keyboard_tab EIDAS 2014/0910 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
-
BENDROSIOS NUOSTATOS
- 1 30 straipsnis Kvalifikuotų elektroninio parašo kūrimo įtaisų sertifikavimas Elektroniniai spaudai
ELEKTRONINĖ ATPAŽINTIS
PATIKIMUMO UŽTIKRINIMO PASLAUGOS
Bendrosios nuostatos
Priežiūra
Kvalifikuotos patikimumo užtikrinimo paslaugos
Elektroniniai parašai
Elektroninė laiko žyma
Elektroninio registruoto pristatymo paslaugos
Interneto svetainės tapatumo nustatymas
ELEKTRONINIAI DOKUMENTAI
ĮGALIOJIMŲ DELEGAVIMAS IR ĮGYVENDINIMO NUOSTATOS
BAIGIAMOSIOS NUOSTATOS
- whereas (11) 3
- whereas (13) 4
- whereas (14) 5
- whereas (15) 3
- whereas (16) 3
- whereas (17) 2
- whereas (18) 2
- whereas (19) 2
- whereas (20) 2
- whereas (21) 6
- whereas (22) 1
- whereas (24) 1
- whereas (25) 1
- whereas (26) 1
- whereas (27) 2
- whereas (28) 1
- whereas (29) 3
- whereas (30) 2
- whereas (31) 2
- whereas (32) 1
- whereas (33) 1
- whereas (34) 2
- whereas (35) 1
- whereas (36) 3
- whereas (37) 6
- whereas (39) 1
- whereas (40) 1
- whereas (41) 1
- whereas (42) 1
- whereas (43) 4
- whereas (44) 1
- whereas (45) 2
- whereas (47) 3
- whereas (48) 1
- whereas (49) 2
- whereas (51) 1
- whereas (52) 3
- whereas (53) 3
- whereas (54) 2
- whereas (55) 2
- whereas (56) 4
- whereas (57) 3
- whereas (58) 1
- whereas (59) 1
- whereas (60) 1
- whereas (61) 1
- whereas (62) 2
- whereas (63) 1
- whereas (64) 1
- whereas (67) 3
- whereas (70) 2
- whereas (71) 2
- whereas (72) 1
- whereas (73) 1
- dalyje 5
- saugumo 5
- procedūra 4
- punkte 4
- vertinimo 4
- pagal 3
- nurodytų 3
- standartų 3
- nurodyta 3
- informacinių 2
- technologijų 2
- praneša 2
- produktų 2
- sąrašą 2
- įgyvendinimo 2
- aktus 2
- straipsnio 2
- nurodytos 2
- arba 2
- komisijai 2
- komisija 2
- sertifikavimas 2
- įstaigos 2
- elektroninio 2
- parašo 2
- kūrimo 2
- paskirtos 2
- įtaisų 2
- komisijai 1
- būti 1
- turėtų 1
- gali 1
- atitikti 1
- šio 1
- įstaiga 1
- procedūrą 1
- apie 1
- kriterijų 1
- privačioji 1
- viešoji 1
- lygiai 1
- kuriuos 1
- taikoma 1
- specialiųjų 1
- priimami 1
- suteikiami 1
- įgaliojimai 1
- procedūros 1
- nagrinėjimo 1
- priimti 1
30 straipsnis
Kvalifikuotų elektroninio parašo kūrimo įtaisų sertifikavimas
1. Kvalifikuotų elektroninio parašo kūrimo įtaisų atitiktį II priede nustatytiems reikalavimams sertifikuoja valstybių narių paskirtos atitinkamos viešosios ar privačiosios įstaigos.
2. Valstybės narės praneša Komisijai 1 dalyje nurodytų viešųjų ar privačiųjų įstaigų pavadinimus ir adresus. Komisija tą informaciją pateikia valstybėms narėms.
3. 1 dalyje nurodytas sertifikavimas grindžiamas viena iš šių procedūrų:
a) | saugumo vertinimo procedūra, atlikta pagal vieną iš informacinių technologijų produktų saugumo vertinimo standartų, įtrauktų į sąrašą nustatytą pagal antrą pastraipą, arba |
b) | kita nei a punkte nurodyta procedūra su sąlyga, kad joje taikomi panašūs saugumo lygiai, o 1 dalyje nurodyta viešoji ar privačioji įstaiga apie tą procedūrą praneša Komisijai. Ta procedūra gali būti taikoma tik tuo atveju, kai nėra a punkte nurodytų standartų arba kai tebevyksta a punkte nurodyta saugumo vertinimo procedūra. |
Komisija priimdama įgyvendinimo aktus sudaro iš informacinių technologijų produktų, nurodytų a punkte, saugumo vertinimo standartų sąrašą. Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
4. Komisijai pagal 47 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus dėl specialiųjų kriterijų, kuriuos turėtų atitikti šio straipsnio 1 dalyje nurodytos paskirtos įstaigos, nustatymo.
whereas
(11) šis reglamentas turėtų būti taikomas visiškai laikantis asmens duomenų apsaugos principų, numatytų Europos Parlamento ir Tarybos direktyvoje 95/46/EB (7). Šiuo klausimu, atsižvelgiant į šiuo reglamentu nustatytą abipusio pripažinimo principą, internetinės paslaugos tapatumo nustatymas turėtų būti susijęs tik su tų atpažinties duomenų, kurie yra adekvatūs, susiję ir nepertekliniai tam, kad būtų galima pasinaudoti ta internetine paslauga, tvarkymu.
Be to, patikimumo užtikrinimo paslaugų teikėjai ir priežiūros įstaigos turėtų laikytis Direktyvos 95/46/EB reikalavimų, susijusių su konfidencialumu ir duomenų tvarkymo saugumu;
(13) valstybėms narėms turėtų būti palikta laisvė elektroninės atpažinties tikslais naudoti arba diegti priemones, reikalingas norint pasinaudoti internetinėmis paslaugomis.
Be to, joms turėtų būti suteikta galimybė spręsti, ar į tų priemonių užtikrinimą įtraukti privatųjį sektorių.
Valstybės narės neturėtų būti įpareigojamos pranešti Komisijai apie savo elektroninės atpažinties schemas.
Valstybės narės turėtų pačios spręsti, ar pranešti Komisijai apie visas elektroninės atpažinties schemas, nacionaliniu lygiu taikomas tam, kad būtų galima pasinaudoti bent viešosiomis internetinėmis paslaugomis arba tam tikromis paslaugomis, ar pranešti tik apie kai kurias schemas, ar visai apie jas nepranešti;
(14) šiame reglamente turi būti nustatytos tam tikros sąlygos, numatančios, kurios elektroninės atpažinties priemonės turi būti pripažįstamos ir kokiu būdu turėtų būti pranešama apie elektroninės atpažinties schemas.
Tos sąlygos turėtų padėti valstybėms narėms įgyti būtiną pasitikėjimą viena kitos elektroninės atpažinties schemomis ir abipusiai pripažinti elektroninės atpažinties priemones, kurioms taikomos schemos, apie kurias pranešta.
Abipusio pripažinimo principas turėtų būti taikomas, jeigu pranešančiosios valstybės narės elektroninės atpažinties schema laikomasi pranešimo sąlygų ir jeigu pranešimas buvo paskelbtas Europos Sąjungos oficialiajame leidinyje.
Vis dėlto abipusio pripažinimo principas turėtų būti susijęs tik su internetinės paslaugos tapatumo nustatymu.
Galimybė naudotis tomis internetinėmis paslaugomis ir galutinis jų suteikimas prašytojui turėtų būti glaudžiai susieti su teise gauti tokias paslaugas nacionalinės teisės aktuose nustatytomis sąlygomis;
(15) pareiga pripažinti elektroninės atpažinties priemones turėtų būti susijusi tik su tomis priemonėmis, kurių tapatybės saugumo užtikrinimo lygis atitinka arba yra aukštesnis už lygį, kurio reikalaujama norint pasinaudoti ta konkrečia internetine paslauga.
Be to, ta pareiga turėtų būti taikoma tik tuomet, kai konkreti viešojo sektoriaus įstaiga taiko pakankamą arba aukštą saugumo užtikrinimo lygį norint pasinaudoti ta internetine paslauga.
Pagal Sąjungos teisę valstybės narės turėtų galėti pasirinkti, ar pripažinti elektroninės atpažinties priemones, kurių tapatybės saugumo užtikrinimo lygis yra žemesnis;
(16) saugumo užtikrinimo lygiais turėtų būti apibūdinamas elektroninės atpažinties priemonės patikimumo laipsnis nustatant asmens tapatybę ir taip užtikrinant, kad asmuo, kuris pareiškia turintis tam tikrą tapatybę iš tiesų yra asmuo, kuriam ta tapatybė buvo priskirta.
Saugumo užtikrinimo lygis priklauso nuo pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnio, kuris nurodomas elektroninės atpažinties priemonėmis, atsižvelgiant į procesus (pavyzdžiui, tapatybės įrodymą ir patikrinimą bei tapatumo nustatymą), valdymo veiklą (pavyzdžiui, elektroninės atpažinties priemones išduodantį subjektą ir tokių priemonių išdavimo tvarką) ir įgyvendintas techninės kontrolės priemones.
Vykdant Sąjungos finansuojamus didelio masto bandomuosius projektus, standartizaciją ir tarptautinę veiklą nustatyta įvairių saugumo užtikrinimo lygių techninių reikalavimų ir aprašymų.
Visų pirma didelio masto bandomajame projekte STORK ir ISO 29115 nurodomi, inter alia, 2, 3 ir 4 lygiai, į kuriuos reikėtų kuo labiau atsižvelgti nustatant minimalius techninius reikalavimus, standartus ir procedūras, taikomus žemam, pakankamam ir aukštam saugumo užtikrinimo lygiams, kaip apibrėžta šiame reglamente, siekiant užtikrinti nuoseklų šio reglamento taikymą, visų pirma aukšto saugumo užtikrinimo lygio, susijusio su tapatybės identifikavimu siekiant išduoti kvalifikuotus sertifikatus, atžvilgiu.
Nustatyti reikalavimai turėtų būti technologiniu požiūriu neutralūs.
turėtų būti įmanoma įvykdyti būtinus saugumo reikalavimus taikant skirtingas technologijas;
(17) valstybės narės turėtų skatinti privatųjį sektorių atpažinties tikslais savanoriškai naudoti elektroninės atpažinties priemones pagal schemą, apie kurią pranešta, kai to reikia norint pasinaudoti internetinėmis paslaugomis arba atlikti elektronines operacijas.
Galimybė naudoti tokias elektroninės atpažinties priemones leistų privačiajam sektoriui pasikliauti elektronine atpažintimi ir tapatumo nustatymu, kurie jau plačiai taikomi daugumoje valstybių narių bent viešųjų paslaugų tikslais, ir sudaryti įmonėms bei piliečiams palankesnes sąlygas tarpvalstybiniu mastu naudotis tų valstybių narių teikiamomis internetinėmis paslaugomis.
Kad privačiajam sektoriui būtų lengviau naudoti tokias elektroninės atpažinties priemones tarpvalstybiniu mastu, privačiojo sektoriaus pasikliaujančiosioms šalims, kurios įsteigtos ne tos valstybės narės teritorijoje, turėtų būti sudarytos sąlygos naudotis bet kurios valstybės narės teikiama tapatumo nustatymo galimybe tokiomis pačiomis sąlygomis, kurios taikomos toje valstybėje narėje įsteigtoms privačiojo sektoriaus pasikliaujančiosioms šalims.
Todėl pranešančioji valstybė narė privačiojo sektoriaus pasikliaujančiosioms šalims gali nustatyti naudojimosi tapatumo nustatymo priemonėmis sąlygas.
Tokiose naudojimosi sąlygose gali būti pateikiama informacija, ar privačiojo sektoriaus pasikliaujančiosios šalys šiuo metu turi galimybę naudotis tapatumo nustatymo priemone, susijusia su schema, apie kurią pranešta;
(18) šiuo reglamentu turėtų būti numatoma pranešančiosios valstybės narės, elektroninės atpažinties priemonę išduodančios šalies ir tapatumo nustatymo procedūrą vykdančios šalies atsakomybė už atitinkamų pareigų pagal šį reglamentą nevykdymą.
Tačiau šis reglamentas turėtų būti taikomas laikantis nacionalinių atsakomybę reglamentuojančių taisyklių.
Todėl jis neturi poveikio toms nacionalinėms taisyklėms, pavyzdžiui, dėl žalos apibrėžties arba dėl atitinkamų taikytinų procedūrinių taisyklių, įskaitant dėl įrodinėjimo pareigos.
(19) elektroninių atpažinties schemų saugumas itin svarbus patikimam tarpvalstybiniam elektroninių atpažinties priemonių abipusiam pripažinimui.
Atsižvelgdamos į tai, valstybės narės Sąjungos lygiu turėtų bendradarbiauti elektroninių atpažinties schemų saugumo ir sąveikumo užtikrinimo srityje.
Jeigu tam, kad pasikliaujančiosios šalys nacionaliniu lygiu galėtų naudotis elektroninėmis atpažinties schemomis, reikalingos specialios aparatinės ar programinės įrangos, laikantis tarpvalstybinio sąveikumo principo tos valstybės narės ne jų teritorijoje įsteigtoms pasikliaujančiosioms šalims neturėtų nustatyti tokių reikalavimų ir susijusių sąnaudų.
Tuo atveju reikėtų aptarti ir rasti tinkamus sprendimo būdus, neviršijant sąveikumo sistemos apimties.
Nepaisant to, techniniai reikalavimai, susiję su nacionalinių elektroninių atpažinties priemonių konkrečiomis specifikacijomis, kurie, kaip tikėtina, turės poveikį tokių elektroninių priemonių (pvz., lustinių kortelių) turėtojams, yra neišvengiami;
(20) valstybių narių bendradarbiavimas turėtų padėti užtikrinti elektroninės atpažinties schemų, apie kurias pranešta, techninį sąveikumą, siekiant aukšto lygio pasitikėjimo ir rizikos lygį atitinkančio saugumo.
Tokį bendradarbiavimą turėtų palengvinti valstybių narių keitimasis informacija ir geriausia praktika, siekiant užtikrinti abipusį pripažinimą;
(21) šiuo reglamentu taip pat turėtų būti nustatyta bendroji teisinė patikimumo užtikrinimo paslaugų naudojimo sistema.
Vis dėlto juo neturėtų būti nustatyta bendra pareiga naudotis šiomis paslaugomis arba įdiegti prieigos tašką visoms esamoms patikimumo užtikrinimo paslaugoms.
Visų pirma juo neturėtų būti reglamentuojamas paslaugų, kuriomis naudojamasi tik uždarose sistemose tarp apibrėžtos grupės dalyvių ir kurios neturi poveikio trečiosioms šalims, teikimas.
Pavyzdžiui, šio reglamento reikalavimai neturėtų būti taikomi sistemoms, sukurtoms versle arba viešojo valdymo institucijose siekiant valdyti vidaus procedūras, kuriose naudojamasi patikimumo užtikrinimo paslaugomis.
Tik visuomenei teikiamos patikimumo užtikrinimo paslaugos, kurios turi poveikio trečiosioms šalims, turėtų atitikti šiame reglamente nustatytus reikalavimus. Šiuo reglamentu neturėtų būti reglamentuojami ir aspektai, susiję su sutarčių sudarymu arba kitų teisinių pareigų nustatymu ir šių sutarčių bei pareigų galiojimu, kai yra nacionalinės arba Sąjungos teisės aktais nustatytų reikalavimų dėl formos.
Be to, juo nedaromas poveikis nacionalinės formos reikalavimams, susijusiems su viešaisiais registrais, visų pirma, komerciniais ir žemės registrais;
(22) siekiant paskatinti jų bendrą tarpvalstybinį naudojimą, patikimumo užtikrinimo paslaugas turėtų būti galima naudoti kaip įrodymus visų valstybių narių teismo procesuose.
Patikimumo užtikrinimo paslaugų teisinė galia turi būti reglamentuojama nacionalinės teisės aktuose, išskyrus atvejus, jei šiame reglamente būtų numatyta kitaip;
(24) valstybės narės gali palikti galioti arba nustatyti Sąjungos teisę atitinkančias nacionalines nuostatas, susijusias su patikimumo užtikrinimo paslaugomis tiek, kiek tos paslaugos nėra visiškai suderintos pagal šį reglamentą.
Vis dėlto šį reglamentą atitinkančios patikimumo užtikrinimo paslaugos turėtų būti laisvai platinamos vidaus rinkoje;
(25) valstybėms narėms turėtų būti palikta laisvė apibrėžti kitas, į šiame reglamente numatytą galutinį patikimumo užtikrinimo paslaugų sąrašą neįtrauktas patikimumo užtikrinimo paslaugas, kad jos nacionaliniu mastu būtų pripažįstamos kaip kvalifikuotos patikimumo užtikrinimo paslaugos;
(26) atsižvelgiant į technologijų pažangos tempą, šiame reglamente turėtų būti įtvirtintas palankumo naujovių diegimui principas;
(27) šis reglamentas turėtų būti neutralus technologiniu požiūriu. Šiuo reglamentu suteiktas teisines galias turėtų būti galima įgyvendinti bet kokiomis techninėmis priemonėmis, atitinkančiomis šio reglamento reikalavimus;
(28) siekiant sustiprinti visų pirma mažųjų ir vidutinių įmonių (toliau – MVĮ) bei vartotojų pasitikėjimą vidaus rinka ir paskatinti patikimumo užtikrinimo paslaugų ir produktų naudojimą, turėtų būti įvestos naujos – kvalifikuotų patikimumo užtikrinimo paslaugų ir kvalifikuotų patikimumo užtikrinimo paslaugų teikėjo – sąvokos, kad būtų galima nurodyti reikalavimus ir pareigas, kuriais būtų užtikrintas aukštas bet kokių naudojamų arba teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų ir produktų saugumo lygis;
(29) atsižvelgiant į pareigas, nustatytas pagal Jungtinių Tautų neįgaliųjų teisių konvenciją, patvirtintą Tarybos sprendimu 2010/48/EB (8), ypač pagal Konvencijos 9 straipsnį, neįgalieji turėtų galėti vienodomis sąlygomis, kaip ir vartotojai, naudotis patikimumo užtikrinimo paslaugomis ir galutinio vartojimo produktais, naudojamais teikiant tas paslaugas.
Todėl, jeigu įmanoma, neįgaliesiems turėtų būti sudaroma galimybė naudotis teikiamomis patikimumo užtikrinimo paslaugomis ir teikiant tas paslaugas naudojamais galutinio vartojimo produktais.
Atliekant įgyvendinamumo vertinimą, inter alia, turėtų būti vertinami techniniai ir ekonominiai aspektai;
(30) valstybės narės turėtų paskirti priežiūros įstaigą ar įstaigas, kad jos vykdytų priežiūros veiklą pagal šį reglamentą.
Be to, valstybės narės turėtų galėti nuspręsti, abipusiu pagrindu susitarusios su kita valstybe nare, paskirti priežiūros įstaigą tos kitos valstybės narės teritorijoje;
(31) priežiūros įstaigos turėtų bendradarbiauti su duomenų apsaugos institucijomis, pavyzdžiui, informuodamos jas apie kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų audito rezultatus tais atvejais, kai tikėtina, kad buvo pažeistos asmens duomenų apsaugos taisyklės.
Informacija visų pirma turėtų būti teikiama apie saugumo incidentus ir asmens duomenų naudojimo pažeidimus;
(32) visi patikimumo užtikrinimo paslaugų teikėjai turėtų vadovautis gerąja saugumo praktika, atitinkančia su jų veikla susijusią riziką, kad būtų sustiprintas vartotojų pasitikėjimas bendrąja rinka;
(33) nuostatomis dėl slapyvardžių naudojimo sertifikatuose neturėtų būti kliudoma valstybėms narėms reikalauti nustatyti asmenų tapatybę pagal Sąjungos arba nacionalinės teisės aktus;
(34) siekiant užtikrinti panašų kvalifikuotų patikimumo užtikrinimo paslaugų saugumo lygį, visos valstybės narės turėtų laikytis bendrų esminių priežiūros reikalavimų.
Kad tuos reikalavimus būtų lengviau nuosekliai taikyti visoje Sąjungoje, valstybės narės turėtų patvirtinti palyginamas procedūras ir keistis informacija apie savo vykdomą priežiūros veiklą bei geriausia praktika šioje srityje;
(35) šiame reglamente nustatyti reikalavimai, visų pirma reikalavimai dėl saugumo ir atsakomybės, turėtų būti taikomi visiems patikimumo užtikrinimo paslaugų teikėjams, siekiant užtikrinti deramą stropumą, skaidrumą ir atskaitomybę jiems atliekant savo veiklą ir teikiant paslaugas.
Vis dėlto, atsižvelgiant į patikimumo užtikrinimo paslaugų teikėjų teikiamų paslaugų rūšį, tikslinga tų reikalavimų atžvilgiu atskirti kvalifikuotus ir nekvalifikuotus patikimumo užtikrinimo paslaugų teikėjus;
(36) nustačius priežiūros režimą visiems patikimumo užtikrinimo paslaugų teikėjams būtų užtikrintos vienodos sąlygos jų atliekamos veiklos ir teikiamų paslaugų saugumo ir atskaitomybės atžvilgiu, taip prisidedant prie vartotojų apsaugos ir vidaus rinkos veikimo.
Nekvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams turėtų būti taikoma negriežta ir pasyvi ex-post priežiūra, grindžiama jų teikiamų paslaugų ir atliekamos veiklos pobūdžiu.
Todėl priežiūros įstaiga neturėtų turėti bendros pareigos prižiūrėti nekvalifikuotus paslaugų teikėjus.
Priežiūros įstaiga turėtų imtis veiksmų tik tuomet, kai yra informuojama (pavyzdžiui, paties nekvalifikuoto paslaugų teikėjo, kitos priežiūros įstaigos, vartotojo ar verslo partnerio pranešimu arba atlikusi tyrimą), kad nekvalifikuotas patikimumo užtikrinimo paslaugų teikėjas nesilaiko šio reglamento reikalavimų;
(37) šiuo reglamentu turėtų būti numatoma visų patikimumo užtikrinimo paslaugų teikėjų atsakomybė.
Visų pirma, juo nustatomas atsakomybės režimas, pagal kurį visi patikimumo užtikrinimo paslaugų teikėjai turėtų būti atsakingi už žalą, kurią patyrė fizinis ar juridinis asmuo, nes nebuvo laikomasi šiame reglamente numatytų pareigų.
Siekiant palengvinti finansinės rizikos, kurią gali patirti patikimumo užtikrinimo paslaugų teikėjai arba dėl kurios jie turėtų apsidrausti, įvertinimą, šiuo reglamentu patikimumo užtikrinimo paslaugų teikėjams leidžiama tam tikromis sąlygomis nustatyti naudojimosi savo teikiamomis paslaugomis ribas ir nebūti atsakingiems už žalą, patirtą dėl to, kad buvo naudojamasi tuos apribojimus viršijančiomis paslaugomis.
Klientai turėtų būti tinkamai iš anksto informuoti apie apribojimus.
Trečioji šalis turėtų atpažinti tuos apribojimus, pavyzdžiui, įtraukiant informaciją apie tuos apribojimus į teikiamos paslaugos sąlygas arba kitais atpažįstamais būdais.
Norint, kad tie principai galiotų, šis reglamentas turėtų būti taikomas laikantis nacionalinių atsakomybę reglamentuojančių taisyklių.
Todėl šiuo reglamentu nedaromas poveikis nacionalinėms taisyklėms, pavyzdžiui, reglamentuojančioms žalos apibrėžtį, tyčią, neatsargumą ar atitinkamas taikomas procedūrines taisykles;
(39) kad Komisija ir valstybės narės galėtų įvertinti šiuo reglamentu sukurto pranešimų apie pažeidimus mechanizmo veiksmingumą, turėtų būti reikalaujama, kad priežiūros įstaigos teiktų Komisijai ir Europos Sąjungos tinklų ir informacijos apsaugos agentūrai (ENISA) informacijos suvestines;
(40) kad Komisija ir valstybės narės galėtų įvertinti šiuo reglamentu nustatyto geresnės priežiūros mechanizmo veiksmingumą, turėtų būti reikalaujama, kad priežiūros įstaigos teiktų ataskaitas apie savo veiklą.
Tai padėtų palengvinti priežiūros įstaigų keitimąsi gerąja praktika ir užtikrintų patikrą, ar esminiai priežiūros reikalavimai visose valstybėse narėse yra įgyvendinami nuosekliai ir veiksmingai;
(41) kad būtų užtikrintas kvalifikuotų patikimumo užtikrinimo paslaugų tvarumas ir pastovumas bei sustiprintas vartotojų pasitikėjimas kvalifikuotų patikimumo užtikrinimo paslaugų tęstinumu, priežiūros įstaigos turėtų patikrinti, ar tais atvejais, kai kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai nutraukia veiklą, parengtos nutraukimo planų nuostatos ir ar jos teisingai taikomos;
(42) siekiant palengvinti kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų priežiūrą, pavyzdžiui, kai teikėjas teikia paslaugas kitos valstybės narės teritorijoje ir joje jam netaikoma priežiūra arba kai paslaugos teikėjo kompiuteriai yra kitos nei jo įsisteigimo valstybės narės teritorijoje, turėtų būti nustatyta valstybių narių priežiūros įstaigų savitarpio pagalbos sistema;
(43) siekiant užtikrinti, kad kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos paslaugos atitiktų šiame reglamente nustatytus reikalavimus, atitikties vertinimus turėtų atlikti atitikties vertinimo įstaiga, o po to parengtas atitikties įvertinimo ataskaitas kvalifikuotų patikimumo užtikrinimo paslaugų teikėjai turėtų pateikti priežiūros įstaigai.
Kiekvieną kartą reikalaudama, kad kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas pateiktų ad hoc atitikties vertinimo ataskaitą, priežiūros įstaiga turėtų visų pirma laikytis gero administravimo principų, įskaitant pareigą pagrįsti savo sprendimus, taip pat laikytis proporcingumo principo.
Todėl priežiūros įstaiga turėtų deramai pagrįsti sprendimą reikalauti ad hoc atitikties vertinimo;
(44) šiuo reglamentu siekiama užtikrinti nuoseklią sistemą, kad būtų pasiektas aukštas patikimumo užtikrinimo paslaugų apsaugos ir teisinio tikrumo lygis. Šiuo požiūriu Komisija, spręsdama produktų ir paslaugų atitikties vertinimo klausimus, turėtų, jei taikytina, ieškoti sąveikos su šiuo metu taikomais susijusiais Europos ir tarptautiniais modeliais, kaip antai Europos Parlamento ir Tarybos reglamentu (EB) Nr. 765/2008 (9), kuriuo nustatomi atitikties vertinimo įstaigų akreditavimo ir produktų rinkos priežiūros reikalavimai;
(45) kad būtų galima užtikrinti veiksmingą inicijavimo procesą, kuriuo kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos turėtų būti įtraukiami į patikimus sąrašus, turėtų būti paskatintas numatomų kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų ir kompetentingos priežiūros įstaigos preliminarus bendravimas, siekiant sudaryti palankesnes sąlygas deramam stropumui, kuris būtinas teikiant kvalifikuotas patikimumo užtikrinimo paslaugas;
(47) pasitikėjimas internetinėmis paslaugomis ir tų paslaugų patogumas yra būtini, kad naudotojai galėtų visapusiškai naudotis ir sąmoningai pasitikėti elektroninėmis paslaugomis. Šiuo tikslu turėtų būti sukurtas ES pasitikėjimo ženklas, kad būtų galima atpažinti kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų teikiamas kvalifikuotas patikimumo užtikrinimo paslaugas,.
Tokiu ES pasitikėjimo ženklu kvalifikuotos patikimumo užtikrinimo paslaugos būtų akivaizdžiai atskirtos nuo kitų patikimumo užtikrinimo paslaugų, taip prisidedant prie rinkos skaidrumo.
Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ES pasitikėjimo ženklą turėtų naudoti savanoriškai ir dėl tokio naudojimo neturėtų atsirasti kitų, nei šiame reglamente numatytų, reikalavimų;
(48) nors siekiant užtikrinti abipusį elektroninių parašų pripažinimą būtinas aukštas saugumo lygis, tam tikrais atvejais, kaip antai susijusiais su Komisijos sprendimu 2009/767/EB (10), taip pat turėtų būti priimami elektroniniai parašai, kuriais užtikrinamas žemesnio lygio saugumas;
(49) šiuo reglamentu turėtų būti nustatytas principas, kad negalima atsisakyti pripažinti elektroninio parašo teisinės galios tik dėl to, kad parašas yra elektroninis arba kad jis neatitinka kvalifikuoto elektroninio parašo reikalavimų.
Tačiau elektroninių parašų teisinė galia turi būti reglamentuojama nacionalinės teisės aktuose, išskyrus šiame reglamente numatytus reikalavimus, pagal kuriuos kvalifikuoto elektroninio parašo teisinė galia turėtų būti lygiavertė rašytiniam parašui;
(51) pasirašančiam asmeniui turėtų būti sudaryta galimybė kvalifikuotų elektroninio parašo kūrimo įtaisų priežiūrą pavesti trečiajai šaliai su sąlyga, kad įdiegti tinkami mechanizmai ir procedūros, skirti užtikrinti, jog elektroninio parašo kūrimo duomenų naudojimą kontroliuoja tik pasirašantis asmuo ir kad naudojant įtaisą laikomasi kvalifikuotam elektroniniam parašui keliamų reikalavimų;
(52) nuotolinių elektroninių parašų kūrimas, kai šio elektroninio parašo kūrimo aplinką valdo patikimumo užtikrinimo paslaugos teikėjas pasirašančio asmens vardu, turėtų plėstis dėl įvairiapusės jo ekonominės naudos.
Vis dėlto siekiant užtikrinti, kad tokie elektroniniai parašai būtų teisiškai pripažįstami taip pat kaip ir vien vartotojo valdomoje aplinkoje sukurti elektroniniai parašai, nuotolinio elektroninio parašo paslaugos teikėjai turėtų taikyti konkrečias valdymo bei administracines saugumo procedūras ir naudoti patikimas sistemas bei produktus, įskaitant saugius elektroninius ryšių kanalus, siekiant užtikrinti, kad elektroninio parašo kūrimo aplinka būtų patikima ir kad ji būtų naudojama prižiūrint vien pasirašančiam asmeniui.
Kai kvalifikuotas elektroninis parašas sukurtas naudojant nuotolinio elektroninio parašo kūrimo įtaisą, turėtų būti taikomi šiame reglamente nustatyti kvalifikuotiems patikimumo užtikrinimo paslaugos teikėjams keliami reikalavimai;
(53) kvalifikuotų sertifikatų galiojimo sustabdymas yra įprasta patikimumo paslaugų teikėjų darbo praktika keliose valstybėse narėse; tai nėra atšaukimas ir dėl to sertifikatas laikinai netenka galios.
Siekiant užtikrinti teisinį tikrumą, visada turi būti aiškiai nurodytas sertifikato statusas – galiojimas sustabdytas.
Tuo tikslu patikimumo užtikrinimo paslaugų teikėjai turėtų būti atsakingi už tai, kad būtų aiškiai nurodytas sertifikato statusas, o galiojimo sustabdymo atveju – konkretus laikotarpis, kuriuo sertifikato galiojimas sustabdytas. Šiuo reglamentu neturėtų būti nustatoma, kad patikimumo užtikrinimo paslaugų teikėjai ar valstybės narės privalo taikyti sustabdymą, tačiau turėtų būti nustatytos skaidrumo taisyklės, kada ir kokiais atvejais galima taikyti tokią praktiką;
(54) tarpvalstybinis sąveikumas ir kvalifikuotų sertifikatų pripažinimas yra tarpvalstybinio kvalifikuotų elektroninių parašų pripažinimo prielaida.
Todėl kvalifikuotiems sertifikatams neturėtų būti taikoma jokių privalomų reikalavimų, viršijančių šiame reglamente nustatytus reikalavimus.
Vis dėlto nacionaliniu lygiu kvalifikuotuose sertifikatuose turėtų būti leidžiama naudoti specifinius požymius, kaip antai unikalius atpažinimo ženklus, su sąlyga, kad tokie specifiniai požymiai netrukdo tarpvalstybiniam sąveikumui ir kvalifikuotų sertifikatų bei elektroninių parašų pripažinimui;
(55) IT saugumo sertifikavimas, grindžiamas tarptautiniais standartais tokiais kaip antai ISO 15408 bei atitinkamais vertinimo metodais ir abipusio pripažinimo susitarimais, yra svarbi priemonė siekiant patikrinti kvalifikuotų elektroninio parašo kūrimo įtaisų saugumą ir jis turėtų būti skatinamas.
Vis dėlto novatoriški sprendimai ir paslaugos, kaip antai mobilusis elektroninis parašas ir debesijos elektroninis parašas, yra paremti kvalifikuotų elektroninio parašo kūrimo įtaisų, kurių saugumo standartų dar gali ir nebūti arba dar tik vyksta pirmasis IT saugumo sertifikavimas, techniniu ir organizaciniu sprendimu.
Tokių kvalifikuotų elektroninio parašo kūrimo įtaisų saugumo lygis galėtų būti įvertintas taikant alternatyvius procesus tik tuo atveju, kai tokių saugumo standartų dar nėra ir kai vyksta pirmasis IT saugumo sertifikavimas.
Tie procesai turėtų būti panašūs į IT saugumo sertifikavimo standartus tiek, kad jų saugumo lygiai būtų lygiaverčiai.
Tuos procesus galėtų palengvinti tarpusavio vertinimas;
(56) šiame reglamente turėtų būti nustatyti kvalifikuotiems elektroninio parašo kūrimo įtaisams keliami reikalavimai, siekiant užtikrinti pažangiųjų elektroninių parašų funkcionalumą. Šis reglamentas neturėtų būti taikomas visai sistemos aplinkai, kurioje veikia tokia įranga.
Todėl kvalifikuotų parašo kūrimo įtaisų sertifikavimas turėtų būti taikomas tik aparatinei ir sistemos programinei įrangai, naudojamai parašo kūrimo įtaisų sukurtiems, saugomiems arba apdorotiems parašo kūrimo duomenims valdyti ir juos apsaugoti.
Kaip išsamiai nurodyta atitinkamuose standartuose, sertifikavimo pareiga neturėtų būti taikoma parašo kūrimo taikomosioms programoms;
(57) siekiant užtikrinti parašo galiojimo teisinį tikrumą, labai svarbu išsamiai nurodyti, kokias kvalifikuoto elektroninio parašo sudedamąsias dalis turėtų įvertinti galiojimą tvirtinanti pasikliaujančioji šalis.
Be to, reikalavimų nustatymas kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams, kurie gali teikti kvalifikuotą galiojimo patvirtinimo paslaugą pasikliaujančiosioms šalims, kurios pačios nenori arba negali atlikti kvalifikuotų elektroninių parašų galiojimo patvirtinimo, turėtų paskatinti privatųjį ir viešąjį sektorių investuoti į tokias paslaugas. Įgyvendinus abu šiuos elementus, kvalifikuoto elektroninio parašo galiojimo patvirtinimas Sąjungos lygmeniu turėtų tapti lengvas ir patogus visoms šalims;
(58) kai operacijai atlikti reikalingas juridinio asmens kvalifikuotas elektroninis spaudas, lygiai taip pat turėtų būti priimamas to juridinio asmens įgaliotojo atstovo kvalifikuotas elektroninis parašas;
(59) elektroniniai spaudai turėtų būti įrodymas, kad elektroninį dokumentą išdavė juridinis asmuo, užtikrinant dokumento kilmę ir vientisumą;
(60) kvalifikuotus elektroninių spaudų sertifikatus išduodantys patikimumo užtikrinimo paslaugų teikėjai turėtų įgyvendinti priemones, būtinas nustatyti fizinio asmens, atstovaujančio juridiniam asmeniui, kuriam suteiktas kvalifikuotas elektroninio spaudo sertifikatas, tapatybę, kai toks tapatybės nustatymas būtinas nacionaliniu lygiu, atsižvelgiant į teismo ar administracinius procesus;
(61) šiuo reglamentu turėtų būti užtikrinta ilgalaikis informacijos išsaugojimas, t.
y.
siekiant užtikrinti elektroninio parašo ir elektroninių spaudų teisinį galiojimą ilgą laiką ir garantuoti, kad jų galiojimas būtų patvirtintas nepaisant būsimų technologinių pokyčių;
(62) siekiant užtikrinti kvalifikuotų elektroninių laiko žymų saugumą, šiuo reglamentu turėtų būti reikalaujama naudoti pažangųjį elektroninį spaudą arba pažangųjį elektroninį parašą arba kitus lygiaverčius metodus.
Numatoma, kad dėl inovacijų gali atsirasti naujos technologijos, kuriomis būtų galima užtikrinti lygiavertį laiko žymų saugumo lygį.
Kai naudojamas kitas, ne pažangiojo elektroninio spaudo ar pažangiojo elektroninio parašo, metodas, kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai atitikties turėtų įvertinimo ataskaitose įrodyti, kad tokiu metodu užtikrinamas lygiavertis saugumo lygis ir laikomasi šiame reglamente nustatytų pareigų;
(63) elektroniniai dokumentai yra svarbūs tolesnei tarpvalstybinių elektroninių operacijų vidaus rinkoje plėtrai. Šiame reglamente turėtų būti nustatomas principas, kad negalima atsisakyti pripažinti elektroninio dokumento teisinės galios tik dėl to, kad dokumentas yra elektroninis siekiant užtikrinti, kad elektroninė operacija nebūtų atmesta tik dėl to, kad dokumentas yra elektroninis;
(64) spręsdama pažangiųjų elektroninių parašų ir spaudų formatų klausimus, Komisija turėtų remtis šiuo metu taikoma praktika, standartais ir teisės aktais, ypač Komisijos sprendimu 2011/130/ES (11);
(67) naudodamasis interneto svetainių tapatumo nustatymo paslaugomis interneto svetainės lankytojas gali būti tikras, kad interneto svetainė priklauso tikram ir teisėtam subjektui.
Tos paslaugos prisideda prie pasitikėjimo kūrimo ir suteikia drąsos vykdyti verslą internetu, nes vartotojai pasitikės interneto svetaine, kurios tapatumas nustatytas.
Interneto svetainės tapatumo nustatymo paslaugų teikimas ir naudojimas yra visiškai savanoriškas.
Vis dėlto norint, kad interneto svetainės tapatumo nustatymas taptų pasitikėjimo didinimo priemone, kuri pagerintų vartotojo patirtį ir toliau skatintų vidaus rinkos augimą, šiame reglamente teikėjams ir jų paslaugoms turėtų būti nustatytos minimalios saugumo ir atsakomybės pareigos.
Tuo tikslu buvo atsižvelgta į šiuo metu sektoriuje įgyvendinamų iniciatyvų, pavyzdžiui, Sertifikavimo institucijų ir naršyklių verslo forumo – CA/B Forumas rezultatus.
Be to, šiuo reglamentu neturėtų būti trukdoma naudoti kitų interneto svetainės tapatumo nustatymo priemonių ar metodų, kuriems netaikomas šis reglamentas, ir kliudoma trečiųjų valstybių interneto svetainės tapatumo nustatymo paslaugų teikėjams teikti savo paslaugas Sąjungoje esantiems klientams.
Vis dėlto trečiosios valstybės teikėjo interneto svetainės tapatumo nustatymo paslaugos turėtų būti pripažintos kvalifikuotomis pagal šį reglamentą, tik jeigu Sąjunga ir valstybė, kurioje įsisteigęs teikėjas, yra sudariusios tarptautinį susitarimą;
(70) siekiant lanksčiai ir greitai papildyti tam tikrus šio reglamento išsamius techninius aspektus, pagal SESV 290 straipsnį Komisijai turėtų būti deleguoti įgaliojimai priimti aktus dėl kriterijų, kuriuos turi atitikti už kvalifikuotų elektroninio parašo kūrimo įtaisų sertifikavimą atsakingos įstaigos.
Ypač svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, taip pat ir su ekspertais.
Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduodami Europos Parlamentui ir Tarybai;
(71) siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai, visų pirma tam, kad ji nurodytų standartų, kurių laikantis būtų suteikiama prezumpcija dėl atitikties tam tikriems šiame reglamente nustatytiems reikalavimams užtikrinimo, referencinius numerius.
Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (12);
(72) priimdama deleguotuosius arba įgyvendinimo aktus Komisija turėtų deramai atsižvelgti į Europos ir tarptautinių standartizacijos organizacijų ir įstaigų, visų pirma Europos standartizacijos komiteto (CEN), Europos telekomunikacijų standartų instituto (ETSI), Tarptautinės standartizacijos organizacijos (ISO) ir Tarptautinės telekomunikacijų sąjungos (ITU) parengtus standartus bei technines specifikacijas, kad būtų užtikrintas aukštas elektroninės atpažinties ir patikimumo užtikrinimo paslaugų saugumo lygis;
(73) dėl teisinio tikrumo ir aiškumo Direktyva 1999/93/EB turėtų būti panaikinta;