(11) Šī regula būtu jāpiemēro, pilnībā ievērojot personas datu aizsardzības principus, kas noteikti Eiropas Parlamenta un Padomes Direktīvā 95/46/EK (7). Šajā sakarā, ņemot vērā savstarpējas atzīšanas principu, kas noteikts ar šo regulu, tiešsaistes pakalpojuma autentifikācijai būtu jāattiecas tikai uz tādu identifikācijas datu apstrādi, kas ir pienācīgi, atbilstīgi un nav pārmērīgi, lai tiešsaistē piešķirtu piekļuvi minētajam pakalpojumam.
Arī uzticamības pakalpojumu sniedzējiem un uzraudzības iestādēm būtu jāievēro prasības, kas Direktīvā 95/46/EK ir noteiktas attiecībā uz apstrādes konfidencialitāti un drošību.
- = -
(14) Šajā regulā ir jāparedz daži nosacījumi attiecībā uz to, kuri elektroniskās identifikācijas līdzekļi ir jāatzīst un kā būtu jāpaziņo par elektroniskās identifikācijas shēmām.
Minētajiem nosacījumiem būtu dalībvalstīm jāpalīdz veidot nepieciešamo uzticēšanos pārējo dalībvalstu elektroniskās identifikācijas shēmām un savstarpēji atzīt tos elektroniskās identifikācijas līdzekļus, kuri ietverti valstu paziņotajās shēmās.
Savstarpējās atzīšanas princips būtu jāpiemēro, ja paziņotājas dalībvalsts elektroniskās identifikācijas shēmā ir izpildīti paziņošanas nosacījumi un paziņojums ir publicēts Eiropas Savienības Oficiālajā Vēstnesī.
Tomēr savstarpējās atzīšanas principam būtu jāattiecas tikai uz autentificēšanos tiešsaistes pakalpojumam.
Tam, kāda ir piekļuve minētajiem tiešsaistes pakalpojumiem un to galīgā piegāde pieprasītājam, vajadzētu būt cieši saistītam ar tiesībām saņemt šādus pakalpojumus saskaņā ar valsts tiesību aktos paredzētajiem nosacījumiem.
- = -
(15) Pienākumam atzīt elektroniskās identifikācijas līdzekļus būtu jāattiecas tikai uz tiem līdzekļiem, kuru identitātes uzticamības līmenis ir vienāds ar līmeni, kāds nepieciešams konkrētajam tiešsaistes pakalpojumam, vai ir augstāks.
Turklāt minētais pienākums būtu jāpiemēro tikai tad, ja konkrētā publiskā iestāde izmanto tādu uzticamības līmeni, kas attiecībā uz piekļuvi minētajam pakalpojumam tiešsaistē, ir “būtisks” vai “augsts”.
Saskaņā ar Savienības tiesību aktiem dalībvalstīm arī turpmāk vajadzētu būt iespējai atzīt tādus elektroniskās identifikācijas līdzekļus, kuriem ir zemāks identitātes uzticamības līmenis.
- = -
(16) Uzticamības līmeņiem būtu jāraksturo elektroniskās identifikācijas līdzekļu ticamības pakāpe personas identitātes noskaidrošanā, tādējādi nodrošinot pārliecību, ka persona, kas uzdodas par personu ar kādu konkrētu identitāti, patiešām ir tā persona, kurai minētā identitāte ir piešķirta.
Uzticamības līmenis ir atkarīgs no ticamības pakāpes, ko elektroniskās identifikācijas līdzekļi nodrošina attiecībā uz personas uzdoto vai piedāvāto identitāti, ņemot vērā procesus (piemēram, identitātes pierādīšanu un verifikāciju, un autentifikāciju), pārvaldības darbības (piemēram, vienību, kura izsniedz elektroniskās identifikācijas līdzekļus un šādu līdzekļu izsniegšanas procedūru) un ieviesto tehnisko kontroli.
Pastāv dažādas uzticamības līmeņu tehniskās definīcijas un apraksti, kas izstrādāti Savienības finansētos liela mēroga izmēģinājuma projektos, standartizācijas un starptautiskās darbībās.
Konkrēti, liela mēroga izmēģinājuma projekts STORK un ISO 29115 cita starpā atsaucas uz 2., 3.
un 4.
līmeni, kas būtu vislielākajā mērā jāņem vērā, nosakot minimālās tehniskās prasības, standartus un procedūras zemam, būtiskam un augstam uzticamības līmenim šīs regulas nozīmē, vienlaikus nodrošinot konsekventu šīs regulas piemērošanu, jo īpaši attiecībā uz augstu uzticamības līmeni saistībā ar identitātes pierādīšanu, lai izsniegtu kvalificētus sertifikātus.
Izstrādātajām prasībām vajadzētu būt tehnoloģiju ziņā neitrālām.
Vajadzīgās drošības prasības būtu jāspēj nodrošināt ar dažādu tehnoloģiju palīdzību.
- = -
(17) Dalībvalstīm būtu jāmudina privātais sektors brīvprātīgi izmantot paziņotajā shēmā ietvertos elektroniskās identifikācijas līdzekļus identificēšanas nolūkos, kad tas nepieciešams tiešsaistes pakalpojumiem vai elektroniskajiem darījumiem.
Iespēja izmantot šādus elektroniskās identifikācijas līdzekļus privātajam sektoram dotu iespēju paļauties uz elektronisko identifikāciju un autentifikāciju, ko jau tagad daudzās dalībvalstīs plaši izmanto vismaz sabiedrisko pakalpojumu jomā, un šāda iespēja uzņēmumiem un iedzīvotājiem atvieglotu piekļuvi saviem tiešsaistes pakalpojumiem citās valstīs.
Lai privātajam sektoram būtu vieglāk šādus elektroniskās identifikācijas līdzekļus izmantot citās valstīs, jebkuras dalībvalsts nodrošinātajai autentifikācijas iespējai vajadzētu būt pieejamai tām privātā sektora atkarīgajām pusēm, kas veic uzņēmējdarbību ārpus minētās dalībvalsts teritorijas, saskaņā ar tādiem pašiem nosacījumiem, kādus piemēro privātā sektora atkarīgajām pusēm, kas veic uzņēmējdarbību minētajā dalībvalstī.
Tāpēc attiecībā uz privātā sektora atkarīgajām pusēm paziņotāja dalībvalsts var definēt noteikumus, kas attiecas uz piekļuvi autentifikācijas līdzekļiem. Šādos piekļuves noteikumos var būt sniegta informācija par to, vai ar paziņoto shēmu saistītie autentifikācijas līdzekļi privātā sektora atkarīgajām pusēm patlaban ir pieejami.
- = -
(18) Šajā regulā būtu jāparedz paziņotājas dalībvalsts, elektroniskās identifikācijas līdzekļus izsniedzošās personas un autentifikācijas procedūru veicošās personas atbildība par šajā regulā noteikto attiecīgo pienākumu neizpildi.
Tomēr šī regula būtu jāpiemēro saskaņā ar valstu noteikumiem par atbildību.
Tāpēc tā neietekmē, piemēram, valsts noteikumus par zaudējumu definīciju vai attiecīgajiem piemērojamiem procesuālajiem noteikumiem, tostarp noteikumiem par pierādīšanas pienākumu.
- = -
(19) Elektroniskās identifikācijas shēmu drošībai ir būtiska nozīme elektronisko identifikācijas līdzekļu uzticamai savstarpējai atzīšanai dažādās valstīs. Šādā kontekstā dalībvalstīm būtu jāsadarbojas jautājumā par elektroniskās identifikācijas shēmu drošību un sadarbspēju Savienības līmenī.
Kad vien attiecībā uz elektroniskās identifikācijas shēmām ir vajadzīgs, lai atkarīgās puses valsts līmenī lietotu kādu konkrētu aparatūru vai programmatūru, pārrobežu sadarbspējas nolūkā ir nepieciešams, lai minētās dalībvalstis nenoteiktu šādas prasības un attiecīgas izmaksas atkarīgajām pusēm, kas veic uzņēmējdarbību ārpus šo dalībvalstu teritorijas.
Minētajā gadījumā saistībā ar sadarbspējas sistēmas darbību būtu jāapspriež un jāizstrādā atbilstīgi risinājumi.
Tomēr nav iespējams izvairīties no tehniskām prasībām, kas izriet no valstu elektroniskās identifikācijas ierīcēm piemītošām specifikācijām un kas var ietekmēt šādu elektronisko līdzekļu (piemēram, viedkaršu) turētājus.
- = -
(20) Dalībvalstu sadarbībai būtu jāatvieglo paziņoto elektroniskās identifikācijas shēmu tehniskā sadarbspēja, lai sekmētu augsta līmeņa uzticamību un riska pakāpei atbilstošu drošību.
Informācijas un paraugprakses apmaiņai dalībvalstu starpā ar mērķi panākt savstarpēju atzīšanu būtu jāpalīdz īstenot šādu sadarbību.
- = -
(21) Ar šo regulu būtu arī jāizveido vispārējs tiesiskais regulējums uzticamības pakalpojumu izmantošanai.
Tomēr ar šo regulu nebūtu jānosaka vispārīgs pienākums šos pakalpojumus izmantot vai instalēt piekļuves punktu visiem esošajiem uzticamības pakalpojumiem.
Jo īpaši šai regulai nebūtu jāattiecas uz tādu pakalpojumu sniegšanu, kurus izmanto vienīgi noteikts dalībnieku kopums slēgtās sistēmās, kas neskar trešās personas.
Piemēram, šīs regulas prasības nebūtu jāpiemēro sistēmām, kas izveidotas uzņēmumos vai valsts pārvaldēs, lai pārvaldītu iekšējas procedūras, izmantojot uzticamības pakalpojumus.
Vienīgi sabiedrībai sniegtiem uzticamības pakalpojumiem, kas skar trešās personas, būtu jāatbilst šajā regulā noteiktajām prasībām. Šai regulai nebūtu jāattiecas arī uz tiem aspektiem, kas ir saistīti ar līgumu slēgšanu vai citu juridisku saistību uzņemšanos un šādu līgumu vai saistību derīgumu, ja attiecībā uz to veidu prasības noteiktas valsts vai Savienības tiesību aktos.
Turklāt tai nebūtu jāietekmē valstu formātam izvirzītās prasības, kas attiecas uz publiskiem reģistriem, jo īpaši komercreģistriem un zemes reģistriem.
- = -
(22) Lai veicinātu uzticamības pakalpojumu vispārēju pārrobežu izmantošanu, būtu jānodrošina iespēja tos izmantot kā pierādījumu tiesvedībā visās dalībvalstīs.
Ja vien šajā regulā nav paredzēts citādi, uzticamības pakalpojumu juridiskais spēks ir jānosaka ar valsts tiesību aktiem.
- = -
(23) Ciktāl ar šo regulu tiek noteikts pienākums atzīt kādu uzticamības pakalpojumu, šādu uzticamības pakalpojumu var noraidīt tikai tādā gadījumā, ja pienākuma adresāts to nevar nolasīt vai verificēt tehnisku iemeslu dēļ, ko adresāts nespēj tieši kontrolēt.
Tomēr minētajam pienākumam nebūtu jānozīmē tas, ka publiskai struktūrai ir jāiegādājas tāda aparatūra un programmatūra, lai tā varētu tehniski nolasīt visus esošos uzticamības pakalpojumus.
- = -
(24) Dalībvalstis, ievērojot Savienības tiesību aktus, var saglabāt vai ieviest valsts noteikumus attiecībā uz uzticamības pakalpojumiem, ja ar šo regulu veiktā saskaņošana attiecībā uz minētajiem pakalpojumiem nav pilnīga.
Tomēr šīs regulas prasībām atbilstošiem uzticamības pakalpojumiem būtu jānodrošina brīva aprite iekšējā tirgū.
- = -
(26) Ņemot vērā tehnoloģiju attīstības ātrumu, šajā regulā būtu jāizmanto pieeja, kas paredz inovācijas iespēju.
- = -
(28) Lai vairotu jo īpaši mazo un vidējo uzņēmumu (MVU) un patērētāju uzticēšanos iekšējam tirgum un veicinātu uzticamības pakalpojumu un produktu izmantošanu, būtu jāievieš jēdzieni “kvalificēti uzticamības pakalpojumi” un “kvalificēts uzticamības pakalpojumu sniedzējs”, lai noteiktu prasības un pienākumus, kas garantē augsta līmeņa drošību attiecībā uz jebkuru sniegto kvalificēto uzticamības pakalpojumu un lietoto produktu.
- = -
(29) Atbilstīgi pienākumiem, kas noteikti ar Padomes Lēmumu 2010/48/EK (8) apstiprinātajā Apvienoto Nāciju Organizācijas Konvencijā par personu ar invaliditāti tiesībām, jo īpaši tās 9.
pantā, personām ar invaliditāti vajadzētu būt iespējai izmantot uzticamības pakalpojumus un tiešo lietotāju produktus, kurus izmanto, sniedzot minētos pakalpojumus, ar tādiem pašiem nosacījumiem, kādi attiecas uz citiem patērētājiem.
Tāpēc, ja iespējams, būtu jānodrošina, lai sniegtie uzticamības pakalpojumi un tiešo lietotāju produkti, ko izmanto minēto pakalpojumu sniegšanā, būtu pieejami personām ar invaliditāti.
Pamatojuma izvērtējumā inter alia būtu jāietver tehniski un ekonomiski apsvērumi.
- = -
(30) Dalībvalstīm būtu jāizraugās uzraudzības iestāde vai uzraudzības iestādes šajā regulā minēto uzraudzības darbību veikšanai.
Dalībvalstīm arī vajadzētu būt iespējai, savstarpēji vienojoties ar citu dalībvalsti, izlemt par uzraudzības iestādes izraudzīšanos minētās citas dalībvalsts teritorijā.
- = -
(31) Uzraudzības iestādēm būtu jāsadarbojas ar datu aizsardzības iestādēm, piemēram, informējot tās par kvalificēto uzticamības pakalpojumu sniedzēju revīzijas rezultātiem, ja šķiet, ka ir notikuši personas datu aizsardzības noteikumu pārkāpumi.
Sniedzot informāciju, būtu jo īpaši jāietver drošības incidenti un personas datu pārkāpumi.
- = -
(32) Visiem uzticamības pakalpojumu sniedzējiem būtu jānosaka pienākums ievērot labu praksi drošības jomā, kas atbilst ar to darbību saistītajiem riskiem, lai tādējādi sekmētu lietotāju uzticēšanos vienotajam tirgum.
- = -
(33) Noteikumiem par pseidonīmu izmantošanu sertifikātos nebūtu jākavē dalībvalstis pieprasīt personu identifikāciju atbilstīgi Savienības vai valsts tiesību aktiem.
- = -
(34) Visām dalībvalstīm būtu jāievēro kopējas būtiskas uzraudzības prasības, lai kvalificētu uzticamības pakalpojumu jomā nodrošinātu līdzvērtīgu drošības līmeni.
Lai visā Savienībā būtu vieglāk konsekventi piemērot minētās prasības, dalībvalstīm būtu jāpieņem salīdzināmas procedūras un jāapmainās ar informāciju par savu uzraudzības darbību un paraugpraksi šajā jomā.
- = -
(35) Visiem uzticamības pakalpojumu sniedzējiem būtu jāpiemēro šīs regulas prasības, jo īpaši drošības un atbildības jomā, lai nodrošinātu pienācīgu centību, pārredzamību un pārskatatbildību to darbībās un pakalpojumos.
Tomēr, ņemot vērā uzticamības pakalpojumu sniedzēju sniegto pakalpojumu veidu, ir lietderīgi tiktāl, ciktāl tas attiecas uz minētajām prasībām, nošķirt kvalificētus un nekvalificētus uzticamības pakalpojumu sniedzējus.
- = -
(36) Uzraudzības režīma izveidošanai attiecībā uz visiem uzticamības pakalpojumu sniedzējiem būtu jānodrošina vienlīdzīgi konkurences apstākļi to darbību un pakalpojumu drošībai un atbildībai par tiem, tādējādi sekmējot lietotāju aizsardzību un iekšējā tirgus darbību.
Nekvalificētiem uzticamības pakalpojumu sniedzējiem būtu jāpiemēro atturīgas un reaģējošas ex post uzraudzības darbības, kuras attaisno to sniegto pakalpojumu un darbību būtība.
Tāpēc uzraudzības iestādei nebūtu jānosaka vispārējs pienākums uzraudzīt nekvalificētus pakalpojumu sniedzējus.
Uzraudzības iestādei būtu jārīkojas tikai tad, kad tā ir saņēmusi informāciju (piemēram, no paša nekvalificētā uzticamības pakalpojumu sniedzēja, citas uzraudzības iestādes, saņēmusi lietotāja vai darījumdarbības partnera paziņojumu vai uz pašas izmeklējumu pamata), ka nekvalificētais uzticamības pakalpojumu sniedzējs neievēro šajā regulā noteiktās prasības.
- = -
(37) Šajā regulā būtu jāparedz visu uzticamības pakalpojumu sniedzēju atbildība.
Jo īpaši tajā ir noteikts atbildības režīms, saskaņā ar kuru visiem uzticamības pakalpojumu sniedzējiem vajadzētu būt atbildīgiem par zaudējumu, kas radīts jebkurai fiziskai vai juridiskai personai šajā regulā minēto pienākumu neizpildes dēļ.
Lai vienkāršāk novērtētu finansiālo risku, kāds uzticamības pakalpojumu sniedzējiem iespējams būtu jāuzņemas vai kāds tiem būtu jāsedz ar apdrošināšanas polisēm, ar šo regulu uzticamības pakalpojumu sniedzējiem tiek ļauts ar konkrētiem nosacījumiem noteikt ierobežojumus to sniegto pakalpojumu izmantošanai, un nenest atbildību par zaudējumiem, kas rodas izmantojot pakalpojumus, kuri pārsniedz šādus ierobežojumus.
Patērētāji būtu iepriekš pienācīgi jāinformē par ierobežojumiem.
Minētajiem ierobežojumiem vajadzētu būt atpazīstamiem trešai personai, piemēram, informāciju par ierobežojumiem ietverot sniegtā pakalpojuma noteikumos vai izmantojot citus atpazīstamus līdzekļus.
Lai īstenotu minētos principus, šī regula būtu jāpiemēro saskaņā ar valstu noteikumiem par atbildību.
Tāpēc šī regula neietekmē valstu noteikumus, piemēram, par zaudējumu, nodoma vai nolaidības definīciju vai attiecīgajiem piemērojamiem procesuālajiem noteikumiem.
- = -
(39) Lai Komisija un dalībvalstis varētu novērtēt ar šo regulu ieviestā pārkāpumu paziņošanas mehānisma efektivitāti, būtu jānosaka, lai uzraudzības iestādes iesniegtu Komisijai un Eiropas Savienības Tīklu un informācijas drošības aģentūrai (ENISA) informatīvus kopsavilkumus.
- = -
(40) Lai Komisija un dalībvalstis varētu novērtēt ar šo regulu ieviestā pastiprinātas uzraudzības mehānisma efektivitāti, būtu jāpieprasa uzraudzības iestādēm iesniegt ziņojumus par savu darbību.
Tas būtu lietderīgi, lai sekmētu labas prakses apmaiņu starp uzraudzības iestādēm, un nodrošinātu galveno uzraudzības prasību konsekventas un efektīvas īstenošanas pārbaudi visās dalībvalstīs.
- = -
(41) Lai nodrošinātu kvalificētu uzticamības pakalpojumu ilgtspējību un ilglaicīgumu un sekmētu lietotāju uzticēšanos kvalificētu uzticamības pakalpojumu nepārtrauktībai, uzraudzības iestādēm būtu jāpārliecinās, vai pastāv darbības pārtraukšanas plāni un vai noteikumi par pārtraukšanas plāniem tiek pareizi piemēroti, gadījumos, kad kvalificētie uzticamības pakalpojumu sniedzēji pārtrauc savas darbības.
- = -
(42) Dalībvalstīs būtu jāizveido uzraudzības iestāžu savstarpējas palīdzības sistēma, lai atvieglotu kvalificētu uzticamības pakalpojumu sniedzēju uzraudzību, piemēram, gadījumā, ja pakalpojumu sniedzējs pakalpojumus piedāvā citas dalībvalsts teritorijā un tur nav pakļauts uzraudzībai vai ja pakalpojumu sniedzēja datori atrodas citas dalībvalsts teritorijā, nevis tajā dalībvalstī, kurā minētais pakalpojumu sniedzējs veic uzņēmējdarbību.
- = -
(43) Lai nodrošinātu kvalificētu uzticamības pakalpojumu sniedzēju un to sniegto pakalpojumu atbilstību šīs regulas prasībām, atbilstības novērtēšanas struktūrai būtu jāveic atbilstības novērtēšana, un kvalificētiem uzticamības pakalpojumu sniedzējiem būtu iegūtie atbilstības novērtēšanas ziņojumi jāiesniedz uzraudzības iestādei.
Kad vien uzraudzības iestāde pieprasa kvalificētam uzticamības pakalpojumu sniedzējam iesniegt ad hoc atbilstības novērtēšanas ziņojumu, uzraudzības iestādei būtu jo īpaši jāievēro labas pārvaldības principi, tostarp pienākums sniegt pamatojumu saviem lēmumiem, kā arī proporcionalitātes princips.
Tāpēc uzraudzības iestādei būtu pienācīgi jāpamato lēmums pieprasīt ad hoc atbilstības novērtēšanu.
- = -
(44) Šīs regulas mērķis ir nodrošināt saskaņotu regulējumu, lai sniegtu augsta līmeņa drošību un juridisko noteiktību uzticamības pakalpojumiem. Šajā sakarā, risinot produktu un pakalpojumu atbilstības novērtēšanu, Komisijai attiecīgos gadījumos būtu jārod sinerģija ar esošajām attiecīgajām Eiropas un starptautiskajām sistēmām, piemēram, Eiropas Parlamenta un Padomes Regulu (EK) Nr. 765/2008 (9), kurā noteiktas atbilstības novērtēšanas struktūru akreditācijas un produktu tirgus uzraudzības prasības.
- = -
(45) Lai efektīvi noritētu ieviešanas process, kura rezultātā kvalificētos uzticamības pakalpojumu sniedzējus un to sniegtos kvalificētos uzticamības pakalpojumus iekļautu uzticamības sarakstos, būtu jāsekmē iepriekšēja apspriešanās starp kvalificētiem uzticamības pakalpojumu sniedzējiem un kompetento uzraudzības iestādi, tādējādi atvieglojot uzticamības pārbaudi, kas jāveic pirms kvalificētu uzticamības pakalpojumu sniegšanas.
- = -
(47) Ticamība tiešsaistes pakalpojumiem un ērta to izmantošana ir būtiska, lai lietotāji pilnībā gūtu labumu no elektroniskajiem pakalpojumiem un apzināti uz tiem paļautos. Šajā nolūkā būtu jārada ES uzticamības marķējums, lai identificētu kvalificētus uzticamības pakalpojumus, ko sniedz kvalificēti uzticamības pakalpojumu sniedzēji. Šāds ES uzticamības marķējums kvalificētiem uzticamības pakalpojumiem skaidri atšķirtu kvalificētus uzticamības pakalpojumus no citiem uzticamības pakalpojumiem, tādējādi sekmējot pārredzamību tirgū.
ES uzticamības marķējuma izmantošanai kvalificētiem uzticamības pakalpojumu sniedzējiem vajadzētu būt brīvprātīgai, un tai nebūtu jārada nekādas citas prasības papildu tām, kas ir paredzētas šajā regulā.
- = -
(48) Lai nodrošinātu elektronisko parakstu savstarpēju atzīšanu, drošības līmenim jābūt augstam, taču īpašos gadījumos, piemēram, saistībā ar Komisijas Lēmumu 2009/767/EK (10), būtu jāakceptē elektroniskie paraksti arī ar zemāku drošības nodrošinājuma līmeni.
- = -
(49) Ar šo regulu būtu jānosaka princips, ka elektroniskā paraksta juridisko spēku nebūtu jānoraida elektroniskā formāta dēļ vai tādēļ, ka tas neatbilst kvalificētā elektroniskā paraksta prasībām.
Tomēr elektronisko parakstu juridiskais spēks ir jānosaka ar valsts tiesību aktiem, izņemot šajā regulā noteiktās prasības, proti, ka kvalificētiem elektroniskajiem parakstiem būtu jāpiešķir līdzvērtīgs juridiskais spēks kā parakstiem ar roku.
- = -
(50) Tā kā patlaban dalībvalstu kompetentās iestādes, savus dokumentus parakstot elektroniski, izmanto uzlabotu elektronisko parakstu dažādus formātus, ir jānodrošina, lai dalībvalstis spētu tehniski atbalstīt vismaz vairākus uzlabotu elektronisko parakstu formātus tad, kad tās saņem elektroniski parakstītus dokumentus.
Tāpat, ja dalībvalstu kompetentās iestādes izmanto uzlabotus elektroniskos zīmogus, būtu jānodrošina, ka tās atbalstītu vismaz vairākus uzlabotu elektronisko zīmogu formātus.
- = -
(51) Parakstītājam būtu jāspēj uzticēt kvalificētas elektroniskā paraksta radīšanas ierīces trešās personas aprūpei ar noteikumu, ka tiek īstenoti pienācīgi mehānismi un procedūras, kas garantē, ka tikai parakstītājs kontrolē sava elektroniskā paraksta radīšanas datu izmantošanu, un ka saistībā ar ierīces izmantošanu ir izpildītas kvalificētā elektroniskā paraksta prasības.
- = -
(52) Aizvien biežāk notiek elektronisko parakstu attālināta izveide, proti, kad elektroniskais paraksts parakstītāja vārdā tiek izveidots vidē, ko pārvalda uzticamības pakalpojumu sniedzējs, jo tam ir daudzkārtējas ekonomiskas priekšrocības.
Tomēr, lai nodrošinātu, ka šādi elektroniskie paraksti tiek juridiski atzīti tā pat kā tie elektroniskie paraksti, kas izveidoti vidē, kuru pilnībā pārvalda lietotājs, attālināta elektroniskā paraksta pakalpojuma sniedzējiem būtu jāpiemēro konkrētas drošības, pārvaldības un administratīvās procedūras, un jāizmanto uzticamas sistēmas un produkti, tostarp droši elektroniskie sakaru kanāli, ar mērķi garantēt elektroniskā paraksta izveides vides uzticamību un to, ka parakstītājs ir vienīgais, kurš kontrolē sava elektroniskā paraksta izveides vidi.
Ja kvalificēts elektroniskais paraksts ir veidots ar attālināta elektroniskā paraksta izveides ierīci, būtu jāpiemēro prasības, kas saskaņā ar šo regulu ir piemērojamas kvalificētu uzticamības pakalpojumu sniedzējiem.
- = -
(53) Kvalificēta sertifikāta apturēšana ir uzticamības pakalpojumu sniedzēju pieņemta darbības prakse vairākās dalībvalstīs, kura atšķiras no sertifikāta atsaukšanas un no kuras uz laiku izriet sertifikāta derīguma zudums.
Juridiskās noteiktības dēļ vienmēr ir skaidri jānorāda sertifikāta apturēšanas statuss. Šajā nolūkā uzticamības pakalpojumu sniedzēji ir atbildīgi par to, lai skaidri norādītu sertifikāta statusu un, ja tas ir apturēts, precīzu laikposmu, uz kādu sertifikāts ir apturēts.
Ar šo regulu uzticamības pakalpojumu sniedzējiem vai dalībvalstīm nebūtu jāuzliek par pienākumu izmantot apturēšanu, taču būtu jāparedz pārredzamības noteikumi, kad un kādos gadījumos šāda prakse ir pieejama.
- = -
(54) Kvalificētu sertifikātu pārrobežu sadarbspēja un atzīšana ir kvalificētu elektronisko parakstu atzīšanas priekšnosacījums.
Tāpēc uz kvalificētiem sertifikātiem nebūtu jāattiecas nevienai obligātai prasībai, kas pārsniedz šajā regulā noteiktās prasības.
Tomēr valstu līmenī būtu jāļauj kvalificētos sertifikātos iekļaut raksturīgās pazīmes, piemēram, unikālos identifikatorus, ar noteikumu, ka šādas raksturīgās pazīmes nekavē kvalificētu sertifikātu un elektronisko parakstu pārrobežu sadarbspēju un atzīšanu.
- = -
(55) IT drošības sertifikācija, kuras pamatā ir starptautiski standarti, piemēram, ISO 15408 un ar to saistītas novērtēšanas metodes un savstarpējās atzīšanas režīmi, ir būtisks instruments, lai verificētu kvalificēta elektroniskā paraksta radīšanas ierīču drošību, un tā būtu jāveicina.
Tomēr inovatīviem risinājumiem un pakalpojumiem, piemēram, mobilajam parakstam un mākoņparakstam, ir nepieciešami kvalificēta elektroniskā paraksta radīšanas ierīču tehniski un organizatoriski risinājumi, kuriem drošības standarti iespējams vēl nav pieejami vai kuriem pašlaik notiek pirmā IT drošības sertifikācija. Šāda kvalificēta elektroniskā paraksta radīšanas ierīču drošības līmeni varētu novērtēt, izmantojot alternatīvus procesus, tikai tad, ja šādi drošības standarti nav pieejami, vai ja pašlaik notiek pirmā IT drošības sertifikācija.
Minētajiem procesiem vajadzētu būt salīdzināmiem ar IT drošības sertifikācijas standartiem, ciktāl to drošības līmeņi ir līdzvērtīgi.
Minētos procesus varētu sekmēt ar salīdzinošo izvērtēšanu.
- = -
(56) Šajā regulā būtu jāizklāsta prasības kvalificēta elektroniskā paraksta radīšanas ierīcēm, lai nodrošinātu uzlabotu elektronisko parakstu funkcionalitāti. Šī regula neaptver visu sistēmvidi, kurā šādas ierīces darbojas.
Tāpēc kvalificētu paraksta radīšanas ierīču sertifikācijas jomā būtu jāietver tikai aparatūra un sistēmas programmatūra, ko izmanto, lai pārvaldītu un aizsargātu paraksta izveides datus, kas tiek radīti, uzglabāti vai apstrādāti paraksta radīšanas ierīcē.
Kā precizēts attiecīgos standartos, no sertifikācijas pienākuma jomas nebūtu jāizslēdz paraksta radīšanas lietojumprogrammatūra.
- = -
(57) Lai nodrošinātu juridisko noteiktību attiecībā uz paraksta derīgumu, ir būtiski precizēt tos kvalificēta elektroniskā paraksta datus, kuri būtu jānovērtē atkarīgajai pusei, kura veic validāciju.
Turklāt prasību precizēšana attiecībā uz tādiem kvalificētiem uzticamības pakalpojumu sniedzējiem, kas var sniegt kvalificētus validēšanas pakalpojumus atkarīgajām pusēm, kuras nevēlas vai nespēj pašas veikt kvalificētu elektronisko parakstu validāciju, būtu jāsekmē privātā un publiskā sektora ieguldījumi šādos pakalpojumos.
Izpildot abus nosacījumus, kvalificēta elektroniskā paraksta validēšanai būtu jākļūst par vienkāršu un Savienības līmenī visām pusēm piemērotu procedūru.
- = -
(58) Ja, veicot darījumu, vajadzīgs juridiskas personas kvalificēts elektroniskais zīmogs, jāakceptē būtu arī juridiskās personas pilnvarotā pārstāvja kvalificēts elektroniskais paraksts.
- = -
(59) Elektroniskie zīmogi būtu jāizmanto kā pierādījums tam, ka elektronisko dokumentu izsniegusi juridiska persona, garantējot dokumenta izcelsmi un integritāti.
- = -
(60) Uzticamības pakalpojumu sniedzējiem, kas izsniedz kvalificētus elektronisko zīmogu sertifikātus, būtu jāievieš vajadzīgie pasākumi, lai varētu noskaidrot fiziskas personas identitāti, kas pārstāv juridisko personu, kurai tiek sniegts kvalificēts elektroniskā zīmoga sertifikāts, ja šāda identifikācija ir vajadzīga valsts līmenī saistībā ar tiesvedību vai administratīviem procesiem.
- = -
(61) Ar šo regulu būtu jānodrošina informācijas ilgtermiņa saglabāšana, lai nodrošinātu elektronisko parakstu un elektronisko zīmogu juridisko derīgumu ilgākos laikposmos un garantētu, ka tos var validēt neatkarīgi no turpmākas tehnoloģiju attīstības.
- = -
(62) Lai nodrošinātu kvalificētu elektronisko laika zīmogu drošību, šajā regulā būtu jānosaka prasība izmantot uzlabotu elektronisko zīmogu vai uzlabotu elektronisko parakstu vai citas līdzvērtīgas metodes.
Paredzams, ka inovāciju rezultātā varētu tapt jaunas tehnoloģijas, kas varētu nodrošināt līdzvērtīgu drošības līmeni laika zīmogiem.
Ja tiek izmantota cita metode, kas nav uzlabots elektroniskais zīmogs vai uzlabots elektroniskais paraksts, būtu jāatstāj kvalificētā uzticamības pakalpojumu sniedzēja ziņā, vai atbilstības novērtēšanas ziņojumā parādīt, ka šāda metode nodrošina līdzvērtīgu drošības līmeni un atbilst šajā regulā noteiktajiem pienākumiem.
- = -
(63) Elektroniskiem dokumentiem ir nozīme pārrobežu elektronisko darījumu turpmākai attīstībai iekšējā tirgū.
Ar šo regulu būtu jānosaka princips, ka elektroniska dokumenta juridisko spēku nebūtu jānoraida elektroniskā formāta dēļ, lai nodrošinātu, ka elektronisku darījumu nenoraida tikai tādēļ, ka dokuments ir elektroniskā formātā.
- = -
(64) Izskatot uzlabotu elektronisko parakstu un zīmogu formātus, Komisijai būtu jābalstās uz esošo praksi, standartiem un tiesību aktiem, jo īpaši Komisijas Lēmumu 2011/130/ES (11).
- = -
(67) Tīmekļa vietņu autentifikācijas pakalpojumi nodrošina veidu, kā tīmekļa vietnes apmeklētājs var būt drošs, ka par šo tīmekļa vietni atbild īsta un likumīga vienība.
Minētie pakalpojumi palīdz veidot uzticēšanos un ticamību, veicot darījumdarbību tiešsaistē, jo lietotāji uzticēsies autentificētai tīmekļa vietnei.
Tīmekļa vietņu autentifikācijas pakalpojumu sniegšana un izmantošana ir pilnīgi brīvprātīga.
Tomēr, lai tīmekļa vietņu autentifikācija kļūtu par veidu, kā palielināt uzticēšanos, sniedzot labāku pieredzi lietotājam un turpmāku izaugsmi iekšējā tirgū, ar šo regulu būtu sniedzējiem un to sniegtajiem pakalpojumiem jānosaka minimālie drošības un atbildības pienākumi.
Minētajā nolūkā vērā ir ņemti rezultāti, kas gūti nozares vadībā veiktajās iniciatīvās, piemēram, sertificēšanas iestāžu/pārlūku forums – CA/B forums.
Turklāt šai regulai nebūtu jākavē citu veidu vai metožu izmantošana tīmekļa vietņu autentifikācijai, uz kuru šī regula neattiecas, un tai nebūtu jāliedz tīmekļa vietņu autentifikācijas pakalpojumu sniedzējiem no trešām valstīm sniegt to pakalpojumus Savienības klientiem.
Tomēr būtu vajadzīgs, lai pakalpojumu sniedzējam no trešās valsts tīmekļa vietņu autentifikācijas pakalpojumi būtu atzīti par kvalificētiem pakalpojumiem saskaņā ar šo regulu tikai tad, ja ir noslēgts starptautisks nolīgums starp Savienību un valsti, kurā pakalpojumu sniedzējs veic uzņēmējdarbību.
- = -
(70) Lai elastīgi un ātri papildinātu dažus šajā regulā precīzi noteiktus tehniskos aspektus, pilnvaras pieņemt aktus saskaņā ar LESD 290.
pantu būtu jādeleģē Komisijai attiecībā uz kritērijiem, kas jāievēro par kvalificētu elektroniskā paraksta radīšanas ierīču sertifikāciju atbildīgām iestādēm.
Ir īpaši būtiski, lai Komisija, veicot sagatavošanas darbus, rīkotu atbilstīgas apspriešanās, tostarp ekspertu līmenī.
Komisijai, sagatavojot un izstrādājot deleģētos aktus, būtu jānodrošina vienlaicīga, savlaicīga un atbilstīga attiecīgo dokumentu nosūtīšana Eiropas Parlamentam un Padomei.
- = -
(71) Lai nodrošinātu vienādus nosacījumus šīs regulas īstenošanai, būtu jāpiešķir īstenošanas pilnvaras Komisijai, jo īpaši attiecībā uz to standartu identifikācijas numuru precizēšanu, kuru izmantošana ļautu izdarīt pieņēmumu par dažu šajā regulā noteikto prasību ievērošanu.
Minētās pilnvaras būtu jāizmanto saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 (12).
- = -
(72) Pieņemot deleģētos vai īstenošanas aktus, Komisijai būtu pienācīgi jāņem vērā Eiropas un starptautisko standartizācijas organizāciju un struktūra, jo īpaši Eiropas Standartizācijas komitejas (CEN), Eiropas Telekomunikāciju standartu institūta (ETSI), Starptautiskās Standartizācijas organizācijas (ISO) un Starptautiskās Telesakaru savienības (ITU) izstrādātie standarti un tehniskās specifikācijas, lai nodrošinātu elektroniskās identifikācijas un uzticamības pakalpojumu augsta līmeņa drošību un sadarbspēju.
- = -
(73) Juridiskās noteiktības un skaidrības labad Direktīva 1999/93/EK būtu jāatceļ.
- = -
(74) Lai nodrošinātu juridisko noteiktību tiem tirgus dalībniekiem, kuri jau izmanto kvalificētus sertifikātus, kas izsniegti fiziskām personām saskaņā ar Direktīvu 1999/93/EK, ir jāparedz pietiekami ilgs pārejas laikposms.
Līdzīgā veidā būtu jānosaka pārejas pasākumi drošām paraksta radīšanas ierīcēm, kuru atbilstība ir noteikta saskaņā ar Direktīvu 1999/93/EK, kā arī sertifikācijas pakalpojumu sniedzējiem, kas izsniedz kvalificētus sertifikātus pirms 2016.
gada 1.
jūlija.
Visbeidzot, ir arī jānodrošina, lai Komisijai būtu līdzekļi, kas tai ļautu īstenošanas aktus un deleģētos aktus pieņemt pirms minētās dienas.
- = -