EIDAS 2014/0910 SK

S cieľom zabezpečiť riadne fungovanie vnútorného trhu a so zameraním na primeranú úroveň bezpečnosti prostriedkov elektronickej identifikácie a dôveryhodných služieb sa týmto nariadením:

a)	stanovujú podmienky, za ktorých členské štáty uznávajú prostriedky elektronickej identifikácie fyzických a právnických osôb, ktoré patria do oznámenej schémy elektronickej identifikácie iného členského štátu;

b)	stanovujú pravidlá pre dôveryhodné služby, najmä elektronické transakcie, a

c)	vytvára právny rámec pre elektronické podpisy, elektronické pečate, elektronické časové pečiatky, elektronické dokumenty, elektronické doručovacie služby pre registrované zásielky a certifikačné služby pre autentifikáciu webových sídiel.

Článok 10

Narušenie bezpečnosti

1. Keď sa schéma elektronickej identifikácie oznámená podľa článku 9 ods. 1 alebo autentifikácia uvedená v článku 7 písm. f) naruší alebo čiastočne skompromituje spôsobom, ktorý ovplyvní spoľahlivosť cezhraničnej autentifikácie danej schémy, oznamujúci členský štát danú cezhraničnú autentifikáciu alebo dotknuté skompromitované časti bezodkladne pozastaví alebo zruší a informuje o tom ostatné členské štáty a Komisiu.

2. Po náprave narušenia alebo skompromitovania uvedeného v odseku 1 oznamujúci členský štát cezhraničnú autentifikáciu opätovne zavedie a bez zbytočného odkladu o tom informuje ostatné členské štáty a Komisiu.

3. Ak sa narušenie alebo skompromitovanie uvedené v odseku 1 neodstráni v lehote troch mesiacov od pozastavenia alebo zrušenia, oznamujúci členský štát informuje ostatné členské štáty a Komisiu o stiahnutí schémy elektronickej identifikácie.

Komisia bez zbytočného odkladu uverejní zodpovedajúce zmeny v zozname uvedenom v článku 9 ods. 2 v Úradnom vestníku Európskej únie.

Článok 12

Spolupráca a interoperabilita

1. Vnútroštátne schémy elektronickej identifikácie oznámené podľa článku 9 ods. 1 sú interoperabilné.

2. Na účely odseku 1 sa zavádza rámec interoperability.

3. Rámec interoperability musí spĺňať tieto kritériá:

a)	jeho cieľom je technologická neutralita a neznevýhodňuje žiadne konkrétne vnútroštátne technické riešenie elektronickej identifikácie v rámci členského štátu;

b)	podľa možností je v súlade s európskymi a medzinárodnými normami;

c)	uľahčuje uplatňovanie zásady ochrany súkromia už v štádiu návrhu a

d)	zabezpečuje sa ním, že osobné údaje sa spracúvajú v súlade so smernicou 95/46/ES.

4. Súčasťou rámca interoperability je:

a)	odkaz na minimálne technické požiadavky týkajúce sa úrovní zabezpečenia podľa článku 8;

b)	mapovanie vnútroštátnych úrovní zabezpečenia oznámených schém elektronickej identifikácie na úrovne zabezpečenia podľa článku 8;

c)	odkaz na minimálne technické požiadavky týkajúce sa interoperability;

d)	odkaz na minimálny súbor osobných identifikačných údajov reprezentujúcich jedinečným spôsobom fyzickú alebo právnickú osobu, ktoré sú dostupné v schémach elektronickej identifikácie;

e)	procedurálne predpisy;

f)	mechanizmus urovnávania sporov a

g)	spoločné normy prevádzkovej bezpečnosti.

5. Členské štáty spolupracujú, pokiaľ ide:

a)	o interoperabilitu schém elektronickej identifikácie oznámených podľa článku 9 ods. 1 a schém elektronickej identifikácie, ktoré členské štáty zamýšľajú oznámiť, a

b)	o bezpečnosť schém elektronickej identifikácie.

6. Spolupráca medzi členskými štátmi spočíva:

a)	vo výmene informácií, skúseností a osvedčených postupov, pokiaľ ide o schémy elektronickej identifikácie, a najmä technické požiadavky týkajúce sa interoperability a úrovní zabezpečenia;

b)	vo výmene informácií, skúseností a osvedčených postupov, pokiaľ ide o prácu s úrovňami zabezpečenia schém elektronickej identifikácie podľa článku 8;

c)	v partnerskom preskúmaní schém elektronickej identifikácie, na ktoré sa vzťahuje toto nariadenie, a

d)	v skúmaní príslušného vývoja v oblasti elektronickej identifikácie.

7. Komisia do 18. marca 2015 prostredníctvom vykonávacích aktov stanoví dojednania o postupoch potrebné na uľahčenie spolupráce medzi členskými štátmi uvedenej v odsekoch 5 a 6 s cieľom podporiť vysokú úroveň dôvery a bezpečnosti primeranú stupňu rizika.

8. Komisia na účely stanovenia jednotných podmienok vykonávania požiadavky podľa odseku 1, za splnenia kritérií stanovených v odseku 3 a zohľadňujúc výsledky spolupráce medzi členskými štátmi, prijme do 18. septembra 2015 vykonávacie akty o rámci interoperability, ako je stanovené v odseku 4.

9. Vykonávacie akty uvedené v odsekoch 7 a 8 tohto článku sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

KAPITOLA III

DÔVERYHODNÉ SLUŽBY

ODDIEL 1

Všeobecné ustanovenia

Článok 17

Orgán dohľadu

1. Členské štáty určia orgán dohľadu usadený na ich území alebo po vzájomnej dohode s iným členským štátom orgán dohľadu usadený v danom inom členskom štáte. Tento orgán je zodpovedný za úlohy dohľadu v určujúcom členskom štáte.

Orgánom dohľadu sa poskytnú potrebné právomoci a primerané zdroje na výkon ich úloh.

2. Členské štáty oznámia Komisii názvy a adresy svojich určených orgánov dohľadu.

3. Orgán dohľadu plní túto úlohu:

dohliada na kvalifikovaných poskytovateľov dôveryhodných služieb usadených na území určujúceho členského štátu s cieľom zaručiť prostredníctvom dohľadu ex ante a ex post, aby títo kvalifikovaní poskytovatelia dôveryhodných služieb a kvalifikované dôveryhodné služby, ktoré poskytujú, spĺňali požiadavky stanovené v tomto nariadení;

podľa potreby koná prostredníctvom dohľadu ex post vo vzťahu k nekvalifikovaným poskytovateľom dôveryhodných služieb usadeným na území určujúceho členského štátu, ak má informácie, že títo nekvalifikovaní poskytovatelia dôveryhodných služieb alebo dôveryhodné služby, ktoré poskytujú, údajne nespĺňajú požiadavky stanovené v tomto nariadení.

4. Na účely odseku 3 a s výhradou obmedzení, ktoré sú v ňom ustanovené, medzi úlohy orgánu dohľadu patrí najmä:

a)	spolupracovať s ostatnými orgánmi dohľadu a poskytovať im pomoc v súlade s článkom 18;

b)	analyzovať správy o posudzovaní zhody uvedené v článku 20 ods. 1 a článku 21 ods. 1;

c)	informovať ostatné orgány dohľadu a verejnosť o narušení bezpečnosti alebo integrity v súlade s článkom 19 ods. 2;

d)	podávať Komisii správy o svojich hlavných činnostiach v súlade s odsekom 6 tohto článku;

e)	vykonávať audity alebo žiadať orgán posudzovania zhody o posúdenie zhody týkajúce sa kvalifikovaných poskytovateľov dôveryhodných služieb v súlade s článkom 20 ods. 2;

f)	spolupracovať s orgánmi pre ochranu osobných údajov a najmä ich bez zbytočného odkladu informovať o výsledkoch auditov kvalifikovaných poskytovateľov dôveryhodných služieb v prípade podozrenia z porušenia predpisov o ochrane osobných údajov;

g)	udeľovať poskytovateľom dôveryhodných služieb a službám, ktoré poskytujú, kvalifikovaný štatút a odnímať ho v súlade s článkami 20 a 21;

h)	informovať orgán zodpovedný za národný dôveryhodný zoznam uvedený v článku 22 ods. 3 o svojich rozhodnutiach týkajúcich sa udeľovania alebo odnímania kvalifikovaného štatútu, pokiaľ tento orgán nie je aj orgánom dohľadu;

i)	overovať existenciu a správne uplatňovanie ustanovení o plánoch ukončenia činnosti v prípade, že kvalifikovaný poskytovateľ dôveryhodných služieb prestane vykonávať svoju činnosť, a to aj pokiaľ ide o spôsob, ako zachovať prístupnosť informácií v súlade s článkom 24 ods. 2 písm. h);

j)	vyžadovať, aby poskytovatelia dôveryhodných služieb napravili akékoľvek nesplnenie požiadaviek stanovených v tomto nariadení.

5. Členské štáty môžu vyžadovať, aby orgán dohľadu zriadil, udržiaval a aktualizoval dôveryhodnú infraštruktúru v súlade s podmienkami podľa vnútroštátneho práva.

6. Všetky orgány dohľadu každoročne do 31. marca predložia Komisii správu o svojich hlavných činnostiach za predchádzajúci kalendárny rok spolu so súhrnom oznámení o narušeniach, ktoré dostali od poskytovateľov dôveryhodných služieb v súlade s článkom 19 ods. 2.

7. Komisia sprístupní výročnú správu uvedenú v odseku 6 členským štátom.

8. Komisia môže prostredníctvom vykonávacích aktov vymedziť formáty a postupy týkajúce sa správy uvedenej v odseku 6. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

Článok 19

Bezpečnostné požiadavky uplatniteľné na poskytovateľov dôveryhodných služieb

1. Kvalifikovaní a nekvalifikovaní poskytovatelia dôveryhodných služieb prijmú vhodné technické a organizačné opatrenia na riadenie rizík ohrozujúcich bezpečnosť dôveryhodných služieb, ktoré poskytujú. So zreteľom na najnovší technologický vývoj sa uvedenými opatreniami musí zaistiť úroveň bezpečnosti primeraná stupňu rizika. Prijmú sa najmä opatrenia na prevenciu a minimalizáciu vplyvu bezpečnostných incidentov a na oznámenie nepriaznivých účinkov všetkých takýchto incidentov zainteresovaným stranám.

2. Kvalifikovaní a nekvalifikovaní poskytovatelia dôveryhodných služieb bez zbytočného odkladu, najneskôr však do 24 hodín, odkedy sa dozvedeli o akomkoľvek narušení bezpečnosti alebo integrity s významným vplyvom na poskytovanú dôveryhodnú službu alebo osobné údaje uchovávané v rámci nej, oznámia túto skutočnosť orgánu dohľadu a prípadne iným príslušným orgánom, ako je napríklad vnútroštátny orgán zodpovedný za informačnú bezpečnosť alebo orgán pre ochranu údajov.

Ak môže narušenie bezpečnosti alebo integrity negatívne ovplyvniť fyzickú alebo právnickú osobu, ktorej sa dôveryhodná služba poskytovala, poskytovateľ dôveryhodných služieb bez zbytočného odkladu oznámi narušenie bezpečnosti alebo integrity aj tejto fyzickej či právnickej osobe.

Ak je to vhodné, a najmä keď sa narušenie bezpečnosti alebo integrity týka dvoch alebo viacerých členských štátov, informovaný orgán dohľadu o veci informuje orgány dohľadu v ostatných dotknutých členských štátoch a agentúru ENISA.

Ak informovaný orgán dohľadu usúdi, že zverejnenie narušenia bezpečnosti alebo integrity je vo verejnom záujme, informuje o ňom verejnosť, alebo o to požiada poskytovateľa dôveryhodných služieb.

3. Orgán dohľadu poskytuje agentúre ENISA raz ročne súhrn oznámení o narušeniach bezpečnosti a integrity, ktoré mu oznámili poskytovatelia dôveryhodných služieb.

4. Komisia môže prostredníctvom vykonávacích aktov:

a)	ďalej špecifikovať opatrenia uvedené v odseku 1 a

b)	vymedziť formáty a postupy vrátane lehôt uplatniteľné na účely odseku 2.

Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

ODDIEL 3

Kvalifikované dôveryhodné služby

Článok 24

Požiadavky na kvalifikovaných poskytovateľov dôveryhodných služieb

1. Kvalifikovaný poskytovateľ dôveryhodných služieb pri vydávaní kvalifikovaného certifikátu pre dôveryhodnú službu vhodnými prostriedkami a v súlade s vnútroštátnym právom overuje totožnosť a prípadne akékoľvek osobitné atribúty fyzickej alebo právnickej osoby, ktorej vydáva kvalifikovaný certifikát.

Informácie uvedené v prvom pododseku overuje kvalifikovaný poskytovateľ dôveryhodných služieb buď priamo, alebo prostredníctvom spoľahnutia sa na tretiu stranu v súlade s vnútroštátnym právom:

a)	na základe fyzickej prítomnosti fyzickej osoby alebo splnomocneného zástupcu právnickej osoby, alebo

na diaľku prostredníctvom prostriedkov elektronickej identifikácie, pre ktoré sa pred vydaním kvalifikovaného certifikátu zabezpečila fyzická prítomnosť fyzickej osoby alebo splnomocneného zástupcu právnickej osoby a ktoré spĺňajú požiadavky stanovené v článku 8, pokiaľ ide o úroveň zabezpečenia „pokročilá“ alebo „vysoká“, alebo

c)	prostredníctvom certifikátu pre kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať vydaného v súlade s písmenom a) alebo b), alebo

d)	prostredníctvom použitia iných metód identifikácie uznávaných na vnútroštátnej úrovni, ktorými sa poskytuje rovnocenné zabezpečenie, pokiaľ ide o spoľahlivosť, ako pri fyzickej prítomnosti. Rovnocenné zabezpečenie potvrdzuje orgán posudzovania zhody.

2. Kvalifikovaný poskytovateľ dôveryhodných služieb, ktorý poskytuje kvalifikované dôveryhodné služby:

a)	informuje orgán dohľadu o všetkých zmenách pri poskytovaní svojich kvalifikovaných dôveryhodných služieb a o zámere ukončiť tieto činnosti;

zamestnáva personál a prípadne subdodávateľov s potrebnou odbornosťou, spoľahlivosťou, skúsenosťami, kvalifikáciou a vhodnou odbornou prípravou týkajúcou sa predpisov v oblasti bezpečnosti a ochrany osobných údajov a uplatňuje administratívne a riadiace postupy, ktoré zodpovedajú európskym alebo medzinárodným normám;

c)	v súvislosti s rizikom zodpovednosti za škodu v súlade s článkom 13 udržiava postačujúce finančné prostriedky a/alebo uzatvára vhodné poistenie zodpovednosti za škodu v súlade s vnútroštátnym právom;

d)	pred uzavretím zmluvného vzťahu jednoznačne a vyčerpávajúco informuje každú osobu, ktorá chce využívať kvalifikovanú dôveryhodnú službu, o presných podmienkach využívania tejto služby vrátane obmedzení jej využívania;

e)	používa dôveryhodné systémy a produkty chránené proti pozmeneniu a zabezpečí technickú bezpečnosť a spoľahlivosť procesov, ktoré podporujú;

používa dôveryhodné systémy na uchovávanie jemu poskytnutých údajov v overiteľnej forme tak, aby:

i)	údaje boli verejne prístupné na vyhľadanie iba po získaní súhlasu osoby, ktorej sa týkajú;

ii)	údaje mohli zadávať a uchovávané údaje meniť iba oprávnené osoby;

iii)	údaje bolo možné skontrolovať z hľadiska ich pravosti;

g)	prijíma vhodné opatrenia proti falšovaniu a krádeži údajov;

zaznamenáva a po primeranú dobu, a to aj po ukončení činností kvalifikovaného poskytovateľa dôveryhodných služieb, uchováva prístupné všetky relevantné informácie týkajúce sa údajov, ktoré kvalifikovaný poskytovateľ dôveryhodných služieb vydal a prijal, najmä na účely predloženia dôkazov v súdnom konaní a na účely zabezpečenia kontinuity služby. Takéto zaznamenávanie sa môže vykonať elektronicky;

i)	má aktualizovaný plán ukončenia činností na zabezpečenie kontinuity služby v súlade s ustanoveniami overenými orgánom dohľadu podľa článku 17 ods. 4 písm. i);

j)	zabezpečí spracúvanie osobných údajov v súlade s právnymi predpismi podľa smernice 95/46/ES;

k)	v prípade kvalifikovaných poskytovateľov dôveryhodných služieb, ktorí vydávajú kvalifikované certifikáty, zriaďuje a aktualizuje databázu certifikátov.

3. Ak sa kvalifikovaný poskytovateľ dôveryhodných služieb vydávajúci kvalifikované certifikáty rozhodne certifikát zrušiť, zaznamená takéto zrušenie vo svojej databáze certifikátov a štatút zrušenia certifikátu uverejní čo najskôr, a v každom prípade do 24 hodín od doručenia žiadosti. Zrušenie je účinné ihneď po jeho uverejnení.

4. Pokiaľ ide o odsek 3, kvalifikovaní poskytovatelia dôveryhodných služieb, ktorí vydávajú kvalifikované certifikáty, každej spoliehajúcej sa strane poskytnú informácie o štatúte platnosti alebo zrušenia kvalifikovaných certifikátov, ktoré vydali. Tieto informácie sa poskytujú aspoň, pokiaľ ide o jednotlivé certifikáty, kedykoľvek, a to aj po uplynutí doby platnosti certifikátu, automatizovaným spôsobom, ktorý je spoľahlivý, bezplatný a efektívny.

5. Komisia môže prostredníctvom vykonávacích aktov určiť referenčné čísla noriem pre dôveryhodné systémy a produkty, ktoré sú v súlade s požiadavkami podľa odseku 2 písm. e) a f) tohto článku. Ak dôveryhodné systémy a produkty spĺňajú uvedené normy, má sa za to, že sú v súlade s požiadavkami stanovenými v tomto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

ODDIEL 4

Elektronické podpisy

Článok 27

Elektronické podpisy vo verejných službách

1. Ak členský štát na využívanie služby online, ktorú ponúka subjekt verejného sektora alebo ktorá sa ponúka v jeho mene, vyžaduje zdokonalený elektronický podpis, uznáva tento členský štát zdokonalené elektronické podpisy, zdokonalené elektronické podpisy založené na kvalifikovanom certifikáte pre elektronické podpisy a kvalifikované elektronické podpisy, a to aspoň tie, ktoré sú vo formátoch alebo ktoré používajú metódy vymedzené vo vykonávacích aktoch uvedených v odseku 5.

2. Ak členský štát na využívanie služby online, ktorú ponúka subjekt verejného sektora alebo ktorá sa ponúka v jeho mene, vyžaduje zdokonalený elektronický podpis založený na kvalifikovanom certifikáte, uznáva tento členský štát zdokonalené elektronické podpisy založené na kvalifikovanom certifikáte a kvalifikované elektronické podpisy, a to aspoň tie, ktoré sú vo formátoch alebo ktoré používajú metódy vymedzené vo vykonávacích aktoch uvedených v odseku 5.

3. Členské štáty nesmú vyžadovať na cezhraničné využívanie služby online, ktorú ponúka subjekt verejného sektora, elektronický podpis vyššej úrovne bezpečnosti ako kvalifikovaný elektronický podpis.

4. Komisia môže prostredníctvom vykonávacích aktov určiť referenčné čísla noriem pre zdokonalené elektronické podpisy. Ak zdokonalený elektronický podpis spĺňa uvedené normy, má sa za to, že je v súlade s požiadavkami na zdokonalené elektronické podpisy uvedenými v odsekoch 1 a 2 tohto článku a v článku 26. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

5. Komisia do 18. septembra 2015 prostredníctvom vykonávacích aktov vymedzí referenčné formáty zdokonalených elektronických podpisov alebo referenčné metódy pre prípady, keď sa používajú alternatívne formáty, pričom zohľadní existujúcu prax, normy a právne akty Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

Článok 30

Certifikácia kvalifikovaných zariadení na vyhotovenie elektronických podpisov

1. Zhodu kvalifikovaných zariadení na vyhotovenie elektronických podpisov s požiadavkami stanovenými v prílohe II certifikujú príslušné verejné alebo súkromné subjekty určené členskými štátmi.

2. Členské štáty oznámia Komisii názvy a adresy verejných alebo súkromných subjektov, ktoré sú uvedené v odseku 1. Komisia sprístupní tieto informácie členským štátom.

3. Certifikácia uvedená v odseku 1 je založená na:

a)	procese hodnotenia bezpečnosti, ktorý sa vykoná v súlade s niektorou z noriem posudzovania bezpečnosti produktov informačných technológií zaradených do zoznamu vypracovaného v súlade s druhým pododsekom, alebo

inom procese ako procese uvedenom v písmene a), ak sa v rámci neho používajú porovnateľné úrovne bezpečnosti a ak verejný alebo súkromný subjekt uvedený v odseku 1 tento proces oznámi Komisii. Tento proces možno použiť, len ak neexistujú normy uvedené v písmene a) alebo ak prebieha proces hodnotenia bezpečnosti uvedený v písmene a).

Komisia prostredníctvom vykonávacích aktov vypracuje zoznam noriem posudzovania bezpečnosti produktov informačných technológií uvedený v písmene a). Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

4. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 47, pokiaľ ide o stanovenie osobitných kritérií, ktoré musia splniť určené subjekty uvedené v odseku 1 tohto článku.

Článok 37

Elektronické pečate vo verejných službách

1. Ak členský štát na využívanie služby online, ktorú ponúka subjekt verejného sektora alebo ktorá sa ponúka v mene tohto subjektu, vyžaduje zdokonalenú elektronickú pečať, uznáva tento členský štát zdokonalené elektronické pečate, zdokonalené elektronické pečate založené na kvalifikovanom certifikáte pre elektronické pečate a kvalifikované elektronické pečate, a to aspoň tie, ktoré sú vo formátoch alebo ktoré používajú metódy vymedzené vo vykonávacích aktoch uvedených v odseku 5.

2. Ak členský štát na využívanie služby online, ktorú ponúka subjekt verejného sektora alebo ktorá sa ponúka v mene tohto subjektu, vyžaduje zdokonalenú elektronickú pečať založenú na kvalifikovanom certifikáte, uznáva tento členský štát zdokonalené elektronické pečate založené na kvalifikovanom certifikáte a kvalifikované elektronické pečate, a to aspoň tie, ktoré sú vo formátoch alebo ktoré používajú metódy vymedzené vo vykonávacích aktoch uvedených v odseku 5.

3. Členské štáty nesmú vyžadovať na cezhraničné využívanie služby online, ktorú ponúka subjekt verejného sektora, elektronickú pečať vyššej úrovne bezpečnosti ako kvalifikovaná elektronická pečať.

4. Komisia môže prostredníctvom vykonávacích aktov určiť referenčné čísla noriem pre zdokonalené elektronické pečate. Ak zdokonalená elektronická pečať spĺňa uvedené normy, má sa za to, že je v súlade s požiadavkami na zdokonalené elektronické pečate uvedenými v odsekoch 1 a 2 tohto článku a v článku 36. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

5. Komisia do 18. septembra 2015 vymedzí prostredníctvom vykonávacích aktov referenčné formáty zdokonalených elektronických pečatí alebo referenčné metódy pre prípady, keď sa používajú alternatívne formáty, pričom zohľadní existujúcu prax, normy a právne akty Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

whereas

(7) Európsky parlament vo svojom uznesení z 21.
septembra 2010 o dobudovaní vnútorného trhu v oblasti elektronického obchodu (4) zdôraznil význam bezpečnosti elektronických služieb, najmä elektronických podpisov, a potreby vytvoriť infraštruktúru verejných kľúčov na celoeurópskej úrovni, pričom vyzval Komisiu, aby vytvorila portál európskych orgánov overovania platnosti s cieľom zabezpečiť cezhraničnú interoperabilitu elektronických podpisov a zvýšiť bezpečnosť transakcií realizovaných prostredníctvom internetu.

- = -

(11) Toto nariadenie by sa malo uplatňovať v úplnom súlade so zásadami týkajúcimi sa ochrany osobných údajov ustanovenými v smernici Európskeho parlamentu a Rady 95/46/ES (7).
Z tohto hľadiska a so zreteľom na zásadu vzájomného uznávania ustanovenú v tomto nariadení by sa autentifikácia služby online mala týkať len spracúvania tých identifikačných údajov, ktoré sú primerané, relevantné a nie sú nadbytočné na účely poskytnutia prístupu k danej službe online.
Okrem toho by poskytovatelia dôveryhodných služieb a orgány dohľadu mali rešpektovať požiadavky smernice 95/46/ES, ktoré sa týkajú dôvernosti a bezpečnosti spracovania údajov.

- = -

(20) Spolupráca členských štátov by mala uľahčovať technickú interoperabilitu oznámených schém elektronickej identifikácie s cieľom podporiť vysokú mieru dôvery a bezpečnosti, primeranú stupňu rizika.
Takejto spolupráci by mala pomáhať výmena informácií a najlepších postupov medzi členskými štátmi s cieľom zabezpečiť vzájomné uznávanie.

- = -

(28) S cieľom posilniť najmä dôveru malých a stredných podnikov (ďalej len „MSP“) a spotrebiteľov vo vnútorný trh a podporiť používanie dôveryhodných služieb a produktov by sa mali zaviesť pojmy kvalifikované dôveryhodné služby a kvalifikovaný poskytovateľ dôveryhodných služieb na účel uvedenia požiadaviek a povinností, ktoré zabezpečia vysokú úroveň bezpečnosti akýchkoľvek používaných alebo poskytovaných kvalifikovaných dôveryhodných služieb a produktov.

- = -

(31) Orgány dohľadu by mali spolupracovať s orgánmi na ochranu osobných údajov, napríklad prostredníctvom ich informovania o výsledkoch auditov kvalifikovaných poskytovateľov dôveryhodných služieb v prípade podozrenia z porušenia predpisov o ochrane osobných údajov.
Poskytovanie informácií by sa malo vzťahovať najmä na bezpečnostné incidenty a narušenia bezpečnosti osobných údajov.

- = -

(34) Všetky členské štáty by mali dodržiavať spoločné základné požiadavky v oblasti dohľadu s cieľom zabezpečiť porovnateľnú úroveň bezpečnosti kvalifikovaných dôveryhodných služieb.
S cieľom uľahčiť konzistentné uplatňovanie týchto požiadaviek v celej Únii by členské štáty mali prijať porovnateľné postupy a mali by si vymieňať informácie o svojich činnostiach dohľadu a najlepších postupoch v tejto oblasti.

- = -

(35) Požiadavky tohto nariadenia, najmä požiadavky týkajúce sa bezpečnosti a povinnosti zaistiť náležitú starostlivosť, transparentnosť a zodpovednosť za svoje operácie a služby by sa mali vzťahovať na všetkých poskytovateľov dôveryhodných služieb.
Vzhľadom na druh služieb, ktoré poskytujú poskytovatelia dôveryhodných služieb, je v súvislosti s týmito požiadavkami vhodné rozlišovať medzi kvalifikovanými a nekvalifikovanými poskytovateľmi dôveryhodných služieb.

- = -

(38) Oznamovanie narušení bezpečnosti a posúdení bezpečnostných rizík je zásadné pre poskytnutie primeraných informácií zúčastneným stranám v prípade narušenia bezpečnosti alebo integrity.

- = -

(44) Cieľom tohto nariadenia je zabezpečiť koherentný rámec so zámerom poskytnúť vysokú úroveň bezpečnosti a právnej istoty pri dôveryhodných službách.
Z tohto hľadiska by sa Komisia pri riešení posudzovania zhody produktov a služieb mala v relevantných prípadoch usilovať o synergie s existujúcimi príslušnými európskymi a medzinárodnými schémami, ako napríklad nariadením Európskeho parlamentu a Rady (ES) č. 765/2008 (9), ktorým sa stanovujú požiadavky akreditácie orgánov posudzovania zhody a dohľadu nad trhom s výrobkami.

- = -

(48) Hoci na zabezpečenie vzájomného uznávania elektronických podpisov v osobitných prípadoch, ako napríklad v kontexte rozhodnutia Komisie 2009/767/ES (10), je potrebná vysoká úroveň bezpečnosti, mali by sa akceptovať aj elektronické podpisy s nižšou zárukou bezpečnosti.

- = -

(55) Dôležitým nástrojom overovania bezpečnosti kvalifikovaných zariadení na vyhotovenie elektronických podpisov je bezpečnostná certifikácia IT založená na medzinárodných normách, ako napríklad norma ISO 15408 a súvisiace metódy hodnotenia a pravidlá v oblasti vzájomného uznávania, a mala by sa podporovať.
Inovatívne riešenia a služby, ako napríklad podpisovanie cez mobilné zariadenia a cloud, však spočívajú na technických a organizačných riešeniach pre kvalifikované zariadenia na vyhotovenie elektronických podpisov, pre ktoré ešte nemusia byť bezpečnostné normy k dispozícii alebo pri ktorých prebieha prvá bezpečnostná certifikácia IT. Úroveň bezpečnosti takýchto kvalifikovaných zariadení na vyhotovenie elektronických podpisov by sa mohla hodnotiť prostredníctvom používania alternatívnych procesov len vtedy, ak takéto bezpečnostné normy nie sú k dispozícii, alebo ak prebieha prvá bezpečnostná certifikácia IT.
Uvedené procesy by mali byť v prípade ich rovnocenných úrovní bezpečnosti porovnateľné s normami bezpečnostnej certifikácie IT.
Uvedené procesy by sa mohli uľahčiť prostredníctvom partnerského preskúmania.

- = -

(62) Na zaistenie bezpečnosti kvalifikovaných elektronických časových pečiatok by sa týmto nariadením malo vyžadovať používanie zdokonalenej elektronickej pečate alebo zdokonaleného elektronického podpisu, alebo iných rovnocenných metód.
Predpokladá sa, že inovácia môže viesť k novým technológiám, ktoré môžu zaistiť rovnocennú úroveň bezpečnosti časových pečiatok.
Ak sa použije iná metóda ako zdokonalená elektronická pečať alebo zdokonalený elektronický podpis, kvalifikovaný poskytovateľ dôveryhodných služieb by mal v súlade s posúdením zhody preukázať, že táto metóda zaručuje rovnocennú úroveň bezpečnosti a je v súlade s povinnosťami stanovenými v tomto nariadení.

- = -

(67) Služby autentifikácie webových sídiel umožňujú návštevníkom, aby sa uistili, že za daným webovým sídlom stojí skutočný a legitímny subjekt.
Uvedené služby prispievajú k budovaniu dôvery a istoty v súvislosti s podnikaním online, keďže používatelia budú dôverovať autentifikovanému webovému sídlu.
Poskytovanie a využívanie služieb autentifikácie webových sídiel je úplne dobrovoľné.
Aby sa však autentifikácia webových sídiel stala prostriedkom na zvyšovanie dôvery, poskytovanie lepšej skúsenosti pre používateľa a podporu rastu na vnútornom trhu, mali by sa v tomto nariadení ustanoviť minimálne povinnosti týkajúce sa bezpečnosti a zodpovednosti poskytovateľov a ich služieb.
Na tento účel sa zohľadnili výsledky existujúcich iniciatív vedených príslušným odvetvím, napríklad Certification Authorities/Browsers Forum – CA/B Forum.
Okrem toho by toto nariadenie nemalo byť prekážkou pri využívaní iných prostriedkov alebo metód autentifikácie webových sídiel, ktoré nepatria do jeho rozsahu pôsobnosti, ani by sa ním nemalo brániť poskytovateľom služieb autentifikácie webových sídiel z tretích krajín, aby svoje služby poskytovali zákazníkom z Únie.
Poskytovateľovi z tretej krajiny by sa však jeho služby autentifikácie webových sídiel mohli podľa tohto nariadenia uznať za kvalifikované len v prípade, ak sa uzavrela medzinárodná dohoda medzi Úniou a krajinou, v ktorej je tento poskytovateľ usadený.

- = -

(72) Pri prijímaní delegovaných alebo vykonávacích aktov by Komisia mala náležite zohľadňovať normy a technické špecifikácie vypracované európskymi a medzinárodnými normalizačnými organizáciami a subjektmi, a to najmä Európskym výborom pre normalizáciu (CEN), Európskym inštitútom pre telekomunikačné normy (ETSI), Medzinárodnou organizáciou pre normalizáciu (ISO) a Medzinárodnou telekomunikačnou úniou (ITU), aby sa zaistila vysoká úroveň bezpečnosti a interoperability pri elektronickej identifikácii a dôveryhodných službách.

- = -

keyboard_tab EIDAS 2014/0910 SK

EIDAS 2014/0910 SK