Bezpečnější transakce na internetu

PŘEHLED DOKUMENTU:

Nařízení (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu

PŘEHLED

CO JE ÚKOLEM TOHOTO NAŘÍZENÍ?

• Nařízení o elektronické identifikaci a službách vytvářejících důvěru (eIDAS) vytváří nový systém pro bezpečnou elektronickou komunikaci v EU mezi podniky, občany a orgány veřejné moci.
• Cílem je prohloubit důvěru v elektronické transakce v celé EU a zvýšit efektivnost veřejných a soukromých on-line služeb a elektronického obchodu. Nařízení se vztahuje na:
  • systémy elektronické identifikace (eID)* oznámené zeměmi EU Evropské komisi,
  • poskytovatele služeb vytvářejících důvěru se sídlem v EU.
• Odstraňuje stávající překážky bránící používání eID v EU. Dnes by například firma z Portugalska mohla bez potíží podat nabídku na poskytování veřejných služeb ve Švédsku a granty z financování EU lze plně vyřizovat on-line.

KLÍČOVÉ BODY

Elektronická identifikace

• eID vydaná v jedné zemi EU musí být uznávána ve všech ostatních zemích. To platí jen v případě, že eID odpovídá požadavkům nařízení a byla oznámena Komisi a zveřejněna v seznamu. Vzájemné uznávání eID bude povinné od 28. září 2018 a usnadní bezpečné elektronické transakce v rámci EU.
• Systém eID musí specifikovat jednu ze tří úrovní záruky (nízká, značná a vysoká) pro formulář elektronické identifikace vydaný v rámci příslušného systému. Vzájemné uznávání je povinné pouze v případě, že dotyčný subjekt veřejného sektoru používá v souvislosti s přístupem k dané on-line službě značnou nebo vysokou úroveň záruky.

Oznámení

• Při oznamování systémů eID Komisi musí země EU poskytnout informace o aspektech, jako je:
  • úroveň záruky a vydavatel eID v rámci daného systému,
  • příslušné systémy dohledu a odpovědnosti,
  • subjekt spravující registraci jedinečných osobních identifikačních údajů.
• V případě narušení bezpečnosti systému eID nebo autentizace musí oznamující země EU:
  • rychle pozastavit/zrušit celoevropskou autentizaci nebo ohrožené součásti systému a
  • informovat další země EU a Komisi.

Odpovědnost

• Při jakékoli transakci mezi zeměmi EU za nedodržení příslušných povinností z tohoto nařízení vyplývajících mohou být následující strany volány k odpovědnosti za škodu způsobenou úmyslně nebo z nedbalosti kterékoli fyzické nebo právnické osobě:
  • oznamující země EU,
  • strana vydávající eID,
  • strana provozující postup autentizace.

Spolupráce a operabilita mezi zeměmi EU

• Oznámené vnitrostátní systémy eID musí být interoperabilní. Rámec interoperability musí být z technologického hlediska neutrální, tedy nesmí upřednostňovat žádná zvláštní vnitrostátní technická řešení v oblasti eID.

Služby vytvářející důvěru

• Nařízení vymezuje služby vytvářející důvěru jako placené služby, které zahrnují:
  • vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo
  • vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo
  • uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami.
• Poskytovatelé služeb vytvářejících důvěru se sídlem v EU se považují za „kvalifikované“, pokud odpovídají příslušným požadavkům tohoto nařízení. Mají právní nárok poskytovat kvalifikovanéslužby vytvářející důvěru (např. kvalifikované elektronické podpisy, pečetě nebo certifikáty) ve všech zemích EU. Služby vytvářející důvěru nabízené poskytovateli služeb ze zemí mimo EU lze považovat za právně rovnocenné kvalifikovaným službám, ale až po dohodě mezi EU a příslušnou zemí mimo EU nebo mezinárodní organizací.

Dohled

• Země EU musí vybrat 1 nebo více orgánů dohledu pro činnosti v oblasti dohledu podle tohoto nařízení. Tyto orgány musí náležitě spolupracovat s orgány pro ochranu údajů.
• Všichni poskytovatelé služeb vytvářejících důvěru podléhají dohledu a mají povinnosti v oblasti řízení rizik a oznamování narušení bezpečnosti.
• Nekvalifikovaní poskytovatelé služeb vytvářejících důvěru podléhají nezatěžujícímu dohledu, tj. orgán dohledu reaguje pouze v případě podezření, že se poskytovatel dopustil nesprávného chování.
• Kvalifikovaní poskytovatelé služeb se sídlem v EU podléhají přísnému dohledu. Patří sem předběžná autorizace ze strany orgánů dohledu a provádění auditu nejméně jednou za 2 roky organizací, která posoudí dodržování požadavků uvedených v nařízení.
• Nová dobrovolná značka důvěry EU bude označovat kvalifikované služby vytvářející důvěru poskytované příslušnými poskytovateli.

Řada aktů přijatých Evropskou komisí v průběhu roku 2015 stanovila:

• procesní opatření pro spolupráci mezi zeměmi EU v oblasti elektronické identifikace,
• specifikace týkající se podoby značky důvěry EU pro kvalifikované služby vytvářející důvěru,
• technické a provozní požadavky na rámec interoperability,
• minimální technické specifikace a postupy pro úrovně záruky prostředků pro eID,
• technické specifikace a formáty týkající se důvěryhodných seznamů,
• specifikace týkající se formátů zaručených elektronických podpisů a zaručených elektronických pečetí uznávaných subjekty veřejného sektoru a
• okolnosti, formáty a postupy pro oznamování systémů eID.

ODKDY SE NAŘÍZENÍ POUŽIJE?

Použije se od 17. září 2014.

KLÍČOVÝ POJEM

* elektronická identifikace (eID): hmatatelné nebo nehmatatelné podoby identifikace obsahující osobní identifikační údaje používané pro ověření pravosti on-line služby.

AKT

Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s. 73–114)

Postupné změny nařízení (EU) č. 910/2014 byly začleněny do základního textu. Toto konsolidované znění má pouze informativní hodnotu.

Poslední aktualizace 17.03.2016