(8) V skladu z Direktivo 2006/123/ES Evropskega parlamenta in Sveta (5) morajo države članice vzpostaviti „enotne kontaktne točke“, s katerimi zagotovijo, da se vsi postopki in formalnosti v zvezi z dostopom do storitvene dejavnosti in opravljanjem te dejavnosti lahko enostavno zaključijo na daljavo in po elektronski poti prek ustrezne enotne kontaktne točke pri ustreznih pristojnih organih. Številne spletne storitve, dostopne prek enotnih kontaktnih točk, zahtevajo elektronsko identifikacijo, avtentikacijo in podpis.
- = -
(10) Direktiva 2011/24/EU Evropskega parlamenta in Sveta (6) vzpostavlja mrežo nacionalnih organov, pristojnih za e-zdravje.
Da bi se izboljšali varnost in neprekinjenost čezmejnega zdravstvenega varstva, mora mreža pripraviti smernice za čezmejni dostop do elektronskih zdravstvenih podatkov in storitev ter podpreti skupne ukrepe „za identifikacijo in avtentikacijo, na podlagi katerih se olajša prenosljivost podatkov v čezmejnem zdravstvenem varstvu“.
Vzajemno priznavanje elektronske identifikacije in avtentikacije je ključno pri uresničevanju čezmejnega zdravstvenega varstva evropskih državljanov.
Kadar ljudje potujejo zaradi zdravljenja, morajo biti njihovi zdravstveni podatki dostopni v državi zdravljenja.
To zahteva trden in varen okvir za elektronsko identifikacijo, v katerega se zaupa.
- = -
(11) To uredbo bi bilo treba uporabljati ob doslednem spoštovanju načel glede varstva osebnih podatkov iz Direktive 95/46/ES Evropskega parlamenta in Sveta (7).
V zvezi s tem bi morala avtentikacija za spletno storitev, ob upoštevanju načela vzajemnega priznavanja iz te uredbe, zajemati obdelavo le tistih identifikacijskih podatkov, ki so ustrezni in relevantni ter niso pretirani za odobritev dostopa do te spletne storitve.
Poleg tega bi morali tudi ponudniki storitev zaupanja in nadzorni organi spoštovati zahteve iz Direktive 95/46/ES v zvezi z zaupnostjo in varnostjo obdelave.
- = -
(13) Države članice bi morale imeti možnost, da še naprej prosto uporabljajo ali uvajajo sredstva za namene elektronske identifikacije za dostop do spletnih storitev.
Prav tako bi morale imeti možnost, da se same odločijo, ali bodo v zagotavljanje teh sredstev vključile zasebni sektor.
Države članice ne bi smele biti zavezane k priglasitvi shem elektronske identifikacije Komisiji.
Kar zadeva sheme elektronske identifikacije, ki se na nacionalni ravni uporabljajo za dostop vsaj do javnih spletnih storitev ali posebnih storitev, se lahko države članice same odločijo, ali bodo Komisiji priglasile vse sheme, samo nekatere ali nobene.
- = -
(14) V uredbi je treba določiti nekaj pogojev v zvezi s tem, katera sredstva elektronske identifikacije je treba priznati in kako se sheme elektronske identifikacije priglasijo.
Ti pogoji bi državam članicam morali pomagati pri krepitvi potrebnega zaupanja v sheme elektronske identifikacije drugih držav članic in vzajemnem priznavanju sredstev elektronske identifikacije, ki spadajo v priglašene sheme.
Načelo vzajemnega priznavanja bi se moralo uporabljati, če shema elektronske identifikacije države članice priglasiteljice izpolnjuje pogoje priglasitve, priglasitev pa je bila objavljena v Uradnem listu Evropske unije.
Načelo vzajemnega priznavanja pa bi se moralo nanašati le na avtentikacijo za spletno storitev.
Dostop do teh spletnih storitev in njihova končna dostava prosilcu bi morala biti tesno povezana s pravico do prejema takšnih storitev pod pogoji iz nacionalne zakonodaje.
- = -
(15) Obveznost priznavanja sredstev elektronske identifikacije bi morala zadevati le tista sredstva, katerih raven zanesljivosti identitete ustreza ravni, ki je enaka ali višja od zahtevane ravni za zadevno spletno storitev.
Poleg tega bi bilo treba to obveznost uporabljati le, kadar zadevni organ javnega sektorja uporablja „srednjo“ ali „visoko“ raven zanesljivosti glede dostopa do te spletne storitve.
Države članice bi morale imeti v skladu s pravom Unije možnost, da priznajo sredstva elektronske identifikacije z nižjimi ravnmi zanesljivosti identitete.
- = -
(16) Ravni zanesljivosti bi morale označevati stopnjo zaupanja, ki jo sredstvo elektronske identifikacije zagotavlja pri ugotavljanju identitete osebe, s čimer se zagotovi, da je oseba, ki izkazuje določeno identiteto, dejansko oseba, ki ji je bila ta identiteta dodeljena.
Raven zanesljivosti je odvisna od stopnje zaupanja v izkazano ali zagotavljano identiteto osebe, ki jo zagotavlja sredstvo elektronske identifikacije, pri čemer se upoštevajo postopki (na primer dokazovanje in preverjanje identitete ter avtentikacija), upravljanje (na primer subjekt, ki izda sredstvo elektronske identifikacije in postopek za izdajo takšnega sredstva) in opravljen tehnični nadzor.
Obstajajo različne tehnične opredelitve in opisi ravni zanesljivosti, ki so rezultat vse-evropskih pilotnih projektov, financiranih s sredstvi Unije, standardizacije in mednarodnih dejavnosti.
Zlasti vse-evropski pilotni projekt STORK in ISO 29115 se med drugim sklicujeta na ravni 2, 3 in 4, ki bi jih bilo treba v celoti upoštevati pri določanju minimalnih tehničnih zahtev, standardov in postopkov za nizko, srednjo in visoko raven zanesljivosti v smislu te uredbe, pri čemer se zagotavlja skladna uporaba te uredbe, zlasti kar zadeva visoko raven zanesljivosti, povezano z dokazovanjem identitete ob izdaji kvalificiranih potrdil.
Opredeljene zahteve bi morale biti tehnološko nevtralne.
Dopustiti bi bilo treba možnost, da se potrebne varnostne zahteve izpolnijo z uporabo različnih tehnologij.
- = -
(17) Države članice bi morale spodbujati zasebni sektor, da prostovoljno uporablja sredstva elektronske identifikacije v okviru priglašene sheme za namene identifikacije, kadar je to potrebno za spletne storitve ali elektronske transakcije.
Možnost uporabe takšnih sredstev elektronske identifikacije bi zasebnemu sektorju omogočila uporabo elektronske identifikacije in avtentikacije, ki se v številnih državah članicah že uporabljata vsaj za javne storitve, podjetja in državljani pa bi tako imeli lažji dostop do čezmejnih spletnih storitev.
Da bi zasebnemu sektorju olajšali čezmejno uporabo takšnih sredstev elektronske identifikacije, bi morala biti možnost avtentikacije, ki jo zagotavlja katera koli država članica, na voljo zanašajočim se strankam iz zasebnega sektorja, ki nimajo sedeža na ozemlju te države članice, pod enakimi pogoji, kot veljajo za zanašajoče se stranke iz zasebnega sektorja, ki imajo sedež v tej državi članici.
Zato lahko država članica priglasiteljica za zanašajoče se stranke iz zasebnega sektorja določi pogoje za dostop do sredstva avtentikacije.
V takšnih pogojih za dostop je lahko navedeno, ali je sredstvo avtentikacije, povezano s priglašeno shemo, trenutno na voljo zanašajočim se strankam iz zasebnega sektorja.
- = -
(18) Ta uredba bi morala določati odgovornost države članice priglasiteljice, izdajatelja sredstva elektronske identifikacije, in stranke, ki opravi postopek avtentikacije, v primeru neizpolnjevanja ustreznih obveznosti v skladu s to uredbo.
Vendar bi se ta uredba morala uporabljati v skladu z nacionalnimi pravili o odgovornosti.
Zato ne vpliva na navedena nacionalna pravila, na primer o opredelitvi škode, ali na ustrezna veljavna postopkovna pravila, tudi o dokaznem bremenu.
- = -
(19) Varnost shem elektronske identifikacije je ključna za zaupanja vredno čezmejno vzajemno priznavanje sredstev elektronske identifikacije.
V zvezi s tem bi morale države članice sodelovati pri zagotavljanju varnosti in interoperabilnosti shem elektronske identifikacije na ravni Unije. Če bi za sheme elektronske identifikacije potrebovali posebno strojno ali programsko opremo, ki bi jo uporabljale zanašajoče se stranke na nacionalni ravni, te države članice zaradi čezmejne interoperabilnosti ne bi smele naložiti takšnih zahtev in z njimi povezanih stroškov zanašajočim se strankam, ki nimajo sedeža na njihovem ozemlju.
V tem primeru bi bilo treba razpravljati o primernih rešitvah in jih razvijati v interoperabilnostnem okviru.
Vendar pa se ni mogoče izogniti tehničnim zahtevam, ki izhajajo iz specifikacij nacionalnih sredstev elektronske identifikacije in bi lahko vplivale na imetnike takšnih elektronskih sredstev (npr.
pametnih kartic).
- = -
(20) Sodelovanje držav članic bi moralo olajšati tehnično interoperabilnost priglašenih shem elektronske identifikacije ter tako vzpostaviti visoko raven zaupanja in varnosti, ustrezno stopnji tveganja.
K takšnemu sodelovanju bi morala prispevati izmenjava informacij in najboljših praks med državami članicami, da se doseže vzajemno priznavanje.
- = -
(21) Ta uredba bi morala določiti tudi splošni pravni okvir za uporabo storitev zaupanja.
Ne bi pa smela uvajati splošne obveznosti za njihovo uporabo ali vzpostaviti točke dostopa za vse obstoječe storitve zaupanja.
Zlasti ne bi smela urejati zagotavljanja storitev, ki se uporabljajo izključno znotraj zaprtih sistemov med določeno skupino udeležencev, ki ne vplivajo na tretje osebe.
Zahteve te uredbe na primer ne bi smele veljati za sisteme, vzpostavljene v podjetjih ali javnih upravah, ki za vodenje notranjih postopkov uporabljajo storitve zaupanja.
Zahteve te uredbe bi morale izpolnjevati le storitve zaupanja, ki se zagotavljajo javnosti in vplivajo na tretje osebe.
Ta uredba tudi ne bi smela urejati vidikov, povezanih s sklenitvijo in veljavnostjo pogodb ali drugih pravnih obveznosti, če nacionalno pravo ali pravo Unije določa zahteve glede obličnosti.
Poleg tega tudi ne bi smela vplivati na nacionalne zahteve glede obličnosti, ki zadevajo javne registre, zlasti trgovinske registre in zemljiške knjige.
- = -
(22) Da bi spodbujali njihovo splošno čezmejno uporabo, bi moralo biti mogoče storitve zaupanja uporabljati kot dokaz v pravnih postopkih v vseh državah članicah.
Pravne učinke storitev zaupanja se lahko določi v nacionalnem pravu, če v tej uredbi ni določeno drugače.
- = -
(24) Države članice lahko v skladu s pravom Unije ohranijo ali uvedejo nacionalne določbe v zvezi s storitvami zaupanja, če te storitve niso v celoti harmonizirane s to uredbo.
Za storitve zaupanja, ki so v skladu s to uredbo, pa bi morali dovoliti prosti pretok na notranjem trgu.
- = -
(25) Države članice bi morale še naprej imeti možnost, da same opredelijo druge vrste storitev zaupanja poleg tistih, ki so del zaprtega seznama storitev zaupanja iz te uredbe, da bi jih lahko na nacionalni ravni priznale kot kvalificirane storitve zaupanja.
- = -
(26) Zaradi hitrih tehnoloških sprememb bi moral biti s to uredbo sprejet pristop, ki je odprt za inovacije.
- = -
(27) Ta uredba bi morala biti tehnološko nevtralna.
Pravne učinke, ki jih zagotavlja, bi moralo biti mogoče doseči s katerimi koli tehničnimi sredstvi, če so izpolnjene zahteve iz te uredbe.
- = -
(29) V skladu z obveznostmi iz Konvencije Združenih narodov o pravicah invalidov, ki je bila odobrena s Sklepom Sveta 2010/48/ES (8), zlasti iz člena 9 navedene konvencije, bi bilo treba invalidom omogočiti dostop do storitev zaupanja in izdelkov za končne uporabnike, ki se uporabljajo pri zagotavljanju teh storitev, v enaki meri kot drugim potrošnikom.
Zagotavljane storitve zaupanja in izdelki za končne uporabnike, ki se uporabljajo pri zagotavljanju teh storitev, bi zato morali biti dostopni invalidom, če je to izvedljivo.
Pri oceni izvedljivosti bi bilo treba med drugim upoštevati tehnične in ekonomske vidike.
- = -
(30) Države članice bi morale imenovati nadzorni organ ali nadzorne organe za izvajanje nadzornih dejavnosti v skladu s to uredbo.
Prav tako bi morale imeti možnost, da v dogovoru z drugo državo članico imenujejo nadzorni organ na ozemlju te druge države članice.
- = -
(31) Nadzorni organi bi morali sodelovati z organi za varstvo podatkov, na primer z obveščanjem o rezultatih revizij ponudnikov kvalificiranih storitev zaupanja, če se zdi, da so bila kršena pravila o varstvu osebnih podatkov.
Sporočanje podatkov bi moralo zajemati zlasti varnostne incidente in kršitve varstva osebnih podatkov.
- = -
(32) Vsi ponudniki storitev zaupanja bi morali uporabljati dobro prakso varnosti, ki ustreza tveganjem, povezanim z njihovimi dejavnostmi, da bi okrepili zaupanje uporabnikov v enotni trg.
- = -
(34) Vse države članice bi morale upoštevati skupne bistvene zahteve v zvezi z nadzorom, da se zagotovi primerljiva raven varnosti kvalificiranih storitev zaupanja.
Za lažjo dosledno uporabo teh zahtev po vsej Uniji bi morale države članice sprejeti primerljive postopke ter si izmenjevati informacije o nadzornih dejavnostih in najboljših praksah na tem področju.
- = -
(35) Zahteve iz te uredbe bi morale veljati za vse ponudnike storitev zaupanja, zlasti zahteve glede varnosti in odgovornosti, da v zvezi s svojimi postopki in storitvami zagotovijo ustrezno skrbnost, preglednost in odgovornost.
Vendar je ob upoštevanju vrste storitev, ki jih zagotavljajo ponudniki storitev zaupanja, v zvezi s temi zahtevami ustrezno razlikovati med ponudniki kvalificiranih in ponudniki nekvalificiranih storitev zaupanja.
- = -
(36) Vzpostavitev ureditve nadzora za vse ponudnike storitev zaupanja bi morala zagotoviti enake konkurenčne pogoje za varnost in odgovornost v zvezi z njihovimi postopki in storitvami ter s tem prispevati k zaščiti uporabnikov in delovanju notranjega trga.
Pri ponudnikih nekvalificiranih storitev zaupanja bi se morale izvajati manj obsežne ter odzivne naknadne nadzorne dejavnosti, ob upoštevanju narave njihovih storitev in postopkov.
Nadzorni organ torej ne bi smel imeti splošne obveznosti nadzora ponudnikov nekvalificiranih storitev zaupanja.
Ukrepati bi moral le, če je obveščen (na primer s strani ponudnika nekvalificiranih storitev zaupanja samega ali drugega nadzornega organa, z uradnim obvestilom uporabnika ali poslovnega partnerja ali na podlagi svoje lastne preiskave), da ponudnik nekvalificiranih storitev zaupanja ne ravna v skladu z zahtevami iz te uredbe.
- = -
(37) Ta uredba bi morala določiti odgovornost vseh ponudnikov storitev zaupanja.
Zlasti vzpostavlja ureditev odgovornosti, v skladu s katero bi morali biti vsi ponudniki storitev zaupanja odgovorni za škodo, ki jo povzročijo fizični ali pravni osebi zaradi neizpolnjevanja obveznosti iz te uredbe.
Da bi poenostavili oceno finančnega tveganja, ki bi mu lahko bili izpostavljeni ponudniki storitev zaupanja ali bi moralo biti krito z njihovimi zavarovalnimi policami, ta uredba ponudnikom teh storitev omogoča, da pod določenimi pogoji določijo omejitve glede uporabe storitev, ki jih zagotavljajo, in tako niso odgovorni za škodo zaradi uporabe teh storitev, ki presega takšno omejitev.
Potrošniki bi morali biti vnaprej ustrezno obveščeni o omejitvah.
Te omejitve bi morale biti prepoznavne za tretje osebe, na primer tako, da se informacije o omejitvah vključijo v splošne pogoje zagotavljane storitve, ali na drug prepoznaven način.
Da bi ta načela lahko učinkovala, bi bilo treba to uredbo uporabljati v skladu z nacionalnimi pravili o odgovornosti.
Ta uredba tako ne vpliva na navedena nacionalna pravila, na primer o opredelitvi škode, namena (naklepa) in malomarnosti, ali na ustrezna veljavna postopkovna pravila.
- = -
(39) Da bi Komisija in države članice lahko ocenile učinkovitost mehanizma za prijavo kršitev, ki ga uvaja ta uredba, bi morali nadzorni organi Komisiji ter Agenciji Evropske unije za varnost omrežij in informacij (v nadaljnjem besedilu: agencija ENISA) zagotoviti povzetek informacij.
- = -
(41) Da bi zagotovili vzdržnost in trajnost kvalificiranih storitev zaupanja ter okrepili zaupanje uporabnikov v neprekinjenost kvalificiranih storitev zaupanja, bi morali nadzorni organi preveriti obstoj in pravilno uporabo določb o načrtih za prenehanje v primerih, ko ponudniki kvalificiranih storitev zaupanja prenehajo opravljati svoje dejavnosti.
- = -
(43) Da se zagotovi skladnost ponudnikov kvalificiranih storitev zaupanja in storitev, ki jih ti zagotavljajo, z zahtevami iz te uredbe, bi moral organ za ugotavljanje skladnosti izvajati ugotavljanje skladnosti, njegova poročila o ugotavljanju skladnosti pa bi ponudniki kvalificiranih storitev zaupanja morali predložiti nadzornemu organu.
Kadar nadzorni organ od ponudnika kvalificiranih storitev zaupanja zahteva, da predloži poročilo o priložnostnem ugotavljanju skladnosti, bi moral pri tem spoštovati zlasti načela dobrega upravljanja, vključno z obveznostjo utemeljitve svojih odločitev, in načelo sorazmernosti.
Zato bi nadzorni organ moral ustrezno utemeljiti svoje odločitve, s katerimi zahteva priložnostno ugotavljanje skladnosti.
- = -
(44) Namen te uredbe je zagotoviti skladen okvir, ki bo zagotavljal visoko raven varnosti in pravne varnosti storitev zaupanja.
Tozadevno bi morala Komisija pri obravnavi ugotavljanja skladnosti izdelkov in storitev po potrebi iskati sinergije z obstoječimi zadevnimi evropskimi in mednarodnimi sistemi, kot je Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta (9), ki določa zahteve za akreditacijo organov za ugotavljanje skladnosti in nadzor trga izdelkov.
- = -
(47) Zaupanje v spletne storitve in njihova uporabnost sta ključna, da bi uporabniki izkoristili vse možnosti elektronskih storitev in se nanje zavestno zanesli.
Zato bi bilo treba ustvariti znak zaupanja EU, s katerim bi označili kvalificirane storitve zaupanja, ki jih zagotavljajo ponudniki kvalificiranih storitev zaupanja.
Na podlagi takšnega znaka zaupanja EU za kvalificirane storitve zaupanja bi se kvalificirane storitve zaupanja jasno razlikovale od drugih storitev zaupanja, kar bi prispevalo k preglednosti na trgu.
Uporaba znaka zaupanja EU s strani ponudnikov kvalificiranih storitev zaupanja bi morala biti prostovoljna in ne bi smela nalagati nobenih drugih zahtev, poleg tistih iz te uredbe.
- = -
(49) Ta uredba bi morala vzpostaviti načelo, da se elektronskemu podpisu ne bi smelo odvzeti pravnega učinka, ker je v elektronski obliki ali ker ne izpolnjuje zahtev za kvalificirani elektronski podpis.
Vendar pa se pravni učinek elektronskih podpisov opredeli z nacionalnim pravom, razen kar zadeva zahteve iz te uredbe, v skladu s katerimi bi moral imeti kvalificirani elektronski podpis enakovreden pravni učinek kot lastnoročni podpis.
- = -
(51) Podpisnik bi moral imeti možnost, da naprave za ustvarjanje kvalificiranega elektronskega podpisa zaupa v oskrbo tretji osebi, če se uvedejo ustrezni mehanizmi in postopki, ki zagotavljajo, da ima podpisnik izključni nadzor nad uporabo svojih podatkov za ustvarjanje elektronskega podpisa in da so pri uporabi naprave izpolnjene zahteve za kvalificiran elektronski podpis.
- = -
(52) Ustvarjanje elektronskih podpisov na daljavo, pri katerem okolje za ustvarjanje elektronskega podpisa upravlja ponudnik storitev zaupanja v imenu podpisnika, se bo okrepilo, saj prinaša številne gospodarske koristi.
Da se zagotovi enako pravno priznavanje takšnih elektronskih podpisov in elektronskih podpisov, ustvarjenih v okolju, ki ga v celoti upravlja uporabnik, pa bi morali ponudniki storitev elektronskih podpisov na daljavo izvajati posebne varnostne postopke pri vodenju in upravljanju ter uporabljati zaupanja vredne sisteme in izdelke, med drugim varne načine elektronske komunikacije, da se zagotovita zanesljivo okolje za ustvarjanje elektronskega podpisa in uporaba tega okolja pod izključnim nadzorom podpisnika.
V primeru kvalificiranega elektronskega podpisa, ustvarjenega z napravo za ustvarjanje elektronskega podpisa na daljavo, bi se morale uporabljati zahteve iz te uredbe, ki se uporabljajo za ponudnike kvalificiranih storitev zaupanja.
- = -
(53) Začasna razveljavitev kvalificiranih potrdil je uveljavljena operativna praksa ponudnikov storitev zaupanja v več državah članicah, ki se razlikuje od preklica potrdila in pomeni začasno prenehanje njegove veljavnosti.
Zaradi pravne varnosti je potrebno, da je vedno jasno navedeno, da je potrdilo začasno razveljavljeno.
Ponudniki storitev zaupanja bi zato morali jasno navesti status potrdila, v primeru njegove začasne razveljavitve pa tudi natančno obdobje, za katero je potrdilo začasno razveljavljeno.
Ta uredba ponudnikom storitev zaupanja ali državam članicam ne bi smela nalagati uporabe začasne razveljavitve, morala pa bi zagotavljati pravila o preglednosti, kadar in kjer je taka praksa na voljo.
- = -
(55) Varnostno certificiranje, kar zadeva informacijsko tehnologijo, na podlagi mednarodnih standardov, kot je ISO 15408 ter s tem povezani načini ocenjevanja in ureditve vzajemnega priznavanja, je pomemben način preverjanja varnosti naprav za ustvarjanje kvalificiranega elektronskega podpisa in bi ga bilo treba spodbujati.
Vendar so inovativne rešitve in storitve, kot so mobilno podpisovanje in podpisovanje v oblaku, odvisne od tehničnih in organizacijskih rešitev za naprave za ustvarjanje kvalificiranega elektronskega podpisa, za katere varnostni standardi morda še niso na voljo ali za katere prvi postopek varnostnega certificiranja, kar zadeva informacijsko tehnologijo, še ni zaključen.
Raven varnosti takšnih naprav za ustvarjanje kvalificiranega elektronskega podpisa bi se lahko ocenila z alternativnimi postopki, samo kadar takšni varnostni standardi še niso na voljo ali kadar prvi postopek varnostnega certificiranja, kar zadeva informacijsko tehnologijo, še ni zaključen.
Ti postopki bi morali biti primerljivi s standardi za varnostno certificiranje, kar zadeva informacijsko tehnologijo, če sta njihovi ravni varnosti enakovredni.
K tem postopkom bi lahko prispeval medsebojni strokovni pregled.
- = -
(56) V tej uredbi bi morale biti določene zahteve za naprave za ustvarjanje kvalificiranega elektronskega podpisa, da se zagotovi funkcionalnost naprednih elektronskih podpisov.
Ta uredba ne bi smela zajemati celotnega sistemskega okolja, v katerem takšne naprave delujejo.
Zato bi moral biti obseg certificiranja naprav za ustvarjanje kvalificiranega elektronskega podpisa omejen na strojno opremo in sistemsko programsko opremo, ki se uporabljata za upravljanje in varovanje podatkov za ustvarjanje podpisa, ki so ustvarjeni, shranjeni ali obdelani v napravi za ustvarjanje podpisa.
Kot je opredeljeno v zadevnih standardih, obveznost certificiranja ne bi smela veljati za aplikacije za ustvarjanje podpisa.
- = -
(57) Da se zagotovi pravna varnost glede veljavnosti podpisa, je bistveno opredeliti dele kvalificiranega elektronskega podpisa, ki jih mora zanašajoča se stranka, ki izvaja potrjevanje veljavnosti, oceniti.
Poleg tega bi opredelitev zahtev za ponudnike kvalificiranih storitev zaupanja, ki lahko zagotavljajo kvalificirano storitev potrjevanja veljavnosti za zanašajoče se stranke, ki potrjevanja veljavnosti kvalificiranih elektronskih podpisov ne želijo ali ne morejo opravljati same, morala zasebni in javni sektor spodbuditi k naložbam v takšne storitve.
Oba elementa bi morala zagotoviti, da je potrjevanje veljavnosti kvalificiranega elektronskega podpisa enostavno in primerno za vse stranke na ravni Unije.
- = -
(58) Če transakcija zahteva kvalificirani elektronski žig pravne osebe, bi moral biti enako sprejemljiv tudi kvalificirani elektronski podpis pooblaščenega zastopnika pravne osebe.
- = -
(59) Elektronski žigi bi morali služiti kot dokaz, da je elektronski dokument izdala pravna oseba, ter zagotavljati gotovost, kar zadeva izvor in celovitost dokumenta.
- = -
(60) Ponudniki storitev zaupanja, ki izdajajo kvalificirana potrdila za elektronski žig, bi morali izvajati potrebne ukrepe, da se omogoči ugotovitev identitete fizične osebe, ki zastopa pravno osebo, ki se ji se izda kvalificirani potrdilo za elektronski žig, če je takšna identifikacija potrebna v okviru sodnega ali upravnega postopka na nacionalni ravni.
- = -
(61) Ta uredba bi morala zagotoviti dolgoročno hrambo informacij, da se zagotovi pravna veljavnost elektronskih podpisov in elektronskih žigov v daljšem časovnem obdobju ter da se jih lahko potrdi ne glede na prihodnje tehnološke spremembe.
- = -
(62) Da se zagotovi varnost kvalificiranih elektronskih časovnih žigov, bi moralo biti v tej uredbi določena uporaba naprednega elektronskega žiga ali naprednega elektronskega podpisa ali drugih enakovrednih metod.
Predvideti je mogoče, da bi se z inovacijami lahko razvile nove tehnologije, ki bi za časovne žige zagotavljale enakovredno raven varnosti. Če se uporabi druga metoda in ne napredni elektronski žig ali napredni elektronski podpis, bi morala biti naloga ponudnika kvalificiranih storitev zaupanja, da v okviru poročila o ugotavljanju skladnosti dokaže, da takšna metoda zagotavlja enakovredno raven varnosti in izpolnjuje zahteve iz te uredbe.
- = -
(63) Elektronski dokumenti so pomembni za nadaljnji razvoj čezmejnih elektronskih transakcij na notranjem trgu.
Ta uredba bi morala vzpostaviti načelo, da se elektronskemu dokumentu ne bi smelo odvzeti pravnega učinka, ker je v elektronski obliki, s čimer bi se zagotovilo, da elektronska transakcija ne bo zavrnjena le zato, ker je dokument v elektronski obliki.
- = -
(64) Komisija bi morala pri obravnavi formatov naprednih elektronskih podpisov in žigov izhajati iz obstoječih praks, standardov in zakonodaje, zlasti Sklepa Komisije 2011/130/EU (11).
- = -
(67) Storitve za avtentikacijo spletišč obiskovalcu spletišča dajejo zagotovilo, da za tem spletiščem stoji pristen in legitimen subjekt.
Te storitve prispevajo h krepitvi zaupanja v poslovanje prek spleta, saj uporabniki zaupajo spletišču, ki je bilo avtenticirano.
Zagotavljanje in uporaba storitev za avtentikacijo spletišč sta povsem prostovoljna.
Da bi avtentikacija spletišč postala sredstvo za krepitev zaupanja in zagotavljanje boljše izkušnje uporabnikov ter spodbujanje rasti na notranjem trgu, pa bi se moralo s to uredbo določiti minimalne obveznosti glede varnosti in odgovornosti za ponudnike in njihove storitve.
V ta namen so bili upoštevani rezultati obstoječih pobud, ki jih je začel zadevni sektor, na primer forum CA/B – Certification Authorities/Browsers Forum.
Poleg tega ta uredba ne bi smela ovirati uporabe drugih sredstev ali metod za avtentikacijo spletišč, ki niso zajeti s to uredbo, ponudnikom storitev za avtentikacijo spletišč iz tretjih držav pa ne bi smela preprečevati, da bi svoje storitve zagotavljali strankam v Uniji.
Vendar bi se storitve za avtentikacijo spletišč, ki jih zagotavlja ponudnik iz tretje države, morale priznati kot kvalificirane v skladu s to uredbo le, če imata Unija in država sedeža ponudnika sklenjen mednarodni sporazum.
- = -
(70) Da bi se nekateri podrobni tehnični vidiki te uredbe lahko prilagodljivo in hitro dopolnili, bi bilo treba na Komisijo prenesti pooblastilo, da v skladu s členom 290 PDEU sprejme akte v zvezi z merili, ki jih morajo izpolnjevati organi, pristojni za certificiranje naprav za ustvarjanje kvalificiranega elektronskega podpisa.
Zlasti je pomembno, da Komisija pri pripravljalnem delu opravi ustrezna posvetovanja, vključno na ravni strokovnjakov.
Komisija bi morala pri pripravi in oblikovanju delegiranih aktov zagotoviti, da so ustrezni dokumenti predloženi Evropskemu parlamentu in Svetu istočasno, pravočasno in na ustrezen način.
- = -
(71) Za zagotovitev enotnih pogojev izvajanja te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila, zlasti za opredelitev referenčnih številk standardov, katerih uporaba bi predstavljala domnevo skladnosti z določenimi zahtevami iz te uredbe.
Ta pooblastila bi se morala izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (12).
- = -
(72) Komisija bi morala pri sprejemanju delegiranih ali izvedbenih aktov upoštevati standarde in tehnične specifikacije, ki jih pripravijo evropski in mednarodni organi in organizacije za standardizacijo, zlasti Evropski odbor za standardizacijo (CEN), Evropski inštitut za telekomunikacijske standarde (ETSI), Mednarodna organizacija za standardizacijo (ISO) in Mednarodna telekomunikacijska zveza (ITU), da bi zagotovili visoko raven varnosti in interoperabilnosti elektronske identifikacije in storitev zaupanja.
- = -