EIDAS 2014/0910 PL

W celu zapewnienia właściwego funkcjonowania rynku wewnętrznego i w dążeniu do osiągnięcia odpowiedniego poziomu bezpieczeństwa środków identyfikacji elektronicznej i usług zaufania niniejsze rozporządzenie:

a)	określa warunki uznawania przez państwa członkowskie środków identyfikacji elektronicznej osób fizycznych i prawnych, objętych notyfikowanym systemem identyfikacji elektronicznej innego państwa członkowskiego;

b)	określa przepisy dotyczące usług zaufania, w szczególności transakcji elektronicznych; oraz

c)	ustanawia ramy prawne dla podpisów elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, dokumentów elektronicznych, usług rejestrowanego doręczenia elektronicznego i usług certyfikacyjnych uwierzytelniania witryn internetowych.

Artykuł 2

Zakres stosowania

1. Niniejsze rozporządzenie ma zastosowanie do systemów identyfikacji elektronicznej, które zostały notyfikowane przez państwo członkowskie, oraz do dostawców usług zaufania mających siedzibę w Unii.

2. Niniejsze rozporządzenie nie ma zastosowania do świadczenia usług zaufania wykorzystywanych wyłącznie w obrębie zamkniętych systemów wynikających z prawa krajowego lub z porozumień zawartych przez określoną grupę uczestników.

3. Niniejsze rozporządzenie nie ma wpływu na prawo krajowe ani unijne związane z zawieraniem i ważnością umów lub innych zobowiązań prawnych lub proceduralnych, dotyczące ich formy.

Artykuł 3

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)	„ identyfikacja_elektroniczna” oznacza proces używania danych w postaci elektronicznej identyfikujących osobę, unikalnie reprezentujących osobę fizyczną lub prawną, lub osobę fizyczną reprezentującą osobę prawną;

2)	„ środek_identyfikacji_elektronicznej” oznacza materialną lub niematerialną jednostkę zawierającą dane_identyfikujące_osobę i używaną do celów uwierzytelniania dla usługi online;

3)	„ dane_identyfikujące_osobę” oznaczają zestaw danych umożliwiających ustalenie tożsamości osoby fizycznej lub prawnej, lub osoby fizycznej reprezentującej osobę prawną;

4)	„ system_identyfikacji_elektronicznej” oznacza system_identyfikacji_elektronicznej, w ramach którego wydaje się środki identyfikacji elektronicznej osobom fizycznym lub prawnym, lub osobom fizycznym reprezentującym osoby prawne;

5)	„ uwierzytelnianie” oznacza proces elektroniczny, który umożliwia identyfikację elektroniczną osoby fizycznej lub prawnej, lub potwierdzenie pochodzenia oraz integralności weryfikowanych danych w postaci elektronicznej;

6)	„ strona_ufająca” oznacza osobę fizyczną lub prawną, która polega na identyfikacji elektronicznej lub usłudze zaufania;

„ podmiot_sektora_publicznego” oznacza organ państwowy, regionalny lub lokalny, podmiot_prawa_publicznego lub stowarzyszenie utworzone przez jeden lub kilka takich organów lub jeden lub kilka takich podmiotów prawa publicznego, lub jednostkę prywatną, której co najmniej jeden z tych organów, podmiotów lub jedno z takich stowarzyszeń udzieliły upoważnienia do świadczenia usług publicznych, gdy działa ona na podstawie takiego upoważnienia;

8)	„ podmiot_prawa_publicznego” oznacza podmiot zdefiniowany w art. 2 ust. 1 pkt 4 dyrektywy Parlamentu Europejskiego i Rady 2014/24/UE (15);

9)	„ podpisujący” oznacza osobę fizyczną, która składa podpis_elektroniczny;

10)	„ podpis_elektroniczny” oznacza dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które użyte są przez podpisującego jako podpis;

11)	„zaawansowany podpis_elektroniczny” oznacza podpis_elektroniczny, który spełnia wymogi określone w art. 26;

12)	„kwalifikowany podpis_elektroniczny” oznacza zaawansowany podpis_elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego;

13)	„ dane_służące_do_składania_podpisu_elektronicznego” oznaczają unikalne dane, których podpisujący używa do składania podpisu elektronicznego;

14)	„ certyfikat_podpisu_elektronicznego” oznacza poświadczenie elektroniczne, które przyporządkowuje dane_służące_do_walidacji podpisu elektronicznego do osoby fizycznej i potwierdza co najmniej imię i nazwisko lub pseudonim tej osoby;

15)	„kwalifikowany certyfikat_podpisu_elektronicznego” oznacza certyfikat_podpisu_elektronicznego, który jest wydawany przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w załączniku I;

16)

„ usługa_zaufania” oznacza usługę elektroniczną zazwyczaj świadczoną za wynagrodzeniem i obejmującą:

a)	tworzenie, weryfikację i walidację podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego oraz certyfikatów powiązanych z tymi usługami; lub

b)	tworzenie, weryfikację i walidację certyfikatów uwierzytelniania witryn internetowych; lub

c)	konserwację elektronicznych podpisów, pieczęci lub certyfikatów powiązanych z tymi usługami;

17)	„kwalifikowana usługa_zaufania” oznacza usługę zaufania, która spełnia stosowne wymogi określone w niniejszym rozporządzeniu;

18)

„ jednostka_oceniająca_zgodność” oznacza jednostkę określoną w art. 2 pkt 13 rozporządzenia (WE) nr 765/2008, która jest akredytowana zgodnie z tym rozporządzeniem jako właściwa do przeprowadzania oceny zgodności kwalifikowanego dostawcy usługi zaufania i świadczonych przez niego kwalifikowanych usług zaufania;

19)	„ dostawca_usług_zaufania” oznacza osobę fizyczną lub prawną, która świadczy przynajmniej jedną usługę zaufania, jako kwalifikowany lub niekwalifikowany dostawca_usług_zaufania;

20)	„kwalifikowany dostawca_usług_zaufania” oznacza dostawcę usług zaufania, który świadczy przynajmniej jedną kwalifikowaną usługę zaufania i któremu status kwalifikowany nadał organ nadzoru;

21)	„ produkt” oznacza sprzęt lub oprogramowanie lub odpowiednie komponenty sprzętu lub oprogramowania, które są przeznaczone do wykorzystania w świadczeniu usług zaufania;

22)	„ urządzenie_do_składania_podpisu_elektronicznego” oznacza skonfigurowane oprogramowanie lub skonfigurowany sprzęt, które wykorzystuje się do składania podpisu elektronicznego;

23)	„kwalifikowane urządzenie_do_składania_podpisu_elektronicznego” oznacza urządzenie_do_składania_podpisu_elektronicznego, które spełnia wymogi określone w załączniku II;

24)	„ podmiot_składający_pieczęć” oznacza osobę prawną, która składa pieczęć elektroniczną;

25)	„ pieczęć_elektroniczna” oznacza dane w postaci elektronicznej dodane do innych danych w postaci elektronicznej lub logicznie z nimi powiązane, aby zapewnić autentyczność pochodzenia oraz integralność powiązanych danych;

26)	„zaawansowana pieczęć_elektroniczna” oznacza pieczęć elektroniczną, która spełnia wymogi określone w art. 36;

27)	„kwalifikowana pieczęć_elektroniczna” oznacza zaawansowaną pieczęć elektroniczną, która została złożona za pomocą kwalifikowanego urządzenia do składania pieczęci elektronicznej i która opiera się na kwalifikowanym certyfikacie pieczęci elektronicznej;

28)	„ dane_służące_do_składania_pieczęci_elektronicznej” oznaczają niepowtarzalne dane, które podmiot_składający_pieczęć wykorzystuje do złożenia pieczęci elektronicznej;

29)	„ certyfikat_pieczęci_elektronicznej” oznacza poświadczenie elektroniczne, które łączy dane_służące_do_walidacji pieczęci elektronicznej z osobą prawną i potwierdza nazwę tej osoby;

30)	„kwalifikowany certyfikat_pieczęci_elektronicznej” oznacza certyfikat_pieczęci_elektronicznej, który jest wydawany przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w załączniku III;

31)	„ urządzenie_do_składania_pieczęci_elektronicznej” oznacza skonfigurowane oprogramowanie lub skonfigurowany sprzęt, które wykorzystuje się do składania pieczęci elektronicznej;

32)	„kwalifikowane urządzenie_do_składania_pieczęci_elektronicznej” oznacza urządzenie_do_składania_pieczęci_elektronicznej, które spełnia odpowiednio wymogi określone w załączniku II;

33)	„ elektroniczny_znacznik_czasu” oznacza dane w postaci elektronicznej, które wiążą inne dane w postaci elektronicznej z określonym czasem, stanowiąc dowód na to, że te inne dane istniały w danym czasie;

34)	„kwalifikowany elektroniczny_znacznik_czasu” oznacza elektroniczny_znacznik_czasu, który spełnia wymogi określone w art. 42;

35)	„ dokument_elektroniczny” oznacza każdą treść przechowywaną w postaci elektronicznej, w szczególności tekst lub nagranie dźwiękowe, wizualne lub audiowizualne;

36)

„ usługa_rejestrowanego_doręczenia_elektronicznego” oznacza usługę umożliwiającą przesłanie danych między stronami trzecimi drogą elektroniczną i zapewniającą dowody związane z posługiwaniem się przesyłanymi danymi, w tym dowód wysłania i otrzymania danych, oraz chroniącą przesyłane dane przed ryzykiem utraty, kradzieży, uszkodzenia lub jakiejkolwiek nieupoważnionej zmiany;

37)	„kwalifikowana usługa_rejestrowanego_doręczenia_elektronicznego” oznacza usługę rejestrowanego doręczenia elektronicznego, która spełnia wymogi określone w art. 44;

38)	„ certyfikat_uwierzytelniania_witryn_internetowych” oznacza poświadczenie, które umożliwia uwierzytelnianie witryn internetowych i przyporządkowuje witrynę internetową do osoby fizycznej lub prawnej, której wydano certyfikat;

39)	„kwalifikowany certyfikat_uwierzytelniania_witryn_internetowych” oznacza certyfikat_uwierzytelniania_witryn_internetowych, który jest wydawany przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w załączniku IV;

40)	„ dane_służące_do_walidacji” oznaczają dane używane do walidacji podpisu elektronicznego lub pieczęci elektronicznej;

41)	„ walidacja” oznacza proces weryfikacji i potwierdzenia ważności podpisu elektronicznego lub pieczęci.

Artykuł 6

Wzajemne uznawanie

1. Jeżeli zgodnie z prawem krajowym lub zgodnie z krajową praktyką administracyjną dostęp do usługi online świadczonej przez podmiot_sektora_publicznego w jednym państwie członkowskim wymaga identyfikacji elektronicznej przy użyciu środka identyfikacji elektronicznej oraz uwierzytelnienia, w tym pierwszym państwie członkowskim na potrzeby transgranicznego uwierzytelnienia dla tej usługi online uznaje się środek_identyfikacji_elektronicznej wydany w innym państwie członkowskim, pod warunkiem że spełnione są następujące warunki:

a)	środek_identyfikacji_elektronicznej jest wydany w ramach systemu identyfikacji elektronicznej wymienionego w wykazie publikowanym przez Komisję na podstawie art. 9;

poziom bezpieczeństwa środka identyfikacji elektronicznej odpowiada poziomowi bezpieczeństwa równemu lub wyższemu od poziomu bezpieczeństwa wymaganego przez odpowiedni podmiot_sektora_publicznego na potrzeby dostępu do tej usługi online w pierwszym państwie członkowskim, pod warunkiem że poziom bezpieczeństwa tego środka identyfikacji elektronicznej odpowiada średniemu lub wysokiemu poziomowi bezpieczeństwa;

c)	odpowiedni podmiot_sektora_publicznego korzysta ze średniego lub wysokiego poziomu bezpieczeństwa w odniesieniu do dostępu do tej usługi online.

Takiego uznania dokonuje się nie później niż 12 miesięcy po opublikowaniu przez Komisję wykazu, o którym mowa w akapicie pierwszym lit. a).

2. Środek identyfikacji elektronicznej, który jest wydawany w ramach systemu identyfikacji elektronicznej wymienionego w wykazie publikowanym przez Komisję na podstawie art. 9 i który odpowiada niskiemu poziomowi bezpieczeństwa, może być uznany przez podmioty sektora publicznego na potrzeby transgranicznego uwierzytelniania dla usługi online świadczonej przez te podmioty.

Artykuł 7

Systemy identyfikacji elektronicznej kwalifikujące się do notyfikowania

System identyfikacji elektronicznej kwalifikuje się do notyfikowania na podstawie art. 9 ust. 1, jeżeli spełnione zostaną wszystkie następujące warunki:

środki identyfikacji elektronicznej w ramach systemu identyfikacji elektronicznej są wydawane:

(i)	przez notyfikujące państwo członkowskie;

(ii)	na mocy upoważnienia od notyfikującego państwa członkowskiego; lub

(iii)

niezależnie od notyfikującego państwa członkowskiego i są uznawane przez to państwo członkowskie;

b)	środki identyfikacji elektronicznej w ramach systemu identyfikacji elektronicznej mogą być używane w celu uzyskania dostępu do co najmniej jednej usługi świadczonej przez podmiot_sektora_publicznego, wymagającej identyfikacji elektronicznej w notyfikującym państwie członkowskim;

c)	system_identyfikacji_elektronicznej i środki identyfikacji elektronicznej wydane w jego ramach spełniają wymogi co najmniej jednego z poziomów bezpieczeństwa określonych w akcie wykonawczym, o którym mowa w art. 8 ust. 3;

notyfikujące państwo członkowskie zapewnia, aby dane_identyfikujące_osobę unikalnie reprezentujące daną osobę przyporządkowane były – zgodnie z technicznymi specyfikacjami, standardami i procedurami dotyczącymi odpowiedniego poziomu bezpieczeństwa określonego w akcie wykonawczym, o którym mowa w art. 8 ust. 3 – osobie fizycznej lub prawnej, o której mowa w art. 3 pkt 1, w momencie wydania środka identyfikacji elektronicznej w ramach tego systemu;

strona wydająca środek_identyfikacji_elektronicznej w ramach tego systemu zapewnia, aby środek_identyfikacji_elektronicznej był przyporządkowany osobie, o której mowa w lit. d) niniejszego artykułu, zgodnie z technicznymi specyfikacjami, standardami i procedurami dotyczącymi odpowiedniego poziomu bezpieczeństwa określonego w akcie wykonawczym, o którym mowa w art. 8 ust. 3;

notyfikujące państwo członkowskie zapewnia dostępność uwierzytelniania online, tak aby każda strona_ufająca mająca siedzibę na terytorium innego państwa członkowskiego mogła potwierdzić dane_identyfikujące_osobę otrzymane w postaci elektronicznej.

W odniesieniu do stron ufających innych niż podmioty sektora publicznego notyfikujące państwo członkowskie może określić warunki dostępu do tego uwierzytelnienia. Transgraniczne uwierzytelnienie jest świadczone bezpłatnie, gdy jest ono dokonywane w powiązaniu z usługą online świadczoną przez podmiot_sektora_publicznego.

Państwa członkowskie nie nakładają żadnych specjalnych niewspółmiernych wymogów technicznych na strony ufające, które zamierzają dokonać takiego uwierzytelnienia, w przypadku gdyby takie wymogi miały uniemożliwić lub znacznie utrudnić interoperacyjność notyfikowanych systemów identyfikacji elektronicznej;

co najmniej sześć miesięcy przed notyfikacją na podstawie art. 9 ust. 1 notyfikujące państwo członkowskie przekazuje innym państwom członkowskim do celów wykonania obowiązku na mocy art. 12 ust. 5 opis tego systemu zgodnie z warunkami proceduralnymi ustanowionymi w aktach wykonawczych, o których mowa w art. 12 ust. 7;

h)	system_identyfikacji_elektronicznej spełnia wymogi określone w akcie wykonawczym, o którym mowa w art. 12 ust. 8.

Artykuł 8

Poziomy bezpieczeństwa systemów identyfikacji elektronicznej

1. System identyfikacji elektronicznej notyfikowany na podstawie art. 9 ust. 1 określa niski, średni lub wysoki poziom bezpieczeństwa w odniesieniu do środka identyfikacji elektronicznej wydanego w ramach tego systemu.

2. Niski, średni i wysoki poziom bezpieczeństwa oznaczają spełnienie, odpowiednio, następujących kryteriów:

niski poziom bezpieczeństwa odnosi się w kontekście systemu identyfikacji elektronicznej do środka identyfikacji elektronicznej, który zapewnia ograniczony stopień zaufania względem podawanej lub zgłaszanej tożsamości danej osoby i jest charakteryzowany w odniesieniu do technicznych specyfikacji, standardów i procedur powiązanych z nim, w tym zabezpieczeń technicznych, których celem jest obniżenie ryzyka podszycia się lub modyfikacji tożsamości;

średni poziom bezpieczeństwa odnosi się w kontekście systemu identyfikacji elektronicznej do środka identyfikacji elektronicznej, który zapewnia średni stopień zaufania względem podawanej lub zgłaszanej tożsamości danej osoby i jest charakteryzowany w odniesieniu do technicznych specyfikacji, standardów i procedur powiązanych z nim, w tym zabezpieczeń technicznych, których celem jest znaczne obniżenie ryzyka podszycia się lub modyfikacji tożsamości;

wysoki poziom bezpieczeństwa odnosi się w kontekście systemu identyfikacji elektronicznej do środka identyfikacji elektronicznej, który zapewnia wyższy stopień zaufania względem podawanej lub zgłaszanej tożsamości danej osoby niż środek_identyfikacji_elektronicznej o średnim poziomie pewności i jest charakteryzowany w odniesieniu do technicznych specyfikacji, standardów i procedur powiązanych z nim, w tym zabezpieczeń technicznych, których celem jest zapobieganie podszyciu się lub modyfikacji tożsamości.

3. Do dnia 18 września 2015 r., przy uwzględnieniu odpowiednich standardów międzynarodowych i z zastrzeżeniem ust. 2, Komisja określi w drodze aktów wykonawczych minimalne techniczne specyfikacje, standardy i procedury, w odniesieniu do których określone zostaną niski, średni i wysoki poziom bezpieczeństwa dla środka identyfikacji elektronicznej do celów ust. 1.

Te minimalne techniczne specyfikacje, standardy i procedury są określane przez odniesienie do wiarygodności i jakości następujących elementów:

a)	procedury wykazującej i weryfikującej tożsamość osób fizycznych lub prawnych wnioskujących o wydanie środka identyfikacji elektronicznej;

b)	procedury wydawania wnioskowanego środka identyfikacji elektronicznej;

c)	mechanizmu uwierzytelniania, w którym osoba fizyczna lub prawna używa środka identyfikacji elektronicznej do potwierdzenia swojej tożsamości wobec strony ufającej;

d)	jednostki wydającej środek_identyfikacji_elektronicznej;

e)	każdego innego organu zaangażowanego w ramach wniosku o wydanie środka identyfikacji elektronicznej; oraz

f)	specyfikacji technicznych i specyfikacji bezpieczeństwa wydanego środka identyfikacji elektronicznej.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 9

Notyfikacja

1. Notyfikujące państwo członkowskie notyfikuje Komisji następujące informacje i, bez zbędnej zwłoki, wszelkie późniejsze w nich zmiany:

a)	opis systemu identyfikacji elektronicznej, w tym jego poziomy bezpieczeństwa oraz wydawcę lub wydawców środków identyfikacji elektronicznej w ramach tego systemu;

mający zastosowanie system nadzoru i informacje na temat systemu odpowiedzialności w odniesieniu do następujących stron:

(i)	strony wydającej środki identyfikacji elektronicznej; oraz

(ii)	strony przeprowadzającej procedurę uwierzytelniania;

c)	organ lub organy odpowiedzialne za system_identyfikacji_elektronicznej;

d)	informacje na temat jednostki lub jednostek, które zarządzają rejestracją unikalnych danych identyfikujących osobę;

e)	opis sposobu spełnienia wymogów określonych w aktach wykonawczych, o których mowa w art. 12 ust. 8;

f)	opis uwierzytelnienia, o którym mowa w art. 7 lit. f);

g)	ustalenia dotyczące zawieszania lub unieważniania notyfikowanego systemu identyfikacji elektronicznej lub uwierzytelnienia lub też ich skompromitowanych części.

2. Rok od daty rozpoczęcia stosowania aktów wykonawczych, o których mowa w art. 8 ust. 3 i art. 12 ust. 8, Komisja opublikuje w Dzienniku Urzędowym Unii Europejskiej wykaz systemów identyfikacji elektronicznej, które zostały notyfikowane na mocy ust. 1 niniejszego artykułu, oraz podstawowe informacje na ich temat.

3. Jeżeli Komisja otrzyma notyfikację po upływie okresu, o którym mowa w ust. 2, publikuje w Dzienniku Urzędowym Unii Europejskiej zmiany w wykazie, o którym mowa w ust. 2, w terminie dwóch miesięcy od daty otrzymania tej notyfikacji.

4. Państwo członkowskie może przekazać Komisji wniosek o usunięcie z wykazu, o którym mowa w ust. 2, systemu identyfikacji elektronicznej notyfikowanego przez to państwo członkowskie. Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej odpowiednie zmiany w wykazie w terminie jednego miesiąca od daty otrzymania wniosku państwa członkowskiego.

5. Komisja może w drodze aktów wykonawczych określić okoliczności, formaty i procedury dotyczące notyfikacji określonej w ust. 1. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 10

Naruszenie bezpieczeństwa

1. W przypadku gdy nastąpi naruszenie lub częściowa kompromitacja systemu identyfikacji elektronicznej notyfikowanego na podstawie art. 9 ust. 1, albo uwierzytelnienia, o którym mowa w art. 7 lit. f), mające wpływ na wiarygodność transgranicznego uwierzytelnienia tego systemu, notyfikujące państwo członkowskie bezzwłocznie zawiesza lub unieważnia to transgraniczne uwierzytelnianie lub dane skompromitowane części oraz powiadamia o tym pozostałe państwa członkowskie i Komisję.

2. W przypadku gdy naruszenie lub kompromitacja, o których mowa w ust. 1, zostanie wyeliminowane, notyfikujące państwo członkowskie przywraca transgraniczne uwierzytelnianie i bez zbędnej zwłoki powiadamia o tym pozostałe państwa członkowskie i Komisję.

3. Jeżeli naruszenie lub kompromitacja, o których mowa w ust. 1, nie zostanie wyeliminowane w ciągu trzech miesięcy od zawieszenia lub unieważnienia, notyfikujące państwo członkowskie powiadamia pozostałe państwa członkowskie i Komisję o wycofaniu systemu identyfikacji elektronicznej.

Komisja bez zbędnej zwłoki publikuje w Dzienniku Urzędowym Unii Europejskiej odpowiednie zmiany w wykazie, o którym mowa w art. 9 ust. 2.

Artykuł 11

Odpowiedzialność

1. Notyfikujące państwo członkowskie jest odpowiedzialne za szkody wyrządzone, w sposób zamierzony lub z powodu zaniedbania, osobie fizycznej lub prawnej w związku z niewypełnieniem swoich obowiązków na mocy art. 7 lit. d) i f), w ramach transgranicznej transakcji.

2. Strona wydająca środek_identyfikacji_elektronicznej jest odpowiedzialna za szkody wyrządzone, w sposób zamierzony lub z powodu zaniedbania, osobie fizycznej lub prawnej w związku z niewypełnieniem obowiązku, o którym mowa w art. 7 lit. e), w ramach transgranicznej transakcji.

3. Strona przeprowadzająca procedurę uwierzytelniania jest odpowiedzialna za szkody wyrządzone, w sposób zamierzony lub z powodu zaniedbania, osobie fizycznej lub prawnej w związku z niezapewnieniem poprawnego przebiegu uwierzytelniania, o którym mowa w art. 7 lit. f), w ramach transgranicznej transakcji.

4. Ust. 1, 2 i 3 mają zastosowanie zgodnie z krajowymi przepisami dotyczącymi odpowiedzialności.

5. Ust. 1, 2 i 3 pozostają bez uszczerbku dla odpowiedzialności, na mocy prawa krajowego właściwego dla stron transakcji, na potrzeby której zastosowano środki identyfikacji elektronicznej objęte systemem identyfikacji elektronicznej notyfikowanym na podstawie art. 9 ust. 1.

Artykuł 12

Współpraca i interoperacyjność

1. Krajowe systemy identyfikacji elektronicznej notyfikowane na podstawie art. 9 ust. 1 muszą być interoperacyjne.

2. Do celów ust. 1 ustanowia się ramy interoperacyjności.

3. Ramy interoperacyjności spełniają następujące kryteria:

a)	są neutralne pod względem technologicznym i nie dyskryminują żadnych konkretnych krajowych rozwiązań technicznych w zakresie identyfikacji elektronicznej w danym państwie członkowskim;

b)	są zgodne, w miarę możliwości, z europejskimi i międzynarodowymi standardami;

c)	ułatwiają wdrożenie zasady uwzględniania ochrony prywatności już w fazie projektowania; oraz

d)	zapewniają, aby dane osobowe były przetwarzane zgodnie z dyrektywą 95/46/WE.

4. Ramy interoperacyjności zawierają:

a)	odniesienie do minimalnych wymogów technicznych powiązanych z poziomami bezpieczeństwa określonych w art. 8;

b)	przyporządkowanie krajowych poziomów bezpieczeństwa notyfikowanych systemów identyfikacji elektronicznej względem poziomów bezpieczeństwa na mocy art. 8;

c)	odniesienie do minimalnych wymogów technicznych dotyczących interoperacyjności;

d)	odniesienie do minimalnego zbioru danych identyfikujących osobę unikalnie reprezentujących osobę fizyczną lub prawną, dostępnego w ramach systemów identyfikacji elektronicznej;

e)	regulamin wewnętrzny;

f)	ustalenia dotyczące rozstrzygania sporów; oraz

g)	wspólne operacyjne standardy bezpieczeństwa.

5. Państwa członkowskie współpracują ze sobą, mając na uwadze następujące kwestie:

a)	interoperacyjność systemów identyfikacji elektronicznej notyfikowanych na podstawie art. 9 ust. 1 i systemów identyfikacji elektronicznej, które państwa członkowskie zamierzają notyfikować; oraz

b)	bezpieczeństwo systemów identyfikacji elektronicznej.

6. Współpraca między państwami członkowskimi obejmuje:

a)	wymianę informacji, doświadczeń i dobrych praktyk w zakresie systemów identyfikacji elektronicznej, a w szczególności wymogów technicznych związanych z interoperacyjnością i poziomami bezpieczeństwa;

b)	wymianę informacji, doświadczeń i dobrych praktyk w zakresie pracy z poziomami bezpieczeństwa systemów identyfikacji elektronicznej określonych w art. 8;

c)	wzajemną ocenę systemów identyfikacji elektronicznej objętych niniejszym rozporządzeniem; oraz

d)	analizę istotnych zmian w sytuacji w sektorze identyfikacji elektronicznej.

7. Do dnia 18 marca 2015 r. Komisja ustanowi w drodze aktów wykonawczych niezbędne proceduralne warunki ułatwiania współpracy między państwami członkowskimi, o której mowa w ust. 5 i 6, w celu zapewnienia wysokiego poziomu zaufania i bezpieczeństwa, stosownie do poziomu ryzyka.

8. Do dnia 18 września 2015 r., do celów określenia jednolitych warunków realizacji wymogu, o którym mowa w ust. 1, z zastrzeżeniem kryteriów określonych w ust. 3 i z uwzględnieniem wyników współpracy między państwami członkowskimi, Komisja przyjmie akty wykonawcze dotyczące ram interoperacyjności określonych w ust. 4.

9. Akty wykonawcze, o których mowa w ust. 7 i 8 niniejszego artykułu, przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

ROZDZIAŁ III

USŁUGI ZAUFANIA

SEKCJA 1

Przepisy ogólne

Artykuł 24

Wymogi dla kwalifikowanych dostawców usług zaufania

1. Wydając kwalifikowany certyfikat dla usługi zaufania, kwalifikowany dostawca_usług_zaufania weryfikuje, za pomocą odpowiednich środków i zgodnie z prawem krajowym, tożsamość i, w stosownym przypadku, wszelkie specjalne atrybuty osoby fizycznej lub prawnej, której wydaje kwalifikowany certyfikat.

Informacje, o których mowa w akapicie pierwszym, są weryfikowane przez kwalifikowanego dostawcę usług zaufania albo bezpośrednio, albo polegając na stronie trzeciej zgodnie z prawem krajowym:

a)	przez fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej; lub

zdalnie, przy użyciu środka identyfikacji elektronicznej, w przypadku którego przed wydaniem kwalifikowanego certyfikatu zapewniono fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej i który spełnia wymogi określone w art. 8 w odniesieniu do średniego lub wysokiego poziomu bezpieczeństwa; lub

c)	za pomocą certyfikatu kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej wydanych zgodnie z lit. a) lub b); lub

d)	przy użyciu innych metod identyfikacji uznanych na szczeblu krajowym, które zapewniają pewność równoważną, pod względem wiarygodoności, fizycznej obecności. Równoważna pewność musi być potwierdzona przez jednostkę oceniającą zgodność.

2. Dostawca kwalifikowanych usług zaufania świadczący kwalifikowane usługi zaufania:

a)	informuje organ nadzoru o wszelkich zmianach w świadczeniu kwalifikowanych usług zaufania oraz o zamiarze zaprzestania swej działalności;

zatrudnia pracowników i, w stosownym przypadku, podwykonawców, którzy posiadają niezbędną wiedzę fachową, wiarygodność, doświadczenie i kwalifikacje i którzy przeszli odpowiednie szkolenia na temat przepisów dotyczących bezpieczeństwa i ochrony danych osobowych oraz którzy stosują procedury administracyjne i zarządcze odpowiadające europejskim lub międzynarodowym standardom;

c)	w odniesieniu do ryzyka związanego z odpowiedzialnością za szkody zgodnie z art. 13 utrzymuje dostateczne zasoby finansowe lub dysponuje stosownym ubezpieczeniem od odpowiedzialności zgodnie z prawem krajowym;

d)	przed wejściem w stosunek umowny informuje, w jasny i szczegółowy sposób, wszystkie osoby pragnące skorzystać z kwalifikowanej usługi zaufania o dokładnych warunkach korzystania z tej usługi, w tym o wszelkich ograniczeniach korzystania z niej;

e)	używa wiarygodnych systemów i produktów, które są chronione przed modyfikacją i zapewniają techniczne bezpieczeństwo i wiarygodność procesów przez niego obsługiwanych;

używa wiarygodnych systemów do przechowywania przekazanych mu danych w sprawdzalnej postaci, tak aby:

(i)	dane były publicznie dostępne do wyszukiwania dopiero po uzyskaniu zgody osoby, do której dane się odnoszą;

(ii)	tylko upoważnione osoby mogły wprowadzać dane i zmiany w przechowywanych danych;

(iii)

można było sprawdzać autentyczność danych;

g)	podejmuje odpowiednie środki zapobiegające fałszowaniu i kradzieży danych;

rejestruje i udostępnia przez odpowiedni okres, w tym po zaprzestaniu działalności przez kwalifikowanego dostawcę usług zaufania, wszelkie odpowiednie informacje dotyczące danych wydanych i otrzymanych przez kwalifikowanego dostawcę usług zaufania, w szczególności do celów przedstawienia dowodów w postępowaniach sądowych i do celów zapewnienia ciągłości usług. Rejestracja może odbywać się drogą elektroniczną;

i)	ma aktualny plan zakończenia działalności, aby zapewnić ciągłość usług zgodnie z przepisami zweryfikowanymi przez organ nadzoru na mocy art. 17 ust. 4 lit. i);

j)	zapewnia zgodne z prawem przetwarzanie danych osobowych zgodnie z dyrektywą 95/46/WE;

k)	w przypadku kwalifikowanych dostawców usług zaufania wydających kwalifikowane certyfikaty – tworzy i aktualizuje bazę danych dotyczącą certyfikatów.

3. Jeżeli kwalifikowany dostawca_usług_zaufania wydający kwalifikowane certyfikaty postanowi unieważnić certyfikat, rejestruje on takie unieważnienie w swojej bazie danych dotyczącej certyfikatów i publikuje informację o statusie unieważnienia certyfikatu w odpowiednim czasie, ale w każdym razie w ciągu 24 godzin po otrzymaniu wniosku. Unieważnienie staje się skuteczne natychmiast po jego opublikowaniu.

4. W odniesieniu do ust. 3 kwalifikowani dostawcy usług zaufania wydający kwalifikowane certyfikaty dostarczają każdej stronie ufającej informacje o statusie ważności lub unieważnienia wydanych przez siebie kwalifikowanych certyfikatów. Informacje te są dostępne co najmniej na poziomie certyfikatu w automatyczny sposób, który jest wiarygodny, nieodpłatny i wydajny, w każdym momencie, także po upływie okresu ważności certyfikatu.

5. Komisja może w drodze aktów wykonawczych podać numery referencyjne norm dotyczących wiarygodnych systemów i produktów, które spełniają wymogi określone w ust. 2 lit. e) i f) niniejszego artykułu. W przypadku gdy wiarygodne systemy i produkty spełniają te standardy, domniemywa się zgodność z wymogami określonymi w niniejszym artykule. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

SEKCJA 4

Podpisy elektroniczne

Artykuł 33

Kwalifikowana usługa walidacji kwalifikowanych podpisów elektronicznych

1. Kwalifikowaną usługę walidacji kwalifikowanych podpisów elektronicznych może świadczyć wyłącznie kwalifikowany dostawca_usług_zaufania, który:

a)	zapewnia walidację zgodnie z art. 32 ust. 1; oraz

b)	umożliwia stronom ufającym otrzymanie wyniku procesu walidacji w automatyczny, wiarygodny i skuteczny sposób oraz przy użyciu zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej dostawcy kwalifikowanej usługi walidacji.

2. Komisja może w drodze aktów wykonawczych podać numery referencyjne norm dotyczących kwalifikowanej usługi walidacji, o której mowa w ust. 1. W przypadku gdy usługa walidacji kwalifikowanych podpisów elektronicznych spełnia te normy, domniemywa się zgodność z wymogami określonymi w ust. 1. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 35

Skutki prawne pieczęci elektronicznych

1. Pieczęci elektronicznej nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że pieczęć ta ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych pieczęci elektronicznych.

2. Kwalifikowana pieczęć_elektroniczna korzysta z domniemania integralności danych i autentyczności pochodzenia tych danych, z którymi kwalifikowana pieczęć_elektroniczna jest powiązana.

3. Kwalifikowana pieczęć_elektroniczna oparta na kwalifikowanym certyfikacie wydanym w jednym państwie członkowskim jest uznawana za kwalifikowaną pieczęć elektroniczną we wszystkich pozostałych państwach członkowskich.

Artykuł 36

Wymogi dla zaawansowanych pieczęci elektronicznych

Zaawansowana pieczęć_elektroniczna musi spełniać następujące wymogi:

a)	jest unikalnie przyporządkowana podmiotowi składającemu pieczęć;

b)	umożliwia ustalenie tożsamości podmiotu składającego pieczęć;

c)	jest składana przy użyciu danych służących do składania pieczęci elektronicznej, które podmiot_składający_pieczęć może, mając je z dużą dozą pewności pod swoją kontrolą, użyć do złożenia pieczęci elektronicznej; oraz

d)	jest powiązana z danymi, do których się odnosi, w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna.

Artykuł 37

Pieczęcie elektroniczne w usługach publicznych

1. Jeżeli państwo członkowskie wymaga zaawansowanej pieczęci elektronicznej do skorzystania z usługi online oferowanej przez podmiot_sektora_publicznego lub w jego imieniu, to państwo członkowskie uznaje zaawansowane pieczęcie elektroniczne, zaawansowane pieczęcie elektroniczne oparte na kwalifikowanym certyfikacie pieczęci elektronicznych i kwalifikowane pieczęcie elektroniczne co najmniej w formatach lub wykorzystujące metody określone w aktach wykonawczych, o których mowa w ust. 5.

2. Jeżeli państwo członkowskie wymaga zaawansowanej pieczęci elektronicznej opartej na kwalifikowanym certyfikacie do skorzystania z usługi online oferowanej przez podmiot_sektora_publicznego lub w jego imieniu, to państwo członkowskie uznaje zaawansowane pieczęcie elektroniczne oparte na kwalifikowanym certyfikacie i kwalifikowane pieczęcie elektroniczne co najmniej w formatach lub wykorzystujące metody określone w aktach wykonawczych, o których mowa w ust. 5.

3. W przypadku transgranicznego użycia w usłudze online oferowanej przez podmiot_sektora_publicznego państwa członkowskie nie wymagają pieczęci elektronicznej o wyższym poziomie bezpieczeństwa niż kwalifikowana pieczęć_elektroniczna.

4. Komisja może w drodze aktów wykonawczych podać numery referencyjne norm dotyczących zaawansowanych pieczęci elektronicznych. W przypadku gdy zaawansowana pieczęć_elektroniczna spełnia te normy, domniemywa się zgodność z wymogami dotyczącymi zaawansowanych pieczęci elektronicznych, o których mowa w ust. 1 i 2 niniejszego artykułu i w art. 36. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

5. Do dnia 18 września 2015 r. i przy uwzględnieniu istniejących praktyk, standardów i aktów prawnych Unii Komisja określa w drodze aktów wykonawczych formaty referencyjne zaawansowanych pieczęci elektronicznych lub metody referencyjne, w przypadku gdy używane są formaty alternatywne. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 38

Kwalifikowane certyfikaty pieczęci elektronicznej

1. Kwalifikowane certyfikaty pieczęci elektronicznych muszą spełniać wymogi określone w załączniku III.

2. Kwalifikowane certyfikaty pieczęci elektronicznych nie podlegają żadnym obowiązkowym wymogom wykraczającym poza wymogi określone w załączniku III.

3. Kwalifikowane certyfikaty pieczęci elektronicznych mogą zawierać nieobowiązkowe dodatkowe szczególne atrybuty. Atrybuty te nie mogą wpływać na interoperacyjność i uznawanie kwalifikowanych pieczęci elektronicznych.

4. Jeżeli kwalifikowany certyfikat_pieczęci_elektronicznej został unieważniony po początkowej aktywacji, traci on ważność od momentu jego unieważnienia i w żadnym przypadku nie można przywrócić jego poprzedniego statusu.

5. Państwa członkowskie mogą ustanawiać przepisy krajowe dotyczące tymczasowego zawieszenia kwalifikowanych certyfikatów pieczęci elektronicznych z zastrzeżeniem następujących warunków:

a)	jeżeli kwalifikowany certyfikat_pieczęci_elektronicznej został czasowo zawieszony, certyfikat ten traci ważność na okres zawieszenia;

b)	okres zawieszenia jest jasno wskazywany w bazie danych dotyczącej certyfikatów i podmiot udzielający informacji o statusie certyfikatu zapewnia widoczność statusu zawieszenia podczas okresu zawieszenia.

6. Komisja może w drodze aktów wykonawczych podać numery referencyjne norm dotyczących kwalifikowanych certyfikatów pieczęci elektronicznych. W przypadku gdy kwalifikowany certyfikat_pieczęci_elektronicznej spełnia te normy, domniemywa się zgodność z wymogami określonymi w załączniku III. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 39

Kwalifikowane urządzenia do składania pieczęci elektronicznej

1. Art. 29 stosuje się odpowiednio do wymogów dotyczących kwalifikowanych urządzeń do składania pieczęci elektronicznej.

2. Art. 30 stosuje się odpowiednio do certyfikacji kwalifikowanych urządzeń do składania pieczęci elektronicznej.

3. Art. 31 stosuje się odpowiednio do publikacji listy certyfikowanych kwalifikowanych urządzeń do składania pieczęci elektronicznej.

Artykuł 52

Wejście w życie

1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

2. Niniejsze rozporządzenie stosuje się od dnia 1 lipca 2016 r., z wyjątkiem następujących przepisów:

art. 8 ust. 3, art. 9 ust. 5, art. 12 ust. 2–9, art. 17 ust. 8, art. 19 ust. 4, art. 20 ust. 4, art. 21 ust. 4, art. 22 ust. 5, art. 23 ust. 3, art. 24 ust. 5, art. 27 ust. 4 i 5, art. 28 ust. 6, art. 29 ust. 2, art. 30 ust. 3 i 4, art. 31 ust. 3, art. 32 ust. 3, art. 33 ust. 2, art. 34 ust. 2, art. 37 ust. 4 i 5, art. 38 ust. 6, art. 42 ust. 2, art. 44 ust. 2, art. 45 ust. 2, art. 47 i 48 mają zastosowanie od dnia 17 września 2014 r.;

b)	art. 7, art. 8 ust. 1 i 2, art. 9, 10, 11 i art. 12 ust. 1 mają zastosowanie od dnia rozpoczęcia stosowania aktów wykonawczych, o których mowa w art. 8 ust. 3 i art. 12 ust. 8;

c)	art. 6 ma zastosowanie od dnia przypadającego trzy lata od dnia rozpoczęcia stosowania aktów wykonawczych, o których mowa w art. 8 ust. 3 i art. 12 ust. 8.

3. W przypadku gdy notyfikowany system_identyfikacji_elektronicznej został umieszczony w wykazie publikowanym przez Komisję na podstawie art. 9 przed dniem, o którym mowa w ust. 2 lit. c) niniejszego artykułu, uznanie środka identyfikacji elektronicznej w ramach tego systemu na mocy art. 6 następuje nie później niż 12 miesięcy po opublikowaniu tego systemu, ale nie wcześniej niż w dniu, o którym mowa w ust. 2 lit. c) niniejszego artykułu.

4. Niezależnie od ust. 2 lit. c) niniejszego artykułu państwo członkowskie może postanowić, że środki identyfikacji elektronicznej w ramach systemu identyfikacji elektronicznej notyfikowanego na podstawie art. 9 ust. 1 przez inne państwo członkowskie są uznawane w pierwszym państwie członkowskim z dniem rozpoczęcia stosowania aktów wykonawczych, o których mowa w art. 8 ust. 3 i art. 12 ust. 8. Zainteresowane państwa członkowskie informują o tym Komisję. Komisja podaje te informacje do wiadomości publicznej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 23 lipca 2014 r.

W imieniu Parlamentu

M. SCHULZ

Przewodniczący

W imieniu Rady

S. GOZI

Przewodniczący

(1) Dz.U. C 351 z 15.11.2012, s. 73.

(2) Stanowisko Parlamentu Europejskiego z dnia 3 kwietnia 2014 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) i decyzja Rady z dnia 23 lipca 2014 r.

(3) Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (Dz.U. L 13 z 19.1.2000, s. 12).

(4) Dz.U. C 50 E z 21.2.2012, s. 1.

(5) Dyrektywa 2006/123/WE Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. dotycząca usług na rynku wewnętrznym (Dz.U. L 376 z 27.12.2006, s. 36).

(6) Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (Dz.U. L 88 z 4.4.2011, s. 45).

(7) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).

(8) Decyzja Rady 2010/48/WE z dnia 26 listopada 2009 r. w sprawie zawarcia przez Wspólnotę Europejską Konwencji Narodów Zjednoczonych o prawach osób niepełnosprawnych (Dz.U. L 23 z 27.1.2010, s. 35).

(9) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93 (Dz.U. L 218 z 13.8.2008, s. 30).

(10) Decyzja Komisji 2009/767/WE z dnia 16 października 2009 r. ustanawiająca środki ułatwiające korzystanie z procedur realizowanych drogą elektroniczną poprzez „pojedyncze punkty kontaktowe” zgodnie z dyrektywą 2006/123/WE Parlamentu Europejskiego i Rady dotyczącą usług na rynku wewnętrznym (Dz.U. L 274 z 20.10.2009, s. 36).

(11) Decyzja Komisji 2011/130/UE z dnia 25 lutego 2011 r. w sprawie ustalenia minimalnych wymagań dotyczących transgranicznego przetwarzania dokumentów podpisanych elektronicznie przez właściwe organy zgodnie z dyrektywą 2006/123/WE Parlamentu Europejskiego i Rady dotyczącą usług na rynku wewnętrznym (Dz.U. L 53 z 26.2.2011, s. 66).

(12) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).

(13) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).

(14) Dz.U. C 28 z 30.1.2013, s. 6.

(15) Dyrektywa Parlamentu Europejskiego i Rady 2014/24/UE z dnia 26 lutego 2014 r. w sprawie zamówień publicznych, uchylająca dyrektywę 2004/18/WE (Dz.U. L 94 z 28.3.2014, s. 65).

ZAŁĄCZNIK I

WYMOGI DLA KWALIFIKOWANYCH CERTYFIKATÓW PODPISÓW ELEKTRONICZNYCH

Kwalifikowane certyfikaty podpisów elektronicznych zawierają następujące informacje:

a)	wskazanie – co najmniej w postaci pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wydany jako kwalifikowany certyfikat_podpisu_elektronicznego;

zestaw danych jednoznacznie reprezentujących kwalifikowanego dostawcę usług zaufania wydającego kwalifikowane certyfikaty, obejmujący co najmniej państwo członkowskie, w którym dostawca ma siedzibę, oraz

—	w odniesieniu do osoby prawnej: nazwę i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem,

—	w odniesieniu do osoby fizycznej: imię i nazwisko tej osoby;

c)	co najmniej imię i nazwisko podpisującego lub jego pseudonim; jeżeli używany jest pseudonim, fakt ten jest jasno wskazany;

d)	dane_służące_do_walidacji podpisu elektronicznego, które odpowiadają danym służącym do składania podpisu elektronicznego;

e)	dane dotyczące początku i końca okresu ważności certyfikatu;

f)	kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla kwalifikowanego dostawcy usług zaufania;

g)	zaawansowany podpis_elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego kwalifikowanego dostawcy usług zaufania;

h)	miejsce, w którym nieodpłatnie dostępny jest certyfikat towarzyszący zaawansowanemu podpisowi elektronicznemu lub zaawansowanej pieczęci elektronicznej, o których mowa w lit. g);

i)	miejsce usług, z którego można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu;

w przypadku gdy dane_służące_do_składania_podpisu_elektronicznego powiązane z danymi służącymi do walidacji podpisu elektronicznego znajdują się w kwalifikowanym urządzeniu do składania podpisu elektronicznego, odpowiednie wskazanie tego faktu co najmniej w postaci pozwalającej na automatyczne przetwarzanie.

ZAŁĄCZNIK II

WYMOGI DLA KWALIFIKOWANYCH URZĄDZEŃ DO SKŁADANIA PODPISU ELEKTRONICZNEGO

Kwalifikowane urządzenia do składania podpisu elektronicznego zapewniają dzięki właściwym środkom technicznym i proceduralnym co najmniej:

a)	zagwarantowanie w racjonalny sposób poufności danych służących do składania podpisu elektronicznego użytych do złożenia podpisu elektronicznego;

b)	w praktyce tylko jednorazowe wystąpienie danych służących do składania podpisu elektronicznego użytych do złożenia podpisu elektronicznego;

c)	uniemożliwienie, z racjonalną dozą pewności, pozyskania danych służących do składania podpisu elektronicznego użytych do złożenia podpisu elektronicznego oraz skuteczną ochronę podpisu elektronicznego przed sfałszowaniem za pomocą aktualnie dostępnych technologii;

d)	możliwość skutecznej ochrony, przez osobę uprawnioną do składania podpisu, danych służących do składania podpisu elektronicznego użytych do złożenia podpisu elektronicznego, przed użyciem ich przez innych.

Kwalifikowane urządzenia do składania podpisu elektronicznego nie zmieniają danych, które mają być podpisane, ani nie uniemożliwiają przedstawienia tych danych podpisującemu przed złożeniem podpisu.

Dane służące do składania podpisu elektronicznego mogą być generowane lub zarządzane w imieniu podpisującego wyłącznie przez kwalifikowanego dostawcę usług zaufania.

Bez uszczerbku dla pkt 1 lit. d) kwalifikowani dostawcy usług zaufania zarządzający danymi służącymi do składania podpisu elektronicznego w imieniu podpisującego mogą kopiować dane_służące_do_składania_podpisu_elektronicznego wyłącznie w celu utworzenia kopii zapasowej, pod warunkiem że spełnione są następujące wymogi:

a)	bezpieczeństwo skopiowanych zbiorów danych musi być na tym samym poziomie co w przypadku oryginalnych zbiorów danych;

b)	liczba skopiowanych zbiorów danych nie przekracza minimum niezbędnego do zapewnienia ciągłości usługi.

ZAŁĄCZNIK III

WYMOGI DLA KWALIFIKOWANYCH CERTYFIKATÓW PIECZĘCI ELEKTRONICZNYCH

Kwalifikowane certyfikaty pieczęci elektronicznych zawierają:

a)	wskazanie – co najmniej w postaci pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wydany jako kwalifikowany certyfikat_pieczęci_elektronicznej;

—	w odniesieniu do osoby prawnej: nazwę i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem,

—	w odniesieniu do osoby fizycznej: imię i nazwisko tej osoby;

c)	co najmniej nazwę podmiotu składającego pieczęć i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem;

d)	dane_służące_do_walidacji pieczęci elektronicznej, które odpowiadają danym służącym do składania pieczęci elektronicznej;

e)	dane dotyczące początku i końca okresu ważności certyfikatu;

f)	kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla kwalifikowanego dostawcy usług zaufania;

g)	zaawansowany podpis_elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego kwalifikowanego dostawcy usług zaufania;

h)	miejsce, w którym nieodpłatnie dostępny jest certyfikat towarzyszący zaawansowanemu podpisowi elektronicznemu lub zaawansowanej pieczęci elektronicznej, o których mowa w lit. g);

i)	miejsce usług, z których można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu;

jeżeli dane_służące_do_składania_pieczęci_elektronicznej powiązane z danymi służącymi do walidacji pieczęci elektronicznej znajdują się w kwalifikowanym urządzeniu do składania pieczęci elektronicznej, odpowiednie wskazanie tego faktu co najmniej w postaci pozwalającej na automatyczne przetwarzanie.

ZAŁĄCZNIK IV

WYMOGI DLA KWALIFIKOWANYCH CERTYFIKATÓW UWIERZYTELNIANIA WITRYN INTERNETOWYCH

Kwalifikowane certyfikaty uwierzytelniania witryn internetowych zawierają:

a)	wskazanie – co najmniej w postaci pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wydany jako kwalifikowany certyfikat_uwierzytelniania_witryn_internetowych;

—	w odniesieniu do osoby prawnej: nazwę i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem,

—	w odniesieniu do osoby fizycznej: imię i nazwisko tej osoby;

w odniesieniu do osób fizycznych: co najmniej imię i nazwisko osoby, której wydano certyfikat, lub pseudonim. Jeżeli używany jest pseudonim, wymaga to wyraźnego wskazania;

w odniesieniu do osób_prawnych: co najmniej nazwę osoby prawnej, której wydano certyfikat, i, w stosownym przypadku, numer rejestrowy zgodnie z oficjalnym rejestrem;

d)	elementy adresu, w tym co najmniej miasto i państwo, osoby fizycznej lub prawnej, którym wydano certyfikat, i, w stosownym przypadku, zgodnie z oficjalnym rejestrem;

e)	nazwę(-y) domen, którymi posługuje się osoba fizyczna lub prawna, której wydano certyfikat;

f)	dane dotyczące początku i końca okresu ważności certyfikatu;

g)	kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla kwalifikowanego dostawcy usług zaufania;

h)	zaawansowany podpis_elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego kwalifikowanego dostawcy usług zaufania;

i)	miejsce, w którym nieodpłatnie dostępny jest certyfikat towarzyszący zaawansowanemu podpisowi elektronicznemu lub zaawansowanej pieczęci elektronicznej, o których mowa w lit. h);

j)	miejsce usług statusu ważności certyfikatu, z których można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu.

whereas

(2) Celem niniejszego rozporządzenia jest zwiększenie zaufania do transakcji elektronicznych na rynku wewnętrznym poprzez zapewnienie wspólnej podstawy bezpiecznej interakcji elektronicznej między obywatelami, przedsiębiorstwami i organami publicznymi, co pozwoli podnieść efektywność publicznych i prywatnych usług online, e-biznesu i e-handlu w Unii.

- = -

(5) W konkluzjach z dnia 4 lutego 2011 r.
i z dnia 23 października 2011 r.
Rada Europejska zwróciła się do Komisji o utworzenie jednolitego rynku cyfrowego do 2015 r.
w celu osiągnięcia szybkiego postępu w kluczowych obszarach gospodarki cyfrowej oraz propagowania w pełni zintegrowanego jednolitego rynku cyfrowego poprzez ułatwianie transgranicznego korzystania z usług online, ze szczególnym uwzględnieniem ułatwiania bezpiecznej elektronicznej identyfikacji i uwierzytelniania.

- = -

(6) W konkluzjach z dnia 27 maja 2011 r.
Rada zwróciła się do Komisji o wsparcie rozwoju jednolitego rynku cyfrowego poprzez tworzenie odpowiednich warunków sprzyjających wzajemnemu transgranicznemu uznawaniu głównych aktywatorów, takich jak elektroniczna identyfikacja, dokumenty elektroniczne, podpisy elektroniczne i usługi doręczeń elektronicznych, oraz odpowiednich warunków sprzyjających interoperacyjności usług administracji elektronicznej w całej Unii Europejskiej.

- = -

(8) Dyrektywa 2006/123/WE Parlamentu Europejskiego i Rady (5) nakłada na państwa członkowskie obowiązek utworzenia pojedynczych punktów kontaktowych dla zapewnienia, aby wszelkie procedury i formalności dotyczące podejmowania i prowadzenia działalności usługowej były łatwe do wypełnienia na odległość oraz drogą elektroniczną, poprzez odpowiedni pojedynczy punkt kontaktowy i w odpowiednich właściwych organach.
Wiele usług online dostępnych za pośrednictwem pojedynczych punktów kontaktowych wymaga elektronicznej identyfikacji, uwierzytelnienia i podpisu.

- = -

(9) W większości przypadków obywatele nie mogą korzystać ze swojej identyfikacji elektronicznej w celu uwierzytelnienia się w innym państwie członkowskim, ponieważ krajowe systemy identyfikacji elektronicznej w ich kraju nie są uznawane w innych państwach członkowskich.
Ta bariera elektroniczna nie pozwala dostawcom usług w pełni korzystać z rynku wewnętrznego.
Wzajemnie uznawane środki identyfikacji elektronicznej ułatwią transgraniczne świadczenie licznych usług na rynku wewnętrznym i umożliwią przedsiębiorstwom prowadzenie działalności za granicą bez konieczności zmagania się z przeszkodami w kontaktach z organami publicznymi.

- = -

(10) Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE (6) ustanawia sieć organów krajowych odpowiedzialnych za e-zdrowie.
Aby zwiększyć bezpieczeństwo i ciągłość transgranicznej opieki zdrowotnej, sieć musi opracować wytyczne w sprawie transgranicznego dostępu do danych i usług związanych z e-zdrowiem, również poprzez wspieranie „wspólnych środków identyfikacji i uwierzytelniania, aby ułatwić przenoszalność danych w transgranicznej opiece zdrowotnej”.
Zapewnienie wzajemnego uznawania elektronicznej identyfikacji i uwierzytelniania jest niezbędne, aby urzeczywistnić transgraniczną opiekę zdrowotną dla obywateli Europy.
Gdy obywatele wyjeżdżają w celu podjęcia leczenia, ich dane medyczne muszą być dostępne w kraju, w którym prowadzone jest leczenie.
Wymaga to stworzenia solidnych, bezpiecznych i wiarygodnych ram identyfikacji elektronicznej.

- = -

(12) Jednym z celów niniejszego rozporządzenia jest zniesienie, przynajmniej w przypadku usług publicznych, istniejących barier w transgranicznym stosowaniu środków identyfikacji elektronicznej stosowanych w państwach członkowskich w celu uwierzytelniania.
Celem niniejszego rozporządzenia nie jest ingerowanie w systemy zarządzania tożsamością elektroniczną i w powiązane z nimi infrastruktury ustanowione w państwach członkowskich.
Jego celem jest zapewnienie bezpiecznej elektronicznej identyfikacji i uwierzytelniania na potrzeby dostępu do transgranicznych usług online oferowanych przez państwa członkowskie.

- = -

(13) Państwa członkowskie powinny zachować swobodę w stosowaniu lub wprowadzaniu środków dostępu do usług online do celów identyfikacji elektronicznej.
Powinny również mieć możliwość podjęcia decyzji, czy w dostarczanie tych środków należy zaangażować sektor prywatny.
Państwa członkowskie nie powinny być zobowiązane do notyfikowania Komisji swoich systemów identyfikacji elektronicznej.
Do państw członkowskich należy wybór tego, czy notyfikować Komisji wszystkie, niektóre lub żaden z systemów identyfikacji elektronicznej używanych na szczeblu krajowym dla uzyskiwania dostępu przynajmniej do publicznych usług online lub szczególnych usług.

- = -

(14) W niniejszym rozporządzeniu należy ustanowić pewne warunki dotyczące tego, które środki identyfikacji elektronicznej muszą być uznawane i w jaki sposób należy notyfikować systemy identyfikacji elektronicznej.
Warunki te powinny pomóc państwom członkowskim w zbudowaniu niezbędnego wzajemnego zaufania do stosowanych przez nie systemów identyfikacji elektronicznej oraz we wzajemnym uznawaniu środków identyfikacji elektronicznej objętych notyfikowanymi systemami.
Zasada wzajemnego uznawania powinna mieć zastosowanie, jeżeli system_identyfikacji_elektronicznej notyfikującego państwa członkowskiego spełnił warunki notyfikacji i notyfikacja ta została opublikowana w Dzienniku Urzędowym Unii Europejskiej.
Jednak zasada wzajemnego uznawania powinna odnosić się wyłącznie do uwierzytelniania dla usługi online.
Dostęp do tych usług online i ich ostateczne wykonanie na rzecz wnioskodawcy powinny być ściśle powiązane z prawem do korzystania z takich usług na warunkach określonych w przepisach krajowych.

- = -

(15) Obowiązek uznawania środka identyfikacji elektronicznej powinien odnosić się wyłącznie do tych środków, których poziom bezpieczeństwa tożsamości jest równy poziomowi wymaganemu w odniesieniu do danej usługi online lub wyższy od tego poziomu.
Ponadto obowiązek ten powinien mieć zastosowanie wyłącznie wtedy, gdy dany podmiot_sektora_publicznego używa „średniego” lub „wysokiego” poziomu bezpieczeństwa w odniesieniu do dostępu do tej usługi online.
Państwa członkowskie powinny mieć nadal swobodę, zgodnie z prawem unijnym, w zakresie uznawania środków identyfikacji elektronicznej charakteryzujących się niższymi poziomami bezpieczeństwa.

- = -

(16) Poziomy bezpieczeństwa powinny oznaczać stopień, w jakim można mieć zaufanie do środka identyfikacji elektronicznej przy ustalaniu tożsamości danej osoby, dając tym samym pewność, że osoba podająca daną tożsamość jest faktycznie osobą, której przypisano tę tożsamość.
Poziom bezpieczeństwa zależy od stopnia zaufania, jaki ten środek_identyfikacji_elektronicznej zapewnia co do podawanej lub zgłaszanej tożsamości danej osoby, przy uwzględnieniu procesów (na przykład potwierdzanie i weryfikacja tożsamości oraz uwierzytelnianie), działań zarządczych (na przykład jednostka wydająca środek_identyfikacji_elektronicznej i procedura wydawania takiego środka) oraz stosowanych zabezpieczeń technicznych.
W wyniku wielkoskalowych projektów pilotażowych finansowanych na szczeblu unijnym, standaryzacji i działań międzynarodowych istnieją różne techniczne definicje i opisy poziomów bezpieczeństwa.
W szczególności wielkoskalowy projekt pilotażowy STORK i ISO 29115 odnoszą się między innymi do poziomów 2, 3 i 4, które powinny być szczególnie brane pod uwagę przy ustalaniu minimalnych technicznych wymogów, standardów i procedur dotyczących niskiego, średniego i wysokiego poziomu bezpieczeństwa w rozumieniu niniejszego rozporządzenia, przy zapewnieniu spójnego stosowania niniejszego rozporządzenia, w szczególności w odniesieniu do wysokiego poziomu bezpieczeństwa związanego z potwierdzeniem tożsamości do celów wydania kwalifikowanych certyfikatów.
Ustanowione wymogi powinny być neutralne pod względem technologicznym.
Spełnienie niezbędnych wymogów bezpieczeństwa powinno być możliwe za pomocą różnych technologii.

- = -

(17) Państwa członkowskie powinny zachęcać sektor prywatny do dobrowolnego korzystania ze środków identyfikacji elektronicznej w ramach notyfikowanego systemu do celów identyfikacji, gdy jest ona potrzebna do celów usług online lub transakcji elektronicznych.
Możliwość korzystania z takich środków identyfikacji elektronicznej sprawiłaby, że sektor prywatny mógłby polegać na elektronicznej identyfikacji i uwierzytelnianiu stosowanych już powszechnie w wielu państwach członkowskich przynajmniej w odniesieniu do usług publicznych, a przedsiębiorstwom i obywatelom ułatwiłaby transgraniczny dostęp do ich usług online.
Aby ułatwić transgraniczne korzystanie z takich środków identyfikacji elektronicznej przez sektor prywatny, możliwość uwierzytelniania zapewniona przez jakiekolwiek państwo członkowskie powinna być dostępna dla stron ufających z sektora prywatnego mających siedzibę poza terytorium tego państwa członkowskiego na tych samych warunkach co warunki stosowane do stron ufających z sektora prywatnego mających siedzibę na terytorium tego państwa członkowskiego.
W rezultacie, jeżeli chodzi o strony ufające z sektora prywatnego, notyfikujące państwo członkowskie może określić warunki dostępu do środków uwierzytelniania.
W takich warunkach dostępu można podawać, czy środki uwierzytelniania powiązane z notyfikowanym systemem są obecnie dostępne dla stron ufających z sektora prywatnego.

- = -

(18) Niniejsze rozporządzenie powinno przewidywać, że notyfikujące państwo członkowskie, strona wydająca środek_identyfikacji_elektronicznej oraz strona przeprowadzająca procedury uwierzytelniania przyjmują odpowiedzialność za niewypełnienie odpowiednich obowiązków na mocy niniejszego rozporządzenia.
Niniejsze rozporządzenie powinno być jednak stosowane zgodnie z krajowymi przepisami dotyczącymi odpowiedzialności.
Nie narusza ono zatem tych przepisów krajowych, na przykład dotyczących definicji odszkodowania lub odpowiednich obowiązujących przepisów proceduralnych, w tym przepisów krajowych dotyczących ciężaru dowodu.

- = -

(19) Bezpieczeństwo systemów identyfikacji elektronicznej ma kluczowe znaczenie dla wiarygodnego transgranicznego wzajemnego uznawania środków identyfikacji elektronicznej.
W tym kontekście państwa członkowskie powinny współpracować w odniesieniu do bezpieczeństwa i interoperacyjności systemów identyfikacji elektronicznej na szczeblu unijnym.
W każdym przypadku, gdy systemy identyfikacji elektronicznej nakładają wymóg korzystania przez strony ufające na szczeblu krajowym z konkretnego sprzętu lub oprogramowania, transgraniczna interoperacyjność oznacza wymóg nienakładania przez te państwa członkowskie takich wymogów i powiązanych kosztów na strony ufające mające siedzibę poza ich terytorium.
W takim przypadku należy w zakresie ram interoperacyjności omówić i opracować odpowiednie rozwiązania.
Niemniej jednak nieuniknione są wymogi techniczne wynikające ze specyfikacji właściwych krajowym środkom identyfikacji elektronicznej i mogące wpływać na posiadaczy takich środków elektronicznych (np.
kart elektronicznych).

- = -

(20) Współpraca między państwami członkowskimi powinna ułatwiać techniczną interoperacyjność notyfikowanych systemów identyfikacji elektronicznej w celu uzyskania wysokiego poziomu zaufania i bezpieczeństwa, stosownie do poziomu ryzyka.
We współpracy tej pomóc powinna wymiana informacji i najlepszych praktyk między państwami członkowskimi mająca na celu wzajemne uznawanie ich systemów.

- = -

(50) Ponieważ właściwe organy w państwach członkowskich używają obecnie różnych formatów zaawansowanych podpisów elektronicznych do elektronicznego podpisywania swoich dokumentów, państwa członkowskie powinny zapewnić możliwość obsługi pod względem technicznym co najmniej kilku formatów zaawansowanego podpisu elektronicznego przy odbiorze dokumentów podpisanych elektronicznie.
Podobnie, kiedy właściwe organy w państwach członkowskich używają zaawansowanych pieczęci elektronicznych, należałoby zapewnić możliwość obsługi co najmniej kilku formatów zaawansowanej pieczęci elektronicznej.

- = -

(52) Coraz powszechniejsze będzie składanie podpisu elektronicznego na odległość, w przypadku którego środowiskiem składania podpisu elektronicznego zarządza dostawca_usług_zaufania w imieniu podpisującego, gdyż wiąże się ono z licznymi korzyściami gospodarczymi.
Jednakże w celu zapewnienia, aby takie podpisy elektroniczne były prawnie uznawane na równi z podpisami elektronicznymi składanymi w środowisku, nad którym całkowicie panuje użytkownik, dostawcy usługi składania podpisu elektronicznego na odległość powinni stosować szczególne procedury zarządzania i szczególne administracyjne procedury bezpieczeństwa, używać wiarygodnych systemów i produktów, w tym bezpiecznych kanałów komunikacji elektronicznej, aby zagwarantować niezawodność środowiska składania podpisu elektronicznego oraz korzystanie z tego środowiska pod wyłączną kontrolą podpisującego.
W przypadku kwalifikowanego podpisu elektronicznego składanego za pomocą urządzenia do składania podpisu elektronicznego na odległość należy stosować wymogi mające zastosowanie do kwalifikowanych dostawców usług zaufania, określone w niniejszym rozporządzeniu.

- = -

(58) Gdy transakcja wymaga od osoby prawnej użycia kwalifikowanej pieczęci elektronicznej, akceptowalny powinien być również kwalifikowany podpis_elektroniczny upoważnionego przedstawiciela osoby prawnej.

- = -

(60) Dostawcy usług zaufania wydający kwalifikowane certyfikaty pieczęci elektronicznych powinni wdrożyć niezbędne środki, aby móc ustalić tożsamość osoby fizycznej reprezentującej osobę prawną, której świadczony jest kwalifikowany certyfikat_pieczęci_elektronicznej, gdy taka identyfikacja jest niezbędna na szczeblu krajowym w kontekście postępowań sądowych lub administracyjnych.

- = -

(62) Aby zapewnić bezpieczeństwo kwalifikowanych elektronicznych znaczników czasu, niniejsze rozporządzenie powinno wprowadzić wymóg używania zaawansowanej pieczęci elektronicznej lub zaawansowanego podpisu elektronicznego lub innych równoważnych metod.
Można przewidzieć, że dzięki innowacjom mogą powstać nowe technologie, które mogą zapewnić znacznikom czasu równoważny poziom bezpieczeństwa.
W każdym przypadku, gdy używana jest metoda inna niż zaawansowana pieczęć_elektroniczna lub zaawansowany podpis_elektroniczny, do kwalifikowanego dostawcy usługi zaufania powinno należeć wykazanie w raporcie z oceny zgodności, że taka metoda zapewnia równoważny poziom bezpieczeństwa i spełnia obowiązki określone w niniejszym rozporządzeniu.

- = -

(69) Zachęca się instytucje, organy, urzędy i agencje Unii do uznawania identyfikacji elektronicznej i usług zaufania objętych niniejszym rozporządzeniem do celów współpracy administracyjnej korzystającej, w szczególności, z istniejących dobrych praktyk i wyników bieżących projektów w obszarach objętych niniejszym rozporządzeniem.

- = -

(72) Przy przyjmowaniu aktów delegowanych lub wykonawczych Komisja powinna w należyty sposób uwzględniać normy i specyfikacje techniczne opracowywane przez europejskie i międzynarodowe organizacje i organy normalizacyjne, w szczególności Europejski Komitet Normalizacyjny (CEN), Europejski Instytut Norm Telekomunikacyjnych (ETSI), Międzynarodową Organizację Normalizacyjną (ISO) lub Międzynarodowy Związek Telekomunikacyjny (ITU), tak aby zapewnić wysoki poziom bezpieczeństwa i interoperacyjności identyfikacji elektronicznej i usług zaufania.

- = -

keyboard_tab EIDAS 2014/0910 PL

EIDAS 2014/0910 PL