Sigurnije transakcije na internetu
SAŽETAK DOKUMENTA:
Uredba (EU) br. 910/2014: o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu
SAŽETAK
ČEMU SLUŽI OVA UREDBA?
-
Uredba o elektroničkoj identifikaciji i uslugama povjerenja (eIDAS) stvara novi sustav za sigurne elektroničke interakcije diljem EU-a među poduzećima, građanima i tijelima javne vlasti.
-
Njome se nastoji povećati povjerenje u elektroničke transakcije diljem EU-a kako bi se povećala djelotvornost javnih i privatnih online usluga i elektroničke trgovine. Ona se odnosi na:
-
sustave elektroničke identifikacije (eID)* koje su zemlje EU-a prijavile Europskoj komisiji;
-
pružatelje usluga povjerenja sa sjedištem u EU-u.
-
Njome se uklanjaju postojeće prepreke korištenju eID-om u EU-u. Primjerice, sada bi poduzeće iz Portugala moglo izravno sudjelovati na natječaju za pružanje javne usluge u Švedskoj, a financijskom potporom EU-a može se u potpunosti upravljati online.
KLJUČNE TOČKE
Elektronička identifikacija
-
eID izdan u jednoj zemlji EU-a moraju priznati sve druge zemlje. To vrijedi samo ako eID ispunjava zahtjeve utvrđene u Uredbi i ako je prijavljen Komisiji i objavljen na popisu. Uzajamno priznavanje eID-a bit će obvezno od jeseni 28. rujna 2018. godine te će olakšati sigurne elektroničke transakcije u cijelom EU-u.
-
eID sustav mora odrediti jednu od tri razine osiguranja (niska, značajna, visoka) za oblik elektroničke identifikacije koji je izdan u okviru tog sustava. Uzajamno priznavanje obvezno je samo kada odgovarajuće tijelo javnog sektora primjenjuje „značajnu” ili „visoku” razinu za pristupanje toj usluzi online.
Prijavljivanje
-
Pri prijavljivanju eID sustava Komisiji, zemlje EU-a moraju dostaviti informacije o aspektima poput:
-
razina osiguranja i izdavateljeID-a u sklopu tog sustava;
-
primjenjivih sustava nadzora i odgovornosti;
-
tijela koje upravlja registracijom jedinstvenih osobnih identifikacijskih podataka.
-
U slučaju povrede sigurnosti eID sustava ili autentifikacije, zemlja EU-a koja provodi prijavljivanje mora:
-
brzo suspendirati/opozvati tu prekograničnu autentifikaciju ili ugrožene dijelove plana; i
-
obavijestiti ostale zemlje EU-a i Komisiju.
Odgovornost
-
U svakoj transakciji između zemalja EU-a u kojoj je došlo do nepoštivanja obveza navedenih u Uredbi, navedene strane mogu se smatrati odgovornom za bilo kakvu štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi:
-
zemlja EU-a koja provodi prijavljivanje;
-
strana koja izdaje eID;
-
strana koja provodi postupak autentifikacije.
Suradnja i operabilnost među zemljama EU-a
-
Prijavljeni nacionalni eID sustavi moraju biti interoperabilni. Okvir za interoperabilnost mora biti tehnološki neutralan te ne favorizirati bilo koje posebno nacionalno tehničko rješenje za eID.
Usluge povjerenja
-
Uredbom se usluge povjerenja definiraju kao plaćene usluge koje uključuju:
-
izradu, verifikaciju i validaciju elektroničkih potpisa; elektroničkih pečata; ili elektroničkih vremenskih žigova; ili usluge elektroničke preporučene dostave i certifikata koji se odnose na te usluge; ili
-
izradu, verifikaciju i validaciju certifikata za autentifikaciju mrežnih stranica; ili
-
čuvanja elektroničkih potpisa, pečata ili certifikata koji se odnose na te usluge.
-
Pružatelji usluga povjerenja sa sjedištem u EU-u koji se smatraju „kvalificiranima” ako ispunjavaju zahtjeve iz Uredbe koji se odnose na njih. Oni su zakonski ovlašteni pružati kvalificiraneusluge povjerenja (npr. kvalificirane elektroničke potpise, pečate ili certifikate) u svim zemljama EU-a. Usluge povjerenja koje nude pružatelji usluga iz zemalja koje nisu članice EU-a mogu se smatrati pravno jednakima kvalificiranim uslugama, ali tek nakon sklapanja sporazuma između EU-a i treće zemlje ili međunarodne organizacije.
Nadzor
-
Zemlje EU-a moraju izabrati jedno ili više tijela za aktivnosti nadzora predviđene ovom uredbom. Ta tijela moraju surađivati s tijelima za zaštitu podataka kada je to potrebno.
-
Svi pružatelji usluga povjerenja podliježu nadzoru te obvezi upravljanja rizicima i obvezi prijave povrede sigurnosti.
-
Nekvalificirani pružatelji usluga povjerenja podliježu neobvezujućem obliku nadzora, tj. nadzorno tijelo reagira samo ako se sumnja na ozbiljan propust pružatelja usluge.
-
Kvalificirani pružatelji usluga povjerenja sa sjedištem u EU-u podliježu strogom nadzoru. To uključuje prethodno odobrenje nadzornih tijela te provođenje revizije najmanje jednom svake dvije godine od strane organizacije koja procjenjuje udovoljavaju li zahtjevima iz Uredbe.
-
Novim EU-ovim znakom pouzdanosti koji se dobrovoljno koristi identificirat će se kvalificirane usluge povjerenja koje pružaju relevantni pružatelji usluga.
Europska komisija je tijekom 2015. donijela niz akata kojima se utvrđuju:
OTKAD SE UREDBA PRIMJENJUJE?
Primjenjuje se od 17. rujna 2014. godine.
KLJUČNI POJAM
* elektronička identifikacija (eID): opipljivi ili neopipljivi oblici identifikacije koji sadrže osobne identifikacijske podatke kakvi se koriste za autentifikaciju online usluge.
DOKUMENT
Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.–114.)
Sukcesivne izmjene i dopune Uredbe (EU) br. 910/2014 uključene su u izvorni dokument. Ovaj pročišćeni tekst ima samo dokumentarnu vrijednost.
Posljednje ažuriranje 17.03.2016