú elektronikus_aláírásnak az alábbi követelményeknek kell megfelelnie:

a)	kizárólag az aláíróhoz köthető;

b)	alkalmas az aláíró azonosítására;

c)	olyan, elektronikus_aláírás létrehozásához használt adatok felhasználásával hozzák létre, amelyeket az aláíró nagy megbízhatósággal kizárólag saját maga használhat;

d)	olyan módon kapcsolódik azokhoz az adatokhoz, amelyeket aláírtak vele, hogy az adatok minden későbbi változása nyomon követhető.

27. cikk

Elektronikus aláírások használata a közigazgatásban

(1) Ha egy tagállam egy közigazgatási_szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához fokozott biztonságú elektronikus_aláírás alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie azokat a fokozott biztonságú elektronikus_aláírásokat, elektronikus_aláírás minősített tanúsítványán alapuló, fokozott biztonságú elektronikus_aláírásokat és minősített elektronikus_aláírásokat, amelyeket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy módszerek alkalmazásával hoztak létre.

(2) Ha egy tagállam egy közigazgatási_szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához minősített tanúsítványon alapuló, fokozott biztonságú elektronikus_aláírás alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie azokat a minősített tanúsítványon alapuló, fokozott biztonságú elektronikus_aláírásokat és a minősített elektronikus_aláírásokat, amelyeket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy módszerek alkalmazásával hoztak létre.

(3) A közigazgatási_szervek által nyújtott online szolgáltatások határokon átnyúló igénybevétele tekintetében a tagállamok nem követelhetnek meg a minősített elektronikus_aláírásnál magasabb biztonsági szintű elektronikus_aláírást.

(4) A Bizottság végrehajtási jogi aktusok útján összeállíthatja a fokozott biztonságú elektronikus_aláírásokra vonatkozó szabványok hivatkozási számainak listáját. Ha egy fokozott biztonságú elektronikus_aláírás megfelel ezeknek a szabványoknak, vélelmezni kell, hogy az aláírás az e cikk (1) és (2) bekezdése és a 26. cikk szerinti, a fokozott biztonságú elektronikus_aláírásokra vonatkozó követelményeket is teljesíti. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

(5) 2015. szeptember 18-ig, és figyelembe véve a jelenlegi gyakorlatot, szabványokat és uniós jogi aktusokat, a Bizottság végrehajtási jogi aktusok útján meghatározza a fokozott biztonságú elektronikus_aláírások referenciaformátumait, illetve az alternatív formátumok használata esetén alkalmazandó referencia-módszereket. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

36. cikk

Fokozott biztonságú elektronikus_bélyegzőkre vonatkozó követelmények

A fokozott biztonságú elektronikus_bélyegzőnek az alábbi követelményeknek kell megfelelnie:

a)	kizárólag a bélyegző létrehozójához kötött;

b)	alkalmas a bélyegző létrehozójának azonosítására;

c)	olyan, elektronikus_bélyegző létrehozásához használt adatok felhasználásával hozzák létre, amelyeket a bélyegző_létrehozója nagy megbízhatósággal kizárólag saját maga elektronikus_bélyegző létrehozására használhat;

d)	olyan módon kapcsolódik azokhoz az adatokhoz, amelyekre vonatkozik, hogy az adatok minden későbbi változása nyomon követhető;

43. cikk

Az ajánlott_elektronikus_kézbesítési_szolgáltatás joghatása

(1) Az ajánlott_elektronikus_kézbesítési_szolgáltatás alkalmazásával küldött és fogadott adatok joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy azok elektronikus formában állnak rendelkezésre, illetve nem felelnek meg a minősített ajánlott_elektronikus_kézbesítési_szolgáltatásra vonatkozó követelményeknek.

(2) A minősített ajánlott_elektronikus_kézbesítési_szolgáltatás alkalmazásával küldött és fogadott adatok esetében vélelmezni kell azok sértetlenségét, az adatok küldésének az azonosított küldő és az adatok fogadásának az azonosított fogadó általi végrehajtása tényét, valamint az adatküldésnek és -fogadásnak a minősített ajánlott_elektronikus_kézbesítési_szolgáltatás által feltüntetett dátuma és időpontja pontosságát.

51. cikk

Átmeneti intézkedések

(1) azokat a biztonságos elektronikus_aláírást létrehozó eszközöket, amelyek megfelelőségét az 1999/93/EK irányelv 3. cikke (4) bekezdésével összhangban állapították meg, e rendelet értelmében minősített elektronikus_aláírást létrehozó eszköznek kell tekinteni.

(2) Az 1999/93/EK irányelv alapján természetes személyek számára kibocsátott minősített tanúsítványokat érvényességük időpontjáig e rendelet szerinti, elektronikus_aláírások minősített tanúsítványának kell tekinteni.

(3) Az 1999/93/EK irányelv alapján minősített tanúsítványokat kibocsátó tanúsítási szolgáltatóknak a lehető leghamarabb, de legkésőbb a 2017. július 1-ig megfelelőségértékelési jelentést kell benyújtaniuk a felügyeleti szervhez. A megfelelőségértékelési jelentés benyújtásáig és annak a felügyeleti szerv általi értékelése lezártáig a tanúsítási szolgáltatót e rendelet szerinti minősített bizalmi_szolgáltatónak kell tekinteni.

(4) Amennyiben az 1999/93/EK irányelv alapján minősített tanúsítványokat kibocsátó tanúsítási szolgáltató a (3) bekezdésben említett határidőn belül nem nyújt be megfelelőségértékelési jelentést a felügyeleti szervhez, 2017. július 2-től nem tekinthető e rendelet értelmében vett minősített bizalmi_szolgáltatónak.

52. cikk

Hatálybalépés

(1) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

(2) Ezt a rendeletet 2016. július 1-jétől kell alkalmazni, kivéve a következő rendelkezéseket:

a 8. cikk (3) bekezdését, a 9. cikk (5) bekezdését, a 12. cikk (2)–(9) bekezdését, a 17. cikk (8) bekezdését, a 19. cikk (4) bekezdését, a 20. cikk (4) bekezdését, a 21. cikk (4) bekezdését, a 22. cikk (5) bekezdését, a 23. cikk (3) bekezdését, a 24. cikk (5) bekezdését, a 27. cikk (4) és (5) bekezdését, a 28. cikk (6) bekezdését, a 29. cikk (2) bekezdését, a 30. cikk (3) és (4) bekezdését, a 31. cikk (3) bekezdését, a 32. cikk (3) bekezdését, a 33. cikk (2) bekezdését, a 34. cikk (2) bekezdését, a 37. cikk (4) és (5) bekezdését, a 38. cikk (6) bekezdését, a 42. cikk (2) bekezdését, a 44. cikk (2) bekezdését, a 45. cikk (2) bekezdését, a 47. cikket és a 48. cikket 2014. szeptember 17-től kezdődően kell alkalmazni;

b)	a 7. cikket, a 8. cikk (1) és (2) bekezdését, a 9., 10., és 11. cikket, valamint a 12. cikk (1) bekezdését a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától kezdve kell alkalmazni;

c)	a 6. cikket a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától számított 3 év elteltével kell alkalmazni.

(3) Amennyiben a bejelentett elektronikus_azonosítási rendszer az e cikk (2) bekezdésének c) pontjában említett időpontot megelőzően már szerepel a Bizottság által a 9. cikk alapján közzétett listán, akkor az említett rendszer szerinti elektronikus_azonosító_eszköznek a 6. cikk alapján történő elismerésére legkésőbb a szóban forgó rendszer közzétételét követő 12 hónapon belül, de semmi esetre sem az e cikk (2) bekezdésének c) pontjában említett időpontot megelőzően kerül sor.

(4) Az e cikk (2) bekezdésének c) pontja ellenére egy tagállam határozhat úgy, hogy a valamely másik tagállam által a 9. cikk (1) bekezdése alapján bejelentett elektronikus_azonosítási rendszer szerinti elektronikus_azonosító_eszközöket a saját tagállamában a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától kezdve ismeri el. Erről az érintett tagállamok tájékoztatják a Bizottságot. A Bizottság ezeket az információkat közzéteszi.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2014. július 23-án.

a Parlament részéről

az elnök

M. SCHULZ

a Tanács részéről

az elnök

S. GOZI

(1) HL C 351., 2012.11.15., 73. o.

(2) Az Európai Parlament 2014. április 3-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 2014. július 23-i határozata.

(3) Az Európai Parlament és a Tanács 1999. december 13-i 1999/93/EK irányelve az elektronikus_aláírásra vonatkozó közösségi keretfeltételekről (HL L 13., 2000.1.19., 12. o.,).

(4) HL C 50 E., 2012.2.21., 1. o.

(5) Az Európai Parlament és a Tanács 2006. december 12-i 2006/123/EK irányelve a belső piaci szolgáltatásokról (HL L 376., 2006.12.27., 36. o.).

(6) Az Európai Parlament és a Tanács 2011. március 9-i 2011/24/EU irányelve a határon átnyúló egészségügyi ellátásra vonatkozó betegjogok érvényesítéséről (HL L 88., 2011.4.4., 45. o.).

(7) Az Európai Parlament és a Tanács 1995. október 24-i 95/46/EK irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).

(8) A Tanács 2009. november 26-i 2010/48/EK határozata a fogyatékossággal élő személyek jogairól szóló ENSZ-egyezménynek az Európai Közösség által történő megkötéséről (HL L 23., 2010.1.27., 35. o.).

(9) Az Európai Parlament és a Tanács 2008. július 9-i 765/2008/EK rendelete a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30. o.).

(10) A Bizottság 2009. október 16-i 2009/767/EK határozata az eljárásoknak a belső piaci szolgáltatásokról szóló 2006/123/EK európai parlamenti és tanácsi irányelv szerinti egyablakos ügyintézési pontokon keresztül elektronikus eszközökkel történő teljesítését lehetővé tevő rendelkezések meghatározásáról (HL L 274., 2009.10.20., 36. o.).

(11) A Bizottság 2011. február 25-i 2011/130/EU határozata az illetékes hatóságok által a belső piaci szolgáltatásokról szóló 2006/123/EK európai parlamenti és tanácsi irányelv alapján elektronikusan aláírt dokumentumok országhatáron átnyúló feldolgozására vonatkozó minimumkövetelményekről (HL L 53., 2011.2.26., 66. o.)

(12) Az Európai Parlament és a Tanács 2011. február 16-i 182/2011/EU rendelete a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).

(13) Az Európai Parlament és a Tanács 2000. december 18-i 45/2001/EK rendelete a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.).

(14) HL C 28., 2013.1.30., 6. o.).

(15) Az Európai Parlament és a Tanács 2014. február 26-i 2014/24/EU irányelve a közbeszerzésről és a 2004/18/EK irányelv hatályon kívül helyezéséről (HL L 94., 2014.3.28., 65. o.).

I. MELLÉKLET

AZ ELEKTRONIKUS ALÁÍRÁSOK MINŐSÍTETT TANÚSÍTVÁNYAIRA VONATKOZÓ KÖVETELMÉNYEK

Az elektronikus_aláírások minősített tanúsítványainak a következőket kell tartalmazniuk:

a)	legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt elektronikus_aláírás minősített tanúsítványaként bocsátották ki;

a minősített tanúsítványt kibocsátó minősített bizalmi_szolgáltatót egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett szolgáltató letelepedett, valamint

—	jogi_személy esetében a hivatalos nyilvántartásban szereplő megnevezést és adott esetben nyilvántartási számot,

—	természetes személy esetében a személy nevét;

c)	legalább az aláíró neve vagy pedig egy álnév;. álnév használata esetén ezt egyértelműen jelezni kell;

d)	az elektronikus_aláírás érvényesítéséhez használt adat, amely megfelel az elektronikus_aláírás létrehozásához használt adatnak;

e)	a tanúsítvány érvényességi idejének kezdete és vége;

f)	a tanúsítvány azonosító kódja, amelynek a minősített bizalmi_szolgáltatóhoz tartozó egyedi kódnak kell lennie;

g)	a minősített bizalmi_szolgáltató fokozott biztonságú elektronikus_aláírása vagy fokozott biztonságú elektronikus_bélyegzője;

h)	az a helyszín, ahol a g) pontban említett, a fokozott biztonságú elektronikus_aláírásra vagy fokozott biztonságú elektronikus_bélyegzőre vonatkozó tanúsítvány ingyenesen hozzáférhető;

i)	azoknak a szolgáltatásoknak a helye, amelyek segítségével felvilágosítás kérhető a minősített tanúsítvány érvényességi állapotáról;

j)	amennyiben az elektronikus_aláírás érvényesítéséhez használt adathoz kapcsolódó, elektronikus_aláírás létrehozásához használt adat minősített elektronikus_aláírást létrehozó eszközön található, ennek megfelelő feltüntetése, legalább automatizált feldolgozásra alkalmas formában.

II. MELLÉKLET

A MINŐSÍTETT ELEKTRONIKUS ALÁÍRÁST LÉTREHOZÓ ESZKÖZÖKRE VONATKOZÓ KÖVETELMÉNYEK

A minősített elektronikus_aláírást létrehozó eszközöknek megfelelő technikai és eljárási megoldások segítségével garantálniuk kell legalább azt, hogy:

a)	az elektronikus_aláírás létrehozásához használt adat bizalmassága ésszerű mértékben biztosítva legyen;

b)	az elektronikus_aláírás létrehozásához használt adat gyakorlatilag csak egyszer jöhessen létre;

c)	az elektronikus_aláírás létrehozásához használt adatok kikövetkeztethetősége ésszerű mértékig kizárható legyen, az elektronikus_aláírás pedig megbízhatóan védve legyen a jelenleg rendelkezésre álló technológiákkal elkövetett hamisítás ellen;

d)	az elektronikus_aláírás létrehozásához használt adatot a jogszerűen aláíró személy megbízható védelemmel tudja ellátni a mások általi felhasználás ellen.

A minősített elektronikus_aláírást létrehozó eszközök nem módosíthatják az aláírással ellátandó adatokat, és nem akadályozhatják meg, hogy az adatokat az aláíró az aláírás előtt megtekintse.

Az elektronikus_aláírás létrehozásához használt adatnak az aláíró nevében történő előállítását és kezelését csak minősített bizalmi_szolgáltató végezheti.

Az 1. pont d) alpontjának sérelme nélkül, az elektronikus_aláírás létrehozásához használt adat kezelését az aláíró nevében végző minősített bizalmi_szolgáltatók kizárólag adatmentési célból biztonsági másolatot készíthetnek az elektronikus_aláírás létrehozásához használt adatról, amennyiben teljesülnek a következő követelmények:

a)	a biztonsági adatállomány ugyanolyan biztonságos, mint az eredeti adatállomány;

b)	a biztonsági adatállományok száma nem haladhatja meg a szolgáltatás folytonosságának biztosításához minimálisan szükséges mennyiséget.

III. MELLÉKLET

AZ ELEKTRONIKUS BÉLYEGZŐK MINŐSÍTETT TANÚSÍTVÁNYAIRA VONATKOZÓ KÖVETELMÉNYEK

Az elektronikus_bélyegzők minősített tanúsítványainak a következőket kell tartalmazniuk:

a)	legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt elektronikus_bélyegző minősített tanúsítványaként bocsátották ki;

—	jogi_személy esetében a hivatalos nyilvántartásban szereplő megnevezést és adott esetben nyilvántartási számot,

—	természetes személy esetében a személy nevét;

c)	a bélyegző létrehozójának legalább a hivatalos nyilvántartásban szereplő neve és adott esetben nyilvántartási száma;

d)	az elektronikus_bélyegző érvényesítéséhez használt adat, amelyek megfelel az elektronikus_bélyegző létrehozásához használt adatnak;

e)	a tanúsítvány érvényességi idejének kezdete és vége;

f)	a tanúsítvány azonosító kódja, amelynek a minősített bizalmi_szolgáltatóhoz tartozó egyedi kódnak kell lennie;

g)	a minősített bizalmi_szolgáltató fokozott biztonságú elektronikus_aláírása vagy fokozott biztonságú elektronikus_bélyegzője;

h)	az a helyszín, ahol a g) pontban említett, a fokozott biztonságú elektronikus_aláírásra vagy fokozott biztonságú elektronikus_bélyegzőre vonatkozó tanúsítvány ingyenesen hozzáférhető;

i)	azoknak a szolgáltatásoknak a helye, amelyek segítségével felvilágosítás kérhető a minősített tanúsítvány érvényességi állapotáról;

j)	amennyiben az elektronikus_bélyegző érvényesítéséhez használt adathoz kapcsolódó, elektronikus_bélyegző létrehozásához használt adat minősített elektronikus_bélyegzőt létrehozó eszközön található, ennek megfelelő feltüntetése, legalább automatizált feldolgozásra alkalmas formában.

IV. MELLÉKLET

WEBOLDAL HITELESÍTÉSÉRE SZOLGÁLÓ MINŐSÍTETT TANÚSÍTVÁNYOKRA VONATKOZÓ KÖVETELMÉNYEK

A weboldal hitelesítésére szolgáló minősített tanúsítványnak a következőket kell tartalmaznia:

a)	legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt weboldal hitelesítésére szolgáló minősített tanúsítványként bocsátották ki;

—	jogi_személy esetében a hivatalos nyilvántartásban szereplő megnevezést és adott esetben nyilvántartási számot,

—	természetes személy esetében a személy nevét;

természetes személyek esetében legalább annak a személynek a neve, aki számára a tanúsítványt kibocsátották, vagy egy álnév. Álnév használata esetén ezt egyértelműen jelezni kell;

jogi_személyek esetében legalább annak a jogi_személynek a neve, amely számára a tanúsítványt kibocsátották, és adott esetben a hivatalos nyilvántartásban szereplő nyilvántartási szám;

d)	annak a természetes vagy jogi_személynek a címéhez tartozó elemek, beleértve legalább a várost és a tagállamot, amelynek a számára a tanúsítványt kibocsátják, adott esetben a hivatalos nyilvántartásban szereplő formában;

e)	a kibocsátott tanúsítvány jogosultjaként megnevezett természetes vagy jogi_személy által működtetett doménnév (doménnevek).

f)	a tanúsítvány érvényességi idejének kezdete és vége;

g)	a tanúsítvány azonosító kódja, amelynek a minősített bizalmi_szolgáltatóhoz tartozó egyedi kódnak kell lennie;

h)	a minősített bizalmi_szolgáltató fokozott biztonságú elektronikus_aláírása vagy fokozott biztonságú elektronikus_bélyegzője;

i)	az a helyszín, ahol a h) pontban említett fokozott biztonságú elektronikus_aláírásra vagy fokozott biztonságú elektronikus_bélyegzőre vonatkozó tanúsítvány ingyenesen hozzáférhető;

j)	azoknak a szolgáltatásoknak a helye, amelyek segítségével felvilágosítás kérhető a minősített tanúsítvány érvényességi állapotáról.

whereas

(11) E rendeletet a 95/46/EK európai parlamenti és tanácsi irányelvben (7) a személyes adatok védelme tekintetében megállapított elvekkel teljes összhangban kell alkalmazni.
E tekintetben a kölcsönös elismerés e rendelet által megállapított elvét illetően az online szolgáltatás igénybevételéhez szükséges hitelesítéskor a személyes adatok feldolgozásának csak azokra az azonosító adatokra szabad kiterjednie, amelyek az adott online szolgáltatás igénybevétele tekintetében megfelelőnek és relevánsnak tekinthetők, és nem lépik túl az igénybevételi jogosultság megadásához szükséges mértéket.
Ezen felül a bizalmi_szolgáltatóknak és a felügyeleti hatóságoknak tiszteletben kell tartaniuk a 95/46/EK irányelvben az adatfeldolgozás bizalmas jellegére és biztonságára vonatkozóan megállapított előírásokat.

- = -

(12) E rendelet egyik célkitűzése, hogy elhárítsa azokat a meglévő akadályokat, amelyek a tagállamokban az elektronikus_azonosító_eszközök határokon átnyúló használatának útjában állnak, legalábbis a közszolgáltatások igénybevétele céljából való hitelesítés tekintetében.
E rendeletnek nem célja, hogy beavatkozzon a tagállamokban kialakított elektronikus személyazonosság-kezelő rendszerekbe és az ezekhez kapcsolódó infrastruktúrákba.
E rendelet célja, hogy a tagállamok által kínált, határokon átnyúló online szolgáltatások igénybevételéhez biztosítsa a biztonságos azonosítás és hitelesítés lehetőségét.

- = -

(15) Az elektronikus_azonosító_eszközök elismerésének kötelezettségének csak azokra az eszközökre kell vonatkoznia, amelyek olyan biztonsági szintű azonosítást tesznek lehetővé, amely eléri vagy meghaladja a szóban forgó online szolgáltatás igénybevételéhez szükséges biztonsági szintet.
Ezenkívül ennek a kötelezettségnek csak abban az esetben indokolt fennállnia, ha az érintett közigazgatási_szerv az adott online szolgáltatás igénybevételéhez „ jelentős” vagy „ magas” biztonsági szintű azonosítást használ.
Az uniós joggal összhangban lehetővé kell tenni a tagállamok számára, hogy olyan elektronikus_azonosító_eszközöket is elismerjenek, amelyek alacsonyabb biztonsági szintű azonosítást tesznek lehetővé.

- = -

(16) A biztonsági szinteknek azt kell megmutatniuk, hogy egy elektronikus_azonosító_eszköz milyen szintű megbízhatósággal állapítja meg egy személy személyazonosságát, ezáltal biztosítékot nyújtva arra, hogy egy bizonyos személyazonosságot sajátjának mondó személy ténylegesen az, akihez az adott személyazonosságot hozzárendelték.
A biztonsági szint attól függ, hogy az elektronikus_azonosító_eszköz milyen szintű megbízhatósággal ellenőrzi egy személynek az általa megadott vagy állítólagos személyazonosságát, figyelembe véve az alkalmazott folyamatokat (például személyazonosítás és személyazonosság-ellenőrzés, valamint hitelesítés), az igazgatási tevékenységeket (például az elektronikus_azonosító_eszközöket kibocsátó szervezet valamint az ilyen eszközök kibocsátására alkalmazandó eljárás) és a végrehajtott technikai ellenőrzéseket.
Az uniós finanszírozású, nagy volumenű kísérleti projektek, a szabványosítási és a nemzetközi tevékenységek eredményeképpen a biztonsági szinteknek többféle technikai meghatározása és leírása létezik. Így különösen a nagy volumenű STORK kísérleti projekt és az ISO 29115 keretében többek között a 2., 3. és 4.
szint használatos, amelyeket a legmesszebbmenőkig figyelembe kell venni a minimális technikai követelmények és az e rendelet szerinti „ alacsony”, „ jelentős” és „ magas” biztonsági szintre vonatkozó szabványok és eljárások kidolgozásakor, biztosítva ugyanakkor e rendelet következetes alkalmazását, különösen a minősített tanúsítványok kibocsátásához szükséges személyazonosság-ellenőrzéshez kapcsolódó „ magas” biztonsági szint tekintetében.
A megállapított követelményeknek technológiai szempontból semlegesnek kell lenniük.
A szükséges biztonsági követelményeket úgy kell megállapítani, hogy azokat eltérő technológiák alkalmazásával is teljesíteni lehessen.

- = -

(17) A tagállamoknak ösztönözniük kell a magánszektort arra, hogy – önkéntes alapon – használják a bejelentett rendszer keretébe tartozó elektronikus_azonosító_eszközöket olyan esetekben, amelyekben az online szolgáltatásokhoz vagy elektronikus tranzakciókhoz azonosítás szükséges.
Az ilyen elektronikus_azonosító_eszközök alkalmazásának lehetősége hozzásegítheti a magánszektort, hogy a számos tagállamban legalábbis a közszolgáltatásokhoz már széleskörűen használt elektronikus_azonosításra és hitelesítésre támaszkodjon, és megkönnyíti a vállalkozások és a polgárok számára az online szolgáltatásaik más tagállamokban való igénybevételét.
Annak elősegítése érdekében, hogy a magánszektor számára is biztosított legyen az ilyen elektronikus_azonosító_eszközök több tagállamra kiterjedő használata, a szolgáltatást igénybe venni kívánó, az adott tagállam területén kívül letelepedett magánszektorbeli felek számára egyaránt igénybe vehetővé kell tenni a bármely tagállam által biztosított hitelesítési lehetőségeket, mégpedig ugyanazon feltételek mellett, mint amelyek az adott tagállamban letelepedett, a szolgáltatást igénybe vevő magánszektorbeli felekre érvényesek.
Következésképp a szolgáltatást igénybe venni kívánó, magánszektorbeli felek tekintetében a bejelentő tagállam határozhatja meg azokat a feltételeket, amelyek mellett azok igénybe vehetik a hitelesítési eszközöket.
Az igénybevétel feltételei között tájékoztatás nyújtható arról is, hogy a bejelentett rendszerhez kapcsolódó hitelesítési eszközök az adott időpontban elérhetők-e a szolgáltatást igénybe venni kívánó magánszektorbeli felek számára.

- = -

(19) Az elektronikus_azonosítási rendszerek biztonsága kulcsfontosságú az elektronikus_azonosító_eszközök tagállamok közötti kölcsönös elismeréséhez.
Ezzel összefüggésben a tagállamoknak együtt kell működniük az elektronikus_azonosítási rendszerek biztonságának és uniós szintű interoperabilitásának biztosítása érdekében.
Amennyiben az elektronikus_azonosítási rendszerek igénybevétele speciális hardver vagy szoftver használatát kívánja meg az azokat nemzeti szinten igénybe vevő felektől, határokon átnyúló interoperabilitás biztosítása érdekében a tagállamok nem követelhetik meg az ilyen eszközök használatát és nem róhatnak ehhez kapcsolódó költségeket a területükön kívül letelepedett és a szolgáltatást igénybe venni kívánó felekre.
Ilyen esetben az interoperabilitási keretrendszeren belül kell tárgyalni a megfelelő megoldásokról, és kell kidolgozni azokat.
Ugyanakkor elkerülhetetlen, hogy a nemzeti elektronikus_azonosító_eszközökre vonatkozó sajátos előírások olyan technikai követelményeket eredményezzenek, amelyek valószínűleg érintik az ilyen elektronikus eszközök (pl.
intelligens kártyák) birtokosait.

- = -

(21) E rendeletnek létre kell hoznia a bizalmi_szolgáltatások általános jogi keretét is.
Nem írhatja azonban elő általános kötelezettségként azok használatát, illetve azt sem, hogy minden, már meglévő bizalmi_szolgáltatáshoz elérési pontot kell kialakítani.
Különösen nem vonatkozhat olyan szolgáltatások nyújtására, amelyeket kizárólag meghatározott résztvevői körök használnak zárt rendszerekben, és amelyek nem érintenek harmadik feleket.
A vállalkozásoknál vagy a közigazgatásban a belső eljárások lebonyolítására szolgáló és ehhez bizalmi_szolgáltatásokat igénybe vevő rendszerekrepéldául e rendelet előírásainak nem kell vonatkozniuk.
Csak azoknak a nyilvánosság részére nyújtott bizalmi_szolgáltatásoknak kell megfelelniük az e rendeletben megállapított előírásoknak, amelyek harmadik feleket is érintenek.
Ez a rendelet nem foglalkozhat továbbá a szerződések megkötésének és érvényességének szempontjaival, sem más olyan jogi kötelezettségekkel, amelyekre nemzeti vagy uniós jogszabályokban meghatározott alaki követelmények vonatkoznak.
Ezen felül nem érintheti az állami – különösen a kereskedelmi és földhivatali – nyilvántartásokra vonatkozó, nemzeti jogszabályban előírt alaki követelményeket.

- = -

(22) A bizalmi_szolgáltatások határokon átnyúló általános alkalmazásának elősegítése érdekében lehetővé kell tenni, hogy azokat minden tagállamban bizonyítékként lehessen felhasználni a bírósági eljárásokban.
Amennyiben e rendelet másképp nem rendelkezik, a bizalmi_szolgáltatásoknak az adott tagállamban érvényes joghatását a nemzeti jognak kell meghatároznia.

- = -

(28) Különösen a kis- és középvállalkozások (kkv-k) és a fogyasztók belső piacba vetett bizalmának megerősítése, valamint a bizalmi_szolgáltatások és termékek igénybevételének ösztönzése érdekében be kell vezetni a minősített bizalmi_szolgáltatás és a minősített bizalmi_szolgáltató fogalmát, és ennek keretében meg kell határozni azokat a követelményeket és kötelezettségeket, amelyek az igénybe vett vagy nyújtott minősített bizalmi_szolgáltatások és termékek magas szintű biztonságát szavatolják.

- = -

(37) E rendeletben rendelkezni kell valamennyi bizalmi_szolgáltatóra vonatkozóan a felelősségről.
Ennek keretében felelősségi rendszert vezet be, amelynek értelmében minden bizalmi_szolgáltató felelős a természetes, illetve jogi_személyeknek okozott, az e rendelet szerinti kötelezettségek be nem tartásából eredő károkért.
Annak érdekében, hogy könnyebben felmérhetők legyenek azok a pénzügyi kockázatok, amelyeket a bizalmi_szolgáltatónak kell adott esetben viselnie, illetve amelyeket biztosítással fedeznie kell, ez a rendelet lehetővé teszi a bizalmi_szolgáltatóknak, hogy bizonyos feltételek mellett korlátozásokat vezessenek be az általuk nyújtott szolgáltatások használatára vonatkozóan, és hogy a korlátozást meghaladó használatból eredő károkért ne legyenek felelősek.
E korlátozásokról a fogyasztókat megfelelő módon, előre tájékoztatni kell.
A korlátozásoknak harmadik felek számára felismerhetőnek kell lenniük, például a korlátozásokra vonatkozó, a szolgáltatás feltételei között szereplő információk, vagy más egyértelmű módon megadott információk alapján.
Ezen elvek érvényesítése tekintetében ezt a rendeletet a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni.
Ezért ez a rendelet nem befolyásolja e nemzeti szabályokat, például a kár, a szándékosság, a gondatlanság meghatározása tekintetében, illetve a vonatkozó, alkalmazandó eljárási szabályokat.

- = -

(41) A minősített bizalmi_szolgáltatások fenntarthatóságának és tartósságának biztosítása céljából, valamint a minősített bizalmi_szolgáltatások kontinuitása iránti felhasználói bizalom növelésének érdekében a felügyeleti szerveknek ellenőrizniük kell, hogy – arra az esetre, ha a minősített bizalmi_szolgáltató megszünteti tevékenységét – rendelkezésre állnak-e a szolgáltatás-megszüntetési tervre vonatkozó rendelkezések, továbbá hogy azokat megfelelően alkalmazzák-e.

- = -

(51) Lehetővé kell tenni, hogy az aláíró valamely harmadik fél gondjaira bízza a minősített elektronikus_aláírást létrehozó eszközöket, feltéve, hogy végrehajtják azokat a megfelelő mechanizmusokat és eljárásokat, amelyek biztosítják, hogy az aláíró elektronikus_aláírás létrehozásához használt adatait kizárólag az aláíró használhassa, és az eszköz használata során teljesülnek a minősített elektronikus_aláírásra vonatkozó követelmények.

- = -

(61) E rendeletnek biztosítania kell az információk hosszú távú megőrzését annak érdekében, hogy hosszú távon biztosított legyen az elektronikus_aláírás és az elektronikus_bélyegzők jogi érvényessége, illetve hogy azok a jövőbeli technológiai változásoktól függetlenül érvényesíthetőek legyenek.

- = -

keyboard_tab EIDAS 2014/0910 HU

EIDAS 2014/0910 HU