keyboard_tab EIDAS 2014/0910 SK

whereas formu:

• whereas (21) 2
• whereas (68) 2

definitions:

Článok 10

Narušenie bezpečnosti

1.   Keď sa schéma elektronickej identifikácie oznámená podľa článku 9 ods. 1 alebo autentifikácia uvedená v článku 7 písm. f) naruší alebo čiastočne skompromituje spôsobom, ktorý ovplyvní spoľahlivosť cezhraničnej autentifikácie danej schémy, oznamujúci členský štát danú cezhraničnú autentifikáciu alebo dotknuté skompromitované časti bezodkladne pozastaví alebo zruší a informuje o tom ostatné členské štáty a Komisiu.

2.   Po náprave narušenia alebo skompromitovania uvedeného v odseku 1 oznamujúci členský štát cezhraničnú autentifikáciu opätovne zavedie a bez zbytočného odkladu o tom informuje ostatné členské štáty a Komisiu.

3.   Ak sa narušenie alebo skompromitovanie uvedené v odseku 1 neodstráni v lehote troch mesiacov od pozastavenia alebo zrušenia, oznamujúci členský štát informuje ostatné členské štáty a Komisiu o stiahnutí schémy elektronickej identifikácie.

Komisia bez zbytočného odkladu uverejní zodpovedajúce zmeny v zozname uvedenom v článku 9 ods. 2 v Úradnom vestníku Európskej únie.

Článok 19

Bezpečnostné požiadavky uplatniteľné na poskytovateľov dôveryhodných služieb

1.   Kvalifikovaní a nekvalifikovaní poskytovatelia dôveryhodných služieb prijmú vhodné technické a organizačné opatrenia na riadenie rizík ohrozujúcich bezpečnosť dôveryhodných služieb, ktoré poskytujú. So zreteľom na najnovší technologický vývoj sa uvedenými opatreniami musí zaistiť úroveň bezpečnosti primeraná stupňu rizika. Prijmú sa najmä opatrenia na prevenciu a minimalizáciu vplyvu bezpečnostných incidentov a na oznámenie nepriaznivých účinkov všetkých takýchto incidentov zainteresovaným stranám.

2.   Kvalifikovaní a nekvalifikovaní poskytovatelia dôveryhodných služieb bez zbytočného odkladu, najneskôr však do 24 hodín, odkedy sa dozvedeli o akomkoľvek narušení bezpečnosti alebo integrity s významným vplyvom na poskytovanú dôveryhodnú službu alebo osobné údaje uchovávané v rámci nej, oznámia túto skutočnosť orgánu dohľadu a prípadne iným príslušným orgánom, ako je napríklad vnútroštátny orgán zodpovedný za informačnú bezpečnosť alebo orgán pre ochranu údajov.

Ak môže narušenie bezpečnosti alebo integrity negatívne ovplyvniť fyzickú alebo právnickú osobu, ktorej sa dôveryhodná služba poskytovala, poskytovateľ dôveryhodných služieb bez zbytočného odkladu oznámi narušenie bezpečnosti alebo integrity aj tejto fyzickej či právnickej osobe.

Ak je to vhodné, a najmä keď sa narušenie bezpečnosti alebo integrity týka dvoch alebo viacerých členských štátov, informovaný orgán dohľadu o veci informuje orgány dohľadu v ostatných dotknutých členských štátoch a agentúru ENISA.

Ak informovaný orgán dohľadu usúdi, že zverejnenie narušenia bezpečnosti alebo integrity je vo verejnom záujme, informuje o ňom verejnosť, alebo o to požiada poskytovateľa dôveryhodných služieb.

3.   Orgán dohľadu poskytuje agentúre ENISA raz ročne súhrn oznámení o narušeniach bezpečnosti a integrity, ktoré mu oznámili poskytovatelia dôveryhodných služieb.

4.   Komisia môže prostredníctvom vykonávacích aktov:

a)	ďalej špecifikovať opatrenia uvedené v odseku 1 a

b)	vymedziť formáty a postupy vrátane lehôt uplatniteľné na účely odseku 2.

Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

ODDIEL 3

Kvalifikované dôveryhodné služby

Článok 20

Dohľad nad kvalifikovanými poskytovateľmi dôveryhodných služieb

1.   Orgán posudzovania zhody vykonáva aspoň každých 24 mesiacov audity kvalifikovaných poskytovateľov dôveryhodných služieb na ich vlastné náklady. Účelom auditu je potvrdiť, že kvalifikovaní poskytovatelia dôveryhodných služieb a kvalifikované dôveryhodné služby, ktoré poskytujú, spĺňajú požiadavky stanovené v tomto nariadení. Kvalifikovaní poskytovatelia dôveryhodných služieb predložia výslednú správu o posúdení zhody orgánu dohľadu v lehote troch pracovných dní od jej doručenia.

2.   Bez toho, aby bol dotknutý odsek 1, môže orgán dohľadu kedykoľvek vykonať audit kvalifikovaných poskytovateľov dôveryhodných služieb alebo požiadať orgán posudzovania zhody, aby vykonal posúdenie zhody týkajúce sa kvalifikovaných poskytovateľov dôveryhodných služieb, a to na náklady týchto poskytovateľov dôveryhodných služieb, s cieľom potvrdiť, že títo poskytovatelia a kvalifikované dôveryhodné služby, ktoré poskytujú, spĺňajú požiadavky stanovené v tomto nariadení. Ak sa zdá, že boli porušené predpisy týkajúce sa ochrany osobných údajov, orgán dohľadu informuje o výsledkoch svojho auditu orgány pre ochranu údajov.

3.   Ak orgán dohľadu vyžaduje od kvalifikovaného poskytovateľa dôveryhodných služieb nápravu akéhokoľvek nesplnenia požiadaviek podľa tohto nariadenia a ak tento poskytovateľ tak neurobí a ani počas prípadnej lehoty stanovenej orgánom dohľadu, orgán dohľadu pri zohľadnení najmä rozsahu, trvania a následkov takéhoto nesplnenia môže tomuto poskytovateľovi alebo dotknutej službe, ktorú poskytuje, odňať kvalifikovaný štatút a informovať o tom orgán uvedený v článku 22 ods. 3 na účely aktualizácie dôveryhodných zoznamov uvedených v článku 22 ods. 1. Orgán dohľadu informuje kvalifikovaného poskytovateľa dôveryhodných služieb o odňatí jeho kvalifikovaného štatútu alebo kvalifikovaného štatútu dotknutej služby.

4.   Komisia môže prostredníctvom vykonávacích aktov stanoviť referenčné číslo týchto noriem:

a)	akreditácia orgánov posudzovania zhody a správa o posúdení zhody uvedená v odseku 1;

b)	pravidlá auditu, podľa ktorých orgány posudzovania zhody budú vykonávať posudzovanie zhody kvalifikovaných poskytovateľov dôveryhodných služieb podľa odseku 1.

Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

Článok 21

Začatie poskytovania kvalifikovanej dôveryhodnej služby

1.   Ak poskytovatelia dôveryhodných služieb bez kvalifikovaného štatútu zamýšľajú začať poskytovať kvalifikované dôveryhodné služby, predložia orgánu dohľadu oznámenie o svojom zámere spolu so správou o posúdení zhody, ktorú vydal orgán posudzovania zhody.

2.   Orgán dohľadu overí, či poskytovateľ dôveryhodných služieb a dôveryhodné služby, ktoré poskytuje, spĺňajú požiadavky stanovené v tomto nariadení, a to najmä požiadavky na kvalifikovaných poskytovateľov dôveryhodných služieb a kvalifikované dôveryhodné služby, ktoré poskytujú.

Ak orgán dohľadu usúdi, že poskytovateľ dôveryhodných služieb a dôveryhodné služby, ktoré poskytuje, spĺňajú požiadavky uvedené v prvom pododseku, udelí tomuto poskytovateľovi dôveryhodných služieb a dôveryhodným službám, ktoré poskytuje, kvalifikovaný štatút a informuje orgán uvedený v článku 22 ods. 3 na účely aktualizácie dôveryhodných zoznamov uvedených v článku 22 ods. 1, a to najneskôr do troch mesiacov po oznámení v súlade s odsekom 1 tohto článku.

Ak sa overovanie neukončí do troch mesiacov od oznámenia, orgán dohľadu o tom informuje poskytovateľa dôveryhodných služieb a oznámi mu dôvody omeškania a lehotu, v ktorej sa overovanie má ukončiť.

3.   Kvalifikovaní poskytovatelia dôveryhodných služieb môžu začať poskytovať kvalifikovanú dôveryhodnú službu po tom, čo sa kvalifikovaný štatút uvedie v dôveryhodných zoznamoch uvedených v článku 22 ods. 1.

4.   Komisia môže prostredníctvom vykonávacích aktov vymedziť formáty a postupy na účely odsekov 1 a 2. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

Článok 24

Požiadavky na kvalifikovaných poskytovateľov dôveryhodných služieb

1.   Kvalifikovaný poskytovateľ dôveryhodných služieb pri vydávaní kvalifikovaného certifikátu pre dôveryhodnú službu vhodnými prostriedkami a v súlade s vnútroštátnym právom overuje totožnosť a prípadne akékoľvek osobitné atribúty fyzickej alebo právnickej osoby, ktorej vydáva kvalifikovaný certifikát.

Informácie uvedené v prvom pododseku overuje kvalifikovaný poskytovateľ dôveryhodných služieb buď priamo, alebo prostredníctvom spoľahnutia sa na tretiu stranu v súlade s vnútroštátnym právom:

a)	na základe fyzickej prítomnosti fyzickej osoby alebo splnomocneného zástupcu právnickej osoby, alebo

b)

na diaľku prostredníctvom prostriedkov elektronickej identifikácie, pre ktoré sa pred vydaním kvalifikovaného certifikátu zabezpečila fyzická prítomnosť fyzickej osoby alebo splnomocneného zástupcu právnickej osoby a ktoré spĺňajú požiadavky stanovené v článku 8, pokiaľ ide o úroveň zabezpečenia „pokročilá“ alebo „vysoká“, alebo

c)	prostredníctvom certifikátu pre kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať vydaného v súlade s písmenom a) alebo b), alebo

d)	prostredníctvom použitia iných metód identifikácie uznávaných na vnútroštátnej úrovni, ktorými sa poskytuje rovnocenné zabezpečenie, pokiaľ ide o spoľahlivosť, ako pri fyzickej prítomnosti. Rovnocenné zabezpečenie potvrdzuje orgán posudzovania zhody.

2.   Kvalifikovaný poskytovateľ dôveryhodných služieb, ktorý poskytuje kvalifikované dôveryhodné služby:

a)	informuje orgán dohľadu o všetkých zmenách pri poskytovaní svojich kvalifikovaných dôveryhodných služieb a o zámere ukončiť tieto činnosti;

b)

zamestnáva personál a prípadne subdodávateľov s potrebnou odbornosťou, spoľahlivosťou, skúsenosťami, kvalifikáciou a vhodnou odbornou prípravou týkajúcou sa predpisov v oblasti bezpečnosti a ochrany osobných údajov a uplatňuje administratívne a riadiace postupy, ktoré zodpovedajú európskym alebo medzinárodným normám;

c)	v súvislosti s rizikom zodpovednosti za škodu v súlade s článkom 13 udržiava postačujúce finančné prostriedky a/alebo uzatvára vhodné poistenie zodpovednosti za škodu v súlade s vnútroštátnym právom;

d)	pred uzavretím zmluvného vzťahu jednoznačne a vyčerpávajúco informuje každú osobu, ktorá chce využívať kvalifikovanú dôveryhodnú službu, o presných podmienkach využívania tejto služby vrátane obmedzení jej využívania;

e)	používa dôveryhodné systémy a produkty chránené proti pozmeneniu a zabezpečí technickú bezpečnosť a spoľahlivosť procesov, ktoré podporujú;

f)

používa dôveryhodné systémy na uchovávanie jemu poskytnutých údajov v overiteľnej forme tak, aby: i) údaje boli verejne prístupné na vyhľadanie iba po získaní súhlasu osoby, ktorej sa týkajú; ii) údaje mohli zadávať a uchovávané údaje meniť iba oprávnené osoby; iii) údaje bolo možné skontrolovať z hľadiska ich pravosti;

g)	prijíma vhodné opatrenia proti falšovaniu a krádeži údajov;

h)

zaznamenáva a po primeranú dobu, a to aj po ukončení činností kvalifikovaného poskytovateľa dôveryhodných služieb, uchováva prístupné všetky relevantné informácie týkajúce sa údajov, ktoré kvalifikovaný poskytovateľ dôveryhodných služieb vydal a prijal, najmä na účely predloženia dôkazov v súdnom konaní a na účely zabezpečenia kontinuity služby. Takéto zaznamenávanie sa môže vykonať elektronicky;

i)	má aktualizovaný plán ukončenia činností na zabezpečenie kontinuity služby v súlade s ustanoveniami overenými orgánom dohľadu podľa článku 17 ods. 4 písm. i);

j)	zabezpečí spracúvanie osobných údajov v súlade s právnymi predpismi podľa smernice 95/46/ES;

k)	v prípade kvalifikovaných poskytovateľov dôveryhodných služieb, ktorí vydávajú kvalifikované certifikáty, zriaďuje a aktualizuje databázu certifikátov.

3.   Ak sa kvalifikovaný poskytovateľ dôveryhodných služieb vydávajúci kvalifikované certifikáty rozhodne certifikát zrušiť, zaznamená takéto zrušenie vo svojej databáze certifikátov a štatút zrušenia certifikátu uverejní čo najskôr, a v každom prípade do 24 hodín od doručenia žiadosti. Zrušenie je účinné ihneď po jeho uverejnení.

4.   Pokiaľ ide o odsek 3, kvalifikovaní poskytovatelia dôveryhodných služieb, ktorí vydávajú kvalifikované certifikáty, každej spoliehajúcej sa strane poskytnú informácie o štatúte platnosti alebo zrušenia kvalifikovaných certifikátov, ktoré vydali. Tieto informácie sa poskytujú aspoň, pokiaľ ide o jednotlivé certifikáty, kedykoľvek, a to aj po uplynutí doby platnosti certifikátu, automatizovaným spôsobom, ktorý je spoľahlivý, bezplatný a efektívny.

5.   Komisia môže prostredníctvom vykonávacích aktov určiť referenčné čísla noriem pre dôveryhodné systémy a produkty, ktoré sú v súlade s požiadavkami podľa odseku 2 písm. e) a f) tohto článku. Ak dôveryhodné systémy a produkty spĺňajú uvedené normy, má sa za to, že sú v súlade s požiadavkami stanovenými v tomto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.

ODDIEL 4

Elektronické podpisy

Článok 25

Právne účinky elektronických podpisov

1.   Právny účinok elektronického podpisu a jeho prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť výlučne z toho dôvodu, že má elektronickú formu alebo že nespĺňa požiadavky pre kvalifikované elektronické podpisy.

2.   Kvalifikovaný elektronický podpis má právny účinok rovnocenný s vlastnoručným podpisom.

3.   Kvalifikovaný elektronický podpis založený na kvalifikovanom certifikáte vydanom v jednom členskom štáte sa uznáva ako kvalifikovaný elektronický podpis vo všetkých ostatných členských štátoch.

Článok 35

Právne účinky elektronických pečatí

1.   Právny účinok elektronickej pečate a jej prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť výlučne z dôvodu, že má elektronickú formu alebo že nespĺňa požiadavky pre kvalifikované elektronické pečate.

2.   Pri kvalifikovanej elektronickej pečati platí domnienka integrity údajov a správnosti pôvodu tých údajov, s ktorými je kvalifikovaná elektronická pečať spojená.

3.   Kvalifikovaná elektronická pečať založená na kvalifikovanom certifikáte vydanom v jednom členskom štáte sa uznáva ako kvalifikovaná elektronická pečať vo všetkých ostatných členských štátoch.

Článok 41

Právny účinok elektronických časových pečiatok

1.   Právny účinok elektronickej časovej pečiatky a jej prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť výlučne z toho dôvodu, že má elektronickú formu alebo že nespĺňa požiadavky kvalifikovanej elektronickej časovej pečiatky.

2.   Pri kvalifikovanej elektronickej časovej pečiatke platí domnienka správnosti dátumu a času, ktorý uvádza, a integrity údajov, s ktorými je dátum a čas spojený.

3.   Kvalifikovaná elektronická časová pečiatka vydaná v jednom členskom štáte sa uznáva ako kvalifikovaná elektronická časová pečiatka vo všetkých členských štátoch.

Článok 43

Právny účinok elektronickej doručovacej služby pre registrované zásielky

1.   Právny účinok údajov, ktoré sa odošlú a doručia prostredníctvom elektronickej doručovacej služby pre registrované zásielky, a ich prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť výlučne z dôvodu, že majú elektronickú formu alebo že nespĺňajú požiadavky na kvalifikovanú elektronickú doručovaciu službu pre registrované zásielky.

2.   Pri údajoch, ktoré sa odošlú a doručia prostredníctvom kvalifikovanej elektronickej doručovacej služby pre registrované zásielky, platí domnienka ich integrity, odoslania údajov identifikovaným odosielateľom a ich doručenia identifikovanému adresátovi a správnosti dátumu a času ich odoslania a doručenia uvedených v kvalifikovanej elektronickej doručovacej službe pre registrované zásielky.

Článok 46

Právne účinky elektronických dokumentov

Právny účinok elektronického dokumentu a jeho prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť výlučne z dôvodu, že má elektronickú formu.

KAPITOLA V

DELEGOVANIE PRÁVOMOCI A VYKONÁVACIE USTANOVENIA

Článok 52

Nadobudnutie účinnosti

1.   Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2.   Toto nariadenie sa uplatňuje od 1. júla 2016 okrem týchto ustanovení:

a)

článok 8 ods. 3, článok 9 ods. 5, článok 12 ods. 2 až 9, článok 17 ods. 8, článok 19 ods. 4, článok 20 ods. 4, článok 21 ods. 4, článok 22 ods. 5, článok 23 ods. 3, článok 24 ods. 5, článok 27 ods. 4 a 5, článok 28 ods. 6, článok 29 ods. 2, článok 30 ods. 3 a 4, článok 31 ods. 3, článok 32 ods. 3, článok 33 ods. 2, článok 34 ods. 2, článok 37 ods. 4 a 5, článok 38 ods. 6, článok 42 ods. 2, článok 44 ods. 2, článok 45 ods. 2 a články 47 a 48 sa uplatňujú od 17. septembra 2014;

b)	článok 7, článok 8 ods. 1 a 2, články 9, 10 a 11 a článok 12 ods. 1 sa uplatňujú odo dňa začiatku uplatňovania vykonávacích aktov uvedených v článku 8 ods. 3 a článku 12 ods. 8;

c)	článok 6 sa uplatňuje po uplynutí troch rokov od dátumu začiatku uplatňovania vykonávacích aktov uvedených v článku 8 ods. 3 a článku 12 ods. 8.

3.   Ak je oznámená schéma elektronickej identifikácie uvedená na zozname, ktorý uverejnila Komisia podľa článku 9 pred dátumom uvedeným v odseku 2 písm. c) tohto článku, prostriedky elektronickej identifikácie v rámci tejto schémy sa uznajú podľa článku 6 najneskôr do 12 mesiacov po uverejnení uvedenej schémy, nie však skôr ako v deň uvedený v odseku 2 písm. c) tohto článku.

4.   Členský štát sa môže bez ohľadu na odsek 2 písm. c) tohto článku rozhodnúť, že na jeho území sa prostriedky elektronickej identifikácie v rámci schémy elektronickej identifikácie oznámenej zo strany iného členského štátu podľa článku 9 ods. 1 uznajú odo dňa začiatku uplatňovania vykonávacích aktov uvedených v článku 8 ods. 3 a článku 12 ods. 8. Dotknuté členské štáty informujú Komisiu. Komisia tieto informácie zverejní.

---

(1)  Ú. v. EÚ C 351, 15.11.2012, s. 73.

(2)  Pozícia Európskeho parlamentu z 3. apríla 2014 (zatiaľ neuverejnená v úradnom vestníku) a rozhodnutie Rady z 23. júla 2014.

(3)  Smernica Európskeho parlamentu a Rady 1999/93/ES z 13. decembra 1999 o rámci Spoločenstva pre elektronické podpisy (Ú. v. ES L 13, 19.1.2000, s. 12).

(4)  Ú. v. EÚ C 50 E, 21.2.2012, s. 1.

(5)  Smernica Európskeho parlamentu a Rady 2006/123/ES z 12. decembra 2006 o službách na vnútornom trhu (Ú. v. EÚ L 376, 27.12.2006, s. 36).

(6)  Smernica Európskeho parlamentu a Rady 2011/24/EÚ z 9. marca 2011 o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (Ú. v. EÚ L 88, 4.4.2011, s. 45).

(7)  Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995, s. 31).

(8)  Rozhodnutie Rady 2010/48/ES z 26. novembra 2009 o uzatvorení Dohovoru Organizácie Spojených národov o právach osôb so zdravotným postihnutím Európskym spoločenstvom (Ú. v. EÚ L 23, 27.1.2010, s. 35).

(9)  Nariadenie Európskeho parlamentu a Rady (ES) č. 765/2008 z 9. júla 2008, ktorým sa stanovujú požiadavky akreditácie a dohľadu nad trhom v súvislosti s uvádzaním výrobkov na trh a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (Ú. v. EÚ L 218, 13.8.2008, s. 30).

(10)  Rozhodnutie Komisie 2009/767/ES zo 16. októbra 2009, ktorým sa ustanovujú opatrenia na uľahčenie postupov elektronickými spôsobmi prostredníctvom „miest jednotného kontaktu“ podľa smernice Európskeho parlamentu a Rady 2006/123/ES o službách na vnútornom trhu (Ú. v. EÚ L 274, 20.10.2009, s. 36).

(11)  Rozhodnutie Komisie 2011/130/EÚ z 25. februára 2011, ktorým sa ustanovujú minimálne požiadavky na cezhraničné spracovanie dokumentov elektronicky podpísaných príslušnými orgánmi v zmysle smernice Európskeho parlamentu a Rady 2006/123/ES o službách na vnútornom trhu (Ú. v. EÚ L 53, 26.2.2011, s. 66).

(12)  Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13).

(13)  Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1).

(14)  Ú. v. EÚ C 28, 30.1.2013, s. 6.

(15)  Smernica Európskeho parlamentu a Rady 2014/24/EÚ z 26. februára 2014 o verejnom obstarávaní a o zrušení smernice 2004/18/ES (Ú. v. EÚ L 94, 28.3.2014, s. 65).

---

---

---

---