REGISTAR ZAKONODAVSTVA EU - EU13 Industrijska politika i unutarnje tržište
Službeni link: 32024R1183 verzija: 30.04.2024. na snazi od 20.05.2024.
EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,
uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,
uzimajući u obzir prijedlog Europske komisije,
nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,
uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (1),
uzimajući u obzir mišljenje Odbora regija (2),
u skladu s redovnim zakonodavnim postupkom (3),
budući da:
|
(1) |
U komunikaciji Komisije od 19. veljače 2020. naslovljenoj „Izgradnja digitalne budućnosti Europe” najavljena je revizija Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća (4) radi povećanja njezine djelotvornosti, proširivanja njezinih koristi na privatni sektor i promicanja pouzdanih digitalnih identiteta za sve Europljane. |
|
(2) |
U svojim zaključcima od 1. i 2. listopada 2020. Europsko vijeće pozvalo je Komisiju da predloži izradu okvira na razini Unije za sigurnu javnu elektroničku identifikaciju, uključujući interoperabilne digitalne potpise, kako bi se ljudima pružila kontrola nad vlastitim identitetom i podacima na internetu te kako bi se omogućio pristup javnim, privatnim i prekograničnim digitalnim uslugama. |
|
(3) |
Programom politike za digitalno desetljeće do 2030., uspostavljenim Odlukom (EU) 2022/2481 Europskog parlamenta i Vijeća (5), utvrđuju se opći ciljevi i digitalni ciljevi okvira Unije kojima se do 2030. namjerava dovesti do opće upotrebe pouzdanog, dobrovoljnog digitalnog identiteta pod kontrolom korisnika, koji je priznat u cijeloj Uniji i kojim se svakom korisniku omogućuje da kontrolira svoje podatke u interakcijama na internetu. |
|
(4) |
U „Europskoj deklaraciji o digitalnim pravima i načelima za digitalno desetljeće”, koju su proglasili Europski parlament, Vijeće i Komisija (6) („Deklaracija”), naglašava se pravo svih osoba na pristup digitalnim tehnologijama, proizvodima i uslugama osmišljenima tako da budu sigurni i zaštićeni te da štite privatnost. To uključuje osiguravanje da se svim osobama koje žive u Uniji ponudi pristupačan, siguran i pouzdan digitalni identitet koji omogućuje pristup širokom rasponu usluga na internetu i izvan njega i koji je zaštićen od rizika u području kibernetičke sigurnosti i kibernetičkog kriminala, uključujući povrede podataka i krađu identiteta ili manipulaciju identitetom. U Deklaraciji se navodi i da svatko ima pravo na zaštitu svojih osobnih podataka. To pravo obuhvaća kontrolu nad načinom na koji se ti podaci upotrebljavaju i s kim se dijele. |
|
(5) |
Građani Unije i osobe s boravištem u Uniji trebali bi imati pravo na digitalni identitet koji je isključivo pod njihovom kontrolom i koji im omogućuje da ostvaruju svoja prava u digitalnom okruženju i da sudjeluju u digitalnom gospodarstvu. Kako bi se postigao taj cilj, trebalo bi uspostaviti europski okvir za digitalni identitet kojim bi se građanima Unije i osobama s boravištem u Uniji omogućio pristup javnim i privatnim uslugama na internetu i izvan njega u cijeloj Uniji. |
|
(6) |
Usklađen okvir za digitalni identitet trebao bi doprinijeti stvaranju digitalno integriranije Unije smanjivanjem digitalnih prepreka među državama članicama i osnaživanjem građana Unije i osoba s boravištem u Uniji da uživaju u prednostima digitalizacije, uz istodobno povećanje transparentnosti i zaštite njihovih prava. |
|
(7) |
Usklađenijim pristupom elektroničkoj identifikaciji trebali bi se smanjiti rizici i troškovi postojeće rascjepkanosti uzrokovane upotrebom različitih nacionalnih rješenja ili, u nekim državama članicama, nepostojanjem takvih rješenja za elektroničku identifikaciju. Takvim bi se pristupom trebalo ojačati unutarnje tržište tako što bi se građanima Unije, osobama s boravištem u Uniji, kako su definirane nacionalnim pravom, te poduzećima omogućilo da se identificiraju i osiguraju autentifikaciju svojeg identiteta na internetu i izvan njega na siguran, vjerodostojan, korisnicima prilagođen, praktičan, pristupačan i usklađen način u cijeloj Uniji. Europskom lisnicom za digitalni identitet trebalo bi fizičkim i pravnim osobama u cijeloj Uniji osigurati usklađeno sredstvo elektroničke identifikacije kojim se omogućuju autentifikacija i dijeljenje podataka povezanih s njihovim identitetom. Svatko bi trebao imati mogućnost sigurnog pristupa javnim i privatnim uslugama oslanjanjem na poboljšani ekosustav za usluge povjerenja i na provjerene dokaze identiteta i elektroničke potvrde atributa, kao što su akademske kvalifikacije, uključujući sveučilišne diplome, ili druge obrazovne ili stručne titule. Europskim okvirom za digitalni identitet nastoji se postići pomak tako da se s oslanjanja samo na nacionalna rješenja za digitalni identitet prijeđe na pružanje elektroničkih potvrda atributa koje vrijede i koje su zakonski priznate u cijeloj Uniji. Pružatelji elektroničkih potvrda atributa trebali bi imati koristi od jasnog i jedinstvenog skupa pravila, dok bi se javne uprave trebale moći osloniti na elektroničke dokumente u zadanom formatu. |
|
(8) |
Nekoliko država članica uvelo je i upotrebljava sredstva elektroničke identifikacije koja prihvaćaju pružatelji usluga u Uniji. Osim toga, ulagalo se i u nacionalna i u prekogranična rješenja na temelju Uredbe (EU) br. 910/2014, uključujući interoperabilnost prijavljenih sustava elektroničke identifikacije na temelju te uredbe. Kako bi se osigurala komplementarnost i to da sadašnji korisnici prijavljenih sredstava elektroničke identifikacije brzo prihvate europske lisnice za digitalni identitet te kako bi se učinak na postojeće pružatelje usluga sveo na najmanju moguću mjeru, očekuje se da će se za europske lisnice za digitalni identitet iskoristiti iskustvo stečeno zahvaljujući postojećim sredstvima elektroničke identifikacije te infrastruktura prijavljenih sustava elektroničke identifikacije uvedenih na razini Unije i nacionalnoj razini. |
|
(9) |
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (7) i, prema potrebi, Direktiva 2002/58/EZ Europskog parlamenta i Vijeća (8) primjenjuju se na sve aktivnosti obrade osobnih podataka na temelju Uredbe (EU) br. 910/2014. Rješenja na temelju okvira za interoperabilnost iz ove Uredbe također su u skladu s tim pravilima. Pravom Unije o zaštiti podataka predviđena su načela, kao što su smanjenje količine podataka i ograničavanje svrhe, te obveze, poput tehničke i integrirane zaštite podataka, u području zaštite podataka. |
|
(10) |
Kako bi se poduprlo tržišno natjecanje poduzeća Unije, i pružatelji internetskih usluga i pružatelji usluga izvan interneta trebali bi se moći osloniti na rješenja za digitalni identitet priznata u cijeloj Uniji, bez obzira na državu članicu u kojoj su ta rješenja stavljena na raspolaganje, i tako iskoristiti usklađeni pristup Unije povjerenju, sigurnosti i interoperabilnosti. I korisnici i pružatelji usluga trebali bi moći imati koristi od jednake pravne vrijednosti elektroničke potvrde atributa u cijeloj Uniji. Usklađenim okvirom za digitalni identitet nastoji se ostvariti gospodarska vrijednost olakšavanjem pristupa robi i uslugama te znatnim smanjivanjem operativnih troškova povezanih s postupcima elektroničke identifikacije i autentifikacije, primjerice tijekom uključivanja novih korisnika, kao i smanjivanjem mogućnosti za kibernetički kriminal, kao što su krađa identiteta, krađa podataka i internetske prijevare, čime se promiču povećanje učinkovitosti i sigurna digitalna transformacija mikropoduzeća te malih i srednjih poduzeća (MSP-ovi) u Uniji. |
|
(11) |
Europskim lisnicama za digitalni identitet trebala bi se olakšati primjena načela „samo jednom”, čime bi se smanjilo administrativno opterećenje građana Unije i osoba s boravištem u Uniji te poduzeća diljem Unije i poduprla njihova prekogranična mobilnost te potaknuo razvoj interoperabilnih usluga e-uprave u cijeloj Uniji. |
|
(12) |
Uredba (EU) 2016/679, Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća (9) i Direktiva 2002/58/EZ primjenjuju se na obradu osobnih podataka u provedbi ove Uredbe. Stoga bi se ovom Uredbom trebale utvrditi posebne mjere zaštite kako bi se spriječilo da pružatelji sredstava elektroničke identifikacije i elektroničke potvrde atributa kombiniraju osobne podatke dobivene tijekom pružanja drugih usluga s osobnim podacima obrađenima u svrhu pružanja usluga obuhvaćenih područjem primjene ove Uredbe. Osobni podaci povezani sa stavljanjem na raspolaganje europskih lisnica za digitalni identitet trebali bi se čuvati logički odvojeno od svih ostalih podataka koje čuva pružatelj europske lisnice za digitalni identitet. Ovom se Uredbom pružatelje europskih lisnica za digitalni identitet ne bi trebalo sprečavati da primijene dodatne tehničke mjere kojima se doprinosi zaštiti osobnih podataka, kao što je fizičko odvajanje osobnih podataka povezanih sa stavljanjem na raspolaganje europskih lisnica za digitalni identitet od bilo kojih drugih podataka koje pružatelj čuva. Ne dovodeći u pitanje Uredbu (EU) 2016/679, ovom se Uredbom pobliže utvrđuje primjena načela ograničavanja svrhe, smanjenja količine podataka te tehničke i integrirane zaštite podataka. |
|
(13) |
Europske lisnice za digitalni identitet trebale bi imati ugrađenu zajedničku kontrolnu ploču kako bi se osigurao viši stupanj transparentnosti, privatnosti i kontrole korisnika nad njihovim osobnim podacima. Ta bi funkcija trebala omogućiti jednostavno sučelje prilagođeno korisnicima, s pregledom svih pouzdajućih strana s kojima korisnik dijeli podatke, uključujući atribute te vrstu podataka koji se dijele sa svakom pouzdajućom stranom. Trebala bi omogućiti korisnicima da prate sve transakcije izvršene preko europske lisnice za digitalni identitet, uz barem sljedeće podatke: vrijeme i datum transakcije, identifikaciju druge strane, tražene osobne podatke i dijeljene podatke. Te bi informacije trebale biti pohranjene čak i u slučaju kada transakcija nije zaključena. Ne bi smjelo biti moguće osporiti autentičnost informacija sadržanih u povijesti transakcije. Takva funkcija trebala bi biti automatski aktivna. Njome bi se korisnicima trebalo omogućiti da na jednostavan način zatraže da pouzdana strana trenutačno izbriše osobne podatke na temelju članka 17. Uredbe (EU) 2016/679 i da na jednostavan način nadležnom nacionalnom tijelu za zaštitu podataka prijave pouzdajuću stranu ako prime navodno nezakonit ili sumnjiv zahtjev za osobnim podacima, i to izravno putem europske lisnice za digitalni identitet. |
|
(14) |
Države članice trebale bi u europsku lisnicu za digitalni identitet integrirati različite tehnike za zaštitu privatnosti, kao što je dokaz nultog znanja. Te kriptografske metode trebale bi pouzdajućoj strani omogućiti da validira je li određena izjava koja se temelji na identifikacijskim podacima osobe i potvrdi atributa istinita, a da se pritom ne otkriju podaci na kojima se ta izjava temelji, čime se štiti privatnost korisnika. |
|
(15) |
Ovom Uredbom utvrđuju se usklađeni uvjeti za uspostavu okvira za europske lisnice za digitalni identitet koje na raspolaganje trebaju staviti države članice. Svi građani Unije i osobe s boravištem u Uniji, kako su definirane nacionalnim pravom, trebali bi biti ovlašteni da na siguran način zatraže, odabiru, kombiniraju, pohranjuju, brišu, dijele i predstavljaju podatke povezane s njihovim identitetom te zatraže brisanje svojih osobnih podataka na korisnicima prilagođen i praktičan način, pod isključivom kontrolom korisnika, uz istodobno omogućivanje selektivnog otkrivanja osobnih podataka. Ova Uredba odražava zajedničke europske vrijednosti i njome se poštuju temeljna prava, pravne zaštitne mjere i odgovornost, čime se štite demokratska društva, građani Unije i osobe s boravištem u Uniji. Trebalo bi razvijati tehnologije koje se koriste za ostvarivanje tih ciljeva kako bi se postigla najviša razina sigurnosti, privatnosti, praktičnosti za korisnike, pristupačnosti, široke upotrebljivosti i neometane interoperabilnosti. Države članice trebale bi osigurati jednak pristup elektroničkoj identifikaciji za sve svoje građane i osobe s boravištem u njima. Države članice ne bi smjele izravno ni neizravno ograničavati pristup javnim ili privatnim uslugama za fizičke ili pravne osobe koje se ne odluče za upotrebu europskih lisnica za digitalni identitet i trebale bi staviti na raspolaganje odgovarajuća alternativna rješenja. |
|
(16) |
Države članice trebale bi se osloniti na mogućnosti koje nudi ova Uredba za stavljanje na raspolaganje, pod svojom odgovornošću, europskih lisnica za digitalni identitet kako bi ih mogle upotrebljavati fizičke i pravne osobe s boravištem na njihovu državnom području. Kako bi se državama članicama omogućila fleksibilnost te kako bi se iskoristila najnovija tehnologija, ovom bi Uredbom trebalo omogućiti stavljanje na raspolaganje europskih lisnica za digitalni identitet tako da ih na raspolaganje stavlja izravno država članica, da se stavljaju na raspolaganje na temelju ovlasti koju daje država članica ili da se stavljaju na raspolaganje neovisno o državi članici, ali tako da ih ta država članica priznaje. |
|
(17) |
Pouzdajuće strane trebale bi za potrebe registracije pružiti informacije potrebne za svoju elektroničku identifikaciju i autentifikaciju u pogledu europskih lisnica za digitalni identitet. Pri izjavi o svojoj predviđenoj upotrebi europske lisnice za digitalni identitet pouzdajuće strane trebale bi pružiti informacije o podacima koje će zatražiti, ako postoje, za potrebe pružanja svojih usluga i razlog za taj zahtjev. Registracija pouzdajuće strane državama članicama olakšava provjeru u pogledu zakonitosti aktivnosti pouzdajućih strana u skladu s pravom Unije. Obvezom registracije predviđenom u ovoj Uredbi ne bi se trebale dovoditi u pitanje obveze utvrđene u drugom pravu Unije ili nacionalnom pravu, kao što su informacije koje treba pružiti ispitanicima na temelju Uredbe (EU) 2016/679. Pouzdajuće strane trebale bi poštovati zaštitne mjere predviđene člancima 35. i 36. te uredbe, posebno tako da provode procjene učinka na zaštitu podataka i da se savjetuju s nadležnim tijelima za zaštitu podataka prije obrade podataka ako procjene učinka na zaštitu podataka upućuju na to da bi obrada dovela do visokog rizika. Takvim bi se zaštitnim mjerama trebala podupirati zakonita obrada osobnih podataka koju provode pouzdajuće strane, posebno u pogledu posebnih kategorija podataka, kao što su zdravstveni podaci. Cilj je registracije pouzdajućih strana povećati transparentnost i povjerenje u upotrebu europskih lisnica za digitalni identitet. Registracija bi trebala biti troškovno učinkovita i razmjerna povezanim rizicima kako bi se osiguralo prihvaćanje među pružateljima usluga. U tom bi se kontekstu registracijom trebala predvidjeti primjena automatiziranih postupaka, uključujući oslanjanje na postojeće registre u državama članicama i njihovu upotrebu, te njome ne bi trebao biti obuhvaćen postupak prethodnog odobrenja. Postupak registracije trebao bi omogućiti različite primjere upotrebe, koji se mogu razlikovati u pogledu načina rada – na internetu ili izvanmrežno, ili u pogledu zahtjeva za autentifikacijom uređaja za potrebe povezivanja s europskom lisnicom za digitalni identitet. Registracija bi se trebala primjenjivati isključivo na pouzdajuće strane koje pružaju usluge putem digitalne interakcije. |
|
(18) |
Zaštita građana Unije i osoba s boravištem u Uniji od neovlaštene ili prijevarne upotrebe europskih lisnica za digitalni identitet od velike je važnosti za osiguravanje povjerenja u europske lisnice za digitalni identitet i za njihovo široko prihvaćanje. Korisnike bi trebalo djelotvorno zaštititi od takve zloupotrebe. Osobito, ako nacionalno pravosudno tijelo u okviru drugog postupka utvrdi činjenice koje čine osnovu za prijevarnu ili na drugi način nezakonitu upotrebu europske lisnice za digitalni identitet, nadzorna tijela odgovorna za izdavatelje europske lisnice za digitalni identitet trebala bi nakon prijave poduzeti potrebne mjere kako bi osigurala da se registracija pouzdajuće strane i uključenost pouzdajućih strana u mehanizam autentifikacije povuku ili suspendiraju dok tijelo koje provodi prijavljivanje ne potvrdi da su utvrđene nepravilnosti otklonjene. |
|
(19) |
Sve europske lisnice za digitalni identitet trebale bi korisnicima omogućiti da se elektronički identificiraju i izvrše autentifikaciju na internetu i u izvanmrežnom načinu rada radi pristupa širokom spektru javnih i privatnih usluga. Ne dovodeći u pitanje ovlasti država članica s obzirom na identifikaciju njihovih građana i osoba s boravištem u njima, europske lisnice za digitalni identitet mogu služiti i institucionalnim potrebama javnih uprava, međunarodnih organizacija te institucija, tijela, ureda i agencija Unije. Autentifikacija u izvanmrežnom načinu rada bila bi važna u mnogim sektorima, uključujući zdravstveni sektor, u kojem se usluge često pružaju u izravnoj interakciji te bi se e-recepti trebali moći osloniti na QR-kodove ili slične tehnologije za provjeru autentičnosti. Oslanjajući se na visoku razinu osiguranja identiteta u pogledu sustava elektroničke identifikacije, europskim lisnicama za digitalni identitet trebao bi se iskoristiti potencijal koji nude rješenja zaštićena od neovlaštenih manipulacija, kao što su sigurnosni elementi, kako bi se ispunili sigurnosni zahtjevi iz ove Uredbe. Europske lisnice za digitalni identitet trebale bi ujedno korisnicima omogućiti stvaranje i upotrebu kvalificiranih elektroničkih potpisa i pečata koji su prihvaćeni u cijeloj Uniji. Nakon što se uključe u europsku lisnicu za digitalni identitet, fizičke osobe trebale bi je moći upotrebljavati za potpisivanje kvalificiranim elektroničkim potpisima, automatski i besplatno, bez ikakvih dodatnih administrativnih postupaka. Korisnici bi trebali moći potpisati ili pečatirati samodeklarirane izjave ili atribute. Da bi osobe i poduzeća imale koristi od pojednostavnjenja i smanjenja troškova u cijeloj Uniji, među ostalim omogućivanjem ovlasti za zastupanje i e-mandata, države članice trebale bi stavljati na raspolaganje europske lisnice za digitalni identitet koje se temelje na zajedničkim normama i tehničkim specifikacijama kako bi se osigurala neometana interoperabilnost i na odgovarajući način povećale IT sigurnost i otpornost na kibernetičke napade i tako znatno smanjili potencijalni rizici aktualne digitalizacije za građane Unije, osobe s boravištem u Uniji i poduzeća. Samo nadležna tijela država članica mogu s visokom razinom pouzdanosti utvrditi identitet osobe, pa se u njih moguće pouzdati da je osoba koja tvrdi da je određeni identitet njezin doista ta osoba. Stoga je potrebno da se stavljanje na raspolaganje europskih lisnica za digitalni identitet oslanja na pravni identitet građana Unije, osoba s boravištem u Uniji ili pravnih osoba. Oslanjanje na pravni identitet ne bi trebalo sprečavati korisnike europske lisnice za digitalni identitet u pristupu uslugama upotrebom pseudonima ako ne postoji pravni zahtjev da se za autentifikaciju upotrebljava pravni identitet. Povjerenje u europske lisnice za digitalni identitet povećalo bi se kad bi izdavatelji i upravitelji bili dužni provoditi odgovarajuće tehničke i organizacijske mjere za osiguravanje najviše razine sigurnosti koja je razmjerna rizicima za prava i slobode fizičkih osoba, u skladu s Uredbom (EU) 2016/679. |
|
(20) |
Upotreba kvalificiranog elektroničkog potpisa u neprofesionalne svrhe trebala bi biti besplatna za sve fizičke osobe. Države članice trebale bi moći predvidjeti mjere za sprečavanje fizičkih osoba da kvalificirane elektroničke potpise besplatno upotrebljavaju u profesionalne svrhe, osiguravajući pritom da sve takve mjere budu razmjerne utvrđenim rizicima i opravdane. |
|
(21) |
Korisno je olakšati prihvaćanje i upotrebu europskih lisnica za digitalni identitet putem njihove neometane integracije u ekosustav javnih i privatnih digitalnih usluga koji već postoji na nacionalnoj, lokalnoj ili regionalnoj razini. Kako bi se postigao taj cilj, države članice trebale bi moći predvidjeti pravne i organizacijske mjere da bi se povećala fleksibilnost za pružatelje europskih lisnica za digitalni identitet i da bi se omogućile dodatne funkcije europskih lisnica za digitalni identitet, uz one predviđene u ovoj Uredbi, među ostalim većom interoperabilnošću s postojećim nacionalnim sredstvima elektroničke identifikacije. Takve dodatne funkcije ni u kom slučaju ne bi smjele biti na štetu pružanja osnovnih funkcija europskih lisnica za digitalni identitet predviđenih u ovoj Uredbi niti bi smjele služiti promicanju postojećih nacionalnih rješenja nauštrb europskih lisnica za digitalni identitet. S obzirom na to da takve dodatne funkcije nadilaze ovu Uredbu, ne koriste im odredbe o prekograničnom oslanjanju na europske lisnice za digitalni identitet utvrđene u ovoj Uredbi. |
|
(22) |
Europske lisnice za digitalni identitet trebale bi uključivati funkciju za generiranje pseudonima koje su odabrali i kojima upravljaju korisnici te za autentifikaciju pri pristupu internetskim uslugama. |
|
(23) |
Kako bi se postigla visoka razina sigurnosti i vjerodostojnosti, ovom se Uredbom utvrđuju zahtjevi za europske lisnice za digitalni identitet. Akreditirana tijela za ocjenjivanje sukladnosti koja imenuju države članice trebala bi certificirati sukladnost europskih lisnica za digitalni identitet s tim zahtjevima. |
|
(24) |
Kako bi se izbjegli različiti pristupi i uskladila provedba zahtjeva utvrđenih ovom Uredbom, Komisija bi u svrhu certificiranja europskih lisnica za digitalni identitet trebala donijeti provedbene akte radi utvrđivanja popisa referentnih normi i, ako je potrebno, utvrđivanja specifikacija i postupaka u svrhu oblikovanja detaljnih tehničkih specifikacija tih zahtjeva. U mjeri u kojoj certifikacija sukladnosti europskih lisnica za digitalni identitet s relevantnim kibernetičkim sigurnosnim zahtjevima nije obuhvaćena postojećim programima kibernetičke sigurnosne certifikacije iz ove Uredbe te u pogledu zahtjeva koji nisu povezani s kibernetičkom sigurnošću, a koji su relevantni za europske lisnice za digitalni identitet, države članice trebale bi uspostaviti nacionalne programe certifikacije na temelju usklađenih zahtjeva utvrđenih u ovoj Uredbi i donesenih na temelju nje. Države članice trebale bi dostavljati nacrte svojih nacionalnih programa certifikacije Europskoj skupini za suradnju u području digitalnog identiteta, koja bi trebala moći davati mišljenja i preporuke. |
|
(25) |
Certifikacija sukladnosti s kibernetičkim sigurnosnim zahtjevima utvrđenima u ovoj Uredbi trebala bi se, ako je to moguće, oslanjati na relevantne europske programe kibernetičke sigurnosne certifikacije uspostavljene na temelju Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća (10) kojom se uspostavlja dobrovoljni europski okvir za kibernetičku sigurnosnu certifikaciju IKT proizvoda, procesa i usluga. |
|
(26) |
Kako bi se kontinuirano procjenjivali i ublažavali rizici povezani sa sigurnošću, certificirane europske lisnice za digitalni identitet trebale bi podlijegati redovitim procjenama ranjivosti kako bi se otkrile sve ranjivosti certificiranih komponenata europske lisnice za digitalni identitet povezanih s proizvodima, procesima i uslugama. |
|
(27) |
Štiteći korisnike i poduzeća od rizika u području kibernetičke sigurnosti, ključni kibernetički sigurnosni zahtjevi utvrđeni u ovoj Uredbi također doprinose unapređenju zaštite osobnih podataka i privatnosti pojedinaca. Trebalo bi razmotriti sinergiju u području normizacije i certifikacije s obzirom na aspekte u vezi s kibernetičkom sigurnošću u okviru suradnje Komisije, europskih organizacija za normizaciju, Agencije Europske unije za kibersigurnost (ENISA), Europskog odbora za zaštitu podataka uspostavljenog Uredbom (EU) 2016/679 i nacionalnih nadzornih tijela za zaštitu podataka. |
|
(28) |
Uključivanje građana Unije i osoba s boravištem u Uniji u europsku lisnicu za digitalni identitet trebalo bi olakšati oslanjanjem na sredstva elektroničke identifikacije izdana uz visoku razinu osiguranja identiteta. Na sredstva elektroničke identifikacije izdana uz značajnu razinu osiguranja identiteta trebalo bi se oslanjati samo ako usklađene tehničke specifikacije i postupci koji upotrebljavaju sredstva elektroničke identifikacije izdana uz značajnu razinu osiguranja identiteta u kombinaciji s dodatnim sredstvima provjere identiteta budu omogućivali ispunjavanje zahtjeva utvrđenih u ovoj Uredbi u pogledu visoke razine osiguranja identiteta. Takva dodatna sredstva trebala bi biti pouzdana i jednostavna za upotrebu, a mogla bi se temeljiti na mogućnosti upotrebe postupaka uključivanja na daljinu, kvalificiranih certifikata potkrijepljenih kvalificiranim elektroničkim potpisima, kvalificirane elektroničke potvrde atributa ili kombinacije tih postupaka. Kako bi se osiguralo dostatno prihvaćanje europskih lisnica za digitalni identitet, u provedbenim aktima trebalo bi utvrditi usklađene tehničke specifikacije i postupke za uključivanje korisnika upotrebom sredstava elektroničke identifikacije, uključujući sredstva izdana uz značajnu razinu osiguranja identiteta. |
|
(29) |
Cilj je ove Uredbe korisnicima pružiti potpuno mobilnu, sigurnu i njima prilagođenu europsku lisnicu za digitalni identitet. Kao prijelazna mjera dok ne budu dostupna certificirana rješenja kojima se onemogućuju neovlaštene manipulacije, kao što su sigurnosni elementi u korisničkim uređajima, europske lisnice za digitalni identitet trebale bi se moći osloniti na certificirane vanjske sigurnosne elemente za zaštitu kriptografskog materijala i drugih osjetljivih podataka ili na prijavljena sredstva elektroničke identifikacije s visokom razinom osiguranja identiteta kako bi dokazale usklađenost s relevantnim zahtjevima iz ove Uredbe u pogledu razine osiguranja identiteta europske lisnice za digitalni identitet. Ovom se Uredbom ne bi trebali dovoditi u pitanje nacionalni uvjeti u odnosu na izdavanje i upotrebu certificiranog vanjskog sigurnosnog elementa ako prijelazna mjera ovisi o njemu. |
|
(30) |
Europske lisnice za digitalni identitet trebale bi osigurati najvišu razinu zaštite i sigurnosti podataka u svrhu elektroničke identifikacije i autentifikacije kako bi se olakšao pristup javnim i privatnim uslugama, bez obzira na to pohranjuju li se takvi podaci lokalno ili u rješenjima koja se temelje na računalstvu u oblaku, uzimajući na odgovarajući način u obzir različite razine rizika. |
|
(31) |
Europske lisnice za digitalni identitet trebale bi imati integriranu sigurnost i trebale bi uvesti napredne sigurnosne značajke za zaštitu od krađe identiteta i drugih podataka, uskraćivanja usluge i svih drugih kibernetičkih prijetnji. Takva bi sigurnost trebala uključivati najsuvremenije metode kriptiranja i pohrane koje su dostupne samo korisniku i koje može dekriptirati samo korisnik te koje se oslanjaju na prolazno kriptiranu komunikaciju s drugim europskim lisnicama za digitalni identitet i pouzdajućim stranama. Osim toga, europske lisnice za digitalni identitet trebale bi zahtijevati sigurnu, izričitu i aktivnu potvrdu korisnika za operacije koje se provode putem europskih lisnica za digitalni identitet. |
|
(32) |
Besplatna upotreba europskih lisnica za digitalni identitet ne bi trebala dovesti do obrade podataka koja nadilazi podatke koji su potrebni za pružanje usluga europske lisnice za digitalni identitet. Ovom Uredbom ne bi trebalo dopustiti da pružatelj europske lisnice za digitalni identitet obrađuje osobne podatke koji su pohranjeni u europskoj lisnici za digitalni identitet ili koji su rezultat upotrebe europske lisnice za digitalni identitet u svrhe koje nisu pružanje usluga europske lisnice za digitalni identitet. Kako bi se osigurala privatnost, pružatelji europskih lisnica za digitalni identitet trebali bi osigurati nevidljivost tako da ne prikupljaju podatke i nemaju uvid u transakcije korisnika europske lisnice za digitalni identitet. Takva nevidljivost znači da pružatelji usluga ne mogu vidjeti pojedinosti o transakcijama koje je izvršio korisnik. Međutim, u posebnim slučajevima na temelju prethodne izričite privole korisnika u svakom od tih posebnih slučajeva i potpuno u skladu s Uredbom (EU) 2016/679, pružateljima europskih lisnica za digitalni identitet mogao bi se odobriti pristup informacijama potrebnima za pružanje određene usluge povezane s europskim lisnicama za digitalni identitet. |
|
(33) |
Transparentnost europskih lisnica za digitalni identitet i odgovornost njihovih pružatelja ključni su elementi za izgradnju društvenog povjerenja i poticanje prihvaćanja tog okvira. Funkcioniranje europskih lisnica za digitalni identitet trebalo bi stoga biti transparentno, a osobito bi trebalo omogućivati provjerljivu obradu osobnih podataka. Kako bi se to postiglo, države članice trebale bi otkriti izvorni kod softverskih komponenata korisničke aplikacije za europske lisnice za digitalni identitet, među ostalim onih koje su povezane s obradom osobnih podataka i podataka pravnih osoba. Objava tog izvornog koda na temelju licencije za softver otvorenog koda trebala bi omogućiti društvu, uključujući korisnike i programere, da razumije njegov rad te da taj kod revidira i pregledava. Time bi se povećalo povjerenje korisnika u ekosustav i doprinijelo sigurnosti europske lisnice za digitalni identitet tako što bi se svima omogućilo da prijave ranjivosti i pogreške u kodu. Time bi se općenito dobavljačima dao poticaj za isporuku i održavanje vrlo sigurnog proizvoda. Međutim, u određenim slučajevima države članice mogle bi ograničiti otkrivanje izvornog koda za korištene programske biblioteke, komunikacijske kanale ili druge elemente koji nisu smješteni na korisničkom uređaju zbog opravdanih razloga, posebno u svrhu javne sigurnosti. |
|
(34) |
Upotreba europskih lisnica za digitalni identitet i prestanak njihove upotrebe trebali bi biti isključivo pravo i izbor korisnika. Države članice trebale bi razviti jednostavne i sigurne postupke kojima bi korisnici mogli zatražiti trenutačan opoziv valjanosti europskih lisnica za digitalni identitet, među ostalim u slučaju gubitka ili krađe. Nakon smrti korisnika ili prestanka aktivnosti pravne osobe trebalo bi uspostaviti mehanizam kojim se tijelu odgovornom za uređivanje nasljedstva fizičke osobe ili imovine pravne osobe omogućuje da zatraži trenutačni opoziv europskih lisnica za digitalni identitet. |
|
(35) |
Kako bi se promicalo prihvaćanje europskih lisnica za digitalni identitet i šira upotreba digitalnih identiteta, države članice trebale bi ne samo promicati prednosti relevantnih usluga, nego bi također trebale u suradnji s privatnim sektorom, istraživačima i akademskom zajednicom razvijati programe osposobljavanja usmjerene na jačanje digitalnih vještina svojih građana i osoba s boravištem u njima, posebno ranjivih skupina kao što su osobe s invaliditetom i starije osobe. Države članice trebale bi i komunikacijskim kampanjama podizati svijest o prednostima i rizicima koje sa sobom nose europske lisnice za digitalni identitet. |
|
(36) |
Kako bi se osiguralo da europski okvir za digitalni identitet bude otvoren za inovacije i tehnološki razvoj te da bude otporan na buduće promjene, države članice zajednički se potiče da uspostave izolirana okruženja za testiranje inovativnih rješenja u kontroliranom i sigurnom okruženju, posebno radi unapređivanja funkcionalnosti, zaštite osobnih podataka, sigurnosti i interoperabilnosti rješenja te za informiranje o budućim ažuriranjima tehničkih upućivanja i pravnih zahtjeva. To okruženje trebalo bi poticati uključivanje MSP-ova, start-up poduzeća i pojedinačnih inovatora i istraživača, kao i relevantnih dionika iz industrije. Takve inicijative trebale bi doprinijeti regulatornoj usklađenosti i tehničkoj otpornosti europskih lisnica za digitalni identitet, koje će se pružati građanima Unije i osobama s boravištem u Uniji, te bi trebale ojačati tu usklađenost i otpornost, čime bi se spriječio razvoj rješenja koja nisu u skladu s pravom Unije o zaštiti podataka ili koja su izložena sigurnosnim ranjivostima. |
|
(37) |
Uredbom (EU) 2019/1157 Europskog parlamenta i Vijeća (11) jača se sigurnost osobnih iskaznica s pomoću poboljšanih sigurnosnih obilježja do kolovoza 2021. Države članice trebale bi razmotriti izvedivost njihova prijavljivanja u okviru sustava elektroničke identifikacije kako bi se proširila prekogranična dostupnost sredstava elektroničke identifikacije. |
|
(38) |
Postupak prijave sustavâ elektroničke identifikacije trebalo bi pojednostavniti i ubrzati kako bi se promicao pristup praktičnim, pouzdanim, sigurnim i inovativnim rješenjima za autentifikaciju i identifikaciju i, prema potrebi, kako bi se poticalo privatne pružatelje identiteta da nude sustave elektroničke identifikacije tijelima država članica za prijavu kao nacionalne sustave elektroničke identifikacije u skladu s Uredbom (EU) br. 910/2014. |
|
(39) |
Pojednostavnjivanjem postojećih postupaka prijave i istorazinskog ocjenjivanja spriječit će se heterogeni pristupi ocjenjivanju različitih prijavljenih sustava elektroničke identifikacije i olakšati izgradnja povjerenja među državama članicama. Novi, pojednostavnjeni mehanizmi namijenjeni su poticanju suradnje država članica u području sigurnosti i interoperabilnosti njihovih prijavljenih sustava elektroničke identifikacije. |
|
(40) |
Države članice trebale bi iskoristiti nove, fleksibilne alate kako bi se osigurala usklađenost sa zahtjevima iz ove Uredbe i relevantnih provedbenih akata donesenih na temelju nje. Ovom bi Uredbom državama članicama trebalo omogućiti da upotrebljavaju izvješća i ocjene, koje provode akreditirana tijela za ocjenjivanje sukladnosti, kako je predviđeno u okviru programa certifikacije koje treba uspostaviti na razini Unije na temelju Uredbe (EU) 2019/881, u svrhu podupiranja njihovih zahtjeva u vezi s usklađivanjem programa ili dijelova tih programa s Uredbom (EU) br. 910/2014. |
|
(41) |
Pružatelji javnih usluga upotrebljavaju osobne identifikacijske podatke kojima raspolažu sredstva elektroničke identifikacije na temelju Uredbe (EU) br. 910/2014 kako bi se elektronički identiteti korisnika iz drugih država članica povezali s osobnim identifikacijskim podacima tih korisnika u državi članici koja provodi postupak prekograničnog potvrđivanja identiteta. Međutim, u mnogim su slučajevima unatoč upotrebi minimalnog skupa podataka koji se pruža u okviru prijavljenih sustava elektroničke identifikacije, za osiguravanje točnog potvrđivanja identiteta kada države članice djeluju kao pouzdajuće strane potrebne dodatne informacije o korisniku i posebni komplementarni jedinstveni postupci identifikacije koje treba provesti na nacionalnoj razini. Kako bi se dodatno poduprla upotrebljivost sredstava elektroničke identifikacije, pružile bolje internetske javne usluge i povećala pravna sigurnost u pogledu elektroničkog identiteta korisnika, Uredbom (EU) br. 910/2014 od država članica trebalo bi zahtijevati da poduzmu posebne mjere na internetu kako bi se osiguralo nedvosmisleno potvrđivanje identiteta kada korisnici namjeravaju pristupiti prekograničnim javnim uslugama na internetu. |
|
(42) |
Pri osmišljavanju europskih lisnica za digitalni identitet ključno je u obzir uzeti potrebe korisnika. Na raspolaganju bi trebali biti smisleni slučajevi upotrebe i internetske usluge koje se oslanjaju na europske lisnice za digitalni identitet. Radi praktičnosti za korisnike i kako bi se osigurala prekogranična dostupnost takvih usluga, važno je poduzeti mjere za olakšavanje sličnog pristupa osmišljavanju, razvoju i uvođenju internetskih usluga u svim državama članicama. Neobvezujuće smjernice o tome kako osmisliti, razviti i uvesti internetske usluge koje se oslanjaju na europske lisnice za digitalni identitet mogle bi postati koristan alat za postizanje tog cilja. Takve bi smjernice trebalo izraditi uzimajući u obzir okvir Unije za interoperabilnost. Države članice trebale bi imati glavnu ulogu u donošenju tih smjernica. |
|
(43) |
U skladu s Direktivom (EU) 2019/882 Europskog parlamenta i Vijeća (12) osobe s invaliditetom trebale bi moći upotrebljavati europske lisnice za digitalni identitet, usluge povjerenja i proizvode krajnjih korisnika koji se upotrebljavaju u pružanju tih usluga na ravnopravnoj osnovi s ostalim korisnicima. |
|
(44) |
Kako bi se osigurala djelotvorna provedba ove Uredbe, trebalo bi utvrditi minimalni iznos najviših upravnih novčanih kazni za kvalificirane i za nekvalificirane pružatelje usluga povjerenja. Države članice trebale bi predvidjeti učinkovite, proporcionalne i odvraćajuće sankcije. Pri određivanju sankcija trebalo bi na odgovarajući način uzeti u obzir veličinu zahvaćenih subjekata, njihove poslovne modele i ozbiljnost kršenja. |
|
(45) |
Države članice trebale bi utvrditi pravila o sankcijama za kršenja kao što su izravna ili neizravna praksa koja dovodi do zabune oko toga koje su usluge povjerenja nekvalificirane, a koje kvalificirane, ili do zloupotrebe EU znaka pouzdanosti od strane nekvalificiranih pružatelja usluga povjerenja. EU znak pouzdanosti ne bi se trebao upotrebljavati pod uvjetima koji izravno ili neizravno dovode do percepcije da su nekvalificirane usluge povjerenja koje nude ti pružatelji kvalificirane. |
|
(46) |
Ova Uredba ne bi se trebala odnositi na sklapanje i valjanost ugovorâ ili druge pravne obveze ako postoje zahtjevi u pogledu oblika utvrđeni pravom Unije ili nacionalnim pravom. Osim toga, ona ne bi trebala utjecati na nacionalne zahtjeve u pogledu oblika koji vrijede za javne registre, a posebno trgovačke registre i zemljišne knjige. |
|
(47) |
Pružanje i upotreba usluga povjerenja te koristi u smislu praktičnosti i pravne sigurnosti u kontekstu prekograničnih transakcija, posebno kada se upotrebljavaju kvalificirane usluge povjerenja, postaju sve važniji za međunarodnu trgovinu i suradnju. Međunarodni partneri Unije uspostavljaju okvire povjerenja po uzoru na Uredbu (EU) br. 910/2014. Kako bi se olakšalo priznavanje kvalificiranih usluga povjerenja i njihovih pružatelja, Komisija može donijeti provedbene akte kako bi utvrdila uvjete pod kojima bi se okviri povjerenja trećih zemalja mogli smatrati jednakovrijednima okviru povjerenja za kvalificirane usluge povjerenja i kvalificirane pružatelje usluga povjerenja iz ove Uredbe. Takvim bi se pristupom trebala dopuniti mogućnost uzajamnog priznavanja usluga povjerenja i pružatelja usluga povjerenja s poslovnim nastanom u Uniji i u trećim zemljama u skladu s člankom 218. Ugovora o funkcioniranju Europske unije (UFEU). Pri utvrđivanju uvjeta pod kojima bi se okviri povjerenja trećih zemalja mogli smatrati jednakovrijednima okviru povjerenja za kvalificirane usluge povjerenja i kvalificirane pružatelje usluga povjerenja na temelju Uredbe (EU) br. 910/2014 trebalo bi osigurati usklađenost s relevantnim odredbama Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća (13) i Uredbe (EU) 2016/679, kao i upotrebu pouzdanih popisa kao ključnih elemenata za izgradnju povjerenja. |
|
(48) |
Ovom bi se Uredbom trebao poticati odabir i mogućnost prelaska s jedne europske lisnice za digitalni identitet na drugu ako je država članica na svojem državnom području podržala više od jednog rješenja za europske lisnice za digitalni identitet. Kako bi se u takvim situacijama izbjegli učinci ovisnosti i ako je to tehnički izvedivo, pružatelji europskih lisnica za digitalni identitet trebali bi osigurati učinkovitu prenosivost podataka na zahtjev korisnika europske lisnice za digitalni identitet i ne bi im se smjelo dopustiti da se služe ugovornim, ekonomskim ili tehničkim preprekama za sprečavanje ili odvraćanje od učinkovitog prelaska s jedne europske lisnice za digitalni identitet na drugu. |
|
(49) |
Kako bi se osiguralo pravilno funkcioniranje europskih lisnica za digitalni identitet, pružateljima europskih lisnica za digitalni identitet potrebni su učinkovita interoperabilnost te pošteni, razumni i nediskriminirajući uvjeti kako bi europske lisnice za digitalni identitet mogle pristupiti posebnim hardverskim i softverskim značajkama mobilnih uređaja. Te komponente mogle bi posebno uključivati antene za komunikaciju bliskog polja i sigurnosne elemente, uključujući univerzalne kartice s integriranim sklopovima, ugrađene sigurnosne elemente, kartice mikroSD i Bluetooth niske razine energije (engl. Bluetooth Low Energy). Pristup tim komponentama mogao bi biti pod nadzorom operatora pokretnih mreža i proizvođača opreme. Stoga, ako je to potrebno za pružanje usluga europskih lisnica za digitalni identitet, proizvođači originalne opreme mobilnih uređaja ili pružatelji elektroničkih komunikacijskih usluga ne bi smjeli odbiti pristup takvim komponentama. Osim toga, poduzetnici za koje je utvrđen status nadzornika pristupa za osnovne usluge platforme kako ih je navela Komisija na temelju Uredbe (EU) 2022/1925 Europskog parlamenta i Vijeća (14) trebali bi i dalje podlijegati posebnim odredbama te uredbe na temelju njezina članka 6. stavka 7. |
|
(50) |
Kako bi se pojednostavnile kibernetičke sigurnosne obveze uvedene pružateljima usluga povjerenja te kako bi se omogućilo tim pružateljima usluga i njihovim odgovarajućim nadležnim tijelima da iskoriste pravni okvir utvrđen Direktivom (EU) 2022/2555, za usluge povjerenja potrebno je poduzeti odgovarajuće tehničke i organizacijske mjere na temelju te direktive, kao što su mjere za rješavanje kvarova sustava, ljudskih pogrešaka, štetnih radnji ili prirodnih pojava radi upravljanja rizicima koje oni predstavljaju za sigurnost mrežnih i informacijskih sustava koje ti pružatelji upotrebljavaju pri pružanju svojih usluga, kao i za prijavljivanje značajnih incidenata i kibernetičkih prijetnji u skladu s tom direktivom. Kad je riječ o prijavljivanju incidenata, pružatelji usluga povjerenja trebali bi prijaviti sve incidente koji imaju značajan učinak na pružanje njihovih usluga, uključujući one uzrokovane krađom ili gubitkom uređaja, oštećenje mrežnog kabela ili incidente koji se dogode u kontekstu identifikacije osoba. Zahtjevi u pogledu upravljanja rizicima u području kibernetičke sigurnosti i obveze izvješćivanja na temelju Direktive (EU) 2022/2555 trebali bi se smatrati nadopunama zahtjeva uvedenih pružateljima usluga povjerenja na temelju ove Uredbe. Nadležna tijela imenovana na temelju Direktive (EU) 2022/2555 trebala bi prema potrebi i dalje primjenjivati utvrđene nacionalne prakse ili smjernice povezane s ispunjavanjem zahtjeva u pogledu sigurnosti i izvješćivanja te nadzirati poštovanje tih zahtjeva na temelju Uredbe (EU) br. 910/2014. Ova Uredba ne utječe na obvezu prijavljivanja povreda osobnih podataka na temelju Uredbe (EU) 2016/679. |
|
(51) |
Trebalo bi primjereno razmotriti osiguravanje učinkovite suradnje između nadzornih tijela imenovanih na temelju članka 46.b Uredbe (EU) br. 910/2014 i nadležnih tijela imenovanih ili uspostavljenih na temelju članka 8. stavka 1. Direktive (EU) 2022/2555. Ako se takvo nadzorno tijelo razlikuje od takvog nadležnog tijela, ona bi trebala pravodobno blisko surađivati razmjenom relevantnih informacija kako bi se osigurao učinkovit nadzor i usklađenost pružatelja usluga povjerenja sa zahtjevima iz Uredbe (EU) br. 910/2014 i Direktive (EU) 2022/2555. Nadzorna tijela imenovana na temelju Uredbe (EU) br. 910/2014 osobito bi trebala imati pravo zatražiti od nadležnih tijela imenovanih ili uspostavljenih na temelju Direktive (EU) 2022/2555 da pruže relevantne informacije potrebne za dodjelu kvalificiranog statusa i provode nadzorne mjere radi provjere usklađenosti pružatelja usluga povjerenja s relevantnim zahtjevima na temelju Direktive (EU) 2022/2555 ili da zahtijevaju da ti pružatelji usluga isprave neusklađenost. |
|
(52) |
Bitno je osigurati pravni okvir kako bi se olakšalo prekogranično priznavanje među postojećim nacionalnim pravnim sustavima u vezi s uslugama elektroničke preporučene dostave. Tim bi se okvirom mogle otvoriti i nove tržišne mogućnosti za Unijine pružatelje usluga povjerenja da na razini Unije ponude nove usluge elektroničke preporučene dostave. Kako bi se osiguralo da podaci s pomoću kvalificirane usluge elektroničke preporučene dostave budu dostavljeni ispravnom primatelju, kvalificirane usluge elektroničke preporučene dostave trebale bi s potpunom sigurnošću osigurati identifikaciju primatelja, dok bi za identifikaciju pošiljatelja bila dovoljna visoka razina pouzdanosti. Države članice trebale bi poticati pružatelje kvalificiranih usluga elektroničke preporučene dostave da uspostave interoperabilnost svojih usluga s kvalificiranim uslugama elektroničke preporučene dostave koje pružaju drugi kvalificirani pružatelji usluga povjerenja radi jednostavnog prijenosa elektronički registriranih podataka između dvaju ili više kvalificiranih pružatelja usluga povjerenja i promicanja poštene prakse na unutarnjem tržištu. |
|
(53) |
U većini slučajeva građani Unije i osobe s boravištem u Uniji ne mogu sigurno i uz visoku razinu zaštite podataka prekogranično razmjenjivati digitalne informacije koje se odnose na njihov identitet, kao što su njihova adresa, dob, stručne kvalifikacije, vozačka dozvola i druge dozvole te podaci o plaćanjima. |
|
(54) |
Trebalo bi biti moguće izdavati vjerodostojne elektroničke atribute i rukovati njima te doprinijeti smanjenju administrativnog opterećenja, čime bi se poticalo građane Unije i osobe s boravištem u Uniji da ih upotrebljavaju u svojim privatnim i javnim transakcijama. Građani Unije i osobe s boravištem u Uniji trebali bi, na primjer, moći dokazati da posjeduju valjanu vozačku dozvolu koju je izdalo tijelo u jednoj državi članici, a koju se može provjeriti i na koju se mogu osloniti relevantna tijela u drugim državama članicama, te bi se trebali moći osloniti na svoje vjerodajnice socijalne sigurnosti ili na buduće digitalne putne isprave u prekograničnom kontekstu. |
|
(55) |
Svaki pružatelj usluga koji izdaje potvrđene atribute u elektroničkom obliku, kao što su diplome, dozvole, rodni listovi ili ovlasti i mandati za zastupanje ili djelovanje u ime fizičkih ili pravnih osoba, trebao bi se smatrati pružateljem usluga povjerenja koji izdaje elektroničku potvrdu atributa. Elektroničkoj potvrdi atributa ne bi se smio uskratiti pravni učinak zbog toga što je u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve kvalificirane elektroničke potvrde atributa. Trebalo bi utvrditi opće zahtjeve kako bi se osiguralo da kvalificirana elektronička potvrda atributa ima jednakovrijedan pravni učinak kao zakonito izdane potvrde u papirnatom obliku. Međutim, ti bi se zahtjevi trebali primjenjivati ne dovodeći u pitanje pravo Unije ili nacionalno pravo u kojem su utvrđeni dodatni sektorski zahtjevi u pogledu oblika s temeljnim pravnim učincima, a posebno prekogranično priznavanje kvalificirane elektroničke potvrde atributa, ako je to primjenjivo. |
|
(56) |
Zahvaljujući širokoj dostupnosti i upotrebljivosti europskih lisnica za digitalni identitet trebali bi se povećati njihovo prihvaćanje i povjerenje u njih među privatnim osobama i privatnim pružateljima usluga. Stoga bi privatne pouzdajuće strane koje pružaju usluge, na primjer u području prijevoza, energetike, bankarstva i financijskih usluga, socijalne sigurnosti, zdravstva, vode namijenjene za ljudsku potrošnju, poštanskih usluga, digitalne infrastrukture, telekomunikacija ili obrazovanja, trebale prihvaćati upotrebu europskih lisnica za digitalni identitet za pružanje usluga kad se pravom Unije ili nacionalnim pravom ili zbog ugovorne obveze zahtijeva pouzdana autentifikacija korisnika za internetsku identifikaciju. Svaki zahtjev pouzdajuće strane za informacije od korisnika europske lisnice za digitalni identitet trebao bi biti potreban i razmjeran predviđenoj upotrebi u dotičnom slučaju, trebao bi biti u skladu s načelom smanjenja količine podataka i trebao bi osigurati transparentnost u pogledu toga koji se podaci razmjenjuju i u koju svrhu. Kako bi se olakšale upotreba i prihvaćanje europskih lisnica za digitalni identitet, pri njihovu bi uvođenju u obzir trebalo uzeti široko prihvaćene industrijske norme i specifikacije. |
|
(57) |
Od vrlo velikih internetskih platformi u smislu članka 33. stavka 1. Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća (15) na kojima se od korisnika traži autentifikacija kako bi pristupili internetskim uslugama trebalo bi se zahtijevati prihvaćanje upotrebe europskih lisnica za digitalni identitet na dobrovoljan zahtjev korisnika. Korisnici ne bi trebali biti obvezni upotrebljavati europsku lisnicu za digitalni identitet za pristup privatnim uslugama i ne bi ih se smjelo ograničavati ni ometati u pristupu uslugama na temelju toga da ne upotrebljavaju europsku lisnicu za digitalni identitet. Međutim, ako korisnici to žele, vrlo velike internetske platforme trebale bi ih u tu svrhu prihvaćati, uz poštovanje načela smanjenja količine podataka i prava korisnika da se koriste slobodno odabranim pseudonimima. S obzirom na važnost vrlo velikih internetskih platformi zbog njihova dosega, posebno izraženog u broju primatelja usluge i gospodarskih transakcija, obveza prihvaćanja europskih lisnica za digitalni identitet potrebna je kako bi se povećala zaštita korisnika od prijevara i osigurala visoka razina zaštite podataka. |
|
(58) |
Trebalo bi izraditi kodekse ponašanja na razini Unije kako bi se doprinijelo širokoj dostupnosti i upotrebljivosti sredstava elektroničke identifikacije, među ostalim europskih lisnica za digitalni identitet, u okviru područja primjene ove Uredbe. Kodeksi ponašanja trebali bi olakšati široko prihvaćanje sredstava elektroničke identifikacije, uključujući europske lisnice za digitalni identitet, među pružateljima usluga koji se ne ubrajaju u vrlo velike platforme i koji se za autentifikaciju korisnika oslanjaju na usluge elektroničke identifikacije treće strane. |
|
(59) |
Selektivno otkrivanje koncept je kojim se vlasniku podataka daje ovlast za otkrivanje samo određenih dijelova većeg skupa podataka kako bi subjekt koji prima podatke dobio samo one informacije koje su potrebne za pružanje usluge koju je korisnik zatražio. Europska lisnica za digitalni identitet trebala bi tehnički omogućiti selektivno otkrivanje atributa pouzdajućim stranama. Korisniku bi trebalo tehnički biti moguće da selektivno otkrije atribute, među ostalim iz više različitih elektroničkih potvrda, te da ih kombinira i neometano ih predstavi pouzdajućim stranama. Ta bi značajka trebala postati osnovna značajka dizajna europskih lisnica za digitalni identitet, čime bi se ojačale praktičnost i zaštita osobnih podataka, uključujući smanjenje količine podataka. |
|
(60) |
Osim ako se posebnim pravilima iz prava Unije ili nacionalnog prava od korisnika zahtijeva da se identificiraju, pristup uslugama s pomoću pseudonima ne bi trebao biti zabranjen. |
|
(61) |
Atribute koje pružaju kvalificirani pružatelji usluga povjerenja kao dio kvalificirane potvrde atributa trebalo bi provjeravati uspoređivanjem s autentičnim izvorima, neovisno o tome radi li to izravno kvalificirani pružatelj usluga povjerenja ili se to radi putem imenovanih posrednika priznatih na nacionalnoj razini u skladu s pravom Unije ili nacionalnim pravom, u svrhu sigurne razmjene potvrđenih atributa između pružatelja usluga identifikacije ili potvrde atributa i pouzdajućih strana. Države članice trebale bi uspostaviti odgovarajuće mehanizme na nacionalnoj razini kako bi osigurale da kvalificirani pružatelji usluga povjerenja koji izdaju kvalificiranu elektroničku potvrdu atributa mogu na temelju suglasnosti osobe kojoj je potvrda izdana provjeriti autentičnost atributa koji se oslanjaju na autentične izvore. Odgovarajući mehanizmi trebali bi moći uključivati angažiranje posebnih posrednika ili primjenu posebnih tehničkih rješenja u skladu s nacionalnim pravom koji omogućuju pristup autentičnim izvorima. Osiguravanjem dostupnosti mehanizma koji omogućuje provjeru atributa uspoređivanjem s autentičnim izvorima namjerava se olakšati usklađenost kvalificiranih pružatelja usluga povjerenja koji stavljaju na raspolaganje kvalificirane elektroničke potvrde atributa s njihovim obvezama na temelju Uredbe (EU) br. 910/2014. Novi prilog toj uredbi trebao bi sadržavati popis kategorija atributa u pogledu toga koje države članice trebaju osigurati poduzimanje mjera kojima bi se kvalificiranim pružateljima elektroničkih potvrda atributa omogućilo da elektroničkim putem na zahtjev korisnika provjere njihovu autentičnost uspoređivanjem s odgovarajućim autentični izvorom. |
|
(62) |
Sigurnom elektroničkom identifikacijom i stavljanjem potvrde atributa na raspolaganje trebali bi se osigurati dodatna fleksibilnost i rješenja za sektor financijskih usluga kako bi se omogućili identificiranje kupaca i razmjena posebnih atributa potrebnih da bi se ispunili, na primjer, zahtjevi za dubinsku analizu kupaca na temelju buduće uredbe o osnivanju tijela za suzbijanje pranja novca ili zahtjevi za prikladnost koji proizlaze iz prava o zaštiti ulagatelja, ili kao podrška ispunjavanju zahtjeva za pouzdanu autentifikaciju kupaca radi internetske identifikacije u svrhu prijave na račun i pokretanja transakcija u području platnih usluga. |
|
(63) |
Pravni učinak elektroničkog potpisa ne osporava se zbog toga što je taj potpis u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve kvalificiranog elektroničkog potpisa. Međutim, pravni učinak elektroničkih potpisa utvrđuje se nacionalnim pravom, osim kad je riječ o zahtjevima predviđenima ovom Uredbom prema kojima se pravni učinak kvalificiranog elektroničkog potpisa treba smatrati jednakovrijednim pravnom učinku vlastoručnog potpisa. Pri utvrđivanju pravnih učinaka elektroničkih potpisa države članice trebale bi voditi računa o načelu proporcionalnosti između pravne vrijednosti dokumenta koji se potpisuje i razine sigurnosti te troškova povezanih s elektroničkim potpisom. Kako bi se povećala pristupačnost i upotreba elektroničkih potpisa, države članice potiču se da razmotre upotrebu naprednih elektroničkih potpisa u svakodnevnim transakcijama za koje pružaju dovoljnu razinu sigurnosti i pouzdanosti. |
|
(64) |
Kako bi se osigurala dosljednost praksi certifikacije u cijeloj Uniji, Komisija bi trebala izdati smjernice za certifikaciju i ponovnu certifikaciju kvalificiranih sredstava za izradu elektroničkih potpisa i kvalificiranih sredstava za izradu elektroničkih pečata, uključujući njihovu valjanost i vremenska ograničenja. Ovom se Uredbom ne sprečava javna ili privatna tijelima koja su certificirala kvalificirana sredstva za izradu elektroničkih potpisa da privremeno ponovno certificiraju takva sredstva na kratko razdoblje certifikacije na temelju rezultata prethodnog procesa certifikacije, ako se takva ponovna certifikacija ne može provesti u zakonski utvrđenom roku zbog razloga koji nije povreda ili sigurnosni incident, ne dovodeći u pitanje obvezu provedbe procjene ranjivosti ni primjenjivu praksu certifikacije. |
|
(65) |
Izdavanjem certifikata za autentifikaciju mrežnih stranica korisnicima se namjerava pružiti sigurnost, uz visoku razinu pouzdanosti u identitet subjekta koji stoji iza mrežnih stranica, bez obzira na platformu koja je upotrijebljena za prikaz tog identiteta. Ti certifikati trebali bi doprinositi izgradnji povjerenja u vođenje poslovanja na internetu jer bi korisnici imali pouzdanja u mrežne stranice koje su autentificirane. Upotreba takvih certifikata od strane mrežnih stranica trebala bi biti dobrovoljna. Kako bi autentifikacija mrežnih stranica postala sredstvo za povećanje povjerenja, pružanje boljeg iskustva korisniku i poticanje rasta na unutarnjem tržištu, ovom se Uredbom utvrđuje okvir povjerenja koji uključuje minimalne obveze u pogledu sigurnosti i odgovornosti pružatelja kvalificiranih certifikata za autentifikaciju mrežnih stranica i zahtjeve primjenjive na izdavanje tih certifikata. Nacionalni pouzdani popisi trebali bi potvrditi kvalificirani status usluga autentifikacije mrežnih stranica i njihovih pružatelja usluga povjerenja, uključujući njihovu potpunu usklađenost sa zahtjevima ove Uredbe u pogledu izdavanja kvalificiranih certifikata za autentifikaciju mrežnih stranica. Priznavanje kvalificiranih certifikata za autentifikaciju mrežnih stranica znači da pružatelji internetskih preglednika ne bi smjeli osporavati autentičnost kvalificiranih certifikata za autentifikaciju mrežnih stranica isključivo kako bi potvrdili poveznicu između naziva domene internetskih stranica i fizičke ili pravne osobe kojoj je certifikat izdan ili potvrdili identitet te osobe. Pružatelji internetskih preglednika trebali bi krajnjem korisniku prikazivati certificirane podatke o identitetu i druge potvrđene atribute u pregledniku na način prilagođen korisnicima, putem tehničkih sredstava po vlastitom izboru. U tu svrhu pružatelji internetskih preglednika trebali bi osigurati podršku i interoperabilnost s kvalificiranim certifikatima za autentifikaciju mrežnih stranica koji su izdani uz potpuno pridržavanje ove Uredbe. Obveza priznavanja, interoperabilnosti i podrške kvalificiranih certifikata za autentifikaciju mrežnih stranica ne utječe na slobodu pružatelja internetskih preglednika da osiguraju mrežnu sigurnost, autentifikaciju domene i kriptiranje internetskog prometa na način i s pomoću tehnologije koje smatraju najprikladnijima. Kako bi se doprinijelo sigurnosti krajnjih korisnika na internetu, pružatelji internetskih preglednika trebali bi u iznimnim okolnostima moći poduzeti mjere predostrožnosti koje su potrebne i razmjerne kao odgovor na potkrijepljene bojazni u pogledu povreda sigurnosti ili gubitka cjelovitosti utvrđenog certifikata ili skupa certifikata. Ako poduzimaju takve mjere predostrožnosti, pružatelji internetskih preglednika trebali bi bez nepotrebne odgode obavijestiti Komisiju, nacionalno nadzorno tijelo, subjekt kojem je certifikat izdan i kvalificiranog pružatelja usluga povjerenja koji je izdao taj certifikat ili skup certifikata o svakoj bojazni u pogledu takve povrede sigurnosti ili gubitka cjelovitosti, kao i o mjerama poduzetima u vezi s jednim certifikatom ili skupom certifikata. Tim se mjerama ne bi trebala dovoditi u pitanje obveza pružatelja internetskih preglednika da priznaju kvalificirane certifikate za autentifikaciju mrežnih stranica u skladu s nacionalnim pouzdanim popisima. Kako bi dodatno zaštitila građane Unije i osobe s boravištem u Uniji i promicala upotrebu kvalificiranih certifikata za autentifikaciju mrežnih stranica, javna tijela u državama članicama trebala bi razmotriti mogućnost uključivanja tih certifikata na svoje internetske stranice. Mjerama predviđenima ovom Uredbom kojima se nastoji postići veća koherentnost različitih pristupa i praksi država članica u pogledu nadzornih postupaka želi se doprinijeti većem povjerenju i pouzdanosti u sigurnost, kvalitetu i dostupnost kvalificiranih certifikata za autentifikaciju mrežnih stranica. |
|
(66) |
Mnoge države članice uvele su nacionalne zahtjeve za usluge kojima se pruža sigurno i vjerodostojno elektroničko arhiviranje kako bi se omogućili dugoročno čuvanje elektroničkih podataka i elektroničkih dokumenata te povezane usluge povjerenja. Kako bi se osigurali pravna sigurnost, povjerenje i usklađenost u svim državama članicama, trebalo bi uspostaviti pravni okvir za kvalificirane usluge elektroničkog arhiviranja po uzoru na okvir za druge usluge povjerenja utvrđene u ovoj Uredbi. Pravnim okvirom za kvalificirane usluge elektroničkog arhiviranja pružateljima usluga povjerenja i korisnicima tih usluga trebalo bi ponuditi učinkovit paket instrumenata koji obuhvaća funkcionalne zahtjeve za uslugu elektroničkog arhiviranja i jasne pravne učinke u slučaju upotrebe kvalificirane usluge elektroničkog arhiviranja. Te bi se odredbe trebale primjenjivati na elektroničke podatke i elektroničke dokumente stvorene u elektroničkom obliku te na dokumente u papirnatom obliku koji su skenirani i digitalizirani. Kada je to potrebno, tim bi se odredbama trebao dopustiti prijenos pohranjenih elektroničkih podataka i elektroničkih dokumenata na različitim medijima ili u različitim formatima u svrhu produljenja njihove trajnosti i čitljivosti nakon isteka razdoblja tehnološke valjanosti, uz sprečavanje gubitka i izmjena koliko je to moguće. Ako elektronički podaci i elektronički dokumenti dostavljeni usluzi elektroničkog arhiviranja sadržavaju jedan ili više kvalificiranih elektroničkih potpisa ili kvalificiranih elektroničkih pečata, u okviru te usluge trebali bi se primjenjivati postupci i tehnologije kojima se može produljiti njihova vjerodostojnost tijekom razdoblja čuvanja takvih podataka, po mogućnosti oslanjajući se na upotrebu drugih kvalificiranih usluga povjerenja uspostavljenih ovom Uredbom. Kako bi se generirali dokazi o čuvanju u slučajevima upotrebe elektroničkih potpisa, elektroničkih pečata ili elektroničkih vremenskih žigova, trebale bi se upotrebljavati kvalificirane usluge povjerenja. U mjeri u kojoj se ovom Uredbom ne usklađuju usluge elektroničkog arhiviranja, države članice trebale bi moći zadržati ili uvesti nacionalne odredbe, u skladu s pravom Unije, koje se odnose na te usluge, kao što su posebne odredbe za usluge integrirane u određenu organizaciju koje se upotrebljavaju samo za interne arhive te organizacije. Ovom se Uredbom ne bi trebalo razlikovati elektroničke podatke i elektroničke dokumente stvorene u elektroničkom obliku od digitaliziranih fizičkih dokumenata. |
|
(67) |
Aktivnosti nacionalnih arhiva i memorijskih institucija, u svojstvu organizacija posvećenih očuvanju dokumentarne baštine u javnom interesu, obično su regulirane nacionalnim pravom i ne pružaju nužno usluge povjerenja u smislu ove Uredbe. Ako takve institucije ne pružaju takve usluge povjerenja, ovom se Uredbom ne dovodi u pitanje njihov rad. |
|
(68) |
Elektroničke evidencije slijed su elektroničkih zapisa podataka kojim bi se trebala osigurati njihova cjelovitost i točnost njihova kronološkog redoslijeda. Elektroničkim evidencijama trebao bi se utvrditi kronološki slijed zapisa podataka. Zajedno s drugim tehnologijama trebale bi doprinijeti rješenjima za učinkovitije i transformativnije javne usluge, kao što su e-glasovanje, prekogranična suradnja carinskih tijela, prekogranična suradnja akademskih ustanova i evidentiranje vlasništva nad nekretninama u decentraliziranim zemljišnim knjigama. Kvalificiranim elektroničkim evidencijama trebala bi se uspostaviti pravna predmnijeva za jedinstven i točan sekvencijalni kronološki redoslijed i cjelovitost zapisa podataka u evidenciji. Zbog njihovih posebnosti, kao što je sekvencijalni kronološki redoslijed zapisa podataka, elektroničke evidencije trebalo bi razlikovati od drugih usluga povjerenja, poput elektroničkih vremenskih žigova i usluga elektroničke preporučene dostave. Kako bi se osigurala pravna sigurnost i promicale inovacije, trebalo bi uspostaviti pravni okvir na razini Unije kojim se predviđa prekogranično priznavanje usluga povjerenja za bilježenje podataka u elektroničke evidencije. Time bi se trebalo u dovoljnoj mjeri spriječiti višestruko kopiranje i prodaja iste digitalne imovine različitim stranama. Postupak uspostave i ažuriranja elektroničke evidencije ovisi o vrsti evidencije koja se upotrebljava, odnosno o tome je li ona centralizirana ili distribuirana. Ovom bi se Uredbom trebala osigurati tehnološka neutralnost, što znači da se ne daje prednost niti se diskriminira bilo koja tehnologija koja se upotrebljava za uvođenje nove usluge povjerenja za elektroničke evidencije. Osim toga, Komisija bi pri pripremi provedbenih akata kojima se utvrđuju zahtjevi za kvalificirane elektroničke evidencije primjenom odgovarajućih metodologija trebala u obzir uzeti pokazatelje održivosti u pogledu svih štetnih učinaka na klimu ili drugih štetnih učinaka povezanih s okolišem. |
|
(69) |
Uloga pružatelja usluga povjerenja za elektroničke evidencije trebala bi biti utvrđivanje sekvencijalnog bilježenja podataka u evidenciju. Ovom se Uredbom ne dovode u pitanje pravne obveze korisnika elektroničkih evidencija na temelju prava Unije ili nacionalnog prava. Na primjer, slučajevi upotrebe koji uključuju obradu osobnih podataka trebali bi biti u skladu s Uredbom (EU) 2016/679, a slučajevi upotrebe povezani s financijskim uslugama trebali bi biti u skladu s relevantnim pravom Unije o financijskim uslugama. |
|
(70) |
Kako bi se izbjegle fragmentacija i prepreke na unutarnjem tržištu zbog različitih normi i tehničkih ograničenja te kako bi se osigurao koordiniran proces radi izbjegavanja utjecaja na provedbu europskog okvira za digitalni identitet, potreban je proces bliske i strukturirane suradnje Komisije, država članica, civilnog društva, akademske zajednice i privatnog sektora. Kako bi se postigao taj cilj, države članice i Komisija trebale bi surađivati u okviru utvrđenom u Preporuci Komisije (EU) 2021/946 (16) kako bi se utvrdio zajednički Unijin paket instrumenata za europski okvir za digitalni identitet. U tom kontekstu države članice trebale bi postići dogovor o sveobuhvatnoj tehničkoj strukturi i referentnom okviru, skupu zajedničkih normi i tehničkih upućivanja, uključujući priznate postojeće norme, te skupu smjernica i opisa primjera najbolje prakse koji obuhvaćaju barem sve funkcije i interoperabilnost europskih lisnica za digitalni identitet, uključujući elektroničke potpise, i kvalificiranih pružatelja usluga povjerenja za elektroničku potvrdu atributa kako je utvrđeno ovom Uredbom. U tom bi kontekstu države članice trebale postići dogovor i o zajedničkim elementima u pogledu poslovnog modela i strukture naknada za europske lisnice za digitalni identitet kako bi se olakšalo prihvaćanje, posebno u MSP-ovima, u prekograničnom kontekstu. Sadržaj paketa instrumenata trebao bi se razvijati usporedno s raspravom o europskom okviru za digitalni identitet i postupkom njegova donošenja te biti u skladu s ishodom tih procesa. |
|
(71) |
Ovom Uredbom predviđa se ujednačena razina kvalitete, vjerodostojnosti i sigurnosti kvalificiranih usluga povjerenja, bez obzira na mjesto obavljanja djelatnosti. Stoga bi kvalificiranom pružatelju usluga povjerenja trebalo dopustiti da svoje djelatnosti povezane s pružanjem kvalificirane usluge povjerenja eksternalizira u treću zemlju ako ta treća zemlja pruži odgovarajuća jamstva kojima se osigurava da se nadzorne aktivnosti i revizije mogu provoditi kao da se obavljaju u Uniji. Ako se usklađenost s ovom Uredbom ne može u potpunosti osigurati, nadzorna tijela trebala bi moći donijeti razmjerne i opravdane mjere, uključujući povlačenje kvalificiranog statusa pružene usluge povjerenja. |
|
(72) |
Kako bi se osigurala pravna sigurnost u pogledu valjanosti naprednih elektroničkih potpisa koji se temelje na kvalificiranim certifikatima, ključno je specificirati procjenu koju obavlja pouzdajuća strana koja provodi validaciju tog naprednog elektroničkog potpisa koji se temelji na kvalificiranim certifikatima. |
|
(73) |
Pružatelji usluga povjerenja trebali bi upotrebljavati kriptografske metode koje odražavaju trenutačne najbolje prakse i vjerodostojne primjene tih algoritama kako bi osigurali sigurnost i pouzdanost svojih usluga povjerenja. |
|
(74) |
Ovom se Uredbom utvrđuje obveza kvalificiranih pružatelja usluga povjerenja da provjere identitet fizičke ili pravne osobe kojoj se izdaje kvalificirani certifikat ili kvalificirana elektronička potvrda atributa na temelju različitih usklađenih metoda diljem Unije. Kako bi se osiguralo da se kvalificirani certifikati i kvalificirane elektroničke potvrde atributa izdaju osobi kojoj pripadaju te da se njima potvrđuje točan i jedinstven skup podataka koji predstavljaju identitet te osobe, kvalificirani pružatelji usluga povjerenja koji izdaju kvalificirane certifikate ili izdaju kvalificirane elektroničke potvrde atributa trebali bi u trenutku izdavanja tih certifikata i potvrda s potpunom sigurnošću osigurati identifikaciju te osobe. Nadalje, uz obveznu provjeru identiteta osobe, ako je to primjenjivo za izdavanje kvalificiranih certifikata i pri izdavanju kvalificirane elektroničke potvrde atributa, kvalificirani pružatelji usluga povjerenja trebali bi s potpunom sigurnošću osigurati ispravnost i točnost potvrđenih atributa osobe kojoj se izdaje kvalificirani certifikat ili kvalificirana elektronička potvrda atributa. Te obveze u vezi s rezultatom i potpunom sigurnošću pri provjeri potvrđenih podataka trebale bi biti poduprte odgovarajućim sredstvima, među ostalim primjenom jedne ili, ako je potrebno, kombinacije posebnih metoda predviđenih ovom Uredbom. Trebalo bi biti moguće kombinirati te metode kako bi se pružila odgovarajuća osnova za provjeru identiteta osobe kojoj se izdaje kvalificirani certifikat ili kvalificirana elektronička potvrda atributa. Takva kombinacija trebala bi moći uključivati oslanjanje na sredstva elektroničke identifikacije koja ispunjavaju zahtjeve za značajnu razinu osiguranja identiteta, u kombinaciji s drugim sredstvima provjere identiteta. Takva elektronička identifikacija omogućila bi ispunjavanje usklađenih zahtjeva utvrđenih u ovoj Uredbi u pogledu visoke razine osiguranja identiteta u okviru dodatnih usklađenih postupaka na daljinu, čime se osigurava identifikacija s visokom razinom pouzdanosti. Te bi metode trebale uključivati mogućnost da kvalificirani pružatelj usluga povjerenja koji izdaje kvalificiranu elektroničku potvrdu atributa provjeri atribute koje treba potvrditi elektroničkim sredstvima na zahtjev korisnika, u skladu s pravom Unije ili nacionalnim pravom, među ostalim uspoređivanjem s autentičnim izvorima. |
|
(75) |
Kako bi ova Uredba bila u skladu s globalnim kretanjima i kako bi se slijedila najbolja praksa na unutarnjem tržištu, delegirane i provedbene akte koje je donijela Komisija trebalo bi preispitati i prema potrebi redovito ažurirati. Pri procjeni nužnosti tih ažuriranja u obzir bi trebalo uzeti nove tehnologije, prakse, norme ili tehničke specifikacije. |
|
(76) |
S obzirom na to da ciljeve ove Uredbe, odnosno razvoj europskog okvira za digitalni identitet i okvira za usluge povjerenja na razini Unije, ne mogu dostatno ostvariti države članice, nego se zbog njihova opsega i učinaka oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva. |
|
(77) |
Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka na temelju članka 42. stavka 1. Uredbe (EU) 2018/1725. |
|
(78) |
Uredbu (EU) br. 910/2014 trebalo bi stoga na odgovarajući način izmijeniti, |
DONIJELI SU OVU UREDBU:
Članak 1.
Izmjene Uredbe (EU) br. 910/2014
Uredba (EU) br. 910/2014 mijenja se kako slijedi:
|
1. |
članak 1. zamjenjuje se sljedećim: „Članak 1. Predmet Cilj je ove Uredbe osigurati ispravno funkcioniranje unutarnjeg tržišta i pružanje primjerene razine sigurnosti sredstava elektroničke identifikacije i usluga povjerenja koji se upotrebljavaju diljem Unije kako bi se fizičkim i pravnim osobama omogućilo i olakšalo ostvarivanje prava na sigurno sudjelovanje u digitalnom društvu i na pristup internetskim javnim i privatnim uslugama u cijeloj Uniji. U te svrhe ovom se Uredbom:
|
|
2. |
članak 2. mijenja se kako slijedi:
|
|
3. |
članak 3. mijenja se kako slijedi:
|
|
4. |
članak 5. zamjenjuje se sljedećim: „Članak 5. Pseudonimi u elektroničkoj transakciji Ne dovodeći u pitanje posebna pravila prava Unije ili nacionalnog prava kojima se od korisnika zahtijeva da se identificiraju ni pravni učinak koji pseudonimi imaju prema nacionalnom pravu, upotreba pseudonima koje je odabrao korisnik nije zabranjena.”; |
|
5. |
u poglavlju II. umeće se sljedeći odjeljak: „ODJELJAK 1. EUROPSKA LISNICA ZA DIGITALNI IDENTITET Članak 5.a Europske lisnice za digitalni identitet 1. Kako bi se osiguralo da sve fizičke i pravne osobe u Uniji imaju siguran, pouzdan i neometan prekogranični pristup javnim i privatnim uslugama, uz potpunu kontrolu nad vlastitim podacima, svaka država članica na raspolaganje stavlja najmanje jednu europsku lisnicu za digitalni identitet u roku od 24 mjeseca od datuma stupanja na snagu provedbenih akata iz stavka 23. ovog članka i članka 5.c stavka 6. 2. Europske lisnice za digitalni identitet stavljaju se na raspolaganje na jedan ili više sljedećih načina:
3. Izvorni kod softverskih komponenata aplikacije europske lisnice za digitalni identitet mora imati licenciju za softver otvorenog koda. Države članice mogu predvidjeti da se, zbog opravdanih razloga, izvorni kod posebnih komponenata, osim onih ugrađenih na korisničke uređaje, ne otkriva. 4. Europske lisnice za digitalni identitet omogućuju korisniku da na njemu prilagođen, transparentan i sljediv način:
5. Europske lisnice za digitalni identitet osobito:
Neovisno o prvom podstavku točki (g), države članice mogu predvidjeti razmjerne mjere za osiguravanje da besplatna upotreba kvalificiranih elektroničkih potpisa od strane fizičkih osoba bude ograničena na neprofesionalne svrhe. 6. Države članice bez odgode obavješćuju korisnike o svim povredama sigurnosti koje su mogle u potpunosti ili djelomično ugroziti njihovu europsku lisnicu za digitalni identitet ili njezin sadržaj, a posebno ako je došlo do suspenzije ili opoziva valjanosti njihove europske lisnice za digitalni identitet na temelju članka 5.e. 7. Ne dovodeći u pitanje članak 5.f, države članice mogu u skladu s nacionalnim pravom predvidjeti dodatne funkcije europskih lisnica za digitalni identitet, uključujući interoperabilnost s postojećim nacionalnim sredstvima elektroničke identifikacije. Te dodatne funkcije moraju biti u skladu s ovim člankom. 8. Države članice besplatno stavljaju na raspolaganje mehanizme za validaciju kako bi se:
9. Države članice osiguravaju da se valjanost europske lisnice za digitalni identitet može opozvati u sljedećim okolnostima:
10. Pružatelji europskih lisnica za digitalni identitet osiguravaju da korisnici mogu jednostavno zatražiti tehničku podršku i prijaviti tehničke probleme ili druge incidente koji negativno utječu na upotrebu europske lisnice za digitalni identitet. 11. Europske lisnice za digitalni identitet stavljaju se na raspolaganje u okviru sustava elektroničke identifikacije visoke razine osiguranja identiteta. 12. Europske lisnice za digitalni identitet moraju imati integriranu sigurnost. 13. Europske lisnice za digitalni identitet izdaju se, upotrebljavaju i opozivaju besplatno za sve fizičke osobe. 14. Korisnici imaju potpunu kontrolu nad upotrebom svoje europske lisnice za digitalni identitet i podacima u njoj. Pružatelj europske lisnice za digitalni identitet ne prikuplja informacije o upotrebi europske lisnice za digitalni identitet koje nisu potrebne za pružanje usluga europske lisnice za digitalni identitet niti kombinira osobne identifikacijske podatke ili bilo koje druge osobne podatke koji su pohranjeni ili su povezani s upotrebom europske lisnice za digitalni identitet s osobnim podacima iz drugih usluga koje nudi taj pružatelj ili usluga trećih strana koje nisu potrebne za pružanje usluga europske lisnice za digitalni identitet, osim ako korisnik izričito zatraži drukčije. Osobni podaci povezani sa stavljanjem na raspolaganje europske lisnice za digitalni identitet čuvaju se logički odvojeno od svih drugih podataka koje čuva pružatelj europske lisnice za digitalni identitet. Ako europsku lisnicu za digitalni identitet na raspolaganje stavljaju privatne strane u skladu sa stavkom 2. točkama (b) i (c) ovog članka, odredbe članka 45.h stavka 3. primjenjuju se mutatis mutandis. 15. Upotreba europskih lisnica za digitalni identitet dobrovoljna je. Fizičkim i pravnim osobama koje se ne koriste europskom lisnicom za digitalni identitet ni na koji se način ne smije ograničiti ili otežati pristup javnim i privatnim uslugama, pristup tržištu rada i sloboda poduzetništva. Pristup javnim i privatnim uslugama mora i dalje biti moguć putem drugih postojećih sredstava identifikacije i autentifikacije. 16. Tehnički okvir za europsku lisnicu za digitalni identitet:
17. Svaka obrada osobnih podataka koju provode države članice ili koju u njihovo ime provode tijela ili strane odgovorne za stavljanje na raspolaganje europskih lisnica za digitalni identitet kao sredstva za elektroničku identifikaciju provodi se u skladu s odgovarajućim i djelotvornim mjerama za zaštitu podataka. Dokazuje se usklađenost takve obrade s Uredbom (EU) 2016/679. Države članice mogu uvesti nacionalne odredbe kako bi dodatno precizirale primjenu takvih mjera. 18. Države članice bez nepotrebne odgode Komisiji dostavljaju informacije o:
Komisija informacije dostavljene na temelju prvog podstavka stavlja na raspolaganje javnosti putem sigurnog kanala, u elektronički potpisanom ili zapečaćenom obliku prikladnom za automatiziranu obradu. 19. Ne dovodeći u pitanje stavak 22. ovog članka, članak 11. primjenjuje se mutatis mutandis na europske lisnice za digitalni identitet. 20. Članak 24. stavak 2. točka (b) i točke od (d) do (h) primjenjuju se mutatis mutandis na pružatelje europskih lisnica za digitalni identitet. 21. Europske lisnice za digitalni identitet moraju biti dostupne za upotrebu osobama s invaliditetom, na ravnopravnoj osnovi s ostalim korisnicima, u skladu s Direktivom (EU) 2019/882 Europskog parlamenta i Vijeća (*2). 22. Za potrebe stavljanja na raspolaganje europskih lisnica za digitalni identitet, europske lisnice za digitalni identitet i sustavi elektroničke identifikacije u okviru kojih se one stavljaju na raspolaganje ne podliježu zahtjevima utvrđenima u člancima 7., 9., 10., 12. i 12.a. 23. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za zahtjeve iz stavaka 4., 5., 8. i 18. ovog članka o provedbi europskih lisnica za digitalni identitet. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. 24. Komisija provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke kako bi se korisnicima olakšalo uključivanje u europsku lisnicu za digitalni identitet s pomoću sredstava elektroničke identifikacije s visokom razinom osiguranja identiteta ili s pomoću sredstava elektroničke identifikacije sa značajnom razinom osiguranja identiteta u kombinaciji s dodatnim postupcima uključivanja na daljinu koji zajedno ispunjavaju zahtjeve za visoku razinu osiguranja identiteta. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. Članak 5.b Pouzdajuće strane europskih lisnica za digitalni identitet 1. Ako se pouzdajuća strana namjerava oslanjati na europske lisnice za digitalni identitet za pružanje javnih ili privatnih usluga putem digitalne interakcije, pouzdajuća strana registrira se u državi članici u kojoj ima poslovni nastan. 2. Postupak registracije mora biti troškovno učinkovit i razmjeran riziku. Pouzdajuća strana dostavlja barem:
3. Pouzdajuće strane od korisnika ne smiju zahtijevati da dostave bilo kakve druge podatke osim onih naznačenih u skladu sa stavkom 2. točkom (c). 4. Stavcima 1. i 2. ne dovodi se u pitanje pravo Unije ni nacionalno pravo koje se primjenjuje na pružanje određenih usluga. 5. Države članice informacije iz stavka 2. stavljaju na raspolaganje javnosti na internetu u elektronički potpisanom ili zapečaćenom obliku prikladnom za automatiziranu obradu. 6. Pouzdajuće strane registrirane u skladu s ovim člankom bez odgode obavješćuju države članice o svim promjenama informacija navedenih u registraciji na temelju stavka 2. 7. Države članice osiguravaju zajednički mehanizam kojim se omogućuje identifikacija i autentifikacija pouzdajućih strana, kako je navedeno u članku 5.a stavku 5. točki (c). 8. Ako se pouzdajuće strane namjeravaju oslanjati na europske lisnice za digitalni identitet, one se identificiraju korisniku. 9. Pouzdajuće strane odgovorne su za provedbu postupka autentifikacije i validacije osobnih identifikacijskih podataka i elektroničke potvrde atributa koji su zatraženi iz europskih lisnica za digitalni identitet. Pouzdajuće strane ne odbijaju upotrebu pseudonima ako se identifikacija korisnika ne zahtijeva pravom Unije ili nacionalnim pravom. 10. Posrednici koji djeluju u ime pouzdajućih strana smatraju se pouzdajućim stranama i ne smiju pohranjivati podatke o sadržaju transakcije. 11. Komisija do 21. studenoga 2024. provedbenim aktima o provedbi europskih lisnica za digitalni identitet iz članka 5.a stavka 23. utvrđuje tehničke specifikacije i postupke za zahtjeve iz stavaka 2., 5. i od 6. do 9. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. Članak 5.c Certifikacija europskih lisnica za digitalni identitet 1. Sukladnost europskih lisnica za digitalni identitet i sustava elektroničke identifikacije u okviru kojeg se one stavljaju na raspolaganje sa zahtjevima utvrđenima u članku 5.a stavcima 4., 5. i 8, sa zahtjevom za logičkim odvajanjem utvrđenim u članku 5.a stavku 14. i, ako je to primjenjivo, s normama i tehničkim specifikacijama iz članka 5.a stavka 24. certificiraju tijela za ocjenjivanje sukladnosti koja imenuju države članice. 2. Certifikacija sukladnosti europskih lisnica za digitalni identitet sa zahtjevima iz stavka 1. ovog članka, ili njihovim dijelovima, koji su relevantni za kibernetičku sigurnost provodi se u skladu s europskim programima kibernetičke sigurnosne certifikacije donesenima na temelju Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća (*3) i navedenima u provedbenim aktima iz stavka 6. ovog članka. 3. Za zahtjeve iz stavka 1. ovog članka koji nisu relevantni za kibernetičku sigurnost te, za zahtjeve iz stavka 1. ovog članka koji su relevantni za kibernetičku sigurnost, u mjeri u kojoj programi kibernetičke sigurnosne certifikacije kako su navedeni u stavku 2. ovog članka ne obuhvaćaju, ili samo djelomično obuhvaćaju, te kibernetičke sigurnosne zahtjeve, također za te zahtjeve, države članice uspostavljaju nacionalne programe certifikacije u skladu sa zahtjevima utvrđenima u provedbenim aktima iz stavka 6. ovog članka. Države članice dostavljaju nacrte svojih nacionalnih programa certifikacije Europskoj skupini za suradnju u području digitalnog identiteta uspostavljenoj na temelju članka 46.e stavka 1. (‚Skupina za suradnju’). Skupina za suradnju može davati mišljenja i preporuke. 4. Certifikacija na temelju stavka 1. valjana je do pet godina, pod uvjetom da se svake dvije godine provodi procjena ranjivosti. Ako se ranjivost utvrdi i pravodobno ne otkloni, certifikacija se poništava. 5. Ispunjavanje zahtjeva utvrđenih u članku 5.a ove Uredbe u vezi s postupcima obrade osobnih podataka može se certificirati na temelju Uredbe (EU) 2016/679. 6. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za certificiranje europskih lisnica za digitalni identitet iz stavaka 1., 2. i 3. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. 7. Države članice dostavljaju Komisiji imena i adrese tijela za ocjenjivanje sukladnosti iz stavka 1. Komisija te informacije stavlja na raspolaganje svim državama članicama. 8. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 47. o utvrđivanju posebnih kriterija koje moraju ispunjavati imenovana tijela za ocjenjivanje sukladnosti iz stavka 1. ovog članka. Članak 5.d Objava popisa certificiranih europskih lisnica za digitalni identitet 1. Države članice bez nepotrebne odgode obavješćuju Komisiju i Skupinu za suradnju uspostavljenu na temelju članka 46.e stavka 1. o europskim lisnicama za digitalni identitet koje su stavljene na raspolaganje na temelju članka 5.a i koje su certificirala tijela za ocjenjivanje sukladnosti iz članka 5.c stavka 1. One bez nepotrebne odgode obavješćuju Komisiju i Skupinu za suradnju uspostavljenu na temelju članka 46.e stavka 1. ako je certifikacija poništena te navode razloge za poništenje. 2. Ne dovodeći u pitanje članak 5.a stavak 18., informacije iz stavka 1. ovog članka koje dostavljaju države članice uključuju barem:
3. Na temelju informacija primljenih u skladu sa stavkom 1. Komisija sastavlja, objavljuje u Službenom listu Europske unije i održava u strojno čitljivom obliku popis certificiranih europskih lisnica za digitalni identitet. 4. Država članica može Komisiji podnijeti zahtjev za uklanjanje europske lisnice za digitalni identitet i sustava elektroničke identifikacije u okviru kojeg se ona stavlja na raspolaganje s popisa iz stavka 3. 5. Ako dođe do promjena informacija dostavljenih u skladu sa stavkom 1., država članica Komisiji dostavlja ažurirane informacije. 6. Komisija ažurira popis iz stavka 3. objavljivanjem odgovarajućih izmjena popisa u Službenom listu Europske unije u roku od mjesec dana od primitka zahtjeva na temelju stavka 4. ili ažuriranih informacija na temelju stavka 5. 7. Komisija do 21. studenoga 2024. provedbenim aktima o provedbi europskih lisnica za digitalni identitet iz članka 5.a stavka 23. utvrđuje formate i postupke koji se primjenjuju za potrebe stavaka 1., 4. i 5. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. Članak 5.e Povreda sigurnosti europskih lisnica za digitalni identitet 1. U slučaju povrede ili djelomičnog ugrožavanja europskih lisnica za digitalni identitet koje se stavljaju na raspolaganje na temelju članka 5.a, mehanizama za validaciju iz članka 5.a stavka 8. ili sustava elektroničke identifikacije u okviru kojeg se na raspolaganje stavljaju europske lisnice za digitalni identitet na način koji utječe na njihovu pouzdanost ili na pouzdanost drugih europskih lisnica za digitalni identitet, država članica koja je europske lisnice za digitalni identitet stavila na raspolaganje bez nepotrebne odgode suspendira stavljanje na raspolaganje i upotrebu europskih lisnica za digitalni identitet. Ako je to opravdano ozbiljnošću povrede sigurnosti ili ugrožavanja iz prvog podstavka, država članica bez nepotrebne odgode povlači europske lisnice za digitalni identitet. Država članica o tome obavješćuje pogođene korisnike, jedinstvene kontaktne točke imenovane u skladu s člankom 46.c stavkom 1., pouzdajuće strane i Komisiju. 2. Ako se povreda sigurnosti ili ugrožavanje iz stavka 1. prvog podstavka ovog članka ne otkloni u roku od tri mjeseca od suspenzije, država članica koja je europske lisnice za digitalni identitet stavila na raspolaganje povlači europske lisnice za digitalni identitet i opoziva njihovu valjanost. Država članica o povlačenju obavješćuje pogođene korisnike, jedinstvene kontaktne točke imenovane u skladu s člankom 46.c stavkom 1., pouzdajuće strane i Komisiju. 3. Kad se povreda sigurnosti ili ugrožavanje iz stavka 1. prvog podstavka ovog članka otkloni, država članica pružateljica ponovno pokreće stavljanje na raspolaganje i upotrebu europskih lisnica za digitalni identitet te o tome bez nepotrebne odgode obavješćuje pogođene korisnike i pouzdajuće strane, jedinstvenu kontaktnu točku imenovanu u skladu s člankom 46.c stavkom 1. i Komisiju. 4. Komisija u Službenom listu Europske unije bez nepotrebne odgode objavljuje odgovarajuće izmjene popisa iz članka 5.d. 5. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za mjere iz stavaka 1., 2. i 3. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. Članak 5.f Prekogranično oslanjanje na europske lisnice za digitalni identitet 1. Države članice koje za pristup internetskoj usluzi koju pruža tijelo javnog sektora zahtijevaju elektroničku identifikaciju i autentifikaciju prihvaćaju i europske lisnice za digitalni identitet koje su stavljene na raspolaganje u skladu s ovom Uredbom. 2. Ako se od privatnih pouzdajućih strana koje pružaju usluge, uz iznimku mikropoduzeća i malih poduzeća kako su definirana u članku 2. Priloga Preporuci Komisije 2003/361/EZ (*4), na temelju prava Unije ili nacionalnog prava ili zbog ugovorne obveze zahtijeva da upotrebljavaju pouzdanu autentifikaciju korisnika za internetsku identifikaciju, među ostalim u području prijevoza, energetike, bankarstva, financijskih usluga, socijalne sigurnosti, zdravstva, vode namijenjene za ljudsku potrošnju, poštanskih usluga, digitalne infrastrukture, obrazovanja ili telekomunikacija, te privatne pouzdajuće strane najkasnije 36 mjeseci od datuma stupanja na snagu provedbenih akata iz članka 5.a stavka 23. i članka 5.c stavka 6. samo na dobrovoljan zahtjev korisnika prihvaćaju i europske lisnice za digitalni identitet koje su stavljene na raspolaganje u skladu s ovom Uredbom. 3. Ako pružatelji vrlo velikih internetskih platformi iz članka 33. Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća (*5) od korisnika zahtijevaju autentifikaciju za pristup internetskim uslugama, oni za autentifikaciju korisnika također prihvaćaju i olakšavaju upotrebu europskih lisnica za digitalni identitet koje su stavljene na raspolaganje u skladu s ovom Uredbom, samo na dobrovoljan zahtjev korisnika i u pogledu minimalnih podataka potrebnih za posebne internetske usluge za koje se autentifikacija zahtijeva. 4. Komisija u suradnji s državama članicama olakšava izradu kodeksa ponašanja, u bliskoj suradnji sa svim relevantnim dionicima, uključujući civilno društvo, kako bi se doprinijelo širokoj dostupnosti i upotrebljivosti europskih lisnica za digitalni identitet obuhvaćenih područjem primjene ove Uredbe te kako bi se pružatelje usluga potaknulo da dovrše izradu kodeksa ponašanja. 5. U roku od 24 mjeseca od uvođenja europskih lisnica za digitalni identitet Komisija ocjenjuje potražnju te dostupnost i upotrebljivost europskih lisnica za digitalni identitet, uzimajući u obzir kriterije kao što su prihvaćanje među korisnicima, prekogranična prisutnost pružatelja usluga, tehnološki razvoj, promjene obrazaca upotrebe i potražnja potrošača. (*2) Direktiva (EU) 2019/882 Europskog parlamenta i Vijeća od 17. travnja 2019. o zahtjevima za pristupačnost proizvoda i usluga (SL L 151, 7.6.2019., str. 70.)." (*3) Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.)." (*4) Preporuka Komisije 2003/361/EZ od 6. svibnja 2003. o definiciji mikropoduzeća te malih i srednjih poduzeća (SL L 124, 20.5.2003., str. 36.)." (*5) Uredba (EU) 2022/2065 Europskog parlamenta i Vijeća od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ (Akt o digitalnim uslugama) (SL L 277, 27.10.2022., str. 1).”;" |
|
6. |
ispred članka 6. umeće se sljedeći naslov: „ODJELJAK 2. SUSTAVI ELEKTRONIČKE IDENTIFIKACIJE”; |
|
7. |
u članku 7. točka (g) zamjenjuje se sljedećim:
|
|
8. |
u članku 8. stavku 3. prvi podstavak zamjenjuje se sljedećim: „3. Komisija, uzimajući u obzir odgovarajuće međunarodne norme i podložno stavku 2., provedbenim aktima do 18. rujna 2015. utvrđuje minimalne tehničke specifikacije, norme i postupke u odnosu na koje se za sredstva elektroničke identifikacije utvrđuju niska, značajna i visoka razina osiguranja identiteta.”; |
|
9. |
u članku 9. stavci 2. i 3. zamjenjuju se sljedećim: „2. Komisija bez nepotrebne odgode u Službenom listu Europske unije objavljuje popis sustava elektroničke identifikacije koji su prijavljeni na temelju stavka 1., zajedno s osnovnim informacijama o tim sustavima. 3. Komisija u Službenom listu Europske unije objavljuje izmjene popisa iz stavka 2. u roku od mjesec dana od datuma primitka te prijave.”; |
|
10. |
u članku 10. naslov se zamjenjuje sljedećim: „Povreda sigurnosti sustava elektroničke identifikacije”; |
|
11. |
umeće se sljedeći članak: „Članak 11.a Prekogranično potvrđivanje identiteta 1. Kada djeluju kao pouzdajuće strane za prekogranične usluge, države članice osiguravaju nedvosmisleno potvrđivanje identiteta za fizičke osobe koje upotrebljavaju prijavljena sredstva elektroničke identifikacije ili europske lisnice za digitalni identitet. 2. Države članice predviđaju tehničke i organizacijske mjere kako bi osigurale visoku razinu zaštite osobnih podataka koji se upotrebljavaju za potvrđivanje identiteta i spriječile izradu profila korisnika. 3. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za zahtjeve iz stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
12. |
članak 12. mijenja se kako slijedi:
|
|
13. |
u poglavlju II. umeću se sljedeći članci: „Članak 12.a Certifikacija sustava elektroničke identifikacije 1. Sukladnost sustava elektroničke identifikacije koje treba prijaviti s kibernetičkim sigurnosnim zahtjevima utvrđenima u ovoj Uredbi, uključujući sukladnost sa zahtjevima relevantnima za kibernetičku sigurnost utvrđenima u članku 8. stavku 2. u pogledu razina osiguranja identiteta sustava elektroničke identifikacije, certificiraju tijela za ocjenjivanje sukladnosti koja imenuju države članice. 2. Certifikacija na temelju stavka 1. ovog članka provodi se u okviru relevantnog programa kibernetičke sigurnosne certifikacije na temelju Uredbe (EU) 2019/881 ili njegovih dijelova, u mjeri u kojoj kibernetički sigurnosni certifikat ili njegovi dijelovi obuhvaćaju te kibernetičke sigurnosne zahtjeve. 3. Certifikacija na temelju stavka 1. valjana je do pet godina, pod uvjetom da se svake dvije godine provodi procjena ranjivosti. Ako se ranjivost utvrdi i ne otkloni u roku od tri mjeseca od utvrđivanja, certifikacija se poništava. 4. Neovisno o stavku 2., države članice mogu u skladu s tim stavkom od države članice koja provodi prijavljivanje zatražiti dodatne informacije o sustavima elektroničke identifikacije ili njihovim dijelovima koji su certificirani. 5. Istorazinsko ocjenjivanje sustava elektroničke identifikacije iz članka 12. stavka 5. ne primjenjuje se na sustave elektroničke identifikacije ili dijelove takvih sustava koji su certificirani u skladu sa stavkom 1. ovog članka. Države članice mogu upotrijebiti certifikat ili izjavu o sukladnosti, izdane u skladu s odgovarajućim programom certifikacije ili dijelovima takvih programa, sa zahtjevima iz članka 8. stavka 2. koji nisu povezani s kibernetičkom sigurnošću u pogledu razine osiguranja identiteta sustavâ elektroničke identifikacije. 6. Države članice dostavljaju Komisiji imena i adrese tijela za ocjenjivanje sukladnosti iz stavka 1. Komisija te informacije stavlja na raspolaganje svim državama članicama. Članak 12.b Pristup hardverskim i softverskim značajkama Ako su pružatelji europskih lisnica za digitalni identitet i izdavatelji prijavljenih sredstava elektroničke identifikacije koji djeluju u komercijalnom ili profesionalnom svojstvu i upotrebljavaju osnovne usluge platforme kako su definirane u članku 2. točki 2. Uredbe (EU) 2022/1925 Europskog parlamenta i Vijeća (*6) za potrebe ili tijekom pružanja usluga europske lisnice za digitalni identitet i sredstava elektroničke identifikacije krajnjim korisnicima poslovni korisnici kako su definirani u članku 2. točki 21. te uredbe, nadzornici pristupa osobito im dopuštaju djelotvornu interoperabilnost i, u svrhu interoperabilnosti, pristup s istim značajkama operativnog sustava te hardverskim i softverskim značajkama. Takva djelotvorna interoperabilnost i pristup dopuštaju se besplatno i bez obzira na to jesu li hardverske ili softverske značajke dio operativnog sustava, koje su dostupne tom nadzorniku pristupa ili koje taj nadzornik pristupa upotrebljava pri pružanju takvih usluga, u smislu članka 6. stavka 7. Uredbe (EU) 2022/1925. Ovim se člankom ne dovodi u pitanje članak 5.a stavak 14. ove Uredbe. (*6) Uredba (EU) 2022/1925 Europskog parlamenta i Vijeća od 14. rujna 2022. o pravednim tržištima s mogućnošću neograničenog tržišnog natjecanja u digitalnom sektoru i izmjeni direktiva (EU) 2019/1937 i (EU) 2020/1828 (Akt o digitalnim tržištima) (SL L 265, 12.10.2022., str. 1.).”;" |
|
14. |
u članku 13. stavak 1. zamjenjuje se sljedećim: „1. Neovisno o stavku 2. ovog članka i ne dovodeći u pitanje Uredbu (EU) 2016/679, pružatelji usluga povjerenja odgovorni su za štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi zbog nepoštovanja obveza na temelju ove Uredbe. Svaka fizička ili pravna osoba koja je pretrpjela materijalnu ili nematerijalnu štetu kao posljedicu kršenja ove Uredbe od strane pružatelja usluga povjerenja ima pravo tražiti naknadu u skladu s pravom Unije i nacionalnim pravom. Teret dokazivanja namjere ili nepažnje nekvalificiranog pružatelja usluga povjerenja na fizičkoj je ili pravnoj osobi koja zahtijeva naknadu štete iz prvog podstavka. Namjera ili nepažnja kvalificiranog pružatelja usluga povjerenja predmnijeva se, osim ako taj kvalificirani pružatelj usluga povjerenja dokaže da je šteta iz prvog podstavka nastala bez namjere ili nepažnje tog kvalificiranog pružatelja usluga povjerenja.”; |
|
15. |
članci 14., 15. i 16. zamjenjuju se sljedećim: „Članak 14. Međunarodni aspekti 1. Usluge povjerenja koje pružaju pružatelji usluga povjerenja s poslovnim nastanom u trećoj zemlji ili međunarodna organizacija priznaju se kao pravno jednakovrijedne kvalificiranim uslugama povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji ako su usluge povjerenja iz treće zemlje ili međunarodne organizacije priznate provedbenim aktima ili sporazumom sklopljenim između Unije i treće zemlje ili međunarodne organizacije na temelju članka 218. UFEU-a. Provedbeni akti iz prvog podstavka donose se u skladu s postupkom ispitivanja iz članka 48. stavka 2. 2. Provedbenim aktima i sporazumom iz stavka 1. osigurava se da pružatelji usluga povjerenja u dotičnoj trećoj zemlji ili međunarodna organizacija te usluge povjerenja koje oni pružaju ispunjavaju zahtjeve koji se primjenjuju na kvalificirane pružatelje usluga povjerenja s poslovnim nastanom u Uniji i na kvalificirane usluge povjerenja koje oni pružaju. Treće zemlje i međunarodne organizacije osobito uspostavljaju, održavaju i objavljuju pouzdan popis priznatih pružatelja usluga povjerenja. 3. Sporazumom iz stavka 1. osigurava se da se kvalificirane usluge povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji priznaju kao pravno jednakovrijedne uslugama povjerenja koje pružaju pružatelji usluga povjerenja u trećoj zemlji ili koje pruža međunarodna organizacija s kojom je sklopljen sporazum. Članak 15. Pristupačnost za osobe s invaliditetom i osobe s posebnim potrebama Pružanje sredstava elektroničke identifikacije i usluga povjerenja te proizvodi za krajnje korisnike koji se upotrebljavaju u pružanju tih usluga moraju biti dostupni na jednostavnom i razumljivom jeziku, u skladu s Konvencijom Ujedinjenih naroda o pravima osoba s invaliditetom i sa zahtjevima za pristupačnost iz Direktive (EU) 2019/882, od čega koristi imaju i osobe sa smanjenom funkcionalnom sposobnošću, poput starijih osoba, te osobe s ograničenim pristupom digitalnim tehnologijama. Članak 16. Sankcije 1. Ne dovodeći u pitanje članak 31. Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća (*7), države članice utvrđuju pravila o sankcijama koje se primjenjuju na kršenja ove Uredbe. Te sankcije moraju biti djelotvorne, proporcionalne i odvraćajuće. 2. Države članice osiguravaju da kršenja ove Uredbe od strane kvalificiranih i nekvalificiranih pružatelja usluga povjerenja podliježu upravnim novčanim kaznama u maksimalnom iznosu od najmanje:
3. Ovisno o pravnom sustavu država članica, pravila o upravnim novčanim kaznama mogu se primjenjivati tako da novčanu kaznu pokreće nadležno nadzorno tijelo, a izriču je nadležni nacionalni sudovi. Primjenom takvih pravila u tim državama članicama osigurava se da ta pravna sredstva budu djelotvorna i da imaju učinak jednakovrijedan učinku upravnih novčanih kazni koje izravno izriču nadzorna tijela. (*7) Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80).”;" |
|
16. |
u poglavlju III. odjeljku 2. naslov se zamjenjuje sljedećim: „Nekvalificirane usluge povjerenja”; |
|
17. |
članci 17. i 18. brišu se; |
|
18. |
u poglavlju III. odjeljku 2. umeće se sljedeći članak: „Članak 19.a Zahtjevi u vezi s nekvalificiranim pružateljima usluga povjerenja 1. Nekvalificirani pružatelj usluga povjerenja koji pruža nekvalificirane usluge povjerenja:
2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za potrebe stavka 1. točke (a) ovog članka. Ako se udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u ovom članku. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
19. |
članak 20. mijenja se kako slijedi:
|
|
20. |
članak 21. mijenja se kako slijedi:
|
|
21. |
članak 24. mijenja se kako slijedi:
|
|
22. |
u poglavlju III. odjeljku 3. umeće se sljedeći članak: „Članak 24.a Priznavanje kvalificiranih usluga povjerenja 1. Kvalificirani elektronički potpisi koji se temelje na kvalificiranom certifikatu izdani u jednoj državi članici i kvalificirani elektronički pečati koji se temelje na kvalificiranom certifikatu izdani u jednoj državi članici priznaju se kao kvalificirani elektronički potpisi odnosno kvalificirani elektronički pečati u svim ostalim državama članicama. 2. Kvalificirana sredstva za izradu elektroničkih potpisa i kvalificirana sredstva za izradu elektroničkih pečata certificirana u jednoj državi članici priznaju se kao kvalificirana sredstva za izradu elektroničkih potpisa odnosno kvalificirana sredstva za izradu elektroničkih pečata u svim ostalim državama članicama. 3. Kvalificirani certifikat za elektroničke potpise, kvalificirani certifikat za elektroničke pečate, kvalificirana usluga povjerenja za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu i kvalificirana usluga povjerenja za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu koji su pruženi u jednoj državi članici priznaju se kao kvalificirani certifikat za elektroničke potpise, kvalificirani certifikat za elektroničke pečate, kvalificirana usluga povjerenja za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu odnosno kvalificirana usluga povjerenja za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu u svim ostalim državama članicama. 4. Kvalificirana usluga validacije kvalificiranih elektroničkih potpisa i kvalificirana usluga validacije kvalificiranih elektroničkih pečata pružene u jednoj državi članici priznaju se kao kvalificirana usluga validacije kvalificiranih elektroničkih potpisa odnosno kvalificirana usluga validacije kvalificiranih elektroničkih pečata u svim ostalim državama članicama. 5. Kvalificirana usluga čuvanja kvalificiranih elektroničkih potpisa i kvalificirana usluga čuvanja kvalificiranih elektroničkih pečata pružene u jednoj državi članici priznaju se kao kvalificirana usluga čuvanja kvalificiranih elektroničkih potpisa odnosno kvalificirana usluga čuvanja kvalificiranih elektroničkih pečata u svim ostalim državama članicama. 6. Kvalificirani elektronički vremenski žig izdan u jednoj državi članici priznaje se kao kvalificirani elektronički vremenski žig u svim ostalim državama članicama. 7. Kvalificirani certifikat za autentifikaciju mrežnih stranica izdan u jednoj državi članici priznaje se kao kvalificirani certifikat za autentifikaciju mrežnih stranica u svim ostalim državama članicama. 8. Kvalificirana usluga elektroničke preporučene dostave pružena u jednoj državi članici priznaje se kao kvalificirana usluga elektroničke preporučene dostave u svim ostalim državama članicama. 9. Kvalificirana elektronička potvrda atributa izdana u jednoj državi članici priznaje se kao kvalificirana elektronička potvrda atributa u svim ostalim državama članicama. 10. Kvalificirana usluga elektroničkog arhiviranja pružena u jednoj državi članici priznaje se kao kvalificirana usluga elektroničkog arhiviranja u svim ostalim državama članicama. 11. Kvalificirana elektronička evidencija stavljena na raspolaganje u jednoj državi članici priznaje se kao kvalificirana elektronička evidencija u svim ostalim državama članicama.”; |
|
23. |
u članku 25. stavak 3. briše se; |
|
24. |
članak 26. mijenja se kako slijedi:
|
|
25. |
u članku 27. stavak 4. briše se; |
|
26. |
u članku 28. stavak 6. zamjenjuje se sljedećim: „6. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificirane certifikate za elektroničke potpise. Ako kvalificirani certifikat za elektronički potpis udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u Prilogu I. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
27. |
u članku 29. umeće se sljedeći stavak „1.a Generiranje podataka za izradu elektroničkog potpisa ili upravljanje njima ili dupliciranje takvih podataka za izradu potpisa u svrhu izrade sigurnosnih kopija obavlja samo u ime i na zahtjev potpisnika kvalificirani pružatelj usluga povjerenja koji pruža kvalificiranu uslugu povjerenja za upravljanje kvalificiranim sredstvom za izradu elektroničkih potpisa na daljinu.”; |
|
28. |
umeće se sljedeći članak: „Članak 29.a Zahtjevi za kvalificiranu uslugu za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu 1. Upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu kao kvalificiranom uslugom obavlja samo kvalificirani pružatelj usluga povjerenja koji:
2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za potrebe stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
29. |
u članku 30. umeće se sljedeći stavak: „3.a Valjanost certificiranja iz stavka 1. ne prelazi pet godina, pod uvjetom da se procjene ranjivosti provode svake dvije godine. Ako se ranjivosti utvrde i ne otklone, certificiranje se poništava.”; |
|
30. |
u članku 31. stavak 3. zamjenjuje se sljedećim: „3. Komisija do 21. svibnja 2025. provedbenim aktima utvrđuje formate i postupke koji se primjenjuju za potrebe stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
31. |
članak 32. mijenja se kako slijedi:
|
|
32. |
umeće se sljedeći članak: „Članak 32.a Zahtjevi za validaciju naprednih elektroničkih potpisa koji se temelje na kvalificiranim certifikatima 1. Postupkom validacije naprednog elektroničkog potpisa koji se temelji na kvalificiranom certifikatu potvrđuje se valjanost naprednog elektroničkog potpisa koji se temelji na kvalificiranom certifikatu pod sljedećim uvjetima:
2. Sustav koji se upotrebljava za validaciju naprednog elektroničkog potpisa koji se temelji na kvalificiranom certifikatu osigurava pouzdajućoj strani točan rezultat postupka validacije i omogućuje joj otkrivanje svih poteškoća bitnih za sigurnost. 3. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za validaciju naprednih elektroničkih potpisa koji se temelje na kvalificiranim certifikatima. Ako validacija naprednog elektroničkog potpisa koji se temelji na kvalificiranim certifikatima udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
33. |
u članku 33. stavak 2. zamjenjuje se sljedećim: „2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificiranu uslugu validacije iz stavka 1. ovog članka. Ako kvalificirana usluga validacije kvalificiranih elektroničkih potpisa udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
34. |
članak 34. mijenja se kako slijedi:
|
|
35. |
u članku 35. stavak 3. briše se; |
|
36. |
članak 36. mijenja se kako slijedi:
|
|
37. |
u članku 37. stavak 4. briše se; |
|
38. |
u članku 38. stavak 6. zamjenjuje se sljedećim: „6. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificirane certifikate za elektroničke pečate. Ako kvalificirani certifikat za elektronički pečat udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u Prilogu III. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
39. |
umeće se sljedeći članak: „Članak 39.a Zahtjevi za kvalificiranu uslugu za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu Članak 29.a primjenjuje se mutatis mutandis na kvalificiranu uslugu za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu.”; |
|
40. |
u poglavlju III. odjeljku 5. umeće se sljedeći članak: „Članak 40.a Zahtjevi za validaciju naprednih elektroničkih pečata koji se temelje na kvalificiranim certifikatima Članak 32.a primjenjuje se mutatis mutandis na validaciju naprednih elektroničkih pečata koji se temelje na kvalificiranim certifikatima.”; |
|
41. |
u članku 41. stavak 3. briše se; |
|
42. |
članak 42. mijenja se kako slijedi:
|
|
43. |
članak 44. mijenja se kako slijedi:
|
|
44. |
članak 45. zamjenjuje se sljedećim: „Članak 45. Zahtjevi za kvalificirane certifikate za autentifikaciju mrežnih stranica 1. Kvalificirani certifikati za autentifikaciju mrežnih stranica moraju ispunjavati zahtjeve utvrđene u Prilogu IV. Evaluacija sukladnosti s tim zahtjevima provodi se u skladu s normama, specifikacijama i postupcima iz stavka 2. ovog članka. 1.a Kvalificirane certifikate za autentifikaciju mrežnih stranica izdane u skladu sa stavkom 1. ovog članka moraju priznavati pružatelji internetskih preglednika. Pružatelji internetskih preglednika osiguravaju da se podaci o identitetu potvrđeni u certifikatu i dodatni potvrđeni atributi prikazuju na način prilagođen korisnicima. Pružatelji internetskih preglednika osiguravaju podršku kvalificiranih certifikata za autentifikaciju mrežnih stranica iz stavka 1. ovog članka te interoperabilnost s tim certifikatima, uz iznimku za mikropoduzeća i mala poduzeća kako su definirana u članku 2. Priloga Preporuci 2003/361/EZ tijekom njihovih prvih pet godina rada kao pružatelji usluga internetskog pregledavanja. 1.b Kvalificirani certifikati za autentifikaciju mrežnih stranica ne smiju podlijegati nikakvim obveznim zahtjevima osim zahtjevima utvrđenima u stavku 1. 2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificirane certifikate za autentifikaciju mrežnih stranica iz stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
45. |
umeće se sljedeći članak: „Članak 45.a Mjere predostrožnosti u području kibernetičke sigurnosti 1. Pružatelji internetskih preglednika ne smiju poduzimati nikakve mjere suprotne njihovim obvezama iz članka 45., osobito zahtjevima za priznavanjem kvalificiranih certifikata za autentifikaciju mrežnih stranica i prikazivanjem dostavljenih podataka o identitetu na način prilagođen korisnicima. 2. Odstupajući od stavka 1. i samo u slučaju potkrijepljenih bojazni povezanih s povredama sigurnosti ili gubitkom cjelovitosti utvrđenog certifikata ili skupa certifikata, pružatelji internetskih preglednika mogu poduzeti mjere predostrožnosti u vezi s tim certifikatom ili skupom certifikata. 3. Ako pružatelj internetskih preglednika poduzme mjere predostrožnosti u skladu sa stavkom 2., on bez nepotrebne odgode pisanim putem obavješćuje Komisiju, nadležno nadzorno tijelo, subjekt kojem je certifikat izdan i pružatelja kvalificiranih usluga povjerenja koji je izdao taj certifikat ili skup certifikata o svojim bojaznima, zajedno s opisom mjera poduzetih za njihovo ublažavanje. Po primitku takve obavijesti nadležno nadzorno tijelo izdaje potvrdu o primitku dotičnom pružatelju internetskih preglednika. 4. Nadležno nadzorno tijelo istražuje pitanja postavljena u obavijesti u skladu s člankom 46.b stavkom 4. točkom (k). Ako ishod te istrage ne dovede do povlačenja kvalificiranog statusa certifikata, nadzorno tijelo o tome obavješćuje pružatelja internetskih preglednika i od tog pružatelja zahtijeva da ukine mjere predostrožnosti iz stavka 2. ovog članka.”; |
|
46. |
u poglavlju III. dodaju se sljedeći odjeljci: „ODJELJAK 9. ELEKTRONIČKA POTVRDA ATRIBUTA Članak 45.b Pravni učinci elektroničke potvrde atributa 1. Elektroničkoj potvrdi atributa se kao dokazu u sudskim postupcima ne smiju uskratiti pravni učinak ni dopuštenost samo zbog toga što je ona u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve za kvalificiranu elektroničku potvrdu atributa. 2. Kvalificirana elektronička potvrda atributa i potvrde atributa koje je izdalo tijelo javnog sektora odgovorno za autentični izvor ili koje se izdaju u njegovo ime imaju isti pravni učinak kao i zakonito izdane potvrde u papirnatom obliku. 3. Potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor u jednoj državi članici ili koja se izdaje u njegovo ime priznaje se u svim državama članicama kao potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime. Članak 45.c Elektronička potvrda atributa u javnim uslugama Ako se nacionalnim pravom za pristup internetskoj usluzi koju pruža tijelo javnog sektora zahtijeva elektronička identifikacija na temelju sredstva elektroničke identifikacije i autentifikacije, osobni identifikacijski podaci u elektroničkoj potvrdi atributa ne zamjenjuju elektroničku identifikaciju na temelju sredstava elektroničke identifikacije i autentifikacije za elektroničku identifikaciju, osim ako država članica to izričito dopušta. U tom se slučaju prihvaća i kvalificirana elektronička potvrda atributa iz drugih država članica. Članak 45.d Zahtjevi za kvalificiranu elektroničku potvrdu atributa 1. Kvalificirana elektronička potvrda atributa mora ispunjavati zahtjeve utvrđene u Prilogu V. 2. Evaluacija sukladnosti sa zahtjevima utvrđenima u Prilogu V. provodi se u skladu s normama, specifikacijama i postupcima iz stavka 5. ovog članka. 3. Kvalificirane elektroničke potvrde atributa ne smiju podlijegati obveznim zahtjevima koji prelaze zahtjeve utvrđene u Prilogu V. 4. Ako je kvalificirana elektronička potvrda atributa opozvana nakon početnog izdavanja, gubi valjanost od trenutka opoziva i njezin se status ni u kojem slučaju ne može vratiti u prijašnje stanje. 5. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificirane elektroničke potvrde atributa. Ti provedbeni akti moraju biti u skladu s provedbenim aktima iz članka 5.a stavka 23. o uvođenju europske lisnice za digitalni identitet. Oni se donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. Članak 45.e Provjera atributa uspoređivanjem s autentičnim izvorima 1. Države članice u roku od 24 mjeseca od datuma stupanja na snagu provedbenih akata iz članka 5.a stavka 23. i članka 5.c stavka 6. osiguravaju da se, barem za atribute navedene u Prilogu VI., kad god se ti atributi oslanjaju na autentične izvore u javnom sektoru, poduzmu mjere kojima se kvalificiranim pružateljima usluga povjerenja koji izdaju elektroničke potvrde atributa omogućuje provjera tih atributa elektroničkim sredstvima na zahtjev korisnika, u skladu s pravom Unije ili nacionalnim pravom. 2. Komisija do 21. studenoga 2024., uzimajući u obzir odgovarajuće međunarodne norme, provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za katalog atributa te sustave za potvrdu atributa i postupke provjere za kvalificirane elektroničke potvrde atributa za potrebe stavka 1. ovog članka. Ti provedbeni akti moraju biti u skladu s provedbenim aktom iz članka 5.a stavka 23. o uvođenju europske lisnice za digitalni identitet. Oni se donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. Članak 45.f Zahtjevi za elektroničku potvrdu atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime 1. Elektronička potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime mora ispunjavati sljedeće zahtjeve:
2. Država članica u kojoj su uspostavljena tijela javnog sektora iz članka 3. točke 46. osigurava da tijela javnog sektora koja izdaju elektroničke potvrde atributa zadovoljavaju razinu pouzdanosti i vjerodostojnosti jednakovrijednu onoj kvalificiranog pružatelja usluga povjerenja u skladu s člankom 24. 3. Države članice Komisiji prijavljuju tijela javnog sektora iz članka 3. točke 46. Ta prijava uključuje izvješće o ocjenjivanju sukladnosti koje izdaje tijelo za ocjenjivanje sukladnosti i kojim se potvrđuje da su ispunjeni zahtjevi iz stavaka 1., 2. i 6. ovog članka. Komisija stavlja na raspolaganje javnosti popis tijela javnog sektora iz članka 3. točke 46. putem sigurnog kanala, u elektronički potpisanom ili pečaćenom obliku prikladnom za automatiziranu obradu. 4. Ako je elektronička potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime opozvana nakon početnog izdavanja, ona gubi valjanost od trenutka opoziva i njezin status ne može se vratiti u prijašnje stanje. 5. Elektronička potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime smatra se sukladnom sa zahtjevima utvrđenima u stavku 1. ako udovoljava normama, specifikacijama i postupcima iz stavka 6. 6. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za elektroničku potvrdu atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime. Ti provedbeni akti moraju biti u skladu s provedbenim aktima iz članka 5.a stavka 23. o uvođenju europske lisnice za digitalni identitet. Oni se donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. 7. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za potrebe stavka 3. ovog članka. Ti provedbeni akti moraju biti u skladu s provedbenim aktima iz članka 5.a stavka 23. o uvođenju europske lisnice za digitalni identitet. Oni se donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. 8. Tijela javnog sektora iz članka 3. točke 46. koja izdaju elektroničku potvrdu atributa osiguravaju sučelje s europskim lisnicama za digitalni identitet stavljenima na raspolaganje u skladu s člankom 5.a. Članak 45.g Izdavanje elektroničke potvrde atributa za europske lisnice za digitalni identitet 1. Pružatelji elektroničkih potvrda atributa korisnicima europske lisnice za digitalni identitet omogućuju da zatraže, dobiju i pohrane elektroničku potvrdu atributa te da njome upravljaju bez obzira na to u kojoj je državi članici europska lisnica za digitalni identitet stavljena na raspolaganje. 2. Pružatelji kvalificiranih elektroničkih potvrda atributa osiguravaju sučelje s europskim lisnicama za digitalni identitet koje se stavljaju na raspolaganje u skladu s člankom 5.a. Članak 45.h Dodatna pravila za pružanje usluga elektroničke potvrde atributa 1. Pružatelji kvalificiranih i nekvalificiranih usluga elektroničke potvrde atributa ne kombiniraju osobne podatke povezane s pružanjem tih usluga s osobnim podacima iz bilo kojih drugih usluga koje nude oni ili njihovi komercijalni partneri. 2. Osobni podaci povezani s pružanjem usluga elektroničke potvrde atributa čuvaju se logički odvojeno od ostalih podataka koje čuva pružatelj usluga elektroničke potvrde atributa. 3. Pružatelji kvalificiranih usluga elektroničke potvrde atributa organiziraju pružanje takvih kvalificiranih usluga povjerenja na način koji je funkcionalno odvojen od drugih usluga koje pružaju. ODJELJAK 10. USLUGE ELEKTRONIČKOG ARHIVIRANJA Članak 45.i Pravni učinak usluga elektroničkog arhiviranja 1. Elektroničkim podacima i elektroničkim dokumentima pohranjenima upotrebom usluge elektroničkog arhiviranja ne smije se kao dokazima u sudskim postupcima uskratiti pravni učinak ni dopuštenost samo zbog toga što su oni u elektroničkom obliku ili zbog toga što nisu pohranjeni upotrebom kvalificirane usluge elektroničkog arhiviranja. 2. Za elektroničke podatke i elektroničke dokumente pohranjene upotrebom kvalificirane usluge elektroničkog arhiviranja predmnijeva se njihova cjelovitost i njihovo podrijetlo u razdoblju njihova čuvanja kod kvalificiranog pružatelja usluge povjerenja. Članak 45.j Zahtjevi za kvalificirane usluge elektroničkog arhiviranja 1. Kvalificirane usluge elektroničkog arhiviranja moraju ispunjavati sljedeće zahtjeve:
2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificirane usluge elektroničkog arhiviranja. Ako kvalificirana usluga elektroničkog arhiviranja udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima za kvalificirane usluge elektroničkog arhiviranja. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.” ODJELJAK 11. ELEKTRONIČKE EVIDENCIJE Članak 45.k Pravni učinci elektroničkih evidencija 1. Elektroničkoj evidenciji se kao dokazu u sudskim postupcima ne smiju uskratiti pravni učinak ni dopuštenost samo zbog toga što je ona u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve za kvalificiranu elektroničku evidenciju. 2. Za zapise podataka sadržane u kvalificiranoj elektroničkoj evidenciji predmnijeva se njihov jedinstven i točan sekvencijalni kronološki redoslijed i njihova cjelovitost. Članak 45.l Zahtjevi za kvalificirane elektroničke evidencije 1. Kvalificirane elektroničke evidencije moraju ispunjavati sljedeće zahtjeve:
2. Ako elektronička evidencija udovoljava normama, specifikacijama i postupcima iz stavka 3., smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. 3. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za zahtjeve iz stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
47. |
umeće se sljedeće poglavlje: „POGLAVLJE IV.a UPRAVLJAČKI OKVIR Članak 46.a Nadzor okvira europske lisnice za digitalni identitet 1. Države članice imenuju jedno ili više nadzornih tijela s poslovnim nastanom na njihovu državnom području. Nadzornim tijelima imenovanima na temelju prvog podstavka dodjeljuju se potrebne ovlasti i odgovarajući resursi za djelotvorno, učinkovito i neovisno izvršavanje njihovih zadaća. 2. Države članice obavješćuju Komisiju o nazivima i adresama svojih nadzornih tijela imenovanih na temelju stavka 1. i svim naknadnim promjenama tih informacija. Komisija objavljuje popis prijavljenih nadzornih tijela. 3. Uloga nadzornih tijela imenovanih na temelju stavka 1. jest sljedeća:
4. Zadaće nadzornih tijela imenovanih na temelju stavka 1. posebno uključuju sljedeće:
5. Ako nadzorno tijelo imenovano na temelju stavka 1. od pružatelja europske lisnice za digitalni identitet zahtijeva da ispravi svako neispunjavanje zahtjeva iz ove Uredbe na temelju stavka 4. točke (e), a taj pružatelj ne djeluje u skladu s tim i, ako je to primjenjivo, u roku koji je odredilo to nadzorno tijelo, nadzorno tijelo imenovano na temelju stavka 1. može, posebno uzimajući u obzir opseg, trajanje i posljedice tog neispunjavanja, naložiti pružatelju da suspendira ili prestane stavljati na raspolaganje europsku lisnicu za digitalni identitet. Nadzorno tijelo bez nepotrebne odgode obavješćuje nadzorna tijela drugih država članica, Komisiju, pouzdajuće strane i korisnike europske lisnice za digitalni identitet o odluci kojom se zahtijeva suspenzija ili prestanak stavljanja na raspolaganje europske lisnice za digitalni identitet. 6. Svako nadzorno tijelo imenovano na temelju stavka 1. Komisiji do 31. ožujka svake godine podnosi izvješće o svojim glavnim aktivnostima u prethodnoj kalendarskoj godini. Komisija stavlja na raspolaganje ta godišnja izvješća Europskom parlamentu i Vijeću. 7. Komisija do 21. svibnja 2025. provedbenim aktima utvrđuje formate i postupke za izvješće iz stavka 6. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. Članak 46.b Nadzor usluga povjerenja 1. Države članice imenuju nadzorno tijelo s poslovnim nastanom na njihovu državnom području ili, prema uzajamnom dogovoru s drugom državom članicom, imenuju nadzorno tijelo s poslovnim nastanom u toj drugoj državi članici. To nadzorno tijelo odgovorno je za zadaće nadzora usluga povjerenja u državi članici koja ga imenuje. Nadzornim tijelima imenovanima na temelju prvog podstavka dodjeljuju se potrebne ovlasti i odgovarajući resursi za izvršavanje njihovih zadaća. 2. Države članice obavješćuju Komisiju o nazivima i adresama svojih nadzornih tijela imenovanih na temelju stavka 1. i svim naknadnim promjenama tih informacija. Komisija objavljuje popis prijavljenih nadzornih tijela. 3. Uloga nadzornih tijela imenovanih na temelju stavka 1. jest sljedeća:
4. Zadaće nadzornog tijela imenovanog ili uspostavljenog na temelju stavka 1. posebno uključuju sljedeće:
5. Države članice mogu od nadzornog tijela imenovanog na temelju stavka 1. zahtijevati da uspostavi, održava i ažurira infrastrukturu povjerenja u skladu s nacionalnim pravom. 6. Svako nadzorno tijelo imenovano na temelju stavka 1. Komisiji do 31. ožujka svake godine podnosi izvješće o svojim glavnim aktivnostima u prethodnoj kalendarskoj godini. Komisija stavlja na raspolaganje ta godišnja izvješća Europskom parlamentu i Vijeću. 7. Komisija do 21. svibnja 2025. donosi smjernice o izvršavanju zadaća iz stavka 4. ovog članka od strane nadzornih tijela imenovanih na temelju stavka 1. ovog članka te provedbenim aktima utvrđuje formate i postupke za izvješće iz stavka 6. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2. Članak 46.c Jedinstvene kontaktne točke 1. Svaka država članica imenuje jedinstvenu kontaktnu točku za usluge povjerenja, europske lisnice za digitalni identitet i prijavljene sustave elektroničke identifikacije. 2. Svaka jedinstvena kontaktna točka izvršava funkciju povezivanja kako bi olakšala prekograničnu suradnju među nadzornim tijelima za pružatelje usluga povjerenja i među nadzornim tijelima za pružatelje europskih lisnica za digitalni identitet i, prema potrebi, s Komisijom i Agencijom Europske unije za kibersigurnost (ENISA) te s drugim nadležnim tijelima u svojoj državi članici. 3. Svaka država članica objavljuje i bez nepotrebne odgode obavješćuje Komisiju o nazivima i adresama jedinstvenih kontaktnih točaka imenovanih na temelju stavka 1. i svim naknadnim promjenama tih informacija. 4. Komisija objavljuje popis jedinstvenih kontaktnih točaka prijavljenih na temelju stavka 3. Članak 46.d Uzajamna pomoć 1. Kako bi se olakšali nadzor i izvršenje obveza iz ove Uredbe, nadzorna tijela imenovana na temelju članka 46.a stavka 1. i članka 46.b stavka 1. mogu zatražiti, među ostalim putem Skupine za suradnju uspostavljene na temelju članka 46.e stavka 1., uzajamnu pomoć nadzornih tijela druge države članice u kojoj pružatelj europske lisnice za digitalni identitet ili pružatelj usluga povjerenja ima poslovni nastan ili u kojoj se nalaze njegovi mrežni i informacijski sustavi ili se pružaju njegove usluge. 2. Uzajamna pomoć podrazumijeva barem sljedeće:
Aranžmane i postupke za zajedničke mjere na temelju prvog podstavka dogovaraju i uspostavljaju dotične države članice u skladu s njihovim nacionalnim pravom. 3. Nadzorno tijelo kojemu je upućen zahtjev za pomoć može odbiti taj zahtjev zbog bilo kojeg od sljedećih razloga:
4. Skupina za suradnju uspostavljena na temelju članka 46.e stavka 1. do 21. svibnja 2025. i svake dvije godine nakon toga izdaje smjernice o organizacijskim aspektima i postupcima za uzajamnu pomoć iz stavaka 1. i 2. ovog članka. Članak 46.e Europska skupina za suradnju u području digitalnog identiteta 1. Kako bi se poduprla i olakšala prekogranična suradnja i razmjena informacija država članica u području usluga povjerenja, europskih lisnica za digitalni identitet i prijavljenih sustava elektroničke identifikacije, Komisija uspostavlja Europsku skupinu za suradnju u području digitalnog identiteta (‚Skupina za suradnju’). 2. Skupina za suradnju sastoji se od predstavnika koje su imenovale države članice i Komisije. Skupinom za suradnju predsjeda Komisija. Komisija osigurava tajništvo za Skupinu za suradnju. 3. Predstavnici relevantnih dionika mogu na ad hoc osnovi biti pozvani da prisustvuju sastancima Skupine za suradnju i sudjeluju u njezinu radu kao promatrači. 4. ENISA se poziva da kao promatrač sudjeluje u radu Skupine za suradnju pri razmjeni mišljenja, primjera najbolje prakse i informacija o relevantnim kibernetičkim sigurnosnim aspektima kao što su obavješćivanje o povredama sigurnosti, i kad se radi o upotrebi kibernetičkih sigurnosnih certifikata ili normi. 5. Skupina za suradnju ima sljedeće zadaće:
6. Države članice osiguravaju djelotvornu i učinkovitu suradnju svojih imenovanih predstavnika u Skupini za suradnju. 7. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja potrebne postupovne aranžmane s ciljem olakšavanja suradnje među državama članicama iz stavka 5. točke (d) ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”; |
|
48. |
članak 47. mijenja se kako slijedi:
|
|
49. |
u poglavlju VI. umeće se sljedeći članak: „Članak 48.a Zahtjevi u pogledu izvješćivanja 1. Države članice osiguravaju prikupljanje statističkih podataka o funkcioniranju europskih lisnica za digitalni identitet i kvalificiranih usluga povjerenja koje se stavljaju na raspolaganje odnosno pružaju na njihovu državnom području. 2. Statistički podaci prikupljeni u skladu sa stavkom 1. uključuju sljedeće:
3. Statistički podaci iz stavka 2. stavljaju se na raspolaganje javnosti u otvorenom i uobičajenom strojno čitljivom formatu. 4. Države članice Komisiji do 31. ožujka svake godine podnose izvješće o statističkim podacima prikupljenima u skladu sa stavkom 2.”; |
|
50. |
članak 49. zamjenjuje se sljedećim: „Članak 49. Preispitivanje 1. Komisija preispituje primjenu ove Uredbe i do 21. svibnja 2026. podnosi izvješće Europskom parlamentu i Vijeću. U tom izvješću Komisija posebno provodi evaluaciju primjerenosti izmjene područja primjene ove Uredbe ili njezinih određenih odredaba, uključujući posebno odredbe iz članka 5.c stavka 5., uzimajući u obzir iskustvo stečeno primjenom ove Uredbe, kao i tehnološki, tržišni i pravni razvoj. Prema potrebi tom izvješću prilaže se prijedlog izmjene ove Uredbe. 2. Izvješće iz stavka 1. sadržava procjenu dostupnosti, sigurnosti i upotrebljivosti prijavljenih sredstava elektroničke identifikacije i europskih lisnica za digitalni identitet obuhvaćenih područjem primjene ove Uredbe te procjenu treba li od svih pružatelja internetskih privatnih usluga koji se za autentifikaciju korisnika oslanjaju na usluge elektroničke identifikacije treće strane zahtijevati da prihvate upotrebu prijavljenih sredstava elektroničke identifikacije i europskih lisnica za digitalni identitet. 3. Komisija do 21. svibnja 2030. i svake četiri godine nakon toga, podnosi izvješće Europskom parlamentu i Vijeću o postignutom napretku prema ostvarenju ciljeva ove Uredbe.”; |
|
51. |
članak 51. zamjenjuje se sljedećim: „Članak 51. Prijelazne mjere 1. Sredstva za sigurnu izradu potpisa čija je sukladnost utvrđena u skladu s člankom 3. stavkom 4. Direktive 1999/93/EZ i dalje se smatraju kvalificiranim sredstvima za izradu elektroničkih potpisa prema ovoj Uredbi do 21. svibnja 2027. 2. Kvalificirani certifikati izdani fizičkim osobama na temelju Direktive 1999/93/EZ i dalje se smatraju kvalificiranim certifikatima za elektroničke potpise na temelju ove Uredbe do 21. svibnja 2026. 3. Upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa i pečata na daljinu od strane kvalificiranih pružatelja usluga povjerenja koji nisu kvalificirani pružatelji usluga povjerenja koji pružaju kvalificirane usluge povjerenja za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa i pečata na daljinu u skladu s člancima 29.a i 39.a može se provoditi bez potrebe za dobivanjem kvalificiranog statusa za pružanje tih usluga upravljanja do 21. svibnja 2026. 4. Kvalificirani pružatelji usluga povjerenja kojima je dodijeljen kvalificirani status na temelju ove Uredbe prije 20. svibnja 2024. nadzornom tijelu podnose izvješće o ocjenjivanju sukladnosti kojim se dokazuje sukladnost s člankom 24. stavcima 1., 1.a i 1.b što je prije moguće, a u svakom slučaju do 21. svibnja 2026.”; |
|
52. |
prilozi od I. do IV. mijenjaju se u skladu s prilozima od I. do IV. ovoj Uredbi; |
|
53. |
dodaju se novi prilozi V., VI. i VII., kako su utvrđeni u prilozima V., VI. i VII. ovoj Uredbi. |
Članak 2.
Stupanje na snagu
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Bruxellesu 11. travnja 2024.
Za Europski parlament
Predsjednica
R. METSOLA
Za Vijeće
Predsjednica
H. LAHBIB
(1) SL C 105, 4.3.2022., str. 81.
(2) SL C 61, 4.2.2022., str. 42.
(3) Stajalište Europskog parlamenta od 29. veljače 2024. (još nije objavljeno u Službenom listu) i odluka Vijeća od 26. ožujka 2024.
(4) Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.).
(5) Odluka (EU) 2022/2481 Europskog parlamenta i Vijeća od 14. prosinca 2022. o uspostavi programa politike za digitalno desetljeće do 2030. (SL L 323, 19.12.2022., str. 4.).
(6) SL C 23, 23.1.2023., str. 1.
(7) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).
(8) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).
(9) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).
(10) Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.).
(11) Uredba (EU) 2019/1157 Europskog parlamenta i Vijeća od 20. lipnja 2019. o jačanju sigurnosti osobnih iskaznica građana Unije i boravišnih isprava koje se izdaju građanima Unije i članovima njihovih obitelji koji ostvaruju pravo na slobodno kretanje (SL L 188, 12.7.2019., str. 67.).
(12) Direktiva (EU) 2019/882 Europskog parlamenta i Vijeća od 17. travnja 2019. o zahtjevima za pristupačnost proizvoda i usluga (SL L 151, 7.6.2019., str. 70.).
(13) Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80).
(14) Uredba (EU) 2022/1925 Europskog parlamenta i Vijeća od 14. rujna 2022. o pravednim tržištima s mogućnošću neograničenog tržišnog natjecanja u digitalnom sektoru i izmjeni direktiva (EU) 2019/1937 i (EU) 2020/1828 (Akt o digitalnim tržištima) (SL L 265, 12.10.2022., str. 1.).
(15) Uredba (EU) 2022/2065 Europskog parlamenta i Vijeća od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ (Akt o digitalnim uslugama) (SL L 277, 27.10.2022., str. 1.).
(16) Preporuka Komisije (EU) 2021/946 оd 3. lipnja 2021. o zajedničkom Unijinu paketu alata za koordinirani pristup europskom okviru za digitalni identitet (SL L 210, 14.6.2021., str. 51.).
PRILOG I.
U Prilogu I. Uredbi (EU) br. 910/2014 točka (i) zamjenjuje se sljedećim:
|
„(i) |
informacije ili lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata;”. |
PRILOG II.
U Prilogu II. Uredbi (EU) br. 910/2014 točke 3. i 4. brišu se.
PRILOG III.
U Prilogu III. Uredbi (EU) br. 910/2014, točka (i) zamjenjuje se sljedećim:
|
„(i) |
informacije ili lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata;”. |
PRILOG IV.
Prilog IV. Uredbi (EU) br. 910/2014 mijenja se kako slijedi:
|
1. |
točka (c) zamjenjuje se sljedećim:
|
|
2. |
točka (j) zamjenjuje se sljedećim:
|
PRILOG V.
„PRILOG V.
ZAHTJEVI ZA KVALIFICIRANU ELEKTRONIČKU POTVRDU ATRIBUTA
Kvalificirane elektroničke potvrde atributa sadržavaju:
|
(a) |
naznaku, barem u obliku prikladnom za automatiziranu obradu, da je potvrda izdana kao kvalificirana elektronička potvrda atributa; |
|
(b) |
skup podataka koji nedvojbeno predstavljaju kvalificiranog pružatelja usluga povjerenja koji izdaje kvalificiranu elektroničku potvrdu atributa, uključujući barem državu članicu u kojoj pružatelj ima poslovni nastan i:
|
|
(c) |
skup podataka koji nedvojbeno predstavljaju subjekt na koji se odnose potvrđeni atributi; ako se koristi pseudonimom, on se mora jasno naznačiti; |
|
(d) |
potvrđeni atribut odnosno potvrđene atribute, uključujući, prema potrebi, informacije potrebne za određivanje onoga što ti atributi obuhvaćaju; |
|
(e) |
podatke o početku i kraju roka valjanosti potvrde; |
|
(f) |
identifikacijsku oznaku potvrde, koja mora biti jedinstvena za kvalificiranog pružatelja usluga povjerenja i, ako je to primjenjivo, podatak o tome kojem sustavu potvrda pripada ta potvrda atributa; |
|
(g) |
kvalificirani elektronički potpis ili kvalificirani elektronički pečat kvalificiranog pružatelja usluga povjerenja koji izdaje potvrdu; |
|
(h) |
lokaciju na kojoj je besplatno dostupan certifikat koji podržava kvalificirani elektronički potpis ili kvalificirani elektronički pečat iz točke (g); |
|
(i) |
informacije ili lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificirane potvrde.”. |
PRILOG VI.
„PRILOG VI.
MINIMALNI POPIS ATRIBUTA
Na temelju članka 45.e države članice osiguravaju da se poduzmu mjere da kvalificirani pružatelji usluga povjerenja koji izdaju elektroničke potvrde atributa mogu na zahtjev korisnika elektroničkim putem provjeriti autentičnost sljedećih atributa uspoređivanjem s relevantnim autentičnim izvorom na nacionalnoj razini ili putem imenovanih posrednika priznatih na nacionalnoj razini, u skladu s pravom Unije ili nacionalnim pravom te kad se ti atributi oslanjaju na autentične izvore u javnom sektoru:
|
1. |
adresa; |
|
2. |
dob; |
|
3. |
spol; |
|
4. |
bračno stanje; |
|
5. |
sastav obitelji; |
|
6. |
državna pripadnost ili državljanstvo; |
|
7. |
obrazovne kvalifikacije, titule i licencije; |
|
8. |
stručne kvalifikacije, titule i licencije; |
|
9. |
ovlasti i mandati za zastupanje fizičkih ili pravnih osoba; |
|
10. |
javne dozvole i odobrenja; |
|
11. |
za pravne osobe, financijski podaci i podaci o poduzeću.”. |
PRILOG VII.
„PRILOG VII.
ZAHTJEVI ZA ELEKTRONIČKU POTVRDU ATRIBUTA KOJU IZDAJE JAVNO TIJELO ODGOVORNO ZA AUTENTIČNI IZVOR ILI KOJA SE IZDAJE U NJEGOVO IME
Elektronička potvrda atributa koju izdaje javno tijelo odgovorno za autentični izvor ili koja se izdaje u njegovo ime sadržava:
|
(a) |
naznaku, barem u obliku prikladnom za automatiziranu obradu, da je potvrda izdana kao elektronička potvrda atributa koju izdaje javno tijelo odgovorno za autentični izvor ili koja se izdaje u njegovo ime; |
|
(b) |
skup podataka koji nedvojbeno predstavljaju javno tijelo koje izdaje elektroničku potvrdu atributa, uključujući barem državu članicu u kojoj je to javno tijelo uspostavljeno i njegov naziv te, ako je to primjenjivo, njegov registracijski broj kako je navedeno u službenoj evidenciji; |
|
(c) |
skup podataka koji nedvojbeno predstavljaju subjekt na koji se odnose potvrđeni atributi; ako se koristi pseudonimom, on se mora jasno naznačiti; |
|
(d) |
potvrđeni atribut odnosno potvrđene atribute, uključujući, prema potrebi, informacije potrebne za određivanje onoga što ti atributi obuhvaćaju; |
|
(e) |
podatke o početku i kraju roka valjanosti potvrde; |
|
(f) |
identifikacijsku oznaku potvrde, koja mora biti jedinstvena za javno tijelo izdavatelja i, ako je to primjenjivo, podatak o tome kojem sustavu potvrda pripada ta potvrda atributa; |
|
(g) |
kvalificirani elektronički potpis ili kvalificirani elektronički pečat tijela izdavatelja; |
|
(h) |
lokaciju na kojoj je besplatno dostupan certifikat koji podržava kvalificirani elektronički potpis ili kvalificirani elektronički pečat iz točke (g); |
|
(i) |
informacije ili lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti potvrde.”. |
ELI: http://data.europa.eu/eli/reg/2024/1183/oj
ISSN 1977-0847 (electronic edition)
Pogledajte npr. Zakon o radu
Zahvaljujemo na odazivu :) Sav prihod ide u održavanje i razvoj.