EIDAS 2014/0910 PL

1)	„ identyfikacja_elektroniczna” oznacza proces używania danych w postaci elektronicznej identyfikujących osobę, unikalnie reprezentujących osobę fizyczną lub prawną, lub osobę fizyczną reprezentującą osobę prawną;

2)	„ środek_identyfikacji_elektronicznej” oznacza materialną lub niematerialną jednostkę zawierającą dane_identyfikujące_osobę i używaną do celów uwierzytelniania dla usługi online;

3)	„ dane_identyfikujące_osobę” oznaczają zestaw danych umożliwiających ustalenie tożsamości osoby fizycznej lub prawnej, lub osoby fizycznej reprezentującej osobę prawną;

4)	„ system_identyfikacji_elektronicznej” oznacza system_identyfikacji_elektronicznej, w ramach którego wydaje się środki identyfikacji elektronicznej osobom fizycznym lub prawnym, lub osobom fizycznym reprezentującym osoby prawne;

5)	„ uwierzytelnianie” oznacza proces elektroniczny, który umożliwia identyfikację elektroniczną osoby fizycznej lub prawnej, lub potwierdzenie pochodzenia oraz integralności weryfikowanych danych w postaci elektronicznej;

6)	„ strona_ufająca” oznacza osobę fizyczną lub prawną, która polega na identyfikacji elektronicznej lub usłudze zaufania;

„ podmiot_sektora_publicznego” oznacza organ państwowy, regionalny lub lokalny, podmiot_prawa_publicznego lub stowarzyszenie utworzone przez jeden lub kilka takich organów lub jeden lub kilka takich podmiotów prawa publicznego, lub jednostkę prywatną, której co najmniej jeden z tych organów, podmiotów lub jedno z takich stowarzyszeń udzieliły upoważnienia do świadczenia usług publicznych, gdy działa ona na podstawie takiego upoważnienia;

8)	„ podmiot_prawa_publicznego” oznacza podmiot zdefiniowany w art. 2 ust. 1 pkt 4 dyrektywy Parlamentu Europejskiego i Rady 2014/24/UE (15);

9)	„ podpisujący” oznacza osobę fizyczną, która składa podpis_elektroniczny;

10)	„ podpis_elektroniczny” oznacza dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które użyte są przez podpisującego jako podpis;

11)	„zaawansowany podpis_elektroniczny” oznacza podpis_elektroniczny, który spełnia wymogi określone w art. 26;

12)	„kwalifikowany podpis_elektroniczny” oznacza zaawansowany podpis_elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego;

13)	„ dane_służące_do_składania_podpisu_elektronicznego” oznaczają unikalne dane, których podpisujący używa do składania podpisu elektronicznego;

14)	„ certyfikat_podpisu_elektronicznego” oznacza poświadczenie elektroniczne, które przyporządkowuje dane_służące_do_walidacji podpisu elektronicznego do osoby fizycznej i potwierdza co najmniej imię i nazwisko lub pseudonim tej osoby;

15)	„kwalifikowany certyfikat_podpisu_elektronicznego” oznacza certyfikat_podpisu_elektronicznego, który jest wydawany przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w załączniku I;

16)

„ usługa_zaufania” oznacza usługę elektroniczną zazwyczaj świadczoną za wynagrodzeniem i obejmującą:

a)	tworzenie, weryfikację i walidację podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego oraz certyfikatów powiązanych z tymi usługami; lub

b)	tworzenie, weryfikację i walidację certyfikatów uwierzytelniania witryn internetowych; lub

c)	konserwację elektronicznych podpisów, pieczęci lub certyfikatów powiązanych z tymi usługami;

17)	„kwalifikowana usługa_zaufania” oznacza usługę zaufania, która spełnia stosowne wymogi określone w niniejszym rozporządzeniu;

18)

„ jednostka_oceniająca_zgodność” oznacza jednostkę określoną w art. 2 pkt 13 rozporządzenia (WE) nr 765/2008, która jest akredytowana zgodnie z tym rozporządzeniem jako właściwa do przeprowadzania oceny zgodności kwalifikowanego dostawcy usługi zaufania i świadczonych przez niego kwalifikowanych usług zaufania;

19)	„ dostawca_usług_zaufania” oznacza osobę fizyczną lub prawną, która świadczy przynajmniej jedną usługę zaufania, jako kwalifikowany lub niekwalifikowany dostawca_usług_zaufania;

20)	„kwalifikowany dostawca_usług_zaufania” oznacza dostawcę usług zaufania, który świadczy przynajmniej jedną kwalifikowaną usługę zaufania i któremu status kwalifikowany nadał organ nadzoru;

21)	„ produkt” oznacza sprzęt lub oprogramowanie lub odpowiednie komponenty sprzętu lub oprogramowania, które są przeznaczone do wykorzystania w świadczeniu usług zaufania;

22)	„ urządzenie_do_składania_podpisu_elektronicznego” oznacza skonfigurowane oprogramowanie lub skonfigurowany sprzęt, które wykorzystuje się do składania podpisu elektronicznego;

23)	„kwalifikowane urządzenie_do_składania_podpisu_elektronicznego” oznacza urządzenie_do_składania_podpisu_elektronicznego, które spełnia wymogi określone w załączniku II;

24)	„ podmiot_składający_pieczęć” oznacza osobę prawną, która składa pieczęć elektroniczną;

25)	„ pieczęć_elektroniczna” oznacza dane w postaci elektronicznej dodane do innych danych w postaci elektronicznej lub logicznie z nimi powiązane, aby zapewnić autentyczność pochodzenia oraz integralność powiązanych danych;

26)	„zaawansowana pieczęć_elektroniczna” oznacza pieczęć elektroniczną, która spełnia wymogi określone w art. 36;

27)	„kwalifikowana pieczęć_elektroniczna” oznacza zaawansowaną pieczęć elektroniczną, która została złożona za pomocą kwalifikowanego urządzenia do składania pieczęci elektronicznej i która opiera się na kwalifikowanym certyfikacie pieczęci elektronicznej;

28)	„ dane_służące_do_składania_pieczęci_elektronicznej” oznaczają niepowtarzalne dane, które podmiot_składający_pieczęć wykorzystuje do złożenia pieczęci elektronicznej;

29)	„ certyfikat_pieczęci_elektronicznej” oznacza poświadczenie elektroniczne, które łączy dane_służące_do_walidacji pieczęci elektronicznej z osobą prawną i potwierdza nazwę tej osoby;

30)	„kwalifikowany certyfikat_pieczęci_elektronicznej” oznacza certyfikat_pieczęci_elektronicznej, który jest wydawany przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w załączniku III;

31)	„ urządzenie_do_składania_pieczęci_elektronicznej” oznacza skonfigurowane oprogramowanie lub skonfigurowany sprzęt, które wykorzystuje się do składania pieczęci elektronicznej;

32)	„kwalifikowane urządzenie_do_składania_pieczęci_elektronicznej” oznacza urządzenie_do_składania_pieczęci_elektronicznej, które spełnia odpowiednio wymogi określone w załączniku II;

33)	„ elektroniczny_znacznik_czasu” oznacza dane w postaci elektronicznej, które wiążą inne dane w postaci elektronicznej z określonym czasem, stanowiąc dowód na to, że te inne dane istniały w danym czasie;

34)	„kwalifikowany elektroniczny_znacznik_czasu” oznacza elektroniczny_znacznik_czasu, który spełnia wymogi określone w art. 42;

35)	„ dokument_elektroniczny” oznacza każdą treść przechowywaną w postaci elektronicznej, w szczególności tekst lub nagranie dźwiękowe, wizualne lub audiowizualne;

36)

„ usługa_rejestrowanego_doręczenia_elektronicznego” oznacza usługę umożliwiającą przesłanie danych między stronami trzecimi drogą elektroniczną i zapewniającą dowody związane z posługiwaniem się przesyłanymi danymi, w tym dowód wysłania i otrzymania danych, oraz chroniącą przesyłane dane przed ryzykiem utraty, kradzieży, uszkodzenia lub jakiejkolwiek nieupoważnionej zmiany;

37)	„kwalifikowana usługa_rejestrowanego_doręczenia_elektronicznego” oznacza usługę rejestrowanego doręczenia elektronicznego, która spełnia wymogi określone w art. 44;

38)	„ certyfikat_uwierzytelniania_witryn_internetowych” oznacza poświadczenie, które umożliwia uwierzytelnianie witryn internetowych i przyporządkowuje witrynę internetową do osoby fizycznej lub prawnej, której wydano certyfikat;

39)	„kwalifikowany certyfikat_uwierzytelniania_witryn_internetowych” oznacza certyfikat_uwierzytelniania_witryn_internetowych, który jest wydawany przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w załączniku IV;

40)	„ dane_służące_do_walidacji” oznaczają dane używane do walidacji podpisu elektronicznego lub pieczęci elektronicznej;

41)	„ walidacja” oznacza proces weryfikacji i potwierdzenia ważności podpisu elektronicznego lub pieczęci.

Artykuł 7

Systemy identyfikacji elektronicznej kwalifikujące się do notyfikowania

System identyfikacji elektronicznej kwalifikuje się do notyfikowania na podstawie art. 9 ust. 1, jeżeli spełnione zostaną wszystkie następujące warunki:

środki identyfikacji elektronicznej w ramach systemu identyfikacji elektronicznej są wydawane:

(i)	przez notyfikujące państwo członkowskie;

(ii)	na mocy upoważnienia od notyfikującego państwa członkowskiego; lub

(iii)

niezależnie od notyfikującego państwa członkowskiego i są uznawane przez to państwo członkowskie;

b)	środki identyfikacji elektronicznej w ramach systemu identyfikacji elektronicznej mogą być używane w celu uzyskania dostępu do co najmniej jednej usługi świadczonej przez podmiot_sektora_publicznego, wymagającej identyfikacji elektronicznej w notyfikującym państwie członkowskim;

c)	system_identyfikacji_elektronicznej i środki identyfikacji elektronicznej wydane w jego ramach spełniają wymogi co najmniej jednego z poziomów bezpieczeństwa określonych w akcie wykonawczym, o którym mowa w art. 8 ust. 3;

notyfikujące państwo członkowskie zapewnia, aby dane_identyfikujące_osobę unikalnie reprezentujące daną osobę przyporządkowane były – zgodnie z technicznymi specyfikacjami, standardami i procedurami dotyczącymi odpowiedniego poziomu bezpieczeństwa określonego w akcie wykonawczym, o którym mowa w art. 8 ust. 3 – osobie fizycznej lub prawnej, o której mowa w art. 3 pkt 1, w momencie wydania środka identyfikacji elektronicznej w ramach tego systemu;

strona wydająca środek_identyfikacji_elektronicznej w ramach tego systemu zapewnia, aby środek_identyfikacji_elektronicznej był przyporządkowany osobie, o której mowa w lit. d) niniejszego artykułu, zgodnie z technicznymi specyfikacjami, standardami i procedurami dotyczącymi odpowiedniego poziomu bezpieczeństwa określonego w akcie wykonawczym, o którym mowa w art. 8 ust. 3;

notyfikujące państwo członkowskie zapewnia dostępność uwierzytelniania online, tak aby każda strona_ufająca mająca siedzibę na terytorium innego państwa członkowskiego mogła potwierdzić dane_identyfikujące_osobę otrzymane w postaci elektronicznej.

W odniesieniu do stron ufających innych niż podmioty sektora publicznego notyfikujące państwo członkowskie może określić warunki dostępu do tego uwierzytelnienia. Transgraniczne uwierzytelnienie jest świadczone bezpłatnie, gdy jest ono dokonywane w powiązaniu z usługą online świadczoną przez podmiot_sektora_publicznego.

Państwa członkowskie nie nakładają żadnych specjalnych niewspółmiernych wymogów technicznych na strony ufające, które zamierzają dokonać takiego uwierzytelnienia, w przypadku gdyby takie wymogi miały uniemożliwić lub znacznie utrudnić interoperacyjność notyfikowanych systemów identyfikacji elektronicznej;

co najmniej sześć miesięcy przed notyfikacją na podstawie art. 9 ust. 1 notyfikujące państwo członkowskie przekazuje innym państwom członkowskim do celów wykonania obowiązku na mocy art. 12 ust. 5 opis tego systemu zgodnie z warunkami proceduralnymi ustanowionymi w aktach wykonawczych, o których mowa w art. 12 ust. 7;

h)	system_identyfikacji_elektronicznej spełnia wymogi określone w akcie wykonawczym, o którym mowa w art. 12 ust. 8.

Artykuł 8

Poziomy bezpieczeństwa systemów identyfikacji elektronicznej

1. System identyfikacji elektronicznej notyfikowany na podstawie art. 9 ust. 1 określa niski, średni lub wysoki poziom bezpieczeństwa w odniesieniu do środka identyfikacji elektronicznej wydanego w ramach tego systemu.

2. Niski, średni i wysoki poziom bezpieczeństwa oznaczają spełnienie, odpowiednio, następujących kryteriów:

niski poziom bezpieczeństwa odnosi się w kontekście systemu identyfikacji elektronicznej do środka identyfikacji elektronicznej, który zapewnia ograniczony stopień zaufania względem podawanej lub zgłaszanej tożsamości danej osoby i jest charakteryzowany w odniesieniu do technicznych specyfikacji, standardów i procedur powiązanych z nim, w tym zabezpieczeń technicznych, których celem jest obniżenie ryzyka podszycia się lub modyfikacji tożsamości;

średni poziom bezpieczeństwa odnosi się w kontekście systemu identyfikacji elektronicznej do środka identyfikacji elektronicznej, który zapewnia średni stopień zaufania względem podawanej lub zgłaszanej tożsamości danej osoby i jest charakteryzowany w odniesieniu do technicznych specyfikacji, standardów i procedur powiązanych z nim, w tym zabezpieczeń technicznych, których celem jest znaczne obniżenie ryzyka podszycia się lub modyfikacji tożsamości;

wysoki poziom bezpieczeństwa odnosi się w kontekście systemu identyfikacji elektronicznej do środka identyfikacji elektronicznej, który zapewnia wyższy stopień zaufania względem podawanej lub zgłaszanej tożsamości danej osoby niż środek_identyfikacji_elektronicznej o średnim poziomie pewności i jest charakteryzowany w odniesieniu do technicznych specyfikacji, standardów i procedur powiązanych z nim, w tym zabezpieczeń technicznych, których celem jest zapobieganie podszyciu się lub modyfikacji tożsamości.

3. Do dnia 18 września 2015 r., przy uwzględnieniu odpowiednich standardów międzynarodowych i z zastrzeżeniem ust. 2, Komisja określi w drodze aktów wykonawczych minimalne techniczne specyfikacje, standardy i procedury, w odniesieniu do których określone zostaną niski, średni i wysoki poziom bezpieczeństwa dla środka identyfikacji elektronicznej do celów ust. 1.

Te minimalne techniczne specyfikacje, standardy i procedury są określane przez odniesienie do wiarygodności i jakości następujących elementów:

a)	procedury wykazującej i weryfikującej tożsamość osób fizycznych lub prawnych wnioskujących o wydanie środka identyfikacji elektronicznej;

b)	procedury wydawania wnioskowanego środka identyfikacji elektronicznej;

c)	mechanizmu uwierzytelniania, w którym osoba fizyczna lub prawna używa środka identyfikacji elektronicznej do potwierdzenia swojej tożsamości wobec strony ufającej;

d)	jednostki wydającej środek_identyfikacji_elektronicznej;

e)	każdego innego organu zaangażowanego w ramach wniosku o wydanie środka identyfikacji elektronicznej; oraz

f)	specyfikacji technicznych i specyfikacji bezpieczeństwa wydanego środka identyfikacji elektronicznej.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 10

Naruszenie bezpieczeństwa

1. W przypadku gdy nastąpi naruszenie lub częściowa kompromitacja systemu identyfikacji elektronicznej notyfikowanego na podstawie art. 9 ust. 1, albo uwierzytelnienia, o którym mowa w art. 7 lit. f), mające wpływ na wiarygodność transgranicznego uwierzytelnienia tego systemu, notyfikujące państwo członkowskie bezzwłocznie zawiesza lub unieważnia to transgraniczne uwierzytelnianie lub dane skompromitowane części oraz powiadamia o tym pozostałe państwa członkowskie i Komisję.

2. W przypadku gdy naruszenie lub kompromitacja, o których mowa w ust. 1, zostanie wyeliminowane, notyfikujące państwo członkowskie przywraca transgraniczne uwierzytelnianie i bez zbędnej zwłoki powiadamia o tym pozostałe państwa członkowskie i Komisję.

3. Jeżeli naruszenie lub kompromitacja, o których mowa w ust. 1, nie zostanie wyeliminowane w ciągu trzech miesięcy od zawieszenia lub unieważnienia, notyfikujące państwo członkowskie powiadamia pozostałe państwa członkowskie i Komisję o wycofaniu systemu identyfikacji elektronicznej.

Komisja bez zbędnej zwłoki publikuje w Dzienniku Urzędowym Unii Europejskiej odpowiednie zmiany w wykazie, o którym mowa w art. 9 ust. 2.

Artykuł 12

Współpraca i interoperacyjność

1. Krajowe systemy identyfikacji elektronicznej notyfikowane na podstawie art. 9 ust. 1 muszą być interoperacyjne.

2. Do celów ust. 1 ustanowia się ramy interoperacyjności.

3. Ramy interoperacyjności spełniają następujące kryteria:

a)	są neutralne pod względem technologicznym i nie dyskryminują żadnych konkretnych krajowych rozwiązań technicznych w zakresie identyfikacji elektronicznej w danym państwie członkowskim;

b)	są zgodne, w miarę możliwości, z europejskimi i międzynarodowymi standardami;

c)	ułatwiają wdrożenie zasady uwzględniania ochrony prywatności już w fazie projektowania; oraz

d)	zapewniają, aby dane osobowe były przetwarzane zgodnie z dyrektywą 95/46/WE.

4. Ramy interoperacyjności zawierają:

a)	odniesienie do minimalnych wymogów technicznych powiązanych z poziomami bezpieczeństwa określonych w art. 8;

b)	przyporządkowanie krajowych poziomów bezpieczeństwa notyfikowanych systemów identyfikacji elektronicznej względem poziomów bezpieczeństwa na mocy art. 8;

c)	odniesienie do minimalnych wymogów technicznych dotyczących interoperacyjności;

d)	odniesienie do minimalnego zbioru danych identyfikujących osobę unikalnie reprezentujących osobę fizyczną lub prawną, dostępnego w ramach systemów identyfikacji elektronicznej;

e)	regulamin wewnętrzny;

f)	ustalenia dotyczące rozstrzygania sporów; oraz

g)	wspólne operacyjne standardy bezpieczeństwa.

5. Państwa członkowskie współpracują ze sobą, mając na uwadze następujące kwestie:

a)	interoperacyjność systemów identyfikacji elektronicznej notyfikowanych na podstawie art. 9 ust. 1 i systemów identyfikacji elektronicznej, które państwa członkowskie zamierzają notyfikować; oraz

b)	bezpieczeństwo systemów identyfikacji elektronicznej.

6. Współpraca między państwami członkowskimi obejmuje:

a)	wymianę informacji, doświadczeń i dobrych praktyk w zakresie systemów identyfikacji elektronicznej, a w szczególności wymogów technicznych związanych z interoperacyjnością i poziomami bezpieczeństwa;

b)	wymianę informacji, doświadczeń i dobrych praktyk w zakresie pracy z poziomami bezpieczeństwa systemów identyfikacji elektronicznej określonych w art. 8;

c)	wzajemną ocenę systemów identyfikacji elektronicznej objętych niniejszym rozporządzeniem; oraz

d)	analizę istotnych zmian w sytuacji w sektorze identyfikacji elektronicznej.

7. Do dnia 18 marca 2015 r. Komisja ustanowi w drodze aktów wykonawczych niezbędne proceduralne warunki ułatwiania współpracy między państwami członkowskimi, o której mowa w ust. 5 i 6, w celu zapewnienia wysokiego poziomu zaufania i bezpieczeństwa, stosownie do poziomu ryzyka.

8. Do dnia 18 września 2015 r., do celów określenia jednolitych warunków realizacji wymogu, o którym mowa w ust. 1, z zastrzeżeniem kryteriów określonych w ust. 3 i z uwzględnieniem wyników współpracy między państwami członkowskimi, Komisja przyjmie akty wykonawcze dotyczące ram interoperacyjności określonych w ust. 4.

9. Akty wykonawcze, o których mowa w ust. 7 i 8 niniejszego artykułu, przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

ROZDZIAŁ III

USŁUGI ZAUFANIA

SEKCJA 1

Przepisy ogólne

Artykuł 19

Wymogi w zakresie bezpieczeństwa mające zastosowanie do dostawców usług zaufania

1. Kwalifikowani i niekwalifikowani dostawcy usług zaufania przyjmują odpowiednie środki techniczne i organizacyjne w celu zarządzania ryzykiem, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług zaufania. Przy uwzględnieniu najnowszych osiągnięć w dziedzinie technologii środki te zapewniają poziom bezpieczeństwa współmierny ze stopniem ryzyka. W szczególności należy podjąć środki zapobiegające incydentom związanym z bezpieczeństwem lub minimalizujące ich wpływ oraz należy informować zainteresowane strony o negatywnych skutkach wszelkich takich incydentów.

2. Kwalifikowani i niekwalifikowani dostawcy usług zaufania, bez zbędnej zwłoki, a w każdym razie nie później niż 24 godziny od otrzymania informacji o wystąpieniu zdarzenia, zawiadamiają organ nadzoru i, w stosownych przypadkach, inne właściwe podmioty, takie jak właściwy krajowy organ ds. bezpieczeństwa informacji lub organ ochrony danych, o wszelkich przypadkach naruszenia bezpieczeństwa lub utraty integralności, które mają znaczący wpływ na świadczoną usługę zaufania lub przetwarzane w jej ramach dane osobowe..

W przypadku gdy prawdopodobne jest, że naruszenie bezpieczeństwa lub utrata integralności niekorzystnie wpłyną na osobę fizyczną lub prawną, na rzecz której świadczona była usługa_zaufania, dostawca_usług_zaufania bez zbędnej zwłoki zawiadamia także tę osobę fizyczną lub prawną o tym naruszeniu bezpieczeństwa lub utracie integralności.

W stosownych przypadkach, w szczególności jeżeli naruszenie bezpieczeństwa lub utrata integralności dotyczą dwóch lub większej liczby państw członkowskich, zawiadomiony organ nadzoru powiadamia organy nadzoru w pozostałych zainteresowanych państwach członkowskich oraz ENISA.

Zawiadomiony organ nadzoru podaje zaistniałe fakty do wiadomości publicznej lub nakłada taki obowiązek na dostawcę usług zaufania, w przypadku gdy uzna, że ujawnienie naruszenia bezpieczeństwa lub utraty integralności leży w interesie publicznym.

3. Raz do roku organ nadzoru przekazuje ENISA zestawienie zawiadomień o naruszeniach bezpieczeństwa lub utraty integralności otrzymanych od dostawców usług zaufania.

4. Komisja może w drodze aktów wykonawczych:

a)	określić bardziej szczegółowo środki, o których mowa w ust. 1; oraz

b)	określić formaty i procedury, w tym również terminy, mające zastosowanie na użytek ust. 2.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

SEKCJA 3

Kwalifikowane usługi zaufania

Artykuł 20

Nadzór nad kwalifikowanymi dostawcami usług zaufania

1. Kwalifikowani dostawcy usług zaufania podlegają audytowi, na ich własny koszt co najmniej raz na 24 miesiące, przeprowadzanemu przez jednostkę oceniającą zgodność. Celem audytu jest potwierdzenie, że kwalifikowani dostawcy usług zaufania oraz świadczone przez nich kwalifikowane usługi zaufania spełniają wymogi określone w niniejszym rozporządzeniu. Kwalifikowani dostawcy usług zaufania przedkładają powstały w ten sposób raport z oceny zgodności organowi nadzoru w terminie trzech dni roboczych od jego otrzymania.

2. Bez uszczerbku dla ust. 1, organ nadzoru może w dowolnym momencie przeprowadzić audyt – lub zwrócić się do jednostki oceniającej zgodność o przeprowadzenie oceny zgodności – kwalifikowanych dostawców usług zaufania, na koszt tych dostawców usług zaufania, aby potwierdzić, że dostawcy ci oraz świadczone przez nich kwalifikowane usługi zaufania spełniają wymogi określone w niniejszym rozporządzeniu. W przypadku gdy wydaje się, że zostały naruszone przepisy dotyczące ochrony danych, organ nadzoru informuje o wynikach swoich audytów organy ochrony danych.

3. W przypadku gdy organ nadzoru nakłada na kwalifikowanego dostawcę usług zaufania wymóg wyeliminowania przypadków niespełnienia wymogów określonych w niniejszym rozporządzeniu i ten dostawca nie podejmie odpowiednich działań, w stosownych przypadkach w terminie ustalonym przez organ nadzoru, organ nadzoru, biorąc pod uwagę w szczególności zakres, czas trwania i skutki tego niespełnienia wymogów, może odebrać status kwalifikowany temu dostawcy lub świadczonej przez niego usłudze, której to dotyczy, i informuje organ, o którym mowa w art. 22 ust. 3, do celów zaktualizowania zaufanych list, o których mowa w art. 22 ust. 1. Organ nadzoru informuje kwalifikowanego dostawcę usług zaufania o odebraniu jego statusu kwalifikowanego lub statusu kwalifikowanego danej usługi.

4. Komisja może w drodze aktów wykonawczych podać numery referencyjne następujących norm:

a)	norm dotyczących akredytacji jednostek oceniających zgodność i dotyczących raportu z oceny zgodności, o którym mowa w ust. 1;

b)	norm dotyczących zasad audytów, zgodnie z którymi jednostki oceniające zgodność będą przeprowadzać oceny zgodności kwalifikowanych dostawców usług zaufania, o których mowa w ust. 1.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 24

Wymogi dla kwalifikowanych dostawców usług zaufania

1. Wydając kwalifikowany certyfikat dla usługi zaufania, kwalifikowany dostawca_usług_zaufania weryfikuje, za pomocą odpowiednich środków i zgodnie z prawem krajowym, tożsamość i, w stosownym przypadku, wszelkie specjalne atrybuty osoby fizycznej lub prawnej, której wydaje kwalifikowany certyfikat.

Informacje, o których mowa w akapicie pierwszym, są weryfikowane przez kwalifikowanego dostawcę usług zaufania albo bezpośrednio, albo polegając na stronie trzeciej zgodnie z prawem krajowym:

a)	przez fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej; lub

zdalnie, przy użyciu środka identyfikacji elektronicznej, w przypadku którego przed wydaniem kwalifikowanego certyfikatu zapewniono fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej i który spełnia wymogi określone w art. 8 w odniesieniu do średniego lub wysokiego poziomu bezpieczeństwa; lub

c)	za pomocą certyfikatu kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej wydanych zgodnie z lit. a) lub b); lub

d)	przy użyciu innych metod identyfikacji uznanych na szczeblu krajowym, które zapewniają pewność równoważną, pod względem wiarygodoności, fizycznej obecności. Równoważna pewność musi być potwierdzona przez jednostkę oceniającą zgodność.

2. Dostawca kwalifikowanych usług zaufania świadczący kwalifikowane usługi zaufania:

a)	informuje organ nadzoru o wszelkich zmianach w świadczeniu kwalifikowanych usług zaufania oraz o zamiarze zaprzestania swej działalności;

zatrudnia pracowników i, w stosownym przypadku, podwykonawców, którzy posiadają niezbędną wiedzę fachową, wiarygodność, doświadczenie i kwalifikacje i którzy przeszli odpowiednie szkolenia na temat przepisów dotyczących bezpieczeństwa i ochrony danych osobowych oraz którzy stosują procedury administracyjne i zarządcze odpowiadające europejskim lub międzynarodowym standardom;

c)	w odniesieniu do ryzyka związanego z odpowiedzialnością za szkody zgodnie z art. 13 utrzymuje dostateczne zasoby finansowe lub dysponuje stosownym ubezpieczeniem od odpowiedzialności zgodnie z prawem krajowym;

d)	przed wejściem w stosunek umowny informuje, w jasny i szczegółowy sposób, wszystkie osoby pragnące skorzystać z kwalifikowanej usługi zaufania o dokładnych warunkach korzystania z tej usługi, w tym o wszelkich ograniczeniach korzystania z niej;

e)	używa wiarygodnych systemów i produktów, które są chronione przed modyfikacją i zapewniają techniczne bezpieczeństwo i wiarygodność procesów przez niego obsługiwanych;

używa wiarygodnych systemów do przechowywania przekazanych mu danych w sprawdzalnej postaci, tak aby:

(i)	dane były publicznie dostępne do wyszukiwania dopiero po uzyskaniu zgody osoby, do której dane się odnoszą;

(ii)	tylko upoważnione osoby mogły wprowadzać dane i zmiany w przechowywanych danych;

(iii)

można było sprawdzać autentyczność danych;

g)	podejmuje odpowiednie środki zapobiegające fałszowaniu i kradzieży danych;

rejestruje i udostępnia przez odpowiedni okres, w tym po zaprzestaniu działalności przez kwalifikowanego dostawcę usług zaufania, wszelkie odpowiednie informacje dotyczące danych wydanych i otrzymanych przez kwalifikowanego dostawcę usług zaufania, w szczególności do celów przedstawienia dowodów w postępowaniach sądowych i do celów zapewnienia ciągłości usług. Rejestracja może odbywać się drogą elektroniczną;

i)	ma aktualny plan zakończenia działalności, aby zapewnić ciągłość usług zgodnie z przepisami zweryfikowanymi przez organ nadzoru na mocy art. 17 ust. 4 lit. i);

j)	zapewnia zgodne z prawem przetwarzanie danych osobowych zgodnie z dyrektywą 95/46/WE;

k)	w przypadku kwalifikowanych dostawców usług zaufania wydających kwalifikowane certyfikaty – tworzy i aktualizuje bazę danych dotyczącą certyfikatów.

3. Jeżeli kwalifikowany dostawca_usług_zaufania wydający kwalifikowane certyfikaty postanowi unieważnić certyfikat, rejestruje on takie unieważnienie w swojej bazie danych dotyczącej certyfikatów i publikuje informację o statusie unieważnienia certyfikatu w odpowiednim czasie, ale w każdym razie w ciągu 24 godzin po otrzymaniu wniosku. Unieważnienie staje się skuteczne natychmiast po jego opublikowaniu.

4. W odniesieniu do ust. 3 kwalifikowani dostawcy usług zaufania wydający kwalifikowane certyfikaty dostarczają każdej stronie ufającej informacje o statusie ważności lub unieważnienia wydanych przez siebie kwalifikowanych certyfikatów. Informacje te są dostępne co najmniej na poziomie certyfikatu w automatyczny sposób, który jest wiarygodny, nieodpłatny i wydajny, w każdym momencie, także po upływie okresu ważności certyfikatu.

5. Komisja może w drodze aktów wykonawczych podać numery referencyjne norm dotyczących wiarygodnych systemów i produktów, które spełniają wymogi określone w ust. 2 lit. e) i f) niniejszego artykułu. W przypadku gdy wiarygodne systemy i produkty spełniają te standardy, domniemywa się zgodność z wymogami określonymi w niniejszym artykule. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

SEKCJA 4

Podpisy elektroniczne

Artykuł 32

Wymogi dla walidacji kwalifikowanych podpisów elektronicznych

1. Proces walidacji kwalifikowanego podpisu elektronicznego potwierdza ważność kwalifikowanego podpisu elektronicznego, pod warunkiem że:

a)	certyfikat, który towarzyszy podpisowi, był w momencie składania podpisu kwalifikowanym certyfikatem podpisu elektronicznego zgodnym z załącznikiem I;

b)	kwalifikowany certyfikat został wydany przez kwalifikowanego dostawcę usług zaufania i był ważny w momencie składania podpisu;

c)	dane_służące_do_walidacji podpisu odpowiadają danym dostarczonym stronie ufającej;

d)	unikalny zestaw danych reprezentujących podpisującego umieszczony w certyfikacie jest prawidłowo dostarczony stronie ufającej;

e)	jeżeli w momencie składania podpisu użyty został pseudonim, zostaje to wyraźnie wskazane stronie ufającej;

f)	podpis_elektroniczny został złożony za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego;

g)	integralność podpisanych danych nie została naruszona;

h)	wymogi przewidziane w art. 26 zostały spełnione w momencie składania podpisu.

2. System wykorzystany do walidacji kwalifikowanego podpisu elektronicznego zapewnia stronie ufającej prawidłowy wynik procesu walidacji i umożliwia stronie ufającej wykrycie wszelkich problemów związanych z bezpieczeństwem.

3. Komisja może w drodze aktów wykonawczych podać numery referencyjne norm dotyczących walidacji kwalifikowanych podpisów elektronicznych. Jeżeli walidacja kwalifikowanych podpisów elektronicznych spełnia te normy, domniemywa się zgodność z wymogami określonymi w ust. 1. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 43

Skutek prawny usługi rejestrowanego doręczenia elektronicznego

1. Nie jest kwestionowany skutek prawny danych wysłanych i otrzymanych przy użyciu usługi rejestrowanego doręczenia elektronicznego ani ich dopuszczalność jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że dane te mają postać elektroniczną lub że nie spełniają wszystkich wymogów kwalifikowanej usługi rejestrowanego doręczenia elektronicznego.

2. dane wysłane i otrzymane przy użyciu kwalifikowanej usługi rejestrowanego doręczenia elektronicznego korzystają z domniemania integralności danych, wysłania tych danych przez zidentyfikowanego nadawcę i otrzymania ich przez zidentyfikowanego adresata oraz dokładności daty i czasu wysłania i otrzymania wskazanych przez kwalifikowaną usługę rejestrowanego doręczenia elektronicznego.

Artykuł 51

Środki przejściowe

1. Bezpieczne urządzenia do składania podpisu, których zgodność ustalono zgodnie z art. 3 ust. 4 dyrektywy 1999/93/WE, uznaje się za kwalifikowane urządzenia do składania podpisu elektronicznego na mocy niniejszego rozporządzenia.

2. Kwalifikowane certyfikaty wydane osobom fizycznym na mocy dyrektywy 1999/93/WE uznaje się za kwalifikowane certyfikaty podpisów elektronicznych na mocy niniejszego rozporządzenia do czasu ich wygaśnięcia.

3. Podmiot świadczący usługi certyfikacyjne, wydający kwalifikowane certyfikaty na mocy dyrektywy 1999/93/WE, przekazuje raport z oceny zgodności organowi nadzoru jak najszybciej, ale nie później niż dnia 1 lipca 2017 r. Do czasu przekazania takiego raportu z oceny zgodności i zakończenia oceny przez organ nadzoru podmiot świadczący usługi certyfikacyjne jest uważany za kwalifikowanego dostawcę usług zaufania w rozumieniu niniejszego rozporządzenia.

4. Jeżeli podmiot świadczący usługi certyfikacyjne, wydający kwalifikowane certyfikaty na mocy dyrektywy 1999/93/WE, nie przekaże raportu z oceny zgodności organowi nadzoru w terminie, o którym mowa w ust. 3, wówczas ten podmiot świadczący usługi certyfikacyjne, od dnia 2 lipca 2017 r., nie jest uważany za kwalifikowanego dostawcę usług zaufania w rozumieniu niniejszego rozporządzenia

Artykuł 52

Wejście w życie

1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

2. Niniejsze rozporządzenie stosuje się od dnia 1 lipca 2016 r., z wyjątkiem następujących przepisów:

art. 8 ust. 3, art. 9 ust. 5, art. 12 ust. 2–9, art. 17 ust. 8, art. 19 ust. 4, art. 20 ust. 4, art. 21 ust. 4, art. 22 ust. 5, art. 23 ust. 3, art. 24 ust. 5, art. 27 ust. 4 i 5, art. 28 ust. 6, art. 29 ust. 2, art. 30 ust. 3 i 4, art. 31 ust. 3, art. 32 ust. 3, art. 33 ust. 2, art. 34 ust. 2, art. 37 ust. 4 i 5, art. 38 ust. 6, art. 42 ust. 2, art. 44 ust. 2, art. 45 ust. 2, art. 47 i 48 mają zastosowanie od dnia 17 września 2014 r.;

b)	art. 7, art. 8 ust. 1 i 2, art. 9, 10, 11 i art. 12 ust. 1 mają zastosowanie od dnia rozpoczęcia stosowania aktów wykonawczych, o których mowa w art. 8 ust. 3 i art. 12 ust. 8;

c)	art. 6 ma zastosowanie od dnia przypadającego trzy lata od dnia rozpoczęcia stosowania aktów wykonawczych, o których mowa w art. 8 ust. 3 i art. 12 ust. 8.

3. W przypadku gdy notyfikowany system_identyfikacji_elektronicznej został umieszczony w wykazie publikowanym przez Komisję na podstawie art. 9 przed dniem, o którym mowa w ust. 2 lit. c) niniejszego artykułu, uznanie środka identyfikacji elektronicznej w ramach tego systemu na mocy art. 6 następuje nie później niż 12 miesięcy po opublikowaniu tego systemu, ale nie wcześniej niż w dniu, o którym mowa w ust. 2 lit. c) niniejszego artykułu.

4. Niezależnie od ust. 2 lit. c) niniejszego artykułu państwo członkowskie może postanowić, że środki identyfikacji elektronicznej w ramach systemu identyfikacji elektronicznej notyfikowanego na podstawie art. 9 ust. 1 przez inne państwo członkowskie są uznawane w pierwszym państwie członkowskim z dniem rozpoczęcia stosowania aktów wykonawczych, o których mowa w art. 8 ust. 3 i art. 12 ust. 8. Zainteresowane państwa członkowskie informują o tym Komisję. Komisja podaje te informacje do wiadomości publicznej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 23 lipca 2014 r.

W imieniu Parlamentu

M. SCHULZ

Przewodniczący

W imieniu Rady

S. GOZI

Przewodniczący

(1) Dz.U. C 351 z 15.11.2012, s. 73.

(2) Stanowisko Parlamentu Europejskiego z dnia 3 kwietnia 2014 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) i decyzja Rady z dnia 23 lipca 2014 r.

(3) Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (Dz.U. L 13 z 19.1.2000, s. 12).

(4) Dz.U. C 50 E z 21.2.2012, s. 1.

(5) Dyrektywa 2006/123/WE Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. dotycząca usług na rynku wewnętrznym (Dz.U. L 376 z 27.12.2006, s. 36).

(6) Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (Dz.U. L 88 z 4.4.2011, s. 45).

(7) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).

(8) Decyzja Rady 2010/48/WE z dnia 26 listopada 2009 r. w sprawie zawarcia przez Wspólnotę Europejską Konwencji Narodów Zjednoczonych o prawach osób niepełnosprawnych (Dz.U. L 23 z 27.1.2010, s. 35).

(9) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93 (Dz.U. L 218 z 13.8.2008, s. 30).

(10) Decyzja Komisji 2009/767/WE z dnia 16 października 2009 r. ustanawiająca środki ułatwiające korzystanie z procedur realizowanych drogą elektroniczną poprzez „pojedyncze punkty kontaktowe” zgodnie z dyrektywą 2006/123/WE Parlamentu Europejskiego i Rady dotyczącą usług na rynku wewnętrznym (Dz.U. L 274 z 20.10.2009, s. 36).

(11) Decyzja Komisji 2011/130/UE z dnia 25 lutego 2011 r. w sprawie ustalenia minimalnych wymagań dotyczących transgranicznego przetwarzania dokumentów podpisanych elektronicznie przez właściwe organy zgodnie z dyrektywą 2006/123/WE Parlamentu Europejskiego i Rady dotyczącą usług na rynku wewnętrznym (Dz.U. L 53 z 26.2.2011, s. 66).

(12) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).

(13) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).

(14) Dz.U. C 28 z 30.1.2013, s. 6.

(15) Dyrektywa Parlamentu Europejskiego i Rady 2014/24/UE z dnia 26 lutego 2014 r. w sprawie zamówień publicznych, uchylająca dyrektywę 2004/18/WE (Dz.U. L 94 z 28.3.2014, s. 65).

ZAŁĄCZNIK I

WYMOGI DLA KWALIFIKOWANYCH CERTYFIKATÓW PODPISÓW ELEKTRONICZNYCH

Kwalifikowane certyfikaty podpisów elektronicznych zawierają następujące informacje:

a)	wskazanie – co najmniej w postaci pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wydany jako kwalifikowany certyfikat_podpisu_elektronicznego;

zestaw danych jednoznacznie reprezentujących kwalifikowanego dostawcę usług zaufania wydającego kwalifikowane certyfikaty, obejmujący co najmniej państwo członkowskie, w którym dostawca ma siedzibę, oraz

—	w odniesieniu do osoby prawnej: nazwę i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem,

—	w odniesieniu do osoby fizycznej: imię i nazwisko tej osoby;

c)	co najmniej imię i nazwisko podpisującego lub jego pseudonim; jeżeli używany jest pseudonim, fakt ten jest jasno wskazany;

d)	dane_służące_do_walidacji podpisu elektronicznego, które odpowiadają danym służącym do składania podpisu elektronicznego;

e)	dane dotyczące początku i końca okresu ważności certyfikatu;

f)	kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla kwalifikowanego dostawcy usług zaufania;

g)	zaawansowany podpis_elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego kwalifikowanego dostawcy usług zaufania;

h)	miejsce, w którym nieodpłatnie dostępny jest certyfikat towarzyszący zaawansowanemu podpisowi elektronicznemu lub zaawansowanej pieczęci elektronicznej, o których mowa w lit. g);

i)	miejsce usług, z którego można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu;

w przypadku gdy dane_służące_do_składania_podpisu_elektronicznego powiązane z danymi służącymi do walidacji podpisu elektronicznego znajdują się w kwalifikowanym urządzeniu do składania podpisu elektronicznego, odpowiednie wskazanie tego faktu co najmniej w postaci pozwalającej na automatyczne przetwarzanie.

ZAŁĄCZNIK II

WYMOGI DLA KWALIFIKOWANYCH URZĄDZEŃ DO SKŁADANIA PODPISU ELEKTRONICZNEGO

Kwalifikowane urządzenia do składania podpisu elektronicznego zapewniają dzięki właściwym środkom technicznym i proceduralnym co najmniej:

a)	zagwarantowanie w racjonalny sposób poufności danych służących do składania podpisu elektronicznego użytych do złożenia podpisu elektronicznego;

b)	w praktyce tylko jednorazowe wystąpienie danych służących do składania podpisu elektronicznego użytych do złożenia podpisu elektronicznego;

c)	uniemożliwienie, z racjonalną dozą pewności, pozyskania danych służących do składania podpisu elektronicznego użytych do złożenia podpisu elektronicznego oraz skuteczną ochronę podpisu elektronicznego przed sfałszowaniem za pomocą aktualnie dostępnych technologii;

d)	możliwość skutecznej ochrony, przez osobę uprawnioną do składania podpisu, danych służących do składania podpisu elektronicznego użytych do złożenia podpisu elektronicznego, przed użyciem ich przez innych.

Kwalifikowane urządzenia do składania podpisu elektronicznego nie zmieniają danych, które mają być podpisane, ani nie uniemożliwiają przedstawienia tych danych podpisującemu przed złożeniem podpisu.

dane służące do składania podpisu elektronicznego mogą być generowane lub zarządzane w imieniu podpisującego wyłącznie przez kwalifikowanego dostawcę usług zaufania.

Bez uszczerbku dla pkt 1 lit. d) kwalifikowani dostawcy usług zaufania zarządzający danymi służącymi do składania podpisu elektronicznego w imieniu podpisującego mogą kopiować dane_służące_do_składania_podpisu_elektronicznego wyłącznie w celu utworzenia kopii zapasowej, pod warunkiem że spełnione są następujące wymogi:

a)	bezpieczeństwo skopiowanych zbiorów danych musi być na tym samym poziomie co w przypadku oryginalnych zbiorów danych;

b)	liczba skopiowanych zbiorów danych nie przekracza minimum niezbędnego do zapewnienia ciągłości usługi.

ZAŁĄCZNIK III

WYMOGI DLA KWALIFIKOWANYCH CERTYFIKATÓW PIECZĘCI ELEKTRONICZNYCH

Kwalifikowane certyfikaty pieczęci elektronicznych zawierają:

a)	wskazanie – co najmniej w postaci pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wydany jako kwalifikowany certyfikat_pieczęci_elektronicznej;

—	w odniesieniu do osoby prawnej: nazwę i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem,

—	w odniesieniu do osoby fizycznej: imię i nazwisko tej osoby;

c)	co najmniej nazwę podmiotu składającego pieczęć i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem;

d)	dane_służące_do_walidacji pieczęci elektronicznej, które odpowiadają danym służącym do składania pieczęci elektronicznej;

e)	dane dotyczące początku i końca okresu ważności certyfikatu;

f)	kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla kwalifikowanego dostawcy usług zaufania;

g)	zaawansowany podpis_elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego kwalifikowanego dostawcy usług zaufania;

h)	miejsce, w którym nieodpłatnie dostępny jest certyfikat towarzyszący zaawansowanemu podpisowi elektronicznemu lub zaawansowanej pieczęci elektronicznej, o których mowa w lit. g);

i)	miejsce usług, z których można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu;

jeżeli dane_służące_do_składania_pieczęci_elektronicznej powiązane z danymi służącymi do walidacji pieczęci elektronicznej znajdują się w kwalifikowanym urządzeniu do składania pieczęci elektronicznej, odpowiednie wskazanie tego faktu co najmniej w postaci pozwalającej na automatyczne przetwarzanie.

ZAŁĄCZNIK IV

WYMOGI DLA KWALIFIKOWANYCH CERTYFIKATÓW UWIERZYTELNIANIA WITRYN INTERNETOWYCH

Kwalifikowane certyfikaty uwierzytelniania witryn internetowych zawierają:

a)	wskazanie – co najmniej w postaci pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wydany jako kwalifikowany certyfikat_uwierzytelniania_witryn_internetowych;

—	w odniesieniu do osoby prawnej: nazwę i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem,

—	w odniesieniu do osoby fizycznej: imię i nazwisko tej osoby;

w odniesieniu do osób fizycznych: co najmniej imię i nazwisko osoby, której wydano certyfikat, lub pseudonim. Jeżeli używany jest pseudonim, wymaga to wyraźnego wskazania;

w odniesieniu do osób_prawnych: co najmniej nazwę osoby prawnej, której wydano certyfikat, i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem;

d)	elementy adresu, w tym co najmniej miasto i państwo, osoby fizycznej lub prawnej, którym wydano certyfikat, i, w stosownym przypadku, zgodnie z oficjalnym rejestrem;

e)	nazwę(-y) domen, którymi posługuje się osoba fizyczna lub prawna, której wydano certyfikat;

f)	dane dotyczące początku i końca okresu ważności certyfikatu;

g)	kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla kwalifikowanego dostawcy usług zaufania;

h)	zaawansowany podpis_elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego kwalifikowanego dostawcy usług zaufania;

i)	miejsce, w którym nieodpłatnie dostępny jest certyfikat towarzyszący zaawansowanemu podpisowi elektronicznemu lub zaawansowanej pieczęci elektronicznej, o których mowa w lit. h);

j)	miejsce usług statusu ważności certyfikatu, z których można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu.

whereas

(10) Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE (6) ustanawia sieć organów krajowych odpowiedzialnych za e-zdrowie.
Aby zwiększyć bezpieczeństwo i ciągłość transgranicznej opieki zdrowotnej, sieć musi opracować wytyczne w sprawie transgranicznego dostępu do danych i usług związanych z e-zdrowiem, również poprzez wspieranie „wspólnych środków identyfikacji i uwierzytelniania, aby ułatwić przenoszalność danych w transgranicznej opiece zdrowotnej”.
Zapewnienie wzajemnego uznawania elektronicznej identyfikacji i uwierzytelniania jest niezbędne, aby urzeczywistnić transgraniczną opiekę zdrowotną dla obywateli Europy.
Gdy obywatele wyjeżdżają w celu podjęcia leczenia, ich dane medyczne muszą być dostępne w kraju, w którym prowadzone jest leczenie.
Wymaga to stworzenia solidnych, bezpiecznych i wiarygodnych ram identyfikacji elektronicznej.

- = -

(15) Obowiązek uznawania środka identyfikacji elektronicznej powinien odnosić się wyłącznie do tych środków, których poziom bezpieczeństwa tożsamości jest równy poziomowi wymaganemu w odniesieniu do danej usługi online lub wyższy od tego poziomu.
Ponadto obowiązek ten powinien mieć zastosowanie wyłącznie wtedy, gdy dany podmiot_sektora_publicznego używa „średniego” lub „wysokiego” poziomu bezpieczeństwa w odniesieniu do dostępu do tej usługi online.
Państwa członkowskie powinny mieć nadal swobodę, zgodnie z prawem unijnym, w zakresie uznawania środków identyfikacji elektronicznej charakteryzujących się niższymi poziomami bezpieczeństwa.

- = -

(16) Poziomy bezpieczeństwa powinny oznaczać stopień, w jakim można mieć zaufanie do środka identyfikacji elektronicznej przy ustalaniu tożsamości danej osoby, dając tym samym pewność, że osoba podająca daną tożsamość jest faktycznie osobą, której przypisano tę tożsamość.
Poziom bezpieczeństwa zależy od stopnia zaufania, jaki ten środek_identyfikacji_elektronicznej zapewnia co do podawanej lub zgłaszanej tożsamości danej osoby, przy uwzględnieniu procesów (na przykład potwierdzanie i weryfikacja tożsamości oraz uwierzytelnianie), działań zarządczych (na przykład jednostka wydająca środek_identyfikacji_elektronicznej i procedura wydawania takiego środka) oraz stosowanych zabezpieczeń technicznych.
W wyniku wielkoskalowych projektów pilotażowych finansowanych na szczeblu unijnym, standaryzacji i działań międzynarodowych istnieją różne techniczne definicje i opisy poziomów bezpieczeństwa.
W szczególności wielkoskalowy projekt pilotażowy STORK i ISO 29115 odnoszą się między innymi do poziomów 2, 3 i 4, które powinny być szczególnie brane pod uwagę przy ustalaniu minimalnych technicznych wymogów, standardów i procedur dotyczących niskiego, średniego i wysokiego poziomu bezpieczeństwa w rozumieniu niniejszego rozporządzenia, przy zapewnieniu spójnego stosowania niniejszego rozporządzenia, w szczególności w odniesieniu do wysokiego poziomu bezpieczeństwa związanego z potwierdzeniem tożsamości do celów wydania kwalifikowanych certyfikatów.
Ustanowione wymogi powinny być neutralne pod względem technologicznym.
Spełnienie niezbędnych wymogów bezpieczeństwa powinno być możliwe za pomocą różnych technologii.

- = -

(52) Coraz powszechniejsze będzie składanie podpisu elektronicznego na odległość, w przypadku którego środowiskiem składania podpisu elektronicznego zarządza dostawca_usług_zaufania w imieniu podpisującego, gdyż wiąże się ono z licznymi korzyściami gospodarczymi.
Jednakże w celu zapewnienia, aby takie podpisy elektroniczne były prawnie uznawane na równi z podpisami elektronicznymi składanymi w środowisku, nad którym całkowicie panuje użytkownik, dostawcy usługi składania podpisu elektronicznego na odległość powinni stosować szczególne procedury zarządzania i szczególne administracyjne procedury bezpieczeństwa, używać wiarygodnych systemów i produktów, w tym bezpiecznych kanałów komunikacji elektronicznej, aby zagwarantować niezawodność środowiska składania podpisu elektronicznego oraz korzystanie z tego środowiska pod wyłączną kontrolą podpisującego.
W przypadku kwalifikowanego podpisu elektronicznego składanego za pomocą urządzenia do składania podpisu elektronicznego na odległość należy stosować wymogi mające zastosowanie do kwalifikowanych dostawców usług zaufania, określone w niniejszym rozporządzeniu.

- = -

(59) Pieczęcie elektroniczne powinny służyć jako dowód wydania danego dokumentu elektronicznego przez daną osobę prawną, dając pewność co do pochodzenia i integralności dokumentu.

- = -

(65) Pieczęcie elektroniczne mogą być używane nie tylko do uwierzytelnienia dokumentu wydanego przez osobę prawną, lecz również do uwierzytelnienia wszelkich zasobów cyfrowych osoby prawnej, takich jak kod oprogramowania lub serwery.

- = -

(74) Aby zagwarantować pewność prawa operatorom rynku stosującym już kwalifikowane certyfikaty wydane osobom fizycznym zgodnie z dyrektywą 1999/93/WE, należy przewidzieć odpowiedni okres przejściowy.
Podobnie należy ustanowić środki przejściowe w odniesieniu do bezpiecznych urządzeń do składania podpisu, których zgodność została ustalona zgodnie z dyrektywą 1999/93/WE, a także w odniesieniu do podmiotów świadczących usługi certyfikacyjne, wydających kwalifikowane certyfikaty przed dniem 1 lipca 2016 r.
Ponadto należy również zapewnić Komisji środki do przyjmowania aktów wykonawczych i delegowanych przed tym dniem.

- = -

keyboard_tab EIDAS 2014/0910 PL

EIDAS 2014/0910 PL