(EU) č. 910/2014Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES
| Publikováno: | Úř. věst. L 257, 28.8.2014, s. 73-114 | Druh předpisu: | Nařízení |
| Přijato: | 23. července 2014 | Autor předpisu: | Evropský parlament; Rada Evropské unie |
| Platnost od: | 17. září 2014 | Nabývá účinnosti: | 1. července 2016 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text aktualizovaného znění s celou hlavičkou je dostupný pouze pro registrované uživatele.
Tento dokument slouží výhradně k informačním účelům a nemá žádný právní účinek. Orgány a instituce Evropské unie nenesou za jeho obsah žádnou odpovědnost. Závazná znění příslušných právních předpisů, včetně jejich právních východisek a odůvodnění, jsou zveřejněna v Úředním věstníku Evropské unie a jsou k dispozici v databázi EUR-Lex. Tato úřední znění jsou přímo dostupná přes odkazy uvedené v tomto dokumentu
|
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) č. 910/2014 ze dne 23. července 2014 (Úř. věst. L 257 28.8.2014, s. 73) |
Ve znění:
|
|
|
Úřední věstník |
||
|
Č. |
Strana |
Datum |
||
|
SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2555 ze dne 14. prosince 2022 |
L 333 |
80 |
27.12.2022 |
|
|
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2024/1183 ze dne 11. dubna 2024, |
L 1183 |
1 |
30.4.2024 |
|
Opraveno:
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) č. 910/2014
ze dne 23. července 2014
o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES
KAPITOLA I
OBECNÁ USTANOVENÍ
Článek 1
Předmět
Cílem tohoto nařízení je zajistit řádné fungování vnitřního trhu a poskytování odpovídající úrovně bezpečnosti prostředků pro elektronickou identifikaci a služeb vytvářejících důvěru používaných v celé Unii, aby byl fyzickým a právnickým osobám umožněn a usnadněn výkon práva na bezpečnou účast v digitální společnosti a na přístup k veřejným a soukromým on-line službám v celé Unii. Za těmito účely toto nařízení:
stanoví podmínky, za nichž mají členské státy uznávat prostředky pro elektronickou identifikaci fyzických a právnických osob, které spadají do oznámeného systému elektronické identifikace jiného členského státu, a poskytovat a uznávat evropské peněženky digitální identity;
stanoví pravidla pro služby vytvářející důvěru, zejména u elektronických transakcí;
stanoví právní rámec pro elektronické podpisy, elektronické pečetě, elektronická časová razítka, elektronické dokumenty, služby elektronického doporučeného doručování, certifikační služby pro autentizaci internetových stránek, elektronickou archivaci, elektronické potvrzování atributů, prostředky pro vytváření elektronických podpisů, prostředky pro vytváření elektronických pečetí a pro elektronické knihy záznamů.
Článek 2
Oblast působnosti
Článek 3
Definice
Pro účely tohoto nařízení se rozumí:
„elektronickou identifikací“ postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující jinou fyzickou či právnickou osobu;
„prostředkem pro elektronickou identifikaci“ hmotná či nehmotná jednotka obsahující osobní identifikační údaje, která se používá k autentizaci pro účely on-line služby nebo případně off-line služby;
„osobními identifikačními údaji“ soubor údajů vydaných v souladu s právem Unie nebo vnitrostátním právem a umožňujících určit totožnost fyzické či právnické osoby nebo fyzické osoby zastupující jinou fyzickou či právnickou osobu;
„systémem elektronické identifikace“ systém pro elektronickou identifikaci, na jehož základě jsou fyzickým či právnickým osobám nebo fyzickým osobám zastupujícím jiné fyzické či právnické osoby vydávány prostředky pro elektronickou identifikaci;
„autentizací“ elektronický postup, který umožňuje potvrdit elektronickou identifikaci fyzické či právnické osoby nebo původ a integritu dat v elektronické podobě;
„uživatelem“ fyzická či právnická osoba nebo fyzická osoba zastupující jinou fyzickou či právnickou osobu, které využívají služeb vytvářejících důvěru nebo prostředků pro elektronickou identifikaci poskytovaných v souladu s tímto nařízením;
„spoléhající se stranou“ fyzická nebo právnická osoba, které se spoléhají na elektronickou identifikaci, evropské peněženky digitální identity nebo jiné prostředky pro elektronickou identifikaci nebo na službu vytvářející důvěru;
„subjektem veřejného sektoru“ státní, regionální nebo místní orgán, veřejnoprávní subjekt, sdružení vytvořené jedním nebo několika takovými orgány nebo jedním nebo několika takovými veřejnoprávními subjekty nebo soukromý subjekt, který byl alespoň jedním z těchto orgánů, subjektů nebo sdružení pověřen poskytovat veřejné služby, jedná-li na základě tohoto pověření;
„veřejnoprávním subjektem“ subjekt vymezený v čl. 2 odst. 1 bodě 4 směrnice Evropského parlamentu a Rady 2014/24/EU ( 2 );
„podepisující osobou“ fyzická osoba, která vytváří elektronický podpis;
„elektronickým podpisem“ data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání;
„zaručeným elektronickým podpisem“ elektronický podpis, který splňuje požadavky stanovené v článku 26;
„kvalifikovaným elektronickým podpisem“ zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy;
„daty pro vytváření elektronických podpisů“ jedinečná data, která podepisující osoba používá k vytváření elektronických podpisů;
„certifikátem pro elektronický podpis“ elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby;
„kvalifikovaným certifikátem pro elektronický podpis“ certifikát pro elektronický podpis, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze I;
„službou vytvářející důvěru“ elektronická služba, která je zpravidla poskytována za úplatu a spočívá:
ve vydávání certifikátů pro elektronické podpisy, certifikátů pro elektronické pečetě, certifikátů pro autentizaci internetových stránek nebo certifikátů pro poskytování jiných služeb vytvářejících důvěru;
v ověřování platnosti certifikátů pro elektronické podpisy, certifikátů pro elektronické pečetě, certifikátů pro autentizaci internetových stránek nebo certifikátů pro poskytování jiných služeb vytvářejících důvěru;
ve vytváření elektronických podpisů nebo elektronických pečetí;
v ověřování platnosti elektronických podpisů nebo elektronických pečetí;
v uchovávání elektronických podpisů, elektronických pečetí, certifikátů pro elektronické podpisy nebo certifikátů pro elektronické pečetě;
ve správě prostředků pro vytváření elektronických podpisů na dálku nebo prostředků pro vytváření elektronických pečetí na dálku;
ve vydávání elektronických potvrzení atributů;
v ověřování platnosti elektronického potvrzení atributů;
ve vytváření elektronických časových razítek;
v ověřování platnosti elektronických časových razítek;
v poskytování služeb elektronického doporučeného doručování;
v ověřování platnosti dat přenášených prostřednictvím služeb elektronického doporučeného doručování a souvisejících důkazů;
v elektronické archivaci elektronických dat a elektronických dokumentů;
v zaznamenávání elektronických dat do elektronické knihy záznamů;
„kvalifikovanou službou vytvářející důvěru“ služba vytvářející důvěru, která splňuje použitelné požadavky stanovené v tomto nařízení;
„subjektem posuzování shody“ subjekt posuzování shody ve smyslu čl. 2 bodu 13 nařízení (ES) č. 765/2008, který je v souladu s uvedeným nařízením akreditován jako způsobilý provádět posuzování shody kvalifikovaného poskytovatele služeb vytvářejících důvěru a jím poskytovaných kvalifikovaných služeb vytvářejících důvěru nebo jako příslušný k provádění certifikace evropských peněženek digitální identity nebo prostředků pro elektronickou identifikaci;
„poskytovatelem služeb vytvářejících důvěru“ fyzická nebo právnická osoba, která poskytuje jednu či více služeb vytvářejících důvěru buď jako kvalifikovaný, nebo jako nekvalifikovaný poskytovatel služeb vytvářejících důvěru;
„kvalifikovaným poskytovatelem služeb vytvářejících důvěru“ poskytovatel služeb vytvářejících důvěru, který poskytuje jednu či více kvalifikovaných služeb vytvářejících důvěru a kterému orgán dohledu udělil status kvalifikovaného poskytovatele;
„produktem“ technické zařízení nebo programové vybavení či jejich příslušné součásti, které jsou určeny k používání pro poskytování služeb elektronické identifikace a služeb vytvářejících důvěru;
„prostředkem pro vytváření elektronických podpisů“ konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických podpisů;
„kvalifikovaným prostředkem pro vytváření elektronických podpisů“ prostředek pro vytváření elektronických podpisů, který splňuje požadavky stanovené v příloze II;
„kvalifikovaným prostředkem pro vytváření elektronických podpisů na dálku“ kvalifikovaný prostředek pro vytváření elektronických podpisů, který jménem podepisující osoby v souladu s článkem 29a spravuje kvalifikovaný poskytovatel služeb vytvářejících důvěru;
„kvalifikovaným prostředkem pro vytváření elektronických pečetí na dálku“ kvalifikovaný prostředek pro vytváření elektronických pečetí, který jménem pečetící osoby spravuje v souladu s článkem 39a kvalifikovaný poskytovatel služeb vytvářejících důvěru;
„pečetící osobou“ právnická osoba, která vytváří elektronickou pečeť;
„elektronickou pečetí“ data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu;
„zaručenou elektronickou pečetí“ elektronická pečeť, která splňuje požadavky stanovené v článku 36;
„kvalifikovanou elektronickou pečetí“ zaručená elektronická pečeť, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a která je založena na kvalifikovaném certifikátu pro elektronickou pečeť;
„daty pro vytváření elektronických pečetí“ jedinečná data, která pečetící osoba používá k vytváření elektronických pečetí;
„certifikátem pro elektronickou pečeť“ elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických pečetí s určitou právnickou osobou a potvrzuje název této osoby;
„kvalifikovaným certifikátem pro elektronickou pečeť“ certifikát pro elektronickou pečeť, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze III;
„prostředkem pro vytváření elektronických pečetí“ konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických pečetí;
„kvalifikovaným prostředkem pro vytváření elektronických pečetí“ prostředek pro vytváření elektronických pečetí, který přiměřeně splňuje požadavky stanovené v příloze II;
„elektronickým časovým razítkem“ data v elektronické podobě, která spojují jiná data v elektronické podobě s určitým okamžikem a prokazují, že tato jiná data existovala v daném okamžiku;
„kvalifikovaným elektronickým časovým razítkem“ elektronické časové razítko, které splňuje požadavky stanovené v článku 42;
„elektronickým dokumentem“ jakýkoli obsah uchovávaný v elektronické podobě, zejména jako text nebo zvuková, vizuální nebo audiovizuální nahrávka;
„službou elektronického doporučeného doručování“ služba, která umožňuje přenášet data mezi třetími osobami elektronickými prostředky a poskytuje důkazy týkající se nakládání s přenášenými daty, včetně dokladu o odeslání a přijetí dat, a která chrání přenášená data před rizikem ztráty, odcizení, poškození nebo neoprávněných změn;
„kvalifikovanou službou elektronického doporučeného doručování“ služba elektronického doporučeného doručování, která splňuje požadavky stanovené v článku 44;
„certifikátem pro autentizaci internetových stránek“ elektronické potvrzení, které umožňuje autentizovat internetové stránky a spojuje je s fyzickou nebo právnickou osobou, jimž je certifikát vydán;
„kvalifikovaným certifikátem pro autentizaci internetových stránek“ certifikát pro autentizaci internetových stránek, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze IV;
„daty pro ověřování platnosti“ data, která se používají k ověření platnosti elektronického podpisu nebo elektronické pečeti;
„ověřováním platnosti“ postup ověření a potvrzení, že data v elektronické podobě jsou v souladu s tímto nařízením platná;
„evropskou peněženkou digitální identity“ prostředek pro elektronickou identifikaci, který uživateli umožňuje bezpečně ukládat, spravovat a ověřovat osobní identifikační údaje a elektronická potvrzení atributů za účelem jejich poskytnutí spoléhajícím se stranám a dalším uživatelům evropských peněženek digitální identity a podepisovat prostřednictvím kvalifikovaných elektronických podpisů nebo pečetit prostřednictvím kvalifikovaných elektronických pečetí;
„atributem“ vlastnost, kvalita, právo nebo povolení fyzické nebo právnické osoby nebo předmětu;
„elektronickým potvrzením atributů“ potvrzení v elektronické podobě, které umožňuje autentizaci atributů;
„kvalifikovaným elektronickým potvrzením atributů“ elektronické potvrzení atributů, které je vydáno kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze V;
„elektronickým potvrzením atributů vydaným subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem“ elektronické potvrzení atributů, které je vydáno subjektem veřejného sektoru odpovědným za autentický zdroj nebo subjektem veřejného sektoru určeným členským státem k vydávání těchto potvrzení atributů jménem subjektů veřejného sektoru odpovědných za autentické zdroje v souladu s článkem 45f a přílohou VII;
„autentickým zdrojem“ úložiště nebo systém, za které odpovídá subjekt veřejného sektoru nebo soukromý subjekt a které obsahují a poskytují atributy fyzické nebo právnické osoby nebo předmětu a jsou považovány za primární zdroj těchto informací nebo jsou v souladu s právem Unie nebo vnitrostátním právem, včetně správní praxe, uznány za autentické;
„elektronickou archivací“ služba zajišťující přijímání, uchovávání, zpřístupnění a výmaz elektronických dat a elektronických dokumentů s cílem zajistit jejich trvanlivost a čitelnost, jakož i zachovat jejich integritu, důvěrnost a důkaz původu po celou dobu uchovávání;
„kvalifikovanou službou elektronické archivace“ služba elektronické archivace, kterou poskytuje kvalifikovaný poskytovatel služeb vytvářejících důvěru a která splňuje požadavky stanovené v článku 45j;
„značkou důvěry EU pro peněženku digitální identity“ ověřitelné, jednoduché a rozpoznatelné označení, které jasným způsobem sděluje, že evropská peněženka digitální identity byla poskytnuta v souladu s tímto nařízením;
„silnou autentizací uživatele“ autentizace založená na použití nejméně dvou navzájem nezávislých autentizačních faktorů z různých kategorií, kterými může být znalost, tedy něco, co ví pouze uživatel, držení, tedy něco, co má v držení pouze uživatel, nebo inherence, tedy něco, čím uživatel je, přičemž nesplněním jednoho z nich není ovlivněna spolehlivost ostatních a postup je koncipován tak, aby byla chráněna důvěrnost autentizačních dat;
„elektronickou knihou záznamů“ posloupnost elektronických datových záznamů zajišťující integritu těchto záznamů a přesnost chronologického pořadí těchto záznamů;
„kvalifikovanou elektronickou knihou záznamů“ elektronická kniha záznamů, kterou poskytuje kvalifikovaný poskytovatel služeb vytvářejících důvěru a která splňuje požadavky stanovené v článku 45l;
„osobními údaji“ veškeré informace vymezené v čl. 4 bodu 1 nařízení (EU) 2016/679;
„párováním totožnosti“ postup, při němž jsou osobní identifikační údaje nebo prostředky pro elektronickou identifikaci párovány nebo propojeny se stávajícím účtem patřícím téže osobě;
„datovým záznamem“ elektronická data zaznamenaná pomocí souvisejících metadat podporujících zpracování těchto dat;
„off-line režimem“ pokud jde o používání evropských peněženek digitální identity, interakce mezi uživatelem a třetí stranou na fyzickém místě s využitím technologií pro blízkou komunikaci, při níž evropská peněženka digitální identity nemusí mít pro účely dané interakce přístup ke vzdáleným systémům prostřednictvím sítí elektronických komunikací.
Článek 4
Zásada vnitřního trhu
Článek 5
Pseudonymy v elektronických transakcích
Aniž jsou dotčena zvláštní pravidla práva Unie nebo vnitrostátního práva, která vyžadují, aby se uživatelé identifikovali, nebo právní účinky, které vnitrostátní právo přiznává pseudonymům, není používání pseudonymů, které si uživatel zvolil, zakázáno.
KAPITOLA II
ELEKTRONICKÁ IDENTIFIKACE
ODDÍL 1
evropská peněženka digitální identity
Článek 5a
Evropské peněženky digitální identity
Evropské peněženky digitální identity jsou poskytovány jedním nebo vícero z následujících způsobů:
přímo členským státem;
z pověření členského státu;
nezávisle na členském státu, ale tímto členským státem uznávané.
Evropské peněženky digitální identity umožní uživateli způsobem, který je pro uživatele přívětivý, transparentní a sledovatelný:
bezpečně a pod výhradní kontrolou uživatele požadovat, získat, vybírat, kombinovat, uchovávat, mazat, sdílet a předkládat osobní identifikační údaje a případně ve spojení s elektronickým potvrzením atributů se autentizovat vůči spoléhajícím se stranám on-line a případně v off-line režimu s cílem přistupovat k veřejným a soukromým službám, přičemž je zajištěna možnost výběrového zpřístupňování údajů;
generovat pseudonymy a ukládat je zašifrované a lokálně v rámci evropské peněženky digitální identity;
bezpečně autentizovat evropskou peněženku digitální identity jiné osoby a přijímat a sdílet osobní identifikační údaje a elektronická potvrzení atributů zabezpečeným způsobem mezi dvěma evropskými peněženkami digitální identity;
přistupovat k záznamu všech transakcí provedených prostřednictvím evropské peněženky digitální identity, a to na základě společného přehledu, který uživateli umožní:
zobrazit aktuální seznam spoléhajících se stran, s nimiž uživatel navázal spojení, a případně všech sdílených údajů;
snadno požádat o výmaz osobních údajů podle článku 17 nařízení (EU) 2016/679 spoléhající se stranou;
snadno nahlásit spoléhající se stranu vnitrostátnímu úřadu pro ochranu osobních údajů, pokud obdrží údajně protiprávní nebo podezřelou žádost o údaje;
podepisovat kvalifikovanými elektronickými podpisy nebo pečetit kvalifikovanými elektronickými pečetěmi;
v rozsahu, v jakém je to technicky proveditelné, stahovat údaje uživatele, elektronické potvrzení atributů a konfigurace;
uplatňovat práva uživatelů na přenositelnost údajů.
Evropské peněženky digitální identity zejména:
podporují společné protokoly a rozhraní:
pro vydávání osobních identifikačních údajů, kvalifikovaných a nekvalifikovaných elektronických potvrzení atributů nebo kvalifikovaných a nekvalifikovaných certifikátů k dané evropské peněžence digitální identity;
pro spoléhající se strany, aby mohly požadovat a ověřovat platnost osobních identifikačních údajů a elektronických potvrzení atributů;
pro sdílení osobních identifikačních údajů, elektronických potvrzení atributů nebo výběrově zpřístupněných souvisejících údajů se spoléhajícími se stranám a pro jejich předkládání spoléhajícím se stranám, a to on-line a případně v off-line režimu;
umožňující uživateli interakci s evropskou peněženkou digitální identity a zobrazení značky důvěry EU pro peněženku digitální identity;
pro bezpečné zapojení uživatele pomocí prostředků pro elektronickou identifikaci v souladu s čl. 5a odst. 24;
pro interakci mezi evropskými peněženkami digitální identity dvou osob pro účely přijímání, ověřování platnosti a sdílení osobních identifikačních údajů a elektronických potvrzení atributů zabezpečeným způsobem;
pro autentizaci a identifikaci spoléhajících se stran zavedením mechanismů autentizace v souladu s článkem 5b;
umožňující spoléhajícím se stranám ověřit pravost a platnost evropských peněženek digitální identity;
pro požádání spoléhající se strany o výmaz osobních údajů podle článku 17 nařízení (EU) 2016/679;
pro nahlášení spoléhající se strany příslušnému vnitrostátnímu úřadu pro ochranu osobních údajů, pokud je obdržena údajně protiprávní nebo podezřelá žádost o údaje;
pro vytváření kvalifikovaných elektronických podpisů nebo elektronických pečetí pomocí prostředků pro vytváření kvalifikovaných elektronických podpisů nebo elektronických pečetí;
neposkytují žádné informace poskytovatelům služeb vytvářejících důvěru vydávajícím elektronická potvrzení atributů o používání těchto elektronických potvrzení;
zajišťují možnost autentizace a identifikace spoléhajících se stran zavedením mechanismů autentizace v souladu s článkem 5b;
splňují požadavky stanovené v článku 8, pokud jde o vysokou úroveň záruky, zejména co se týče požadavků na prokazování a ověřování totožnosti a správu a autentizaci prostředků pro elektronickou identifikaci;
v případě elektronického potvrzování atributů, jehož součástí jsou zásady zpřístupňování informací, zavádějí vhodný mechanismus informování uživatele o tom, že spoléhající se strana nebo uživatel evropské peněženky digitální identity, kteří žádají o elektronické potvrzení atributů, mají povolení přístupu k tomuto potvrzení;
zajišťují, aby osobní identifikační údaje, které jsou dostupné ze systému elektronické identifikace, v jehož rámci je evropská peněženka digitální identity poskytována, jedinečným způsobem identifikovaly fyzickou osobu, právnickou osobu nebo fyzickou osobu zastupující fyzickou či právnickou osobu a byly s touto evropskou peněženkou digitální identity spojeny;
poskytují standardně a bezplatně všem fyzickým osobám možnost podepisovat kvalifikovanými elektronickými podpisy.
Bez ohledu na první pododstavec písm. g) mohou členské státy stanovit přiměřená opatření k zajištění toho, aby bezplatné používání kvalifikovaných elektronických podpisů fyzickými osobami bylo omezeno na neprofesionální účely.
Členské státy zajistí bezplatné mechanismy ověřování platnosti s cílem:
zajistit, aby bylo možné ověřit pravost a platnost evropských peněženek digitální identity;
umožnit uživatelům ověřit pravost a platnost totožnosti spoléhajících se stran registrovaných v souladu s článkem 5b.
Členské státy zajistí, aby platnost evropské peněženky digitální identity mohla být zrušena za následujících okolností:
na výslovnou žádost uživatele;
pokud byla ohrožena bezpečnost evropské peněženky digitální identity;
v případě úmrtí uživatele nebo ukončení činnosti právnické osoby.
Technický rámec evropské peněženky digitální identity:
neumožňuje poskytovatelům elektronických potvrzení atributů ani žádné jiné straně po vydání potvrzení atributů získávat data umožňující sledovat transakce nebo chování uživatelů, propojovat je nebo mezi nimi vytvářet vztahy ani jiným způsobem získávat informace o transakcích nebo chování uživatelů, pokud to uživatel výslovně nepovolil;
umožňuje techniky ochrany soukromí, které zajišťují nepropojitelnost, pokud potvrzení atributů nevyžaduje identifikaci uživatele.
Členské státy bez zbytečného odkladu oznámí Komisi informace o:
subjektu odpovědném za zřízení a udržování seznamu registrovaných spoléhajících se stran, které využívají evropské peněženky digitální identity v souladu s čl. 5b odst. 5, a místu, na kterém se tento seznam nachází;
subjektech odpovědných za poskytování evropských peněženek digitální identity v souladu s čl. 5a odst. 1;
subjektech odpovědných za zajištění toho, aby osobní identifikační údaje byly spojeny s evropskou peněženkou digitální identity v souladu s čl. 5a odst. 5 písm. f);
mechanismu umožňujícím ověření platnosti osobních identifikačních údajů uvedených v čl. 5a odst. 5 písm. f) a totožnosti spoléhajících se stran;
mechanismu pro ověření pravosti a platnosti evropských peněženek digitální identity.
Komise zpřístupní informace oznámené podle prvního pododstavce veřejnosti prostřednictvím zabezpečeného kanálu v elektronicky podepsané nebo zapečetěné podobě vhodné pro automatizované zpracování.
Článek 5b
Spoléhající se strany u evropských peněženek digitální identity
Proces registrace musí být nákladově efektivní a přiměřený riziku. Spoléhající se strana poskytne alespoň:
informace nezbytné k autentizaci evropských peněženek digitální identity, které zahrnují přinejmenším:
členský stát, v němž je spoléhající se strana usazena a
název spoléhající se strany a případně její registrační číslo uvedené v úředním záznamu spolu s identifikačními údaji tohoto úředního záznamu;
kontaktní údaje spoléhající se strany;
zamýšlené použití evropských peněženek digitální identity, včetně uvedení údajů, které spoléhající se strana bude požadovat od uživatelů.
Článek 5c
Certifikace evropských peněženek digitální identity
Článek 5d
Zveřejnění seznamu certifikovaných evropských peněženek digitální identity
Aniž je dotčen čl. 5a odst. 18, informace poskytnuté členskými státy uvedené v odstavci 1 tohoto článku zahrnují alespoň:
certifikát a zprávu o posouzení certifikace certifikované evropské peněženky digitální identity;
popis systému elektronické identifikace, v jehož rámci je evropská peněženka digitální identity poskytována;
použitelný režim dohledu a informace o režimu odpovědnosti, pokud jde o stranu poskytující evropskou peněženku digitální identity;
orgán nebo orgány odpovědné za systém elektronické identifikace;
opatření k pozastavení platnosti nebo zrušení systému elektronické identifikace nebo autentizace či dotčených ohrožených součástí.
Článek 5e
Narušení bezpečnosti evropských peněženek digitální identity
Je-li to odůvodněno závažností narušení bezpečnosti nebo ohrožení uvedeného v prvním pododstavci, členský stát evropské peněženky digitální identity bez zbytečného odkladu stáhne.
Členský stát o stažení odpovídajícím způsobem informuje dotčené uživatele, jednotná kontaktní místa určená podle čl. 46c odst. 1, spoléhající se strany a Komisi.
Článek 5f
Přeshraniční využívání evropských peněženek digitální identity
ODDÍL 2
systémy elektronické identifikace
Článek 6
Vzájemné uznávání
Pokud se podle vnitrostátního práva nebo správní praxe pro přístup ke službě poskytované on-line subjektem veřejného sektoru v určitém členském státě vyžaduje elektronická identifikace s použitím prostředku pro elektronickou identifikaci a autentizace, je pro účely přeshraniční autentizace pro danou on-line službu uznán v tomto členském státě prostředek pro elektronickou identifikaci vydaný v jiném členském státě, pokud jsou splněny tyto podmínky:
daný prostředek pro elektronickou identifikaci je vydán v rámci systému elektronické identifikace, který je uveden na seznamu zveřejněném Komisí podle článku 9;
úroveň záruky daného prostředku pro elektronickou identifikaci odpovídá stejné úrovni záruky, jako je úroveň záruky požadovaná příslušným subjektem veřejného sektoru v prvním členském státě pro přístup k dané on-line službě, nebo vyšší úrovni, pokud úroveň záruky daného prostředku pro elektronickou identifikaci odpovídá značné nebo vysoké úrovni záruky;
příslušný subjekt veřejného sektoru používá v souvislosti s přístupem k dané on-line službě značnou nebo vysokou úroveň záruky.
K tomuto uznání dojde do dvanácti měsíců od zveřejnění seznamu uvedeného v prvním pododstavci písm. a) Komisí.
Článek 7
Způsobilost systémů elektronické identifikace pro oznámení
Systém elektronické identifikace je způsobilý pro oznámení podle čl. 9 odst. 1, jsou-li splněny všechny tyto podmínky:
prostředky pro elektronickou identifikaci v rámci daného systému elektronické identifikace:
vydává oznamující členský stát;
jsou vydávány z pověření oznamujícího členského státu; nebo
jsou vydávány nezávisle na oznamujícím členském státu a tento členský stát je uznává;
prostředky pro elektronickou identifikaci v rámci daného systému elektronické identifikace lze použít pro přístup k alespoň jedné službě poskytované subjektem veřejného sektoru, u níž se v oznamujícím členském státě vyžaduje elektronická identifikace;
daný systém elektronické identifikace a prostředky pro elektronickou identifikaci v rámci tohoto systému vydávané splňují požadavky alespoň na jednu z úrovní záruky stanovených v prováděcím aktu uvedeném v čl. 8 odst. 3;
oznamující členský stát zajišťuje, aby osobní identifikační údaje jedinečně identifikující danou osobu byly v okamžiku vydání prostředku pro elektronickou identifikaci v rámci daného systému v souladu s technickými specifikacemi, normami a postupy pro příslušnou úroveň záruky stanovenými v prováděcím aktu uvedeném v čl. 8 odst. 3 spojeny s fyzickou nebo právnickou osobou uvedenou v čl. 3 bodě 1;
strana vydávající prostředky pro elektronickou identifikaci v rámci daného systému zajišťuje, aby byl prostředek pro elektronickou identifikaci spojen s osobou uvedenou v písmeni d) tohoto článku v souladu s technickými specifikacemi, normami a postupy pro příslušnou úroveň záruky stanovenými v prováděcím aktu uvedeném v čl. 8 odst. 3;
oznamující členský stát zajišťuje dostupnost on-line autentizace tak, aby kterákoli spoléhající se strana usazená na území jiného členského státu byla schopna potvrdit osobní identifikační údaje, které obdržela v elektronické podobě.
V případě jiných spoléhajících se stran než subjektů veřejného sektoru může oznamující členský stát stanovit podmínky přístupu k této autentizaci. Tato přeshraniční autentizace se poskytuje bezplatně, pokud je prováděna v souvislosti s on-line službou poskytovanou subjektem veřejného sektoru.
Členské státy nesmějí spoléhajícím se stranám, které chtějí tuto autentizaci provést, ukládat zvláštní nepřiměřené technické požadavky, které by bránily interoperabilitě oznámených systémů elektronické identifikace nebo by ji významně ztěžovaly;
nejméně šest měsíců před oznámením podle čl. 9 odst. 1 poskytne oznamující členský stát ostatním členským státům pro účely čl. 12 odst. 5 popis daného systému v souladu s procesními opatřeními stanovenými v prováděcích aktech přijatých podle čl. 12 odst. 6;
daný systém elektronické identifikace splňuje požadavky stanovené v prováděcím aktu uvedeném v čl. 12 odst. 8.
Článek 8
Úrovně záruky systémů elektronické identifikace
Nízká, značná a vysoká úroveň záruky musí splňovat tato příslušná kritéria:
nízká úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí omezenou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je snížit riziko zneužití nebo změny totožnosti;
značná úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí značnou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je značně snížit riziko zneužití nebo změny totožnosti;
vysoká úroveň záruky označuje v souvislosti se systémem elektronické identifikace prostředek pro elektronickou identifikaci, který nabízí vyšší míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby než prostředek pro elektronickou identifikaci se značnou úrovní záruky a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je předejít zneužití nebo změně totožnosti.
Tyto minimální technické specifikace, normy a postupy se stanoví na základě spolehlivosti a kvality:
postupu prokazování a ověřování totožnosti fyzických nebo právnických osob žádajících o vydání prostředku pro elektronickou identifikaci;
postupu vydávání požadovaných prostředků pro elektronickou identifikaci;
mechanismu autentizace, při níž fyzická nebo právnická osoba používá prostředek pro elektronickou identifikaci k tomu, aby spoléhající se straně potvrdila svou totožnost;
subjektu vydávajícího prostředky pro elektronickou identifikaci;
jakéhokoli jiného subjektu zapojeného do žádosti o vydání prostředku pro elektronickou identifikaci a
technických a bezpečnostních specifikací vydaného prostředku pro elektronickou identifikaci.
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 9
Oznámení
Oznamující členský stát oznámí Komisi tyto informace a bez zbytečného odkladu i jejich případné následné změny:
popis systému elektronické identifikace, včetně jeho úrovní záruky a vydavatele či vydavatelů prostředků pro elektronickou identifikaci v rámci tohoto systému;
použitelný režim dohledu a informace o režimu odpovědnosti, pokud jde o:
stranu vydávající prostředky pro elektronickou identifikaci a
stranu provozující postup autentizace;
orgán nebo orgány odpovědné za systém elektronické identifikace;
informace o subjektu či subjektech, které spravují evidenci jedinečných osobních identifikačních údajů;
popis způsobu, jakým jsou plněny požadavky stanovené v prováděcích aktech uvedených v čl. 12 odst. 8;
popis autentizace podle čl. 7 písm. f);
opatření k pozastavení platnosti nebo zrušení oznámeného systému elektronické identifikace nebo autentizace či dotčených ohrožených součástí.
Článek 10
Narušení bezpečnosti systémů elektronické identifikace
Komise bez zbytečného odkladu zveřejní v Úředním věstníku Evropské unie odpovídající změny v seznamu uvedeném v čl. 9 odst. 2.
Článek 11
Odpovědnost za škodu
Článek 11a
Přeshraniční párování totožnosti
Článek 12
Interoperabilita
Rámec interoperability musí splňovat tato kritéria:
usiluje o to, aby byl z technologického hlediska neutrální, a v rámci členského státu nerozlišuje mezi žádnými zvláštními vnitrostátními technickými řešeními elektronické identifikace;
je-li to možné, řídí se evropskými a mezinárodními normami;
usnadňuje zavádění ochrany soukromí a bezpečnosti již od fáze návrhu;
▼M2 —————
Rámec interoperability sestává z:
odkazu na minimální technické požadavky týkající se úrovní záruky stanovených v článku 8;
mapování vnitrostátních úrovní záruky oznámených systémů elektronické identifikace podle úrovní záruky stanovených v článku 8;
odkazu na minimální technické požadavky pro interoperabilitu;
odkazu na minimální soubor osobních identifikačních údajů nezbytných k jedinečné identifikaci fyzické nebo právnické osoby nebo fyzické osoby zastupující jinou fyzickou či právnickou osobu, který je v systémech elektronické identifikace k dispozici;
procesních pravidel;
opatření pro řešení sporů; a
společných norem provozní bezpečnosti.
▼M2 —————
Článek 12a
Certifikace systémů elektronické identifikace
Článek 12b
Přístup k funkcím hardwaru a softwaru
Pokud jsou poskytovatelé evropských peněženek digitální identity a vydavatelé oznámených prostředků pro elektronickou identifikaci, kteří jednají v rámci obchodní nebo profesní činnosti a využívají hlavní služby platforem ve smyslu čl. 2 bodu 2 nařízení Evropského parlamentu a Rady (EU) 2022/1925 ( 7 ) pro účely poskytování nebo v průběhu poskytování služeb evropské peněženky digitální identity a prostředků pro elektronickou identifikaci koncovým uživatelům, podnikatelskými uživateli ve smyslu čl. 2 bodu 21 uvedeného nařízení, umožní jim strážci přístupu zejména účinnou interoperabilitu se stejným operačním systémem, hardwarovými nebo softwarovými prvky a přístup k nim pro účely interoperability. Tato účinná interoperabilita a přístup musí být umožněny bezplatně a bez ohledu na to, zda jsou hardwarové nebo softwarové prvky součástí operačního systému, zda jsou dostupné strážci přístupu nebo zda jsou strážcem přístupu používané při poskytování těchto služeb ve smyslu čl. 6 odst. 7 nařízení (EU) 2022/1925. Tímto článkem není dotčen čl. 5a odst. 14 tohoto nařízení.
KAPITOLA III
SLUŽBY VYTVÁŘEJÍCÍ DŮVĚRU
ODDÍL 1
Obecná ustanovení
Článek 13
Odpovědnost za škodu a důkazní břemeno
Důkazní břemeno, pokud jde o úmysl nebo nedbalost nekvalifikovaného poskytovatele služeb vytvářejících důvěru, nese fyzická nebo právnická osoba uplatňující nárok na náhradu škody podle prvního pododstavce.
V případě kvalifikovaného poskytovatele služeb vytvářejících důvěru se úmysl nebo nedbalost předpokládá, pokud daný kvalifikovaný poskytovatel služeb vytvářejících důvěru neprokáže, že újma podle prvního pododstavce nastala bez jeho úmyslu nebo nedbalosti.
Článek 14
Mezinárodní aspekty
Prováděcí akty uvedené v prvním pododstavci se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 15
Přístupnost pro osoby se zdravotním postižením a zvláštními potřebami
Poskytování prostředků pro elektronickou identifikaci, služeb vytvářejících důvěru a produktů pro koncové uživatele, které jsou používány při poskytování těchto služeb, se zpřístupní jednoduchým a srozumitelným jazykem, v souladu s Úmluvou Organizace spojených národů o právech osob se zdravotním postižením a s požadavky na přístupnost obsaženými ve směrnici (EU) 2019/882, z čehož mají prospěch i osoby s funkčními omezeními, jako jsou starší osoby a osoby s omezeným přístupem k digitálním technologiím.
Článek 16
Sankce
Členské státy zajistí, aby porušení tohoto nařízení kvalifikovanými a nekvalifikovanými poskytovateli služeb vytvářejících důvěru podléhalo správním pokutám v maximální výši alespoň:
5 000 000 EUR, je-li poskytovatelem služeb vytvářejících důvěru fyzická osoba; nebo
je-li poskytovatelem služeb vytvářejících důvěru právnická osoba, 5 000 000 EUR nebo 1 % celkového celosvětového ročního obratu podniku, k němuž poskytovatel služeb vytvářejících důvěru patřil v účetním období předcházejícím roku, v němž došlo k porušení, podle toho, která hodnota je vyšší.
ODDÍL 2
Nekvalifikovaní poskytovatelé služeb vytvářející důvěru
▼M2 —————
▼M1 —————
Článek 19a
Požadavky na nekvalifikované poskytovatele služeb vytvářejících důvěru
Nekvalifikovaný poskytovatel služeb vytvářejících důvěru poskytující nekvalifikované služby vytvářející důvěru:
má vhodné politiky a přijímá odpovídající opatření pro řízení právních, obchodních, provozních a jiných přímých nebo nepřímých rizik spojených s poskytováním nekvalifikované služby vytvářející důvěru, která bez ohledu na článek 21 směrnice (EU) 2022/2555 zahrnují alespoň opatření týkající se:
registrace ke službě vytvářející důvěru a zapojení do jejího používání;
procesních nebo správních kontrol potřebných k poskytování služeb vytvářejících důvěru;
řízení a provádění služeb vytvářejících důvěru;
oznámí orgánu dohledu, identifikovatelným dotčeným osobám, veřejnosti, pokud je to ve veřejném zájmu, a případně dalším relevantním příslušným orgánům veškerá narušení bezpečnosti nebo narušení poskytování služby nebo provádění opatření uvedených v písm. a) bodech i), ii) nebo iii), která mají významný dopad na poskytovanou službu vytvářející důvěru nebo na osobní údaje v ní uchovávané, a to bez zbytečného odkladu a v každém případě nejpozději do 24 hodin poté, co se o jakýchkoli narušeních bezpečnosti nebo jiných narušeních dozvěděl.
ODDÍL 3
Kvalifikované služby vytvářející důvěru
Článek 20
Dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru
Pokud tento poskytovatel nezjedná nápravu, a to ve lhůtě případně stanovené orgánem dohledu, orgán dohledu, je-li to odůvodněno zejména rozsahem, délkou trvání a důsledky daného neplnění, odejme danému poskytovateli nebo dotčené službě, kterou poskytuje, status kvalifikovaného poskytovatele nebo kvalifikované služby.
Do 21. května 2025 stanoví Komise prostřednictvím prováděcích aktů seznam referenčních norem a v případě potřeby stanoví specifikace a postupy pro:
akreditaci subjektů posuzování shody a pro zprávy o posouzení shody podle odstavce 1;
požadavky na audit, podle nichž budou subjekty posuzování shody provádět posuzování shody, včetně kombinovaného posuzování, kvalifikovaných poskytovatelů služeb vytvářejících důvěru podle odstavce 1;
režimy posuzování shody vztahující se na posuzování shody kvalifikovaných poskytovatelů služeb vytvářejících důvěru prováděné subjekty posuzování shody a na předkládání zpráv uvedených v odstavci 1.
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 21
Zahájení poskytování kvalifikované služby vytvářející důvěru
Za účelem ověření, zda poskytovatel služeb vytvářejících důvěru splňuje požadavky stanovené v článku 21 směrnice (EU) 2022/2555, požádá orgán dohledu příslušné orgány určené nebo zřízené podle čl. 8 odst. 1 uvedené směrnice, aby k tomu provedly opatření dohledu a poskytly informace o výsledku bez zbytečného odkladu a v každém případě do dvou měsíců od obdržení této žádosti. Není-li ověření dokončeno do dvou měsíců od oznámení, vyrozumí uvedené příslušné orgány orgán dohledu a uvedou důvody prodlení a dobu, v níž bude ověřování dokončeno.
Dospěje-li orgán dohledu k závěru, že poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení, udělí orgán dohledu tomuto poskytovateli služeb vytvářejících důvěru a jím poskytovaným službám vytvářejícím důvěru status kvalifikovaného poskytovatele a kvalifikované služby a uvědomí o tom subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1, a to nejpozději do tří měsíců od obdržení oznámení podle odstavce 1 tohoto článku.
Není-li ověření dokončeno do tří měsíců od oznámení, vyrozumí orgán dohledu poskytovatele služeb vytvářejících důvěru a uvede důvody prodlení a dobu, v níž bude ověřování dokončeno.
Článek 22
Důvěryhodné seznamy
Článek 23
Značka důvěry EU pro kvalifikované služby vytvářející důvěru
Článek 24
Požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru
Kvalifikovaný poskytovatel služeb vytvářejících důvěru provede ověření totožnosti uvedené v odstavci 1 vhodným způsobem buď přímo, nebo prostřednictvím třetí strany, a to na základě jedné z těchto metod nebo případně jejich kombinace a v souladu s prováděcími akty uvedenými v odstavci 1c:
prostřednictvím evropské peněženky digitální identity nebo oznámených prostředků pro elektronickou identifikaci, které splňují požadavky stanovené v článku 8, pokud jde o vysokou úroveň záruky;
pomocí certifikátu kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečeti, vydaných v souladu s písmeny a), c) nebo d);
použitím jiných metod identifikace, které zajišťují identifikaci osoby s vysokou úrovní spolehlivosti, jejichž shodu potvrdí subjekt posuzování shody;
na základě fyzické přítomnosti fyzické osoby nebo oprávněného zástupce právnické osoby pomocí vhodných důkazů a postupů v souladu s vnitrostátním právem.
Kvalifikovaný poskytovatel služeb vytvářejících důvěru provede ověření atributů uvedené v odstavci 1 vhodným způsobem buď přímo, nebo prostřednictvím třetí strany, a to na základě jedné z těchto metod nebo případně jejich kombinace a v souladu s prováděcími akty uvedenými v odstavci 1c:
prostřednictvím evropské peněženky digitální identity nebo oznámených prostředků pro elektronickou identifikaci, které splňují požadavky stanovené v článku 8, pokud jde o vysokou úroveň záruky;
pomocí certifikátu kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečeti, vydaných v souladu s odst. 1a písm. a), c) nebo d);
pomocí kvalifikovaného elektronického potvrzení atributů;
použitím jiných metod, které zajišťují ověření atributů s vysokou úrovní spolehlivosti, jejichž shodu potvrdí subjekt posuzování shody;
na základě fyzické přítomnosti fyzické osoby nebo oprávněného zástupce právnické osoby pomocí vhodných důkazů a postupů v souladu s vnitrostátním právem.
Kvalifikovaný poskytovatel služeb vytvářejících důvěru poskytující kvalifikované služby vytvářející důvěru:
informuje orgán dohledu alespoň jeden měsíc před provedením jakékoli změny v poskytování svých kvalifikovaných služeb vytvářejících důvěru nebo tři měsíce v případě záměru ukončit tyto činnosti;
zaměstnává pracovníky a případně subdodavatele, kteří mají potřebné odborné znalosti, zkušenosti a kvalifikace, jsou spolehliví a absolvovali odpovídající odbornou přípravu týkající se bezpečnosti a pravidel ochrany osobních údajů, a používá správní a řídicí postupy, které odpovídají evropským nebo mezinárodním normám;
vzhledem k riziku odpovědnosti za škody v souladu s článkem 13 udržuje dostatečné finanční prostředky nebo uzavřel vhodné pojištění odpovědnosti v souladu s vnitrostátním právem;
před uzavřením smluvního vztahu informuje jasným, srozumitelným a jednoduše přístupným způsobem, ve veřejně dostupném prostoru a individuálně každou osobu, která chce využít kvalifikovanou službu vytvářející důvěru, o přesných podmínkách používání této služby, včetně případných omezení jejího využívání;
používá důvěryhodné systémy a produkty, které jsou chráněny proti pozměnění, a zajišťuje technickou bezpečnost a spolehlivost procesů, které podporují, včetně použití vhodných kryptografických technik;
používá důvěryhodné systémy k uchovávání dat, která jsou mu poskytnuta, v ověřitelné podobě, aby:
byla veřejně přístupná pro účely vyhledávání pouze se souhlasem osoby, jíž se data týkají,
záznamy a změny v uložených datech mohly provádět pouze oprávněné osoby,
bylo možno ověřit pravost dat;
bez ohledu na článek 21 směrnice (EU) 2022/2555 má vhodné politiky a přijímá odpovídající opatření pro řízení právních, obchodních, provozních a jiných přímých nebo nepřímých rizik poskytování kvalifikované služby vytvářející důvěru, zahrnující alespoň opatření týkající se:
registrace ke službě a zapojení do jejího používání;
procesních nebo správních kontrol;
řízení a provádění služeb;
oznámí orgánu dohledu, identifikovatelným dotčeným osobám, případně dalším relevantním příslušným orgánům a na žádost orgánu dohledu veřejnosti, pokud je to ve veřejném zájmu, veškerá narušení bezpečnosti nebo narušení poskytování služby nebo provádění opatření uvedených v písm. fa) bodech i), ii) nebo iii), která mají významný dopad na poskytovanou službu vytvářející důvěru nebo na osobní údaje v ní uchovávané, a to bez zbytečného odkladu a v každém případě do 24 hodin poté, co došlo k incidentu;
přijímá vhodná opatření proti padělání, odcizení nebo zneužití dat nebo neoprávněnému vymazání, pozměnění nebo znepřístupnění dat;
po nezbytně dlouhou dobu poté, co ukončil svou činnost kvalifikovaného poskytovatele služeb vytvářejících důvěru, eviduje a zpřístupňuje veškeré příslušné informace týkající se dat, která vydal a obdržel, pro účely poskytnutí důkazů v soudním a správním řízení a pro účely zajištění kontinuity služby. Tato evidence může mít elektronickou podobu;
má k dispozici aktualizovaný plán ukončení činnosti k zajištění kontinuity služby v souladu s ustanoveními ověřenými orgánem dohledu podle čl. 46b odst. 4 písm. i);
▼M2 —————
pokud se jedná o kvalifikovaného poskytovatele služeb vytvářejících důvěru vydávajícího kvalifikované certifikáty, vede a aktualizuje databázi certifikátů.
Orgán dohledu si může vyžádat informace nad rámec informací, které jsou mu oznamovány v souladu s prvním pododstavcem písm. a), nebo výsledek posouzení shody a může stanovit podmínky pro udělení povolení k provedení zamýšlených změn kvalifikovaných služeb vytvářejících důvěru. Není-li ověření dokončeno do tří měsíců od oznámení, vyrozumí orgán dohledu poskytovatele služeb vytvářejících důvěru a uvede důvody prodlení a dobu, v níž bude ověřování dokončeno.
Článek 24a
Uznávání kvalifikovaných služeb vytvářejících důvěru
ODDÍL 4
Elektronický podpis
Článek 25
Právní účinky elektronických podpisů
▼M2 —————
Článek 26
Požadavky na zaručené elektronické podpisy
Zaručený elektronický podpis musí splňovat tyto požadavky:
je jednoznačně spojen s podepisující osobou;
umožňuje identifikaci podepisující osoby;
je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou; a
je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.
Článek 27
Elektronické podpisy ve veřejných službách
▼M2 —————
Článek 28
Kvalifikované certifikáty pro elektronické podpisy
Členské státy mohou stanovit vnitrostátní pravidla dočasného pozastavení platnosti kvalifikovaných certifikátů pro elektronický podpis s výhradou těchto podmínek:
je-li platnost kvalifikovaného certifikátu pro elektronický podpis dočasně pozastavena, pozbývá tento certifikát na dobu pozastavení platnosti;
doba pozastavení platnosti je jasně vyznačena v databázi certifikátů a pozastavení platnosti je po svou dobu viditelné ve službě poskytující informace o statusu certifikátu.
Článek 29
Požadavky na kvalifikované prostředky pro vytváření elektronických podpisů
Článek 29a
Požadavky na kvalifikovanou službu správy kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku
Správu kvalifikovaných prostředků pro vytváření elektronických podpisů na dálku jako kvalifikované služby provádí pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru, který:
vytváří nebo spravuje data pro vytváření elektronických podpisů jménem podepisující osoby;
bez ohledu na přílohu II bod 1 písm. d) kopíruje data pro vytváření elektronických podpisů pouze pro účely zálohování, jsou-li splněny tyto požadavky:
bezpečnost zkopírovaných souborů dat je na stejné úrovni jako u původních souborů dat;
počet zkopírovaných souborů dat nesmí přesáhnout minimum potřebné pro zajištění kontinuity služby;
splňuje všechny požadavky uvedené v certifikační zprávě konkrétního kvalifikovaného prostředku pro vytváření elektronických podpisů na dálku vydané podle článku 30.
Článek 30
Certifikace kvalifikovaných prostředků pro vytváření elektronických podpisů
Certifikace podle odstavce 1 je založena na jednom z těchto postupů:
postupu posouzení bezpečnosti, který byl proveden v souladu s některou z norem pro posuzování bezpečnosti produktů informačních technologií uvedených na seznamu sestaveném v souladu s druhým pododstavcem tohoto odstavce; nebo
jiném postupu, než je postup uvedený v písmenu a), za podmínky, že používá srovnatelné úrovně bezpečnosti a že veřejný nebo soukromý subjekt uvedený v odstavci 1 daný postup oznámí Komisi. Tento postup může být použit pouze v případě, že normy uvedené v písmenu a) neexistují nebo že postup posouzení bezpečnosti podle písmene a) dosud probíhá.
Komise prostřednictvím prováděcích aktů sestaví seznam norem pro posuzování bezpečnosti produktů informačních technologií uvedený v prvním pododstavci písm. a). Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 31
Zveřejnění seznamu certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů
Článek 32
Požadavky na ověřování platnosti kvalifikovaných elektronických podpisů
Postup ověření platnosti kvalifikovaného elektronického podpisu potvrdí platnost kvalifikovaného elektronického podpisu, pokud:
certifikát, na němž je podpis založen, byl v okamžiku podpisu kvalifikovaným certifikátem pro elektronický podpis, jenž je v souladu s přílohou I;
kvalifikovaný certifikát byl vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a v okamžiku podpisu byl platný;
data pro ověřování platnosti podpisu odpovídají datům poskytnutým spoléhající se straně;
spoléhající se straně je řádně poskytnut jedinečný soubor dat identifikujících podepisující osobu v certifikátu;
pokud byl v okamžiku podpisu použit pseudonym, je jeho použití jednoznačně sděleno spoléhající se straně;
elektronický podpis byl vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů;
nebyla ohrožena integrita podepsaných dat;
v okamžiku podpisu byly splněny požadavky stanovené v článku 26.
Pokud ověřování platnosti kvalifikovaných elektronických podpisů splňuje normy, specifikace a postupy uvedené v odstavci 3, předpokládá se shoda s požadavky stanovenými v prvním pododstavci tohoto odstavce.
Článek 32a
Požadavky na ověřování platnosti zaručených elektronických podpisů založených na kvalifikovaných certifikátech
Postup ověření platnosti zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu potvrdí platnost zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu, pokud:
certifikát, na němž je podpis založen, byl v okamžiku podpisu kvalifikovaným certifikátem pro elektronický podpis, jenž je v souladu s přílohou I;
kvalifikovaný certifikát byl vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a v okamžiku podpisu byl platný;
data pro ověřování platnosti podpisu odpovídají datům poskytnutým spoléhající se straně;
spoléhající se straně je řádně poskytnut jedinečný soubor dat identifikujících podepisující osobu v certifikátu;
pokud byl v okamžiku podpisu použit pseudonym, je jeho použití jednoznačně sděleno spoléhající se straně;
nebyla ohrožena integrita podepsaných dat;
v okamžiku podpisu byly splněny požadavky stanovené v článku 26.
Článek 33
Kvalifikovaná služba ověřování platnosti kvalifikovaných elektronických podpisů
Kvalifikovanou službu ověřování platnosti kvalifikovaných elektronických podpisů může poskytovat pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru, který:
zajišťuje ověřování platnosti v souladu s čl. 32 odst. 1 a
umožňuje, aby spoléhající se strany obdržely výsledek postupu ověření platnosti automatizovaným způsobem, který je spolehlivý, účinný a je opatřen zaručeným elektronickým podpisem nebo zaručenou elektronickou pečetí poskytovatele kvalifikované služby ověřování platnosti.
Článek 34
Kvalifikovaná služba uchovávání kvalifikovaných elektronických podpisů
ODDÍL 5
Elektronické pečetě
Článek 35
Právní účinky elektronických pečetí
▼M2 —————
Článek 36
Požadavky na zaručené elektronické pečetě
Zaručená elektronická pečeť musí splňovat tyto požadavky:
je jednoznačně spojena s pečetící osobou;
umožňuje identifikaci pečetící osoby;
je vytvořena pomocí dat pro vytváření elektronických pečetí, která může pečetící osoba s vysokou úrovní důvěry použít k vytváření elektronické pečeti pod svou kontrolou; a
je k datům, ke kterým se vztahuje, připojena takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.
Článek 37
Elektronické pečetě ve veřejných službách
▼M2 —————
Článek 38
Kvalifikované certifikáty pro elektronické pečetě
Členské státy mohou stanovit vnitrostátní pravidla dočasného pozastavení platnosti kvalifikovaných certifikátů pro elektronické pečetě s výhradou těchto podmínek:
je-li platnost kvalifikovaného certifikátu pro elektronickou pečeť dočasně pozastavena, pozbývá tento certifikát na dobu pozastavení platnosti;
doba pozastavení platnosti je jasně vyznačena v databázi certifikátů a pozastavení platnosti je po svou dobu viditelné ve službě poskytující informace o statusu certifikátu.
Článek 39
Kvalifikované prostředky pro vytváření elektronických pečetí
Článek 39a
Požadavky na kvalifikovanou službu správy kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku
Na kvalifikovanou službu správy kvalifikovaných prostředků pro vytváření elektronických pečetí na dálku se použije přiměřeně článek 29a.
Článek 40
Ověřování platnosti a uchovávání kvalifikovaných elektronických pečetí
Na ověřování platnosti a uchovávání kvalifikovaných elektronických pečetí se použijí přiměřeně články 32, 33 a 34.
Článek 40a
Požadavky na ověřování zaručených elektronických pečetí založených na kvalifikovaných certifikátech
Na ověřování zaručených elektronických pečetí založených na kvalifikovaných certifikátech se použije přiměřeně článek 32a.
ODDÍL 6
Elektronická časová razítka
Článek 41
Právní účinek elektronických časových razítek
▼M2 —————
Článek 42
Požadavky na kvalifikovaná elektronická časová razítka
Kvalifikované elektronické časové razítko musí splňovat tyto požadavky:
spojuje datum a čas s daty takovým způsobem, aby byla přiměřeně zamezena možnost nezjistitelné změny dat;
je založeno na zdroji přesného času, který je spojen s koordinovaným světovým časem; a
je podepsáno s použitím zaručeného elektronického podpisu, opatřeno zaručenou elektronickou pečetí kvalifikovaného poskytovatele služeb vytvářejících důvěru nebo označeno jinou rovnocennou metodou.
ODDÍL 7
Služba elektronického doporučeného doručování
Článek 43
Právní účinek služby elektronického doporučeného doručování
Článek 44
Požadavky na kvalifikované služby elektronického doporučeného doručování
Kvalifikované služby elektronického doporučeného doručování musí splňovat tyto požadavky:
jsou poskytovány jedním či více kvalifikovanými poskytovateli služeb vytvářejících důvěru;
s vysokou úrovní spolehlivosti zajišťují identifikaci odesílatele;
zajišťují identifikaci příjemce před doručením dat;
odesílání a přijímání dat je zabezpečeno prostřednictvím zaručeného elektronického podpisu nebo zaručené elektronické pečeti kvalifikovaného poskytovatele služeb vytvářejících důvěru tak, aby byla vyloučena možnost nezjistitelné změny dat;
odesílatel a příjemce dat jsou jednoznačně vyrozuměni o případných změnách dat potřebných za účelem odeslání nebo přijetí dat;
datum a čas odeslání, přijetí a případná změna dat jsou označeny prostřednictvím kvalifikovaného elektronického časového razítka.
V případě přenosu dat mezi dvěma či více kvalifikovanými poskytovateli služeb vytvářejících důvěru se požadavky uvedené v písm. a) až f) vztahují na všechny tyto kvalifikované poskytovatele služeb vytvářejících důvěru.
ODDÍL 8
Autentizace internetových stránek
Článek 45
Požadavky na kvalifikované certifikáty pro autentizaci internetových stránek
Článek 45a
Předběžná opatření týkající se kybernetické bezpečnosti
ODDÍL 9
elektronické potvrzení atributů
Článek 45b
Právní účinky elektronického potvrzení atributů
Článek 45c
Elektronické potvrzení atributů ve veřejných službách
Pokud se pro přístup k on-line službě poskytované subjektem veřejného sektoru vyžaduje podle vnitrostátního práva elektronická identifikace s použitím prostředku pro elektronickou identifikaci a autentizace, osobní identifikační údaje v elektronickém potvrzení atributů nenahrazují elektronickou identifikaci s použitím prostředku pro elektronickou identifikaci a autentizaci pro elektronickou identifikaci, pokud to členský stát výslovně nepovolí. V takovém případě se rovněž akceptuje kvalifikované elektronické potvrzení atributů z jiných členských států.
Článek 45d
Požadavky na kvalifikované elektronické potvrzení atributů
Článek 45e
Ověřování atributů podle autentických zdrojů
Článek 45f
Požadavky na elektronické potvrzení atributů vydané subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem
Elektronické potvrzení atributů vydané subjektem veřejného sektoru odpovědným za autentický zdroj nebo jeho jménem musí splňovat tyto požadavky:
požadavky uvedené v příloze VII;
kvalifikovaný certifikát, na němž jsou založeny kvalifikovaný elektronický podpis nebo kvalifikovaná elektronická pečeť subjektu veřejného sektoru uvedeného v čl. 3 bodu 46, identifikovaného jako vydavatel podle písmene b) přílohy VII, který obsahuje specifický soubor certifikovaných atributů ve formě vhodné pro automatické zpracování a:
uvádí, že vydávající subjekt je zřízen v souladu s právem Unie nebo vnitrostátním právem jakožto subjekt odpovědný za autentický zdroj, na jehož základě je vydáváno elektronické potvrzení atributů, nebo jako subjekt pověřený jednat jeho jménem;
poskytuje soubor dat jednoznačně identifikujících autentický zdroj uvedený v bodu i) a
odkazuje na právo Unie nebo vnitrostátní právo podle bodu i).
Článek 45g
Vydávání elektronických potvrzení atributů pro evropské peněženky digitální identity
Článek 45h
Dodatečná pravidla poskytování služeb elektronického potvrzování atributů
ODDÍL 10
služby elektronické archivace
Článek 45i
Právní účinek služby elektronické archivace
Článek 45j
Požadavky na kvalifikované služby elektronické archivace
Kvalifikované služby elektronické archivace musí splňovat tyto požadavky:
jsou poskytovány kvalifikovanými poskytovateli služeb vytvářejících důvěru;
používají postupy a technologie umožňující zajistit trvanlivost a čitelnost elektronických dat a elektronických dokumentů i po uplynutí doby technologické použitelnosti – a alespoň po zákonně či smluvně stanovenou dobu uchovávání a současně zachovat jejich integritu a přesnost původu;
zajišťují, aby byla elektronická data a elektronické dokumenty uchovávány způsobem, který je chrání před ztrátou a pozměněním, s výjimkou změn jejich nosiče nebo elektronického formátu;
oprávněným spoléhajícím se stranám umožňují obdržet automatizovaným způsobem zprávu, která potvrzuje, že u elektronických dat a elektronických dokumentů získaných z kvalifikovaného elektronického archivu platí předpoklad integrity dat od začátku doby uchovávání do doby jejich zpřístupnění.
Zpráva uvedená v prvním pododstavci písm. d) se poskytne spolehlivým a účinným způsobem a musí být opatřena kvalifikovaným elektronickým podpisem nebo kvalifikovanou elektronickou pečetí poskytovatele kvalifikované služby elektronické archivace.
ODDÍL 11
elektronické knihy záznamů
Článek 45k
Právní účinky elektronických knih záznamů
Článek 45l
Požadavky na kvalifikované elektronické knihy záznamů
Kvalifikované elektronické knihy záznamů musí splňovat tyto požadavky:
jsou vytvářeny a spravovány jedním či více kvalifikovanými poskytovateli služeb vytvářejících důvěru;
identifikují původ datových záznamů v knize záznamů;
zajišťují jedinečné sekvenční chronologické řazení datových záznamů v knize záznamů;
zaznamenávají data takovým způsobem, že je možné okamžitě zjistit jakoukoliv následnou změnu dat, čímž zajišťují jejich integritu v čase.
KAPITOLA IV
ELEKTRONICKÉ DOKUMENTY
Článek 46
Právní účinky elektronických dokumentů
Elektronickému dokumentu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu.
KAPITOLA IVa
SPRÁVNÍ RÁMEC
Článek 46a
Dohled nad rámcem pro evropskou peněženku digitální identity
Orgánům dohledu určeným podle prvního pododstavce jsou uděleny nezbytné pravomoci a přiměřené zdroje, které jim umožňují účinně, účelně a nezávisle plnit jejich úkoly.
Úlohou orgánů dohledu určených podle odstavce 1 je:
vykonávat dohled nad poskytovateli evropských peněženek digitální identity usazenými v členském státě, který provedl určení, a prostřednictvím činností předběžného a následného dohledu zajistit, aby tito poskytovatelé a jimi poskytované evropské peněženky digitální identity splňovali požadavky stanovené v tomto nařízení;
přijmout v případě potřeby prostřednictvím činností následného dohledu opatření ve vztahu k poskytovatelům evropských peněženek digitální identity usazeným na území členského státu, který provedl určení, pokud jsou informovány o tom, že tito poskytovatelé nebo jimi poskytované evropské peněženky digitální identity porušují toto nařízení.
Mezi úkoly orgánů dohledu určených podle odstavce 1 patří zejména:
spolupracovat s dalšími orgány dohledu a poskytovat jim pomoc v souladu s články 46c a 46e;
požadovat informace nezbytné k monitorování souladu s tímto nařízením;
informovat relevantní příslušné orgány dotčených členských států určené nebo zřízené podle čl. 8 odst. 1 směrnice (EU) 2022/2555 o jakémkoli závažném narušení bezpečnosti nebo ztrátě integrity, o nichž se dozví při plnění svých úkolů, a v případě závažného narušení bezpečnosti nebo ztráty integrity, které se týkají dalších členských států, informovat jednotné kontaktní místo dotčeného členského státu určené nebo zřízené podle čl. 8 odst. 3 směrnice (EU) 2022/2555 a jednotná kontaktní místa v ostatních dotčených členských státech určená podle čl. 46c odst. 1 tohoto nařízení a informovat veřejnost nebo požadovat, aby tak učinili poskytovatelé evropské peněženky digitální identity, pokud orgán dohledu rozhodne, že zveřejnění tohoto narušení bezpečnosti nebo ztráty integrity je ve veřejném zájmu;
provádět kontroly na místě a vzdálený dohled;
požadovat, aby poskytovatelé evropských peněženek digitální identity napravili případné neplnění požadavků stanovených v tomto nařízení;
v případě nezákonného nebo podvodného používání evropské peněženky digitální identity pozastavit nebo zrušit registraci spoléhajících se stran a začlenění spoléhajících se stran do mechanismu uvedeného v čl. 5b odst. 7;
spolupracovat s příslušnými dozorovými úřady zřízenými podle článku 51 nařízení (EU) 2016/679, zejména tak, že je bez zbytečného odkladu informují o tom, že zřejmě došlo k porušení pravidel týkajících se ochrany osobních údajů, jakož i o narušeních bezpečnosti, která podle všeho představují porušení zabezpečení osobních údajů.
Článek 46b
Dohled nad službami vytvářejícími důvěru
Orgánům dohledu určeným podle prvního pododstavce jsou k plnění těchto úkolů uděleny nezbytné pravomoci a přiměřené zdroje.
Úlohou orgánů dohledu určených podle odstavce 1 je:
vykonávat dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými na území členského státu, který provedl určení, a prostřednictvím činností předběžného a následného dohledu zajistit, aby tito kvalifikovaní poskytovatelé služeb vytvářejících důvěru a jimi poskytované kvalifikované služby vytvářející důvěru splňovali požadavky stanovené v tomto nařízení;
přijmout v případě potřeby prostřednictvím činností následného dohledu opatření ve vztahu nekvalifikovaným poskytovatelům služeb vytvářejících důvěru usazeným na území členského státu, který provedl určení, pokud jsou informovány o tom, že tito nekvalifikovaní poskytovatelé služeb vytvářejících důvěru nebo jimi poskytované služby vytvářející důvěru údajně nesplňují požadavky stanovené v tomto nařízení.
Mezi úkoly orgánů dohledu určených podle odstavce 1 patří zejména:
informovat relevantní příslušné orgány dotčených členských států určené nebo zřízené podle čl. 8 odst. 1 směrnice (EU) 2022/2555 o jakémkoli závažném narušení bezpečnosti nebo ztrátě integrity, o nichž se dozví při plnění svých úkolů, a v případě závažného narušení bezpečnosti nebo ztráty integrity, které se týká dalších členských států, informovat jednotné kontaktní místo dotčeného členského státu určené nebo zřízené podle čl. 8 odst. 3 směrnice (EU) 2022/2555 a jednotná kontaktní místa v ostatních dotčených členských státech určená podle čl. 46c odst. 1 tohoto nařízení a informovat veřejnost nebo požadovat, aby tak učinili poskytovatelé služeb vytvářejících důvěru, pokud orgán dohledu rozhodne, že zveřejnění tohoto narušení bezpečnosti nebo ztráty integrity je ve veřejném zájmu;
spolupracovat s dalšími orgány dohledu a poskytovat jim pomoc v souladu s články 46c a 46e;
provádět analýzu zpráv o posouzení shody uvedených v čl. 20 odst. 1 a čl. 21 odst. 1;
podávat Komisi zprávy o svých hlavních činnostech v souladu s odstavcem 6 tohoto článku;
provádět audity kvalifikovaných poskytovatelů služeb vytvářejících důvěru nebo požadovat, aby subjekt posuzování shody provedl posouzení shody těchto poskytovatelů v souladu s čl. 20 odst. 2;
spolupracovat s příslušnými dozorovými úřady zřízenými podle článku 51 nařízení (EU) 2016/679, zejména tak, že je bez zbytečného odkladu informuje o tom, že zřejmě došlo k porušení pravidel týkajících se ochrany osobních údajů, jakož i o narušeních bezpečnosti, která podle všeho představují porušení zabezpečení osobních údajů;
v souladu s články 20 a 21 udělovat poskytovatelům služeb vytvářejících důvěru a jimi poskytovaným službám status kvalifikovaného poskytovatele nebo kvalifikované služby a odnímat tento status;
informovat subjekt odpovědný za vnitrostátní důvěryhodný seznam podle čl. 22 odst. 3 o svých rozhodnutích udělit nebo odejmout status kvalifikovaného poskytovatele nebo kvalifikované služby, pokud tento subjekt není rovněž orgánem dohledu určeným podle odstavce 1 tohoto článku;
ověřovat existenci a správné uplatňování ustanovení o plánech ukončení činnosti v případech, kdy kvalifikovaný poskytovatel služeb vytvářejících důvěru ukončí svou činnost, včetně způsobu zpřístupňování informací v souladu s čl. 24 odst. 2 písm. h);
požadovat, aby poskytovatelé služeb vytvářejících důvěru napravili případné neplnění požadavků stanovených v tomto nařízení;
prošetřovat tvrzení poskytovatelů internetových prohlížečů podle článku 45a a v případě potřeby přijmout opatření.
Článek 46c
Jednotná kontaktní místa
Článek 46d
Vzájemná pomoc
Vzájemná pomoc obnáší alespoň to, že:
orgán dohledu, který uplatňuje opatření v oblasti dohledu a vymáhání v jednom členském státě, informuje orgán dohledu z druhého dotčeného členského státu a konzultuje s ním;
orgán dohledu může požádat orgán dohledu jiného dotčeného členského státu, aby přijal opatření v oblasti dohledu nebo vymáhání, zahrnující například žádosti o provedení kontrol v souvislosti se zprávami o posouzení shody podle článků 20 a 21, pokud jde o poskytování služeb vytvářejících důvěru;
orgány dohledu mohou případně provádět společná šetření s orgány dohledu jiných členských států.
Ujednání a postupy pro společné činnosti podle prvního pododstavce dohodnou a zavedou dotčené členské státy v souladu se svým vnitrostátním právem.
Orgán dohledu, jemuž byla podána žádost o pomoc, může tuto žádost odmítnout z kteréhokoliv z těchto důvodů:
požadovaná pomoc je nepřiměřená činnostem v oblasti dohledu, které daný orgán dohledu vykonává v souladu s články 46a a 46b;
orgán dohledu není k poskytnutí požadované pomoci příslušný;
poskytnutí požadované pomoci by nebylo slučitelné s tímto nařízením.
Článek 46e
Skupina pro evropskou spolupráci v oblasti digitální identity
Skupina pro spolupráci má tyto úkoly:
vyměňovat si názory a spolupracovat s Komisí na nových politických iniciativách v oblasti peněženek digitální identity, prostředků pro elektronickou identifikaci a služeb vytvářejících důvěru;
ve vhodných případech poskytovat Komisi poradenství při včasné přípravě návrhů prováděcích aktů a aktů v přenesené pravomoci, které mají být přijaty podle tohoto nařízení;
za účelem podpory orgánů dohledu při provádění ustanovení tohoto nařízení vykonávat tyto činnosti:
vyměňovat si osvědčené postupy a informace týkající se uplatňování ustanovení tohoto nařízení;
posuzovat relevantní vývoj v oblasti peněženek digitální identity, elektronické identifikace a služeb vytvářejících důvěru;
pořádat společná setkání s příslušnými zainteresovanými stranami z celé Unie za účelem projednávání činností vykonávaných skupinou pro spolupráci a shromažďování poznatků o nových výzvách v oblasti této politiky;
s podporou agentury ENISA si vyměňovat názory, osvědčené postupy a informace v souvislosti s příslušnými aspekty kybernetické bezpečnosti týkajícími se evropských peněženek digitální identity, systémů elektronické identifikace a služeb vytvářejících důvěru;
vyměňovat si osvědčené postupy v souvislosti s vývojem a prováděním politik týkajících se oznamování narušení bezpečnosti a společných opatření podle článků 5e a 10;
pořádat společná setkání se skupinou pro spolupráci v oblasti bezpečnosti sítí a informací zřízenou podle čl. 14 odst. 1 směrnice (EU) 2022/2555 s cílem vyměňovat si v souvislosti se službami vytvářejícími důvěru a s elektronickou identifikací relevantní informace týkající se kybernetických hrozeb, incidentů, zranitelností, iniciativ zaměřených na zvyšování povědomí, školení, cvičení a dovedností, budování kapacit, kapacity v oblasti norem a technických specifikací, jakož i norem a technických specifikací;
na žádost orgánu dohledu projednávat konkrétní žádosti o vzájemnou pomoc podle článku 46d;
usnadňovat výměnu informací mezi orgány dohledu poskytováním pokynů týkajících se organizačních aspektů a postupů vzájemné pomoci podle článku 46d;
organizovat vzájemná hodnocení systémů elektronické identifikace, které mají být oznámeny podle tohoto nařízení.
KAPITOLA V
PŘENESENÍ PRAVOMOCI A PROVÁDĚCÍ USTANOVENÍ
Článek 47
Výkon přenesené pravomoci
Článek 48
Postup projednávání ve výboru
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
Článek 48a
Požadavky na podávání zpráv
Statistické údaje shromážděné v souladu s odstavcem 1 zahrnují:
počet fyzických a právnických osob s platnou evropskou peněženkou digitální identity;
druh a počet služeb, které akceptují používání evropské peněženky digitální identity;
počet stížností uživatelů a počet incidentů týkajících se ochrany spotřebitelů a ochrany údajů ve vztahu ke spoléhajícím se stranám a kvalifikovaným službám vytvářejícím důvěru;
souhrnnou zprávu včetně údajů o incidentech, jež zabránily použití evropské peněženky digitální identity;
souhrn významných bezpečnostních incidentů, případů porušení zabezpečení údajů a dotčených uživatelů evropské peněženky digitální identity nebo kvalifikovaných služeb vytvářejících důvěru.
Článek 49
Přezkum
Článek 50
Zrušení
Článek 51
Přechodná ustanovení
Článek 52
Vstup v platnost
Toto nařízení se použije ode dne 1. července 2016, s těmito výjimkami:
čl. 8 odst. 3, čl. 9 odst. 5, čl. 12 odst. 2 až 9, čl. 17 odst. 8, čl. 19 odst. 4, čl. 20 odst. 4, čl. 21 odst. 4, čl. 22 odst. 5, čl. 23 odst. 3, čl. 24 odst. 5, čl. 27 odst. 4 a 5, čl. 28 odst. 6, čl. 29 odst. 2, čl. 30 odst. 3 a 4, čl. 31 odst. 3, čl. 32 odst. 3, čl. 33 odst. 2, čl. 34 odst. 2, čl. 37 odst. 4 a 5, čl. 38 odst. 6, čl. 42 odst. 2, čl. 44 odst. 2, čl. 45 odst. 2 a články 47 a 48 se použijí ode dne 17. září 2014;
článek 7, čl. 8 odst. 1 a 2, články 9, 10 a 11 a čl. 12 odst. 1 se použijí ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8;
článek 6 se použije od uplynutí tří let ode dne použitelnosti prováděcích aktů uvedených v čl. 8 odst. 3 a čl. 12 odst. 8.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
PŘÍLOHA I
POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO ELEKTRONICKÉ PODPISY
Kvalifikované certifikáty pro elektronické podpisy obsahují:
označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronický podpis;
soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty, včetně alespoň členského státu, v němž je poskytovatel usazen, a
alespoň jméno podepisující osoby nebo pseudonym. Je-li použit pseudonym, musí být tato skutečnost jasně vyznačena;
data pro ověřování platnosti elektronických podpisů, která odpovídají datům pro vytváření elektronických podpisů;
označení začátku a konce doby platnosti certifikátu;
identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;
zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;
údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g);
informace o platnosti kvalifikovaného certifikátu nebo údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu;
pokud jsou data pro vytváření elektronických podpisů spojená s daty pro ověřování platnosti elektronických podpisů obsažena v kvalifikovaném prostředku pro vytváření elektronických podpisů, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování.
PŘÍLOHA II
POŽADAVKY NA KVALIFIKOVANÉ PROSTŘEDKY PRO VYTVÁŘENÍ ELEKTRONICKÝCH PODPISŮ
1. Kvalifikované prostředky pro vytváření elektronických podpisů vhodnými technickými prostředky a postupy přinejmenším zajistí, aby:
byla přiměřeně zajištěna důvěrnost dat pro vytváření elektronických podpisů, která byla použita při vytváření elektronického podpisu;
data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu se mohla prakticky vyskytnout pouze jednou;
bylo přiměřeně zajištěno, že data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu nelze odvodit a že elektronický podpis je v současnosti dostupnými technickými prostředky spolehlivě chráněn proti padělání;
oprávněná podepisující osoba měla možnost data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu spolehlivě chránit před jejich zneužitím třetí osobou.
2. Kvalifikované prostředky pro vytváření elektronických podpisů nesmějí měnit podepisovaná data ani bránit tomu, aby byla tato data předložena podepisující osobě před vlastním podepsáním.
▼M2 —————
PŘÍLOHA III
POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO ELEKTRONICKÉ PEČETĚ
Kvalifikované certifikáty pro elektronické pečetě obsahují:
označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronickou pečeť;
soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty, včetně alespoň členského státu, v němž je poskytovatel usazen, a
alespoň jméno pečetící osoby a případné registrační číslo uvedené v úředních záznamech;
data pro ověřování platnosti elektronických pečetí, která odpovídají datům pro vytváření elektronických pečetí;
označení začátku a konce doby platnosti certifikátu;
identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;
zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;
údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g);
informace o platnosti kvalifikovaného certifikátu nebo údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu;
pokud jsou data pro vytváření elektronických pečetí spojená s daty pro ověřování platnosti elektronických pečetí obsažena v kvalifikovaném prostředku pro vytváření elektronických pečetí, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování.
PŘÍLOHA IV
POŽADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRO AUTENTIZACI INTERNETOVÝCH STRÁNEK
Kvalifikované certifikáty pro autentizaci internetových stránek obsahují:
označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro autentizaci internetových stránek;
soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty, včetně alespoň členského státu, v němž je poskytovatel usazen, a
v případě fyzických osob: alespoň jméno osoby, jíž byl certifikát vydán, nebo pseudonym; je-li použit pseudonym, musí být tato skutečnost jasně vyznačena;
v případě právnických osob: jedinečný soubor dat jednoznačně identifikujících právnickou osobu, jíž je certifikát vydán, včetně alespoň názvu právnické osoby, jíž je certifikát vydán, a případně registračního čísla uvedeného v úředních záznamech;
údaje z adresy (včetně alespoň města a státu) fyzické nebo právnické osoby, jíž je certifikát vydán, jak je uvedena v případných úředních záznamech;
název domény nebo domén, které provozuje fyzická nebo právnická osoba, jíž je certifikát vydán;
označení začátku a konce doby platnosti certifikátu;
identifikační číslo certifikátu, které musí být jedinečné u daného kvalifikovaného poskytovatele služeb vytvářejících důvěru;
zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává;
údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene h);
informace o platnosti kvalifikovaného certifikátu nebo údaj o umístění služeb pro ověření platnosti certifikátu, které lze využít k zjištění platnosti kvalifikovaného certifikátu.
PŘÍLOHA V
POŽADAVKY NA KVALIFIKOVANÉ ELEKTRONICKÉ POTVRZENÍ ATRIBUTŮ
Kvalifikované elektronické potvrzení atributů obsahuje:
informaci, alespoň ve formě vhodné pro automatické zpracování, že se potvrzení vydává jako kvalifikované elektronické potvrzení atributů;
soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikovaná elektronická potvrzení atributů, včetně alespoň členského státu, v němž je poskytovatel usazen, a:
v případě právnické osoby: název a případně registrační číslo uvedené v úředních záznamech,
v případě fyzické osoby: jméno a příjmení osoby;
soubor dat jednoznačně identifikujících subjekt, kterého se potvrzené atributy týkají; je-li použit pseudonym, musí být tato skutečnost jasně vyznačena;
potvrzený atribut nebo potvrzené atributy a případné informace nezbytné k určení rozsahu těchto atributů;
označení začátku a konce doby platnosti potvrzení;
identifikační číslo potvrzení, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru, a případně označení schématu potvrzování, jehož je potvrzení atributů součástí;
kvalifikovaný elektronický podpis nebo kvalifikovanou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který potvrzení vydává;
údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen kvalifikovaný elektronický podpis nebo kvalifikovaná elektronická pečeť podle písmene g);
informace o platnosti kvalifikovaného potvrzení nebo údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného potvrzení.
PŘÍLOHA VI
MINIMÁLNÍ SEZNAM ATRIBUTŮ
Podle článku 45e členské státy zajistí, aby byla přijata opatření, která kvalifikovaným poskytovatelům služeb vytvářejících důvěru vydávajícím elektronická potvrzení atributů umožní na žádost uživatele ověřit elektronickými prostředky oproti příslušnému autentickému zdroji na vnitrostátní úrovni nebo prostřednictvím určených zprostředkovatelů uznaných na vnitrostátní úrovni v souladu s právem Unie nebo vnitrostátním právem, pokud se tyto atributy opírají o autentické zdroje v rámci veřejného sektoru, pravost následujících atributů:
adresa;
věk;
pohlaví;
rodinný stav;
složení rodiny;
státní příslušnost nebo občanství;
dosažené vzdělání, tituly a osvědčení;
odborná kvalifikace, tituly a osvědčení;
plné moci a pověření k zastupování fyzických nebo právnických osob;
veřejná povolení a osvědčení;
v případě právnických osob: finanční údaje a údaje o společnosti.
PŘÍLOHA VII
POŽADAVKY NA ELEKTRONICKÉ POTVRZENÍ ATRIBUTŮ VYDANÉ VEŘEJNÝM SUBJEKTEM ODPOVĚDNÝM ZA AUTENTICKÝ ZDROJ NEBO JEHO JMÉNEM
Elektronické potvrzení atributů vydané veřejným subjektem odpovědným za autentický zdroj nebo jeho jménem musí obsahovat:
informaci, přinejmenším ve formě vhodné pro automatické zpracování, že potvrzení bylo vydáno jako elektronické potvrzení atributů vydané veřejným subjektem odpovědným za autentický zdroj nebo jeho jménem;
soubor dat jednoznačně identifikujících veřejný subjekt vydávající elektronické potvrzení atributů, včetně alespoň členského státu, v němž je tento veřejný subjekt usazen, a názvu veřejného subjektu a případně registračního čísla uvedeného v úředních záznamech;
soubor dat jednoznačně identifikujících subjekt, kterého se potvrzené atributy týkají; je-li použit pseudonym, musí být tato skutečnost jasně vyznačena;
potvrzený atribut nebo potvrzené atributy a případné informace nezbytné k určení rozsahu těchto atributů;
označení začátku a konce doby platnosti potvrzení;
identifikační číslo potvrzení, které musí být jedinečné pro daný veřejný subjekt, který potvrzení vydává, a případně označení schématu potvrzování, jehož je potvrzení atributů součástí;
kvalifikovaný elektronický podpis nebo kvalifikovanou elektronickou pečeť subjektu, který potvrzení vydává;
údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen kvalifikovaný elektronický podpis nebo kvalifikovaná elektronická pečeť podle písmene g);
informace o platnosti potvrzení nebo údaj o umístění služeb, které lze využít ke zjištění platnosti potvrzení.
( 1 ) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).
( 2 ) Směrnice Evropského parlamentu a Rady 2014/24/EU ze dne 26. února 2014 o zadávání veřejných zakázek a o zrušení směrnice 2004/18/ES (Úř. věst. L 94, 28.3.2014, s. 65).
( 3 ) Směrnice Evropského parlamentu a Rady (EU) 2019/882 ze dne 17. dubna 2019 o požadavcích na přístupnost u výrobků a služeb (Úř. věst. L 151, 7.6.2019, s. 70).
( 4 ) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA (Agentuře Evropské unie pro kybernetickou bezpečnost), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15).
( 5 ) Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (Úř. věst. L 124, 20.5.2003, s. 36).
( 6 ) Nařízení Evropského parlamentu a Rady (EU) 2022/2065 ze dne 19. října 2022 o jednotném trhu digitálních služeb a o změně směrnice 2000/31/ES (nařízení o digitálních službách) (Úř. věst. L 277, 27.10.2022, s. 1).
( 7 ) Nařízení Evropského parlamentu a Rady (EU) 2022/1925 ze dne 14. září 2022 o spravedlivých trzích otevřených hospodářské soutěži v digitálním odvětví a o změně směrnic (EU) 2019/1937 a (EU) 2020/1828 (nařízení o digitálních trzích) (Úř. věst. L 265, 12.10.2022, s. 1).
( 8 ) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 201C/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80).