EIDAS 2014/0910 RO

(1) Prezentul regulament se aplică sistemelor de identificare electronică care au fost notificate de către un stat membru și prestatorilor de servicii de încredere cu sediul în Uniune.

(2) Prezentul regulament nu se aplică prestării de servicii de încredere care sunt utilizate exclusiv în sisteme închise care decurg din dreptul intern sau din acordurile încheiate între un set definit de participanți.

(3) Prezentul regulament nu aduce atingere dreptului intern sau al Uniunii privind încheierea și valabilitatea contractelor sau a altor obligații juridice sau procedurale privind forma.

Articolul 5

Prelucrarea și protecția datelor

(1) Prelucrarea datelor cu caracter personal se efectuează în conformitate cu Directiva 95/46/CE.

(2) Fără a aduce atingere efectului juridic aferent pseudonimelor în temeiul dreptului intern, utilizarea pseudonimelor în cadrul tranzacțiilor electronice nu este interzisă.

CAPITOLUL II

IDENTIFICARE ELECTRONICĂ

Articolul 6

Recunoașterea reciprocă

(1) Atunci când este necesară o identificare electronică care utilizează un mijloc de identificare electronică și o autentificare în temeiul dreptului intern sau al practicii administrative naționale pentru a accesa un serviciu prestat online de un organism din sectorul public într-un stat membru, mijloacele de identificare electronică emise într-un alt stat membru sunt recunoscute în primul stat membru în scopul autentificării transfrontaliere a respectivului serviciu online, cu condiția să fie îndeplinite următoarele condiții:

(a)	mijloacele de identificare electronică să fie emise în cadrul unui sistem de identificare electronică inclus în lista publicată de Comisie în temeiul articolului 9;

(b)

nivelul de asigurare al respectivelor mijloace de identificare electronică să corespundă unui nivel de asigurare egal sau mai ridicat decât nivelul de asigurare impus de organismul din sectorul public relevant pentru a accesa respectivul serviciu online în primul stat membru, cu condiția ca nivelul de asigurare al mijloacelor de identificare electronică respective să corespundă nivelului de asigurare substanțial sau ridicat;

(c)	organismul din sectorul public relevant utilizează nivelul de asigurare „substanțial” sau „ridicat” în legătură cu accesarea online a serviciului respectiv.

Această recunoaștere trebuie să aibă loc în termen de cel mult 12 luni de la publicarea de către Comisie a listei menționate la primul paragraf litera (a).

(2) Mijloacele de identificare electronică eliberate în temeiul unui sistem de identificare electronică inclus în lista publicată de Comisie în conformitate cu articolul 9 și care corespund nivelului de asigurare scăzut pot fi recunoscute de către organismele din sectorul public în scopul autentificării transfrontaliere pentru serviciul furnizat online de către organismele respective.

Articolul 11

Răspunderea

(1) Statul membru care notifică este răspunzător pentru prejudiciul cauzat în mod intenționat sau din neglijență oricărei persoane fizice sau juridice în cadrul unei tranzacții transfrontaliere ca urmare a nerespectării obligațiilor care îi revin în temeiul articolului 7 literele (d) și (f).

(2) Partea care emite mijloacele de identificare electronică este răspunzătoare pentru prejudiciul cauzat în mod intenționat sau din neglijență oricărei persoane fizice sau juridice în cadrul unei tranzacții transfrontaliere ca urmare a nerespectării obligației menționate la articolul 7 litera (e).

(3) Partea care execută procedura de autentificare este răspunzătoare pentru prejudiciul cauzat în mod intenționat sau din neglijență oricărei persoane fizice sau juridice în cadrul unei tranzacții transfrontaliere pentru neasigurarea executării corecte a autentificării menționate la articolul 7 litera (f).

(4) Alineatele (1), (2) și (3) se aplică în conformitate cu normele de drept intern privind răspunderea.

(5) Alineatele (1), (2) și (3) nu aduc atingere răspunderii care revine, în conformitate cu dreptul intern, părților la o tranzacție în care sunt utilizate mijloace de identificare electronică care intră sub incidența sistemului de identificare electronică notificat în temeiul articolului 9 alineatul (1).

Articolul 17

Organismul de supraveghere

(1) Statele membre desemnează un organism de supraveghere stabilit pe teritoriul lor sau, de comun acord cu un alt stat membru, un organism de supraveghere stabilit în acel stat membru. Organismul respectiv este responsabil de sarcinile de supraveghere în statul membru care l-a desemnat.

Organismelor de supraveghere li se conferă competențele necesare și resursele adecvate pentru exercitarea sarcinilor lor.

(2) Statele membre notifică Comisiei denumirile și adresele organismelor lor de supraveghere desemnate.

(3) Rolul organismului de supraveghere constă în:

(a)

supravegherea prestatorilor de servicii de încredere calificați stabiliți pe teritoriul statului membru care l-a desemnat pentru a se asigura, prin intermediul activităților de supraveghere ex ante și ex post, că respectivii prestatori de servicii de încredere calificați, precum și serviciile de încredere calificate pe care le prestează, îndeplinesc cerințele stabilite în prezentul regulament;

(b)

luarea de măsuri, după caz, în legătură cu prestatorii de servicii de încredere necalificați stabiliți pe teritoriul statului membru care l-a desemnat, prin intermediul activităților de supraveghere ex post, atunci când este informat că există presupunerea că respectivii prestatori de servicii de încredere calificați sau serviciile de încredere pe care le prestează nu îndeplinesc cerințele stabilite în prezentul regulament.

(4) În sensul alineatului (3) și sub rezerva restricțiilor prevăzute de acesta, sarcinile organismului de supraveghere includ, în special:

(a)	să coopereze cu alte organisme de supraveghere și să acorde asistență acestora, în conformitate cu articolul 18;

(b)	să efectueze analiza rapoartelor de evaluare a conformității menționate la articolul 20 alineatul (1) și la articolul 21 alineatul (1);

(c)	să informeze celelalte organisme de supraveghere și publicul cu privire la încălcarea securității sau la pierderea integrității, în conformitate cu articolul 19 alineatul (2);

(d)	să raporteze Comisiei cu privire la activitățile sale principale, în conformitate cu alineatul (6) de la prezentul articol;

(e)	să realizeze audituri sau să solicite unui organism de evaluare a conformității să efectueze o evaluare a conformității prestatorilor de servicii de încredere calificați, în conformitate cu articolul 20 alineatul (2);

(f)

să coopereze cu autoritățile de protecție a datelor, în special prin informarea acestora, fără întârzieri nejustificate, cu privire la rezultatele auditurilor prestatorilor de servicii de încredere calificați, în cazul în care se presupune că normele de protecție a datelor cu caracter personal au fost încălcate;

(g)	să acorde statutul de calificat prestatorilor de servicii de încredere, precum și serviciilor pe care aceștia le prestează și să retragă statutul respectiv, în conformitate cu articolele 20 și 21;

(h)	să informeze organismul responsabil cu lista sigură națională menționată la articolul 22 alineatul (3) cu privire la deciziile sale de acordare sau de retragere a statutului de calificat, cu excepția cazului în care respectivul organism este și organism de supraveghere;

(i)

să verifice existența și aplicarea corectă a dispozițiilor privind planurile de încetare a serviciului în cazurile în care prestatorul de servicii de încredere calificat își încetează activitățile, inclusiv modul în care informațiile sunt păstrate accesibile, în conformitate cu articolul 24 alineatul (2) litera (h);

(j)	să solicite prestatorilor de servicii de încredere să remedieze orice neîndeplinire a cerințelor prevăzute în prezentul regulament.

(5) Statele membre pot să solicite organismului de supraveghere să stabilească, să mențină și să actualizeze o infrastructură de asigurare a încrederii în conformitate cu condițiile stabilite de dreptul intern.

(6) În fiecare an, până la 31 martie, fiecare organism de supraveghere înaintează Comisiei un raport privind principalele activități desfășurate în anul calendaristic anterior, însoțit de un rezumat al notificărilor încălcărilor primit de la prestatorii de servicii de încredere, în conformitate cu articolul 19 alineatul (2).

(7) Comisia pune la dispoziția statelor membre raportul anual menționat la alineatul (6).

(8) Comisia poate, prin intermediul unor acte de punere în aplicare, să definească formatele și procedurile pentru raportul menționat la alineatul (6). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Articolul 18

Asistență reciprocă

(1) Organismele de supraveghere cooperează cu scopul de a face schimb de bune practici.

Pe baza unei solicitări justificate din partea unui alt organism de supraveghere, un organism de supraveghere acordă respectivului organism asistență astfel încât activitățile organismelor de supraveghere să poată fi desfășurate în mod coerent. Asistența reciprocă poate viza, în special, solicitările de informații și măsurile de supraveghere, cum ar fi solicitările de a desfășura inspecții legate de rapoartele de evaluare a conformității menționate la articolele 20 și 21.

(2) Un organism de supraveghere căruia i se adresează o solicitare de asistență poate respinge respectiva solicitare din oricare dintre următoarele motive:

(a)	organismul de supraveghere nu are competența de a acorda asistența solicitată;

(b)	asistența solicitată nu este proporțională cu activitățile de supraveghere ale organismului de supraveghere desfășurate în conformitate cu articolul 17;

(c)	acordarea asistenței solicitate ar contraveni prezentului regulament.

(3) După caz, statele membre pot autoriza organismele lor de supraveghere să efectueze anchete comune în care este implicat personalul din organismele de supraveghere ale celorlalte state membre. Mecanismele și procedurile pentru astfel de acțiuni în comun sunt convenite și stabilite de către statele membre în cauză, în conformitate cu dreptul lor intern.

Articolul 24

Cerințe pentru prestatorii de servicii de încredere calificați

(1) Atunci când emite un certificat calificat pentru un serviciu de încredere, un prestator de servicii de încredere calificat verifică, prin mijloace corespunzătoare și în conformitate cu legislația națională, identitatea și, atunci când este cazul, atributele specifice ale persoanei fizice sau juridice căreia i s-a emis un certificat calificat.

Informațiile menționate la primul paragraf sunt verificate de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unei părți terțe, în conformitate cu dreptul intern:

(a)	de către persoana fizică sau de către un reprezentant autorizat al persoanei juridice, în persoană; sau

(b)

de la distanță, utilizând mijloace de identificare electronică pentru care, înainte de eliberarea certificatului calificat, a fost asigurată prezența fizică a persoanei fizice sau a unui reprezentant autorizat al persoanei juridice și care îndeplinesc cerințele stabilite la articolul 8 în ceea ce privește nivelurile de asigurare „substanțial” sau „ridicat”; sau

(c)	prin intermediul unui certificat, al unei semnături electronice calificate sau al unui sigiliu electronic calificat emis în conformitate cu dispozițiile de la litera (a) sau (b); sau

(d)	prin utilizarea altor metode de identificare recunoscute la nivel național, care oferă un nivel de asigurare echivalent din perspectiva fiabilității cu prezența fizică. Nivelul de asigurare echivalent este confirmat de un organism de evaluare a conformității.

(2) Un prestator de servicii de încredere calificat care prestează servicii de încredere calificate:

(a)	informează organismul de supraveghere cu privire la orice schimbare survenită în prestarea sa de servicii de încredere calificate și cu privire la vreo intenție de a își înceta activitatea respectivă;

(b)

angajează personal și, după caz, subcontractanți care dețin cunoștințele, credibilitatea, experiența și calificările necesare și care au beneficiat de formare adecvată în ceea ce privește normele de siguranță și protecție a datelor cu caracter personal și aplică proceduri administrative și de gestiune care corespund standardelor europene sau internaționale;

(c)	în ceea ce privește riscul de răspundere pentru daune în conformitate cu articolul 13, menține suficiente resurse financiare și/sau obține o asigurare de răspundere adecvată, în conformitate cu dreptul intern;

(d)	înainte de stabilirea unei relații contractuale, informează, în mod clar și cuprinzător, orice persoană care dorește să utilizeze un serviciu de încredere calificat de clauzele și condițiile exacte privind utilizarea acelui serviciu, inclusiv orice restricție privind utilizarea acestuia;

(e)	utilizează sisteme și produse demne de încredere care sunt protejate împotriva modificărilor și asigură siguranța tehnică și fiabilitatea proceselor susținute de acestea;

(f)

utilizează sisteme demne de încredere pentru a stoca datele care îi sunt furnizate, într-o formă care poate fi verificată, astfel încât:

(i)	acestea să fie disponibile publicului pentru cercetări numai în cazul în care a fost obținut consimțământul persoanei la care se referă datele;

(ii)	numai persoanele autorizate să poată introduce și modifica datele stocate;

(iii)

autenticitatea datelor să poată fi controlată;

(g)	ia măsuri adecvate împotriva falsificării și furtului de date;

(h)

înregistrează și menține accesibile pentru o perioadă de timp corespunzătoare, inclusiv ulterior încetării activității prestatorului de servicii de încredere calificat, toate informațiile relevante referitoare la datele emise și primite de către prestatorul de servicii de încredere calificat, în special în scopul de a furniza dovezi în procedurile judiciare și în scopul asigurării continuității serviciului. Aceste înregistrări pot fi efectuate în mod electronic;

(i)	are un plan actualizat, în cazul încetării serviciului, pentru a asigura continuitatea serviciului conform dispozițiilor verificate de către organismul de supraveghere, în conformitate cu articolul 17 alineatul (4) litera (i);

(j)	asigură prelucrarea legală a datelor cu caracter personal în conformitate cu Directiva 95/46/CE;

(k)	în cazul prestatorilor de servicii de încredere calificați care eliberează certificate calificate, instituie și actualizează permanent o bază de date a certificatelor.

(3) Dacă un prestator de servicii de încredere calificat care eliberează certificate calificate decide să revoce un certificat, acesta înregistrează respectiva revocare în baza sa de date privind certificatele și publică statutul de revocat al certificatului în timp util și în orice caz în termen de 24 de ore de la primirea cererii. Revocarea intră în vigoare imediat după publicare.

(4) Cu privire la alineatul (3), prestatorii de servicii de încredere calificați care emit certificate calificate furnizează oricărui beneficiar informații cu privire la valabilitatea sau revocarea statutului de certificate calificate emise de aceștia. Aceste informații sunt puse la dispoziție cel puțin pentru fiecare certificat în parte, în orice moment și după expirarea perioadei de valabilitate a certificatului, în mod automat, fiabil, gratuit și eficient.

(5) Comisia poate, prin intermediul unor acte de punere în aplicare, să stabilească numerele de referință ale standardelor pentru sisteme și produse demne de încredere, care respectă cerințele prevăzute la alineatul (2) literele (e) și (f) de la prezentul articol. În cazul în care sistemele și produsele demne de încredere respectă standardele respective, se presupune că acestea respectă cerințele prevăzute la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

SECȚIUNEA 4

Semnătura electronică

whereas

(14) Ar trebui stabilite în prezentul regulament unele condiții cu privire la care mijloace de identificare electronică trebuie să fie recunoscute și la modul în care sistemele de identificare electronică ar trebui să fie notificate.
Aceste condiții ar trebui să ajute statele membre să dobândească încrederea reciprocă necesară în sistemele lor de identificare electronică și să recunoască reciproc mijloacele de identificare electronică care intră sub incidența sistemelor lor notificate.
Ar trebui să se aplice principiul recunoașterii reciproce în cazul în care sistemul de identificare electronică al statului membru care notifică îndeplinește condițiile de notificare, iar notificarea a fost publicată în Jurnalul Oficial al Uniunii Europene.
Cu toate acestea, principiul recunoașterii reciproce ar trebui să vizeze numai autentificarea pentru un serviciu online.
Accesul la aceste servicii online și furnizarea lor finală către solicitant ar trebui să fie strâns legate de dreptul de a primi astfel de servicii în condițiile stabilite de legislația națională.

- = -

(15) Obligația de recunoaștere a mijloacelor de identificare electronică ar trebui să se refere numai la mijloacele al căror nivel de asigurare a încrederii corespunde unui nivel egal sau mai ridicat decât nivelul necesar pentru serviciul online în cauză. În plus, această obligație ar trebui să se aplice numai în cazul în care organismul din sectorul public în cauză utilizează nivelul de asigurare „substanțial” sau „ridicat” în ceea ce privește accesul la serviciul online respectiv.
Statele membre ar trebui să dispună în continuare, în conformitate cu dreptul Uniunii, de libertatea de a recunoaște mijloacele de identificare electronică cu niveluri de asigurare a încrederii mai scăzute.

- = -

(21) Prezentul regulament ar trebui, de asemenea, să stabilească un cadru juridic general pentru utilizarea serviciilor de încredere.
Totuși, acesta nu ar trebui să creeze o obligație generală de a le utiliza sau de a instala un punct de acces pentru toate serviciile de încredere existente. În special, acesta nu ar trebui să reglementeze prestarea de servicii utilizate exclusiv în cadrul sistemelor închise între un set definit de participanți, care nu au niciun efect asupra părților terțe.
De exemplu, sistemele instituite în întreprinderi sau în administrațiile publice pentru a gestiona procedurile interne care utilizează serviciile de încredere nu ar trebui să intre sub incidența cerințelor din prezentul regulament.
Doar serviciile de încredere prestate publicului având efecte asupra părților terțe ar trebui să îndeplinească cerințele stabilite în regulament.
Prezentul regulament nu ar trebui să reglementeze nici aspectele privind încheierea și valabilitatea contractelor sau a altor obligații juridice, în cazul în care există cerințe cu privire la formă prevăzute de dreptul intern sau al Uniunii.
Mai mult, prezentul regulament nu ar trebui să afecteze cerințele naționale cu privire la formă aferente registrelor publice, în special registrelor comerțului și cadastrelor.

- = -

(22) Pentru a contribui la utilizarea transfrontalieră generală a serviciilor de încredere, ar trebui să fie posibilă utilizarea acestora ca probe în procedurile judiciare în toate statele membre.
Efectul juridic al serviciilor de încredere trebuie definit de dreptul intern, cu excepția cazului în care se prevede altfel în prezentul regulament.

- = -

(24) Statele membre pot să mențină sau să introducă dispoziții naționale, în conformitate cu dreptul Uniunii, referitoare la serviciile de încredere în măsura în care aceste servicii nu sunt armonizate integral în prezentul regulament.
Cu toate acestea, serviciile de încredere care sunt conforme cu prezentul regulament ar trebui să circule liber pe piața internă.

- = -

(33) Dispozițiile privind utilizarea pseudonimelor în certificate nu ar trebui să împiedice statele membre să solicite identificarea persoanelor în conformitate cu dreptul Uniunii sau dreptul intern.

- = -

(49) Prezentul regulament ar trebui să stabilească principiul conform căruia unei semnături electronice nu ar trebui să i se refuze efectul juridic din motiv că aceasta este în format electronic sau că nu îndeplinește cerințele pentru semnătura electronică calificată.
Cu toate acestea, efectul juridic al semnăturilor electronice se definește în dreptul intern, cu excepția cerinței prevăzute în prezentul regulament, conform căreia o semnătură electronică calificată ar trebui să aibă efecte juridice echivalente cu cele ale semnăturii olografe.

- = -

(68) Conceptul de „persoană juridică”, în conformitate cu dispozițiile din Tratatul privind funcționarea Uniunii Europene (TFUE) referitoare la stabilire, le dă operatorilor libertatea de a alege forma juridică pe care ei o consideră potrivită pentru a-și desfășura activitatea. În consecință, „persoană juridică”, în sensul din TFUE, înseamnă toate entitățile constituite în temeiul dreptului unui stat membru sau reglementate de acesta, indiferent de forma lor juridică.

- = -

(75) Datele de aplicare prevăzute în prezentul regulament nu aduc atingere obligațiilor existente pe care statele membre le au deja în temeiul dreptului Uniunii, în special în temeiul Directivei 2006/123/CE.

- = -

keyboard_tab EIDAS 2014/0910 RO

EIDAS 2014/0910 RO