EIDAS 2014/0910 SL

2. Ta uredba se ne uporablja za zagotavljanje storitev zaupanja, ki se uporabljajo izključno znotraj zaprtih sistemov, ki obstajajo na podlagi nacionalnega prava ali dogovorov med določeno skupino udeležencev.

3. Ta uredba ne vpliva na nacionalno pravo ali pravo Unije, povezano s sklenitvijo in veljavnostjo pogodb ali drugimi pravnimi ali postopkovnimi obveznostmi glede obličnosti.

Člen 3

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

1.	„elektronska identifikacija“ pomeni postopek uporabe identifikacijskih podatkov osebe v elektronski obliki, ki enolično predstavljajo bodisi fizično ali pravno osebo bodisi fizično osebo, ki zastopa pravno osebo;

2.	„sredstvo elektronske identifikacije“ pomeni materialno in/ali nematerialno enoto, ki vsebuje identifikacijske podatke osebe in se uporablja za avtentikacijo pri spletnih storitvah;

3.	„identifikacijski podatki osebe“ pomeni niz podatkov, ki omogočajo, da se določi identiteta fizične ali pravne osebe ali fizične osebe, ki zastopa pravno osebo;

4.	„shema elektronske identifikacije“ pomeni sistem za elektronsko identifikacijo, v okviru katerega se fizični ali pravni osebi ali fizični osebi, ki zastopa pravno osebo, izdajo sredstva elektronske identifikacije;

5.	„avtentikacija“ pomeni elektronski postopek, ki omogoča potrditev elektronske identifikacije fizične ali pravne osebe ali izvora in celovitosti podatkov v elektronski obliki;

6.	„zanašajoča se stranka“ pomeni fizično ali pravno osebo, ki se zanaša na elektronsko identifikacijo ali storitev zaupanja;

„organ javnega sektorja“ pomeni državni, regionalni ali lokalni organ, osebo javnega prava ali združenje, ki jo/ga ustanovi eden ali več takšnih organov ali ena ali več takšnih oseb javnega prava, ali zasebni subjekt, ki ga je vsaj eden od teh organov, oseb ali združenj pooblastil za zagotavljanje javnih storitev, kadar deluje v okviru tega pooblastila;

8.	„oseba javnega prava“, pomeni osebo, opredeljeno v točki 4 člena 2(1) Direktive 2014/24/EU Evropskega parlamenta in Sveta (15);

9.	„podpisnik“ pomeni fizično osebo, ki ustvari elektronski podpis;

10.	„elektronski podpis“ pomeni niz podatkov v elektronski obliki, ki so dodani k drugim podatkom v elektronski obliki ali so z njimi logično povezani in jih podpisnik uporablja za podpisovanje;

11.	„napredni elektronski podpis“ pomeni elektronski podpis, ki izpolnjuje zahteve iz člena 26;

12.	„kvalificirani elektronski podpis“ pomeni napredni elektronski podpis, ki se ustvari z napravo za ustvarjanje kvalificiranega elektronskega podpisa in temelji na kvalificiranem potrdilu za elektronske podpise;

13.	„podatki za ustvarjanje elektronskega podpisa“ pomeni enolične podatke, ki jih podpisnik uporablja za ustvarjanje elektronskega podpisa;

14.	„potrdilo za elektronski podpis“ pomeni elektronsko potrdilo, ki povezuje podatke za potrjevanje veljavnosti elektronskega podpisa s fizično osebo in potrjuje vsaj ime ali psevdonim te osebe;

15.	„kvalificirano potrdilo za elektronski podpis“ pomeni potrdilo za elektronske podpise, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge I;

16.

„storitev zaupanja“ pomeni elektronsko storitev, ki se praviloma opravlja za plačilo in vključuje:

(a)	ustvarjanje, preverjanje in potrjevanje veljavnosti elektronskih podpisov, elektronskih žigov ali elektronskih časovnih žigov, storitev elektronske priporočene dostave in potrdil, povezanih s temi storitvami, ali

(b)	ustvarjanje, preverjanje in potrjevanje veljavnosti potrdil za avtentikacijo spletišč ali

(c)	hrambo elektronskih podpisov, žigov ali potrdil, povezanih s temi storitvami;

17.	„kvalificirana storitev zaupanja“ pomeni storitev zaupanja, ki izpolnjuje zadevne zahteve iz te uredbe;

18.	„organ za ugotavljanje skladnosti“ pomeni organ, opredeljen v točki 13 člena 2 Uredbe (ES) št. 765/2008, ki je akreditiran v skladu z navedeno uredbo in je pristojen za ugotavljanje skladnosti ponudnika kvalificiranih storitev zaupanja in kvalificiranih storitev zaupanja, ki jih ta zagotavlja;

19.	„ponudnik storitev zaupanja“ pomeni fizično ali pravno osebo, ki zagotavlja eno ali več storitev zaupanja, kot ponudnik kvalificiranih ali nekvalificiranih storitev zaupanja;

20.	„ponudnik kvalificiranih storitev zaupanja“ pomeni ponudnika storitev zaupanja, ki zagotavlja eno ali več kvalificiranih storitev zaupanja in mu nadzorni organ dodeli kvalificirani status;

21.	„izdelek“ pomeni strojno ali programsko opremo ali ustrezne sestavne dele strojne ali programske opreme, katerih uporaba je namenjena zagotavljanju storitev zaupanja;

22.	„naprava za ustvarjanje elektronskega podpisa“ pomeni konfigurirano programsko ali strojno opremo, ki se uporablja za ustvarjanje elektronskega podpisa;

23.	„naprava za ustvarjanje kvalificiranega elektronskega podpisa“ pomeni napravo za ustvarjanje elektronskega podpisa, ki izpolnjuje zahteve iz Priloge II;

24.	„ustvarjalec žiga“ pomeni pravno osebo, ki ustvari elektronski žig;

25.	„elektronski žig“ pomeni niz podatkov v elektronski obliki, ki so dodani k drugim podatkom v elektronski obliki ali so z njimi logično povezani, da se zagotovita izvor in celovitost povezanih podatkov;

26.	„napredni elektronski žig“ pomeni elektronski žig, ki izpolnjuje zahteve iz člena 36;

27.	„kvalificirani elektronski žig“ pomeni napredni elektronski žig, ki se ustvari z napravo za ustvarjanje kvalificiranega elektronskega žiga in temelji na kvalificiranem potrdilu za elektronski žig;

28.	„podatki za ustvarjanje elektronskega žiga“ pomenijo enolične podatke, ki jih ustvarjalec elektronskega žiga uporabi za ustvarjanje elektronskega žiga;

29.	„potrdilo za elektronski žig“ pomeni elektronsko potrdilo, ki povezuje podatke za potrjevanje veljavnosti elektronskega žiga s pravno osebo in potrjuje ime te osebe;

30.	„kvalificirano potrdilo za elektronski žig“ pomeni potrdilo za elektronski žig, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge III;

31.	„naprava za ustvarjanje elektronskega žiga“ pomeni konfigurirano programsko ali strojno opremo, ki se uporablja za ustvarjanje elektronskega žiga;

32.	„naprava za ustvarjanje kvalificiranega elektronskega žiga“ pomeni napravo za ustvarjanje elektronskega žiga, ki smiselno izpolnjuje zahteve iz Priloge II;

33.	„elektronski časovni žig“ pomeni podatke v elektronski obliki, ki druge podatke v elektronski obliki povezujejo z določenim trenutkom in tako zagotavljajo dokaz, da so slednji podatki v tistem trenutku obstajali;

34.	„kvalificirani elektronski časovni žig“ pomeni elektronski časovni žig, ki izpolnjuje zahteve iz člena 42;

35.	„elektronski dokument“ pomeni kakršno koli vsebino, shranjeno v elektronski obliki, zlasti besedilo ali zvočni, vizualni ali avdiovizualni zapis;

36.

„storitev elektronske priporočene dostave“ pomeni storitev, ki omogoča prenos podatkov med tretjimi stranmi z elektronskimi sredstvi, zagotavlja dokaze o ravnanju s prenesenimi podatki, vključno z dokazilom o oddaji in prejemu podatkov, ter prenesene podatke varuje pred izgubo, krajo, poškodbo ali kakršno koli nepooblaščeno spremembo;

37.	„kvalificirana storitev elektronske priporočene dostave“ pomeni storitev elektronske priporočene dostave, ki izpolnjuje zahteve iz člena 44;

38.	„potrdilo za avtentikacijo spletišč“ pomeni potrdilo, ki omogoča avtentikacijo spletišča in spletišče povezuje s fizično ali pravno osebo, ki se ji izda potrdilo;

39.	„kvalificirano potrdilo za avtentikacijo spletišč“ pomeni potrdilo za avtentikacijo spletišč, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge IV;

40.	„podatki za potrjevanje veljavnosti“ pomeni podatke, ki se uporabljajo za potrjevanje veljavnosti elektronskega podpisa ali elektronskega žiga;

41.	„potrjevanje veljavnosti“ pomeni postopek preverjanja in potrditve, da je elektronski podpis ali žig veljaven.

Člen 6

Vzajemno priznavanje

1. Če nacionalno pravo ali upravna praksa za dostop do storitve, ki jo prek spleta zagotavlja organ javnega sektorja v eni državi članici, predpisuje elektronsko identifikacijo z uporabo sredstva elektronske identifikacije in avtentikacije, se sredstvo elektronske identifikacije, izdano v drugi državi članici, prizna v prvi državi članici za namene čezmejne avtentikacije za to spletno storitev, če so izpolnjeni naslednji pogoji:

(a)	sredstvo elektronske identifikacije je izdano v okviru sheme elektronske identifikacije, navedene na seznamu, ki ga Komisija objavi v skladu s členom 9;

(b)

raven zanesljivosti takšnega sredstva elektronske identifikacije ustreza ravni zanesljivosti, ki je enaka ali višja od ravni zanesljivosti, ki jo zahteva zadevni organ javnega sektorja pri dostopu do spletne storitve v prvi državi članici, pod pogojem, da raven zanesljivosti takšnega sredstva elektronske identifikacije ustreza srednji ali visoki ravni zanesljivosti;

(c)	zadevni organ javnega sektorja uporablja srednjo ali visoko raven zanesljivosti v zvezi z dostopom do te spletne storitve.

Takšno priznanje se opravi najpozneje 12 mesecev po tem, ko Komisija objavi seznam iz točke (a) prvega pododstavka.

2. Organi javnega sektorja lahko za namene čezmejne avtentikacije za storitve, ki jih zagotavljajo prek spleta, priznajo sredstvo elektronske identifikacije, ki se izda v okviru sheme elektronske identifikacije, navedene na seznamu, ki ga Komisija objavi v skladu s členom 9, in ustreza nizki ravni zanesljivosti.

Člen 7

Upravičenost do priglasitve shem elektronske identifikacije

Shema elektronske identifikacije je upravičena do priglasitve v skladu s členom 9(1), če so izpolnjeni vsi naslednji pogoji:

(a)

sredstva elektronske identifikacije v okviru sheme elektronske identifikacije se izdajo:

(i)	s strani države članice priglasiteljice;

(ii)	po pooblastilu države članice priglasiteljice, ali

(iii)

neodvisno od države članice priglasiteljice, vendar jih ta država članica priznava;

(b)	sredstva elektronske identifikacije v okviru sheme elektronske identifikacije se lahko uporabljajo za dostop do vsaj ene storitve, ki jo zagotavlja organ javnega sektorja in za katero se v državi članici priglasiteljici zahteva elektronska identifikacija;

(c)	shema elektronske identifikacije in sredstva elektronske identifikacije, izdana v okviru te sheme, izpolnjujejo zahteve vsaj ene od ravni zanesljivosti, določenih v izvedbenem aktu iz člena 8(3);

(d)

država članica priglasiteljica zagotovi, da se identifikacijski podatki osebe, ki enolično predstavljajo zadevno osebo, dodelijo fizični ali pravni osebi iz točke 1 člena 3 v skladu s tehničnimi specifikacijami, standardi in postopki za ustrezno raven zanesljivosti, določenimi v izvedbenem aktu iz člena 8(3), ob izdaji sredstva elektronske identifikacije v okviru navedene sheme;

(e)	izdajatelj sredstva elektronske identifikacije v okviru navedene sheme, zagotovi, da se sredstvo elektronske identifikacije dodeli osebi iz točke (d) tega člena v skladu s tehničnimi specifikacijami, standardi in postopki za ustrezno raven zanesljivosti, določenimi v izvedbenem aktu iz člena 8(3);

(f)

država članica priglasiteljica zagotovi, da je avtentikacija na voljo prek spleta, tako da lahko vsaka zanašajoča se stranka s sedežem na ozemlju druge države članice potrdi identifikacijske podatke osebe, prejete v elektronski obliki.

Za zanašajoče se stranke, ki niso organi javnega sektorja, lahko država članica priglasiteljica določi pogoje dostopa do navedene avtentikacije. Čezmejna avtentikacija je brezplačna, če se opravi v povezavi s spletno storitvijo, ki jo zagotavlja organ javnega sektorja.

Države članice ne uvedejo nobenih posebnih nesorazmernih tehničnih zahtev za zanašajoče se stranke, ki nameravajo opraviti tako avtentikacijo, če takšne zahteve preprečujejo ali znatno ovirajo interoperabilnost priglašenih shem elektronske identifikacije;

(g)	vsaj šest mesecev pred priglasitvijo v skladu s členom 9(1) država članica priglasiteljica zagotovi drugim državam članicam v skladu z obveznostjo iz člena 12(5) opis te sheme v skladu s postopkovno ureditvijo, določeno z izvedbenim aktom iz člena 12(7);

(h)	shema elektronske identifikacije izpolnjuje zahteve izvedbenega akta iz člena 12(8).

Člen 8

Ravni zanesljivosti shem elektronske identifikacije

1. Shema elektronske identifikacije, priglašena v skladu s členom 9(1), določa nizko, srednjo in/ali visoko raven zanesljivosti, dodeljeno sredstvom elektronske identifikacije, izdanim v okviru te sheme.

2. Nizka, srednja in visoka raven zanesljivosti izpolnjujejo naslednja merila:

(a)

nizka raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja omejeno stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je zmanjšati nevarnost zlorabe ali spreminjanja identitete;

(b)

srednja raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja srednjo stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je znatno zmanjšati nevarnost zlorabe ali spreminjanja identitete;

(c)

visoka raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja višjo stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe kot sredstva elektronske identifikacije srednje ravni zanesljivosti in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je preprečiti nevarnost zlorabe ali spreminjanja identitete.

3. Do 18. septembra 2015 ter ob upoštevanju ustreznih mednarodnih standardov in odstavka 2 Komisija z izvedbenimi akti določi minimalne tehnične specifikacije, standarde in postopke, na podlagi katerih se določijo nizka, srednja in visoka raven zanesljivosti za sredstva elektronske identifikacije za namene odstavka 1.

Te minimalne tehnične specifikacije, standardi in postopki se določijo ob sklicevanju na zanesljivost in kakovost naslednjih elementov:

(a)	postopka za dokazovanje in preverjanje identitete fizičnih ali pravnih oseb, ki zaprosijo za izdajo sredstva elektronske identifikacije;

(b)	postopka za izdajo zahtevanega sredstva elektronske identifikacije;

(c)	mehanizma avtentikacije, prek katerega fizična ali pravna oseba uporablja sredstvo elektronske identifikacije, da odvisni stranki potrdi svojo identiteto;

(d)	izdajatelja sredstva elektronske identifikacije;

(e)	katerega koli drugega organa, vključenega v postopek izdaje sredstva elektronske identifikacije, ter

(f)	tehničnih in varnostnih specifikacij izdanega sredstva elektronske identifikacije.

Komisija izvedbene akte sprejme v skladu s postopkom pregleda iz člena 48(2).

Člen 11

Odgovornost

1. Država članica priglasiteljica je odgovorna za škodo, ki je namenoma ali iz malomarnosti povzročena fizični ali pravni osebi zaradi neizpolnjevanja obveznosti iz točk (d) in (f) člena 7 pri opravljanju čezmejne transakcije.

2. Izdajatelj sredstva elektronske identifikacije je odgovoren za škodo, ki jo namenoma ali iz malomarnosti povzroči fizični ali pravni osebi zaradi neizpolnjevanja obveznosti iz točke (e) člena 7 pri opravljanju čezmejne transakcije.

3. Stranka, ki opravi postopek avtentikacije, je odgovorna za škodo, ki jo namenoma ali iz malomarnosti povzroči kateri koli fizični ali pravni osebi, če pri opravljanju čezmejne transakcije ne zagotovi pravilnega delovanja avtentikacije iz točke (f) člena 7.

4. Odstavki 1, 2 in 3 se uporabljajo v skladu z nacionalnimi pravili o odgovornosti.

5. Odstavki 1, 2 in 3 ne posegajo v odgovornost, ki jo imajo v skladu z nacionalnim pravom stranke transakcije, pri kateri se uporabljajo sredstva elektronske identifikacije, ki so del sheme elektronske identifikacije, priglašene v skladu s členom 9(1).

Člen 13

Odgovornost in dokazno breme

1. Brez poseganja v odstavek 2 so ponudniki storitev zaupanja odgovorni za škodo, ki je namenoma ali iz malomarnosti povzročena fizični ali pravni osebi zaradi neizpolnjevanja obveznosti po tej uredbi.

Dokazno breme o namenu (naklepu) ali malomarnosti ponudnika nekvalificiranih storitev zaupanja nosi fizična ali pravna oseba, ki zatrjuje škodo iz prvega pododstavka.

Domneva se, da je ponudnik kvalificiranih storitev zaupanja škodo povzročil namenoma ali iz malomarnosti, razen če dokaže, da škode iz prvega pododstavka ni povzročil namenoma ali iz malomarnosti.

2. Kadar ponudniki storitev zaupanja svoje stranke ustrezno vnaprej obvestijo o omejitvah uporabe storitev, ki jih zagotavljajo, in kadar tretja stranka te omejitve lahko prepozna, ponudniki storitev zaupanja niso odgovorni za škodo, ki izhaja iz uporabe storitev, ki presega navedene omejitve.

3. Odstavka 1 in 2 se uporabljata v skladu z nacionalnimi pravili o odgovornosti.

Člen 15

Dostopnost za invalide

Če je izvedljivo, so ponujene storitve zaupanja in izdelki za končne uporabnike, ki se uporabljajo pri zagotavljanju teh storitev, dostopni invalidom.

Člen 16

Kazni

Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve te uredbe. Kazni so učinkovite, sorazmerne in odvračilne.

ODDELEK 2

Nadzor

Člen 19

Varnostne zahteve za ponudnike storitev zaupanja

1. Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja sprejmejo ustrezne tehnične in organizacijske ukrepe za obvladovanje nevarnosti, povezanih z varnostjo storitev zaupanja, ki jih zagotavljajo. Ti ukrepi ob upoštevanju najnovejših tehnoloških dosežkov zagotavljajo, da je raven varnosti sorazmerna s stopnjo nevarnosti. Sprejmejo se zlasti zato, da bi preprečili in čim bolj zmanjšali vpliv varnostnih incidentov ter deležnike obvestili o škodljivih učinkih takih incidentov.

2. Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja o vsaki kršitvi varnosti ali izgubi celovitosti, ki znatno vpliva na zagotovljeno storitev zaupanja ali na osebne podatke, vsebovane v njej, brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po ugotovitvi, uradno obvestijo nadzorni organ, po potrebi pa tudi druge pristojne organe, kot je pristojni nacionalni organ za varnost informacij ali organ za varstvo podatkov.

Kadar je verjetno, da bo kršitev varnosti ali izguba celovitosti negativno vplivala na fizično ali pravno osebo, ki ji je bila zagotovljena storitev zaupanja, ponudnik storitev zaupanja o kršitvi varnosti ali izgubi celovitosti brez nepotrebnega odlašanja uradno obvesti tudi fizično ali pravno osebo.

Uradno obveščeni nadzorni organ po potrebi obvesti nadzorne organe drugih zadevnih držav članic in agencijo ENISA, zlasti če kršitev varnosti ali izguba celovitosti zadeva dve ali več držav članic.

Uradno obveščeni nadzorni organ o tem obvesti javnost ali to zahteva od ponudnika storitev zaupanja, kadar ugotovi, da je razkritje kršitve varnosti ali izgube celovitosti v javnem interesu.

3. Nadzorni organ agenciji ENISA enkrat na leto predloži povzetek uradnih obvestil o kršitvi varnosti in izgubi celovitosti, ki jih je prejel od ponudnikov storitev zaupanja.

4. Komisija lahko z izvedbenimi akti:

(a)	dodatno opredeli ukrepe iz odstavka 1 ter

(b)	določi oblike in postopke, vključno z roki, ki se uporabljajo za namene odstavka 2.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

ODDELEK 3

Kvalificirane storitve zaupanja

Člen 22

Zanesljivi seznami

1. Vsaka država članica sestavi, vodi in objavi zanesljive sezname, vključno z informacijami o ponudnikih kvalificiranih storitev zaupanja, za katere je odgovorna, skupaj z informacijami o kvalificiranih storitvah zaupanja, ki jih ti ponudniki zagotavljajo.

2. Države članice v obliki, primerni za avtomatizirano obdelavo, na varen način sestavijo, vodijo in objavijo elektronsko podpisane ali ožigosane zanesljive sezname ponudnikov storitev zaupanja iz odstavka 1.

3. Države članice Komisijo brez nepotrebnega odlašanja uradno obvestijo o vseh informacijah o organu, ki je pristojen za sestavljanje, vodenje in objavljanje nacionalnih zanesljivih seznamov, ter podrobnosti o tem, kje so taki seznami objavljeni, o potrdilih, uporabljenih za podpisovanje ali ožigosanje zanesljivih seznamov, ter o vseh njihovih spremembah.

4. Komisija na varen način in v elektronsko podpisani ali ožigosani obliki, primerni za avtomatizirano obdelavo, da informacije iz odstavka 3 na voljo javnosti.

5. Komisija do 18. septembra 2015 z izvedbenimi akti določi informacije iz odstavka 1 ter opredeli tehnične specifikacije in oblike za zanesljive sezname, ki se uporabljajo za namene odstavkov 1 do 4. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 24

Zahteve za ponudnike kvalificiranih storitev zaupanja

1. Ob izdaji kvalificiranega potrdila za storitev zaupanja ponudnik kvalificiranih storitev zaupanja z ustreznimi sredstvi in v skladu z nacionalnim pravom preveri identiteto in po potrebi druge posebne lastnosti fizične ali pravne osebe, za katero se izdaja kvalificirano potrdilo.

Ponudnik kvalificiranih storitev zaupanja podatke iz prvega pododstavka preveri bodisi neposredno ali prek tretje osebe v skladu z nacionalnim pravom:

(a)	s fizično prisotnostjo fizične osebe ali pooblaščenega predstavnika pravne osebe ali

(b)

na daljavo, s pomočjo sredstev elektronske identifikacije, v zvezi s katerimi je bila pred izdajo kvalificiranega potrdila zagotovljena fizična prisotnost fizične osebe ali pooblaščenega predstavnika pravne osebe in ki izpolnjujejo zahteve iz člena 8 v zvezi s „srednjo“ ali „visoko“ ravnjo zanesljivosti, ali

(c)	s potrdilom kvalificiranega elektronskega podpisa ali kvalificiranega elektronskega žiga, izdanega v skladu s točko (a) ali (b), ali

(d)	s pomočjo drugih načinov identifikacije, ki so priznani na nacionalni ravni in zagotavljajo enakovredno zanesljivost kakor fizična prisotnost. Enakovredno zanesljivost potrdi organ za ugotavljanje skladnosti.

2. Ponudnik kvalificiranih storitev zaupanja, ki zagotavlja kvalificirane storitve zaupanja:

(a)	obvesti nadzorni organ o vsaki spremembi pri zagotavljanju svojih kvalificiranih storitev zaupanja ter o nameri o prenehanju opravljanja teh dejavnosti;

(b)

zaposluje osebje in po potrebi podizvajalce, ki imajo potrebno strokovno znanje, izkušnje in kvalifikacije ter so zanesljivi in ki so se udeležili ustreznega usposabljanja v zvezi z varnostjo in pravili o varstvu osebnih podatkov ter uporabljajo upravne in upravljavske postopke, ki so v skladu z evropskimi ali mednarodnimi standardi;

(c)	kar zadeva tveganje odškodninske odgovornosti v skladu s členom 13, ohranja zadostna finančna sredstva in/ali pridobi ustrezno zavarovanje odgovornosti v skladu z nacionalnim pravom;

(d)	pred vstopom v pogodbeno razmerje vsako osebo, ki želi uporabljati kvalificirano storitev zaupanja, jasno in razumljivo obvesti o natančnih splošnih pogojih uporabe zadevne storitve, tudi o morebitnih omejitvah njene uporabe;

(e)	uporablja zaupanja vredne sisteme in izdelke, ki so zaščiteni pred spreminjanjem ter zagotavljajo tehnično varnost in zanesljivost postopkov, pri katerih se uporabljajo;

(f)

uporablja zaupanja vredne sisteme za shranjevanje podatkov, ki jih prejme, v preverljivi obliki, tako da:

(i)	so ti javno dostopni samo, če je bila pridobljena privolitev osebe, na katero se podatki nanašajo,

(ii)	lahko le pooblaščene osebe vnašajo podatke in spreminjajo shranjene podatke,

(iii)

se lahko preveri avtentičnost podatkov;

(g)	sprejme ustrezne ukrepe proti ponarejanju in kraji podatkov;

(h)

v ustreznem časovnem obdobju, tudi potem, ko je ponudnik kvalificiranih storitev zaupanja prenehal opravljati dejavnosti, beleži vse pomembne informacije o podatkih, ki jih je izdal in prejel ponudnik kvalificiranih storitev zaupanja, in ohranja dostop do njih, zlasti da se zagotovijo dokazi v pravnih postopkih in neprekinjenost storitve. Beleženje je lahko elektronsko;

(i)	ima posodobljen načrt za prenehanje zagotavljanja storitve, da se zagotovi neprekinjenost storitve v skladu z določbami, ki jih preveri nadzorni organ v skladu s točko (i) člena 17(4);

(j)	zagotovi zakonito obdelavo osebnih podatkov v skladu z Direktivo 95/46/ES;

(k)	v primeru ponudnikov kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vzpostavi in posodablja podatkovno zbirko potrdil.

3. Če ponudnik kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, sklene, da se potrdilo prekliče, tak preklic zabeleži v svoji podatkovni zbirki potrdil in pravočasno, v vsakem primeru pa v 24 urah po prejetju zahtevka, objavi, da je potrdilo preklicano. Preklic začne učinkovati takoj po objavi.

4. V zvezi z odstavkom 3 ponudniki kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vsaki zanašajoči se stranki zagotovijo informacije o veljavnosti ali preklicu kvalificiranih potrdil, ki so jih izdali. Te informacije so vsaj za posamezna potrdila na voljo kadar koli in tudi po izteku veljavnosti potrdila, in sicer na zanesljiv, brezplačen in učinkovit avtomatiziran način.

5. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za zaupanja vredne sisteme in izdelke, ki izpolnjujejo zahteve iz točk (e) in (f) odstavka 2 tega člena. Zahteve iz tega člena veljajo za izpolnjene, kadar zaupanja vredni sistemi in izdelki izpolnjujejo te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

ODDELEK 4

Elektronski podpisi

Člen 26

Zahteve za napredne elektronske podpise

Napredni elektronski podpis izpolnjuje naslednje zahteve:

(a)	enolično je povezan s podpisnikom;

(b)	z njim je mogoče identificirati podpisnika;

(c)	ustvari se na podlagi podatkov za ustvarjanje elektronskega podpisa, ki jih podpisnik z visoko stopnjo zaupanja lahko uporablja izključno pod svojim nadzorom, in

(d)	s podatki, ki so na ta način podpisani, je povezan tako, da je opazna vsaka naknadna sprememba podatkov.

Člen 27

Elektronski podpisi pri javnih storitvah

1. Če država članica za uporabo spletne storit ve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski podpis, ta država članica prizna napredne elektronske podpise, napredne elektronske podpise, ki temeljijo na kvalificiranem potrdilu za elektronske podpise, in kvalificirane elektronske podpise, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

2. Če država članica za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski podpis, ki temelji na kvalificiranem potrdilu, ta država članica prizna napredne elektronske podpise, ki temeljijo na kvalificiranem potrdilu, in kvalificirane elektronske podpise, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

3. Države članice za čezmejno uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja, ne zahtevajo elektronskega podpisa z višjo ravnjo varnosti, kot jo ima kvalificirani elektronski podpis.

4. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za napredne elektronske podpise. Zahteve za napredne elektronske podpise iz odstavkov 1 in 2 tega člena ter iz člena 26 veljajo za izpolnjene, če napredni elektronski podpis izpolnjuje te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

5. Komisija do 18. septembra 2015 in ob upoštevanju obstoječih praks, standardov in pravnih aktov Unije z izvedbenimi akti opredeli referenčne formate naprednih elektronskih podpisov ali referenčne metode, če se uporabijo alternativne oblike. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 30

Certificiranje naprav za ustvarjanje kvalificiranega elektronskega podpisa

1. Skladnost naprav za ustvarjanje kvalificiranega elektronskega podpisa z zahtevami iz Priloge II certificirajo ustrezni javni ali zasebni organi, ki jih imenujejo države članice.

2. Države članice Komisijo uradno obvestijo o imenih in naslovih javnega ali zasebnega organa iz odstavka 1. Komisija da te informacije na voljo državam članicam.

3. Certificiranje iz odstavka 1 se izvede na podlagi:

(a)	postopka varnostne ocene, izvedenega v skladu z enim od standardov za ocenjevanje varnosti izdelkov informacijske tehnologije s seznama, vzpostavljenega v skladu z drugim pododstavkom, ali

(b)	postopka, ki ni postopek iz točke (a), če uporablja primerljive ravni varnosti ter če javni ali zasebni organ iz odstavka 1 o njem uradno obvesti Komisijo. Ta postopek se lahko uporabi le, če standardov iz točke (a) ni ali če postopek varnostne ocene iz točke (a) še poteka.

Komisija z izvedbenimi akti vzpostavi seznam standardov za oceno varnosti izdelkov informacijske tehnologije iz točke (a). Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

4. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 47, v zvezi z določitvijo posebnih meril, ki jih morajo izpolnjevati imenovani organi iz odstavka 1 tega člena.

Člen 31

Objava seznama certificiranih naprav za ustvarjanje kvalificiranega elektronskega podpisa

1. Države članice Komisijo brez nepotrebnega odlašanja, najpozneje pa en mesec po zaključku postopka certificiranja, uradno obvestijo o informacijah o napravah za ustvarjanje kvalificiranega elektronskega podpisa, ki so jih certificirali organi iz člena 30(1). Komisijo brez nepotrebnega odlašanja, najpozneje pa en mesec po razveljavitvi certificiranja, uradno obvestijo tudi o informacijah o napravah za ustvarjanje elektronskega podpisa, ki niso več certificirane.

2. Komisija na podlagi prejetih informacij pripravi, objavi in vodi seznam certificiranih naprav za ustvarjanje kvalificiranega elektronskega podpisa.

3. Komisija lahko z izvedbenimi akti določi formate in postopke, ki se uporabljajo za namene odstavka 1. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 34

Kvalificirana storitev hrambe kvalificiranih elektronskih podpisov

1. Kvalificirano storitev hrambe kvalificiranih elektronskih podpisov lahko zagotavlja le ponudnik kvalificiranih storitev zaupanja, ki uporablja postopke in tehnologije, s katerimi se zanesljivost kvalificiranega elektronskega podpisa lahko podaljša tudi po izteku obdobja tehnološke veljavnosti.

2. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za kvalificirano storitev hrambe kvalificiranih elektronskih podpisov. Zahteve iz odstavka 1 veljajo za izpolnjene, če ureditve za kvalificirano storitev hrambe kvalificiranih elektronskih podpisov izpolnjujejo te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

ODDELEK 5

Elektronski žigi

Člen 36

Zahteve za napredne elektronske žige

Napredni elektronski žig izpolnjuje naslednje zahteve:

(a)	enolično je povezan z ustvarjalcem žiga;

(b)	z njim je mogoče identificirati ustvarjalca žiga;

(c)	ustvari se na podlagi podatkov za ustvarjanje elektronskega žiga, ki jih ustvarjalec žiga z visoko stopnjo zaupanja in pod svojim nadzorom lahko uporablja za ustvarjanje elektronskega žiga, in

(d)	povezan je s podatki, na katere se nanaša, in sicer tako, da je mogoče zaslediti vsako naknadno spremembo teh podatkov.

Člen 37

Elektronski žigi pri javnih storitvah

1. Če država članica za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski žig, ta država članica prizna napredne elektronske žige, napredne elektronske žige, ki temeljijo na kvalificiranem potrdilu za elektronske žige, in kvalificirane elektronske žige, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

2. Če država članica za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski žig, ki temelji na kvalificiranem potrdilu, ta država članica prizna napredne elektronske žige, ki temeljijo na kvalificiranem potrdilu, in kvalificirane elektronske žige, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

3. Države članice za čezmejni dostop do spletne storitve, ki jo zagotavlja organ javnega sektorja, ne zahtevajo elektronskega žiga z višjo ravnjo varnosti, kot jo ima kvalificirani elektronski žig.

4. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za napredne elektronske žige. Zahteve za napredne elektronske žige iz odstavkov 1 in 2 tega člena ter iz člena 36 veljajo za izpolnjene, če napredni elektronski žig izpolnjuje te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

5. Komisija do 18. septembra 2015 in ob upoštevanju obstoječih praks, standardov in pravnih aktov Unije z izvedbenimi akti določi referenčne formate naprednih elektronskih žigov ali referenčne metode, če so uporabljene alternativne oblike. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 39

Naprave za ustvarjanje kvalificiranega elektronskega žiga

1. Člen 29 se smiselno uporablja za zahteve za naprave za ustvarjanje kvalificiranega elektronskega žiga.

2. Člen 30 se smiselno uporablja za certificiranje naprav za ustvarjanje kvalificiranega elektronskega žiga.

3. Člen 31 se smiselno uporablja za objavo seznama certificiranih naprav za ustvarjanje kvalificiranega elektronskega žiga.

Člen 40

Potrjevanje veljavnosti in hramba kvalificiranih elektronskih žigov

Členi 32, 33 in 34 se smiselno uporabljajo za potrjevanje veljavnosti in hrambo kvalificiranih elektronskih žigov.

ODDELEK 6

Elektronski časovni žig

Člen 48

Postopek v odboru

1. Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2. Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

POGLAVJE VI

KONČNE DOLOČBE

Člen 52

Začetek veljavnosti

1. Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2. Ta uredba se uporablja od 1. julija 2016, z naslednjimi izjemami:

(a)	členi 8(3), 9(5), 12(2) do (9), 17(8), 19(4), 20(4), 21(4), 22(5), 23(3), 24(5), 27(4) in (5), 28(6), 29(2), 30(3) in (4), 31(3), 32(3), 33(2), 34(2), 37(4) in (5), 38(6), 42(2), 44(2), 45(2), ter člena 47 in 48 se uporabljajo od 17. septembra 2014;

(b)	člen 7, člen 8(1) in (2), členi 9, 10, 11 ter člen 12(1) se uporabljajo od datuma začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8);

(c)	člen 6 se začne uporabljati tri leta po datumu začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8).

3. Če se priglašena shema elektronske identifikacije navede na seznamu, ki ga Komisija objavi v skladu s členom 9, pred datumom iz točke (c) odstavka 2 tega člena, se sredstva elektronske identifikacije v okviru te sheme priznajo na podlagi člena 6 najpozneje 12 mesecev po objavi te sheme, vendar ne pred datumom iz točke (c) odstavka 2 tega člena.

4. Ne glede na točko (c) odstavka 2 tega člena lahko država članica sklene, da se sredstva elektronske identifikacije v okviru sheme elektronske identifikacije, ki jo na podlagi člena 9(1) priglasi druga država članica, priznajo v prvi državi članici od datuma začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8). Zadevne države članice obvestijo Komisijo. Komisija te informacije objavi.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 23. julija 2014

Za Parlament

Predsednik

M. SCHULZ

Za Svet

Predsednik

S. GOZI

(1) UL C 351, 15.11.2012, str. 73.

(2) Stališče Evropskega parlamenta z dne 3. aprila 2014 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 23. julija 2014.

(3) Direktiva 1999/93/ES Evropskega parlamenta in Sveta z dne 13. decembra 1999 o okviru Skupnosti za elektronski podpis (UL L 13, 19.1.2000, str. 12).

(4) UL C 50 E, 21.2.2012, str. 1.

(5) Direktiva 2006/123/ES Evropskega parlamenta in Sveta z dne 12. decembra 2006 o storitvah na notranjem trgu (UL L 376, 27.12.2006, str. 36).

(6) Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).

(7) Direktiva 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

(8) Sklep Sveta 2010/48/ES z dne 26. novembra 2009 o sklenitvi Konvencije Združenih narodov o pravicah invalidov s strani Evropske skupnosti (UL L 23, 27.1.2010, str. 35).

(9) Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30).

(10) Odločba Komisije 2009/767/ES z dne 16. oktobra 2009 o vzpostavitvi ukrepov za pospeševanje uporabe postopkov po elektronski poti s pomočjo „enotnih kontaktnih točk“ po Direktivi 2006/123/ES Evropskega parlamenta in Sveta o storitvah na notranjem trgu (UL L 274, 20.10.2009, str. 36).

(11) Sklep Komisije 2011/130/EU z dne 25. februarja 2011 o določitvi minimalnih zahtev glede čezmejne obdelave dokumentov z elektronskim podpisom pristojnih organov v skladu z Direktivo 2006/123/ES Evropskega parlamenta in Sveta o storitvah na notranjem trgu (UL L 53, 26.2.2011, str. 66).

(12) Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

(13) Uredba (ES) št. 45/2001 Evropskega parlamenta in Svet z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12,1,2001, str. 1).

(14) UL C 28, 30.1.2013, str. 6.

(15) Direktiva 2014/24/EU Evropskega parlamenta in Sveta z dne 26. februarja 2014 o javnem naročanju in razveljavitvi Direktive 2004/18/ES (UL L 94, 28.3.2014, str. 65).

PRILOGA I

ZAHTEVE V ZVEZI S KVALIFICIRANIMI POTRDILI ZA ELEKTRONSKE PODPISE

Kvalificirana potrdila za elektronske podpise vsebujejo:

(a)	navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za elektronski podpis;

(b)

nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in

—	za pravne osebe: ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah,

—	za fizične osebe: ime osebe;

(c)	vsaj ime podpisnika ali psevdonim; če je uporabljen psevdonim, se to jasno navede;

(d)	podatke za potrjevanje veljavnosti elektronskega podpisa, ki ustrezajo podatkom za ustvarjanje elektronskega podpisa;

(e)	podrobnosti o začetku in koncu veljavnosti potrdila;

(f)	identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;

(g)	napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;

(h)	lokacijo, kjer je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (g), na voljo brezplačno;

(i)	lokacijo storitev, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila;

(j)	če se podatki za ustvarjanje elektronskega podpisa, povezani s podatki za potrjevanje veljavnosti elektronskega podpisa, nahajajo v napravi za ustvarjanje kvalificiranega elektronskega podpisa, se to ustrezno navede vsaj v formatu, primernem za avtomatizirano obdelavo.

PRILOGA II

ZAHTEVE V ZVEZI Z NAPRAVAMI ZA USTVARJANJE KVALIFICIRANEGA ELEKTRONSKEGA PODPISA

Naprave za ustvarjanje kvalificiranega elektronskega podpisa z ustrezno tehnologijo in postopki zagotavljajo vsaj, da:

(a)	je razumno zagotovljena zaupnost podatkov za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis;

(b)	se lahko podatki za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, dejansko pojavijo samo enkrat;

(c)	je razumno zagotovljeno, da do podatkov za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, ni mogoče priti s sklepanjem in da je elektronski podpis z uporabo trenutno razpoložljive tehnologije zanesljivo zaščiten pred ponarejanjem;

(d)	lahko zakoniti podpisnik zanesljivo zaščiti podatke za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, pred tem, da bi jih lahko uporabljali drugi.

Naprave za ustvarjanje kvalificiranega elektronskega podpisa ne spreminjajo podatkov, ki bodo podpisani, ali preprečijo, da bi se ti podatki podpisniku prikazali pred podpisom.

Podatke za ustvarjanje elektronskega podpisa lahko v imenu podpisnika pridobiva ali upravlja le ponudnik kvalificiranih storitev zaupanja.

Ponudniki kvalificiranih storitev zaupanja, ki v imenu podpisnika upravljajo podatke za ustvarjanje elektronskega podpisa, lahko brez poseganja v točko (d) točke 1 podatke za ustvarjanje elektronskega podpisa podvajajo le za namene varnostne kopije, pod pogojem, da sta izpolnjeni naslednji zahtevi:

(a)	varnost podvojenih naborov podatkov je enaka ravni, ki jo ima varnost prvotnih naborov podatkov;

(b)	število podvojenih naborov podatkov ni večje, kot je to nujno potrebno, da se zagotovi neprekinjenost storitve.

PRILOGA III

ZAHTEVE V ZVEZI S KVALIFICIRANIMI POTRDILI ZA ELEKTRONSKE ŽIGE

Kvalificirana potrdila za elektronske žige vsebujejo:

(a)	navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za elektronski žig;

(b)

nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in

—	za pravne osebe: ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah,

—	za fizične osebe: ime osebe;

(c)	vsaj ime ustvarjalca žiga in po potrebi registrsko številko, kot sta navedena v uradnih evidencah;

(d)	podatke za potrjevanje veljavnosti elektronskega žiga, ki ustrezajo podatkom za ustvarjanje elektronskega žiga;

(e)	podrobnosti o začetku in koncu veljavnosti potrdila;

(f)	identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;

(g)	napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;

(h)	lokacijo, kjer je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (g), na voljo brezplačno;

(i)	lokacijo storitev, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila;

(j)	če se podatki za ustvarjanje elektronskega žiga, povezani s podatki za potrjevanje elektronskega žiga, nahajajo v napravi za ustvarjanje kvalificiranega elektronskega žiga, se to ustrezno navede vsaj v formatu, primernem za avtomatizirano obdelavo.

PRILOGA IV

ZAHTEVE ZA KVALIFICIRANA POTRDILA ZA AVTENTIKACIJO SPLETIŠČ

Kvalificirana potrdila za avtentikacijo spletišč vsebujejo:

(a)	navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za avtentikacijo spletišč;

(b)

nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in

—	za pravne osebe: ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah,

—	za fizične osebe: ime osebe;

(c)	za fizične osebe: vsaj ime osebe, za katero se izdaja potrdilo, ali psevdonim. Če je uporabljen psevdonim, se to jasno navede; za pravne osebe: vsaj ime pravne osebe, za katero se izdaja potrdilo, in po potrebi registrsko številko, kot sta navedena v uradnih evidencah;

(d)	elemente naslova fizične ali pravne osebe, za katero se izdaja potrdilo, vključno vsaj s krajem in državo, po potrebi, kot so navedeni v uradnih evidencah;

(e)	ime/imena domene, ki jo upravlja fizična ali pravna oseba, za katero se izdaja potrdilo;

(f)	podrobnosti o začetku in koncu obdobja veljavnosti potrdila;

(g)	identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;

(h)	napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;

(i)	lokacijo, na kateri je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (h), na voljo brezplačno;

(j)	lokacijo storitev za preverjanje veljavnosti potrdila, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila.

whereas

(9) V večini primerov državljani ne morejo uporabljati svoje elektronske identifikacije za svojo avtentikacijo v drugi državi članici, ker nacionalne sheme elektronske identifikacije iz njihove države niso priznane v drugih državah članicah.
Ta elektronska ovira ponudnikom storitev preprečuje, da bi v celoti izkoristili ugodnosti notranjega trga.
Vzajemno priznana sredstva elektronske identifikacije bodo poenostavila čezmejno zagotavljanje številnih storitev na notranjem trgu in podjetjem omogočila čezmejno poslovanje brez številnih ovir pri interakciji z javnimi organi.

- = -

(11) To uredbo bi bilo treba uporabljati ob doslednem spoštovanju načel glede varstva osebnih podatkov iz Direktive 95/46/ES Evropskega parlamenta in Sveta (7).
V zvezi s tem bi morala avtentikacija za spletno storitev, ob upoštevanju načela vzajemnega priznavanja iz te uredbe, zajemati obdelavo le tistih identifikacijskih podatkov, ki so ustrezni in relevantni ter niso pretirani za odobritev dostopa do te spletne storitve.
Poleg tega bi morali tudi ponudniki storitev zaupanja in nadzorni organi spoštovati zahteve iz Direktive 95/46/ES v zvezi z zaupnostjo in varnostjo obdelave.

- = -

(12) Eden od ciljev te uredbe je odpraviti obstoječe ovire za čezmejno uporabo sredstev elektronske identifikacije, ki se v državah članicah uporabljajo za avtentikacijo, vsaj za javne storitve.
Namen te uredbe ni posegati v elektronske sisteme za upravljanje identitete in z njimi povezane infrastrukture, vzpostavljene v državah članicah.
Cilj te uredbe je zagotoviti, da je za dostop do čezmejnih spletnih storitev, ki jih zagotavljajo države članice, mogoča varna elektronska identifikacija in avtentikacija.

- = -

(13) Države članice bi morale imeti možnost, da še naprej prosto uporabljajo ali uvajajo sredstva za namene elektronske identifikacije za dostop do spletnih storitev.
Prav tako bi morale imeti možnost, da se same odločijo, ali bodo v zagotavljanje teh sredstev vključile zasebni sektor.
Države članice ne bi smele biti zavezane k priglasitvi shem elektronske identifikacije Komisiji.
Kar zadeva sheme elektronske identifikacije, ki se na nacionalni ravni uporabljajo za dostop vsaj do javnih spletnih storitev ali posebnih storitev, se lahko države članice same odločijo, ali bodo Komisiji priglasile vse sheme, samo nekatere ali nobene.

- = -

(14) V uredbi je treba določiti nekaj pogojev v zvezi s tem, katera sredstva elektronske identifikacije je treba priznati in kako se sheme elektronske identifikacije priglasijo.
Ti pogoji bi državam članicam morali pomagati pri krepitvi potrebnega zaupanja v sheme elektronske identifikacije drugih držav članic in vzajemnem priznavanju sredstev elektronske identifikacije, ki spadajo v priglašene sheme.
Načelo vzajemnega priznavanja bi se moralo uporabljati, če shema elektronske identifikacije države članice priglasiteljice izpolnjuje pogoje priglasitve, priglasitev pa je bila objavljena v Uradnem listu Evropske unije.
Načelo vzajemnega priznavanja pa bi se moralo nanašati le na avtentikacijo za spletno storitev.
Dostop do teh spletnih storitev in njihova končna dostava prosilcu bi morala biti tesno povezana s pravico do prejema takšnih storitev pod pogoji iz nacionalne zakonodaje.

- = -

(15) Obveznost priznavanja sredstev elektronske identifikacije bi morala zadevati le tista sredstva, katerih raven zanesljivosti identitete ustreza ravni, ki je enaka ali višja od zahtevane ravni za zadevno spletno storitev.
Poleg tega bi bilo treba to obveznost uporabljati le, kadar zadevni organ javnega sektorja uporablja „srednjo“ ali „visoko“ raven zanesljivosti glede dostopa do te spletne storitve.
Države članice bi morale imeti v skladu s pravom Unije možnost, da priznajo sredstva elektronske identifikacije z nižjimi ravnmi zanesljivosti identitete.

- = -

(17) Države članice bi morale spodbujati zasebni sektor, da prostovoljno uporablja sredstva elektronske identifikacije v okviru priglašene sheme za namene identifikacije, kadar je to potrebno za spletne storitve ali elektronske transakcije.
Možnost uporabe takšnih sredstev elektronske identifikacije bi zasebnemu sektorju omogočila uporabo elektronske identifikacije in avtentikacije, ki se v številnih državah članicah že uporabljata vsaj za javne storitve, podjetja in državljani pa bi tako imeli lažji dostop do čezmejnih spletnih storitev.
Da bi zasebnemu sektorju olajšali čezmejno uporabo takšnih sredstev elektronske identifikacije, bi morala biti možnost avtentikacije, ki jo zagotavlja katera koli država članica, na voljo zanašajočim se strankam iz zasebnega sektorja, ki nimajo sedeža na ozemlju te države članice, pod enakimi pogoji, kot veljajo za zanašajoče se stranke iz zasebnega sektorja, ki imajo sedež v tej državi članici.
Zato lahko država članica priglasiteljica za zanašajoče se stranke iz zasebnega sektorja določi pogoje za dostop do sredstva avtentikacije.
V takšnih pogojih za dostop je lahko navedeno, ali je sredstvo avtentikacije, povezano s priglašeno shemo, trenutno na voljo zanašajočim se strankam iz zasebnega sektorja.

- = -

(18) Ta uredba bi morala določati odgovornost države članice priglasiteljice, izdajatelja sredstva elektronske identifikacije, in stranke, ki opravi postopek avtentikacije, v primeru neizpolnjevanja ustreznih obveznosti v skladu s to uredbo.
Vendar bi se ta uredba morala uporabljati v skladu z nacionalnimi pravili o odgovornosti.
Zato ne vpliva na navedena nacionalna pravila, na primer o opredelitvi škode, ali na ustrezna veljavna postopkovna pravila, tudi o dokaznem bremenu.

- = -

(19) Varnost shem elektronske identifikacije je ključna za zaupanja vredno čezmejno vzajemno priznavanje sredstev elektronske identifikacije.
V zvezi s tem bi morale države članice sodelovati pri zagotavljanju varnosti in interoperabilnosti shem elektronske identifikacije na ravni Unije. Če bi za sheme elektronske identifikacije potrebovali posebno strojno ali programsko opremo, ki bi jo uporabljale zanašajoče se stranke na nacionalni ravni, te države članice zaradi čezmejne interoperabilnosti ne bi smele naložiti takšnih zahtev in z njimi povezanih stroškov zanašajočim se strankam, ki nimajo sedeža na njihovem ozemlju.
V tem primeru bi bilo treba razpravljati o primernih rešitvah in jih razvijati v interoperabilnostnem okviru.
Vendar pa se ni mogoče izogniti tehničnim zahtevam, ki izhajajo iz specifikacij nacionalnih sredstev elektronske identifikacije in bi lahko vplivale na imetnike takšnih elektronskih sredstev (npr.
pametnih kartic).

- = -

(21) Ta uredba bi morala določiti tudi splošni pravni okvir za uporabo storitev zaupanja.
Ne bi pa smela uvajati splošne obveznosti za njihovo uporabo ali vzpostaviti točke dostopa za vse obstoječe storitve zaupanja.
Zlasti ne bi smela urejati zagotavljanja storitev, ki se uporabljajo izključno znotraj zaprtih sistemov med določeno skupino udeležencev, ki ne vplivajo na tretje osebe.
Zahteve te uredbe na primer ne bi smele veljati za sisteme, vzpostavljene v podjetjih ali javnih upravah, ki za vodenje notranjih postopkov uporabljajo storitve zaupanja.
Zahteve te uredbe bi morale izpolnjevati le storitve zaupanja, ki se zagotavljajo javnosti in vplivajo na tretje osebe.
Ta uredba tudi ne bi smela urejati vidikov, povezanih s sklenitvijo in veljavnostjo pogodb ali drugih pravnih obveznosti, če nacionalno pravo ali pravo Unije določa zahteve glede obličnosti.
Poleg tega tudi ne bi smela vplivati na nacionalne zahteve glede obličnosti, ki zadevajo javne registre, zlasti trgovinske registre in zemljiške knjige.

- = -

(22) Da bi spodbujali njihovo splošno čezmejno uporabo, bi moralo biti mogoče storitve zaupanja uporabljati kot dokaz v pravnih postopkih v vseh državah članicah.
Pravne učinke storitev zaupanja se lahko določi v nacionalnem pravu, če v tej uredbi ni določeno drugače.

- = -

(28) Da se okrepi zlasti zaupanje malih in srednjih podjetij ter potrošnikov v notranji trg ter spodbudi uporaba storitev zaupanja in izdelkov, bi bilo treba uvesti pojma kvalificiranih storitev zaupanja in ponudnika kvalificiranih storitev zaupanja ter tako določiti zahteve in obveznosti, ki zagotavljajo visoko raven varnosti vseh kvalificiranih storitev zaupanja in izdelkov, ki se uporabljajo ali zagotavljajo.

- = -

(29) V skladu z obveznostmi iz Konvencije Združenih narodov o pravicah invalidov, ki je bila odobrena s Sklepom Sveta 2010/48/ES (8), zlasti iz člena 9 navedene konvencije, bi bilo treba invalidom omogočiti dostop do storitev zaupanja in izdelkov za končne uporabnike, ki se uporabljajo pri zagotavljanju teh storitev, v enaki meri kot drugim potrošnikom.
Zagotavljane storitve zaupanja in izdelki za končne uporabnike, ki se uporabljajo pri zagotavljanju teh storitev, bi zato morali biti dostopni invalidom, če je to izvedljivo.
Pri oceni izvedljivosti bi bilo treba med drugim upoštevati tehnične in ekonomske vidike.

- = -

(32) Vsi ponudniki storitev zaupanja bi morali uporabljati dobro prakso varnosti, ki ustreza tveganjem, povezanim z njihovimi dejavnostmi, da bi okrepili zaupanje uporabnikov v enotni trg.

- = -

(37) Ta uredba bi morala določiti odgovornost vseh ponudnikov storitev zaupanja.
Zlasti vzpostavlja ureditev odgovornosti, v skladu s katero bi morali biti vsi ponudniki storitev zaupanja odgovorni za škodo, ki jo povzročijo fizični ali pravni osebi zaradi neizpolnjevanja obveznosti iz te uredbe.
Da bi poenostavili oceno finančnega tveganja, ki bi mu lahko bili izpostavljeni ponudniki storitev zaupanja ali bi moralo biti krito z njihovimi zavarovalnimi policami, ta uredba ponudnikom teh storitev omogoča, da pod določenimi pogoji določijo omejitve glede uporabe storitev, ki jih zagotavljajo, in tako niso odgovorni za škodo zaradi uporabe teh storitev, ki presega takšno omejitev.
Potrošniki bi morali biti vnaprej ustrezno obveščeni o omejitvah.
Te omejitve bi morale biti prepoznavne za tretje osebe, na primer tako, da se informacije o omejitvah vključijo v splošne pogoje zagotavljane storitve, ali na drug prepoznaven način.
Da bi ta načela lahko učinkovala, bi bilo treba to uredbo uporabljati v skladu z nacionalnimi pravili o odgovornosti.
Ta uredba tako ne vpliva na navedena nacionalna pravila, na primer o opredelitvi škode, namena (naklepa) in malomarnosti, ali na ustrezna veljavna postopkovna pravila.

- = -

(50) Ker pristojni organi v državah članicah trenutno uporabljajo različne formate naprednih elektronskih podpisov za elektronsko podpisovanje dokumentov, bi bilo treba zagotoviti, da lahko države članice, ko prejmejo elektronsko podpisane dokumente, tehnično podpirajo vsaj nekaj formatov naprednih elektronskih podpisov.
Podobno bi bilo treba v primeru, ko pristojni organi v državah članicah uporabljajo napredne elektronske žige, zagotoviti, da ti podpirajo vsaj nekaj formatov naprednih elektronskih žigov.

- = -

(52) Ustvarjanje elektronskih podpisov na daljavo, pri katerem okolje za ustvarjanje elektronskega podpisa upravlja ponudnik storitev zaupanja v imenu podpisnika, se bo okrepilo, saj prinaša številne gospodarske koristi.
Da se zagotovi enako pravno priznavanje takšnih elektronskih podpisov in elektronskih podpisov, ustvarjenih v okolju, ki ga v celoti upravlja uporabnik, pa bi morali ponudniki storitev elektronskih podpisov na daljavo izvajati posebne varnostne postopke pri vodenju in upravljanju ter uporabljati zaupanja vredne sisteme in izdelke, med drugim varne načine elektronske komunikacije, da se zagotovita zanesljivo okolje za ustvarjanje elektronskega podpisa in uporaba tega okolja pod izključnim nadzorom podpisnika.
V primeru kvalificiranega elektronskega podpisa, ustvarjenega z napravo za ustvarjanje elektronskega podpisa na daljavo, bi se morale uporabljati zahteve iz te uredbe, ki se uporabljajo za ponudnike kvalificiranih storitev zaupanja.

- = -

(56) V tej uredbi bi morale biti določene zahteve za naprave za ustvarjanje kvalificiranega elektronskega podpisa, da se zagotovi funkcionalnost naprednih elektronskih podpisov.
Ta uredba ne bi smela zajemati celotnega sistemskega okolja, v katerem takšne naprave delujejo.
Zato bi moral biti obseg certificiranja naprav za ustvarjanje kvalificiranega elektronskega podpisa omejen na strojno opremo in sistemsko programsko opremo, ki se uporabljata za upravljanje in varovanje podatkov za ustvarjanje podpisa, ki so ustvarjeni, shranjeni ali obdelani v napravi za ustvarjanje podpisa.
Kot je opredeljeno v zadevnih standardih, obveznost certificiranja ne bi smela veljati za aplikacije za ustvarjanje podpisa.

- = -

(74) Da se udeležencem na trgu, ki že uporabljajo kvalificirana potrdila, izdana fizičnim osebam v skladu z Direktivo 1999/93/ES, zagotovi pravna varnost, je treba omogočiti dovolj dolgo prehodno obdobje.
Podobno bi bilo treba prehodne ukrepe določiti tudi za naprave za varno ustvarjanje elektronskega podpisa, katerih skladnost je bila ugotovljena v skladu z Direktivo 1999/93/ES, in overitelje, ki izdajajo kvalificirana potrdila pred 1.
julijem 2016.
Prav tako je treba Komisiji zagotoviti, da lahko sprejme izvedbene in delegirane akte pred tem datumom.

- = -

keyboard_tab EIDAS 2014/0910 SL

EIDAS 2014/0910 SL