EIDAS 2014/0910 SL

1. Brez poseganja v odstavek 2 so ponudniki storitev zaupanja odgovorni za škodo, ki je namenoma ali iz malomarnosti povzročena fizični ali pravni osebi zaradi neizpolnjevanja obveznosti po tej uredbi.

Dokazno breme o namenu (naklepu) ali malomarnosti ponudnika nekvalificiranih storitev zaupanja nosi fizična ali pravna oseba, ki zatrjuje škodo iz prvega pododstavka.

Domneva se, da je ponudnik kvalificiranih storitev zaupanja škodo povzročil namenoma ali iz malomarnosti, razen če dokaže, da škode iz prvega pododstavka ni povzročil namenoma ali iz malomarnosti.

2. Kadar ponudniki storitev zaupanja svoje stranke ustrezno vnaprej obvestijo o omejitvah uporabe storitev, ki jih zagotavljajo, in kadar tretja stranka te omejitve lahko prepozna, ponudniki storitev zaupanja niso odgovorni za škodo, ki izhaja iz uporabe storitev, ki presega navedene omejitve.

3. Odstavka 1 in 2 se uporabljata v skladu z nacionalnimi pravili o odgovornosti.

Člen 14

Mednarodni vidiki

1. Storitve zaupanja, ki jih zagotavljajo ponudniki storitev zaupanja s sedežem v tretji državi, so pravno enakovredne kvalificiranim storitvam zaupanja, ki jih zagotavljajo ponudniki kvalificiranih storitev zaupanja s sedežem v Uniji, kadar se storitve zaupanja iz tretje države priznajo na podlagi sporazuma, sklenjenega med Unijo in zadevno tretjo državo ali mednarodno organizacijo v skladu s členom 218 PDEU.

2. Sporazumi iz odstavka 1 zagotavljajo zlasti, da:

(a)

ponudniki storitev zaupanja v tretji državi ali mednarodnih organizacijah, s katerimi je sklenjen sporazum, in storitve zaupanja, ki jih zagotavljajo, izpolnjujejo zahteve, ki veljajo za ponudnike kvalificiranih storitev zaupanja s sedežem v Uniji in za kvalificirane storitve zaupanja, ki jih zagotavljajo;

(b)	so kvalificirane storitve zaupanja, ki jih zagotavljajo ponudniki kvalificiranih storitev zaupanja s sedežem v Uniji, pravno enakovredne storitvam zaupanja, ki jih zagotavljajo ponudniki storitev zaupanja v tretji državi ali mednarodni organizaciji, s katero je sklenjen sporazum.

Člen 17

Nadzorni organ

1. Države članice imenujejo nadzorni organ s sedežem na njihovem ozemlju ali – po medsebojnem dogovoru z drugo državo članico – nadzorni organ s sedežem v tej drugi državi članici. Ta organ je odgovoren za nadzorne naloge v državi članici, ki organ imenuje.

Nadzorni organi imajo potrebna pooblastila in ustrezne vire za opravljanje svojih nalog.

2. Države članice Komisijo uradno obvestijo o imenu in naslovu svojih imenovanih nadzornih organov.

3. Vloga nadzornega organa je:

(a)	nadzirati ponudnike kvalificiranih storitev zaupanja s sedežem na ozemlju države članice, ki organ imenuje, da na podlagi predhodnih in naknadnih nadzornih dejavnosti zagotovijo, da ti ponudniki in kvalificirane storitve zaupanja, ki jih zagotavljajo, izpolnjujejo zahteve iz te uredbe;

(b)	po potrebi sprejeti ukrepe v zvezi s ponudniki nekvalificiranih storitev zaupanja s sedežem na ozemlju države članice, ki organ imenuje, na podlagi naknadnega nadzora, kadar je obveščen, da ti ponudniki ali storitve zaupanja, ki jih zagotavljajo, domnevno ne izpolnjujejo zahtev iz te uredbe.

4. Za namene odstavka 3 in ob upoštevanju omejitev iz navedenega odstavka naloge nadzornega organa vključujejo zlasti:

(a)	sodelovanje z drugimi nadzornimi organi in zagotavljanje pomoči tem organom v skladu s členom 18;

(b)	analizo poročil o ugotavljanju skladnosti iz členov 20(1) in 21(1);

(c)	obveščanje drugih nadzornih organov in javnosti o kršitvah varnosti ali izgubi celovitosti v skladu s členom 19(2);

(d)	poročanje Komisiji o svojih glavnih dejavnostih v skladu z odstavkom 6 tega člena;

(e)	izvajanje revizij ali izdajanje zahtevkov organu za ugotavljanje skladnosti, da opravi ugotavljanje skladnosti ponudnikov kvalificiranih storitev zaupanja v skladu s členom 20(2);

(f)	sodelovanje z organi za varstvo podatkov, zlasti obveščanje teh organov o rezultatih revizij ponudnikov kvalificiranih storitev zaupanja brez nepotrebnega odlašanja, če se zdi, da so bila kršena pravila o varstvu osebnih podatkov;

(g)	odobritev kvalificiranega statusa ponudnikom storitev zaupanja in storitvam, ki jih zagotavljajo, ter odvzem takšnega statusa v skladu s členoma 20 in 21;

(h)	obveščanje organa, odgovornega za nacionalni zanesljiv seznam iz člena 22(3), o odločitvah glede odobritve ali odvzema kvalificiranega statusa, razen v primeru, ko je ta organ tudi nadzorni organ;

(i)	preverjanje obstoja in pravilne uporabe določb o načrtih za prenehanje zagotavljanja storitve v primerih, ko ponudnik kvalificiranih storitev zaupanja preneha opravljati svoje dejavnosti, vključno z načinom, kako so te informacije dostopne v skladu s točko (h) člena 24(2);

(j)	izdajanje zahtevkov ponudnikom storitev zaupanja, da odpravijo morebitno neizpolnjevanje zahtev iz te uredbe.

5. Države članice lahko zahtevajo, da nadzorni organ vzpostavi, vzdržuje in posodablja infrastrukturo zaupanja v skladu s pogoji iz nacionalnega prava.

6. Vsako leto do 31. marca vsak nadzorni organ Komisiji predloži poročilo o svojih glavnih dejavnostih v predhodnem koledarskem letu, skupaj s povzetkom uradnih obvestil o kršitvah, ki jih je prejel od ponudnikov storitev zaupanja v skladu s členom 19(2).

7. Komisija zagotovi, da je letno poročilo iz odstavka 6 na voljo državam članicam.

8. Komisija lahko z izvedbenimi akti opredeli oblike in postopke, ki se nanašajo na poročilo iz odstavka 6. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 19

Varnostne zahteve za ponudnike storitev zaupanja

1. ponudniki kvalificiranih in nekvalificiranih storitev zaupanja sprejmejo ustrezne tehnične in organizacijske ukrepe za obvladovanje nevarnosti, povezanih z varnostjo storitev zaupanja, ki jih zagotavljajo. Ti ukrepi ob upoštevanju najnovejših tehnoloških dosežkov zagotavljajo, da je raven varnosti sorazmerna s stopnjo nevarnosti. Sprejmejo se zlasti zato, da bi preprečili in čim bolj zmanjšali vpliv varnostnih incidentov ter deležnike obvestili o škodljivih učinkih takih incidentov.

2. ponudniki kvalificiranih in nekvalificiranih storitev zaupanja o vsaki kršitvi varnosti ali izgubi celovitosti, ki znatno vpliva na zagotovljeno storitev zaupanja ali na osebne podatke, vsebovane v njej, brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po ugotovitvi, uradno obvestijo nadzorni organ, po potrebi pa tudi druge pristojne organe, kot je pristojni nacionalni organ za varnost informacij ali organ za varstvo podatkov.

Kadar je verjetno, da bo kršitev varnosti ali izguba celovitosti negativno vplivala na fizično ali pravno osebo, ki ji je bila zagotovljena storitev zaupanja, ponudnik storitev zaupanja o kršitvi varnosti ali izgubi celovitosti brez nepotrebnega odlašanja uradno obvesti tudi fizično ali pravno osebo.

Uradno obveščeni nadzorni organ po potrebi obvesti nadzorne organe drugih zadevnih držav članic in agencijo ENISA, zlasti če kršitev varnosti ali izguba celovitosti zadeva dve ali več držav članic.

Uradno obveščeni nadzorni organ o tem obvesti javnost ali to zahteva od ponudnika storitev zaupanja, kadar ugotovi, da je razkritje kršitve varnosti ali izgube celovitosti v javnem interesu.

3. Nadzorni organ agenciji ENISA enkrat na leto predloži povzetek uradnih obvestil o kršitvi varnosti in izgubi celovitosti, ki jih je prejel od ponudnikov storitev zaupanja.

4. Komisija lahko z izvedbenimi akti:

(a)	dodatno opredeli ukrepe iz odstavka 1 ter

(b)	določi oblike in postopke, vključno z roki, ki se uporabljajo za namene odstavka 2.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

ODDELEK 3

Kvalificirane storitve zaupanja

Člen 20

Nadzor ponudnikov kvalificiranih storitev zaupanja

1. Ponudnike kvalificiranih storitev zaupanja na njihove lastne stroške vsaj vsakih 24 mesecev revidira organ za ugotavljanje skladnosti. Namen revizije je potrditi, ali ponudniki kvalificiranih storitev zaupanja in kvalificirane storitve zaupanja, ki jih zagotavljajo, izpolnjujejo zahteve iz te uredbe. ponudniki kvalificiranih storitev zaupanja zadevno poročilo o ugotavljanju skladnosti predložijo nadzornemu organu v treh delovnih dneh po njegovem prejemu.

2. Brez poseganja v odstavek 1 lahko nadzorni organ – na stroške teh ponudnikov kvalificiranih storitev zaupanja – kadar koli revidira ponudnike kvalificiranih storitev zaupanja ali zahteva, da organ za ugotavljanje skladnosti opravi ugotavljanje skladnosti teh ponudnikov, da se potrdi, da ponudniki in kvalificirane storitve zaupanja, ki jih zagotavljajo, izpolnjujejo zahteve iz te uredbe. V primeru, da so bila pravila o varstvu osebnih podatkov kršena, nadzorni organ obvesti organe za varstvo podatkov o rezultatih svojih revizij.

3. Kadar nadzorni organ zahteva, da ponudnik kvalificiranih storitev zaupanja odpravi vsakršno neizpolnjevanje zahtev iz te uredbe, ta ponudnik pa ne sprejme ustreznih ukrepov – po potrebi v roku, ki ga določi nadzorni organ – lahko nadzorni organ ob upoštevanju zlasti obsega, trajanja in posledic takšnega neizpolnjevanja temu ponudniku ali zadevnim storitvam, ki jih ponudnik zagotavlja, odvzame kvalificirani status ter o tem obvesti organ iz člena 22(3), da se posodobijo zanesljivi seznami iz člena 22(1). Nadzorni organ obvesti ponudnika kvalificiranih storitev zaupanja o odvzemu kvalificiranega statusa temu ponudniku ali zadevnim storitvam.

4. Komisija lahko z izvedbenimi akti določi referenčne številke naslednjih standardov:

(a)	akreditacija organov za ugotavljanje skladnosti in za poročila o ugotavljanju skladnosti iz odstavka 1;

(b)	pravila o reviziji, na podlagi katerih bodo organi za ugotavljanje skladnosti opravili ugotavljanje skladnosti ponudnikov kvalificiranih storitev zaupanja iz odstavka 1.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 21

Začetek zagotavljanja kvalificirane storitve zaupanja

1. Kadar nameravajo ponudniki storitev zaupanja brez kvalificiranega statusa začeti zagotavljati kvalificirane storitve zaupanja, svojo namero priglasijo nadzornemu organu ter mu predložijo poročilo o ugotavljanju skladnosti, ki ga izda organ za ugotavljanje skladnosti.

2. Nadzorni organ preveri, ali ponudnik storitev zaupanja in storitve zaupanja, ki jih ta zagotavlja, izpolnjujejo zahteve iz te uredbe, zlasti zahteve za ponudnike kvalificiranih storitev zaupanja in za kvalificirane storitve zaupanja, ki jih ti zagotavljajo.

Če nadzorni organ ugotovi, da ponudnik storitev zaupanja in storitve zaupanja, ki jih ti zagotavljajo, izpolnjuje zahteve iz prvega pododstavka, najpozneje tri mesece po priglasitvi v skladu z odstavkom 1 tega člena ponudniku storitev zaupanja in storitvam zaupanja, ki jih ta zagotavlja, podeli kvalificirani status ter obvesti organ iz člena 22(3), da se posodobijo zanesljivi seznami iz člena 22(1).

Če nadzorni organ preverjanja ne konča v treh mesecih od priglasitve, o tem obvesti ponudnika storitev zaupanja ter navede razloge za zamudo in rok, v katerem bo preverjanje končano.

3. ponudniki kvalificiranih storitev zaupanja lahko začnejo zagotavljati kvalificirane storitve zaupanja, potem ko je kvalificirani status naveden na zanesljivem seznamu iz člena 22(1).

4. Komisija lahko z izvedbenimi akti določi oblike in postopke za namene odstavkov 1 in 2. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 22

Zanesljivi seznami

1. Vsaka država članica sestavi, vodi in objavi zanesljive sezname, vključno z informacijami o ponudnikih kvalificiranih storitev zaupanja, za katere je odgovorna, skupaj z informacijami o kvalificiranih storitvah zaupanja, ki jih ti ponudniki zagotavljajo.

2. Države članice v obliki, primerni za avtomatizirano obdelavo, na varen način sestavijo, vodijo in objavijo elektronsko podpisane ali ožigosane zanesljive sezname ponudnikov storitev zaupanja iz odstavka 1.

3. Države članice Komisijo brez nepotrebnega odlašanja uradno obvestijo o vseh informacijah o organu, ki je pristojen za sestavljanje, vodenje in objavljanje nacionalnih zanesljivih seznamov, ter podrobnosti o tem, kje so taki seznami objavljeni, o potrdilih, uporabljenih za podpisovanje ali ožigosanje zanesljivih seznamov, ter o vseh njihovih spremembah.

4. Komisija na varen način in v elektronsko podpisani ali ožigosani obliki, primerni za avtomatizirano obdelavo, da informacije iz odstavka 3 na voljo javnosti.

5. Komisija do 18. septembra 2015 z izvedbenimi akti določi informacije iz odstavka 1 ter opredeli tehnične specifikacije in oblike za zanesljive sezname, ki se uporabljajo za namene odstavkov 1 do 4. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 24

Zahteve za ponudnike kvalificiranih storitev zaupanja

1. Ob izdaji kvalificiranega potrdila za storitev zaupanja ponudnik kvalificiranih storitev zaupanja z ustreznimi sredstvi in v skladu z nacionalnim pravom preveri identiteto in po potrebi druge posebne lastnosti fizične ali pravne osebe, za katero se izdaja kvalificirano potrdilo.

Ponudnik kvalificiranih storitev zaupanja podatke iz prvega pododstavka preveri bodisi neposredno ali prek tretje osebe v skladu z nacionalnim pravom:

(a)	s fizično prisotnostjo fizične osebe ali pooblaščenega predstavnika pravne osebe ali

(b)

na daljavo, s pomočjo sredstev elektronske identifikacije, v zvezi s katerimi je bila pred izdajo kvalificiranega potrdila zagotovljena fizična prisotnost fizične osebe ali pooblaščenega predstavnika pravne osebe in ki izpolnjujejo zahteve iz člena 8 v zvezi s „srednjo“ ali „visoko“ ravnjo zanesljivosti, ali

(c)	s potrdilom kvalificiranega elektronskega podpisa ali kvalificiranega elektronskega žiga, izdanega v skladu s točko (a) ali (b), ali

(d)	s pomočjo drugih načinov identifikacije, ki so priznani na nacionalni ravni in zagotavljajo enakovredno zanesljivost kakor fizična prisotnost. Enakovredno zanesljivost potrdi organ za ugotavljanje skladnosti.

2. Ponudnik kvalificiranih storitev zaupanja, ki zagotavlja kvalificirane storitve zaupanja:

(a)	obvesti nadzorni organ o vsaki spremembi pri zagotavljanju svojih kvalificiranih storitev zaupanja ter o nameri o prenehanju opravljanja teh dejavnosti;

(b)

zaposluje osebje in po potrebi podizvajalce, ki imajo potrebno strokovno znanje, izkušnje in kvalifikacije ter so zanesljivi in ki so se udeležili ustreznega usposabljanja v zvezi z varnostjo in pravili o varstvu osebnih podatkov ter uporabljajo upravne in upravljavske postopke, ki so v skladu z evropskimi ali mednarodnimi standardi;

(c)	kar zadeva tveganje odškodninske odgovornosti v skladu s členom 13, ohranja zadostna finančna sredstva in/ali pridobi ustrezno zavarovanje odgovornosti v skladu z nacionalnim pravom;

(d)	pred vstopom v pogodbeno razmerje vsako osebo, ki želi uporabljati kvalificirano storitev zaupanja, jasno in razumljivo obvesti o natančnih splošnih pogojih uporabe zadevne storitve, tudi o morebitnih omejitvah njene uporabe;

(e)	uporablja zaupanja vredne sisteme in izdelke, ki so zaščiteni pred spreminjanjem ter zagotavljajo tehnično varnost in zanesljivost postopkov, pri katerih se uporabljajo;

(f)

uporablja zaupanja vredne sisteme za shranjevanje podatkov, ki jih prejme, v preverljivi obliki, tako da:

(i)	so ti javno dostopni samo, če je bila pridobljena privolitev osebe, na katero se podatki nanašajo,

(ii)	lahko le pooblaščene osebe vnašajo podatke in spreminjajo shranjene podatke,

(iii)

se lahko preveri avtentičnost podatkov;

(g)	sprejme ustrezne ukrepe proti ponarejanju in kraji podatkov;

(h)

v ustreznem časovnem obdobju, tudi potem, ko je ponudnik kvalificiranih storitev zaupanja prenehal opravljati dejavnosti, beleži vse pomembne informacije o podatkih, ki jih je izdal in prejel ponudnik kvalificiranih storitev zaupanja, in ohranja dostop do njih, zlasti da se zagotovijo dokazi v pravnih postopkih in neprekinjenost storitve. Beleženje je lahko elektronsko;

(i)	ima posodobljen načrt za prenehanje zagotavljanja storitve, da se zagotovi neprekinjenost storitve v skladu z določbami, ki jih preveri nadzorni organ v skladu s točko (i) člena 17(4);

(j)	zagotovi zakonito obdelavo osebnih podatkov v skladu z Direktivo 95/46/ES;

(k)	v primeru ponudnikov kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vzpostavi in posodablja podatkovno zbirko potrdil.

3. Če ponudnik kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, sklene, da se potrdilo prekliče, tak preklic zabeleži v svoji podatkovni zbirki potrdil in pravočasno, v vsakem primeru pa v 24 urah po prejetju zahtevka, objavi, da je potrdilo preklicano. Preklic začne učinkovati takoj po objavi.

4. V zvezi z odstavkom 3 ponudniki kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vsaki zanašajoči se stranki zagotovijo informacije o veljavnosti ali preklicu kvalificiranih potrdil, ki so jih izdali. Te informacije so vsaj za posamezna potrdila na voljo kadar koli in tudi po izteku veljavnosti potrdila, in sicer na zanesljiv, brezplačen in učinkovit avtomatiziran način.

5. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za zaupanja vredne sisteme in izdelke, ki izpolnjujejo zahteve iz točk (e) in (f) odstavka 2 tega člena. Zahteve iz tega člena veljajo za izpolnjene, kadar zaupanja vredni sistemi in izdelki izpolnjujejo te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

ODDELEK 4

Elektronski podpisi

Člen 44

Zahteve za kvalificirane storitve elektronske priporočene dostave

1. Kvalificirane storitve elektronske priporočene dostave izpolnjujejo naslednje zahteve:

(a)	zagotavlja jih eden ali več ponudnikov kvalificiranih storitev zaupanja;

(b)	z visoko stopnjo zaupanja zagotavljajo identifikacijo pošiljatelja;

(c)	zagotavljajo identifikacijo naslovnika pred dostavo podatkov;

(d)	oddaja in prejem podatkov je zavarovano z naprednim elektronskim podpisom ali naprednim elektronskim žigom ponudnika kvalificiranih storitev zaupanja, tako da je izključena možnost spremembe podatkov, ne da bi bila ta sprememba zaznana;

(e)	vsaka sprememba podatkov, potrebna za pošiljanje ali prejem podatkov, se jasno sporoči pošiljatelju in naslovniku podatkov;

(f)	s kvalificiranim elektronskim časovnim žigom se navedeta datum in čas oddaje, prejema in vseh sprememb podatkov;

Pri prenašanju podatkov med dvema ali več ponudniki kvalificiranih storitev zaupanja veljajo zahteve iz točk (a) do (f) za vse ponudnike kvalificiranih storitev zaupanja.

2. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za postopke pošiljanja in prejemanja podatkov. Zahteve iz odstavka 1 veljajo za izpolnjene, če postopek pošiljanja in prejemanja podatkov izpolnjuje navedene standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

ODDELEK 8

Avtentikacija spletišč

Člen 52

Začetek veljavnosti

1. Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2. Ta uredba se uporablja od 1. julija 2016, z naslednjimi izjemami:

(a)	členi 8(3), 9(5), 12(2) do (9), 17(8), 19(4), 20(4), 21(4), 22(5), 23(3), 24(5), 27(4) in (5), 28(6), 29(2), 30(3) in (4), 31(3), 32(3), 33(2), 34(2), 37(4) in (5), 38(6), 42(2), 44(2), 45(2), ter člena 47 in 48 se uporabljajo od 17. septembra 2014;

(b)	člen 7, člen 8(1) in (2), členi 9, 10, 11 ter člen 12(1) se uporabljajo od datuma začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8);

(c)	člen 6 se začne uporabljati tri leta po datumu začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8).

3. Če se priglašena shema elektronske identifikacije navede na seznamu, ki ga Komisija objavi v skladu s členom 9, pred datumom iz točke (c) odstavka 2 tega člena, se sredstva elektronske identifikacije v okviru te sheme priznajo na podlagi člena 6 najpozneje 12 mesecev po objavi te sheme, vendar ne pred datumom iz točke (c) odstavka 2 tega člena.

4. Ne glede na točko (c) odstavka 2 tega člena lahko država članica sklene, da se sredstva elektronske identifikacije v okviru sheme elektronske identifikacije, ki jo na podlagi člena 9(1) priglasi druga država članica, priznajo v prvi državi članici od datuma začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8). Zadevne države članice obvestijo Komisijo. Komisija te informacije objavi.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 23. julija 2014

Za Parlament

Predsednik

M. SCHULZ

Za Svet

Predsednik

S. GOZI

(1) UL C 351, 15.11.2012, str. 73.

(2) Stališče Evropskega parlamenta z dne 3. aprila 2014 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 23. julija 2014.

(3) Direktiva 1999/93/ES Evropskega parlamenta in Sveta z dne 13. decembra 1999 o okviru Skupnosti za elektronski podpis (UL L 13, 19.1.2000, str. 12).

(4) UL C 50 E, 21.2.2012, str. 1.

(5) Direktiva 2006/123/ES Evropskega parlamenta in Sveta z dne 12. decembra 2006 o storitvah na notranjem trgu (UL L 376, 27.12.2006, str. 36).

(6) Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).

(7) Direktiva 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

(8) Sklep Sveta 2010/48/ES z dne 26. novembra 2009 o sklenitvi Konvencije Združenih narodov o pravicah invalidov s strani Evropske skupnosti (UL L 23, 27.1.2010, str. 35).

(9) Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30).

(10) Odločba Komisije 2009/767/ES z dne 16. oktobra 2009 o vzpostavitvi ukrepov za pospeševanje uporabe postopkov po elektronski poti s pomočjo „enotnih kontaktnih točk“ po Direktivi 2006/123/ES Evropskega parlamenta in Sveta o storitvah na notranjem trgu (UL L 274, 20.10.2009, str. 36).

(11) Sklep Komisije 2011/130/EU z dne 25. februarja 2011 o določitvi minimalnih zahtev glede čezmejne obdelave dokumentov z elektronskim podpisom pristojnih organov v skladu z Direktivo 2006/123/ES Evropskega parlamenta in Sveta o storitvah na notranjem trgu (UL L 53, 26.2.2011, str. 66).

(12) Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

(13) Uredba (ES) št. 45/2001 Evropskega parlamenta in Svet z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12,1,2001, str. 1).

(14) UL C 28, 30.1.2013, str. 6.

(15) Direktiva 2014/24/EU Evropskega parlamenta in Sveta z dne 26. februarja 2014 o javnem naročanju in razveljavitvi Direktive 2004/18/ES (UL L 94, 28.3.2014, str. 65).

PRILOGA I

ZAHTEVE V ZVEZI S KVALIFICIRANIMI POTRDILI ZA ELEKTRONSKE PODPISE

Kvalificirana potrdila za elektronske podpise vsebujejo:

(a)	navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za elektronski podpis;

(b)

nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in

—	za pravne osebe: ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah,

—	za fizične osebe: ime osebe;

(c)	vsaj ime podpisnika ali psevdonim; če je uporabljen psevdonim, se to jasno navede;

(d)	podatke za potrjevanje veljavnosti elektronskega podpisa, ki ustrezajo podatkom za ustvarjanje elektronskega podpisa;

(e)	podrobnosti o začetku in koncu veljavnosti potrdila;

(f)	identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;

(g)	napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;

(h)	lokacijo, kjer je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (g), na voljo brezplačno;

(i)	lokacijo storitev, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila;

(j)	če se podatki za ustvarjanje elektronskega podpisa, povezani s podatki za potrjevanje veljavnosti elektronskega podpisa, nahajajo v napravi za ustvarjanje kvalificiranega elektronskega podpisa, se to ustrezno navede vsaj v formatu, primernem za avtomatizirano obdelavo.

PRILOGA II

ZAHTEVE V ZVEZI Z NAPRAVAMI ZA USTVARJANJE KVALIFICIRANEGA ELEKTRONSKEGA PODPISA

Naprave za ustvarjanje kvalificiranega elektronskega podpisa z ustrezno tehnologijo in postopki zagotavljajo vsaj, da:

(a)	je razumno zagotovljena zaupnost podatkov za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis;

(b)	se lahko podatki za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, dejansko pojavijo samo enkrat;

(c)	je razumno zagotovljeno, da do podatkov za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, ni mogoče priti s sklepanjem in da je elektronski podpis z uporabo trenutno razpoložljive tehnologije zanesljivo zaščiten pred ponarejanjem;

(d)	lahko zakoniti podpisnik zanesljivo zaščiti podatke za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, pred tem, da bi jih lahko uporabljali drugi.

Naprave za ustvarjanje kvalificiranega elektronskega podpisa ne spreminjajo podatkov, ki bodo podpisani, ali preprečijo, da bi se ti podatki podpisniku prikazali pred podpisom.

Podatke za ustvarjanje elektronskega podpisa lahko v imenu podpisnika pridobiva ali upravlja le ponudnik kvalificiranih storitev zaupanja.

ponudniki kvalificiranih storitev zaupanja, ki v imenu podpisnika upravljajo podatke za ustvarjanje elektronskega podpisa, lahko brez poseganja v točko (d) točke 1 podatke za ustvarjanje elektronskega podpisa podvajajo le za namene varnostne kopije, pod pogojem, da sta izpolnjeni naslednji zahtevi:

(a)	varnost podvojenih naborov podatkov je enaka ravni, ki jo ima varnost prvotnih naborov podatkov;

(b)	število podvojenih naborov podatkov ni večje, kot je to nujno potrebno, da se zagotovi neprekinjenost storitve.

PRILOGA III

ZAHTEVE V ZVEZI S KVALIFICIRANIMI POTRDILI ZA ELEKTRONSKE ŽIGE

Kvalificirana potrdila za elektronske žige vsebujejo:

(a)	navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za elektronski žig;

(b)

nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in

—	za pravne osebe: ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah,

—	za fizične osebe: ime osebe;

(c)	vsaj ime ustvarjalca žiga in po potrebi registrsko številko, kot sta navedena v uradnih evidencah;

(d)	podatke za potrjevanje veljavnosti elektronskega žiga, ki ustrezajo podatkom za ustvarjanje elektronskega žiga;

(e)	podrobnosti o začetku in koncu veljavnosti potrdila;

(f)	identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;

(g)	napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;

(h)	lokacijo, kjer je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (g), na voljo brezplačno;

(i)	lokacijo storitev, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila;

(j)	če se podatki za ustvarjanje elektronskega žiga, povezani s podatki za potrjevanje elektronskega žiga, nahajajo v napravi za ustvarjanje kvalificiranega elektronskega žiga, se to ustrezno navede vsaj v formatu, primernem za avtomatizirano obdelavo.

PRILOGA IV

ZAHTEVE ZA KVALIFICIRANA POTRDILA ZA AVTENTIKACIJO SPLETIŠČ

Kvalificirana potrdila za avtentikacijo spletišč vsebujejo:

(a)	navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za avtentikacijo spletišč;

(b)

nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in

—	za pravne osebe: ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah,

—	za fizične osebe: ime osebe;

(c)	za fizične osebe: vsaj ime osebe, za katero se izdaja potrdilo, ali psevdonim. Če je uporabljen psevdonim, se to jasno navede; za pravne osebe: vsaj ime pravne osebe, za katero se izdaja potrdilo, in po potrebi registrsko številko, kot sta navedena v uradnih evidencah;

(d)	elemente naslova fizične ali pravne osebe, za katero se izdaja potrdilo, vključno vsaj s krajem in državo, po potrebi, kot so navedeni v uradnih evidencah;

(e)	ime/imena domene, ki jo upravlja fizična ali pravna oseba, za katero se izdaja potrdilo;

(f)	podrobnosti o začetku in koncu obdobja veljavnosti potrdila;

(g)	identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;

(h)	napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;

(i)	lokacijo, na kateri je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (h), na voljo brezplačno;

(j)	lokacijo storitev za preverjanje veljavnosti potrdila, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila.

whereas

(11) To uredbo bi bilo treba uporabljati ob doslednem spoštovanju načel glede varstva osebnih podatkov iz Direktive 95/46/ES Evropskega parlamenta in Sveta (7).
V zvezi s tem bi morala avtentikacija za spletno storitev, ob upoštevanju načela vzajemnega priznavanja iz te uredbe, zajemati obdelavo le tistih identifikacijskih podatkov, ki so ustrezni in relevantni ter niso pretirani za odobritev dostopa do te spletne storitve.
Poleg tega bi morali tudi ponudniki storitev zaupanja in nadzorni organi spoštovati zahteve iz Direktive 95/46/ES v zvezi z zaupnostjo in varnostjo obdelave.

- = -

(32) Vsi ponudniki storitev zaupanja bi morali uporabljati dobro prakso varnosti, ki ustreza tveganjem, povezanim z njihovimi dejavnostmi, da bi okrepili zaupanje uporabnikov v enotni trg.

- = -

(35) Zahteve iz te uredbe bi morale veljati za vse ponudnike storitev zaupanja, zlasti zahteve glede varnosti in odgovornosti, da v zvezi s svojimi postopki in storitvami zagotovijo ustrezno skrbnost, preglednost in odgovornost.
Vendar je ob upoštevanju vrste storitev, ki jih zagotavljajo ponudniki storitev zaupanja, v zvezi s temi zahtevami ustrezno razlikovati med ponudniki kvalificiranih in ponudniki nekvalificiranih storitev zaupanja.

- = -

(36) Vzpostavitev ureditve nadzora za vse ponudnike storitev zaupanja bi morala zagotoviti enake konkurenčne pogoje za varnost in odgovornost v zvezi z njihovimi postopki in storitvami ter s tem prispevati k zaščiti uporabnikov in delovanju notranjega trga.
Pri ponudnikih nekvalificiranih storitev zaupanja bi se morale izvajati manj obsežne ter odzivne naknadne nadzorne dejavnosti, ob upoštevanju narave njihovih storitev in postopkov.
Nadzorni organ torej ne bi smel imeti splošne obveznosti nadzora ponudnikov nekvalificiranih storitev zaupanja.
Ukrepati bi moral le, če je obveščen (na primer s strani ponudnika nekvalificiranih storitev zaupanja samega ali drugega nadzornega organa, z uradnim obvestilom uporabnika ali poslovnega partnerja ali na podlagi svoje lastne preiskave), da ponudnik nekvalificiranih storitev zaupanja ne ravna v skladu z zahtevami iz te uredbe.

- = -

(37) Ta uredba bi morala določiti odgovornost vseh ponudnikov storitev zaupanja.
Zlasti vzpostavlja ureditev odgovornosti, v skladu s katero bi morali biti vsi ponudniki storitev zaupanja odgovorni za škodo, ki jo povzročijo fizični ali pravni osebi zaradi neizpolnjevanja obveznosti iz te uredbe.
Da bi poenostavili oceno finančnega tveganja, ki bi mu lahko bili izpostavljeni ponudniki storitev zaupanja ali bi moralo biti krito z njihovimi zavarovalnimi policami, ta uredba ponudnikom teh storitev omogoča, da pod določenimi pogoji določijo omejitve glede uporabe storitev, ki jih zagotavljajo, in tako niso odgovorni za škodo zaradi uporabe teh storitev, ki presega takšno omejitev.
Potrošniki bi morali biti vnaprej ustrezno obveščeni o omejitvah.
Te omejitve bi morale biti prepoznavne za tretje osebe, na primer tako, da se informacije o omejitvah vključijo v splošne pogoje zagotavljane storitve, ali na drug prepoznaven način.
Da bi ta načela lahko učinkovala, bi bilo treba to uredbo uporabljati v skladu z nacionalnimi pravili o odgovornosti.
Ta uredba tako ne vpliva na navedena nacionalna pravila, na primer o opredelitvi škode, namena (naklepa) in malomarnosti, ali na ustrezna veljavna postopkovna pravila.

- = -

(41) Da bi zagotovili vzdržnost in trajnost kvalificiranih storitev zaupanja ter okrepili zaupanje uporabnikov v neprekinjenost kvalificiranih storitev zaupanja, bi morali nadzorni organi preveriti obstoj in pravilno uporabo določb o načrtih za prenehanje v primerih, ko ponudniki kvalificiranih storitev zaupanja prenehajo opravljati svoje dejavnosti.

- = -

(43) Da se zagotovi skladnost ponudnikov kvalificiranih storitev zaupanja in storitev, ki jih ti zagotavljajo, z zahtevami iz te uredbe, bi moral organ za ugotavljanje skladnosti izvajati ugotavljanje skladnosti, njegova poročila o ugotavljanju skladnosti pa bi ponudniki kvalificiranih storitev zaupanja morali predložiti nadzornemu organu.
Kadar nadzorni organ od ponudnika kvalificiranih storitev zaupanja zahteva, da predloži poročilo o priložnostnem ugotavljanju skladnosti, bi moral pri tem spoštovati zlasti načela dobrega upravljanja, vključno z obveznostjo utemeljitve svojih odločitev, in načelo sorazmernosti.
Zato bi nadzorni organ moral ustrezno utemeljiti svoje odločitve, s katerimi zahteva priložnostno ugotavljanje skladnosti.

- = -

(45) Da se omogoči učinkovit postopek za vključitev ponudnikov kvalificiranih storitev zaupanja in kvalificiranih storitev zaupanja, ki jih ti zagotavljajo, na zanesljive sezname, bi bilo treba spodbujati predhodno sodelovanje med bodočimi ponudniki kvalificiranih storitev zaupanja in pristojnim nadzornim organom, da se spodbudi ustrezna skrbnost, potrebna za začetek zagotavljanja kvalificiranih storitev zaupanja.

- = -

(47) Zaupanje v spletne storitve in njihova uporabnost sta ključna, da bi uporabniki izkoristili vse možnosti elektronskih storitev in se nanje zavestno zanesli.
Zato bi bilo treba ustvariti znak zaupanja EU, s katerim bi označili kvalificirane storitve zaupanja, ki jih zagotavljajo ponudniki kvalificiranih storitev zaupanja.
Na podlagi takšnega znaka zaupanja EU za kvalificirane storitve zaupanja bi se kvalificirane storitve zaupanja jasno razlikovale od drugih storitev zaupanja, kar bi prispevalo k preglednosti na trgu.
Uporaba znaka zaupanja EU s strani ponudnikov kvalificiranih storitev zaupanja bi morala biti prostovoljna in ne bi smela nalagati nobenih drugih zahtev, poleg tistih iz te uredbe.

- = -

(52) Ustvarjanje elektronskih podpisov na daljavo, pri katerem okolje za ustvarjanje elektronskega podpisa upravlja ponudnik storitev zaupanja v imenu podpisnika, se bo okrepilo, saj prinaša številne gospodarske koristi.
Da se zagotovi enako pravno priznavanje takšnih elektronskih podpisov in elektronskih podpisov, ustvarjenih v okolju, ki ga v celoti upravlja uporabnik, pa bi morali ponudniki storitev elektronskih podpisov na daljavo izvajati posebne varnostne postopke pri vodenju in upravljanju ter uporabljati zaupanja vredne sisteme in izdelke, med drugim varne načine elektronske komunikacije, da se zagotovita zanesljivo okolje za ustvarjanje elektronskega podpisa in uporaba tega okolja pod izključnim nadzorom podpisnika.
V primeru kvalificiranega elektronskega podpisa, ustvarjenega z napravo za ustvarjanje elektronskega podpisa na daljavo, bi se morale uporabljati zahteve iz te uredbe, ki se uporabljajo za ponudnike kvalificiranih storitev zaupanja.

- = -

(53) Začasna razveljavitev kvalificiranih potrdil je uveljavljena operativna praksa ponudnikov storitev zaupanja v več državah članicah, ki se razlikuje od preklica potrdila in pomeni začasno prenehanje njegove veljavnosti.
Zaradi pravne varnosti je potrebno, da je vedno jasno navedeno, da je potrdilo začasno razveljavljeno.
ponudniki storitev zaupanja bi zato morali jasno navesti status potrdila, v primeru njegove začasne razveljavitve pa tudi natančno obdobje, za katero je potrdilo začasno razveljavljeno.
Ta uredba ponudnikom storitev zaupanja ali državam članicam ne bi smela nalagati uporabe začasne razveljavitve, morala pa bi zagotavljati pravila o preglednosti, kadar in kjer je taka praksa na voljo.

- = -

(60) ponudniki storitev zaupanja, ki izdajajo kvalificirana potrdila za elektronski žig, bi morali izvajati potrebne ukrepe, da se omogoči ugotovitev identitete fizične osebe, ki zastopa pravno osebo, ki se ji se izda kvalificirani potrdilo za elektronski žig, če je takšna identifikacija potrebna v okviru sodnega ali upravnega postopka na nacionalni ravni.

- = -

keyboard_tab EIDAS 2014/0910 SL

EIDAS 2014/0910 SL