EIDAS 2014/0910 SL

1. Da se zagotovi pravilno delovanje notranjega trga in doseže ustrezna raven varnosti sredstev elektronske identifikacije in storitev zaupanja, ta uredba:

(a)	določa pogoje, pod katerimi države članice priznajo sredstva elektronske identifikacije fizičnih in pravnih oseb, ki so vključena v priglašeno shemo elektronske identifikacije druge države članice;

(b)	določa pravila za storitve zaupanja, zlasti za elektronske transakcije, in

(c)	določa pravni okvir za elektronske podpise, elektronske žige, elektronske časovne žige, elektronske dokumente, storitve elektronske priporočene dostave in storitve v zvezi s potrdili za avtentikacijo spletišč.

Člen 6

Vzajemno priznavanje

1. Če nacionalno pravo ali upravna praksa za dostop do storitve, ki jo prek spleta zagotavlja organ javnega sektorja v eni državi članici, predpisuje elektronsko identifikacijo z uporabo sredstva elektronske identifikacije in avtentikacije, se sredstvo elektronske identifikacije, izdano v drugi državi članici, prizna v prvi državi članici za namene čezmejne avtentikacije za to spletno storitev, če so izpolnjeni naslednji pogoji:

(a)	sredstvo elektronske identifikacije je izdano v okviru sheme elektronske identifikacije, navedene na seznamu, ki ga Komisija objavi v skladu s členom 9;

(b)

raven zanesljivosti takšnega sredstva elektronske identifikacije ustreza ravni zanesljivosti, ki je enaka ali višja od ravni zanesljivosti, ki jo zahteva zadevni organ javnega sektorja pri dostopu do spletne storitve v prvi državi članici, pod pogojem, da raven zanesljivosti takšnega sredstva elektronske identifikacije ustreza srednji ali visoki ravni zanesljivosti;

(c)	zadevni organ javnega sektorja uporablja srednjo ali visoko raven zanesljivosti v zvezi z dostopom do te spletne storitve.

Takšno priznanje se opravi najpozneje 12 mesecev po tem, ko Komisija objavi seznam iz točke (a) prvega pododstavka.

2. Organi javnega sektorja lahko za namene čezmejne avtentikacije za storitve, ki jih zagotavljajo prek spleta, priznajo sredstvo elektronske identifikacije, ki se izda v okviru sheme elektronske identifikacije, navedene na seznamu, ki ga Komisija objavi v skladu s členom 9, in ustreza nizki ravni zanesljivosti.

Člen 7

Upravičenost do priglasitve shem elektronske identifikacije

Shema elektronske identifikacije je upravičena do priglasitve v skladu s členom 9(1), če so izpolnjeni vsi naslednji pogoji:

(a)

sredstva elektronske identifikacije v okviru sheme elektronske identifikacije se izdajo:

(i)	s strani države članice priglasiteljice;

(ii)	po pooblastilu države članice priglasiteljice, ali

(iii)

neodvisno od države članice priglasiteljice, vendar jih ta država članica priznava;

(b)	sredstva elektronske identifikacije v okviru sheme elektronske identifikacije se lahko uporabljajo za dostop do vsaj ene storitve, ki jo zagotavlja organ javnega sektorja in za katero se v državi članici priglasiteljici zahteva elektronska identifikacija;

(c)	shema elektronske identifikacije in sredstva elektronske identifikacije, izdana v okviru te sheme, izpolnjujejo zahteve vsaj ene od ravni zanesljivosti, določenih v izvedbenem aktu iz člena 8(3);

(d)

država članica priglasiteljica zagotovi, da se identifikacijski podatki osebe, ki enolično predstavljajo zadevno osebo, dodelijo fizični ali pravni osebi iz točke 1 člena 3 v skladu s tehničnimi specifikacijami, standardi in postopki za ustrezno raven zanesljivosti, določenimi v izvedbenem aktu iz člena 8(3), ob izdaji sredstva elektronske identifikacije v okviru navedene sheme;

(e)	izdajatelj sredstva elektronske identifikacije v okviru navedene sheme, zagotovi, da se sredstvo elektronske identifikacije dodeli osebi iz točke (d) tega člena v skladu s tehničnimi specifikacijami, standardi in postopki za ustrezno raven zanesljivosti, določenimi v izvedbenem aktu iz člena 8(3);

(f)

država članica priglasiteljica zagotovi, da je avtentikacija na voljo prek spleta, tako da lahko vsaka zanašajoča se stranka s sedežem na ozemlju druge države članice potrdi identifikacijske podatke osebe, prejete v elektronski obliki.

Za zanašajoče se stranke, ki niso organi javnega sektorja, lahko država članica priglasiteljica določi pogoje dostopa do navedene avtentikacije. Čezmejna avtentikacija je brezplačna, če se opravi v povezavi s spletno storitvijo, ki jo zagotavlja organ javnega sektorja.

Države članice ne uvedejo nobenih posebnih nesorazmernih tehničnih zahtev za zanašajoče se stranke, ki nameravajo opraviti tako avtentikacijo, če takšne zahteve preprečujejo ali znatno ovirajo interoperabilnost priglašenih shem elektronske identifikacije;

(g)	vsaj šest mesecev pred priglasitvijo v skladu s členom 9(1) država članica priglasiteljica zagotovi drugim državam članicam v skladu z obveznostjo iz člena 12(5) opis te sheme v skladu s postopkovno ureditvijo, določeno z izvedbenim aktom iz člena 12(7);

(h)	shema elektronske identifikacije izpolnjuje zahteve izvedbenega akta iz člena 12(8).

Člen 14

Mednarodni vidiki

1. Storitve zaupanja, ki jih zagotavljajo ponudniki storitev zaupanja s sedežem v tretji državi, so pravno enakovredne kvalificiranim storitvam zaupanja, ki jih zagotavljajo ponudniki kvalificiranih storitev zaupanja s sedežem v Uniji, kadar se storitve zaupanja iz tretje države priznajo na podlagi sporazuma, sklenjenega med Unijo in zadevno tretjo državo ali mednarodno organizacijo v skladu s členom 218 PDEU.

2. Sporazumi iz odstavka 1 zagotavljajo zlasti, da:

(a)

ponudniki storitev zaupanja v tretji državi ali mednarodnih organizacijah, s katerimi je sklenjen sporazum, in storitve zaupanja, ki jih zagotavljajo, izpolnjujejo zahteve, ki veljajo za ponudnike kvalificiranih storitev zaupanja s sedežem v Uniji in za kvalificirane storitve zaupanja, ki jih zagotavljajo;

(b)	so kvalificirane storitve zaupanja, ki jih zagotavljajo ponudniki kvalificiranih storitev zaupanja s sedežem v Uniji, pravno enakovredne storitvam zaupanja, ki jih zagotavljajo ponudniki storitev zaupanja v tretji državi ali mednarodni organizaciji, s katero je sklenjen sporazum.

Člen 24

Zahteve za ponudnike kvalificiranih storitev zaupanja

1. Ob izdaji kvalificiranega potrdila za storitev zaupanja ponudnik kvalificiranih storitev zaupanja z ustreznimi sredstvi in v skladu z nacionalnim pravom preveri identiteto in po potrebi druge posebne lastnosti fizične ali pravne osebe, za katero se izdaja kvalificirano potrdilo.

Ponudnik kvalificiranih storitev zaupanja podatke iz prvega pododstavka preveri bodisi neposredno ali prek tretje osebe v skladu z nacionalnim pravom:

(a)	s fizično prisotnostjo fizične osebe ali pooblaščenega predstavnika pravne osebe ali

(b)

na daljavo, s pomočjo sredstev elektronske identifikacije, v zvezi s katerimi je bila pred izdajo kvalificiranega potrdila zagotovljena fizična prisotnost fizične osebe ali pooblaščenega predstavnika pravne osebe in ki izpolnjujejo zahteve iz člena 8 v zvezi s „srednjo“ ali „visoko“ ravnjo zanesljivosti, ali

(c)	s potrdilom kvalificiranega elektronskega podpisa ali kvalificiranega elektronskega žiga, izdanega v skladu s točko (a) ali (b), ali

(d)	s pomočjo drugih načinov identifikacije, ki so priznani na nacionalni ravni in zagotavljajo enakovredno zanesljivost kakor fizična prisotnost. Enakovredno zanesljivost potrdi organ za ugotavljanje skladnosti.

2. Ponudnik kvalificiranih storitev zaupanja, ki zagotavlja kvalificirane storitve zaupanja:

(a)	obvesti nadzorni organ o vsaki spremembi pri zagotavljanju svojih kvalificiranih storitev zaupanja ter o nameri o prenehanju opravljanja teh dejavnosti;

(b)

zaposluje osebje in po potrebi podizvajalce, ki imajo potrebno strokovno znanje, izkušnje in kvalifikacije ter so zanesljivi in ki so se udeležili ustreznega usposabljanja v zvezi z varnostjo in pravili o varstvu osebnih podatkov ter uporabljajo upravne in upravljavske postopke, ki so v skladu z evropskimi ali mednarodnimi standardi;

(c)	kar zadeva tveganje odškodninske odgovornosti v skladu s členom 13, ohranja zadostna finančna sredstva in/ali pridobi ustrezno zavarovanje odgovornosti v skladu z nacionalnim pravom;

(d)	pred vstopom v pogodbeno razmerje vsako osebo, ki želi uporabljati kvalificirano storitev zaupanja, jasno in razumljivo obvesti o natančnih splošnih pogojih uporabe zadevne storitve, tudi o morebitnih omejitvah njene uporabe;

(e)	uporablja zaupanja vredne sisteme in izdelke, ki so zaščiteni pred spreminjanjem ter zagotavljajo tehnično varnost in zanesljivost postopkov, pri katerih se uporabljajo;

(f)

uporablja zaupanja vredne sisteme za shranjevanje podatkov, ki jih prejme, v preverljivi obliki, tako da:

(i)	so ti javno dostopni samo, če je bila pridobljena privolitev osebe, na katero se podatki nanašajo,

(ii)	lahko le pooblaščene osebe vnašajo podatke in spreminjajo shranjene podatke,

(iii)

se lahko preveri avtentičnost podatkov;

(g)	sprejme ustrezne ukrepe proti ponarejanju in kraji podatkov;

(h)

v ustreznem časovnem obdobju, tudi potem, ko je ponudnik kvalificiranih storitev zaupanja prenehal opravljati dejavnosti, beleži vse pomembne informacije o podatkih, ki jih je izdal in prejel ponudnik kvalificiranih storitev zaupanja, in ohranja dostop do njih, zlasti da se zagotovijo dokazi v pravnih postopkih in neprekinjenost storitve. Beleženje je lahko elektronsko;

(i)	ima posodobljen načrt za prenehanje zagotavljanja storitve, da se zagotovi neprekinjenost storitve v skladu z določbami, ki jih preveri nadzorni organ v skladu s točko (i) člena 17(4);

(j)	zagotovi zakonito obdelavo osebnih podatkov v skladu z Direktivo 95/46/ES;

(k)	v primeru ponudnikov kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vzpostavi in posodablja podatkovno zbirko potrdil.

3. Če ponudnik kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, sklene, da se potrdilo prekliče, tak preklic zabeleži v svoji podatkovni zbirki potrdil in pravočasno, v vsakem primeru pa v 24 urah po prejetju zahtevka, objavi, da je potrdilo preklicano. Preklic začne učinkovati takoj po objavi.

4. V zvezi z odstavkom 3 ponudniki kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vsaki zanašajoči se stranki zagotovijo informacije o veljavnosti ali preklicu kvalificiranih potrdil, ki so jih izdali. Te informacije so vsaj za posamezna potrdila na voljo kadar koli in tudi po izteku veljavnosti potrdila, in sicer na zanesljiv, brezplačen in učinkovit avtomatiziran način.

5. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za zaupanja vredne sisteme in izdelke, ki izpolnjujejo zahteve iz točk (e) in (f) odstavka 2 tega člena. Zahteve iz tega člena veljajo za izpolnjene, kadar zaupanja vredni sistemi in izdelki izpolnjujejo te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

ODDELEK 4

Elektronski podpisi

Člen 25

Pravni učinki elektronskih podpisov

1. Elektronskemu podpisu se ne odvzameta pravni učinek in dopustnost kot dokaz v pravnih postopkih le zato, ker je v elektronski obliki ali ker ne izpolnjuje zahtev za kvalificirani elektronski podpis.

2. Kvalificirani elektronski podpis ima enakovreden pravni učinek kot lastnoročni podpis.

3. Kvalificirani elektronski podpis, ki temelji na kvalificiranem potrdilu, izdanem v eni državi članici, se prizna kot kvalificirani elektronski podpis v vseh drugih državah članicah.

Člen 27

Elektronski podpisi pri javnih storitvah

1. Če država članica za uporabo spletne storit ve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski podpis, ta država članica prizna napredne elektronske podpise, napredne elektronske podpise, ki temeljijo na kvalificiranem potrdilu za elektronske podpise, in kvalificirane elektronske podpise, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

2. Če država članica za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski podpis, ki temelji na kvalificiranem potrdilu, ta država članica prizna napredne elektronske podpise, ki temeljijo na kvalificiranem potrdilu, in kvalificirane elektronske podpise, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

3. Države članice za čezmejno uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja, ne zahtevajo elektronskega podpisa z višjo ravnjo varnosti, kot jo ima kvalificirani elektronski podpis.

4. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za napredne elektronske podpise. Zahteve za napredne elektronske podpise iz odstavkov 1 in 2 tega člena ter iz člena 26 veljajo za izpolnjene, če napredni elektronski podpis izpolnjuje te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

5. Komisija do 18. septembra 2015 in ob upoštevanju obstoječih praks, standardov in pravnih aktov Unije z izvedbenimi akti opredeli referenčne formate naprednih elektronskih podpisov ali referenčne metode, če se uporabijo alternativne oblike. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 28

Kvalificirana potrdila za elektronske podpise

1. Kvalificirana potrdila za elektronske podpise morajo izpolnjevati zahteve iz Priloge I.

2. Za kvalificirana potrdila za elektronski podpise ne veljajo nobene obvezne zahteve, ki presegajo zahteve iz Priloge I.

3. Kvalificirana potrdila za elektronske podpise lahko vključujejo neobvezne dodatne posebne lastnosti. Te lastnosti ne vplivajo na interoperabilnost in priznanje kvalificiranih elektronskih podpisov.

4. Če je bilo kvalificirano potrdilo za elektronski podpis po prvotnem aktiviranju preklicano, preneha veljati v trenutku njegovega preklica, status pa se mu v nobenem primeru ne povrne v prejšnje stanje.

5. Države članice lahko določijo nacionalna pravila o začasni razveljavitvi kvalificiranega potrdila za elektronski podpis, pri čemer morata biti izpolnjena naslednja pogoja:

(a)	če je kvalificirano potrdilo za elektronski podpis začasno razveljavljeno, to potrdilo za obdobje začasne razveljavitve preneha veljati,

(b)	obdobje začasne razveljavitve se jasno navede v podatkovni zbirki potrdil, v tem obdobju pa mora biti iz storitve, ki zagotavlja informacije o statusu potrdila, razvidno, da je kvalificirano potrdilo začasno razveljavljeno.

6. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za kvalificirana potrdila za elektronski podpis. Zahteve iz Priloge I veljajo za izpolnjene, če kvalificirano potrdilo za elektronski podpis izpolnjuje navedene standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 35

Pravni učinki elektronskih žigov

1. Elektronskemu žigu se ne odvzameta pravni učinek in dopustnost kot dokaz v pravnih postopkih le zato, ker je v elektronski obliki ali ne izpolnjuje zahtev za kvalificirane elektronske žige.

2. V zvezi s kvalificiranim elektronskim žigom se domneva celovitost podatkov in pravilnost izvora teh podatkov, s katerimi je kvalificirani elektronski žig povezan.

3. Kvalificirani elektronski žig, ki temelji na kvalificiranem potrdilu, izdanem v eni državi članici, se prizna kot kvalificirani elektronski žig v vseh drugih državah članicah.

Člen 37

Elektronski žigi pri javnih storitvah

1. Če država članica za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski žig, ta država članica prizna napredne elektronske žige, napredne elektronske žige, ki temeljijo na kvalificiranem potrdilu za elektronske žige, in kvalificirane elektronske žige, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

2. Če država članica za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski žig, ki temelji na kvalificiranem potrdilu, ta država članica prizna napredne elektronske žige, ki temeljijo na kvalificiranem potrdilu, in kvalificirane elektronske žige, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

3. Države članice za čezmejni dostop do spletne storitve, ki jo zagotavlja organ javnega sektorja, ne zahtevajo elektronskega žiga z višjo ravnjo varnosti, kot jo ima kvalificirani elektronski žig.

4. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za napredne elektronske žige. Zahteve za napredne elektronske žige iz odstavkov 1 in 2 tega člena ter iz člena 36 veljajo za izpolnjene, če napredni elektronski žig izpolnjuje te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

5. Komisija do 18. septembra 2015 in ob upoštevanju obstoječih praks, standardov in pravnih aktov Unije z izvedbenimi akti določi referenčne formate naprednih elektronskih žigov ali referenčne metode, če so uporabljene alternativne oblike. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 38

Kvalificirana potrdila za elektronske žige

1. Kvalificirana potrdila za elektronske žige morajo izpolnjevati zahteve iz Priloge III.

2. Za kvalificirana potrdila za elektronske žige ne veljajo nobene obvezne zahteve, ki presegajo zahteve iz Priloge III.

3. Kvalificirana potrdila za elektronske žige lahko vključujejo neobvezne dodatne posebne lastnosti. Te lastnosti ne vplivajo na interoperabilnost in priznanje kvalificiranih elektronskih žigov.

4. Če je bilo kvalificirano potrdilo za elektronski žig po prvotnem aktiviranju preklicano, preneha veljati v trenutku njegovega preklica, status pa se mu v nobenem primeru ne povrne v prejšnje stanje.

5. Države članice lahko določijo nacionalna pravila o začasni razveljavitvi kvalificiranih potrdil za elektronske žige, pri čemer morata biti izpolnjena naslednja pogoja:

(a)	če je kvalificirano potrdilo za elektronski žig začasno razveljavljeno, ta potrdilo v obdobju začasne razveljavitve preneha veljati;

(b)	obdobje začasne razveljavitve se jasno navede v podatkovni zbirki potrdil, v tem obdobju pa mora biti iz storitve, ki zagotavlja informacije o statusu potrdila, razvidno, da je kvalificirano potrdilo začasno razveljavljeno.

6. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za kvalificirana potrdila za elektronske žige. Zahteve iz Priloge III veljajo za izpolnjene, če kvalificirano potrdilo za elektronski žig izpolnjuje navedene standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 41

Pravni učinek elektronskih časovnih žigov

1. Elektronskemu časovnemu žigu se ne odvzameta pravni učinek in dopustnost kot dokaz v pravnih postopkih le zato, ker je v elektronski obliki ali ne izpolnjuje zahtev za kvalificirani elektronski časovni žig.

2. V zvezi s kvalificiranim elektronskim časovnim žigom se domneva pravilnost navedenega datuma in časa ter celovitost podatkov, s katerimi sta datum in čas povezana.

3. Kvalificirani elektronski časovni žig, izdan v eni državi članici, se prizna kot kvalificirani elektronski časovni žig v vseh državah članicah.

Člen 52

Začetek veljavnosti

1. Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2. Ta uredba se uporablja od 1. julija 2016, z naslednjimi izjemami:

(a)	členi 8(3), 9(5), 12(2) do (9), 17(8), 19(4), 20(4), 21(4), 22(5), 23(3), 24(5), 27(4) in (5), 28(6), 29(2), 30(3) in (4), 31(3), 32(3), 33(2), 34(2), 37(4) in (5), 38(6), 42(2), 44(2), 45(2), ter člena 47 in 48 se uporabljajo od 17. septembra 2014;

(b)	člen 7, člen 8(1) in (2), členi 9, 10, 11 ter člen 12(1) se uporabljajo od datuma začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8);

(c)	člen 6 se začne uporabljati tri leta po datumu začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8).

3. Če se priglašena shema elektronske identifikacije navede na seznamu, ki ga Komisija objavi v skladu s členom 9, pred datumom iz točke (c) odstavka 2 tega člena, se sredstva elektronske identifikacije v okviru te sheme priznajo na podlagi člena 6 najpozneje 12 mesecev po objavi te sheme, vendar ne pred datumom iz točke (c) odstavka 2 tega člena.

4. Ne glede na točko (c) odstavka 2 tega člena lahko država članica sklene, da se sredstva elektronske identifikacije v okviru sheme elektronske identifikacije, ki jo na podlagi člena 9(1) priglasi druga država članica, priznajo v prvi državi članici od datuma začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8). Zadevne države članice obvestijo Komisijo. Komisija te informacije objavi.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 23. julija 2014

Za Parlament

Predsednik

M. SCHULZ

Za Svet

Predsednik

S. GOZI

(1) UL C 351, 15.11.2012, str. 73.

(2) Stališče Evropskega parlamenta z dne 3. aprila 2014 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 23. julija 2014.

(3) Direktiva 1999/93/ES Evropskega parlamenta in Sveta z dne 13. decembra 1999 o okviru Skupnosti za elektronski podpis (UL L 13, 19.1.2000, str. 12).

(4) UL C 50 E, 21.2.2012, str. 1.

(5) Direktiva 2006/123/ES Evropskega parlamenta in Sveta z dne 12. decembra 2006 o storitvah na notranjem trgu (UL L 376, 27.12.2006, str. 36).

(6) Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).

(7) Direktiva 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

(8) Sklep Sveta 2010/48/ES z dne 26. novembra 2009 o sklenitvi Konvencije Združenih narodov o pravicah invalidov s strani Evropske skupnosti (UL L 23, 27.1.2010, str. 35).

(9) Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30).

(10) Odločba Komisije 2009/767/ES z dne 16. oktobra 2009 o vzpostavitvi ukrepov za pospeševanje uporabe postopkov po elektronski poti s pomočjo „enotnih kontaktnih točk“ po Direktivi 2006/123/ES Evropskega parlamenta in Sveta o storitvah na notranjem trgu (UL L 274, 20.10.2009, str. 36).

(11) Sklep Komisije 2011/130/EU z dne 25. februarja 2011 o določitvi minimalnih zahtev glede čezmejne obdelave dokumentov z elektronskim podpisom pristojnih organov v skladu z Direktivo 2006/123/ES Evropskega parlamenta in Sveta o storitvah na notranjem trgu (UL L 53, 26.2.2011, str. 66).

(12) Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

(13) Uredba (ES) št. 45/2001 Evropskega parlamenta in Svet z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12,1,2001, str. 1).

(14) UL C 28, 30.1.2013, str. 6.

(15) Direktiva 2014/24/EU Evropskega parlamenta in Sveta z dne 26. februarja 2014 o javnem naročanju in razveljavitvi Direktive 2004/18/ES (UL L 94, 28.3.2014, str. 65).

PRILOGA I

ZAHTEVE V ZVEZI S KVALIFICIRANIMI POTRDILI ZA ELEKTRONSKE PODPISE

Kvalificirana potrdila za elektronske podpise vsebujejo:

(a)	navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za elektronski podpis;

(b)

nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in

—	za pravne osebe: ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah,

—	za fizične osebe: ime osebe;

(c)	vsaj ime podpisnika ali psevdonim; če je uporabljen psevdonim, se to jasno navede;

(d)	podatke za potrjevanje veljavnosti elektronskega podpisa, ki ustrezajo podatkom za ustvarjanje elektronskega podpisa;

(e)	podrobnosti o začetku in koncu veljavnosti potrdila;

(f)	identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;

(g)	napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;

(h)	lokacijo, kjer je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (g), na voljo brezplačno;

(i)	lokacijo storitev, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila;

(j)	če se podatki za ustvarjanje elektronskega podpisa, povezani s podatki za potrjevanje veljavnosti elektronskega podpisa, nahajajo v napravi za ustvarjanje kvalificiranega elektronskega podpisa, se to ustrezno navede vsaj v formatu, primernem za avtomatizirano obdelavo.

PRILOGA II

ZAHTEVE V ZVEZI Z NAPRAVAMI ZA USTVARJANJE KVALIFICIRANEGA ELEKTRONSKEGA PODPISA

Naprave za ustvarjanje kvalificiranega elektronskega podpisa z ustrezno tehnologijo in postopki zagotavljajo vsaj, da:

(a)	je razumno zagotovljena zaupnost podatkov za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis;

(b)	se lahko podatki za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, dejansko pojavijo samo enkrat;

(c)	je razumno zagotovljeno, da do podatkov za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, ni mogoče priti s sklepanjem in da je elektronski podpis z uporabo trenutno razpoložljive tehnologije zanesljivo zaščiten pred ponarejanjem;

(d)	lahko zakoniti podpisnik zanesljivo zaščiti podatke za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, pred tem, da bi jih lahko uporabljali drugi.

Naprave za ustvarjanje kvalificiranega elektronskega podpisa ne spreminjajo podatkov, ki bodo podpisani, ali preprečijo, da bi se ti podatki podpisniku prikazali pred podpisom.

Podatke za ustvarjanje elektronskega podpisa lahko v imenu podpisnika pridobiva ali upravlja le ponudnik kvalificiranih storitev zaupanja.

Ponudniki kvalificiranih storitev zaupanja, ki v imenu podpisnika upravljajo podatke za ustvarjanje elektronskega podpisa, lahko brez poseganja v točko (d) točke 1 podatke za ustvarjanje elektronskega podpisa podvajajo le za namene varnostne kopije, pod pogojem, da sta izpolnjeni naslednji zahtevi:

(a)	varnost podvojenih naborov podatkov je enaka ravni, ki jo ima varnost prvotnih naborov podatkov;

(b)	število podvojenih naborov podatkov ni večje, kot je to nujno potrebno, da se zagotovi neprekinjenost storitve.

PRILOGA III

ZAHTEVE V ZVEZI S KVALIFICIRANIMI POTRDILI ZA ELEKTRONSKE ŽIGE

Kvalificirana potrdila za elektronske žige vsebujejo:

(a)	navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za elektronski žig;

(b)

nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in

—	za pravne osebe: ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah,

—	za fizične osebe: ime osebe;

(c)	vsaj ime ustvarjalca žiga in po potrebi registrsko številko, kot sta navedena v uradnih evidencah;

(d)	podatke za potrjevanje veljavnosti elektronskega žiga, ki ustrezajo podatkom za ustvarjanje elektronskega žiga;

(e)	podrobnosti o začetku in koncu veljavnosti potrdila;

(f)	identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;

(g)	napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;

(h)	lokacijo, kjer je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (g), na voljo brezplačno;

(i)	lokacijo storitev, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila;

(j)	če se podatki za ustvarjanje elektronskega žiga, povezani s podatki za potrjevanje elektronskega žiga, nahajajo v napravi za ustvarjanje kvalificiranega elektronskega žiga, se to ustrezno navede vsaj v formatu, primernem za avtomatizirano obdelavo.

PRILOGA IV

ZAHTEVE ZA KVALIFICIRANA POTRDILA ZA AVTENTIKACIJO SPLETIŠČ

Kvalificirana potrdila za avtentikacijo spletišč vsebujejo:

(a)	navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za avtentikacijo spletišč;

(b)

nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in

—	za pravne osebe: ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah,

—	za fizične osebe: ime osebe;

(c)	za fizične osebe: vsaj ime osebe, za katero se izdaja potrdilo, ali psevdonim. Če je uporabljen psevdonim, se to jasno navede; za pravne osebe: vsaj ime pravne osebe, za katero se izdaja potrdilo, in po potrebi registrsko številko, kot sta navedena v uradnih evidencah;

(d)	elemente naslova fizične ali pravne osebe, za katero se izdaja potrdilo, vključno vsaj s krajem in državo, po potrebi, kot so navedeni v uradnih evidencah;

(e)	ime/imena domene, ki jo upravlja fizična ali pravna oseba, za katero se izdaja potrdilo;

(f)	podrobnosti o začetku in koncu obdobja veljavnosti potrdila;

(g)	identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;

(h)	napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;

(i)	lokacijo, na kateri je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (h), na voljo brezplačno;

(j)	lokacijo storitev za preverjanje veljavnosti potrdila, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila.

whereas

(6) V svojih sklepih z dne 27.
maja 2011 je Svet Komisijo pozval, da prispeva k enotnemu digitalnemu trgu, tako da oblikuje ustrezne pogoje za čezmejno vzajemno priznavanje ključnih dejavnikov, kot so elektronska identifikacija, elektronski dokumenti, elektronski podpisi in storitve elektronske dostave, ter za interoperabilne storitve e-uprave po vsej Evropski uniji.

- = -

(9) V večini primerov državljani ne morejo uporabljati svoje elektronske identifikacije za svojo avtentikacijo v drugi državi članici, ker nacionalne sheme elektronske identifikacije iz njihove države niso priznane v drugih državah članicah.
Ta elektronska ovira ponudnikom storitev preprečuje, da bi v celoti izkoristili ugodnosti notranjega trga.
Vzajemno priznana sredstva elektronske identifikacije bodo poenostavila čezmejno zagotavljanje številnih storitev na notranjem trgu in podjetjem omogočila čezmejno poslovanje brez številnih ovir pri interakciji z javnimi organi.

- = -

(10) Direktiva 2011/24/EU Evropskega parlamenta in Sveta (6) vzpostavlja mrežo nacionalnih organov, pristojnih za e-zdravje.
Da bi se izboljšali varnost in neprekinjenost čezmejnega zdravstvenega varstva, mora mreža pripraviti smernice za čezmejni dostop do elektronskih zdravstvenih podatkov in storitev ter podpreti skupne ukrepe „za identifikacijo in avtentikacijo, na podlagi katerih se olajša prenosljivost podatkov v čezmejnem zdravstvenem varstvu“.
Vzajemno priznavanje elektronske identifikacije in avtentikacije je ključno pri uresničevanju čezmejnega zdravstvenega varstva evropskih državljanov.
Kadar ljudje potujejo zaradi zdravljenja, morajo biti njihovi zdravstveni podatki dostopni v državi zdravljenja.
To zahteva trden in varen okvir za elektronsko identifikacijo, v katerega se zaupa.

- = -

(11) To uredbo bi bilo treba uporabljati ob doslednem spoštovanju načel glede varstva osebnih podatkov iz Direktive 95/46/ES Evropskega parlamenta in Sveta (7).
V zvezi s tem bi morala avtentikacija za spletno storitev, ob upoštevanju načela vzajemnega priznavanja iz te uredbe, zajemati obdelavo le tistih identifikacijskih podatkov, ki so ustrezni in relevantni ter niso pretirani za odobritev dostopa do te spletne storitve.
Poleg tega bi morali tudi ponudniki storitev zaupanja in nadzorni organi spoštovati zahteve iz Direktive 95/46/ES v zvezi z zaupnostjo in varnostjo obdelave.

- = -

(14) V uredbi je treba določiti nekaj pogojev v zvezi s tem, katera sredstva elektronske identifikacije je treba priznati in kako se sheme elektronske identifikacije priglasijo.
Ti pogoji bi državam članicam morali pomagati pri krepitvi potrebnega zaupanja v sheme elektronske identifikacije drugih držav članic in vzajemnem priznavanju sredstev elektronske identifikacije, ki spadajo v priglašene sheme.
Načelo vzajemnega priznavanja bi se moralo uporabljati, če shema elektronske identifikacije države članice priglasiteljice izpolnjuje pogoje priglasitve, priglasitev pa je bila objavljena v Uradnem listu Evropske unije.
Načelo vzajemnega priznavanja pa bi se moralo nanašati le na avtentikacijo za spletno storitev.
Dostop do teh spletnih storitev in njihova končna dostava prosilcu bi morala biti tesno povezana s pravico do prejema takšnih storitev pod pogoji iz nacionalne zakonodaje.

- = -

(15) Obveznost priznavanja sredstev elektronske identifikacije bi morala zadevati le tista sredstva, katerih raven zanesljivosti identitete ustreza ravni, ki je enaka ali višja od zahtevane ravni za zadevno spletno storitev.
Poleg tega bi bilo treba to obveznost uporabljati le, kadar zadevni organ javnega sektorja uporablja „srednjo“ ali „visoko“ raven zanesljivosti glede dostopa do te spletne storitve.
Države članice bi morale imeti v skladu s pravom Unije možnost, da priznajo sredstva elektronske identifikacije z nižjimi ravnmi zanesljivosti identitete.

- = -

(19) Varnost shem elektronske identifikacije je ključna za zaupanja vredno čezmejno vzajemno priznavanje sredstev elektronske identifikacije.
V zvezi s tem bi morale države članice sodelovati pri zagotavljanju varnosti in interoperabilnosti shem elektronske identifikacije na ravni Unije. Če bi za sheme elektronske identifikacije potrebovali posebno strojno ali programsko opremo, ki bi jo uporabljale zanašajoče se stranke na nacionalni ravni, te države članice zaradi čezmejne interoperabilnosti ne bi smele naložiti takšnih zahtev in z njimi povezanih stroškov zanašajočim se strankam, ki nimajo sedeža na njihovem ozemlju.
V tem primeru bi bilo treba razpravljati o primernih rešitvah in jih razvijati v interoperabilnostnem okviru.
Vendar pa se ni mogoče izogniti tehničnim zahtevam, ki izhajajo iz specifikacij nacionalnih sredstev elektronske identifikacije in bi lahko vplivale na imetnike takšnih elektronskih sredstev (npr.
pametnih kartic).

- = -

(20) Sodelovanje držav članic bi moralo olajšati tehnično interoperabilnost priglašenih shem elektronske identifikacije ter tako vzpostaviti visoko raven zaupanja in varnosti, ustrezno stopnji tveganja.
K takšnemu sodelovanju bi morala prispevati izmenjava informacij in najboljših praks med državami članicami, da se doseže vzajemno priznavanje.

- = -

(23) Če je v tej uredbi določena obveznost priznavanja storitve zaupanja, se lahko takšna storitev zaupanja zavrne le, če je naslovnik obveznosti ne more prebrati ali preveriti zaradi tehničnih razlogov, ki niso pod njegovim neposrednim nadzorom.
Kljub temu pa samo na podlagi te obveznosti ne bi smeli od javnega organa zahtevati, da pridobi strojno in programsko opremo, ki je potrebna za tehnično čitljivost vseh obstoječih storitev zaupanja.

- = -

(25) Države članice bi morale še naprej imeti možnost, da same opredelijo druge vrste storitev zaupanja poleg tistih, ki so del zaprtega seznama storitev zaupanja iz te uredbe, da bi jih lahko na nacionalni ravni priznale kot kvalificirane storitve zaupanja.

- = -

(48) Čeprav je za zagotavljanje medsebojnega priznavanja elektronskih podpisov potrebna visoka raven varnosti, bi bilo treba v posebnih primerih, denimo v okviru Odločbe Komisije 2009/767/ES (10), sprejeti tudi elektronske podpise z nižjo ravnjo varnosti.

- = -

(52) Ustvarjanje elektronskih podpisov na daljavo, pri katerem okolje za ustvarjanje elektronskega podpisa upravlja ponudnik storitev zaupanja v imenu podpisnika, se bo okrepilo, saj prinaša številne gospodarske koristi.
Da se zagotovi enako pravno priznavanje takšnih elektronskih podpisov in elektronskih podpisov, ustvarjenih v okolju, ki ga v celoti upravlja uporabnik, pa bi morali ponudniki storitev elektronskih podpisov na daljavo izvajati posebne varnostne postopke pri vodenju in upravljanju ter uporabljati zaupanja vredne sisteme in izdelke, med drugim varne načine elektronske komunikacije, da se zagotovita zanesljivo okolje za ustvarjanje elektronskega podpisa in uporaba tega okolja pod izključnim nadzorom podpisnika.
V primeru kvalificiranega elektronskega podpisa, ustvarjenega z napravo za ustvarjanje elektronskega podpisa na daljavo, bi se morale uporabljati zahteve iz te uredbe, ki se uporabljajo za ponudnike kvalificiranih storitev zaupanja.

- = -

(54) Čezmejna interoperabilnost in priznavanje kvalificiranih potrdil sta predpogoja za čezmejno priznavanje kvalificiranih elektronskih podpisov.
Zato za kvalificirana potrdila ne bi smele veljati nobene obvezne zahteve, ki presegajo zahteve iz te uredbe.
Vendar bi bilo treba na nacionalni ravni dovoliti vključitev posebnih lastnosti, kot so enolični identifikatorji, v kvalificirana potrdila, če ne ovirajo čezmejne interoperabilnosti in priznavanja kvalificiranih potrdil in elektronskih podpisov.

- = -

(55) Varnostno certificiranje, kar zadeva informacijsko tehnologijo, na podlagi mednarodnih standardov, kot je ISO 15408 ter s tem povezani načini ocenjevanja in ureditve vzajemnega priznavanja, je pomemben način preverjanja varnosti naprav za ustvarjanje kvalificiranega elektronskega podpisa in bi ga bilo treba spodbujati.
Vendar so inovativne rešitve in storitve, kot so mobilno podpisovanje in podpisovanje v oblaku, odvisne od tehničnih in organizacijskih rešitev za naprave za ustvarjanje kvalificiranega elektronskega podpisa, za katere varnostni standardi morda še niso na voljo ali za katere prvi postopek varnostnega certificiranja, kar zadeva informacijsko tehnologijo, še ni zaključen.
Raven varnosti takšnih naprav za ustvarjanje kvalificiranega elektronskega podpisa bi se lahko ocenila z alternativnimi postopki, samo kadar takšni varnostni standardi še niso na voljo ali kadar prvi postopek varnostnega certificiranja, kar zadeva informacijsko tehnologijo, še ni zaključen.
Ti postopki bi morali biti primerljivi s standardi za varnostno certificiranje, kar zadeva informacijsko tehnologijo, če sta njihovi ravni varnosti enakovredni.
K tem postopkom bi lahko prispeval medsebojni strokovni pregled.

- = -

(66) Nujno je določiti pravni okvir, da se olajša čezmejno priznavanje storitev elektronske priporočene dostave med obstoječimi nacionalnimi pravnimi sistemi.
Ta okvir bi lahko ustvaril tudi nove tržne priložnosti za ponudnike storitev zaupanja iz Unije, ki bi lahko ponujali nove vse-evropske storitve elektronske priporočene dostave.

- = -

(67) Storitve za avtentikacijo spletišč obiskovalcu spletišča dajejo zagotovilo, da za tem spletiščem stoji pristen in legitimen subjekt.
Te storitve prispevajo h krepitvi zaupanja v poslovanje prek spleta, saj uporabniki zaupajo spletišču, ki je bilo avtenticirano.
Zagotavljanje in uporaba storitev za avtentikacijo spletišč sta povsem prostovoljna.
Da bi avtentikacija spletišč postala sredstvo za krepitev zaupanja in zagotavljanje boljše izkušnje uporabnikov ter spodbujanje rasti na notranjem trgu, pa bi se moralo s to uredbo določiti minimalne obveznosti glede varnosti in odgovornosti za ponudnike in njihove storitve.
V ta namen so bili upoštevani rezultati obstoječih pobud, ki jih je začel zadevni sektor, na primer forum CA/B – Certification Authorities/Browsers Forum.
Poleg tega ta uredba ne bi smela ovirati uporabe drugih sredstev ali metod za avtentikacijo spletišč, ki niso zajeti s to uredbo, ponudnikom storitev za avtentikacijo spletišč iz tretjih držav pa ne bi smela preprečevati, da bi svoje storitve zagotavljali strankam v Uniji.
Vendar bi se storitve za avtentikacijo spletišč, ki jih zagotavlja ponudnik iz tretje države, morale priznati kot kvalificirane v skladu s to uredbo le, če imata Unija in država sedeža ponudnika sklenjen mednarodni sporazum.

- = -

(69) Institucije, organe, urade in agencije Unije se spodbudi, da priznajo elektronsko identifikacijo in storitve zaupanja, ki jih zajema ta uredba, v okviru upravnega sodelovanja, ki izkorišča zlasti obstoječe dobre prakse in rezultate tekočih projektov na področjih, ki jih zajema ta uredba.

- = -

keyboard_tab EIDAS 2014/0910 SL

EIDAS 2014/0910 SL