keyboard_tab EIDAS 2014/0910 SL

whereas    Če:

definitions:

Člen 6

Vzajemno priznavanje

1.   Če nacionalno pravo ali upravna praksa za dostop do storitve, ki jo prek spleta zagotavlja organ javnega sektorja v eni državi članici, predpisuje elektronsko identifikacijo z uporabo sredstva elektronske identifikacije in avtentikacije, se sredstvo elektronske identifikacije, izdano v drugi državi članici, prizna v prvi državi članici za namene čezmejne avtentikacije za to spletno storitev, če so izpolnjeni naslednji pogoji:

(a)	sredstvo elektronske identifikacije je izdano v okviru sheme elektronske identifikacije, navedene na seznamu, ki ga Komisija objavi v skladu s členom 9;

(b)

raven zanesljivosti takšnega sredstva elektronske identifikacije ustreza ravni zanesljivosti, ki je enaka ali višja od ravni zanesljivosti, ki jo zahteva zadevni organ javnega sektorja pri dostopu do spletne storitve v prvi državi članici, pod pogojem, da raven zanesljivosti takšnega sredstva elektronske identifikacije ustreza srednji ali visoki ravni zanesljivosti;

(c)	zadevni organ javnega sektorja uporablja srednjo ali visoko raven zanesljivosti v zvezi z dostopom do te spletne storitve.

Takšno priznanje se opravi najpozneje 12 mesecev po tem, ko Komisija objavi seznam iz točke (a) prvega pododstavka.

2.   Organi javnega sektorja lahko za namene čezmejne avtentikacije za storitve, ki jih zagotavljajo prek spleta, priznajo sredstvo elektronske identifikacije, ki se izda v okviru sheme elektronske identifikacije, navedene na seznamu, ki ga Komisija objavi v skladu s členom 9, in ustreza nizki ravni zanesljivosti.

Člen 9

Priglasitev

1.   Država članica priglasiteljica priglasi Komisiji naslednje informacije, brez nepotrebnega odlašanja pa tudi vse njihove naknadne spremembe:

(a)	opis sheme elektronske identifikacije, vključno z njenimi ravnmi zanesljivosti in izdajateljem oziroma izdajatelji sredstva elektronske identifikacije v okviru sheme;

(b)	veljavno ureditev nadzora in informacije o ureditvi odgovornosti v zvezi s/z: (i) izdajateljem sredstva elektronske identifikacije, in (ii) stranko, ki opravi postopek avtentikacije;

(c)	organ ali organe, pristojne za shemo elektronske identifikacije;

(d)	informacije o subjektu ali subjektih, ki urejajo registracijo enoličnih identifikacijskih podatkov osebe;

(e)	opis, kako se izpolnjujejo zahteve, določene v izvedbenih aktih iz člena 12(8);

(f)	opis avtentikacije iz točke (f) člena 7;

(g)	ureditev začasne razveljavitve ali preklica priglašene elektronske identifikacijske sheme, avtentikacije ali zadevnih ogroženih delov.

2.   Eno leto po začetku uporabe izvedbenih aktov iz členov 8(3) in 12(8) Komisija v Uradnem listu Evropske unije objavi seznam shem elektronske identifikacije, priglašenih v skladu z odstavkom 1 tega člena, in osnovne informacije o njih.

3.   Če Komisija prejme priglasitev po izteku obdobja iz odstavka 2, v Uradnem listu Evropske unije objavi spremembe seznama iz odstavka 2 v dveh mesecih po datumu prejema priglasitve.

4.   Država članica lahko Komisiji predloži zahtevek, da se s seznama iz odstavka 2 umakne shema elektronske identifikacije, ki jo je ta država članica priglasila. Komisija objavi ustrezne spremembe seznama članice v Uradnem listu Evropske unije v enem mesecu po datumu prejema zahtevka države članice.

5.   Komisija lahko z izvedbenimi akti določi okoliščine, formate in postopke priglasitve iz odstavka 1. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 10

Kršitev varnosti

1.   Ob kršitvi ali delnem ogrožanju bodisi sheme elektronske identifikacije, priglašene v skladu s členom 9(1), ali avtentikacije iz točke (f) člena 7 na način, ki vpliva na zanesljivost čezmejne avtentikacije te sheme, država članica priglasiteljica brez odlašanja začasno razveljavi ali prekliče to čezmejno avtentikacijo ali zadevne ogrožene dele ter o tem obvesti druge države članice in Komisijo.

2.   Ko je kršitev ali ogrožanje iz odstavka 1 odpravljeno, država članica priglasiteljica ponovno vzpostavi čezmejno avtentikacijo in o tem brez nepotrebnega odlašanja obvesti druge države članice in Komisijo.

3.   Če se kršitev ali ogrožanje iz odstavka 1 ne odpravi v treh mesecih po začasni razveljavitvi ali preklicu, država članica priglasiteljica uradno obvesti druge države članice in Komisijo o umiku sheme elektronske identifikacije.

Komisija v Uradnem listu Evropske unije objavi ustrezne spremembe seznama iz člena 9(2) brez nepotrebnega odlašanja.

Člen 24

Zahteve za ponudnike kvalificiranih storitev zaupanja

1.   Ob izdaji kvalificiranega potrdila za storitev zaupanja ponudnik kvalificiranih storitev zaupanja z ustreznimi sredstvi in v skladu z nacionalnim pravom preveri identiteto in po potrebi druge posebne lastnosti fizične ali pravne osebe, za katero se izdaja kvalificirano potrdilo.

Ponudnik kvalificiranih storitev zaupanja podatke iz prvega pododstavka preveri bodisi neposredno ali prek tretje osebe v skladu z nacionalnim pravom:

(a)	s fizično prisotnostjo fizične osebe ali pooblaščenega predstavnika pravne osebe ali

(b)

na daljavo, s pomočjo sredstev elektronske identifikacije, v zvezi s katerimi je bila pred izdajo kvalificiranega potrdila zagotovljena fizična prisotnost fizične osebe ali pooblaščenega predstavnika pravne osebe in ki izpolnjujejo zahteve iz člena 8 v zvezi s „srednjo“ ali „visoko“ ravnjo zanesljivosti, ali

(c)	s potrdilom kvalificiranega elektronskega podpisa ali kvalificiranega elektronskega žiga, izdanega v skladu s točko (a) ali (b), ali

(d)	s pomočjo drugih načinov identifikacije, ki so priznani na nacionalni ravni in zagotavljajo enakovredno zanesljivost kakor fizična prisotnost. Enakovredno zanesljivost potrdi organ za ugotavljanje skladnosti.

2.   Ponudnik kvalificiranih storitev zaupanja, ki zagotavlja kvalificirane storitve zaupanja:

(a)	obvesti nadzorni organ o vsaki spremembi pri zagotavljanju svojih kvalificiranih storitev zaupanja ter o nameri o prenehanju opravljanja teh dejavnosti;

(b)

zaposluje osebje in po potrebi podizvajalce, ki imajo potrebno strokovno znanje, izkušnje in kvalifikacije ter so zanesljivi in ki so se udeležili ustreznega usposabljanja v zvezi z varnostjo in pravili o varstvu osebnih podatkov ter uporabljajo upravne in upravljavske postopke, ki so v skladu z evropskimi ali mednarodnimi standardi;

(c)	kar zadeva tveganje odškodninske odgovornosti v skladu s členom 13, ohranja zadostna finančna sredstva in/ali pridobi ustrezno zavarovanje odgovornosti v skladu z nacionalnim pravom;

(d)	pred vstopom v pogodbeno razmerje vsako osebo, ki želi uporabljati kvalificirano storitev zaupanja, jasno in razumljivo obvesti o natančnih splošnih pogojih uporabe zadevne storitve, tudi o morebitnih omejitvah njene uporabe;

(e)	uporablja zaupanja vredne sisteme in izdelke, ki so zaščiteni pred spreminjanjem ter zagotavljajo tehnično varnost in zanesljivost postopkov, pri katerih se uporabljajo;

(f)

uporablja zaupanja vredne sisteme za shranjevanje podatkov, ki jih prejme, v preverljivi obliki, tako da: (i) so ti javno dostopni samo, če je bila pridobljena privolitev osebe, na katero se podatki nanašajo, (ii) lahko le pooblaščene osebe vnašajo podatke in spreminjajo shranjene podatke, (iii) se lahko preveri avtentičnost podatkov;

(g)	sprejme ustrezne ukrepe proti ponarejanju in kraji podatkov;

(h)

v ustreznem časovnem obdobju, tudi potem, ko je ponudnik kvalificiranih storitev zaupanja prenehal opravljati dejavnosti, beleži vse pomembne informacije o podatkih, ki jih je izdal in prejel ponudnik kvalificiranih storitev zaupanja, in ohranja dostop do njih, zlasti da se zagotovijo dokazi v pravnih postopkih in neprekinjenost storitve. Beleženje je lahko elektronsko;

(i)	ima posodobljen načrt za prenehanje zagotavljanja storitve, da se zagotovi neprekinjenost storitve v skladu z določbami, ki jih preveri nadzorni organ v skladu s točko (i) člena 17(4);

(j)	zagotovi zakonito obdelavo osebnih podatkov v skladu z Direktivo 95/46/ES;

(k)	v primeru ponudnikov kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vzpostavi in posodablja podatkovno zbirko potrdil.

3.   Če ponudnik kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, sklene, da se potrdilo prekliče, tak preklic zabeleži v svoji podatkovni zbirki potrdil in pravočasno, v vsakem primeru pa v 24 urah po prejetju zahtevka, objavi, da je potrdilo preklicano. Preklic začne učinkovati takoj po objavi.

4.   V zvezi z odstavkom 3 ponudniki kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vsaki zanašajoči se stranki zagotovijo informacije o veljavnosti ali preklicu kvalificiranih potrdil, ki so jih izdali. Te informacije so vsaj za posamezna potrdila na voljo kadar koli in tudi po izteku veljavnosti potrdila, in sicer na zanesljiv, brezplačen in učinkovit avtomatiziran način.

5.   Komisija lahko z izvedbenimi akti določi referenčne številke standardov za zaupanja vredne sisteme in izdelke, ki izpolnjujejo zahteve iz točk (e) in (f) odstavka 2 tega člena. Zahteve iz tega člena veljajo za izpolnjene, kadar zaupanja vredni sistemi in izdelki izpolnjujejo te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

ODDELEK 4

Elektronski podpisi

Člen 27

Elektronski podpisi pri javnih storitvah

1.   Če država članica za uporabo spletne storit ve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski podpis, ta država članica prizna napredne elektronske podpise, napredne elektronske podpise, ki temeljijo na kvalificiranem potrdilu za elektronske podpise, in kvalificirane elektronske podpise, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

2.   Če država članica za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski podpis, ki temelji na kvalificiranem potrdilu, ta država članica prizna napredne elektronske podpise, ki temeljijo na kvalificiranem potrdilu, in kvalificirane elektronske podpise, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

3.   Države članice za čezmejno uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja, ne zahtevajo elektronskega podpisa z višjo ravnjo varnosti, kot jo ima kvalificirani elektronski podpis.

4.   Komisija lahko z izvedbenimi akti določi referenčne številke standardov za napredne elektronske podpise. Zahteve za napredne elektronske podpise iz odstavkov 1 in 2 tega člena ter iz člena 26 veljajo za izpolnjene, če napredni elektronski podpis izpolnjuje te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

5.   Komisija do 18. septembra 2015 in ob upoštevanju obstoječih praks, standardov in pravnih aktov Unije z izvedbenimi akti opredeli referenčne formate naprednih elektronskih podpisov ali referenčne metode, če se uporabijo alternativne oblike. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 28

Kvalificirana potrdila za elektronske podpise

1.   Kvalificirana potrdila za elektronske podpise morajo izpolnjevati zahteve iz Priloge I.

2.   Za kvalificirana potrdila za elektronski podpise ne veljajo nobene obvezne zahteve, ki presegajo zahteve iz Priloge I.

3.   Kvalificirana potrdila za elektronske podpise lahko vključujejo neobvezne dodatne posebne lastnosti. Te lastnosti ne vplivajo na interoperabilnost in priznanje kvalificiranih elektronskih podpisov.

4.   Če je bilo kvalificirano potrdilo za elektronski podpis po prvotnem aktiviranju preklicano, preneha veljati v trenutku njegovega preklica, status pa se mu v nobenem primeru ne povrne v prejšnje stanje.

5.   Države članice lahko določijo nacionalna pravila o začasni razveljavitvi kvalificiranega potrdila za elektronski podpis, pri čemer morata biti izpolnjena naslednja pogoja:

(a)	če je kvalificirano potrdilo za elektronski podpis začasno razveljavljeno, to potrdilo za obdobje začasne razveljavitve preneha veljati,

(b)	obdobje začasne razveljavitve se jasno navede v podatkovni zbirki potrdil, v tem obdobju pa mora biti iz storitve, ki zagotavlja informacije o statusu potrdila, razvidno, da je kvalificirano potrdilo začasno razveljavljeno.

6.   Komisija lahko z izvedbenimi akti določi referenčne številke standardov za kvalificirana potrdila za elektronski podpis. Zahteve iz Priloge I veljajo za izpolnjene, če kvalificirano potrdilo za elektronski podpis izpolnjuje navedene standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 37

Elektronski žigi pri javnih storitvah

1.   Če država članica za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski žig, ta država članica prizna napredne elektronske žige, napredne elektronske žige, ki temeljijo na kvalificiranem potrdilu za elektronske žige, in kvalificirane elektronske žige, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

2.   Če država članica za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski žig, ki temelji na kvalificiranem potrdilu, ta država članica prizna napredne elektronske žige, ki temeljijo na kvalificiranem potrdilu, in kvalificirane elektronske žige, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljeni v izvedbenih aktih iz odstavka 5.

3.   Države članice za čezmejni dostop do spletne storitve, ki jo zagotavlja organ javnega sektorja, ne zahtevajo elektronskega žiga z višjo ravnjo varnosti, kot jo ima kvalificirani elektronski žig.

4.   Komisija lahko z izvedbenimi akti določi referenčne številke standardov za napredne elektronske žige. Zahteve za napredne elektronske žige iz odstavkov 1 in 2 tega člena ter iz člena 36 veljajo za izpolnjene, če napredni elektronski žig izpolnjuje te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

5.   Komisija do 18. septembra 2015 in ob upoštevanju obstoječih praks, standardov in pravnih aktov Unije z izvedbenimi akti določi referenčne formate naprednih elektronskih žigov ali referenčne metode, če so uporabljene alternativne oblike. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 38

Kvalificirana potrdila za elektronske žige

1.   Kvalificirana potrdila za elektronske žige morajo izpolnjevati zahteve iz Priloge III.

2.   Za kvalificirana potrdila za elektronske žige ne veljajo nobene obvezne zahteve, ki presegajo zahteve iz Priloge III.

3.   Kvalificirana potrdila za elektronske žige lahko vključujejo neobvezne dodatne posebne lastnosti. Te lastnosti ne vplivajo na interoperabilnost in priznanje kvalificiranih elektronskih žigov.

4.   Če je bilo kvalificirano potrdilo za elektronski žig po prvotnem aktiviranju preklicano, preneha veljati v trenutku njegovega preklica, status pa se mu v nobenem primeru ne povrne v prejšnje stanje.

5.   Države članice lahko določijo nacionalna pravila o začasni razveljavitvi kvalificiranih potrdil za elektronske žige, pri čemer morata biti izpolnjena naslednja pogoja:

(a)	če je kvalificirano potrdilo za elektronski žig začasno razveljavljeno, ta potrdilo v obdobju začasne razveljavitve preneha veljati;

(b)	obdobje začasne razveljavitve se jasno navede v podatkovni zbirki potrdil, v tem obdobju pa mora biti iz storitve, ki zagotavlja informacije o statusu potrdila, razvidno, da je kvalificirano potrdilo začasno razveljavljeno.

6.   Komisija lahko z izvedbenimi akti določi referenčne številke standardov za kvalificirana potrdila za elektronske žige. Zahteve iz Priloge III veljajo za izpolnjene, če kvalificirano potrdilo za elektronski žig izpolnjuje navedene standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 51

Prehodni ukrepi

1.   Naprave za varno ustvarjanje podpisa, katerih skladnost je bila ugotovljena v skladu s členom 3(4) Direktive 1999/93/ES, se štejejo za naprave za ustvarjanje kvalificiranega elektronskega podpisa na podlagi te uredbe.

2.   Kvalificirana potrdila, izdana fizičnim osebam na podlagi Direktive 1999/93/ES, se štejejo za kvalificirana potrdila za elektronske podpise po tej uredbi do izteka njihove veljavnosti.

3.   Overitelj, ki izdaja kvalificirana potrdila na podlagi Direktive 1999/93/ES, nadzornemu organu čim prej oziroma najpozneje do 1. julija 2017 predloži poročilo o ugotavljanju skladnosti. Dokler overitelj ne predloži zadevnega poročila o ugotavljanju skladnosti in nadzorni organ ne zaključi ocene skladnosti, se ta overitelj šteje za ponudnika kvalificiranih storitev zaupanja na podlagi te uredbe.

4.   Če overitelj, ki izdaja kvalificirana potrdila na podlagi Direktive 1999/93/ES, nadzornemu organu v roku iz odstavka 3 ne predloži poročila o ugotavljanju skladnosti, se ta overitelj od 2. julija 2017 ne šteje za ponudnika kvalificiranih storitev zaupanja na podlagi te uredbe.

Člen 52

Začetek veljavnosti

1.   Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2.   Ta uredba se uporablja od 1. julija 2016, z naslednjimi izjemami:

(a)	členi 8(3), 9(5), 12(2) do (9), 17(8), 19(4), 20(4), 21(4), 22(5), 23(3), 24(5), 27(4) in (5), 28(6), 29(2), 30(3) in (4), 31(3), 32(3), 33(2), 34(2), 37(4) in (5), 38(6), 42(2), 44(2), 45(2), ter člena 47 in 48 se uporabljajo od 17. septembra 2014;

(b)	člen 7, člen 8(1) in (2), členi 9, 10, 11 ter člen 12(1) se uporabljajo od datuma začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8);

(c)	člen 6 se začne uporabljati tri leta po datumu začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8).

3.   Če se priglašena shema elektronske identifikacije navede na seznamu, ki ga Komisija objavi v skladu s členom 9, pred datumom iz točke (c) odstavka 2 tega člena, se sredstva elektronske identifikacije v okviru te sheme priznajo na podlagi člena 6 najpozneje 12 mesecev po objavi te sheme, vendar ne pred datumom iz točke (c) odstavka 2 tega člena.

4.   Ne glede na točko (c) odstavka 2 tega člena lahko država članica sklene, da se sredstva elektronske identifikacije v okviru sheme elektronske identifikacije, ki jo na podlagi člena 9(1) priglasi druga država članica, priznajo v prvi državi članici od datuma začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8). Zadevne države članice obvestijo Komisijo. Komisija te informacije objavi.

---

(1)  UL C 351, 15.11.2012, str. 73.

(2)  Stališče Evropskega parlamenta z dne 3. aprila 2014 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 23. julija 2014.

(3)  Direktiva 1999/93/ES Evropskega parlamenta in Sveta z dne 13. decembra 1999 o okviru Skupnosti za elektronski podpis (UL L 13, 19.1.2000, str. 12).

(4)  UL C 50 E, 21.2.2012, str. 1.

(5)  Direktiva 2006/123/ES Evropskega parlamenta in Sveta z dne 12. decembra 2006 o storitvah na notranjem trgu (UL L 376, 27.12.2006, str. 36).

(6)  Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).

(7)  Direktiva 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

(8)  Sklep Sveta 2010/48/ES z dne 26. novembra 2009 o sklenitvi Konvencije Združenih narodov o pravicah invalidov s strani Evropske skupnosti (UL L 23, 27.1.2010, str. 35).

(9)  Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30).

(10)  Odločba Komisije 2009/767/ES z dne 16. oktobra 2009 o vzpostavitvi ukrepov za pospeševanje uporabe postopkov po elektronski poti s pomočjo „enotnih kontaktnih točk“ po Direktivi 2006/123/ES Evropskega parlamenta in Sveta o storitvah na notranjem trgu (UL L 274, 20.10.2009, str. 36).

(11)  Sklep Komisije 2011/130/EU z dne 25. februarja 2011 o določitvi minimalnih zahtev glede čezmejne obdelave dokumentov z elektronskim podpisom pristojnih organov v skladu z Direktivo 2006/123/ES Evropskega parlamenta in Sveta o storitvah na notranjem trgu (UL L 53, 26.2.2011, str. 66).

(12)  Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

(13)  Uredba (ES) št. 45/2001 Evropskega parlamenta in Svet z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12,1,2001, str. 1).

(14)  UL C 28, 30.1.2013, str. 6.

(15)  Direktiva 2014/24/EU Evropskega parlamenta in Sveta z dne 26. februarja 2014 o javnem naročanju in razveljavitvi Direktive 2004/18/ES (UL L 94, 28.3.2014, str. 65).

---

---

---

---