keyboard_tab EIDAS 2014/0910 LT

whereas lygį:

• whereas (15) 2
• whereas (20) 1
• whereas (34) 1
• whereas (62) 1

definitions:

3 straipsnis

Terminų apibrėžtys

Šiame reglamente vartojamų terminų apibrėžtys:

1.   elektroninė atpažintis– elektroninių asmens tapatybės duomenų, kuriais nurodomas konkretus fizinis ar juridinis asmuo arba juridiniam asmeniui atstovaujantis fizinis asmuo, naudojimo procesas;

2.   elektroninės atpažinties priemonė– materialus ir (arba) nematerialus objektas su asmens tapatybės duomenimis, naudojamas internetinės paslaugos tapatumui nustatyti;

3.   asmens tapatybės duomenys– duomenų rinkinys, pagal kurį galima nustatyti fizinio ar juridinio asmens arba juridiniam asmeniui atstovaujančio fizinio asmens tapatybę;

4.   elektroninės atpažinties schema– elektroninės atpažinties sistema, pagal kurią fiziniams ar juridiniams asmenims arba juridiniams asmenims atstovaujantiems fiziniams asmenims išduodamos elektroninės atpažinties priemonės;

5.   tapatumo nustatymas– elektroninis procesas, leidžiantis patvirtinti fizinio arba juridinio asmens elektroninę atpažintį arba elektroninės formos duomenų kilmę ir vientisumą;

6.   pasikliaujančioji šalis– fizinis arba juridinis asmuo, kuris pasikliauja elektronine atpažintimi ar patikimumo užtikrinimo paslauga;

7.   viešojo sektoriaus įstaiga– valstybės, regioninė arba vietos valdžios institucija, viešosios teisės reglamentuojama įstaiga ar vienos arba kelių tokių institucijų arba vienos ar kelių tokių viešosios teisės reglamentuojamų įstaigų sudaryta asociacija arba bent vienos iš šių institucijų, įstaigų ar asociacijų teikti viešąsias paslaugas įgaliotas privatusis subjektas, kai jis veikia pagal tokį įgaliojimą;

8.   viešosios teisės reglamentuojamas subjektas– subjektas, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos 2014/24/ES (15) 2 straipsnio 1 dalies 4 punkte;

9.   pasirašantis asmuo– fizinis asmuo, kuris sukuria elektroninį parašą;

10.   elektroninis parašas– elektroninės formos duomenys, kurie yra prijungti prie kitų elektroninės formos duomenų arba logiškai susieti su jais ir kuriuos pasirašantis asmuo naudoja pasirašydamas;

11.   pažangusis elektroninis parašas– elektroninis parašas, atitinkantis 26 straipsnyje nustatytus reikalavimus;

12.   kvalifikuotas elektroninis parašas– pažangusis elektroninis parašas, sukurtas naudojant kvalifikuotą elektroninio parašo kūrimo įtaisą ir patvirtintas kvalifikuotu elektroninio parašo sertifikatu;

13.   elektroninio parašo kūrimo duomenys– unikalūs duomenys, kuriuos pasirašantis asmuo naudoja kurdamas elektroninį parašą;

14.   elektroninio parašo sertifikatas– elektroninis liudijimas, kuriuo elektroninio parašo patvirtinimo duomenys susiejami su fiziniu asmeniu ir kuriuo patvirtinamas bent to asmens vardas ir pavardė arba slapyvardis;

15.   kvalifikuotas elektroninio parašo sertifikatas– elektroninio parašo sertifikatas, kurį išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka I priede nustatytus reikalavimus;

16.   patikimumo užtikrinimo paslauga– elektroninė paslauga, kuri paprastai teikiama už atlygį ir kurią sudaro:

a)	elektroninių parašų, elektroninių spaudų arba elektroninių laiko žymų kūrimas, patikrinimas ir patvirtinimas, elektroninio registruoto pristatymo paslaugos ir su tomis paslaugomis susiję sertifikatai arba

b)	interneto svetainių tapatumo nustatymo sertifikatų kūrimas, patikrinimas ir patvirtinimas, arba

c)	elektroninių parašų, spaudų arba su tomis paslaugomis susijusių sertifikatų ilgalaikis išsaugojimas;

17.   kvalifikuota patikimumo užtikrinimo paslauga– šiame reglamente nustatytus taikytinus reikalavimus atitinkanti patikimumo užtikrinimo paslauga;

18.   atitikties vertinimo įstaiga– Reglamento (EB) Nr. 765/2008 2 straipsnio 13 punkte apibrėžta įstaiga, pagal tą reglamentą akredituota kaip kompetentinga įstaiga atlikti kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo ir jo teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų atitikties vertinimą;

19.   patikimumo užtikrinimo paslaugų teikėjas– fizinis arba juridinis asmuo, teikiantis vieną arba daugiau patikimumo užtikrinimo paslaugų arba kaip kvalifikuotas, arba kaip nekvalifikuotas patikimumo užtikrinimo paslaugų teikėjas;

20.   kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas– patikimumo užtikrinimo paslaugų teikėjas, teikiantis vieną ar daugiau kvalifikuotų patikimumo užtikrinimo paslaugų, kuriam priežiūros įstaiga yra suteikusi kvalifikacijos statusą;

21.   produktas– aparatinė arba programinė įranga, arba svarbios aparatinės arba programinės įrangos sudedamosios dalys, skirtos naudoti teikiant patikimumo užtikrinimo paslaugas;

22.   elektroninio parašo kūrimo įtaisas– sukonfigūruota programinė arba aparatinė įranga, naudojama elektroniniam parašui kurti;

23.   kvalifikuotas elektroninio parašo kūrimo įtaisas– elektroninio parašo kūrimo įtaisas, atitinkantis II priede nustatytus reikalavimus;

24.   spaudo kūrėjas– juridinis asmuo, kuris sukuria elektroninį spaudą;

25.   elektroninis spaudas– elektroninės formos duomenys, prijungti prie kitų elektroninės formos duomenų arba su jais logiškai susieti, kad būtų užtikrinta pastarųjų kilmė ir vientisumas;

26.   pažangusis elektroninis spaudas– elektroninis spaudas, atitinkantis 36 straipsnyje nustatytus reikalavimus;

27.   kvalifikuotas elektroninis spaudas– pažangusis elektroninis spaudas, sukurtas naudojant kvalifikuotą elektroninio spaudo kūrimo įtaisą ir patvirtintas kvalifikuotu elektroninio spaudo sertifikatu;

28.   elektroninio spaudo kūrimo duomenys– unikalūs duomenys, kuriuos elektroninio spaudo kūrėjas naudoja kurdamas elektroninį spaudą;

29.   elektroninio spaudo sertifikatas– elektroninis liudijimas, kuriuo elektroninio spaudo patvirtinimo duomenys susiejami su juridiniu asmeniu ir kuriuo patvirtinamas to asmens pavadinimas;

30.   kvalifikuotas elektroninio spaudo sertifikatas– elektroninio spaudo sertifikatas, kurį išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka III priede nustatytus reikalavimus;

31.   elektroninio spaudo kūrimo įtaisas– sukonfigūruota programinė arba aparatinė įranga, naudojama elektroniniam spaudui kurti;

32.   kvalifikuotas elektroninio spaudo kūrimo įtaisas– elektroninio spaudo kūrimo įtaisas, atitinkantis mutatis mutandis II priede nustatytus reikalavimus;

33.   elektroninė laiko žyma– elektroninės formos duomenys, kuriais kiti elektroninės formos duomenys susiejami su tam tikru laiku ir taip sukuriamas įrodymas, kad pastarieji egzistavo tuo metu;

34.   kvalifikuota elektroninė laiko žyma– elektroninė laiko žyma, atitinkanti 42 straipsnyje nustatytus reikalavimus;

35.   elektroninis dokumentas– bet koks turinys, saugomas elektronine forma, visų pirma tekstas ar garsas, vaizdo arba garso ir vaizdo įrašas;

36.   elektroninio registruoto pristatymo paslauga– paslauga, kuria sudaroma galimybė perduoti duomenis elektroninėmis priemonėmis tarp trečiųjų šalių ir kuria suteikiama su perduodamų duomenų tvarkymu susijusių įrodymų, įskaitant duomenų išsiuntimo ir gavimo įrodymą, ir kuria perduodami duomenys apsaugomi nuo praradimo, vagystės, sugadinimo arba neteisėto pakeitimo rizikos;

37.   kvalifikuota elektroninio registruoto pristatymo paslauga– elektroninio registruoto pristatymo paslauga, atitinkanti 44 straipsnyje nustatytus reikalavimus;

38.   interneto svetainės tapatumo nustatymo sertifikatas– liudijimas, suteikiantis galimybę nustatyti interneto svetainės tapatumą ir susiejantis interneto svetainę su fiziniu ar juridiniu asmeniu, kuriam buvo išduotas sertifikatas;

39.   kvalifikuotas interneto svetainės tapatumo nustatymo sertifikatas– interneto svetainės tapatumo nustatymo sertifikatas, kurį išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka IV priede nustatytus reikalavimus;

40.   patvirtinimo duomenys– duomenys, naudojami patvirtinti elektroninio parašo arba elektroninio spaudo galiojimą;

41.   patvirtinimas– patikrinimo ir patvirtinimo, kad elektroninis parašas ar spaudas galioja, procedūra.

6 straipsnis

Abipusis pripažinimas

1.   Kai pagal nacionalinės teisės aktus arba nacionalinę administracinę praktiką reikalaujama, kad norint vienoje valstybėje narėje pasinaudoti viešojo sektoriaus įstaigos teikiama internetine paslauga būtina užtikrinti elektroninę atpažintį naudojant elektronines atpažinties priemones ir tapatumo nustatymą, tos internetinės paslaugos tarpvalstybinio tapatumo nustatymo tikslais pirmojoje valstybėje narėje pripažįstamos kitoje valstybėje narėje išduotos elektroninės atpažinties priemonės, su sąlyga, kad įvykdomos šios sąlygos:

a)	elektroninės atpažinties priemonė yra išduota pagal elektroninės atpažinties schemą, kuri yra įtraukta į Komisijos pagal 9 straipsnį skelbiamą sąrašą;

b)

elektroninės atpažinties priemonės saugumo užtikrinimo lygis atitinka saugumo užtikrinimo lygį, kuris yra lygiavertis saugumo užtikrinimo lygiui, kurio reikalauja atitinkama viešojo sektoriaus įstaiga, kad būtų galima pasinaudoti ta internetine paslauga pirmojoje valstybėje narėje, arba yra už jį aukštesnis, su sąlyga, kad tos elektroninės atpažinties priemonės saugumo užtikrinimo lygis atitinka pakankamą arba aukštą saugumo užtikrinimo lygį;

c)	atitinkama viešojo sektoriaus įstaiga taiko pakankamą arba aukštą saugumo užtikrinimo lygį galimybės naudotis ta internetine paslauga atžvilgiu.

Toks pripažinimas atliekamas ne vėliau kaip per 12 mėnesių po to, kai Komisija paskelbia sąrašą, nurodytą pirmos pastraipos a punkte.

2.   Elektroninės atpažinties priemonė, išduota pagal į Komisijos pagal 9 straipsnį paskelbtą sąrašą įtrauktą elektroninės atpažinties schemą ir atitinkanti žemą saugumo užtikrinimo lygį, gali būti viešojo sektoriaus įstaigų pripažįstama tų įstaigų teikiamos internetinės paslaugos tarpvalstybinio tapatumo nustatymo tikslais.

12 straipsnis

Bendradarbiavimas ir sąveikumas

1.   Nacionalinės elektroninės atpažinties schemos, apie kurias pranešta pagal 9 straipsnio 1 dalį, turi būti sąveikios.

2.   1 dalies tikslais nustatoma sąveikumo sistema.

3.   Sąveikumo sistema turi atitikti šiuos kriterijus:

a)	ja siekiama būti neutralia technologiniu požiūriu ir ja nediskriminuojami jokie konkretūs nacionaliniai elektroninės atpažinties techniniai sprendimai valstybėje narėje;

b)	jei įmanoma, ji atitinka Europos ir tarptautinius standartus;

c)	ja sudaromos palankios sąlygos įgyvendinti projektuojant numatytos privatumo apsaugos principą; ir

d)	ja užtikrinama, kad asmens duomenys būtų tvarkomi pagal Direktyvą 95/46/EB.

4.   Sąveikumo sistemą sudaro:

a)	nuoroda į minimalius techninius reikalavimus, susijusius su 8 straipsnyje numatytais saugumo užtikrinimo lygiais;

b)	elektroninės atpažinties schemų, apie kurias pranešta, nacionalinių saugumo užtikrinimo lygių suderinimas su 8 straipsnyje numatytais saugumo užtikrinimo lygiais;

c)	nuoroda į minimalius techninius sąveikumo reikalavimus;

d)	nuoroda į minimalų asmens tapatybės duomenų, kuriais nurodomas konkretus fizinis ar juridinis asmuo, rinkinį, prieinamą pasitelkiant elektroninės atpažinties schemas;

e)	darbo tvarkos taisyklės;

f)	ginčų sprendimo tvarka; ir

g)	bendri veiklos saugumo standartai.

5.   Valstybės narės bendradarbiauja šiais klausimais:

a)	dėl elektroninės atpažinties schemų, apie kurias pranešta pagal 9 straipsnio 1 dalį, ir elektroninės atpažinties schemų, apie kurias valstybės narės ketina pranešti, sąveikumo ir

b)	dėl elektroninės atpažinties schemų saugumo.

6.   Valstybių narių bendradarbiavimą sudaro:

a)	keitimasis informacija, patirtimi ir gerąja praktika, susijusiomis su elektroninės atpažinties schemomis, ir visų pirma su techniniais reikalavimais, susijusiais su sąveikumu ir saugumo užtikrinimo lygiais;

b)	keitimasis informacija, patirtimi ir gerąja praktika, susijusiomis su darbu taikant 8 straipsnyje numatytus elektroninės atpažinties schemų saugumo užtikrinimo lygius;

c)	elektroninės atpažinties schemų, kurioms taikomas šis reglamentas, tarpusavio vertinimas, ir

d)	atitinkamų pokyčių elektroninės atpažinties sektoriuje nagrinėjimas.

7.   Ne vėliau kaip 2015 m. kovo 18 d. Komisija priima įgyvendinimo aktus, kuriais nustato procedūrines sąlygas, būtinas sudaryti palankesnes 5 ir 6 dalyse nurodyto valstybių narių bendradarbiavimo sąlygas, siekiant skatinti aukštą pasitikėjimo lygį ir rizikos laipsnį atitinkantį saugumą.

8.   Siekiant nustatyti vienodas 1 dalyje nustatyto reikalavimo įgyvendinimo sąlygas, ne vėliau kaip 2015 m. rugsėjo 18 d. Komisija, remdamasi 3 dalyje nustatytais kriterijais ir atsižvelgdama į valstybių narių bendradarbiavimo rezultatus, priima įgyvendinimo aktus dėl 4 dalyje įtvirtintos sąveikumo sistemos.

9.   Šio straipsnio 7 ir 8 dalyse nurodyti įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

III   SKYRIUS

PATIKIMUMO UŽTIKRINIMO PASLAUGOS

1   SKIRSNIS

Bendrosios nuostatos

19 straipsnis

Patikimumo užtikrinimo paslaugų teikėjams keliami saugumo reikalavimai

1.   Kvalifikuoti ir nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai imasi reikiamų techninių ir organizacinių priemonių, kad būtų valdoma rizika, kylanti jų teikiamų patikimumo užtikrinimo paslaugų saugumui. Atsižvelgiant į naujausius technologinius pokyčius, tomis priemonėmis užtikrinama, kad saugumo lygis atitiktų rizikos lygį. Visų pirma imamasi priemonių, kad būtų išvengta saugumo incidentų, jog būtų kuo labiau sumažintas jų poveikis ir kad suinteresuotieji subjektai būtų informuoti apie neigiamą tokių incidentų poveikį.

2.   Kvalifikuoti ir nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, nepagrįstai nedelsdami, ir bet kuriuo atveju per 24 valandas nuo to momento, kai apie tai sužino, praneša priežiūros įstaigai ir, prireikus, kitoms atitinkamomis įstaigomis, kaip antai informacijos saugumo klausimais kompetentingai nacionalinei įstaigai arba duomenų apsaugos institucijai, apie visus saugumo arba vientisumo pažeidimus, turėjusius didelį poveikį teikiamai patikimumo užtikrinimo paslaugai arba ją teikiant naudojamiems asmens duomenims.

Kai saugumo ar vientisumo pažeidimas galėtų turėti neigiamo poveikio fiziniam ar juridiniam asmeniui, kuriam teikiama patikimumo užtikrinimo paslauga, patikimumo užtikrinimo paslaugų teikėjas taip pat nepagrįstai nedelsdamas praneša apie saugumo ar vientisumo pažeidimą tam fiziniam ar juridiniam asmeniui.

Prireikus – visų pirma, kai saugumo arba vientisumo pažeidimas yra susijęs su dviem arba daugiau valstybių narių – pranešimą gavusi priežiūros įstaiga informuoja kitų atitinkamų valstybių narių priežiūros įstaigas ir ENISA.

Jei pranešimą gavusi priežiūros įstaiga nustato, kad saugumo ar vientisumo pažeidimo atskleidimas yra svarbus visuomenei, ji informuoja visuomenę arba pareikalauja, kad tą padarytų patikimumo užtikrinimo paslaugų teikėjas.

3.   Priežiūros įstaiga kartą per metus pateikia ENISA iš patikimumo užtikrinimo paslaugų teikėjų gautų pranešimų apie saugumo ar vientisumo pažeidimus suvestinę.

4.   Komisija gali priimti įgyvendinimo aktus, kuriais:

a)	tiksliau apibrėžia 1 dalyje nurodytas priemones ir

b)	apibrėžia formatus ir procedūras, įskaitant terminus, taikytinus 2 dalies tikslais.

Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

3   SKYRIUS

Kvalifikuotos patikimumo užtikrinimo paslaugos