EIDAS 2014/0910 SK

1. Toto nariadenie sa vzťahuje na schémy elektronickej identifikácie, ktoré boli oznámené členskými štátmi a na poskytovateľov dôveryhodných služieb, ktorí sú usadení v Únii.

2. Toto nariadenie sa nevzťahuje na poskytovanie dôveryhodných služieb, ktoré sa používajú výhradne v uzavretých systémoch na základe vnútroštátneho práva alebo dohôd medzi vymedzenou skupinou účastníkov.

3. Toto nariadenie nemá vplyv na vnútroštátne právo ani právo Únie súvisiace s uzatváraním a platnosťou zmlúv alebo iných právnych či procesných záväzkov týkajúcich sa formy.

Článok 7

Podmienky pre oznamovanie schém elektronickej identifikácie

Schéma elektronickej identifikácie sa oznamuje podľa článku 9 ods. 1 za predpokladu, že sú splnené všetky tieto podmienky:

prostriedky elektronickej identifikácie v rámci schémy elektronickej identifikácie:

i)	vydáva oznamujúci členský štát;

ii)	sa vydávajú na základe poverenia oznamujúceho členského štátu alebo

iii)	sa vydávajú nezávisle od oznamujúceho členského štátu, ktorý ich uznáva;

b)	prostriedky elektronickej identifikácie v rámci schémy elektronickej identifikácie sa môžu použiť na prístup aspoň k jednej službe, ktorú poskytuje subjekt verejného sektora a ktorá vyžaduje elektronickú identifikáciu v oznamujúcom členskom štáte;

c)	schéma elektronickej identifikácie a prostriedky elektronickej identifikácie, ktoré sa v rámci nej vydávajú, spĺňajú požiadavky pre aspoň jednu z úrovní zabezpečenia stanovených vo vykonávacom akte uvedenom v článku 8 ods. 3;

oznamujúci členský štát zabezpečuje, že osobné identifikačné údaje, ktoré jedinečne identifikujú dotknutú osobu, sa priraďujú v súlade s technickými špecifikáciami, normami a postupmi pre príslušnú úroveň zabezpečenia stanovenými vo vykonávacom akte uvedenom v článku 8 ods. 3 fyzickej alebo právnickej osobe uvedenej v článku 3 bode 1 v čase, keď sú prostriedky elektronickej identifikácie v rámci danej schémy vydané;

strana vydávajúca prostriedky elektronickej identifikácie v rámci danej schémy zabezpečuje, že prostriedky elektronickej identifikácie sa priradia osobe uvedenej v písmene d) tohto článku v súlade s technickými špecifikáciami, normami a postupmi pre príslušnú úroveň zabezpečenia stanovenými vo vykonávacom akte uvedenom v článku 8 ods. 3;

oznamujúci členský štát zabezpečuje dostupnosť autentifikácie online, aby ktorákoľvek spoliehajúca sa strana usadená na území iného členského štátu mohla potvrdiť osobné identifikačné údaje doručené v elektronickej forme.

Pre spoliehajúce sa strany, ktoré nie sú subjektmi verejného sektora, môže oznamujúci členský štát stanoviť podmienky prístupu k takejto autentifikácii. Cezhraničná autentifikácia sa poskytuje bezplatne, ak sa vykonáva vo vzťahu k službe online, ktorú poskytuje subjekt verejného sektora.

Členské štáty nesmú spoliehajúcim sa stranám, ktoré chcú vykonať takúto autentifikáciu, ukladať žiadne konkrétne neprimerané technické požiadavky, ak takéto požiadavky bránia alebo podstatne sťažujú interoperabilitu oznámených schém elektronickej identifikácie;

g)	oznamujúci členský štát aspoň šesť mesiacov pred oznámením podľa článku 9 ods. 1 poskytne ostatným členským štátom na účely povinnosti podľa článku 12 ods. 5 opis danej schémy v súlade s dojednaniami o postupe stanovenými vo vykonávacích aktoch uvedených v článku 12 ods. 7;

h)	schéma elektronickej identifikácie spĺňa požiadavky stanovené vo vykonávacom akte uvedenom v článku 12 ods. 8.

Článok 12

Spolupráca a interoperabilita

1. Vnútroštátne schémy elektronickej identifikácie oznámené podľa článku 9 ods. 1 sú interoperabilné.

2. Na účely odseku 1 sa zavádza rámec interoperability.

3. Rámec interoperability musí spĺňať tieto kritériá:

a)	jeho cieľom je technologická neutralita a neznevýhodňuje žiadne konkrétne vnútroštátne technické riešenie elektronickej identifikácie v rámci členského štátu;

b)	podľa možností je v súlade s európskymi a medzinárodnými normami;

c)	uľahčuje uplatňovanie zásady ochrany súkromia už v štádiu návrhu a

d)	zabezpečuje sa ním, že osobné údaje sa spracúvajú v súlade so smernicou 95/46/ES.

4. Súčasťou rámca interoperability je:

a)	odkaz na minimálne technické požiadavky týkajúce sa úrovní zabezpečenia podľa článku 8;

b)	mapovanie vnútroštátnych úrovní zabezpečenia oznámených schém elektronickej identifikácie na úrovne zabezpečenia podľa článku 8;

c)	odkaz na minimálne technické požiadavky týkajúce sa interoperability;

d)	odkaz na minimálny súbor osobných identifikačných údajov reprezentujúcich jedinečným spôsobom fyzickú alebo právnickú osobu, ktoré sú dostupné v schémach elektronickej identifikácie;

e)	procedurálne predpisy;

f)	mechanizmus urovnávania sporov a

g)	spoločné normy prevádzkovej bezpečnosti.

5. Členské štáty spolupracujú, pokiaľ ide:

a)	o interoperabilitu schém elektronickej identifikácie oznámených podľa článku 9 ods. 1 a schém elektronickej identifikácie, ktoré členské štáty zamýšľajú oznámiť, a

b)	o bezpečnosť schém elektronickej identifikácie.

6. Spolupráca medzi členskými štátmi spočíva:

a)	vo výmene informácií, skúseností a osvedčených postupov, pokiaľ ide o schémy elektronickej identifikácie, a najmä technické požiadavky týkajúce sa interoperability a úrovní zabezpečenia;

b)	vo výmene informácií, skúseností a osvedčených postupov, pokiaľ ide o prácu s úrovňami zabezpečenia schém elektronickej identifikácie podľa článku 8;

c)	v partnerskom preskúmaní schém elektronickej identifikácie, na ktoré sa vzťahuje toto nariadenie, a

d)	v skúmaní príslušného vývoja v oblasti elektronickej identifikácie.

7. Komisia do 18. marca 2015 prostredníctvom vykonávacích aktov stanoví dojednania o postupoch potrebné na uľahčenie spolupráce medzi členskými štátmi uvedenej v odsekoch 5 a 6 s cieľom podporiť vysokú úroveň dôvery a bezpečnosti primeranú stupňu rizika.

8. Komisia na účely stanovenia jednotných podmienok vykonávania požiadavky podľa odseku 1, za splnenia kritérií stanovených v odseku 3 a zohľadňujúc výsledky spolupráce medzi členskými štátmi, prijme do 18. septembra 2015 vykonávacie akty o rámci interoperability, ako je stanovené v odseku 4.

9. Vykonávacie akty uvedené v odsekoch 7 a 8 tohto článku sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

KAPITOLA III

DÔVERYHODNÉ SLUŽBY

ODDIEL 1

Všeobecné ustanovenia

Článok 17

Orgán dohľadu

1. Členské štáty určia orgán dohľadu usadený na ich území alebo po vzájomnej dohode s iným členským štátom orgán dohľadu usadený v danom inom členskom štáte. Tento orgán je zodpovedný za úlohy dohľadu v určujúcom členskom štáte.

Orgánom dohľadu sa poskytnú potrebné právomoci a primerané zdroje na výkon ich úloh.

2. Členské štáty oznámia Komisii názvy a adresy svojich určených orgánov dohľadu.

3. Orgán dohľadu plní túto úlohu:

dohliada na kvalifikovaných poskytovateľov dôveryhodných služieb usadených na území určujúceho členského štátu s cieľom zaručiť prostredníctvom dohľadu ex ante a ex post, aby títo kvalifikovaní poskytovatelia dôveryhodných služieb a kvalifikované dôveryhodné služby, ktoré poskytujú, spĺňali požiadavky stanovené v tomto nariadení;

podľa potreby koná prostredníctvom dohľadu ex post vo vzťahu k nekvalifikovaným poskytovateľom dôveryhodných služieb usadeným na území určujúceho členského štátu, ak má informácie, že títo nekvalifikovaní poskytovatelia dôveryhodných služieb alebo dôveryhodné služby, ktoré poskytujú, údajne nespĺňajú požiadavky stanovené v tomto nariadení.

4. Na účely odseku 3 a s výhradou obmedzení, ktoré sú v ňom ustanovené, medzi úlohy orgánu dohľadu patrí najmä:

a)	spolupracovať s ostatnými orgánmi dohľadu a poskytovať im pomoc v súlade s článkom 18;

b)	analyzovať správy o posudzovaní zhody uvedené v článku 20 ods. 1 a článku 21 ods. 1;

c)	informovať ostatné orgány dohľadu a verejnosť o narušení bezpečnosti alebo integrity v súlade s článkom 19 ods. 2;

d)	podávať Komisii správy o svojich hlavných činnostiach v súlade s odsekom 6 tohto článku;

e)	vykonávať audity alebo žiadať orgán posudzovania zhody o posúdenie zhody týkajúce sa kvalifikovaných poskytovateľov dôveryhodných služieb v súlade s článkom 20 ods. 2;

f)	spolupracovať s orgánmi pre ochranu osobných údajov a najmä ich bez zbytočného odkladu informovať o výsledkoch auditov kvalifikovaných poskytovateľov dôveryhodných služieb v prípade podozrenia z porušenia predpisov o ochrane osobných údajov;

g)	udeľovať poskytovateľom dôveryhodných služieb a službám, ktoré poskytujú, kvalifikovaný štatút a odnímať ho v súlade s článkami 20 a 21;

h)	informovať orgán zodpovedný za národný dôveryhodný zoznam uvedený v článku 22 ods. 3 o svojich rozhodnutiach týkajúcich sa udeľovania alebo odnímania kvalifikovaného štatútu, pokiaľ tento orgán nie je aj orgánom dohľadu;

i)	overovať existenciu a správne uplatňovanie ustanovení o plánoch ukončenia činnosti v prípade, že kvalifikovaný poskytovateľ dôveryhodných služieb prestane vykonávať svoju činnosť, a to aj pokiaľ ide o spôsob, ako zachovať prístupnosť informácií v súlade s článkom 24 ods. 2 písm. h);

j)	vyžadovať, aby poskytovatelia dôveryhodných služieb napravili akékoľvek nesplnenie požiadaviek stanovených v tomto nariadení.

5. Členské štáty môžu vyžadovať, aby orgán dohľadu zriadil, udržiaval a aktualizoval dôveryhodnú infraštruktúru v súlade s podmienkami podľa vnútroštátneho práva.

6. Všetky orgány dohľadu každoročne do 31. marca predložia Komisii správu o svojich hlavných činnostiach za predchádzajúci kalendárny rok spolu so súhrnom oznámení o narušeniach, ktoré dostali od poskytovateľov dôveryhodných služieb v súlade s článkom 19 ods. 2.

7. Komisia sprístupní výročnú správu uvedenú v odseku 6 členským štátom.

8. Komisia môže prostredníctvom vykonávacích aktov vymedziť formáty a postupy týkajúce sa správy uvedenej v odseku 6. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

Článok 30

Certifikácia kvalifikovaných zariadení na vyhotovenie elektronických podpisov

1. Zhodu kvalifikovaných zariadení na vyhotovenie elektronických podpisov s požiadavkami stanovenými v prílohe II certifikujú príslušné verejné alebo súkromné subjekty určené členskými štátmi.

2. Členské štáty oznámia Komisii názvy a adresy verejných alebo súkromných subjektov, ktoré sú uvedené v odseku 1. Komisia sprístupní tieto informácie členským štátom.

3. Certifikácia uvedená v odseku 1 je založená na:

a)	procese hodnotenia bezpečnosti, ktorý sa vykoná v súlade s niektorou z noriem posudzovania bezpečnosti produktov informačných technológií zaradených do zoznamu vypracovaného v súlade s druhým pododsekom, alebo

inom procese ako procese uvedenom v písmene a), ak sa v rámci neho používajú porovnateľné úrovne bezpečnosti a ak verejný alebo súkromný subjekt uvedený v odseku 1 tento proces oznámi Komisii. Tento proces možno použiť, len ak neexistujú normy uvedené v písmene a) alebo ak prebieha proces hodnotenia bezpečnosti uvedený v písmene a).

Komisia prostredníctvom vykonávacích aktov vypracuje zoznam noriem posudzovania bezpečnosti produktov informačných technológií uvedený v písmene a). Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

4. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 47, pokiaľ ide o stanovenie osobitných kritérií, ktoré musia splniť určené subjekty uvedené v odseku 1 tohto článku.

whereas

(14) V tomto nariadení je potrebné stanoviť určité podmienky, pokiaľ ide o to, ktoré prostriedky elektronickej identifikácie sa majú uznávať a ako by sa mali schémy elektronickej identifikácie oznamovať.
Uvedené podmienky by členským štátom mali pomôcť pri budovaní potrebnej vzájomnej dôvery, pokiaľ ide o schémy elektronickej identifikácie, a pri vzájomnom uznávaní prostriedkov elektronickej identifikácie v rámci ich oznámených schém.
Zásada vzájomného uznávania by sa mala uplatňovať vtedy, keď schéma elektronickej identifikácie oznamujúceho členského štátu spĺňa podmienky oznámenia a oznámenie bolo uverejnené v Úradnom vestníku Európskej únie.
Zásada vzájomného uznávania by sa však mala týkať len autentifikácie služby online.
Prístup k týmto službám online a ich konečné poskytnutie žiadateľovi by mali byť úzko spojené s právom na využívanie takýchto služieb na základe podmienok stanovených vo vnútroštátnych právnych predpisoch.

- = -

(17) Členské štáty by mali súkromný sektor nabádať, aby na účely identifikácie, ak je potrebná pri službách online alebo elektronických transakciách, dobrovoľne používal prostriedky elektronickej identifikácie z oznámenej schémy.
Možnosť používať takéto prostriedky elektronickej identifikácie by súkromnému sektoru umožnila spoliehať sa na elektronickú identifikáciu a autentifikáciu, ktoré sa už vo veľkej miere používajú v mnohých členských štátoch prinajmenšom v rámci verejných služieb, a podnikom a občanom by uľahčila prístup k ich službám online naprieč hranicami.
Na uľahčenie cezhraničného využívania takýchto prostriedkov elektronickej identifikácie súkromným sektorom by možnosť autentifikácie poskytovaná akýmkoľvek členským štátom mala byť dostupná pre spoliehajúce sa strany zo súkromného sektora, ktoré sú usadené mimo územia daného členského štátu, a to za rovnakých podmienok, aké platia pre spoliehajúce sa strany zo súkromného sektora, ktoré sú usadené v danom členskom štáte.
Následne môže oznamujúci členský štát vymedziť v súvislosti so spoliehajúcimi sa stranami zo súkromného sektora podmienky prístupu k prostriedkom autentifikácie.
Takéto podmienky prístupu môžu obsahovať informácie o tom, či sú prostriedky autentifikácie súvisiace s oznámenou schémou v súčasnosti dostupné pre spoliehajúce sa strany zo súkromného sektora.

- = -

(20) Spolupráca členských štátov by mala uľahčovať technickú interoperabilitu oznámených schém elektronickej identifikácie s cieľom podporiť vysokú mieru dôvery a bezpečnosti, primeranú stupňu rizika.
Takejto spolupráci by mala pomáhať výmena informácií a najlepších postupov medzi členskými štátmi s cieľom zabezpečiť vzájomné uznávanie.

- = -

(30) Členské štáty by mali určiť orgán dohľadu alebo orgány dohľadu na vykonávanie činností dohľadu podľa tohto nariadenia. Členské štáty by mali tiež mať možnosť na základe vzájomnej dohody s iným členským štátom rozhodnúť o určení orgánu dohľadu na území tohto iného členského štátu.

- = -

(33) Ustanovenia o používaní pseudonymov v certifikátoch by nemali členským štátom brániť v tom, aby vyžadovali identifikáciu osôb podľa práva Únie alebo vnútroštátneho práva.

- = -

(53) Pozastavovanie kvalifikovaných certifikátov je tradičnou prevádzkovou praxou poskytovateľov dôveryhodných služieb vo viacerých členských štátoch a odlišuje sa od zrušenia a vyznačuje sa dočasnou stratou platnosti certifikátu.
V záujme právnej istoty je nevyhnutné, aby bol štatút pozastavenia certifikátu vždy jasne uvedený.
Poskytovatelia dôveryhodných služieb by preto mali niesť zodpovednosť za jasné uvedenie štatútu certifikátu, a ak je tento pozastavený, presného obdobia, počas ktorého je certifikát pozastavený.
Týmto nariadením by sa nemalo poskytovateľom dôveryhodných služieb alebo členským štátom ukladať, aby pozastavovanie využívali, ale mali by sa ním ustanoviť pravidlá transparentnosti v prípadoch, keď sa takýto postup využíva.

- = -

keyboard_tab EIDAS 2014/0910 SK

EIDAS 2014/0910 SK