EIDAS 2014/0910 PL

System identyfikacji elektronicznej kwalifikuje się do notyfikowania na podstawie art. 9 ust. 1, jeżeli spełnione zostaną wszystkie następujące warunki:

środki identyfikacji elektronicznej w ramach systemu identyfikacji elektronicznej są wydawane:

(i)	przez notyfikujące państwo członkowskie;

(ii)	na mocy upoważnienia od notyfikującego państwa członkowskiego; lub

(iii)

niezależnie od notyfikującego państwa członkowskiego i są uznawane przez to państwo członkowskie;

b)	środki identyfikacji elektronicznej w ramach systemu identyfikacji elektronicznej mogą być używane w celu uzyskania dostępu do co najmniej jednej usługi świadczonej przez podmiot_sektora_publicznego, wymagającej identyfikacji elektronicznej w notyfikującym państwie członkowskim;

c)	system_identyfikacji_elektronicznej i środki identyfikacji elektronicznej wydane w jego ramach spełniają wymogi co najmniej jednego z poziomów bezpieczeństwa określonych w akcie wykonawczym, o którym mowa w art. 8 ust. 3;

notyfikujące państwo członkowskie zapewnia, aby dane_identyfikujące_osobę unikalnie reprezentujące daną osobę przyporządkowane były – zgodnie z technicznymi specyfikacjami, standardami i procedurami dotyczącymi odpowiedniego poziomu bezpieczeństwa określonego w akcie wykonawczym, o którym mowa w art. 8 ust. 3 – osobie fizycznej lub prawnej, o której mowa w art. 3 pkt 1, w momencie wydania środka identyfikacji elektronicznej w ramach tego systemu;

strona wydająca środek_identyfikacji_elektronicznej w ramach tego systemu zapewnia, aby środek_identyfikacji_elektronicznej był przyporządkowany osobie, o której mowa w lit. d) niniejszego artykułu, zgodnie z technicznymi specyfikacjami, standardami i procedurami dotyczącymi odpowiedniego poziomu bezpieczeństwa określonego w akcie wykonawczym, o którym mowa w art. 8 ust. 3;

notyfikujące państwo członkowskie zapewnia dostępność uwierzytelniania online, tak aby każda strona_ufająca mająca siedzibę na terytorium innego państwa członkowskiego mogła potwierdzić dane_identyfikujące_osobę otrzymane w postaci elektronicznej.

W odniesieniu do stron ufających innych niż podmioty sektora publicznego notyfikujące państwo członkowskie może określić warunki dostępu do tego uwierzytelnienia. Transgraniczne uwierzytelnienie jest świadczone bezpłatnie, gdy jest ono dokonywane w powiązaniu z usługą online świadczoną przez podmiot_sektora_publicznego.

Państwa członkowskie nie nakładają żadnych specjalnych niewspółmiernych wymogów technicznych na strony ufające, które zamierzają dokonać takiego uwierzytelnienia, w przypadku gdyby takie wymogi miały uniemożliwić lub znacznie utrudnić interoperacyjność notyfikowanych systemów identyfikacji elektronicznej;

co najmniej sześć miesięcy przed notyfikacją na podstawie art. 9 ust. 1 notyfikujące państwo członkowskie przekazuje innym państwom członkowskim do celów wykonania obowiązku na mocy art. 12 ust. 5 opis tego systemu zgodnie z warunkami proceduralnymi ustanowionymi w aktach wykonawczych, o których mowa w art. 12 ust. 7;

h)	system_identyfikacji_elektronicznej spełnia wymogi określone w akcie wykonawczym, o którym mowa w art. 12 ust. 8.

Artykuł 9

Notyfikacja

1. Notyfikujące państwo członkowskie notyfikuje Komisji następujące informacje i, bez zbędnej zwłoki, wszelkie późniejsze w nich zmiany:

a)	opis systemu identyfikacji elektronicznej, w tym jego poziomy bezpieczeństwa oraz wydawcę lub wydawców środków identyfikacji elektronicznej w ramach tego systemu;

mający zastosowanie system nadzoru i informacje na temat systemu odpowiedzialności w odniesieniu do następujących stron:

(i)	strony wydającej środki identyfikacji elektronicznej; oraz

(ii)	strony przeprowadzającej procedurę uwierzytelniania;

c)	organ lub organy odpowiedzialne za system_identyfikacji_elektronicznej;

d)	informacje na temat jednostki lub jednostek, które zarządzają rejestracją unikalnych danych identyfikujących osobę;

e)	opis sposobu spełnienia wymogów określonych w aktach wykonawczych, o których mowa w art. 12 ust. 8;

f)	opis uwierzytelnienia, o którym mowa w art. 7 lit. f);

g)	ustalenia dotyczące zawieszania lub unieważniania notyfikowanego systemu identyfikacji elektronicznej lub uwierzytelnienia lub też ich skompromitowanych części.

2. Rok od daty rozpoczęcia stosowania aktów wykonawczych, o których mowa w art. 8 ust. 3 i art. 12 ust. 8, Komisja opublikuje w Dzienniku Urzędowym Unii Europejskiej wykaz systemów identyfikacji elektronicznej, które zostały notyfikowane na mocy ust. 1 niniejszego artykułu, oraz podstawowe informacje na ich temat.

3. Jeżeli Komisja otrzyma notyfikację po upływie okresu, o którym mowa w ust. 2, publikuje w Dzienniku Urzędowym Unii Europejskiej zmiany w wykazie, o którym mowa w ust. 2, w terminie dwóch miesięcy od daty otrzymania tej notyfikacji.

4. Państwo członkowskie może przekazać Komisji wniosek o usunięcie z wykazu, o którym mowa w ust. 2, systemu identyfikacji elektronicznej notyfikowanego przez to państwo członkowskie. Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej odpowiednie zmiany w wykazie w terminie jednego miesiąca od daty otrzymania wniosku państwa członkowskiego.

5. Komisja może w drodze aktów wykonawczych określić okoliczności, formaty i procedury dotyczące notyfikacji określonej w ust. 1. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 12

Współpraca i interoperacyjność

1. Krajowe systemy identyfikacji elektronicznej notyfikowane na podstawie art. 9 ust. 1 muszą być interoperacyjne.

2. Do celów ust. 1 ustanowia się ramy interoperacyjności.

3. Ramy interoperacyjności spełniają następujące kryteria:

a)	są neutralne pod względem technologicznym i nie dyskryminują żadnych konkretnych krajowych rozwiązań technicznych w zakresie identyfikacji elektronicznej w danym państwie członkowskim;

b)	są zgodne, w miarę możliwości, z europejskimi i międzynarodowymi standardami;

c)	ułatwiają wdrożenie zasady uwzględniania ochrony prywatności już w fazie projektowania; oraz

d)	zapewniają, aby dane osobowe były przetwarzane zgodnie z dyrektywą 95/46/WE.

4. Ramy interoperacyjności zawierają:

a)	odniesienie do minimalnych wymogów technicznych powiązanych z poziomami bezpieczeństwa określonych w art. 8;

b)	przyporządkowanie krajowych poziomów bezpieczeństwa notyfikowanych systemów identyfikacji elektronicznej względem poziomów bezpieczeństwa na mocy art. 8;

c)	odniesienie do minimalnych wymogów technicznych dotyczących interoperacyjności;

d)	odniesienie do minimalnego zbioru danych identyfikujących osobę unikalnie reprezentujących osobę fizyczną lub prawną, dostępnego w ramach systemów identyfikacji elektronicznej;

e)	regulamin wewnętrzny;

f)	ustalenia dotyczące rozstrzygania sporów; oraz

g)	wspólne operacyjne standardy bezpieczeństwa.

5. Państwa członkowskie współpracują ze sobą, mając na uwadze następujące kwestie:

a)	interoperacyjność systemów identyfikacji elektronicznej notyfikowanych na podstawie art. 9 ust. 1 i systemów identyfikacji elektronicznej, które państwa członkowskie zamierzają notyfikować; oraz

b)	bezpieczeństwo systemów identyfikacji elektronicznej.

6. Współpraca między państwami członkowskimi obejmuje:

a)	wymianę informacji, doświadczeń i dobrych praktyk w zakresie systemów identyfikacji elektronicznej, a w szczególności wymogów technicznych związanych z interoperacyjnością i poziomami bezpieczeństwa;

b)	wymianę informacji, doświadczeń i dobrych praktyk w zakresie pracy z poziomami bezpieczeństwa systemów identyfikacji elektronicznej określonych w art. 8;

c)	wzajemną ocenę systemów identyfikacji elektronicznej objętych niniejszym rozporządzeniem; oraz

d)	analizę istotnych zmian w sytuacji w sektorze identyfikacji elektronicznej.

7. Do dnia 18 marca 2015 r. Komisja ustanowi w drodze aktów wykonawczych niezbędne proceduralne warunki ułatwiania współpracy między państwami członkowskimi, o której mowa w ust. 5 i 6, w celu zapewnienia wysokiego poziomu zaufania i bezpieczeństwa, stosownie do poziomu ryzyka.

8. Do dnia 18 września 2015 r., do celów określenia jednolitych warunków realizacji wymogu, o którym mowa w ust. 1, z zastrzeżeniem kryteriów określonych w ust. 3 i z uwzględnieniem wyników współpracy między państwami członkowskimi, Komisja przyjmie akty wykonawcze dotyczące ram interoperacyjności określonych w ust. 4.

9. Akty wykonawcze, o których mowa w ust. 7 i 8 niniejszego artykułu, przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

ROZDZIAŁ III

USŁUGI ZAUFANIA

SEKCJA 1

Przepisy ogólne

Artykuł 17

Organ nadzoru

1. Państwa członkowskie wyznaczają organ nadzoru z siedzibą na swoim terytorium lub, za obopólnym porozumieniem z innym państwem członkowskim, organ nadzoru z siedzibą w tym innym państwie członkowskim. Organ ten jest odpowiedzialny za zadania nadzoru w wyznaczającym państwie członkowskim.

Organom nadzoru przyznaje się uprawnienia i odpowiednie zasoby niezbędne do wykonywania ich zadań.

2. Państwa członkowskie notyfikują Komisji nazwy i adresy wyznaczonych przez siebie organów nadzoru.

3. Organ nadzoru odgrywa następującą rolę:

sprawuje nadzór nad kwalifikowanymi dostawcami usług zaufania mającymi siedzibę na terytorium wyznaczającego państwa członkowskiego w celu zapewnienia – za pomocą działań nadzorczych ex ante i ex post – aby kwalifikowani dostawcy usług zaufania i świadczone przez nich kwalifikowane usługi zaufania spełniały wymogi określone w niniejszym rozporządzeniu;

podejmuje, w razie konieczności, działania w odniesieniu do niekwalifikowanych dostawców usług zaufania mających siedzibę na terytorium wyznaczającego państwa członkowskiego – za pomocą działań nadzorczych ex post – gdy dowiaduje się, że niekwalifikowani dostawcy usług zaufania lub świadczone przez nich usługi zaufania rzekomo nie spełniają wymogów określonych w niniejszym rozporządzeniu.

4. Do celów ust. 3 i z zastrzeżeniem ograniczeń w nim określonych, zadania organu nadzoru obejmują w szczególności:

a)	współpracę z innymi organami nadzoru i udzielanie im pomocy zgodnie z art. 18;

b)	analizowanie raportów z oceny zgodności, o których mowa w art. 20 ust. 1 i art. 21 ust. 1;

c)	informowanie innych organów nadzoru i społeczeństwa o naruszeniach bezpieczeństwa lub utracie integralności zgodnie z art. 19 ust. 2;

d)	składanie sprawozdań Komisji na temat jego głównych działań zgodnie z ust. 6 niniejszego artykułu;

e)	przeprowadzanie audytów lub zwracanie się do jednostki oceniającej zgodność o przeprowadzenie oceny zgodności kwalifikowanych dostawców usług zaufania zgodnie z art. 20 ust. 2;

f)	współpracę z organami ochrony danych, w szczególności przez informowanie ich, bez zbędnej zwłoki, o wynikach audytów kwalifikowanych dostawców usług zaufania, w przypadku gdy, jak się wydaje, doszło do naruszenia przepisów dotyczących ochrony danych osobowych;

g)	przyznawanie dostawcom usług zaufania i świadczonym przez nich usługom statusu kwalifikowanego dostawcy usług zaufania i kwalifikowanych usług, a także odebranie tego statusu zgodnie z art. 20 i 21;

h)	informowanie organu odpowiedzialnego za krajową zaufaną listę, o której mowa w art. 22 ust. 3, o swoich decyzjach o przyznaniu lub odebranie statusu kwalifikowanego, chyba że ten organ jest również organem nadzoru;

i)	weryfikacja istnienia i prawidłowego stosowania przepisów dotyczących planów zakończenia działalności, w przypadkach gdy kwalifikowany dostawca_usług_zaufania zaprzestaje swojej działalności, w tym tego, w jaki sposób zapewnia się dalszą dostępność informacji zgodnie z art. 24 ust. 2 lit. h);

j)	wymaganie, aby dostawcy usług zaufania eliminowali wszelkie przypadki niespełnienia wymogów określonych w niniejszym rozporządzeniu.

5. Państwa członkowskie mogą wymagać, by organ nadzoru utworzył, utrzymywał i aktualizował infrastrukturę zaufania zgodnie z warunkami określonymi w prawie krajowym.

6. Do dnia 31 marca każdego roku każdy organ nadzoru przekazuje Komisji sprawozdanie z jego głównych działań w poprzednim roku kalendarzowym wraz z zestawieniem notyfikacji dotyczących naruszeń otrzymanych od dostawców usług zaufania zgodnie z art. 19 ust. 2.

7. Komisja udostępnia państwom członkowskim roczne sprawozdanie, o którym mowa w ust. 6.

8. Komisja może w drodze aktów wykonawczych określić formaty i procedury dotyczące sprawozdania, o którym mowa w ust. 6. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 20

Nadzór nad kwalifikowanymi dostawcami usług zaufania

1. Kwalifikowani dostawcy usług zaufania podlegają audytowi, na ich własny koszt co najmniej raz na 24 miesiące, przeprowadzanemu przez jednostkę oceniającą zgodność. Celem audytu jest potwierdzenie, że kwalifikowani dostawcy usług zaufania oraz świadczone przez nich kwalifikowane usługi zaufania spełniają wymogi określone w niniejszym rozporządzeniu. Kwalifikowani dostawcy usług zaufania przedkładają powstały w ten sposób raport z oceny zgodności organowi nadzoru w terminie trzech dni roboczych od jego otrzymania.

2. Bez uszczerbku dla ust. 1, organ nadzoru może w dowolnym momencie przeprowadzić audyt – lub zwrócić się do jednostki oceniającej zgodność o przeprowadzenie oceny zgodności – kwalifikowanych dostawców usług zaufania, na koszt tych dostawców usług zaufania, aby potwierdzić, że dostawcy ci oraz świadczone przez nich kwalifikowane usługi zaufania spełniają wymogi określone w niniejszym rozporządzeniu. W przypadku gdy wydaje się, że zostały naruszone przepisy dotyczące ochrony danych, organ nadzoru informuje o wynikach swoich audytów organy ochrony danych.

3. W przypadku gdy organ nadzoru nakłada na kwalifikowanego dostawcę usług zaufania wymóg wyeliminowania przypadków niespełnienia wymogów określonych w niniejszym rozporządzeniu i ten dostawca nie podejmie odpowiednich działań, w stosownych przypadkach w terminie ustalonym przez organ nadzoru, organ nadzoru, biorąc pod uwagę w szczególności zakres, czas trwania i skutki tego niespełnienia wymogów, może odebrać status kwalifikowany temu dostawcy lub świadczonej przez niego usłudze, której to dotyczy, i informuje organ, o którym mowa w art. 22 ust. 3, do celów zaktualizowania zaufanych list, o których mowa w art. 22 ust. 1. Organ nadzoru informuje kwalifikowanego dostawcę usług zaufania o odebraniu jego statusu kwalifikowanego lub statusu kwalifikowanego danej usługi.

4. Komisja może w drodze aktów wykonawczych podać numery referencyjne następujących norm:

a)	norm dotyczących akredytacji jednostek oceniających zgodność i dotyczących raportu z oceny zgodności, o którym mowa w ust. 1;

b)	norm dotyczących zasad audytów, zgodnie z którymi jednostki oceniające zgodność będą przeprowadzać oceny zgodności kwalifikowanych dostawców usług zaufania, o których mowa w ust. 1.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 25

Skutki prawne podpisów elektronicznych

1. Podpisowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że podpis ten ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych podpisów elektronicznych.

2. Kwalifikowany podpis_elektroniczny ma skutek prawny równoważny podpisowi własnoręcznemu.

3. Kwalifikowany podpis_elektroniczny oparty na kwalifikowanym certyfikacie wydanym w jednym państwie członkowskim jest uznawany za kwalifikowany podpis_elektroniczny we wszystkich pozostałych państwach członkowskich.

Artykuł 35

Skutki prawne pieczęci elektronicznych

1. Pieczęci elektronicznej nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że pieczęć ta ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych pieczęci elektronicznych.

2. Kwalifikowana pieczęć_elektroniczna korzysta z domniemania integralności danych i autentyczności pochodzenia tych danych, z którymi kwalifikowana pieczęć_elektroniczna jest powiązana.

3. Kwalifikowana pieczęć_elektroniczna oparta na kwalifikowanym certyfikacie wydanym w jednym państwie członkowskim jest uznawana za kwalifikowaną pieczęć elektroniczną we wszystkich pozostałych państwach członkowskich.

Artykuł 39

Kwalifikowane urządzenia do składania pieczęci elektronicznej

1. Art. 29 stosuje się odpowiednio do wymogów dotyczących kwalifikowanych urządzeń do składania pieczęci elektronicznej.

2. Art. 30 stosuje się odpowiednio do certyfikacji kwalifikowanych urządzeń do składania pieczęci elektronicznej.

3. Art. 31 stosuje się odpowiednio do publikacji listy certyfikowanych kwalifikowanych urządzeń do składania pieczęci elektronicznej.

Artykuł 41

Skutki prawne elektronicznych znaczników czasu

1. Nie jest kwestionowany prawny skutek elektronicznego znacznika czasu ani jego dopuszczalność jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że znacznik ten ma postać elektroniczną lub że nie spełnia wymogów kwalifikowanego elektronicznego znacznika czasu.

2. Kwalifikowany elektroniczny_znacznik_czasu korzysta z domniemania dokładności daty i czasu, jakie wskazuje, oraz integralności danych, z którymi wskazywane data i czas są połączone.

3. Kwalifikowany elektroniczny znacznik wydany w jednym państwie członkowskim jest uznawany za kwalifikowany elektroniczny_znacznik_czasu we wszystkich państwach członkowskich.

Artykuł 43

Skutek prawny usługi rejestrowanego doręczenia elektronicznego

1. Nie jest kwestionowany skutek prawny danych wysłanych i otrzymanych przy użyciu usługi rejestrowanego doręczenia elektronicznego ani ich dopuszczalność jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że dane te mają postać elektroniczną lub że nie spełniają wszystkich wymogów kwalifikowanej usługi rejestrowanego doręczenia elektronicznego.

2. Dane wysłane i otrzymane przy użyciu kwalifikowanej usługi rejestrowanego doręczenia elektronicznego korzystają z domniemania integralności danych, wysłania tych danych przez zidentyfikowanego nadawcę i otrzymania ich przez zidentyfikowanego adresata oraz dokładności daty i czasu wysłania i otrzymania wskazanych przez kwalifikowaną usługę rejestrowanego doręczenia elektronicznego.

whereas

(11) Niniejsze rozporządzenie powinno być stosowane w pełnej zgodności z zasadami dotyczącymi ochrony danych osobowych przewidzianymi w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady (7).
W tym względzie, jeżeli chodzi o zasadę wzajemnego uznawania ustanowioną w niniejszym rozporządzeniu, uwierzytelnianie dla usługi online powinno dotyczyć przetwarzania tylko tych danych identyfikacyjnych, które są adekwatne, właściwe i nie wykraczają poza cele przyznania dostępu do tej usługi online.
Ponadto dostawcy usług zaufania i organy nadzoru powinny przestrzegać wymogów na mocy dyrektywy 95/46/WE dotyczących poufności i bezpieczeństwa przetwarzania.

- = -

(16) Poziomy bezpieczeństwa powinny oznaczać stopień, w jakim można mieć zaufanie do środka identyfikacji elektronicznej przy ustalaniu tożsamości danej osoby, dając tym samym pewność, że osoba podająca daną tożsamość jest faktycznie osobą, której przypisano tę tożsamość.
Poziom bezpieczeństwa zależy od stopnia zaufania, jaki ten środek_identyfikacji_elektronicznej zapewnia co do podawanej lub zgłaszanej tożsamości danej osoby, przy uwzględnieniu procesów (na przykład potwierdzanie i weryfikacja tożsamości oraz uwierzytelnianie), działań zarządczych (na przykład jednostka wydająca środek_identyfikacji_elektronicznej i procedura wydawania takiego środka) oraz stosowanych zabezpieczeń technicznych.
W wyniku wielkoskalowych projektów pilotażowych finansowanych na szczeblu unijnym, standaryzacji i działań międzynarodowych istnieją różne techniczne definicje i opisy poziomów bezpieczeństwa.
W szczególności wielkoskalowy projekt pilotażowy STORK i ISO 29115 odnoszą się między innymi do poziomów 2, 3 i 4, które powinny być szczególnie brane pod uwagę przy ustalaniu minimalnych technicznych wymogów, standardów i procedur dotyczących niskiego, średniego i wysokiego poziomu bezpieczeństwa w rozumieniu niniejszego rozporządzenia, przy zapewnieniu spójnego stosowania niniejszego rozporządzenia, w szczególności w odniesieniu do wysokiego poziomu bezpieczeństwa związanego z potwierdzeniem tożsamości do celów wydania kwalifikowanych certyfikatów.
Ustanowione wymogi powinny być neutralne pod względem technologicznym.
Spełnienie niezbędnych wymogów bezpieczeństwa powinno być możliwe za pomocą różnych technologii.

- = -

(19) Bezpieczeństwo systemów identyfikacji elektronicznej ma kluczowe znaczenie dla wiarygodnego transgranicznego wzajemnego uznawania środków identyfikacji elektronicznej.
W tym kontekście państwa członkowskie powinny współpracować w odniesieniu do bezpieczeństwa i interoperacyjności systemów identyfikacji elektronicznej na szczeblu unijnym.
W każdym przypadku, gdy systemy identyfikacji elektronicznej nakładają wymóg korzystania przez strony ufające na szczeblu krajowym z konkretnego sprzętu lub oprogramowania, transgraniczna interoperacyjność oznacza wymóg nienakładania przez te państwa członkowskie takich wymogów i powiązanych kosztów na strony ufające mające siedzibę poza ich terytorium.
W takim przypadku należy w zakresie ram interoperacyjności omówić i opracować odpowiednie rozwiązania.
Niemniej jednak nieuniknione są wymogi techniczne wynikające ze specyfikacji właściwych krajowym środkom identyfikacji elektronicznej i mogące wpływać na posiadaczy takich środków elektronicznych (np.
kart elektronicznych).

- = -

(28) Aby zwiększyć w szczególności zaufanie małych i średnich przedsiębiorstw (MŚP) oraz konsumentów do rynku wewnętrznego i propagować korzystanie z usług i produktów zaufania, należy wprowadzić pojęcia kwalifikowanych usług zaufania i kwalifikowanego dostawcy usług zaufania w celu wskazania wymogów i obowiązków mających zapewnić wysoki poziom bezpieczeństwa wszelkich świadczonych kwalifikowanych usług zaufania lub stosowanych produktów.

- = -

(34) W celu zapewnienia porównywalnego poziomu bezpieczeństwa kwalifikowanych usług zaufania wszystkie państwa członkowskie powinny stosować wspólne podstawowe wymogi dotyczące nadzoru.
Aby ułatwić spełnianie tych wymogów w jednolity sposób w całej Unii, państwa członkowskie powinny przyjąć porównywalne procedury i powinny wymieniać się informacjami na temat swoich działań nadzorczych oraz najlepszymi praktykami stosowanymi w tej dziedzinie.

- = -

(35) Wszyscy dostawcy usług zaufania powinni podlegać wymogom niniejszego rozporządzenia, w szczególności wymogom dotyczącym bezpieczeństwa i odpowiedzialności, aby zapewnić należytą staranność, przejrzystość i rozliczalność ich operacji i usług.
Biorąc jednak pod uwagę rodzaj usług świadczonych przez dostawców usług zaufania, należy, w odniesieniu do tych wymogów, dokonać rozróżnienia między kwalifikowanymi i niekwalifikowanymi dostawcami usług zaufania.

- = -

(36) Ustanowienie systemu nadzoru dla wszystkich dostawców usług zaufania powinno zapewnić jednakowe zasady dotyczące bezpieczeństwa i rozliczalności ich operacji i usług, przyczyniając się w ten sposób do ochrony użytkowników i do funkcjonowania rynku wewnętrznego.
Niekwalifikowani dostawcy usług zaufania powinni podlegać łagodnym i reaktywnym działaniom nadzorczym ex post, uzasadnionym przez charakter ich usług i operacji.
Organ nadzoru nie powinien zatem mieć ogólnego obowiązku nadzorowania niekwalifikowanych dostawców usług.
Organ nadzoru powinien podejmować działania wyłącznie wtedy, gdy został poinformowany (na przykład przez samego niekwalifikowanego dostawcę usług zaufania, przez inny organ nadzoru, w drodze zgłoszenia od użytkownika lub partnera handlowego lub na podstawie własnego dochodzenia), że niekwalifikowany dostawca_usług_zaufania nie spełnia wymogów niniejszego rozporządzenia.

- = -

(40) Aby Komisja i państwa członkowskie mogły ocenić skuteczność usprawnionego mechanizmu nadzoru wprowadzonego niniejszym rozporządzeniem, należy zwrócić się do organów nadzoru o składanie sprawozdań ze swojej działalności.
Sprawozdania te w zasadniczy sposób ułatwiłyby wymianę dobrych praktyk między organami nadzoru i umożliwiłyby sprawdzenie jednolitości i skuteczności wdrażania podstawowych wymogów dotyczących nadzoru we wszystkich państwach członkowskich.

- = -

(43) Aby zapewnić przestrzeganie przez kwalifikowanych dostawców usług zaufania wymogów określonych w niniejszym rozporządzeniu i zgodność świadczonych przez nich usług z tymi wymogami, jednostka_oceniająca_zgodność powinna przeprowadzać ocenę zgodności, a będące jej wynikiem raporty z oceny zgodności powinny być przekazywane przez kwalifikowanych dostawców usług zaufania organowi nadzoru.
W każdym przypadku, gdy organ nadzoru nakłada na kwalifikowanego dostawcę usług zaufania wymóg przekazywania raportów z oceny zgodności ad hoc, organ nadzoru powinien przestrzegać w szczególności zasad dobrego zarządzania, w tym obowiązku uzasadniania swoich decyzji, a także zasady proporcjonalności.
Organ nadzoru powinien zatem należycie uzasadnić swą decyzję ustanawiającą wymóg przeprowadzenia oceny zgodności ad hoc.

- = -

(49) Niniejsze rozporządzenie powinno wprowadzić zasadę, że nie należy kwestionować skutku prawnego podpisu elektronicznego z tego powodu, że podpis ten ma postać elektroniczną lub że nie spełnia wszystkich wymogów kwalifikowanego podpisu elektronicznego.
Jednakże to w prawie krajowym należy zdefiniować skutek prawny podpisów elektronicznych, z wyjątkiem wymogów przewidzianych w niniejszym rozporządzeniu, zgodnie z którymi kwalifikowany podpis_elektroniczny powinien mieć skutek prawny równoważny podpisowi własnoręcznemu.

- = -

(51) Podpisującemu należy umożliwić powierzanie kwalifikowanych urządzeń do składania podpisu elektronicznego stronie trzeciej pod warunkiem wdrożenia odpowiednich mechanizmów i procedur zapewniających, aby podpisujący miał wyłączną kontrolę nad używaniem swoich danych służących do składania podpisu elektronicznego i aby urządzenie użytkowane było ze spełnieniem wymogów dotyczących kwalifikowanego podpisu elektronicznego.

- = -

(57) Aby zagwarantować pewność prawa w odniesieniu do ważności podpisu, niezbędne jest wyszczególnienie elementów kwalifikowanego podpisu elektronicznego, które powinny być ocenione przez stronę ufającą dokonującą walidacji.
Ponadto wyszczególnienie wymogów dla kwalifikowanych dostawców usług zaufania mogących świadczyć kwalifikowane usługi walidacji na rzecz stron ufających, które same nie chcą lub nie są w stanie dokonać walidacji kwalifikowanych podpisów elektronicznych, powinno zachęcić sektory prywatny i publiczny do inwestowania w takie usługi.
Dzięki tym obu elementom walidacja kwalifikowanych podpisów elektronicznych powinna być łatwa i wygodna dla wszystkich stron na poziomie Unii.

- = -

(71) W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia należy powierzyć Komisji uprawnienia wykonawcze, w szczególności w odniesieniu do określenia numerów referencyjnych norm, których stosowanie prowadzi do powstania domniemania spełnienia niektórych wymogów przewidzianych w niniejszym rozporządzeniu.
Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 (12).

- = -

keyboard_tab EIDAS 2014/0910 PL

EIDAS 2014/0910 PL