28.8.2014   

LT

Europos Sąjungos oficialusis leidinys

L 257/73

(1)

pasitikėjimo internetine aplinka skatinimas yra svarbus ekonominės ir socialinės plėtros veiksnys. Trūkstant pasitikėjimo, ypač dėl pastebimo teisinio tikrumo trūkumo, vartotojai, įmonės ir viešosios valdžios institucijos vengia vykdyti operacijas elektroniniu būdu ir pradėti naudotis naujomis paslaugomis;

(2)

šiuo reglamentu siekiama stiprinti pasitikėjimą elektroninėmis operacijomis vidaus rinkoje, suteikiant bendrą pagrindą saugiai vykdyti elektronines piliečių, verslo ir viešosios valdžios institucijų tarpusavio operacijas, taip didinant viešųjų ir privačiųjų internetinių paslaugų, elektroninio verslo ir elektroninės prekybos veiksmingumą Sąjungoje;

(3)

Europos Parlamento ir Tarybos direktyva 1999/93/EB (3) iš esmės buvo skirta tik elektroniniams parašams, nenustatant išsamios tarpvalstybinės ir tarpšakinės sistemos, kuria būtų užtikrintos saugios, patikimos ir patogios naudoti elektroninės operacijos. Šiuo reglamentu patobulinamas ir išplečiamas tos direktyvos acquis;

(4)

2010 m. rugpjūčio 26 d. Komisijos komunikate „Europos skaitmeninė darbotvarkė“ nurodyta, kad skaitmeninės rinkos susiskaidymas, sąveikumo stoka ir elektroninių nusikaltimų gausėjimas yra pagrindinės sėkmingo skaitmeninės ekonomikos ciklo užtikrinimo kliūtys. 2010 m. ES pilietybės ataskaitoje „Kliūčių ES piliečių teisėms šalinimas“ Komisija dar kartą pabrėžė poreikį spręsti pagrindines problemas, trukdančias Sąjungos piliečiams naudotis bendrosios skaitmeninės rinkos ir tarpvalstybinių skaitmeninių paslaugų teikiamais privalumais;

(5)

2011 m. vasario 4 d. ir 2011 m. spalio 23 d. išvadose Europos Vadovų Taryba paprašė Komisijos ne vėliau kaip 2015 m. sukurti bendrąją skaitmeninę rinką, kad, sudarant palankesnes sąlygas tarpvalstybiniu mastu naudotis internetinėmis paslaugomis ypač daug dėmesio skiriant saugios elektroninės atpažinties ir tapatumo nustatymo palengvinimui, būtų galima daryti sparčią pažangą pagrindinėse skaitmeninės ekonomikos srityse ir skatinti visiškai integruotos bendrosios skaitmeninės rinkos kūrimąsi;

(6)

2011 m. gegužės 27 d. išvadose Taryba ragino Komisiją prisidėti prie bendrosios skaitmeninės rinkos kūrimo nustatant tinkamas pagrindinių priemonių, kaip antai elektroninės atpažinties, elektroninių dokumentų, elektroninių parašų ir elektroninio pristatymo paslaugų, abipusio tarpvalstybinio pripažinimo ir sąveikių e. valdžios paslaugų teikimo visoje Europos Sąjungoje sąlygas;

(7)

2010 m. rugsėjo 21 d. rezoliucijoje dėl elektroninės prekybos vidaus rinkos užbaigimo (4) Europos Parlamentas pabrėžė, kad svarbu užtikrinti elektroninių paslaugų, ypač elektroninių parašų, saugumą, ir kad Europos lygiu būtina sukurti pamatinę viešąją infrastruktūrą, bei paprašė Komisijos sukurti Europos tinkamumo patvirtinimo institucijų portalą, siekiant užtikrinti tarpvalstybinį elektroninių parašų sąveikumą ir padidinti internetu sudarytų sandorių saugumą;

(8)

Europos Parlamento ir Tarybos direktyva 2006/123/EB (5) reikalaujama, kad valstybės narės įsteigtų „kontaktinius centrus“ (toliau – KC) siekiant užtikrinti, jog būtų galima lengvai, nuotoliniu būdu, elektroninėmis priemonėmis per atitinkamą kontaktinį centrą susisiekiant su reikiamomis valdžios institucijomis, atlikti visas procedūras ir formalumus, susijusius su teise teikti paslaugas ir ja naudotis. Daugeliui internetinių paslaugų, teikiamų per KC, reikalinga elektroninė atpažintis, tapatumo nustatymas ir parašas;

(9)

daugeliu atveju piliečiai negali pasinaudoti savo elektroninės atpažinties priemonėmis, kad jų tapatybė būtų nustatyta kitoje valstybėje narėje, nes jų šalyje taikomos nacionalinės elektroninės atpažinties schemos kitose valstybėse narėse nepripažįstamos. Ta elektroninė kliūtis trukdo paslaugų teikėjams pasinaudoti visais vidaus rinkos privalumais. Abipusiu pagrindu pripažintos elektroninės atpažinties priemonės palengvins tarpvalstybinį įvairių paslaugų teikimą vidaus rinkoje ir suteiks įmonėms galimybę vykdyti veiklą tarpvalstybiniu pagrindu, išvengiant daugelio problemų, kylančių santykiuose su viešosios valdžios institucijomis;

(10)

Europos Parlamento ir Tarybos direktyva 2011/24/ES (6) įsteigtas už e. sveikatą atsakingų nacionalinės valdžios institucijų tinklas. Siekiant pagerinti tarpvalstybinių sveikatos priežiūros paslaugų saugumą ir tęstinumą, reikalaujama, kad šis tinklas parengtų tarpvalstybinio prisijungimo prie elektroninių sveikatos priežiūros duomenų ir paslaugų gaires, įskaitant padėtų rengti „bendras identifikavimo ir autentifikavimo priemones, kad būtų sudarytos palankesnės sąlygos perduoti duomenis teikiant tarpvalstybines sveikatos priežiūros paslaugas“. Abipusis elektroninės atpažinties ir tapatumo nustatymo priemonių pripažinimas yra labai svarbus Europos piliečių tarpvalstybinės sveikatos priežiūros faktinio užtikrinimo veiksnys. Kai žmonės keliauja gydymosi tikslais, jų medicininiai duomenys turi būti prieinami jų gydymosi šalyje. Tam būtina vientisa, saugi ir patikima elektroninės atpažinties sistema;

(11)

šis reglamentas turėtų būti taikomas visiškai laikantis asmens duomenų apsaugos principų, numatytų Europos Parlamento ir Tarybos direktyvoje 95/46/EB (7). Šiuo klausimu, atsižvelgiant į šiuo reglamentu nustatytą abipusio pripažinimo principą, internetinės paslaugos tapatumo nustatymas turėtų būti susijęs tik su tų atpažinties duomenų, kurie yra adekvatūs, susiję ir nepertekliniai tam, kad būtų galima pasinaudoti ta internetine paslauga, tvarkymu. Be to, patikimumo užtikrinimo paslaugų teikėjai ir priežiūros įstaigos turėtų laikytis Direktyvos 95/46/EB reikalavimų, susijusių su konfidencialumu ir duomenų tvarkymo saugumu;

(12)

vienas šio reglamento uždavinių – pašalinti esamas valstybėse narėse naudojamų elektroninės atpažinties priemonių, reikalingų norint nustatyti tapatybę bent siekiant pasinaudoti viešosiomis paslaugomis, tarpvalstybinio naudojimo kliūtis. Šiuo reglamentu nesiekiama kištis į valstybėse narėse įdiegtų elektroninės atpažinties valdymo sistemas ir su jomis susijusias infrastruktūras. Šio reglamento tikslas – užtikrinti, kad naudojantis valstybių narių siūlomomis tarpvalstybinėmis internetinėmis paslaugomis būtų galima užtikrinti saugią elektroninę atpažintį ir tapatumo nustatymą;

(13)

valstybėms narėms turėtų būti palikta laisvė elektroninės atpažinties tikslais naudoti arba diegti priemones, reikalingas norint pasinaudoti internetinėmis paslaugomis. Be to, joms turėtų būti suteikta galimybė spręsti, ar į tų priemonių užtikrinimą įtraukti privatųjį sektorių. Valstybės narės neturėtų būti įpareigojamos pranešti Komisijai apie savo elektroninės atpažinties schemas. Valstybės narės turėtų pačios spręsti, ar pranešti Komisijai apie visas elektroninės atpažinties schemas, nacionaliniu lygiu taikomas tam, kad būtų galima pasinaudoti bent viešosiomis internetinėmis paslaugomis arba tam tikromis paslaugomis, ar pranešti tik apie kai kurias schemas, ar visai apie jas nepranešti;

(14)

šiame reglamente turi būti nustatytos tam tikros sąlygos, numatančios, kurios elektroninės atpažinties priemonės turi būti pripažįstamos ir kokiu būdu turėtų būti pranešama apie elektroninės atpažinties schemas. Tos sąlygos turėtų padėti valstybėms narėms įgyti būtiną pasitikėjimą viena kitos elektroninės atpažinties schemomis ir abipusiai pripažinti elektroninės atpažinties priemones, kurioms taikomos schemos, apie kurias pranešta. Abipusio pripažinimo principas turėtų būti taikomas, jeigu pranešančiosios valstybės narės elektroninės atpažinties schema laikomasi pranešimo sąlygų ir jeigu pranešimas buvo paskelbtas Europos Sąjungos oficialiajame leidinyje. Vis dėlto abipusio pripažinimo principas turėtų būti susijęs tik su internetinės paslaugos tapatumo nustatymu. Galimybė naudotis tomis internetinėmis paslaugomis ir galutinis jų suteikimas prašytojui turėtų būti glaudžiai susieti su teise gauti tokias paslaugas nacionalinės teisės aktuose nustatytomis sąlygomis;

(15)

pareiga pripažinti elektroninės atpažinties priemones turėtų būti susijusi tik su tomis priemonėmis, kurių tapatybės saugumo užtikrinimo lygis atitinka arba yra aukštesnis už lygį, kurio reikalaujama norint pasinaudoti ta konkrečia internetine paslauga. Be to, ta pareiga turėtų būti taikoma tik tuomet, kai konkreti viešojo sektoriaus įstaiga taiko pakankamą arba aukštą saugumo užtikrinimo lygį norint pasinaudoti ta internetine paslauga. Pagal Sąjungos teisę valstybės narės turėtų galėti pasirinkti, ar pripažinti elektroninės atpažinties priemones, kurių tapatybės saugumo užtikrinimo lygis yra žemesnis;

(16)

saugumo užtikrinimo lygiais turėtų būti apibūdinamas elektroninės atpažinties priemonės patikimumo laipsnis nustatant asmens tapatybę ir taip užtikrinant, kad asmuo, kuris pareiškia turintis tam tikrą tapatybę iš tiesų yra asmuo, kuriam ta tapatybė buvo priskirta. Saugumo užtikrinimo lygis priklauso nuo pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnio, kuris nurodomas elektroninės atpažinties priemonėmis, atsižvelgiant į procesus (pavyzdžiui, tapatybės įrodymą ir patikrinimą bei tapatumo nustatymą), valdymo veiklą (pavyzdžiui, elektroninės atpažinties priemones išduodantį subjektą ir tokių priemonių išdavimo tvarką) ir įgyvendintas techninės kontrolės priemones. Vykdant Sąjungos finansuojamus didelio masto bandomuosius projektus, standartizaciją ir tarptautinę veiklą nustatyta įvairių saugumo užtikrinimo lygių techninių reikalavimų ir aprašymų. Visų pirma didelio masto bandomajame projekte STORK ir ISO 29115 nurodomi, inter alia, 2, 3 ir 4 lygiai, į kuriuos reikėtų kuo labiau atsižvelgti nustatant minimalius techninius reikalavimus, standartus ir procedūras, taikomus žemam, pakankamam ir aukštam saugumo užtikrinimo lygiams, kaip apibrėžta šiame reglamente, siekiant užtikrinti nuoseklų šio reglamento taikymą, visų pirma aukšto saugumo užtikrinimo lygio, susijusio su tapatybės identifikavimu siekiant išduoti kvalifikuotus sertifikatus, atžvilgiu. Nustatyti reikalavimai turėtų būti technologiniu požiūriu neutralūs. Turėtų būti įmanoma įvykdyti būtinus saugumo reikalavimus taikant skirtingas technologijas;

(17)

valstybės narės turėtų skatinti privatųjį sektorių atpažinties tikslais savanoriškai naudoti elektroninės atpažinties priemones pagal schemą, apie kurią pranešta, kai to reikia norint pasinaudoti internetinėmis paslaugomis arba atlikti elektronines operacijas. Galimybė naudoti tokias elektroninės atpažinties priemones leistų privačiajam sektoriui pasikliauti elektronine atpažintimi ir tapatumo nustatymu, kurie jau plačiai taikomi daugumoje valstybių narių bent viešųjų paslaugų tikslais, ir sudaryti įmonėms bei piliečiams palankesnes sąlygas tarpvalstybiniu mastu naudotis tų valstybių narių teikiamomis internetinėmis paslaugomis. Kad privačiajam sektoriui būtų lengviau naudoti tokias elektroninės atpažinties priemones tarpvalstybiniu mastu, privačiojo sektoriaus pasikliaujančiosioms šalims, kurios įsteigtos ne tos valstybės narės teritorijoje, turėtų būti sudarytos sąlygos naudotis bet kurios valstybės narės teikiama tapatumo nustatymo galimybe tokiomis pačiomis sąlygomis, kurios taikomos toje valstybėje narėje įsteigtoms privačiojo sektoriaus pasikliaujančiosioms šalims. Todėl pranešančioji valstybė narė privačiojo sektoriaus pasikliaujančiosioms šalims gali nustatyti naudojimosi tapatumo nustatymo priemonėmis sąlygas. Tokiose naudojimosi sąlygose gali būti pateikiama informacija, ar privačiojo sektoriaus pasikliaujančiosios šalys šiuo metu turi galimybę naudotis tapatumo nustatymo priemone, susijusia su schema, apie kurią pranešta;

(18)

šiuo reglamentu turėtų būti numatoma pranešančiosios valstybės narės, elektroninės atpažinties priemonę išduodančios šalies ir tapatumo nustatymo procedūrą vykdančios šalies atsakomybė už atitinkamų pareigų pagal šį reglamentą nevykdymą. Tačiau šis reglamentas turėtų būti taikomas laikantis nacionalinių atsakomybę reglamentuojančių taisyklių. Todėl jis neturi poveikio toms nacionalinėms taisyklėms, pavyzdžiui, dėl žalos apibrėžties arba dėl atitinkamų taikytinų procedūrinių taisyklių, įskaitant dėl įrodinėjimo pareigos.

(19)

elektroninių atpažinties schemų saugumas itin svarbus patikimam tarpvalstybiniam elektroninių atpažinties priemonių abipusiam pripažinimui. Atsižvelgdamos į tai, valstybės narės Sąjungos lygiu turėtų bendradarbiauti elektroninių atpažinties schemų saugumo ir sąveikumo užtikrinimo srityje. Jeigu tam, kad pasikliaujančiosios šalys nacionaliniu lygiu galėtų naudotis elektroninėmis atpažinties schemomis, reikalingos specialios aparatinės ar programinės įrangos, laikantis tarpvalstybinio sąveikumo principo tos valstybės narės ne jų teritorijoje įsteigtoms pasikliaujančiosioms šalims neturėtų nustatyti tokių reikalavimų ir susijusių sąnaudų. Tuo atveju reikėtų aptarti ir rasti tinkamus sprendimo būdus, neviršijant sąveikumo sistemos apimties. Nepaisant to, techniniai reikalavimai, susiję su nacionalinių elektroninių atpažinties priemonių konkrečiomis specifikacijomis, kurie, kaip tikėtina, turės poveikį tokių elektroninių priemonių (pvz., lustinių kortelių) turėtojams, yra neišvengiami;

(20)

valstybių narių bendradarbiavimas turėtų padėti užtikrinti elektroninės atpažinties schemų, apie kurias pranešta, techninį sąveikumą, siekiant aukšto lygio pasitikėjimo ir rizikos lygį atitinkančio saugumo. Tokį bendradarbiavimą turėtų palengvinti valstybių narių keitimasis informacija ir geriausia praktika, siekiant užtikrinti abipusį pripažinimą;

(21)

šiuo reglamentu taip pat turėtų būti nustatyta bendroji teisinė patikimumo užtikrinimo paslaugų naudojimo sistema. Vis dėlto juo neturėtų būti nustatyta bendra pareiga naudotis šiomis paslaugomis arba įdiegti prieigos tašką visoms esamoms patikimumo užtikrinimo paslaugoms. Visų pirma juo neturėtų būti reglamentuojamas paslaugų, kuriomis naudojamasi tik uždarose sistemose tarp apibrėžtos grupės dalyvių ir kurios neturi poveikio trečiosioms šalims, teikimas. Pavyzdžiui, šio reglamento reikalavimai neturėtų būti taikomi sistemoms, sukurtoms versle arba viešojo valdymo institucijose siekiant valdyti vidaus procedūras, kuriose naudojamasi patikimumo užtikrinimo paslaugomis. Tik visuomenei teikiamos patikimumo užtikrinimo paslaugos, kurios turi poveikio trečiosioms šalims, turėtų atitikti šiame reglamente nustatytus reikalavimus. Šiuo reglamentu neturėtų būti reglamentuojami ir aspektai, susiję su sutarčių sudarymu arba kitų teisinių pareigų nustatymu ir šių sutarčių bei pareigų galiojimu, kai yra nacionalinės arba Sąjungos teisės aktais nustatytų reikalavimų dėl formos. Be to, juo nedaromas poveikis nacionalinės formos reikalavimams, susijusiems su viešaisiais registrais, visų pirma, komerciniais ir žemės registrais;

(22)

siekiant paskatinti jų bendrą tarpvalstybinį naudojimą, patikimumo užtikrinimo paslaugas turėtų būti galima naudoti kaip įrodymus visų valstybių narių teismo procesuose. Patikimumo užtikrinimo paslaugų teisinė galia turi būti reglamentuojama nacionalinės teisės aktuose, išskyrus atvejus, jei šiame reglamente būtų numatyta kitaip;

(23)

tiek, kiek šiuo reglamentu nustatoma pareiga pripažinti patikimumo užtikrinimo paslaugą, tokia patikimumo užtikrinimo paslauga gali būti atmesta tik tuo atveju, jeigu asmuo, kuriam skirta pareiga dėl techninių priežasčių, kurios tiesiogiai nuo jo nepriklauso, negali jos perskaityti arba patikrinti. Vis dėlto dėl tos pareigos viešoji įstaiga savaime neprivalo įsigyti aparatinės ar programinės įrangos, būtinos visų esamų patikimumo užtikrinimo paslaugų techniniam nuskaitymui;

(24)

valstybės narės gali palikti galioti arba nustatyti Sąjungos teisę atitinkančias nacionalines nuostatas, susijusias su patikimumo užtikrinimo paslaugomis tiek, kiek tos paslaugos nėra visiškai suderintos pagal šį reglamentą. Vis dėlto šį reglamentą atitinkančios patikimumo užtikrinimo paslaugos turėtų būti laisvai platinamos vidaus rinkoje;

(25)

valstybėms narėms turėtų būti palikta laisvė apibrėžti kitas, į šiame reglamente numatytą galutinį patikimumo užtikrinimo paslaugų sąrašą neįtrauktas patikimumo užtikrinimo paslaugas, kad jos nacionaliniu mastu būtų pripažįstamos kaip kvalifikuotos patikimumo užtikrinimo paslaugos;

(26)

atsižvelgiant į technologijų pažangos tempą, šiame reglamente turėtų būti įtvirtintas palankumo naujovių diegimui principas;

(27)

šis reglamentas turėtų būti neutralus technologiniu požiūriu. Šiuo reglamentu suteiktas teisines galias turėtų būti galima įgyvendinti bet kokiomis techninėmis priemonėmis, atitinkančiomis šio reglamento reikalavimus;

(28)

siekiant sustiprinti visų pirma mažųjų ir vidutinių įmonių (toliau – MVĮ) bei vartotojų pasitikėjimą vidaus rinka ir paskatinti patikimumo užtikrinimo paslaugų ir produktų naudojimą, turėtų būti įvestos naujos – kvalifikuotų patikimumo užtikrinimo paslaugų ir kvalifikuotų patikimumo užtikrinimo paslaugų teikėjo – sąvokos, kad būtų galima nurodyti reikalavimus ir pareigas, kuriais būtų užtikrintas aukštas bet kokių naudojamų arba teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų ir produktų saugumo lygis;

(29)

atsižvelgiant į pareigas, nustatytas pagal Jungtinių Tautų neįgaliųjų teisių konvenciją, patvirtintą Tarybos sprendimu 2010/48/EB (8), ypač pagal Konvencijos 9 straipsnį, neįgalieji turėtų galėti vienodomis sąlygomis, kaip ir vartotojai, naudotis patikimumo užtikrinimo paslaugomis ir galutinio vartojimo produktais, naudojamais teikiant tas paslaugas. Todėl, jeigu įmanoma, neįgaliesiems turėtų būti sudaroma galimybė naudotis teikiamomis patikimumo užtikrinimo paslaugomis ir teikiant tas paslaugas naudojamais galutinio vartojimo produktais. Atliekant įgyvendinamumo vertinimą, inter alia, turėtų būti vertinami techniniai ir ekonominiai aspektai;

(30)

valstybės narės turėtų paskirti priežiūros įstaigą ar įstaigas, kad jos vykdytų priežiūros veiklą pagal šį reglamentą. Be to, valstybės narės turėtų galėti nuspręsti, abipusiu pagrindu susitarusios su kita valstybe nare, paskirti priežiūros įstaigą tos kitos valstybės narės teritorijoje;

(31)

priežiūros įstaigos turėtų bendradarbiauti su duomenų apsaugos institucijomis, pavyzdžiui, informuodamos jas apie kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų audito rezultatus tais atvejais, kai tikėtina, kad buvo pažeistos asmens duomenų apsaugos taisyklės. Informacija visų pirma turėtų būti teikiama apie saugumo incidentus ir asmens duomenų naudojimo pažeidimus;

(32)

visi patikimumo užtikrinimo paslaugų teikėjai turėtų vadovautis gerąja saugumo praktika, atitinkančia su jų veikla susijusią riziką, kad būtų sustiprintas vartotojų pasitikėjimas bendrąja rinka;

(33)

nuostatomis dėl slapyvardžių naudojimo sertifikatuose neturėtų būti kliudoma valstybėms narėms reikalauti nustatyti asmenų tapatybę pagal Sąjungos arba nacionalinės teisės aktus;

(34)

siekiant užtikrinti panašų kvalifikuotų patikimumo užtikrinimo paslaugų saugumo lygį, visos valstybės narės turėtų laikytis bendrų esminių priežiūros reikalavimų. Kad tuos reikalavimus būtų lengviau nuosekliai taikyti visoje Sąjungoje, valstybės narės turėtų patvirtinti palyginamas procedūras ir keistis informacija apie savo vykdomą priežiūros veiklą bei geriausia praktika šioje srityje;

(35)

šiame reglamente nustatyti reikalavimai, visų pirma reikalavimai dėl saugumo ir atsakomybės, turėtų būti taikomi visiems patikimumo užtikrinimo paslaugų teikėjams, siekiant užtikrinti deramą stropumą, skaidrumą ir atskaitomybę jiems atliekant savo veiklą ir teikiant paslaugas. Vis dėlto, atsižvelgiant į patikimumo užtikrinimo paslaugų teikėjų teikiamų paslaugų rūšį, tikslinga tų reikalavimų atžvilgiu atskirti kvalifikuotus ir nekvalifikuotus patikimumo užtikrinimo paslaugų teikėjus;

(36)

nustačius priežiūros režimą visiems patikimumo užtikrinimo paslaugų teikėjams būtų užtikrintos vienodos sąlygos jų atliekamos veiklos ir teikiamų paslaugų saugumo ir atskaitomybės atžvilgiu, taip prisidedant prie vartotojų apsaugos ir vidaus rinkos veikimo. Nekvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams turėtų būti taikoma negriežta ir pasyvi ex-post priežiūra, grindžiama jų teikiamų paslaugų ir atliekamos veiklos pobūdžiu. Todėl priežiūros įstaiga neturėtų turėti bendros pareigos prižiūrėti nekvalifikuotus paslaugų teikėjus. Priežiūros įstaiga turėtų imtis veiksmų tik tuomet, kai yra informuojama (pavyzdžiui, paties nekvalifikuoto paslaugų teikėjo, kitos priežiūros įstaigos, vartotojo ar verslo partnerio pranešimu arba atlikusi tyrimą), kad nekvalifikuotas patikimumo užtikrinimo paslaugų teikėjas nesilaiko šio reglamento reikalavimų;

(37)

šiuo reglamentu turėtų būti numatoma visų patikimumo užtikrinimo paslaugų teikėjų atsakomybė. Visų pirma, juo nustatomas atsakomybės režimas, pagal kurį visi patikimumo užtikrinimo paslaugų teikėjai turėtų būti atsakingi už žalą, kurią patyrė fizinis ar juridinis asmuo, nes nebuvo laikomasi šiame reglamente numatytų pareigų. Siekiant palengvinti finansinės rizikos, kurią gali patirti patikimumo užtikrinimo paslaugų teikėjai arba dėl kurios jie turėtų apsidrausti, įvertinimą, šiuo reglamentu patikimumo užtikrinimo paslaugų teikėjams leidžiama tam tikromis sąlygomis nustatyti naudojimosi savo teikiamomis paslaugomis ribas ir nebūti atsakingiems už žalą, patirtą dėl to, kad buvo naudojamasi tuos apribojimus viršijančiomis paslaugomis. Klientai turėtų būti tinkamai iš anksto informuoti apie apribojimus. Trečioji šalis turėtų atpažinti tuos apribojimus, pavyzdžiui, įtraukiant informaciją apie tuos apribojimus į teikiamos paslaugos sąlygas arba kitais atpažįstamais būdais. Norint, kad tie principai galiotų, šis reglamentas turėtų būti taikomas laikantis nacionalinių atsakomybę reglamentuojančių taisyklių. Todėl šiuo reglamentu nedaromas poveikis nacionalinėms taisyklėms, pavyzdžiui, reglamentuojančioms žalos apibrėžtį, tyčią, neatsargumą ar atitinkamas taikomas procedūrines taisykles;

(38)

siekiant suinteresuotosioms šalims suteikti tinkamos informacijos saugumo ar vientisumo pažeidimo atveju, labai svarbu, kad būtų pranešama apie saugumo pažeidimus ir kad būtų atliekami saugumo rizikos vertinimai;

(39)

kad Komisija ir valstybės narės galėtų įvertinti šiuo reglamentu sukurto pranešimų apie pažeidimus mechanizmo veiksmingumą, turėtų būti reikalaujama, kad priežiūros įstaigos teiktų Komisijai ir Europos Sąjungos tinklų ir informacijos apsaugos agentūrai (ENISA) informacijos suvestines;

(40)

kad Komisija ir valstybės narės galėtų įvertinti šiuo reglamentu nustatyto geresnės priežiūros mechanizmo veiksmingumą, turėtų būti reikalaujama, kad priežiūros įstaigos teiktų ataskaitas apie savo veiklą. Tai padėtų palengvinti priežiūros įstaigų keitimąsi gerąja praktika ir užtikrintų patikrą, ar esminiai priežiūros reikalavimai visose valstybėse narėse yra įgyvendinami nuosekliai ir veiksmingai;

(41)

kad būtų užtikrintas kvalifikuotų patikimumo užtikrinimo paslaugų tvarumas ir pastovumas bei sustiprintas vartotojų pasitikėjimas kvalifikuotų patikimumo užtikrinimo paslaugų tęstinumu, priežiūros įstaigos turėtų patikrinti, ar tais atvejais, kai kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai nutraukia veiklą, parengtos nutraukimo planų nuostatos ir ar jos teisingai taikomos;

(42)

siekiant palengvinti kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų priežiūrą, pavyzdžiui, kai teikėjas teikia paslaugas kitos valstybės narės teritorijoje ir joje jam netaikoma priežiūra arba kai paslaugos teikėjo kompiuteriai yra kitos nei jo įsisteigimo valstybės narės teritorijoje, turėtų būti nustatyta valstybių narių priežiūros įstaigų savitarpio pagalbos sistema;

(43)

siekiant užtikrinti, kad kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos paslaugos atitiktų šiame reglamente nustatytus reikalavimus, atitikties vertinimus turėtų atlikti atitikties vertinimo įstaiga, o po to parengtas atitikties įvertinimo ataskaitas kvalifikuotų patikimumo užtikrinimo paslaugų teikėjai turėtų pateikti priežiūros įstaigai. Kiekvieną kartą reikalaudama, kad kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas pateiktų ad hoc atitikties vertinimo ataskaitą, priežiūros įstaiga turėtų visų pirma laikytis gero administravimo principų, įskaitant pareigą pagrįsti savo sprendimus, taip pat laikytis proporcingumo principo. Todėl priežiūros įstaiga turėtų deramai pagrįsti sprendimą reikalauti ad hoc atitikties vertinimo;

(44)

šiuo reglamentu siekiama užtikrinti nuoseklią sistemą, kad būtų pasiektas aukštas patikimumo užtikrinimo paslaugų apsaugos ir teisinio tikrumo lygis. Šiuo požiūriu Komisija, spręsdama produktų ir paslaugų atitikties vertinimo klausimus, turėtų, jei taikytina, ieškoti sąveikos su šiuo metu taikomais susijusiais Europos ir tarptautiniais modeliais, kaip antai Europos Parlamento ir Tarybos reglamentu (EB) Nr. 765/2008 (9), kuriuo nustatomi atitikties vertinimo įstaigų akreditavimo ir produktų rinkos priežiūros reikalavimai;

(45)

kad būtų galima užtikrinti veiksmingą inicijavimo procesą, kuriuo kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos turėtų būti įtraukiami į patikimus sąrašus, turėtų būti paskatintas numatomų kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų ir kompetentingos priežiūros įstaigos preliminarus bendravimas, siekiant sudaryti palankesnes sąlygas deramam stropumui, kuris būtinas teikiant kvalifikuotas patikimumo užtikrinimo paslaugas;

(46)

patikimi sąrašai yra labai svarbūs tam, kad būtų įgyjamas rinkos dalyvių tarpusavio pasitikėjimas, nes juose, atliekant priežiūrą, nurodomas paslaugos teikėjo kvalifikacijos statusas;

(47)

pasitikėjimas internetinėmis paslaugomis ir tų paslaugų patogumas yra būtini, kad naudotojai galėtų visapusiškai naudotis ir sąmoningai pasitikėti elektroninėmis paslaugomis. Šiuo tikslu turėtų būti sukurtas ES pasitikėjimo ženklas, kad būtų galima atpažinti kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų teikiamas kvalifikuotas patikimumo užtikrinimo paslaugas,. Tokiu ES pasitikėjimo ženklu kvalifikuotos patikimumo užtikrinimo paslaugos būtų akivaizdžiai atskirtos nuo kitų patikimumo užtikrinimo paslaugų, taip prisidedant prie rinkos skaidrumo. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ES pasitikėjimo ženklą turėtų naudoti savanoriškai ir dėl tokio naudojimo neturėtų atsirasti kitų, nei šiame reglamente numatytų, reikalavimų;

(48)

nors siekiant užtikrinti abipusį elektroninių parašų pripažinimą būtinas aukštas saugumo lygis, tam tikrais atvejais, kaip antai susijusiais su Komisijos sprendimu 2009/767/EB (10), taip pat turėtų būti priimami elektroniniai parašai, kuriais užtikrinamas žemesnio lygio saugumas;

(49)

šiuo reglamentu turėtų būti nustatytas principas, kad negalima atsisakyti pripažinti elektroninio parašo teisinės galios tik dėl to, kad parašas yra elektroninis arba kad jis neatitinka kvalifikuoto elektroninio parašo reikalavimų. Tačiau elektroninių parašų teisinė galia turi būti reglamentuojama nacionalinės teisės aktuose, išskyrus šiame reglamente numatytus reikalavimus, pagal kuriuos kvalifikuoto elektroninio parašo teisinė galia turėtų būti lygiavertė rašytiniam parašui;

(50)

kadangi valstybių narių kompetentingos institucijos dabar naudoja įvairaus formato pažangiuosius elektroninius parašus savo dokumentams pasirašyti elektroniniu būdu, būtina užtikrinti, kad valstybės narės, priimdamos elektroniniu būdu pasirašytus dokumentus, gebėtų techniškai apdoroti bent keletą pažangiojo elektroninio parašo formatų. Atitinkamai, kai valstybių narių kompetentingos institucijos naudoja pažangiuosius elektroninius spaudus, reikėtų užtikrinti, kad jos gebėtų patvirtinti bent kelių formatų pažangiuosius elektroninius spaudus;

(51)

pasirašančiam asmeniui turėtų būti sudaryta galimybė kvalifikuotų elektroninio parašo kūrimo įtaisų priežiūrą pavesti trečiajai šaliai su sąlyga, kad įdiegti tinkami mechanizmai ir procedūros, skirti užtikrinti, jog elektroninio parašo kūrimo duomenų naudojimą kontroliuoja tik pasirašantis asmuo ir kad naudojant įtaisą laikomasi kvalifikuotam elektroniniam parašui keliamų reikalavimų;

(52)

nuotolinių elektroninių parašų kūrimas, kai šio elektroninio parašo kūrimo aplinką valdo patikimumo užtikrinimo paslaugos teikėjas pasirašančio asmens vardu, turėtų plėstis dėl įvairiapusės jo ekonominės naudos. Vis dėlto siekiant užtikrinti, kad tokie elektroniniai parašai būtų teisiškai pripažįstami taip pat kaip ir vien vartotojo valdomoje aplinkoje sukurti elektroniniai parašai, nuotolinio elektroninio parašo paslaugos teikėjai turėtų taikyti konkrečias valdymo bei administracines saugumo procedūras ir naudoti patikimas sistemas bei produktus, įskaitant saugius elektroninius ryšių kanalus, siekiant užtikrinti, kad elektroninio parašo kūrimo aplinka būtų patikima ir kad ji būtų naudojama prižiūrint vien pasirašančiam asmeniui. Kai kvalifikuotas elektroninis parašas sukurtas naudojant nuotolinio elektroninio parašo kūrimo įtaisą, turėtų būti taikomi šiame reglamente nustatyti kvalifikuotiems patikimumo užtikrinimo paslaugos teikėjams keliami reikalavimai;

(53)

kvalifikuotų sertifikatų galiojimo sustabdymas yra įprasta patikimumo paslaugų teikėjų darbo praktika keliose valstybėse narėse; tai nėra atšaukimas ir dėl to sertifikatas laikinai netenka galios. Siekiant užtikrinti teisinį tikrumą, visada turi būti aiškiai nurodytas sertifikato statusas – galiojimas sustabdytas. Tuo tikslu patikimumo užtikrinimo paslaugų teikėjai turėtų būti atsakingi už tai, kad būtų aiškiai nurodytas sertifikato statusas, o galiojimo sustabdymo atveju – konkretus laikotarpis, kuriuo sertifikato galiojimas sustabdytas. Šiuo reglamentu neturėtų būti nustatoma, kad patikimumo užtikrinimo paslaugų teikėjai ar valstybės narės privalo taikyti sustabdymą, tačiau turėtų būti nustatytos skaidrumo taisyklės, kada ir kokiais atvejais galima taikyti tokią praktiką;

(54)

tarpvalstybinis sąveikumas ir kvalifikuotų sertifikatų pripažinimas yra tarpvalstybinio kvalifikuotų elektroninių parašų pripažinimo prielaida. Todėl kvalifikuotiems sertifikatams neturėtų būti taikoma jokių privalomų reikalavimų, viršijančių šiame reglamente nustatytus reikalavimus. Vis dėlto nacionaliniu lygiu kvalifikuotuose sertifikatuose turėtų būti leidžiama naudoti specifinius požymius, kaip antai unikalius atpažinimo ženklus, su sąlyga, kad tokie specifiniai požymiai netrukdo tarpvalstybiniam sąveikumui ir kvalifikuotų sertifikatų bei elektroninių parašų pripažinimui;

(55)

IT saugumo sertifikavimas, grindžiamas tarptautiniais standartais tokiais kaip antai ISO 15408 bei atitinkamais vertinimo metodais ir abipusio pripažinimo susitarimais, yra svarbi priemonė siekiant patikrinti kvalifikuotų elektroninio parašo kūrimo įtaisų saugumą ir jis turėtų būti skatinamas. Vis dėlto novatoriški sprendimai ir paslaugos, kaip antai mobilusis elektroninis parašas ir debesijos elektroninis parašas, yra paremti kvalifikuotų elektroninio parašo kūrimo įtaisų, kurių saugumo standartų dar gali ir nebūti arba dar tik vyksta pirmasis IT saugumo sertifikavimas, techniniu ir organizaciniu sprendimu. Tokių kvalifikuotų elektroninio parašo kūrimo įtaisų saugumo lygis galėtų būti įvertintas taikant alternatyvius procesus tik tuo atveju, kai tokių saugumo standartų dar nėra ir kai vyksta pirmasis IT saugumo sertifikavimas. Tie procesai turėtų būti panašūs į IT saugumo sertifikavimo standartus tiek, kad jų saugumo lygiai būtų lygiaverčiai. Tuos procesus galėtų palengvinti tarpusavio vertinimas;

(56)

šiame reglamente turėtų būti nustatyti kvalifikuotiems elektroninio parašo kūrimo įtaisams keliami reikalavimai, siekiant užtikrinti pažangiųjų elektroninių parašų funkcionalumą. Šis reglamentas neturėtų būti taikomas visai sistemos aplinkai, kurioje veikia tokia įranga. Todėl kvalifikuotų parašo kūrimo įtaisų sertifikavimas turėtų būti taikomas tik aparatinei ir sistemos programinei įrangai, naudojamai parašo kūrimo įtaisų sukurtiems, saugomiems arba apdorotiems parašo kūrimo duomenims valdyti ir juos apsaugoti. Kaip išsamiai nurodyta atitinkamuose standartuose, sertifikavimo pareiga neturėtų būti taikoma parašo kūrimo taikomosioms programoms;

(57)

siekiant užtikrinti parašo galiojimo teisinį tikrumą, labai svarbu išsamiai nurodyti, kokias kvalifikuoto elektroninio parašo sudedamąsias dalis turėtų įvertinti galiojimą tvirtinanti pasikliaujančioji šalis. Be to, reikalavimų nustatymas kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams, kurie gali teikti kvalifikuotą galiojimo patvirtinimo paslaugą pasikliaujančiosioms šalims, kurios pačios nenori arba negali atlikti kvalifikuotų elektroninių parašų galiojimo patvirtinimo, turėtų paskatinti privatųjį ir viešąjį sektorių investuoti į tokias paslaugas. Įgyvendinus abu šiuos elementus, kvalifikuoto elektroninio parašo galiojimo patvirtinimas Sąjungos lygmeniu turėtų tapti lengvas ir patogus visoms šalims;

(58)

kai operacijai atlikti reikalingas juridinio asmens kvalifikuotas elektroninis spaudas, lygiai taip pat turėtų būti priimamas to juridinio asmens įgaliotojo atstovo kvalifikuotas elektroninis parašas;

(59)

elektroniniai spaudai turėtų būti įrodymas, kad elektroninį dokumentą išdavė juridinis asmuo, užtikrinant dokumento kilmę ir vientisumą;

(60)

kvalifikuotus elektroninių spaudų sertifikatus išduodantys patikimumo užtikrinimo paslaugų teikėjai turėtų įgyvendinti priemones, būtinas nustatyti fizinio asmens, atstovaujančio juridiniam asmeniui, kuriam suteiktas kvalifikuotas elektroninio spaudo sertifikatas, tapatybę, kai toks tapatybės nustatymas būtinas nacionaliniu lygiu, atsižvelgiant į teismo ar administracinius procesus;

(61)

šiuo reglamentu turėtų būti užtikrinta ilgalaikis informacijos išsaugojimas, t. y. siekiant užtikrinti elektroninio parašo ir elektroninių spaudų teisinį galiojimą ilgą laiką ir garantuoti, kad jų galiojimas būtų patvirtintas nepaisant būsimų technologinių pokyčių;

(62)

siekiant užtikrinti kvalifikuotų elektroninių laiko žymų saugumą, šiuo reglamentu turėtų būti reikalaujama naudoti pažangųjį elektroninį spaudą arba pažangųjį elektroninį parašą arba kitus lygiaverčius metodus. Numatoma, kad dėl inovacijų gali atsirasti naujos technologijos, kuriomis būtų galima užtikrinti lygiavertį laiko žymų saugumo lygį. Kai naudojamas kitas, ne pažangiojo elektroninio spaudo ar pažangiojo elektroninio parašo, metodas, kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai atitikties turėtų įvertinimo ataskaitose įrodyti, kad tokiu metodu užtikrinamas lygiavertis saugumo lygis ir laikomasi šiame reglamente nustatytų pareigų;

(63)

elektroniniai dokumentai yra svarbūs tolesnei tarpvalstybinių elektroninių operacijų vidaus rinkoje plėtrai. Šiame reglamente turėtų būti nustatomas principas, kad negalima atsisakyti pripažinti elektroninio dokumento teisinės galios tik dėl to, kad dokumentas yra elektroninis siekiant užtikrinti, kad elektroninė operacija nebūtų atmesta tik dėl to, kad dokumentas yra elektroninis;

(64)

spręsdama pažangiųjų elektroninių parašų ir spaudų formatų klausimus, Komisija turėtų remtis šiuo metu taikoma praktika, standartais ir teisės aktais, ypač Komisijos sprendimu 2011/130/ES (11);

(65)

be juridinio asmens išduoto dokumento tapatumo nustatymo, elektroniniai spaudai gali būti naudojami siekiant nustatyti bet kokio juridinio asmens skaitmeninio turto, kaip antai programinės įrangos kodo ar serverių, tapatumą;

(66)

būtina numatyti teisinį pagrindą, kad būtų sudaromos palankesnės sąlygos tarpvalstybiniam esamų nacionalinių teisės sistemų, susijusių su elektroninio registruoto pristatymo paslaugomis, pripažinimui. Be to, ta sistema galėtų atverti naujas rinkos galimybes Sąjungos patikimumo užtikrinimo paslaugų teikėjams siūlyti naujas Europos masto elektroninio registruoto pristatymo paslaugas;

(67)

naudodamasis interneto svetainių tapatumo nustatymo paslaugomis interneto svetainės lankytojas gali būti tikras, kad interneto svetainė priklauso tikram ir teisėtam subjektui. Tos paslaugos prisideda prie pasitikėjimo kūrimo ir suteikia drąsos vykdyti verslą internetu, nes vartotojai pasitikės interneto svetaine, kurios tapatumas nustatytas. Interneto svetainės tapatumo nustatymo paslaugų teikimas ir naudojimas yra visiškai savanoriškas. Vis dėlto norint, kad interneto svetainės tapatumo nustatymas taptų pasitikėjimo didinimo priemone, kuri pagerintų vartotojo patirtį ir toliau skatintų vidaus rinkos augimą, šiame reglamente teikėjams ir jų paslaugoms turėtų būti nustatytos minimalios saugumo ir atsakomybės pareigos. Tuo tikslu buvo atsižvelgta į šiuo metu sektoriuje įgyvendinamų iniciatyvų, pavyzdžiui, Sertifikavimo institucijų ir naršyklių verslo forumo – CA/B Forumas rezultatus. Be to, šiuo reglamentu neturėtų būti trukdoma naudoti kitų interneto svetainės tapatumo nustatymo priemonių ar metodų, kuriems netaikomas šis reglamentas, ir kliudoma trečiųjų valstybių interneto svetainės tapatumo nustatymo paslaugų teikėjams teikti savo paslaugas Sąjungoje esantiems klientams. Vis dėlto trečiosios valstybės teikėjo interneto svetainės tapatumo nustatymo paslaugos turėtų būti pripažintos kvalifikuotomis pagal šį reglamentą, tik jeigu Sąjunga ir valstybė, kurioje įsisteigęs teikėjas, yra sudariusios tarptautinį susitarimą;

(68)

remiantis Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) nuostatomis dėl įsisteigimo pagal juridinių asmenų sąvoką veiklos vykdytojai gali laisvai pasirinkti teisinę formą, kuri, jų manymu, yra tinkama jų veiklai vykdyti. Todėl juridiniai asmenys, kaip apibrėžta SESV, yra visi subjektai, kurie yra įsteigti pagal valstybės narės teisės aktus arba kurie yra reglamentuojami tokiais teisės aktais, neatsižvelgiant į jų teisinę formą;

(69)

Sąjungos institucijos, įstaigos ir agentūros administracinio bendradarbiavimo tikslu yra skatinamos pripažinti elektroninę atpažintį ir patikimumo užtikrinimo paslaugas, kurioms taikomas šis reglamentas, remiantis visų pirma esama gerąja praktika ir šiuo metu vykdomų projektų rezultatais srityse, kurioms taikomas šis reglamentas;

(70)

siekiant lanksčiai ir greitai papildyti tam tikrus šio reglamento išsamius techninius aspektus, pagal SESV 290 straipsnį Komisijai turėtų būti deleguoti įgaliojimai priimti aktus dėl kriterijų, kuriuos turi atitikti už kvalifikuotų elektroninio parašo kūrimo įtaisų sertifikavimą atsakingos įstaigos. Ypač svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, taip pat ir su ekspertais. Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduodami Europos Parlamentui ir Tarybai;

(71)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai, visų pirma tam, kad ji nurodytų standartų, kurių laikantis būtų suteikiama prezumpcija dėl atitikties tam tikriems šiame reglamente nustatytiems reikalavimams užtikrinimo, referencinius numerius. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (12);

(72)

priimdama deleguotuosius arba įgyvendinimo aktus Komisija turėtų deramai atsižvelgti į Europos ir tarptautinių standartizacijos organizacijų ir įstaigų, visų pirma Europos standartizacijos komiteto (CEN), Europos telekomunikacijų standartų instituto (ETSI), Tarptautinės standartizacijos organizacijos (ISO) ir Tarptautinės telekomunikacijų sąjungos (ITU) parengtus standartus bei technines specifikacijas, kad būtų užtikrintas aukštas elektroninės atpažinties ir patikimumo užtikrinimo paslaugų saugumo lygis;

(73)

dėl teisinio tikrumo ir aiškumo Direktyva 1999/93/EB turėtų būti panaikinta;

(74)

siekiant užtikrinti teisinį tikrumą rinkos dalyviams, kurie jau naudoja pagal Direktyvą 1999/93/EB fiziniams asmenims išduotus kvalifikuotus sertifikatus, reikia numatyti pakankamą pereinamąjį laikotarpį. Lygiai taip pat reikėtų nustatyti pereinamojo laikotarpio priemones dėl pažangaus parašo kūrimo įtaisų, kurių atitiktis buvo nustatyta pagal Direktyvą 1999/93/EB, ir pereinamojo laikotarpio priemones sertifikavimo paslaugų teikėjams, kurie išduos sertifikatus anksčiau nei 2016 m. liepos 1 d. Galiausiai, taip pat reikia suteikti Komisijai galimybę iki tos datos priimti įgyvendinimo ir deleguotuosius aktus;

(75)

šiame reglamente nustatyti taikymo terminai nedaro poveikio jau turimiems valstybių narių įsipareigojimams pagal Sąjungos teisę, visų pirma pagal Direktyvą 2006/123/EB;

(76)

kadangi šio reglamento tikslų, valstybės narės negali deramai pasiekti, o dėl siūlomo veiksmo masto ir poveikio tų tikslų būtų geriau siekti Sąjungos lygiu, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali priimti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu neviršijama to, kas būtina tiems tikslams pasiekti;

(77)

vadovaujantis Europos Parlamento ir Tarybos reglamento (EB) Nr. 45/2001 (13) 28 straipsnio 2 dalimi buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu, kuris pateikė nuomonę 2012 m. rugsėjo 27 d. (14),

a)

nustatomos sąlygos, kuriomis valstybės narės pripažįsta fizinių ir juridinių asmenų elektroninės atpažinties priemones, kurioms taikoma kitos valstybės narės elektroninės atpažinties schema, apie kurią pranešta;

b)

nustatomos patikimumo užtikrinimo paslaugų, visų pirma elektroninių operacijų, taisyklės, ir

c)

nustatoma elektroninių parašų, elektroninių spaudų, elektroninių laiko žymų, elektroninių dokumentų, elektroninio registruoto pristatymo paslaugų ir interneto svetainių tapatumo nustatymo sertifikavimo paslaugų teisinė sistema.

a)

elektroninių parašų, elektroninių spaudų arba elektroninių laiko žymų kūrimas, patikrinimas ir patvirtinimas, elektroninio registruoto pristatymo paslaugos ir su tomis paslaugomis susiję sertifikatai arba

b)

interneto svetainių tapatumo nustatymo sertifikatų kūrimas, patikrinimas ir patvirtinimas, arba

c)

elektroninių parašų, spaudų arba su tomis paslaugomis susijusių sertifikatų ilgalaikis išsaugojimas;

a)

elektroninės atpažinties priemonė yra išduota pagal elektroninės atpažinties schemą, kuri yra įtraukta į Komisijos pagal 9 straipsnį skelbiamą sąrašą;

b)

elektroninės atpažinties priemonės saugumo užtikrinimo lygis atitinka saugumo užtikrinimo lygį, kuris yra lygiavertis saugumo užtikrinimo lygiui, kurio reikalauja atitinkama viešojo sektoriaus įstaiga, kad būtų galima pasinaudoti ta internetine paslauga pirmojoje valstybėje narėje, arba yra už jį aukštesnis, su sąlyga, kad tos elektroninės atpažinties priemonės saugumo užtikrinimo lygis atitinka pakankamą arba aukštą saugumo užtikrinimo lygį;

c)

atitinkama viešojo sektoriaus įstaiga taiko pakankamą arba aukštą saugumo užtikrinimo lygį galimybės naudotis ta internetine paslauga atžvilgiu.

a)

elektroninės atpažinties priemonės pagal elektroninės atpažinties schemą yra išduotos:

b)

elektroninės atpažinties priemonės pagal elektroninės atpažinties schemą gali būti naudojamos norint pasinaudoti bent viena viešojo sektoriaus įstaigos teikiama paslauga, kuria reikalaujama užtikrinti elektroninę atpažintį pranešančiojoje valstybėje narėje;

c)

elektroninės atpažinties schema ir pagal ją išduodamos elektroninės atpažinties priemonės tenkina bent vieno iš saugumo užtikrinimo lygių reikalavimus, nustatytus 8 straipsnio 3 dalyje nurodytame įgyvendinimo akte;

d)

pranešančioji valstybė narė užtikrina, kad asmens tapatybės duomenys, kuriais nurodomas konkretus atitinkamas asmuo, būtų susieti su 3 straipsnio 1 punkte nurodytu fiziniu arba juridiniu asmeniu elektroninės atpažinties priemonės išdavimo pagal tą schemą metu, laikantis atitinkamo saugumo užtikrinimo lygio techninių specifikacijų, standartų ir procedūrų, nustatytų 8 straipsnio 3 dalyje nurodytame įgyvendinimo akte;

e)

elektroninę atpažinties priemonę pagal tą schemą išduodanti šalis užtikrina, kad elektroninė atpažinties priemonė būtų susieta su šio straipsnio d punkte nurodytu asmeniu, laikantis atitinkamo saugumo užtikrinimo lygio techninių specifikacijų, standartų ir procedūrų, nustatytų 8 straipsnio 3 dalyje nurodytame įgyvendinimo akte;

f)

pranešančioji valstybė narė užtikrina tapatumo nustatymo internete galimybę, kad bet kuri pasikliaujančioji šalis, įsteigta kitos valstybės narės teritorijoje, galėtų patvirtinti gautus elektroninės formos asmens tapatybės duomenis.

Pasikliaujančiosioms šalims, kurios nėra viešojo sektoriaus įstaigos, pranešančioji valstybė narė gali nustatyti naudojimosi ta tapatumo nustatymo galimybe tvarką. Tarpvalstybinis tapatumo nustatymas yra nemokamas, kai jis susijęs su viešojo sektoriaus įstaigos teikiama internetine paslauga.

Valstybės narės nenustato pasikliaujančiosioms šalims, kurios ketina atlikti tokį tapatumo nustatymą, jokių specialių neproporcingų techninių reikalavimų, kai dėl tokių reikalavimų užkertamas kelias arba kyla esminių kliūčių elektroninės atpažinties schemų, apie kurias pranešta, sąveikumui;

g)

bent prieš šešis mėnesius iki pranešimo pagal 9 straipsnio 1 dalį pranešančioji valstybė narė kitoms valstybėms narėms 12 straipsnio 5 dalyje nustatytos pareigos įvykdymo tikslais pateikia tos schemos aprašymą pagal procedūrines sąlygas, nustatytas 12 straipsnio 7 dalyje nurodytuose įgyvendinimo aktuose;

h)

elektroninės atpažinties schema atitinka 12 straipsnio 8 dalyje nurodytame įgyvendinimo akte nustatytus reikalavimus.

a)

žemas saugumo užtikrinimo lygis grindžiamas elektroninės atpažinties priemone elektroninės atpažinties schemos kontekste, kuria užtikrinamas ribotas pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnis ir kuri apibūdinama remiantis su ja susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – sumažinti netinkamo pasinaudojimo tapatybe arba jos pakeitimo riziką;

b)

pakankamas saugumo užtikrinimo lygis grindžiamas elektroninės atpažinties priemone elektroninės atpažinties schemos kontekste, kuria užtikrinamas pakankamas pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnis ir kuri apibūdinama remiantis su ja susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – labai sumažinti netinkamo pasinaudojimo tapatybe arba jos pakeitimo riziką;

c)

aukštas saugumo užtikrinimo lygis grindžiamas elektroninės atpažinties priemone elektroninės atpažinties schemos kontekste, kuria užtikrinamas aukštesnis pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnis nei pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemone ir kuri apibūdinama remiantis su ja susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – užkirsti kelią netinkamam pasinaudojimui tapatybe arba jos pakeitimui.

a)

fizinių ar juridinių asmenų, pateikusių prašymą išduoti elektroninės atpažinties priemones, tapatybės įrodymo ir patikrinimo procedūra;

b)

prašomų elektroninės atpažinties priemonių išdavimo procedūra;

c)

tapatumo nustatymo mechanizmas, kurį taikant fizinis arba juridinis asmuo naudojasi elektroninės atpažinties priemone, kad patvirtintų pasikliaujančiajai šaliai savo tapatybę;

d)

elektroninės atpažinties priemonę išduodantis subjektas;

e)

bet kuri kita įstaiga, dalyvaujanti teikiant prašymą išduoti elektroninės atpažinties priemonę, ir

f)

išduotos elektroninės atpažinties priemonės techninės ir saugumo specifikacijos.

a)

elektroninės atpažinties schemos, apie kurią pranešama, aprašą, įskaitant jos saugumo užtikrinimo lygius ir elektroninės atpažinties priemonių pagal schemą išdavėją ar išdavėjus;

b)

taikytiną priežiūros režimą ir informaciją apie atsakomybės režimą, susijusius su:

c)

valdžios instituciją arba institucijas, atsakingas už elektroninės atpažinties schemą;

d)

informaciją apie subjektą arba subjektus, kurie tvarko unikalių asmens tapatybės duomenų registraciją;

e)

aprašymą, kaip vykdomi 12 straipsnio 8 dalyje nurodytuose įgyvendinimo aktuose nustatyti reikalavimai;

f)

7 straipsnio f punkte nurodyto tapatumo nustatymo aprašą;

g)

elektroninės atpažinties schemos, apie kurią pranešama, tapatumo nustatymo arba atitinkamų nepatikimų sudedamųjų dalių naudojimo sustabdymo arba atšaukimo nuostatas.

a)

ja siekiama būti neutralia technologiniu požiūriu ir ja nediskriminuojami jokie konkretūs nacionaliniai elektroninės atpažinties techniniai sprendimai valstybėje narėje;

b)

jei įmanoma, ji atitinka Europos ir tarptautinius standartus;

c)

ja sudaromos palankios sąlygos įgyvendinti projektuojant numatytos privatumo apsaugos principą; ir

d)

ja užtikrinama, kad asmens duomenys būtų tvarkomi pagal Direktyvą 95/46/EB.

a)

nuoroda į minimalius techninius reikalavimus, susijusius su 8 straipsnyje numatytais saugumo užtikrinimo lygiais;

b)

elektroninės atpažinties schemų, apie kurias pranešta, nacionalinių saugumo užtikrinimo lygių suderinimas su 8 straipsnyje numatytais saugumo užtikrinimo lygiais;

c)

nuoroda į minimalius techninius sąveikumo reikalavimus;

d)

nuoroda į minimalų asmens tapatybės duomenų, kuriais nurodomas konkretus fizinis ar juridinis asmuo, rinkinį, prieinamą pasitelkiant elektroninės atpažinties schemas;

e)

darbo tvarkos taisyklės;

f)

ginčų sprendimo tvarka; ir

g)

bendri veiklos saugumo standartai.

a)

dėl elektroninės atpažinties schemų, apie kurias pranešta pagal 9 straipsnio 1 dalį, ir elektroninės atpažinties schemų, apie kurias valstybės narės ketina pranešti, sąveikumo ir

b)

dėl elektroninės atpažinties schemų saugumo.

a)

keitimasis informacija, patirtimi ir gerąja praktika, susijusiomis su elektroninės atpažinties schemomis, ir visų pirma su techniniais reikalavimais, susijusiais su sąveikumu ir saugumo užtikrinimo lygiais;

b)

keitimasis informacija, patirtimi ir gerąja praktika, susijusiomis su darbu taikant 8 straipsnyje numatytus elektroninės atpažinties schemų saugumo užtikrinimo lygius;

c)

elektroninės atpažinties schemų, kurioms taikomas šis reglamentas, tarpusavio vertinimas, ir

d)

atitinkamų pokyčių elektroninės atpažinties sektoriuje nagrinėjimas.

a)

trečiųjų valstybių arba tarptautinių organizacijų, su kuriomis sudaryti susitarimai, patikimumo užtikrinimo paslaugų teikėjai laikytųsi Sąjungoje įsisteigusiems kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams ir jų teikiamoms kvalifikuotoms patikimumo užtikrinimo paslaugoms taikomų reikalavimų;

b)

Sąjungoje įsisteigusių kvalifikuotų patikimumo užtikrinimo paslaugos teikėjų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos būtų pripažįstamos kaip teisiškai lygiavertės trečiųjų valstybių arba tarptautinių organizacijų, su kuriomis sudaryti susitarimai, patikimumo užtikrinimo paslaugų teikėjų teikiamoms patikimumo užtikrinimo paslaugoms.

a)

prižiūrėti paskiriančiosios valstybės narės teritorijoje įsisteigusius kvalifikuotus patikimumo užtikrinimo paslaugų teikėjus siekiant ex ante ir ex post priežiūros veikla užtikrinti, kad tie patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitiktų šiame reglamente nustatytus reikalavimus;

b)

vykdant ex post priežiūros veiklą, prireikus imtis veiksmų dėl paskiriančiosios valstybės narės teritorijoje įsisteigusių nekvalifikuotų patikimumo užtikrinimo paslaugų teikėjų, kai pranešama, kad tie nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ar jų teikiamos patikimumo užtikrinimo paslaugos tariamai neatitinka šiame reglamente nustatytų reikalavimų.

a)

bendradarbiauti su kitomis priežiūros įstaigomis ir teikti joms pagalbą pagal 18 straipsnį;

b)

analizuoti 20 straipsnio 1 dalyje ir 21 straipsnio 1 dalyje nurodytas atitikties įvertinimo ataskaitas;

c)

informuoti kitas priežiūros įstaigas ir visuomenę apie saugumo ar vientisumo pažeidimus pagal 19 straipsnio 2 dalį;

d)

vadovaujantis šio straipsnio 6 dalimi, teikti Komisijai ataskaitas apie savo pagrindinę veiklą;

e)

vykdyti auditą arba reikalauti, kad atitikties vertinimo įstaiga atliktų kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų atitikties vertinimą pagal 20 straipsnio 2 dalį;

f)

bendradarbiauti su duomenų apsaugos institucijomis, visų pirma, nepagrįstai nedelsiant jas informuojant apie kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų audito rezultatus kai tikėtina, kad buvo pažeistos asmens duomenų apsaugos taisyklės;

g)

patikimumo užtikrinimo paslaugų teikėjams ir jų teikiamoms paslaugoms suteikti kvalifikacijos statusą ir jį panaikinti pagal 20 ir 21 straipsnius;

h)

pranešti 22 straipsnio 3 dalyje nurodytai už nacionalinį patikimą sąrašą atsakingai įstaigai apie savo sprendimus suteikti arba panaikinti kvalifikacijos statusą, nebent ta įstaiga taip pat būtų priežiūros įstaiga;

i)

patikrinti, ar priimtos ir teisingai taikomos nuostatos dėl nutraukimo planų tais atvejais, kai kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai nutraukia savo veiklą, be kita ko, patikrinti, kaip informacija laikoma prieinama pagal 24 straipsnio 2 dalies h punktą;

j)

reikalauti, kad patikimumo užtikrinimo paslaugų teikėjai ištaisytų šiame reglamente nustatytų reikalavimų vykdymo pažeidimus.

a)

priežiūros įstaiga nėra kompetentinga suteikti prašomą pagalbą;

b)

prašoma pagalba nėra proporcinga priežiūros įstaigos priežiūros veiklai, vykdomai pagal 17 straipsnį;

c)

prašomos pagalbos suteikimas būtų nesuderinamas su šiuo reglamentu.

a)

tiksliau apibrėžia 1 dalyje nurodytas priemones ir

b)

apibrėžia formatus ir procedūras, įskaitant terminus, taikytinus 2 dalies tikslais.

a)

atitikties vertinimo įstaigų akreditavimo ir 1 dalyje nurodytos atitikties vertinimo ataskaitos;

b)

audito taisyklių, pagal kurias atitikties vertinimo įstaigos atliks 1 dalyje nurodytą kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų atitikties vertinimą.

a)

fiziškai dalyvaujant fiziniam asmeniui arba juridinio asmens įgaliotajam atstovui; arba

b)

nuotoliniu būdu, naudodamas elektroninės atpažinties priemones, jei prieš išduodant kvalifikuotą sertifikatą jų atžvilgiu buvo užtikrintas fizinio ar juridinio asmens įgaliotojo atstovo fizinis dalyvavimas, ir kurios atitinka 8 straipsnyje nustatytus „pakankamo“ ir „aukšto“ saugumo užtikrinimo lygių reikalavimus; arba

c)

naudodamas pagal a arba b punktą išduotą kvalifikuotą elektroninio parašo arba elektroninio spaudo sertifikatą, arba

d)

naudodamas kitus nacionaliniu lygiu pripažintus tapatybės nustatymo būdus, kuriais užtikrinamas fiziniam dalyvavimui lygiavertis saugumo užtikrinimas. Lygiavertį saugumo užtikrinimą turi patvirtinti atitikties vertinimo įstaiga.

a)

informuoja priežiūros įstaigą apie bet kokius savo kvalifikuotų patikimumo užtikrinimo paslaugų teikimo pakeitimus ir ketinimą nutraukti tą veiklą;

b)

samdo darbuotojus ir, jei taikytina, subrangovus, kurie turi būtinos kompetencijos, yra patikimi, turi būtinos patirties ir kvalifikacijos, yra tinkamai apmokyti saugumo ir asmens duomenų apsaugos taisyklių, ir taiko Europos arba tarptautinius standartus atitinkančias administracines bei valdymo procedūras;

c)

atsakomybės už žalą rizikos atžvilgiu pagal 13 straipsnį, disponuoja pakankamais finansiniais ištekliais ir (arba) gauna tinkamą atsakomybės draudimą pagal nacionalinės teisės aktus;

d)

prieš užmegzdamas sutartinius santykius, aiškiai ir išsamiai informuoja visus asmenis, kurie nori naudotis kvalifikuota patikimumo užtikrinimo paslauga, apie tikslias naudojimosi ta paslauga sąlygas, įskaitant bet kokius naudojimosi ja apribojimus;

e)

naudoja patikimas sistemas ir produktus, kurie yra apsaugoti nuo pakeitimų, ir užtikrina jų palaikomo proceso techninį saugumą ir patikimumą;

f)

jam pateiktus duomenis patikrinama forma saugo patikimose sistemose, kad:

g)

imasi tinkamų apsaugos nuo duomenų klastojimo ir vagystės priemonių;

h)

tinkamą laikotarpį, įskaitant kvalifikuotam patikimumo užtikrinimo paslaugų teikėjui nutraukus veiklą, registruoja ir laiko prieinama visą susijusią informaciją dėl kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo parengtų ir gautų duomenų, visų pirma tam, kad šią informaciją būtų galima panaudoti teismo procese kaip įrodymą ir siekiant užtikrinti paslaugų tęstinumą. Tokia informacija gali būti registruojama elektroniniu būdu;

i)

turi atnaujinamą nutraukimo planą, kad užtikrintų paslaugų tęstinumą, atsižvelgdami į priežiūros įstaigos pagal 17 straipsnio 4 dalies i punktą patikrintas nuostatas;

j)

užtikrina teisėtą asmens duomenų tvarkymą pagal Direktyvą 95/46/EB;

k)

tais atvejais, kai kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai išduoda kvalifikuotus sertifikatus – sukuria ir atnaujina sertifikatų duomenų bazę.

a)

būti vienareikšmiškai susietas su pasirašančiu asmeniu;

b)

pagal jį galima nustatyti pasirašančio asmens tapatybę;

c)

sukurtas naudojant elektroninio parašo kūrimo duomenis, kuriuos tik pats pasirašantis asmuo gali labai patikimai naudoti; ir

d)

susietas su juo pasirašytais duomenimis taip, kad bet koks tų duomenų pakeitimas būtų pastebimas.

a)

jei kvalifikuoto elektroninio parašo sertifikato galiojimas buvo laikinai sustabdytas, tas sertifikatas netenka galios sustabdymo laikotarpiu;

b)

galiojimo sustabdymo laikotarpis yra aiškiai nurodomas sertifikatų duomenų bazėje, o tai, kad sertifikato galiojimas yra sustabdytas, galiojimo sustabdymo laikotarpiu matoma teikiant informaciją apie sertifikato statusą.

a)

saugumo vertinimo procedūra, atlikta pagal vieną iš informacinių technologijų produktų saugumo vertinimo standartų, įtrauktų į sąrašą nustatytą pagal antrą pastraipą, arba

b)

kita nei a punkte nurodyta procedūra su sąlyga, kad joje taikomi panašūs saugumo lygiai, o 1 dalyje nurodyta viešoji ar privačioji įstaiga apie tą procedūrą praneša Komisijai. Ta procedūra gali būti taikoma tik tuo atveju, kai nėra a punkte nurodytų standartų arba kai tebevyksta a punkte nurodyta saugumo vertinimo procedūra.

a)

sertifikatas, kuriuo tvirtinamas parašas, pasirašymo metu buvo kvalifikuotas elektroninio parašo sertifikatas, atitinkantis I priedą;

b)

kvalifikuotą sertifikatą išdavė kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir jis galiojo pasirašymo metu;

c)

parašo patvirtinimo duomenys atitinka pasikliaujančiajai šaliai pateiktus duomenis;

d)

unikalus duomenų, kuriais sertifikate nurodomas pasirašantis asmuo, rinkinys tinkamai pateikiamas pasikliaujančiajai šaliai;

e)

jei pasirašymo metu buvo naudojamas slapyvardis, tai aiškiai nurodoma pasikliaujančiajai šaliai;

f)

elektroninis parašas sukurtas naudojant kvalifikuotą elektroninio parašo kūrimo įtaisą;

g)

nebuvo pažeistas pasirašytų duomenų vientisumas;

h)

pasirašymo metu buvo laikomasi 26 straipsnyje nurodytų reikalavimų.

a)

suteikia galiojimo patvirtinimą pagal 32 straipsnio 1 dalį, ir

b)

suteikia pasikliaujančiosioms šalims galimybę galiojimo patvirtinimo procedūros rezultatą gauti automatizuotu būdu, kuris būtų patikimas, veiksmingas ir susietas su kvalifikuotos galiojimo patvirtinimo paslaugos teikėjo pažangiuoju elektroniniu parašu arba pažangiuoju elektroniniu spaudu.

a)

jis turi būti vienareikšmiškai susietas su spaudo kūrėju;

b)

pagal jį galima nustatyti spaudo kūrėjo tapatybę;

c)

jis turi būti sukurtas naudojant elektroninio spaudo kūrimo duomenis, kuriuos spaudo kūrėjas gali labai patikimai pats naudoti kurdamas elektroninį spaudą, ir

d)

jis turi būti susietas su juo nurodomais duomenimis taip, kad būtų pastebimas bet koks vėlesnis tų duomenų pakeitimas.

a)

jei kvalifikuoto elektroninio spaudo sertifikato galiojimas buvo laikinai sustabdytas, tas sertifikatas netenka galios sustabdymo laikotarpiu;

b)

galiojimo sustabdymo laikotarpis yra aiškiai nurodomas sertifikatų duomenų bazėje ir tai, kad sertifikato galiojimas yra sustabdytas, galiojimo sustabdymo laikotarpiu matoma teikiant informaciją apie sertifikato statusą.

a)

ji susieja datą ir laiką su duomenimis taip, kad pagrįstai neliktų galimybės nepastebimai pakeisti duomenų;

b)

ji grindžiama tiksliu laiko šaltiniu, susietu su suderintuoju pasauliniu laiku, ir

c)

ji pasirašyta naudojant kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo pažangųjį elektroninį parašą arba patvirtinta jo pažangiuoju elektroniniu spaudu arba lygiaverčiu būdu.

a)

jas teikia vienas arba daugiau kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas (-ai);

b)

jos užtikrina galimybę labai patikimai nustatyti siuntėjo tapatybę;

c)

jos turi užtikrinti, kad būtų nustatyta gavėjo tapatybė prieš duomenis pristatant;

d)

duomenų siuntimas ir gavimas yra apsaugoti kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo pažangiuoju elektroniniu parašu arba pažangiuoju elektroniniu spaudu taip, kad neliktų galimybės nepastebimai pakeisti duomenų;

e)

bet koks duomenų pakeitimas, būtinas norint išsiųsti arba gauti duomenis, aiškiai nurodomas duomenų siuntėjui ir gavėjui;

f)

duomenų išsiuntimo, gavimo ir bet kokio duomenų pakeitimo data ir laikas yra nurodyti naudojant kvalifikuotą elektroninę laiko žymą.

a)

8 straipsnio 3 dalį, 9 straipsnio 5 dalį, 12 straipsnio 2–9 dalis, 17 straipsnio 8 dalį, 19 straipsnio 4 dalį, 20 straipsnio 4 dalį, 21 straipsnio 4 dalį, 22 straipsnio 5 dalį, 23 straipsnio 3 dalį, 24 straipsnio 5 dalį, 27 straipsnio 4 ir 5 dalis, 28 straipsnio 6 dalį, 29 straipsnio 2 dalį, 30 straipsnio 3 ir 4 dalis, 31 straipsnio 3 dalį, 32 straipsnio 3 dalį, 33 straipsnio 2 dalį, 34 straipsnio 2 dalį, 37 straipsnio 4 ir 5 dalis, 38 straipsnio 6 dalį, 42 straipsnio 2 dalį, 44 straipsnio 2 dalį, 45 straipsnio 2 dalį, 47 ir 48 straipsnius, kurie taikomi nuo 2014 m. rugsėjo 17 d.;

b)

7 straipsnį, 8 straipsnio 1 ir 2 dalis, 9 straipsnį, 10 straipsnį, 11 straipsnį, 12 straipsnio 1 dalį, kurie taikomi nuo 8 straipsnio 3 dalyje ir 12 straipsnio 8 dalyje nurodytų įgyvendinimo aktų taikymo pradžios dienos;

c)

6 straipsnį, kuris pradedamas taikyti praėjus trejiems metams nuo 8 straipsnio 3 dalyje ir 12 straipsnio 8 dalyje nurodytų įgyvendinimo aktų taikymo pradžios dienos.