28.8.2014   

ET

Euroopa Liidu Teataja

L 257/73

(1)

Usalduse loomine internetikeskkonnas on majandusliku ja sotsiaalse arengu alus. Usalduse puudumise tõttu, mida eelkõige põhjustab arvatav õiguskindluse puudumine, on tarbijad, ettevõtjad ja ametiasutused elektrooniliste tehingute tegemise ja uute teenuste kasutuselevõtu suhtes ebalevad.

(2)

Käesoleva määruse eesmärk on suurendada usaldust elektrooniliste tehingute vastu siseturul, luues ühise aluse turvalisele elektroonilisele suhtlusele kodanike, ettevõtjate ja ametiasutuste vahel, suurendades sellega avaliku ja erasektori internetipõhiste teenuste, e-äri ja e-kaubanduse tõhusust liidus.

(3)

Euroopa Parlamendi ja nõukogu direktiivis 1999/93/EÜ (3) käsitletakse e-allkirju, kuid seal ei ole esitatud kõikehõlmavat piiri- ja sektoriülest raamistikku turvaliste, usaldusväärsete ja kasutajasõbralike e-tehingute jaoks. Käesoleva määrusega täiendatakse ja laiendatakse nimetatud direktiivi acquis’d.

(4)

Komisjoni 26. augusti 2010. aasta teatises „Euroopa digitaalarengu tegevuskava” on digitaalse majanduse positiivse mõjuringi tekkimise peamiste takistustena nimetatud digitaalse turu killustatust, koosvõime puudumist ja küberkuritegevuse kasvu. ELi kodakondsust käsitlevas 2010. aasta aruandes „ELi kodanike õigusi piiravate takistuste kõrvaldamine” rõhutas komisjon veelgi vajadust lahendada peamised probleemid, mis takistavad liidu kodanikel digitaalse ühtse turu ja piiriüleste digitaalteenuste eeliste kasutamist.

(5)

Euroopa Ülemkogu soovitas oma 4. veebruari ja 23. oktoobri 2011. aasta järeldustes komisjonil luua 2015. aastaks digitaalne ühtne turg kiirete edusammude tegemiseks digitaalmajanduse võtmetähtsusega valdkondades ja täielikult integreeritud digitaalse ühtse turu edendamiseks, lihtsustades internetipõhiste teenuste piiriülest kasutamist ja pöörates erilist tähelepanu turvalise e-identimise ja e-autentimise hõlbustamisele.

(6)

Oma 27. mai 2011. aasta järeldustes palus nõukogu komisjonil edendada digitaalset ühtset turgu sobivate tingimuste loomisega piiriüleste põhieelduste, näiteks e-identimise, e-dokumentide, e-allkirjade ja e-andmevahetusteenuste vastastikuseks tunnustamiseks ning koosvõimelisteks e-valitsuse teenusteks kogu Euroopa Liidus.

(7)

Oma 21. septembri 2010. aasta resolutsioonis e-kaubanduse siseturu väljakujundamise kohta (4) rõhutas Euroopa Parlament elektrooniliste teenuste, eelkõige e-allkirja turvalisuse tähtsust ja vajadust luua avaliku võtme infrastruktuur (PKI) üleeuroopalisel tasandil ning palus komisjonil luua Euroopa valideerimisasutuste portaal eesmärgiga tagada e-allkirja piiriülene koosvõime ja suurendada internetis tehtavate tehingute turvalisust.

(8)

Euroopa Parlamendi ja nõukogu direktiivis 2006/123/EÜ (5) nõutakse liikmesriikidelt ühtsete kontaktpunktide loomist selle tagamiseks, et kõiki teenuste osutamise valdkonnas tegutsemise alustamise ja selles valdkonnas tegutsemisega seotud toiminguid ja formaalsusi oleks lihtne teha eemalt elektrooniliste vahendite abil sobiva ühtse kontaktpunkti kaudu ja koos asjaomaste ametiasutustega. Paljud ühtsete kontaktpunktide kaudu kättesaadavad internetipõhised teenused eeldavad e-identimist, e-autentimist ja e-allkirja.

(9)

Enamasti ei saa kodanikud kasutada e-identimist enda autentimiseks teises liikmesriigis, sest nende koduriigi riiklikke e-identimise süsteeme teistes liikmesriikides ei tunnustata. Selline elektrooniline takistus ei lase teenuseosutajatel siseturust täit kasu saada. Vastastikku tunnustatavad e-identimise vahendid lihtsustavad paljude teenuste piiriülest osutamist siseturul ja võimaldavad ettevõtjatel piiriüleselt tegutseda, ilma et neil oleks palju takistusi avaliku sektori asutustega suhtlemisel.

(10)

Euroopa Parlamendi ja nõukogu direktiivis 2011/24/EL (6) luuakse e-tervise eest vastutavate riiklike asutuste võrgustik. Võrgustik peab piiriüleste tervishoiuteenuste turvalisuse ja järjepidevuse suurendamiseks koostama suunised piiriüleseks juurdepääsuks elektroonilistele tervishoiuandmetele ja -teenustele, muu hulgas toetades liikmesriike „ühiste identifitseerimis- ja autentimismeetmete väljatöötamisel, et hõlbustada piiriüleste tervishoiuteenuste osutamisel andmete edastamist”. E-identimise ja e-autentimise vastastikune tunnustamine on põhitegur, et muuta piiriülesed tervishoiuteenused Euroopa kodanike jaoks tegelikkuseks. Kui inimesed sõidavad ravi saamiseks teise riiki, peavad nende meditsiinilised andmed olema ravi osutavas riigis kättesaadavad. See eeldab kindlat, turvalist ja usaldusväärset e-identimise raamistikku.

(11)

Käesolevat määrust tuleks kohaldada täielikus vastavuses isikuandmete kaitse põhimõtetega, mis on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 95/46/EÜ (7). Seda arvesse võttes tuleks käesoleva määrusega kehtestatud vastastikuse tunnustamise põhimõtte kohaselt internetipõhise teenuse jaoks tehtava autentimise käigus töödelda ainult selliseid tuvastamisandmeid, mis on piisavad, asjakohased ega ületa asjaomasele teenusele internetipõhise juurdepääsu võimaldamiseks vajalikku. Samuti peaksid direktiivis 95/46/EÜ sätestatud töötlemise konfidentsiaalsuse ja turvalisuse nõuetest kinni pidama usaldusteenuse osutajad ja järelevalveasutused.

(12)

Üks käesoleva määruse eesmärke on kõrvaldada praegused takistused vähemalt e-identimise vahendite piiriüleselt kasutamiselt, mida liikmesriikides kasutatakse avalike teenuste autentimisel. Käesoleva määruse eesmärk ei ole sekkuda liikmesriikides loodud e-identiteedi haldamise süsteemide ja nendega seotud taristute küsimuses. Määruse eesmärk on tagada, et juurdepääsul liikmesriikide pakutavatele piiriülestele internetipõhistele teenustele oleks võimalik turvaline e-identimine ja e-autentimine.

(13)

Liikmesriikidele peaks jääma vabadus kasutada või juurutada e-identimise vahendeid juurdepääsuks internetipõhistele teenustele. Samuti peaks neil olema võimalus otsustada, kas kaasata nende vahendite pakkumisse ka erasektor. Liikmesriikidel ei peaks olema kohustust teavitada e-identimise süsteemidest komisjoni. Liikmesriikidel on võimalus valida, kas teavitada komisjoni kõikidest riigisiseselt vähemalt avalikele internetipõhistele teenustele juurdepääsuks kasutatavatest e-identimise süsteemidest, teha seda mõne süsteemi puhul või üldse mitte.

(14)

Käesolevas määruses tuleb sätestada mõned tingimused selle kohta, milliseid e-identimise vahendeid peab tunnustama ja kuidas e-identimise süsteemidest peaks teavitama. Need tingimused peaksid aitama liikmesriikidel luua vajalikku usaldust üksteise e-identimise süsteemide vastu ning vastastikku tunnustada e-identimise vahendeid, mis kuuluvad nende teavitatud süsteemidesse. Vastastikuse tunnustamise põhimõtet tuleks rakendada juhul, kui teavitava liikmesriigi e-identimise süsteem täidab teavitamise tingimusi ja teavitus on avaldatud Euroopa Liidu Teatajas. Vastastikuse tunnustamise põhimõtet tuleks siiski järgida ainult internetipõhiste teenuste autentimisel. Juurdepääs kõnealustele internetipõhistele teenustele ja nende lõplik osutamine taotlejale peaksid olema tihedalt seotud õigusega selliseid teenuseid siseriiklikes õigusaktides sätestatud tingimustel tarbida.

(15)

Kohustus tunnustada e-identimise vahendeid peaks puudutama ainult selliseid vahendeid, mille identiteedi tagatistase on võrdväärne kõnealuse internetipõhise teenuse puhul nõutava tasemega või on sellest kõrgem. Samuti tuleks kõnealust kohustust kohaldada vaid siis, kui asjaomane avaliku sektori asutus kasutab kõnealusele internetipõhisele teenusele juurdepääsuks tagatist, mille tase on märkimisväärne või kõrge. Kooskõlas liidu õigusega peaks liikmesriikidele jääma õigus tunnustada madalama identiteedi tagatistasemega e-identimise vahendeid.

(16)

Tagatistasemed peaksid kajastama, mil määral on e-identimise vahend isikusamasuse tuvastamiseks usaldusväärne, andes seega kindluse, et ennast teatud isikuna esitlev isik on tõepoolest isik, kellele need isikuandmed on omistatud. Tagatistaseme liik sõltub sellest, mil määral on see e-identimise vahend usaldusväärne isiku väidetava või tema poolt kinnitatud isikusamasuse tuvastamiseks, võttes arvesse menetlusi (näiteks isikusamasuse tõendamine ja kontrollimine ning autentimine), haldustegevust (näiteks e-identimise vahendeid väljastav üksus ja selliste vahendite väljastamise menetlus) ja rakendatavat tehnilist kontrolli. Liidu rahastatud suurprojektide, standardimise ja rahvusvahelise tegevuse tulemusena on koostatud erinevaid tagatistasemete tehnilisi määratlusi ja kirjeldusi. Suurprojekt STORK ja ISO 29115 osutavad eelkõige muu hulgas tasemetele 2, 3 ja 4, mida tuleks igati arvesse võtta tehniliste miinimumnõuete, standardite ja menetluste kehtestamisel madala, märkimisväärse ja kõrge tagatistaseme jaoks käesoleva määruse tähenduses, tagades samal ajal käesoleva määruse järjekindla kohaldamise eelkõige kõrge tagatistaseme puhul, mis on seotud isikusamasuse tõendamisega kvalifitseeritud sertifikaatide väljastamisel. Kehtestatavad tingimused peaksid olema tehnoloogiliselt neutraalsed. Vajalikke turvanõudeid peaks olema võimalik saavutada erinevate tehnoloogiate abil.

(17)

Liikmesriigid peaksid ergutama erasektorit vabatahtlikult kasutama teavitatud süsteemi kuuluvaid e-identimise vahendeid identimiseks, kui see on vajalik internetipõhiste teenuste või e-tehingute puhul. Võimalus kasutada kõnealuseid e-identimise vahendeid võimaldaks luua erasektoris usalduse paljudes liikmesriikides juba vähemalt avalike teenuste puhul laialdaselt kasutatava e-identimise ja e-autentimise vastu ning muuta piiriülese juurdepääsu erasektori internetipõhistele teenustele ettevõtjate ja kodanike jaoks lihtsamaks. Selleks et e-identimise vahendite piiriülest kasutamist erasektori jaoks lihtsamaks muuta, peaks liikmesriigi pakutav autentimisvõimalus olema väljaspool kõnealuse liikmesriigi territooriumi asuvatele erasektori tuginevatele isikutele kättesaadav samadel tingimustel kui kõnealuses liikmesriigis asuvatele erasektori tuginevatele isikutele. Seega võib teavitav liikmesriik erasektori tuginevate isikute puhul kindlaks määrata autentimisvahenditele juurdepääsu tingimused. Juurdepääsu tingimustes võib olla teade selle kohta, kas teavitatud süsteemi kuuluvad autentimisvahendid on erasektori tuginevatele isikutele juba kättesaadavad.

(18)

Käesolevas määruses sätestatakse teavitava liikmesriigi, e-identimise vahendit väljastava osalise ja autentimismenetlust läbiviiva osalise vastutus käesolevast määrusest tulenevate asjakohaste kohustuste täitmata jätmise korral. Käesolevat määrust tuleks aga kohaldada kooskõlas siseriiklike vastutust käsitlevate eeskirjadega. Seega ei mõjuta see näiteks neid siseriiklikke eeskirju, mis puudutavad kahjude määratlust või asjakohaseid kohaldatavaid menetluseeskirju, sealhulgas tõendamiskohustust.

(19)

E-identimise süsteemide turvalisus on põhitegur e-identimise süsteemide usaldusväärseks piiriüleseks vastastikuseks tunnustamiseks. Seoses sellega peaksid liikmesriigid tegema liidu tasandil koostööd e-identimise süsteemide koosvõime ja turvalisuse küsimustes. Juhul kui e-identimise süsteemid võivad nõuda tuginevatelt isikutelt teatava riist- või tarkvara kasutamist riigi tasandil, eeldab piiriülene koosvõime, et nimetatud liikmesriigid ei kehtestaks selliseid nõudeid väljaspool tema territooriumi asuvatele tuginevatele isikutele ega nõuaks nendega seonduvate kulude katmist. Sellisel juhul tuleks sobivaid lahendusi arutada ja need välja töötada koosvõime raamistiku piires. Teisalt ei ole võimalik vältida tehnilisi nõudeid, mis tulenevad riigisiseste e-identimise vahendite tehnilisest kirjeldusest ja mis tõenäoliselt mõjutavad selliste elektrooniliste vahendite (nt kiipkaardid) kasutajaid.

(20)

Liikmesriikide koostöö peaks olema suunatud teavitatud e-identimise süsteemide tehnilisele koosvõimele, et soodustada usalduse ja turvalisuse kõrget taset, mis vastab riski astmele. Liikmesriikidevaheline teabevahetus ja parimate tavade jagamine nende vastastikuse tunnustamise eesmärgil peaks nimetatud koostööle kaasa aitama.

(21)

Käesoleva määrusega tuleks luua ka üldine õigusraamistik usaldusteenuste kasutamiseks. Määrusega ei tuleks siiski kehtestada üldist kohustust neid teenuseid kasutada või rajada juurdepääsupunkt kõigi olemasolevate usaldusteenuste jaoks. Eelkõige ei peaks määrus hõlmama selliste teenuste osutamist, mida kindlaksmääratud hulk osalejaid kasutab eranditult suletud süsteemides ning mis ei mõjuta kolmandaid isikuid. Näiteks ei tuleks käesoleva määruse nõudeid kohaldada ettevõtete või avaliku halduse asutustes usaldusteenuseid kasutavate sisemenetluste haldamiseks loodud süsteemide suhtes. Käesolevas määruses sätestatud nõuetele peaksid vastama üksnes need üldsusele osutatavad usaldusteenused, mis mõjutavad kolmandaid isikuid. Samuti ei peaks käesolev määrus hõlmama lepingute sõlmimise ja kehtivuse või muude juriidiliste kohustuste tekkimise ja kehtivusega seotud aspekte, juhul kui vorminõuded on sätestatud siseriiklikus või liidu õiguses. Samuti ei peaks käesolev määrus mõjutama siseriiklikke vorminõudeid avalike registrite, eelkõige äriregistri ja kinnistusraamatu kohta.

(22)

Selleks et soodustada usaldusteenuste üldist piiriülest kasutamist, peaks neid kõikides liikmesriikides olema võimalik kasutada tõendina kohtumenetlustes. Usaldusteenuste õiguslik toime tuleks kindlaks määrata siseriiklikus õiguses, juhul kui käesolevas määruses ei ole sätestatud teisiti.

(23)

Kui käesoleva määrusega kehtestatakse kohustus tunnustada usaldusteenust, võib sellist usaldusteenust mitte tunnustada vaid juhul, kui adressaat ei ole võimeline seda kasutama või kontrollima tehnilistel põhjustel, mida adressaat mõjutada ei saa. Kõnealune kohustus ei peaks iseenesest siiski tingima nõuet, et avaliku sektori asutus soetaks kõigi olemasolevate usaldusteenuste tehnilist kasutamist võimaldava riist- või tarkvara.

(24)

Liikmesriigid võivad säilitada või kehtestada usaldusteenuseid käsitlevaid liidu õigusega kooskõlas olevaid siseriiklikke õigusnorme, kui asjaomased teenused on käesoleva määrusega jäetud täielikult ühtlustamata. Käesoleva määrusega kooskõlas olevad usaldusteenused peaksid siiski olema siseturul vabas ringluses.

(25)

Liikmesriikidel peaks olema vabadus lisaks käesolevas määruses sätestatud usaldusteenuste suletud nimekirja kuuluvatele usaldusteenustele kindlaks määrata muud liiki usaldusteenuseid, et neid tunnustataks riiklikul tasandil kvalifitseeritud usaldusteenustena.

(26)

Arvestades tehnoloogiliste muutuste kiirust, tuleks käesolevas määruses kasutada uuendustele avatud lähenemisviisi.

(27)

Käesolev määrus peaks olema tehnoloogiaküsimustes neutraalne. Selle õiguslik mõju peaks olema saavutatav mis tahes tehniliste vahenditega eeldusel, et täidetakse käesoleva määruse tingimusi.

(28)

Selleks et suurendada eelkõige väikese ja keskmise suurusega ettevõtjate (VKEd) ja tarbijate usaldust siseturu vastu ning edendada usaldusteenuste ja -toodete kasutamist, tuleks nõuete ja kohustuste määratlemisel võtta kasutusele kvalifitseeritud usaldusteenuste ja kvalifitseeritud usaldusteenuse osutaja mõisted, mis tagavad kõigi kasutatavate või osutatavate kvalifitseeritud usaldusteenuste ja -toodete turvalisuse kõrge taseme.

(29)

Vastavalt nõukogu otsusega 2010/48/EÜ (8) heaks kiidetud ÜRO puuetega inimeste õiguste konventsioonist, eelkõige konventsiooni artiklist 9 tulenevatele kohustustele peaksid puuetega inimesed saama kasutada usaldusteenuseid ja nende teenuste osutamisel kasutatavaid lõpptarbijale suunatud tooteid teiste tarbijatega võrdsetel alustel. Osutatavad usaldusteenused ja kõnealuste teenuste osutamisel kasutatavad lõpptarbijale suunatud tooted tuleks seega võimaluse korral teha puuetega inimestele juurdepääsetavaks. Teostatavusuuring peaks hõlmama muu hulgas tehnilisi ja majanduslikke kaalutlusi.

(30)

Liikmesriigid peaksid määrama järelevalveasutuse või järelevalveasutused käesoleva määruse kohase järelevalve teostamiseks. Samuti peaks liikmesriikidel olema võimalik vastastikusel kokkuleppel teise liikmesriigiga otsustada määrata selle teostamiseks kõnealuses teises liikmesriigis asuv järelevalveasutus.

(31)

Järelevalveasutused peaksid tegema andmekaitseasutustega koostööd, näiteks teavitades neid kvalifitseeritud usaldusteenuse osutajate auditite tulemustest, kui ilmneb, et isikuandmete kaitse eeskirju on rikutud. Teavitamine peaks hõlmama eelkõige turvaintsidente ja isikuandmetega seotud rikkumisi.

(32)

Kõik usaldusteenuse osutajad on kohustatud kohaldama oma tegevusega seotud ohte arvestavaid häid turvatavasid, et suurendada kasutajate usaldust ühtse turu vastu.

(33)

Sätted, mis käsitlevad varjunimede kasutamist sertifikaatidel, ei tohiks takistada liikmesriike nõudmast isikute tuvastamist liidu või siseriikliku õiguse kohaselt.

(34)

Kõik liikmesriigid peaksid täitma olulisi ühiseid järelevalvenõudeid, et tagada kvalifitseeritud usaldusteenuste võrreldav turvatase. Selleks et hõlbustada nimetatud nõuete järjekindlat kohaldamist kogu liidus, peaksid liikmesriigid võtma kasutusele võrreldavad meetmed ning vahetama teavet oma järelevalvetoimingute ja parimate tavade kohta kõnealuses valdkonnas.

(35)

Käesoleva määruse nõudeid, eelkõige turvalisust ja vastutust käsitlevaid sätteid, tuleks kohaldada kõigi usaldusteenuse osutajate suhtes, et tagada nende tegevuse ja teenustega seotud hoolsuskohustuse täitmine, läbipaistvus ja vastutus. Võttes arvesse usaldusteenuse osutajate poolt osutatavate teenuste liiki, on selliste nõuete puhul siiski kohane teha vahet kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutajatel.

(36)

Kõiki usaldusteenuse osutajaid hõlmava järelevalvekorra kehtestamine peaks tagama nende tegevuse ja teenuste turvalisusele ja nendega seotud vastutusele võrdsed tingimused, mis parandab kasutajate kaitset ja siseturu toimimist. Kvalifitseerimata usaldusteenuse osutajate suhtes tuleks kohaldada paindlikku ja reageerivat järgnevat järelevalvet, mis on nende teenuste ja tegevuse laadist tulenevalt põhjendatud. Seega ei peaks järelevalveasutusel olema üldist kohustust teostada järelevalvet kvalifitseerimata usaldusteenuse osutajate üle. Järelevalveasutus peaks võtma meetmeid vaid juhul, kui talle saab teatavaks (näiteks ta saab asjakohase teate kvalifitseerimata usaldusteenuse osutajalt endalt, teiselt järelevalveasutuselt, tema kasutajalt või äripartnerilt või see selgub järelevalveasutuse enda läbiviidud uurimise põhjal), et kvalifitseerimata usaldusteenuse osutaja ei vasta käesoleva määruse nõuetele.

(37)

Käesolevas määruses tuleks sätestada kõigi usaldusteenuse osutajate vastutus. Eelkõige kehtestatakse määrusega vastutuskord, mille kohaselt kõik usaldusteenuse osutajad peaksid vastutama füüsilisele või juriidilisele isikule põhjustatud kahju eest, mis tuleneb käesolevas määruses sätestatud kohustuste täitmata jätmisest. Selleks et hõlbustada sellise finantsriski hindamist, mida usaldusteenuse osutajatel tuleb võib-olla kanda või mille nad peaksid katma kindlustuspoliisidega, võivad usaldusteenuse osutajad käesoleva määruse kohaselt teatud tingimustel kehtestada nende osutatavate teenuste kasutamisele piirangud ja mitte vastutada kahju eest, mis tuleneb selliseid piiranguid ületavast teenuste kasutamisest. Kliente tuleks piirangutest eelnevalt nõuetekohaselt teavitada. Sellised piirangud peaksid olema kolmandale isikule arusaadavad, näiteks võib sellekohase piiranguid käsitleva teabe lisada osutatavate teenuste kasutamistingimustesse või kasutada muid arusaadavaid vahendeid. Nende põhimõtete jõustamisel tuleks käesolevat määrust kohaldada kooskõlas siseriiklike vastutust käsitlevate eeskirjadega. Seega ei mõjuta käesolev määrus näiteks siseriiklikke eeskirju, mis puudutavad kahjude määratlust, tahtlikkust, ettevaatamatust või asjakohaseid kohaldatavaid menetluseeskirju.

(38)

Turvarikkumistest teatamine ja turvaohtude hindamine on väga oluline asjaomastele isikutele adekvaatse teabe andmisel turvarikkumise või tervikluse kao korral.

(39)

Selleks et võimaldada komisjonil ja liikmesriikidel hinnata käesoleva määruse kehtestatud rikkumistest teatamise mehhanismi tõhusust, tuleks järelevalveasutustelt nõuda kokkuvõtliku teabe esitamist komisjonile ning Euroopa Liidu Võrgu- ja Infoturbeametile (ENISA).

(40)

Selleks et võimaldada komisjonil ja liikmesriikidel hinnata käesoleva määrusega kehtestatud täiustatud järelevalvemehhanismi tõhusust, tuleks järelevalveasutustelt nõuda aruandeid nende tegevuse kohta. See aitaks oluliselt lihtsustada heade tavade vahetamist järelevalveasutuste vahel ja tagaks, et kõikides liikmesriikides kontrollitakse oluliste järelevalvenõuete järjekindlat ja tõhusat rakendamist.

(41)

Selleks et tagada kvalifitseeritud usaldusteenuste jätkusuutlikkus ja püsivus ning suurendada kasutajate usaldust kvalifitseeritud usaldusteenuste järjepidevuse vastu, peaksid järelevalveasutused kontrollima lõpetamiskava käsitlevate sätete olemasolu ja nõuetekohast kohaldamist juhtudel, kui kvalifitseeritud usaldusteenuse osutajad lõpetavad oma tegevuse.

(42)

Kvalifitseeritud usaldusteenuse osutajate üle järelevalve teostamise lihtsustamiseks näiteks juhul, kui teenuseosutaja pakub oma teenuseid teise liikmesriigi territooriumil ega ole seal järelevalve all, või juhul, kui teenuseosutaja arvutid asuvad mõne muu liikmesriigi territooriumil kui teenuseosutaja asukohaliikmesriik, tuleks luua liikmesriikide järelevalveasutuste vahelise vastastikuse abistamise süsteem.

(43)

Selleks et tagada kvalifitseeritud usaldusteenuse osutajate ja nende osutatavate teenuste vastavus käesoleva määruse nõuetele, peaks vastavushindamisasutus teostama nende vastavushindamise ja kvalifitseeritud usaldusteenuse osutajad peaksid hindamise tulemusel valminud vastavushindamisaruande esitama järelevalveasutusele. Kui järelevalveasutus nõuab kvalifitseeritud usaldusteenuse osutajalt ad hoc-vastavushindamisaruande esitamist, peaks järelevalveasutus kinni pidama eelkõige hea valitsemistava põhimõttest, sealhulgas kohustusest oma otsuseid põhjendada, ning proportsionaalsuse põhimõttest. Seetõttu peaks järelevalveasutus nõuetekohaselt põhjendama oma otsust, millega nõutakse ad hoc-vastavushindamisaruande esitamist.

(44)

Käesoleva määruse eesmärk on tagada ühtne raamistik usaldusteenuste turvalisuse ja õiguskindluse kõrge taseme kindlustamiseks. Seoses sellega peaks komisjon toodete ja teenuste vastavushindamise käsitlemisel püüdma vajaduse korral saavutada koostoimet asjakohaste olemasolevate Euroopa tasandi ja rahvusvaheliste kavadega, näiteks Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 765/2008, (9) milles sätestatakse vastavushindamisasutuste akrediteerimise ja toodete turujärelevalve nõuded.

(45)

Selleks et võimaldada tõhusat algatusprotsessi, mis viiks kvalifitseeritud usaldusteenuse osutajate ja nende pakutavate kvalifitseeritud usaldusteenuste usaldusnimekirja kandmiseni, tuleks ergutada eelsuhtlust tulevaste kvalifitseeritud usaldusteenuse osutajate ja pädevate järelevalveasutuste vahel, et lihtsustada hoolsuskohustuse täitmist, mis viib kvalifitseeritud usaldusteenuste osutamiseni.

(46)

Usaldusnimekirjad on turu korraldajate vahelise usalduse loomisel väga olulised, sest need näitavad teenuseosutaja kvalifitseeritud staatust järelevalve ajal.

(47)

Usaldus internetipõhiste teenuste vastu ja nende kasutamise mugavus on üliolulised selleks, et kasutajad saaksid e-teenustest täielikku kasu ja neid teadlikult kasutada. Selleks tuleks luua ELi usaldusmärk, mis tähistaks kvalifitseeritud usaldusteenuse osutajate poolt osutatavaid kvalifitseeritud usaldusteenuseid. Selline kvalifitseeritud usaldusteenuse osutajate ELi usaldusmärk eristaks kvalifitseeritud usaldusteenuseid selgelt teistest usaldusteenustest, aidates seega kaasa turu läbipaistvusele. ELi usaldusmärgi kasutamine kvalifitseeritud usaldusteenuse osutajate poolt peaks olema vabatahtlik ja sellest ei peaks tulenema muid nõudeid peale käesolevas määruses sätestatud nõuete.

(48)

Kuigi e-allkirjade vastastikuse tunnustamise tagamiseks on vaja kõrget turvataset, tuleks teatavatel juhtudel, näiteks seoses komisjoni otsusega 2009/767/EÜ (10) tunnustada ka madalama turvatasemega e-allkirju.

(49)

Käesoleva määrusega tuleks kehtestada põhimõte, et e-allkirja ei tohiks tunnistada õiguslikult kehtetuks seetõttu, et see on elektroonilisel kujul või ei vasta kvalifitseeritud e-allkirjadele esitatavatele nõuetele. E-allkirjade õiguslik toime peaks olema kindlaks määratud siseriiklikus õiguses, välja arvatud käesolevas määruses sätestatud nõue, mille kohaselt kvalifitseeritud e-allkirjal peaks olema käsitsi kirjutatud allkirjaga samaväärne õiguslik toime.

(50)

Kuna praegu kasutavad liikmesriikide pädevad ametiasutused oma dokumentide elektrooniliseks allkirjastamiseks täiustatud e-allkirja erinevaid formaate, on vaja tagada, et liikmesriikidel on võimalik elektrooniliselt allkirjastatud dokumentide saamise korral tehniliselt toetada vähemalt teatavat hulka täiustatud e-allkirja formaate. Samamoodi tuleks tagada, et kui liikmesriikide pädevad asutused kasutavad täiustatud e-templit, toetaksid nad vähemalt teatavat hulka täiustatud e-templi formaate.

(51)

Allkirja andja peaks saama usaldada kvalifitseeritud e-allkirja andmise vahendeid kolmanda isiku hooleks eeldusel, et rakendatakse asjakohaseid mehhanisme ja menetlusi selle tagamiseks, et üksnes allkirja andjal on kontroll oma e-allkirja andmiseks vajalike andmete üle, ning eeldusel, et vahendi kasutamisel täidetakse kvalifitseeritud e-allkirjadele esitatavaid nõudeid.

(52)

E-allkirjade andmine vahemaa tagant, mille puhul e-allkirja andmise keskkonda haldab allkirja andja nimel usaldusteenuse osutaja, tõenäoliselt suureneb e-allkirja paljude majanduslike eeliste tõttu. Tagamaks, et sellised e-allkirjad tunnistatakse õiguslikult samaväärseks täielikult kasutaja hallatavas keskkonnas antud e-allkirjadega, peaksid vahemaa tagant e-allkirja andmise teenuse osutajad kohaldama konkreetseid turvalisi juhtimis- ja haldusmenetlusi ning kasutama usaldusväärseid süsteeme ja tooteid, sealhulgas turvalisi elektroonilise side kanaleid, et tagada e-allkirja andmise keskkonna usaldusväärsus ja sellise keskkonna kasutamine üksnes allkirja andja järelevalve all. Juhul kui kvalifitseeritud e-allkiri on antud vahemaa tagant e-allkirja andmise vahendiga, tuleks kohaldada käesoleva määrusega sätestatud kvalifitseeritud usaldusteenuse osutajate suhtes kohaldatavaid nõudeid.

(53)

Kvalifitseeritud sertifikaatide peatamine on mitme liikmesriigi puhul usaldusteenuse osutajate seas kindlalt väljakujunenud tegevuspraktika, mis erineb tühistamisest ja mis toob kaasa sertifikaadi ajutise kehtetuse. Õiguskindluse huvides on vaja, et sertifikaadi peatatud staatus oleks alati selgesti märgitud. Seetõttu peaks usaldusteenuse osutajad olema kohustatud selgelt märkima sertifikaadi staatuse ja selle peatamise korral täpse ajavahemiku, mille jooksul sertifikaat on peatatud. Käesoleva määrusega ei tohiks usaldusteenuse osutajaid või liikmesriike kohustada sertifikaadi peatamist kasutama, vaid tuleks ette näha läbipaistvuseeskirjad juhtudeks, kui selline võimalus on olemas.

(54)

Kvalifitseeritud sertifikaatide piiriülene koosvõime ja tunnustamine on kvalifitseeritud e-allkirjade piiriülese tunnustamise eelduseks. Seetõttu ei tohiks kvalifitseeritud sertifikaatide suhtes kohaldada ühtegi kohustuslikku nõuet, mis ületab käesolevas määruses sätestatud nõudeid. Riigi tasandil tuleks siiski lubada lisada kvalifitseeritud sertifikaatidele eritunnuseid, näiteks kordumatuid identifitseerimistunnuseid, eeldusel et sellised eritunnused ei takista kvalifitseeritud sertifikaatide ja e-allkirjade piiriülest koosvõimet ja tunnustamist.

(55)

Rahvusvahelistel standarditel põhinev infotehnoloogia turvasertifitseerimine (näiteks ISO 15408 ja seonduvad hindamismeetodid ja vastastikuse tunnustamise kord) on oluline kvalifitseeritud e-allkirja andmise vahendi turvalisuse verifitseerimise vahend ja selle kasutamist tuleks edendada. Innovaatilised lahendused ja teenused, näiteks allkirja andmine mobiiltelefoniga ja pilvepõhiselt, tuginevad aga kvalifitseeritud allkirja andmise vahenditega seotud tehnilistele ja organisatoorsetele lahendustele, millele ei pruugi veel turvastandardit olla või mille esmane infotehnoloogia turvasertifitseerimine on pooleli. Kvalifitseeritud e-allkirja andmise vahendite turvalisuse taset võiks hinnata alternatiivsete protsesside abil üksnes juhul, kui turvastandardit ei ole või kui esmane infotehnoloogia turvasertifitseerimine on pooleli. Need protsessid peaksid olema võrreldavad infotehnoloogia turvasertifitseerimise standarditega, kui tegu on samaväärsete turvatasemetega. Selliste protsesside juures võiks olla kasu vastastikusest hindamisest.

(56)

Käesolevas määruses tuleks sätestada nõuded kvalifitseeritud e-allkirja andmise vahenditele, et tagada täiustatud e-allkirjade toimivus. Käesoleva määrusega ei tuleks hõlmata kogu süsteemikeskkonda, milles sellised vahendid toimivad. Seetõttu tuleks kvalifitseeritud allkirja andmise vahendite sertifitseerimise kohaldamisel piirduda riistvara ja süsteemitarkvaraga, mida kasutatakse allkirja andmiseks kasutatavate andmete loomiseks, säilitamiseks või töötlemiseks allkirja andmise vahendis. Vastavalt asjaomastes standardites esitatule ei tohiks sertifitseerimise kohustus hõlmata allkirja andmise rakendusi.

(57)

Allkirja kehtivusega seotud õiguskindluse tagamiseks on väga oluline täpsustada, milliseid kvalifitseeritud e-allkirja osi peaks valideeriv tuginev isik hindama. Lisaks peaks selliste nõuete määratlemine, mida esitatakse kvalifitseeritud usaldusteenuse osutajatele, kes võivad osutada kvalifitseeritud valideerimisteenust tuginevatele isikutele, kes ei soovi või ei saa ise kvalifitseeritud e-allkirju valideerida, innustama era- ja avalikku sektorit sellistesse teenustesse investeerima. Need mõlemad asjaolud peaksid muutma kvalifitseeritud e-allkirjade valideerimise liidu tasandil lihtsaks ja mugavaks kõigile osalistele.

(58)

Kui tehingu tegemine eeldab juriidilise isiku kvalifitseeritud e-templit, peaks samavõrra aktsepteeritav olema ka juriidilise isiku volitatud esindaja kvalifitseeritud e-allkiri.

(59)

E-tempel peaks olema tõend selle kohta, et e-dokumendi on väljastanud juriidiline isik, ning tagama kindluse dokumendi päritolu ja tervikluse suhtes.

(60)

E-templi kvalifitseeritud sertifikaate väljastavad usaldusteenuse osutajad peaksid rakendama vajalikud meetmed, mis võimaldavad teha kindlaks juriidilist isikut esindava füüsilise isiku, kellele e-templi kvalifitseeritud sertifikaat väljastatakse, juhul kui selline kindlakstegemine on riigi tasandil vajalik seoses haldus- või kohtumenetlustega.

(61)

Käesoleva määrusega tuleks tagada teabe pikaajaline säilitamine, et tagada e-allkirjade ja e-templite õiguslik kehtivus pika aja jooksul, ning garanteerida võimalus neid valideerida sõltumata tehnoloogia arengust tulevikus.

(62)

Kvalifitseeritud e-ajatemplite turvalisuse tagamiseks tuleks käesolevas määruses nõuda täiustatud e-templi või täiustatud e-allkirja või teiste samaväärsete meetodite kasutamist. On tõenäoline, et innovatsioon viib uute tehnoloogiateni, mis võivad tagada ajatemplite turvalisuse samaväärsel tasemel. Kui kasutatakse teisi meetodeid peale täiustatud e-templi või täiustatud e-allkirja, peaks kvalifitseeritud usaldusteenuse osutaja vastavushindamisaruandes tõendama, et selline meetod tagab samaväärse turvalisuse taseme ja vastab käesolevas määruses sätestatud kohustustele.

(63)

E-dokumendid on olulised piiriüleste e-tehingute edasiarendamiseks siseturul. Selle tagamiseks, et e-tehingut ei lükata tagasi ainuüksi seetõttu, et dokument on elektroonilisel kujul, tuleks käesoleva määrusega kehtestada põhimõte, et e-dokumenti ei tohiks tunnistada õiguslikult kehtetuks põhjusel, et see on elektroonilisel kujul.

(64)

Täiustatud e-allkirja ja e-templi formaatide käsitlemisel peaks komisjon tuginema olemasolevatele tavadele, standarditele ja õigusnormidele, eelkõige komisjoni otsusele 2011/130/EL (11).

(65)

E-templit võib lisaks juriidilise isiku väljastatud dokumendi autentimisele kasutada ka kõikide juriidilise isiku digitaalvarade, näiteks tarkvara või serverite autentimiseks.

(66)

Oluline on luua õigusraamistik registreeritud e-andmevahetusteenusega seotud olemasolevate riiklike õigussüsteemide piiriülese tunnustamise hõlbustamiseks. Selline raamistik võiks avada liidu usaldusteenuste osutajatele uued turuvõimalused ka uute üleeuroopaliste registreeritud e-andmevahetusteenuste pakkumisel.

(67)

Veebisaidi autentimisteenused pakuvad veebisaidi külastajale vahendi, mille abil teha kindlaks, et veebisait on ehtne ja seaduslik. Sellised teenused aitavad luua usaldust ja kindlustunnet internetipõhise äritegevuse suhtes, kuna autenditud veebisait on kasutajate jaoks usaldusväärne. Veebisaidi autentimisteenuste osutamine ja kasutamine on täiesti vabatahtlik. Selleks aga, et veebisaidi autentimisteenusest saaks usalduse suurendamise, kasutajakogemuse parandamise ja siseturu kasvu edendamise vahend, tuleks käesolevas määruses kehtestada teenuseosutajatele ja nende teenustele minimaalsed turvalisuse ja vastutusega seotud kohustused. Seetõttu on arvesse võetud olemasolevate tööstusharupoolsete algatuste, näiteks sertifitseerimisasutuste ja brauserite foorumi tulemusi. Lisaks ei tohiks käesolev määrus takistada teiste, käesoleva määruse kohaldamisalasse mittekuuluvate veebisaidi autentimisvahendite või meetodite kasutamist ega takistada kolmandate riikide veebisaidi autentimisteenuste pakkujaid liidus oma teenuseid pakkumast. Käesoleva määruse kohaselt tuleks kolmanda riigi teenuseosutaja veebisaidil pakutavaid autentimisteenuseid tunnustada kvalifitseeritud teenustena vaid juhul, kui liidu ja kolmanda riigi vahel, kus teenuseosutaja on asutatud, on sõlmitud rahvusvaheline kokkulepe.

(68)

„Juriidilise isiku” mõiste asutamisvabadust käsitlevate Euroopa Liidu toimimise lepingu (ELi toimimise leping) sätete kohaselt jätab ettevõtjate otsustada, millises õiguslikus vormis nad peavad sobivaks oma tegevust teostada. Seega on „juriidilised isikud” ELi toimimise lepingu tähenduses kõik isikud, kes on asutatud liikmesriigi õiguse alusel või kelle tegevus on reguleeritud liikmesriigi õigusega, sõltumata nende õiguslikust vormist.

(69)

Liidu institutsioone, organeid ja asutusi innustatakse tunnustama käesoleva määrusega hõlmatud e-identimist ja usaldusteenuseid halduskoostööks, kasutades eelkõige ära olemasolevaid häid tavasid ja käimasolevate projektide tulemusi käesoleva määrusega hõlmatud valdkondades.

(70)

Käesoleva määruse teatavate tehniliste aspektide paindlikuks ja kiireks täiendamiseks peaks komisjonil olema õigus võtta kooskõlas ELi toimimise lepingu artikliga 290 vastu delegeeritud õigusakte kriteeriumide kohta, millele peavad vastama kvalifitseeritud e-allkirja andmise vahendite sertifitseerimise eest vastutavad asutused. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil. Delegeeritud õigusaktide ettevalmistamisel ja koostamisel peaks komisjon tagama asjaomaste dokumentide sama- ja õigeaegse ning asjakohase edastamise Euroopa Parlamendile ja nõukogule.

(71)

Selleks et tagada käesoleva määruse ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused eelkõige selliste standardite viitenumbrite täpsustamiseks, mille kasutamine eeldaks vastavust teatavatele käesolevas määruses sätestatud nõuetele. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (12).

(72)

Delegeeritud õigusaktide vastuvõtmisel peaks komisjon arvesse võtma Euroopa ja rahvusvaheliste standardimisorganisatsioonide, eelkõige Euroopa Standardikomitee (CEN), Euroopa Telekommunikatsioonistandardite Instituudi (ETSI), Rahvusvahelise Standardiorganisatsiooni (ISO) ja Rahvusvahelise Telekommunikatsiooni Liidu (ITU) välja töötatud standardeid ja tehnilisi kirjeldusi, et tagada e-identimise ja usaldusteenuste turvalisuse ja koosvõime kõrge tase.

(73)

Õiguskindluse ja selguse huvides tuleks direktiiv 1999/93/EÜ tunnistada kehtetuks.

(74)

Selleks et tagada õiguskindlus turul osalejatele, kes juba kasutavad vastavalt direktiivile 1999/93/EÜ väljastatud kvalifitseeritud sertifikaate, on vaja ette näha piisav üleminekuaeg. Samuti tuleks ette näha üleminekumeetmed turvalise allkirja andmise vahendite jaoks, mille vastavus on kindlaks määratud direktiiviga 1999/93/EÜ, ning sertifitseerimisteenuste osutajate jaoks, kes väljastavad kvalifitseeritud sertifikaate enne 1. juulit 2016. Lisaks tuleb anda komisjoni käsutusse vahendid rakendusaktide ja delegeeritud õigusaktide vastuvõtmiseks enne nimetatud tähtaega.

(75)

Käesolevas määruses sätestatud kohaldamiskuupäevad ei mõjuta liikmesriikide olemasolevaid kohustusi, mis tulenevad liidu õigusest, eelkõige direktiivist 2006/123/EÜ.

(76)

Kuna käesoleva määruse eesmärke ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid meetme ulatuse tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(77)

Euroopa andmekaitseinspektoriga konsulteeriti kooskõlas Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 45/2001 (13) artikli 28 lõikega 2 ning ta esitas arvamuse 27. septembril 2012 (14),

a)

sätestatakse tingimused, mille alusel peavad liikmesriigid tunnustama füüsiliste ja juriidiliste isikute e-identimise vahendeid, mis kuuluvad teise liikmesriigi teavitatud e-identimise süsteemi,

b)

sätestatakse usaldusteenuste, eelkõige e-tehingute eeskirjad, ning

c)

luuakse õigusraamistik e-allkirja, e-templi, e-ajatempli, e-dokumentide, registreeritud e-andmevahetusteenuste ja veebisaitide autentimise sertifitseerimisteenuste jaoks.

a)

e-allkirjade, e-templite või e-ajatemplite, registreeritud e-andmevahetusteenuste ning nende teenustega seotud sertifikaatide loomises, kontrollimises ja valideerimises, või

b)

veebisaidi autentimise sertifikaatide loomises, kontrollimises ja valideerimises, või

c)

e-allkirjade, e-templite või nende teenustega seotud sertifikaatide säilitamises;

a)

e-identimise vahend on väljastatud e-identimise süsteemi kohaselt, mis on kantud komisjoni poolt vastavalt artiklile 9 avaldatud nimekirja;

b)

e-identimise vahendi usaldusväärsuse tase vastab usaldusväärsuse tasemele, mida avaliku sektori asutus nõuab kõnealusele internetipõhisele teenusele juurdepääsuks esimesena nimetatud liikmesriigis, või on sellest usaldusväärsuse tasemest kõrgem, eeldusel et selle e-identimise vahendi usaldusväärsuse tase on märkimisväärne või kõrge;

c)

asjaomane avaliku sektori asutus kasutab kõnealusele internetipõhisele teenusele juurdepääsuks usaldusväärsuse taset, mille tase on märkimisväärne või kõrge.

a)

e-identimise süsteemi kuuluv e-identimise vahend on väljastatud:

b)

e-identimise süsteemi kuuluvat e-identimise vahendit saab kasutada juurdepääsuks vähemalt ühele teenusele, mida osutab avaliku sektori asutus ja mis eeldab teavitavas liikmesriigis e-identimist;

c)

e-identimise süsteem ja selle kohaselt väljastatud e-identimise vahend vastavad vähemalt ühe usaldusväärsuse taseme nõuetele, mis on sätestatud artikli 8 lõikes 3 osutatud rakendusaktis;

d)

teavitav liikmesriik tagab, et ainulaadsed kõnealust isikut tähistavad isikutuvastusandmed omistatakse artikli 3 punktis 1 osutatud füüsilisele või juriidilisele isikule sellesse süsteemi kuuluva e-identimise vahendi väljastamisel kooskõlas tehniliste kirjelduste, standardite ja menetlustega, mis on artikli 8 lõikes 3 osutatud rakendusaktis ette nähtud asjakohase usaldusväärsuse taseme jaoks;

e)

sellesse süsteemi kuuluvat e-identimise vahendit väljastav osaline tagab e-identimise vahendi omistamise käesoleva artikli punktis d osutatud isikule kooskõlas tehniliste kirjelduste, standardite ja menetlustega, mis on artikli 8 lõikes 3 osutatud rakendusaktis ette nähtud asjakohase usaldusväärsuse taseme jaoks;

f)

teavitav liikmesriik tagab internetipõhise autentimise võimaluse nii, et teise liikmesriigi territooriumil asuv tuginev isik saab kinnitada elektrooniliselt saadud isikutuvastusandmeid.

Teavitav liikmesriik võib kindlaks määrata kõnealusee autentimise kasutustingimused tuginevatele isikutele, kes ei ole avaliku sektori asutused. Piiriülene autentimine on tasuta, kui autenditakse avaliku sektori asutuse internetipõhist teenust.

Liikmesriigid ei kehtesta autentimiskavatsusega tuginevate isikute suhtes ebaproportsionaalseid tehnilisi tingimusi, mis takistavad või raskendavad märkimisväärselt teavitatud e-identimise süsteemide koosvõimet;

g)

vähemalt kuus kuud enne artikli 9 lõike 1 kohast teavitamist esitab teavitav liikmesriik teistele liikmesriikidele artikli 12 lõikest 5 tuleneva kohustuse täitmiseks selle süsteemi kirjelduse artikli 12 lõikes 7 osutatud rakendusaktidega kehtestatud menetluskorra kohaselt;

h)

e-identimise süsteem vastab artikli 12 lõikes 8 osutatud rakendusaktis sätestatud nõuetele.

a)

madal usaldusväärsuse tase osutab e-identimise süsteemi kuuluvale e-identimise vahendile, mis on isiku väidetava või tema poolt kinnitatud isikusamasuse tuvastamiseks piiratud määral usaldusväärne ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada isikuandmete väärkasutamise või muutmise ohtu;

b)

märkimisväärne usaldusväärsuse tase osutab e-identimise süsteemi kuuluvale e-identimise vahendile, mis on isiku väidetava või tema poolt kinnitatud isikusamasuse tuvastamiseks olulisel määral usaldusväärne ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada märkimisväärselt isikuandmete väärkasutamise või muutmise ohtu;

c)

kõrge usaldusväärsuse tase osutab e-identimise süsteemi kuuluvale e-identimise vahendile, mis on isiku väidetava või tema poolt kinnitatud isikusamasuse tuvastamiseks kõrgema usaldusväärsuse tasemega kui märkimisväärse usaldusväärsuse tasemega e-identimise vahend ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on hoida ära isikuandmete väärkasutamist või muutmist.

a)

e-identimise vahendi väljastamist taotleva füüsilise või juriidilise isiku isikusamasuse tõendamise ja kontrollimise menetlus;

b)

taotletava e-identimise vahendi väljastamise menetlus;

c)

autentimise mehhanism, kus füüsiline või juriidiline isik kasutab e-identimise vahendit selleks, et kinnitada oma isikusamasust tuginevale isikule;

d)

e-identimise vahendit väljastav üksus;

e)

muu asutus, kes osaleb e-identimise vahendi väljastamise taotlemises, ning

f)

väljastatud e-identimise vahendite tehnilised kirjeldused ja turvaspetsifikaadid.

a)

e-identimise süsteemi kirjeldus. kaasa arvatud selle usaldusväärsuse tase ja sellesse süsteemi kuuluvate e-identimise vahendite väljastaja(d);

b)

kohaldatav järelevalvekord ja järgmine vastutuskorda puudutav teave:

c)

teavitatud e-identimise süsteemi eest vastutav asutus või vastutavad asutused;

d)

teave ainulaadsete isikutuvastusandmete registreerimist haldava üksuse või haldavate üksuste kohta;

e)

kirjeldus, kuidas täidetakse artikli 12 lõikes 8 osutatud rakendusaktis sätestatud nõuded;

f)

artikli 7 punktis f osutatud autentimise kirjeldus;

g)

teavitatud e-identimise süsteemi, autentimise või asjaomase ohustatud osa peatamise või tühistamise kord.

a)

see on tehnoloogiliselt neutraalne ja ei diskrimineeri asjaomases liikmesriigis ühtegi konkreetset siseriiklikku e-identimise tehnilist lahendust;

b)

see vastab võimaluse korral Euroopa ja rahvusvahelistele standarditele;

c)

see hõlbustab lõimitud eraelukaitse põhimõtte rakendamist ning

d)

see tagab isikuandmete töötlemise kooskõlas direktiiviga 95/46/EÜ.

a)

viide artiklis 8 sätestatud usaldusväärsuse tasemetega seotud tehnilistele miinimumnõuetele;

b)

teavitatud e-identimise süsteemide siseriiklike usaldusväärsuse tasemete seostamine artikli 8 kohaste usaldusväärsuse tasemetega;

c)

viide ette nähtud tehnilise koosvõime miinimumnõuetele;

d)

viide e-identimise süsteemidest kättesaadavatele minimaalsele hulgale isikutuvastamisandmetele, mis tähistavad ainuüksi üht füüsilist või juriidilist isikut;

e)

menetluseeskirjad;

f)

vaidluste lahendamise kord ning

g)

ühised toimimise turvalisuse standardid.

a)

koosvõime artikli 9 lõike 1 kohaselt teavitatud e-identimise süsteemide ja nende e-identimise süsteemide vahel, millest liikmesriigid kavatsevad teavitada, ning

b)

e-identimise süsteemide turvalisus.

a)

teabe, kogemuste ja heade tavade vahetamine e-identimise süsteemide ning eelkõige koosvõime ja usaldusväärsuse tasemetega seotud tehniliste nõuete kohta;

b)

teabe, kogemuste ja heade tavade vahetamine artiklis 8 sätestatud e-identimise süsteemide usaldusväärsuse tasemetega töötamise kohta;

c)

käesoleva määruse kohaldamisalasse kuuluvate e-identimise süsteemide vastastikune hindamine ning

d)

e-identimise sektoris toimuvate asjakohaste arengute analüüsimine.

a)

kolmanda riigi usaldusteenuse osutajad või rahvusvahelised organisatsioonid, kellega on sõlmitud kokkulepe, ning nende osutatavad teenused vastavad liidus asuvate kvalifitseeritud usaldusteenuse osutajate ja nende osutatavate kvalifitseeritud usaldusteenuste suhtes kohaldatavatele nõuetele;

b)

liidus asuvate kvalifitseeritud usaldusteenuse osutajate poolt osutatavad kvalifitseeritud usaldusteenused tunnistatakse õiguslikult samaväärseteks usaldusteenustega, mida osutavad kolmandas riigis asuvad usaldusteenuse osutajad või rahvusvahelised organisatsioonid, kellega on sõlmitud kokkulepe.

a)

teostada eelneva ja järgneva järelevalve käigus määrava liikmesriigi territooriumil asuvate kvalifitseeritud usaldusteenuse osutajate üle järelevalvet selle tagamiseks, et kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad kvalifitseeritud usaldusteenused vastaksid käesolevas määruses sätestatud nõuetele;

b)

võtta järgneva järelevalve käigus vajaduse korral meetmeid määrava liikmesriigi territooriumil asuvate kvalifitseerimata usaldusteenuse osutajate suhtes, kui järelevalveasutusele teatatakse, et kvalifitseerimata usaldusteenuse osutajad või nende osutatavad usaldusteenused ei vasta väidetavalt käesolevas määruses sätestatud nõuetele.

a)

teha koostööd teiste järelevalveasutustega ja anda neile abi kooskõlas artikliga 18;

b)

analüüsida artikli 20 lõikes 1 ja artikli 21 lõikes 1 osutatud vastavushindamisaruandeid;

c)

teavitada teisi järelevalveasutusi ja üldsust turvarikkumistest ja tervikluse kaost kooskõlas artikli 19 lõikega 2;

d)

anda komisjonile aru oma põhitegevusest kooskõlas käesoleva artikli lõikega 6;

e)

korraldada auditeid või paluda vastavushindamisasutusel teostada kvalifitseeritud usaldusteenuse osutajate vastavushindamine kooskõlas artikli 20 lõikega 2;

f)

teha andmekaitseasutustega koostööd, eelkõige teavitades neid põhjendamatu viivituseta kvalifitseeritud usaldusteenuse osutajate auditite tulemustest, kui näib, et isikuandmete kaitse eeskirju on rikutud;

g)

anda usaldusteenuse osutajatele ja nende osutatavatele teenustele kvalifitseeritud staatus ning võtta see staatus ära kooskõlas artiklitega 20 ja 21;

h)

teavitada artikli 22 lõikes 3 osutatud riigisiseste usaldusnimekirjade eest vastutavat asutust oma otsustest anda kvalifitseeritud staatus või võtta see ära, välja arvatud juhul, kui kõnealune asutus on samuti järelevalveasutus;

i)

kontrollida lõpetamiskava käsitlevate sätete olemasolu ja nõuetekohast kohaldamist juhtudel, kui kvalifitseeritud usaldusteenuse osutajad lõpetavad oma tegevuse, sealhulgas seda, kuidas teave hoitakse kättesaadavana kooskõlas artikli 24 lõike 2 punktiga h;

j)

nõuda usaldusteenuse osutajatelt käesolevas määruses sätestatud nõuete täitmata jätmise heastamist.

a)

järelevalveasutus ei ole pädev taotletavat abi andma;

b)

taotletav abi ei ole proportsionaalne järelevalveasutuse poolt kooskõlas artikliga 17 teostatava järelevalvega;

c)

taotletava abi andmine oleks vastuolus käesoleva määrusega.

a)

täpsustada lähemalt lõikes 1 osutatud meetmeid ning

b)

määrata kindlaks lõike 2 kohaldamisega seotud formaadid ja menetlused, sealhulgas tähtajad.

a)

standardid vastavushindamisasutuste akrediteerimise ja lõikes 1 osutatud vastavushindamisaruande jaoks;

b)

standardid auditeerimiseeskirjade kohta, mille alusel vastavushindamisasutused hindavad kvalifitseeritud usaldusteenuse osutajate nõuetele vastavust, nagu on osutatud lõikes 1.

a)

füüsilise isiku või juriidilise isiku volitatud esindaja füüsilise kohaloleku alusel või

b)

kaughindamise teel, kasutades e-identimise vahendeid, mille puhul enne kvalifitseeritud sertifikaadi väljastamist tagati füüsilise isiku või juriidilise isiku volitatud esindaja füüsiline kohalolek ja mis vastavad artiklis 8 kehtestatud nõuetele seoses märkimisväärse või kõrge usaldusväärsuse tasemega, või

c)

kooskõlas punktiga a või b väljastatud kvalifitseeritud e-allkirja või kvalifitseeritud e-templi sertifikaadi abil või

d)

kasutades muid riiklikul tasandil tunnustatud identimismeetodeid, mis tagavad füüsilise kohalolekuga samaväärse usaldusväärsuse. Nimetatud samaväärne usaldusväärsus peab olema vastavushindamisasutuse poolt kinnitatud.

a)

teavitab järelevalveasutust muutusest oma kvalifitseeritud usaldusteenuste osutamises ja kavatsusest kõnealune tegevus lõpetada;

b)

võtab tööle personali ja vajaduse korral alltöövõtjad, kellel on vajalik pädevus, usaldusväärsus, kogemus ja kvalifikatsioon ning kes on saanud turva- ja isikuandmete kaitse eeskirjade alal asjakohase koolituse ja rakendavad Euroopa või rahvusvahelistele standarditele vastavaid haldus- ja juhtimismenetlusi;

c)

seoses artikli 13 kohase vastutusega võimalike kahjude eest omab piisavat hulka rahalisi vahendeid ja/või sõlmib asjakohase vastutuskindlustuse kooskõlas siseriikliku õigusega;

d)

teavitab enne lepingu sõlmimist kõiki kvalifitseeritud usaldusteenust kasutada soovivaid isikuid selgelt ja põhjalikult kõnealuse teenuse kasutamise täpsetest tingimustest, sealhulgas kõigist selle kasutamise piirangutest;

e)

kasutab usaldusväärseid süsteeme ja tooteid, mis on kaitstud muutmise eest, ja tagab nende toetatavate toimingute tehnilise turvalisuse ja usaldusväärsuse;

f)

kasutab usaldusväärseid süsteeme talle esitatud andmete säilitamiseks ehtsuse tõendamist võimaldavas formaadis nii, et:

g)

võtab asjakohaseid meetmeid andmete võltsimise ja varguse vastu;

h)

salvestab ja hoiavad kättesaadavana sobiva tähtaja jooksul, sealhulgas pärast seda, kui kvalifitseeritud usaldusteenuse osutaja on tegevuse lõpetanud, kogu asjakohase teabe kvalifitseeritud usaldusteenuse osutaja väljastatud ja saadud andmete kohta, eelkõige tõendina kasutamiseks kohtumenetlustes ja selleks, et tagada teenuse järjepidevus. Sellised andmed võib salvestada elektrooniliselt;

i)

omab teenuse järjepidevuse tagamiseks ajakohast tegevuse lõpetamise kava, mis vastab järelevalveasutuse poolt artikli 17 lõike 4 punkti i kohaselt kontrollitud sätetele;

j)

tagab isikuandmete seadusliku töötlemise vastavalt direktiivile 95/46/EÜ;

k)

juhul kui kvalifitseeritud usaldusteenuse osutaja väljastab kvalifitseeritud sertifikaate, loob sertifikaatide andmebaasi ja ajakohastab seda.

a)

see on seotud ainuüksi allkirja andjaga;

b)

selle abil on võimalik allkirja andjat tuvastada;

c)

see antakse e-allkirja andmiseks vajalike andmete abil, mida saab kõrge salastatuse taseme juures kasutada üksnes allkirja andja, ning

d)

see on allkirjastatud andmetega seotud sellisel viisil, et kõik hilisemad andmete muudatused on tuvastatavad.

a)

kui e-allkirja kvalifitseeritud sertifikaat on ajutiselt peatatud, on kõnealune sertifikaat peatamise ajavahemikul kehtetu;

b)

peatamise ajavahemik on sertifikaatide andmebaasis selgesti märgitud ja sertifikaatide staatuse kohta teavet andva teenuse kaudu saab peatamise ajavahemikul teavet peatamisstaatuse kohta.

a)

turvalisuse hindamise protsess, mis on tehtud kooskõlas ühega standarditest selliste infotehnoloogiatoodete turvalisuse hindamiseks, mis on kantud kooskõlas teise lõiguga koostatud nimekirja, või

b)

punktis a osutatust erinev protsess, tingimusel et selles protsessis kasutatakse samaväärseid turvatasemeid ning et lõikes 1 osutatud avalik-õiguslik või eraõiguslik asutus teatab sellest protsessist komisjonile. Seda protsessi võib kasutada üksnes punktis a osutatud standardite puudumisel või juhul kui käimas on punktis a osutatud turvalisuse hindamise protsess.

a)

allkirja kinnitav sertifikaat oli allkirja andmise ajal I lisa sätetele vastav kvalifitseeritud e-allkirja sertifikaat;

b)

kvalifitseeritud sertifikaadi väljastas kvalifitseeritud usaldusteenuse osutaja ja sertifikaat oli allkirja andmise ajal kehtiv;

c)

allkirja valideerimise andmed vastavad tuginevatele isikutele esitatud andmetele;

d)

sertifikaadil olevat allkirja andjat tähistavad kordumatud andmed on nõuetekohaselt esitatud tuginevatele isikutele;

e)

kui allkirja andmisel kasutati varjunime, on varjunime kasutus tuginevale isikule selgesti näidatud;

f)

e-allkiri on antud kvalifitseeritud e-allkirja andmise vahendiga;

g)

allkirjastatud andmete terviklust ei ole rikutud;

h)

artiklis 26 sätestatud nõuded olid allkirja andmise ajal täidetud.

a)

osutab valideerimisteenust kooskõlas artikli 32 lõikega 1 ja

b)

võimaldab tuginevatel isikutel saada valideerimisprotsessi tulemuse automaatsel viisil, mis on usaldusväärne, tõhus ja millel on kvalifitseeritud valideerimisteenuse osutaja täiustatud e-allkiri või täiustatud e-tempel.

a)

see on seotud ainuüksi templi andjaga;

b)

selle abil on võimalik templi andjat tuvastada;

c)

see antakse e-templi loomiseks vajalike andmete abil, mida templi andja saab kõrge salastatuse taseme juures kasutada e-templi loomiseks, ning

d)

see on seotud seda puudutavate andmetega sellisel viisil, et kõik hilisemad andmete muudatused on tuvastatavad.

a)

kui e-templi kvalifitseeritud sertifikaat on ajutiselt peatatud, on kõnealune sertifikaat peatamise ajavahemikul kehtetu;

b)

peatamise ajavahemik on sertifikaatide andmebaasis selgesti märgitud ja sertifikaatide staatuse kohta teavet andva teenuse kaudu saab peatamise ajavahemikul teavet sertifikaatide staatuse kohta.

a)

see seob kuupäeva ja ajahetke andmetega sellisel viisil, mis mõistlikkuse piires välistab andmete tuvastamatu muutmise võimaluse;

b)

see põhineb täpsel ajaallikal, mis on seotud koordineeritud maailmaajaga, ning

c)

see on allkirjastatud kvalifitseeritud usaldusteenuse osutaja täiustatud e-allkirjaga või kinnitatud kvalifitseeritud usaldusteenuse osutaja täiustatud e-templiga või mõne muu samaväärse meetodi abil.

a)

neid pakub üks või mitu kvalifitseeritud usaldusteenuse osutajat;

b)

need tagavad saatja väga usaldusväärse identimise;

c)

need tagavad adressaadi identimise enne andmete kättetoimetamist;

d)

andmete saatmine ja kättesaamine on kaitstud kvalifitseeritud usaldusteenuse osutaja pakutava täiustatud e-allkirja või täiustatud e-templiga viisil, mis välistab andmete tuvastamatu muutmise võimaluse;

e)

mis tahes muudatusi andmete saatmiseks või kättesaamiseks vajalikes andmetes näidatakse andmete saatjale ja adressaadile selgesti;

f)

andmete saatmise, kättesaamise ja mis tahes muudatuste tegemise kuupäev ja ajahetk näidatakse kvalifitseeritud e-ajatempliga.

a)

artikli 8 lõiget 3, artikli 9 lõiget 5, artikli 12 lõikeid 2–9, artikli 17 lõiget 8, artikli 19 lõiget 4, artikli 20 lõiget 4, artikli 21 lõiget 4, artikli 22 lõiget 5, artikli 23 lõiget 3, artikli 24 lõiget 5, artikli 27 lõikeid 4 ja 5, artikli 28 lõiget 6, artikli 29 lõiget 2, artikli 30 lõikeid 3 ja 4, artikli 31 lõiget 3, artikli 32 lõiget 3, artikli 33 lõiget 2, artikli 34 lõiget 2, artikli 37 lõikeid 4 ja 5, artikli 38 lõiget 6, artikli 42 lõiget 2, artikli 44 lõiget 2, artikli 45 lõiget 2 ning artikleid 47 ja 48 kohaldatakse alates 17. septembrist 2014;

b)

artiklit 7, artikli 8 lõikeid 1 ja 2, artikleid 9, 10 ja 11 ning artikli 12 lõiget 1 kohaldatakse alates artikli 8 lõikes 3 ja artikli 12 lõikes 8 osutatud rakendusaktide kohaldamise alguskuupäevast;

c)

artiklit 6 kohaldatakse kolm aastat alates artikli 8 lõikes 3 ja artikli 12 lõikes 8 osutatud rakendusaktide kohaldamise alguskuupäevast.