keyboard_tab EIDAS 2014/0910 SK

whereas boli:

• whereas (47) 1
• whereas (68) 1

definitions:

Článok 2

Rozsah pôsobnosti

1.   Toto nariadenie sa vzťahuje na schémy elektronickej identifikácie, ktoré boli oznámené členskými štátmi a na poskytovateľov dôveryhodných služieb, ktorí sú usadení v Únii.

2.   Toto nariadenie sa nevzťahuje na poskytovanie dôveryhodných služieb, ktoré sa používajú výhradne v uzavretých systémoch na základe vnútroštátneho práva alebo dohôd medzi vymedzenou skupinou účastníkov.

3.   Toto nariadenie nemá vplyv na vnútroštátne právo ani právo Únie súvisiace s uzatváraním a platnosťou zmlúv alebo iných právnych či procesných záväzkov týkajúcich sa formy.

Článok 20

Dohľad nad kvalifikovanými poskytovateľmi dôveryhodných služieb

1.   Orgán posudzovania zhody vykonáva aspoň každých 24 mesiacov audity kvalifikovaných poskytovateľov dôveryhodných služieb na ich vlastné náklady. Účelom auditu je potvrdiť, že kvalifikovaní poskytovatelia dôveryhodných služieb a kvalifikované dôveryhodné služby, ktoré poskytujú, spĺňajú požiadavky stanovené v tomto nariadení. Kvalifikovaní poskytovatelia dôveryhodných služieb predložia výslednú správu o posúdení zhody orgánu dohľadu v lehote troch pracovných dní od jej doručenia.

2.   Bez toho, aby bol dotknutý odsek 1, môže orgán dohľadu kedykoľvek vykonať audit kvalifikovaných poskytovateľov dôveryhodných služieb alebo požiadať orgán posudzovania zhody, aby vykonal posúdenie zhody týkajúce sa kvalifikovaných poskytovateľov dôveryhodných služieb, a to na náklady týchto poskytovateľov dôveryhodných služieb, s cieľom potvrdiť, že títo poskytovatelia a kvalifikované dôveryhodné služby, ktoré poskytujú, spĺňajú požiadavky stanovené v tomto nariadení. Ak sa zdá, že boli porušené predpisy týkajúce sa ochrany osobných údajov, orgán dohľadu informuje o výsledkoch svojho auditu orgány pre ochranu údajov.

3.   Ak orgán dohľadu vyžaduje od kvalifikovaného poskytovateľa dôveryhodných služieb nápravu akéhokoľvek nesplnenia požiadaviek podľa tohto nariadenia a ak tento poskytovateľ tak neurobí a ani počas prípadnej lehoty stanovenej orgánom dohľadu, orgán dohľadu pri zohľadnení najmä rozsahu, trvania a následkov takéhoto nesplnenia môže tomuto poskytovateľovi alebo dotknutej službe, ktorú poskytuje, odňať kvalifikovaný štatút a informovať o tom orgán uvedený v článku 22 ods. 3 na účely aktualizácie dôveryhodných zoznamov uvedených v článku 22 ods. 1. Orgán dohľadu informuje kvalifikovaného poskytovateľa dôveryhodných služieb o odňatí jeho kvalifikovaného štatútu alebo kvalifikovaného štatútu dotknutej služby.

4.   Komisia môže prostredníctvom vykonávacích aktov stanoviť referenčné číslo týchto noriem:

a)	akreditácia orgánov posudzovania zhody a správa o posúdení zhody uvedená v odseku 1;

b)	pravidlá auditu, podľa ktorých orgány posudzovania zhody budú vykonávať posudzovanie zhody kvalifikovaných poskytovateľov dôveryhodných služieb podľa odseku 1.

Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

Článok 24

Požiadavky na kvalifikovaných poskytovateľov dôveryhodných služieb

1.   Kvalifikovaný poskytovateľ dôveryhodných služieb pri vydávaní kvalifikovaného certifikátu pre dôveryhodnú službu vhodnými prostriedkami a v súlade s vnútroštátnym právom overuje totožnosť a prípadne akékoľvek osobitné atribúty fyzickej alebo právnickej osoby, ktorej vydáva kvalifikovaný certifikát.

Informácie uvedené v prvom pododseku overuje kvalifikovaný poskytovateľ dôveryhodných služieb buď priamo, alebo prostredníctvom spoľahnutia sa na tretiu stranu v súlade s vnútroštátnym právom:

a)	na základe fyzickej prítomnosti fyzickej osoby alebo splnomocneného zástupcu právnickej osoby, alebo

b)

na diaľku prostredníctvom prostriedkov elektronickej identifikácie, pre ktoré sa pred vydaním kvalifikovaného certifikátu zabezpečila fyzická prítomnosť fyzickej osoby alebo splnomocneného zástupcu právnickej osoby a ktoré spĺňajú požiadavky stanovené v článku 8, pokiaľ ide o úroveň zabezpečenia „pokročilá“ alebo „vysoká“, alebo

c)	prostredníctvom certifikátu pre kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať vydaného v súlade s písmenom a) alebo b), alebo

d)	prostredníctvom použitia iných metód identifikácie uznávaných na vnútroštátnej úrovni, ktorými sa poskytuje rovnocenné zabezpečenie, pokiaľ ide o spoľahlivosť, ako pri fyzickej prítomnosti. Rovnocenné zabezpečenie potvrdzuje orgán posudzovania zhody.

2.   Kvalifikovaný poskytovateľ dôveryhodných služieb, ktorý poskytuje kvalifikované dôveryhodné služby:

a)	informuje orgán dohľadu o všetkých zmenách pri poskytovaní svojich kvalifikovaných dôveryhodných služieb a o zámere ukončiť tieto činnosti;

b)

zamestnáva personál a prípadne subdodávateľov s potrebnou odbornosťou, spoľahlivosťou, skúsenosťami, kvalifikáciou a vhodnou odbornou prípravou týkajúcou sa predpisov v oblasti bezpečnosti a ochrany osobných údajov a uplatňuje administratívne a riadiace postupy, ktoré zodpovedajú európskym alebo medzinárodným normám;

c)	v súvislosti s rizikom zodpovednosti za škodu v súlade s článkom 13 udržiava postačujúce finančné prostriedky a/alebo uzatvára vhodné poistenie zodpovednosti za škodu v súlade s vnútroštátnym právom;

d)	pred uzavretím zmluvného vzťahu jednoznačne a vyčerpávajúco informuje každú osobu, ktorá chce využívať kvalifikovanú dôveryhodnú službu, o presných podmienkach využívania tejto služby vrátane obmedzení jej využívania;

e)	používa dôveryhodné systémy a produkty chránené proti pozmeneniu a zabezpečí technickú bezpečnosť a spoľahlivosť procesov, ktoré podporujú;

f)

používa dôveryhodné systémy na uchovávanie jemu poskytnutých údajov v overiteľnej forme tak, aby: i) údaje boli verejne prístupné na vyhľadanie iba po získaní súhlasu osoby, ktorej sa týkajú; ii) údaje mohli zadávať a uchovávané údaje meniť iba oprávnené osoby; iii) údaje bolo možné skontrolovať z hľadiska ich pravosti;

g)	prijíma vhodné opatrenia proti falšovaniu a krádeži údajov;

h)

zaznamenáva a po primeranú dobu, a to aj po ukončení činností kvalifikovaného poskytovateľa dôveryhodných služieb, uchováva prístupné všetky relevantné informácie týkajúce sa údajov, ktoré kvalifikovaný poskytovateľ dôveryhodných služieb vydal a prijal, najmä na účely predloženia dôkazov v súdnom konaní a na účely zabezpečenia kontinuity služby. Takéto zaznamenávanie sa môže vykonať elektronicky;

i)	má aktualizovaný plán ukončenia činností na zabezpečenie kontinuity služby v súlade s ustanoveniami overenými orgánom dohľadu podľa článku 17 ods. 4 písm. i);

j)	zabezpečí spracúvanie osobných údajov v súlade s právnymi predpismi podľa smernice 95/46/ES;

k)	v prípade kvalifikovaných poskytovateľov dôveryhodných služieb, ktorí vydávajú kvalifikované certifikáty, zriaďuje a aktualizuje databázu certifikátov.

3.   Ak sa kvalifikovaný poskytovateľ dôveryhodných služieb vydávajúci kvalifikované certifikáty rozhodne certifikát zrušiť, zaznamená takéto zrušenie vo svojej databáze certifikátov a štatút zrušenia certifikátu uverejní čo najskôr, a v každom prípade do 24 hodín od doručenia žiadosti. Zrušenie je účinné ihneď po jeho uverejnení.

4.   Pokiaľ ide o odsek 3, kvalifikovaní poskytovatelia dôveryhodných služieb, ktorí vydávajú kvalifikované certifikáty, každej spoliehajúcej sa strane poskytnú informácie o štatúte platnosti alebo zrušenia kvalifikovaných certifikátov, ktoré vydali. Tieto informácie sa poskytujú aspoň, pokiaľ ide o jednotlivé certifikáty, kedykoľvek, a to aj po uplynutí doby platnosti certifikátu, automatizovaným spôsobom, ktorý je spoľahlivý, bezplatný a efektívny.

5.   Komisia môže prostredníctvom vykonávacích aktov určiť referenčné čísla noriem pre dôveryhodné systémy a produkty, ktoré sú v súlade s požiadavkami podľa odseku 2 písm. e) a f) tohto článku. Ak dôveryhodné systémy a produkty spĺňajú uvedené normy, má sa za to, že sú v súlade s požiadavkami stanovenými v tomto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

ODDIEL 4

Elektronické podpisy

Článok 32

Požiadavky na validáciu kvalifikovaných elektronických podpisov

1.   Procesom validácie kvalifikovaného elektronického podpisu sa potvrdí platnosť kvalifikovaného elektronického podpisu, ak:

a)	certifikát, ktorý potvrdzuje podpis, bol v čase podpísania kvalifikovaným certifikátom pre elektronický podpis v súlade s prílohou I;

b)	kvalifikovaný certifikát vydal kvalifikovaný poskytovateľ dôveryhodných služieb a v čase podpísania bol platný;

c)	údaje na validáciu podpisu zodpovedajú údajom poskytnutým spoliehajúcej sa strane;

d)	sa jedinečný súbor údajov reprezentujúcich podpisovateľa v certifikáte správne poskytol spoliehajúcej sa strane;

e)	sa použitie pseudonymu jasne oznámilo spoliehajúcej sa strane v prípade, že sa v čase podpísania použil pseudonym;

f)	bol elektronický podpis vyhotovený kvalifikovaným zariadením na vyhotovenie elektronického podpisu;

g)	nebola narušená integrita podpísaných údajov;

h)	v čase podpísania boli dodržané požiadavky stanovené v článku 26.

2.   Systém použitý na validáciu kvalifikovaného elektronického podpisu poskytuje spoliehajúcej sa strane správny výsledok procesu validácie a umožňuje spoliehajúcej sa strane odhaliť akékoľvek problémy súvisiace s bezpečnosťou.

3.   Komisia môže prostredníctvom vykonávacích aktov určiť referenčné čísla noriem pre validáciu kvalifikovaných elektronických podpisov. Ak validácia kvalifikovaných elektronických podpisov spĺňa uvedené normy, má sa za to, že je v súlade s požiadavkami stanovenými v odseku 1. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.